W tym niniejszym artykule opiszemy kolejne wyjątki od obowiązku rejestracyjnego. Dzięki dokładnemu poznaniu każdego z nich, Administratorzy Danych będą mogli uniknąć przykrych konsekwencji przewidzianych w art. 53 UODO.
Faktury, rachunki, sprawozdawczość finansowa
Kolejnym zbiorem, którego nie musimy rejestrować do GIODO, jest zbiór danych „przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej” (art. 43. 1. pkt 8 UODO). Współpraca z zewnętrznymi kontrahentami (zarówno fizycznymi, jak i prawnymi) będzie zwykle oznaczała podpisanie umowy, czy zaksięgowanie faktury przez Administratora Danych, co naturalnie będzie się wiązało z zebraniem pewnych danych. W tym danych osobowych*.
* Generalnie danymi osobowymi są tylko i wyłącznie informacje dotyczące osób fizycznych –pracowników firmy, członków ich rodzin oraz np. dekarza naprawiającego w placówce dach. Danymi osobowymi nie będą natomiast informacje, które dotyczą osób prawnych, tj. urzędów z którymi Administrator Danych współpracuje, spółdzielni od których wynajmuje lokal, firm prywatnych świadczących usługi zakresu IT, itd. W przypadku informacji o wszystkich powyższych podmiotach, nie będzie miała zastosowania ustawa o ochronie danych osobowych. Podchwytliwe pytanie: Czy będziemy mówić o danych osobowych w przypadku informacji dotyczących osób fizycznych, ale prowadzących działalność gospodarczą?Do 31.12.2011, informacje te nie były uważane za dane osobowe. UWAGA! Od 1.01.2012, sytuacja zmieniła się o 180 stopni. Oddajmy głos GIODO: w wyniku uchylenia (…) art. 7a ust. 2 ustawy z dnia 19 listopada 1999 r. Prawo działalności gospodarczej, (…), ochronie przewidzianej w ustawie o ochronie danych osobowych podlegają obecnie dane osób fizycznych bez względu na to czy osoby te prowadzą działalność gospodarczą, czy też nie. Administrator danych osób fizycznych prowadzących działalność gospodarczą zobowiązany jest więc do spełnienia obowiązków wynikających z przepisów ustawy o ochronie danych osobowych, w tym obowiązku zgłoszenia zbioru do rejestracji, określonego w art. 40 tej ustawy. [o ile oczywiście nie wystąpi któryś z wyjątków pozwalających na nierejestrowanie takiego zbioru… np. ten opisany w niniejszym podrozdziale]. ( http://www.giodo.gov.pl/560/id_art/4627/j/pl ) |
Czy Administrator Danych będzie zatem zobowiązany zarejestrować zbiór danych kontrahentów z którymi współpracuje (zarówno osób fizycznych, jak i osób fizycznych prowadzących działalność gospodarczą)?
Nie, dopóki dane te będą przetwarzane wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej.
Należy jednak podkreślić, iż w przypadku gdyby zbiory danych tworzone w celach rozliczeniowych miały być wykorzystywane także w innych celach wówczas zbiory te powinny zostać zgłoszone do rejestracji. Przykładem wykorzystywania danych osobowych kontrahentów w celach niezwiązanych z wystawianiem faktur, rachunków, lub prowadzenia sprawozdawczości finansowej, będzie np.:
– przetwarzanie danych w celu dochodzenia roszczeń (por. Sprawozdanie GIODO za rok 2000, s. 266)
– przetwarzanie danych w celu prowadzenia postępowań reklamacyjnych, przy czym wystarczy sama możliwość prowadzenia takich postępowań (wyrok NSA I OSK 726/05 z dnia 2006-04-21.).
– przetwarzanie danych w celu ogłaszania i rozstrzygania przetargów
W każdej z trzech powyższych sytuacji Administrator Danych powinien zarejestrować zbiory danych. Będą to, zachowując kolejność przykładów, następujące zbiory danych: „dochodzenie roszczeń”, „postępowania reklamacyjne” oraz „zamówienia publiczne”.
Dane powszechnie dostępne
Następnym wyjątkiem, pozwalającym Administratorowi Danych nie rejestrować pewnych zbiorów danych, jest sytuacja, kiedy wszystkie elementy składowe tych zbiorów są publicznie dostępne (art. 43 ust. 1 pkt 9 UODO). Najlepiej będzie omówić tę sytuację na przykładzie praktycznym:
Dyrektor placówki „Zielona Ciuchcia” co roku pracował nad wyborem przedsiębiorstwa, które będzie się zajmowało dostarczaniem produktów żywnościowych na przedszkolną stołówkę. Aby ułatwić sobie zadanie, postanowił, że stworzy sobie bazę wszystkich tego typu podmiotów, którą będzie mógł wykorzystywać do poszukiwań w następnych latach. Podczas tworzenia bazy danych, dyrektor korzystał ze stron internetowych przedsiębiorstw oraz z informacji zawartych w CEIDG (Centralna Ewidencja i Informacja o Działalności Gospodarczej). Informacje te dyrektor wzbogacał następnie o dane kontaktowe do przedstawicieli każdej firmy (imię, nazwisko, telefon, e-mail) oraz o oferowaną każdego roku kwotę za zlecenie.
Pytanie: czy dyrektor przedszkola „Zielona Ciuchcia” ma obowiązek zarejestrowania tak powstałego zbioru?
Aby odpowiedzieć na to pytanie, wcześniej musimy sprawdzić, czy w ogóle mamy do czynienia ze zbiorem danych osobowych, ponieważ tylko tego typu zbiory podlegają pod obowiązek meldunkowy. Jako, że wśród przedsiębiorców znajdują się z pewnością również osoby fizyczne prowadzące działalność gospodarczą, to będziemy mogli mówić o danych osobowych (co wyjaśnialiśmy w tabelce). Wiemy zatem, że jest to zbiór danych osobowych i jak najbardziej powinien zostać zarejestrowany.
Chyba, że… Chyba, że będziemy mogli zastosować któryś w wyjątków opisanych w art. 43. Z pewnością nie będzie to wyjątek opisany w art. 43. 1. pkt 8 UODO. Mówi on o zwolnieniu z obowiązku rejestracji zbiorów danych przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej. W omawianym przykładzie widać wyraźnie, że zbiór ten nie powstał w żadnym z powyższych celów. Celem jego powstania było zebranie bazy danych potencjalnych kontrahentów.
Czy możemy zastosować zatem jakieś inne wyłączenie z obowiązku rejestracji? Zastanówmy się nad omawianym w tym podrozdziale wyjątkiem pozwalającym na nierejestrowanie danych powszechnie dostępnych (art. 43 ust. 1 pkt 9 UODO). Z pewnością 99% danych zebranych przez dyrektora przedszkola „Zielona Ciuchcia” było rzeczywiście publicznie dostępnych: na stronach internetowych przedsiębiorców oraz na CEIDG (każdy obywatel, za darmo, może uzyskać dostęp do podstawowych informacji o przedsiębiorcy. Wystarczy odwiedzić stronę internetową rejestru – www.ceidg.gov.pl ). Problem pojawia się jednak w przypadku tego 1 % „dodatkowych” danych – np. informacji kontaktowych do przedstawicieli każdej firmy (imię, nazwisko, telefon, e-mail) oraz o oferowanej każdego roku kwocie za zlecenie. Tutaj niestety stanowisko GIODO jest bezlitosne i stanowi wyraźnie, że:
„zwolnienie zbioru z rejestracji jest możliwe tylko wówczas, gdy opisana w art. 43 ust. 1 ustawy przesłanka dotyczy wszystkich danych zawartych w tym zbiorze. Jeśli więc w ramach tworzonych zbiorów przetwarzane są, choćby incydentalnie, dane inne (…), to zbiór podlega wówczas obowiązkowi zgłoszenia do rejestracji. Przykładowo, jeśli zwolnienie zbioru następuje ze względu na ww. przesłankę powszechnej dostępności danych, to w przypadku, gdyby chociaż jedna dana osobowa z tego zbioru nie była powszechnie dostępna, to zbiór taki podlega rejestracji u GIODO.” ( http://www.giodo.gov.pl/1520049/id_art/3181/j/pl/ )
Drobne bieżące sprawy życia codziennego
Kolejnym zbiorem którego nie musimy rejestrować do GIODO, jest zbiór danych „przetwarzanych w zakresie drobnych bieżących spraw życia codziennego” (Art. 43. 1. pkt 11 UODO). Pojawia się naturalnie pytanie – co właściwie ustawodawca miał na myśli? Czym są wspomniane drobne bieżące sprawy życia codziennego? Jasna i konkretna odpowiedź na to pytanie będzie niestety niemożliwa. To trochę tak jak ze słynnym przepisem „wytrychem” – art. 2 Konstytucji RP, który mówi o tym, że „Rzeczpospolita Polska jest demokratycznym państwem prawnym, urzeczywistniającym zasady sprawiedliwości społecznej„. Jest to przepis tak nieostry (tzw. klauzula generalna), że nie jest możliwa jego prosta i jednoznaczna jego wykładnia. Postaramy się jednak sprostać temu karkołomnemu zadaniu i wyjaśnić Państwu w jakich sytuacjach możemy mówić o wspomnianych „drobnych bieżących sprawach życia codziennego”. Jest to pojęcie wywodzące z Kodeksu cywilnego, choć nie zostało w nim bardziej szczegółowo zdefiniowane. Chodzi o wszystkie sprawy, które „z obiektywnego punktu widzenia są niewielkiej wagi, jednakże dokładne sprecyzowanie zakresu tych spraw nie jest możliwe” (J. Strzebińczyk, w: Kodeks cywilny. Komentarz do artykułów 1-534, red. E. Gniewek, Warszawa 2004, s. 67). GIODO był na szczęście znacznie bardziej szczodry w wyjaśnieniach i w jednym ze swoich sprawozdań (Sprawozdanie GIODO za rok 2002, s. 333) doprecyzował to pojęcie: „chodzi o sprawy drugorzędne, nie mające zasadniczego znaczenia dla administratora danych. Jednocześnie jednak ta <<drugorzędność>> powinna mieć charakter obiektywny, w przeciwnym wypadku zbiór zawierający określone dane i służący określonym celom, prowadzony przez jednego administratora, a uznany przez niego za prowadzony w <<drobnych bieżących sprawach życia codziennego>> może nie być uznany za taki przez innego dysponenta zbioru. W ujęciu subiektywnym określony zbiór dla jednych podmiotów stanowi rzeczywiście zbiór drugorzędny, dla innych natomiast mieć znaczenie zasadnicze. Może to doprowadzić do znacznej niejednolitości praktyki, co zwłaszcza z uwagi na penalizację nie zgłoszenia zbioru do rejestracji (art. 53 ustawy) nie powinno mieć miejsca.„
Można by powiedzieć, że GIODO starał się Państwu przekazać, przy użyciu eufemizmów i prawniczego żargonu, następującą prawdę:
Administratorze Danych! To, że Ty sobie subiektywnie uznasz, że przetwarzasz jakieś dane „w zakresie drobnych bieżących spraw życia codziennego” nie oznacza wcale, że obiektywnie to są takie błahostki. Pamiętaj o tym, zwłaszcza, że nie zarejestrowanie zbioru danych to przestępstwo i nic tu nie da Twoje tłumaczenie, że myślałeś/aś, że zbiór danych X jest przetwarzany w drobnych bieżących sprawach życia codziennego.
Żeby nie doprowadzić do tego typu kłopotliwych pomyłek, GIODO zamieścił również bardzo pomocną listę sytuacji, w których moglibyśmy przetwarzać dane osobowe „w zakresie drobnych bieżących spraw życia codziennego„. I tak, chodzi przede wszystkim o: księgi interesantów prowadzone w urzędach, księgi wejść/wyjść, rejestry przepustek, czy też zbiory w których dane osobowe przetwarzane są w celu identyfikacji osób mających dostęp do obiektów administratora danych.
Podsumowując – jeśli w pbudynku Administratora Danych pracuje portier, który w specjalnej księdze ewidencjonuje wszystkie wejścia i wyjścia do/z placówki, to naturalnie mamy do czynienia ze zbiorem danych osobowych (w księdze znajduje się przecież imię, nazwisko oraz numer dowodu osobistego gościa), nie będzie go jednak trzeba zarejestrować do GIODO. Jest to typowy przykład „drobnych bieżących spraw życia codziennego”.
Dane rodziców uczniów
I to byłyby już wszystkie najważniejsze ustawowe wyjątki pozwalające Administratorowi Danych na nie rejestrowanie pewnych zbiorów danych osobowych do GIODO. Jest jednak jeszcze jeden, bardzo ważny wyjątek, o którym nie wspomina UODO, a o którym powinien wiedzieć każdy Dyrektor placówki oświatowej. Nie trzeba rejestrować do GIODO danych osobowych rodziców wychowanków przedszkola. Dlaczego? Ponownie oddajmy głos GIODO:
„Treść przepisów rozporządzenia Ministra Edukacji Narodowej z dnia 19 lutego 2002 r. w sprawie sposobu prowadzenia przez publiczne przedszkola, szkoły i placówki dokumentacji przebiegu nauczania, działalności wychowawczej i opiekuńczej oraz rodzajów tej dokumentacji wskazuje, że dane rodziców, jako opiekunów prawnych, są przyporządkowane danym dzieciom, mają wobec nich charakter wtórny i są przetwarzane jedynie na potrzeby edukacji dzieci.
A zatem, skoro w zbiorze przetwarzane są dane osób uczących się, a tak właśnie przepisy traktują dane uczęszczających do przedszkola dzieci, to zbiór ten nie podlega obowiązkowi zgłoszenia do rejestracji. Również zbiór rodziców i opiekunów prawnych dzieci, jako jedynie pomocniczy, ściśle związany ze zbiorem danych dzieci, traktowany jest jako zbiór zwolniony z obowiązku zgłoszenia GIODO do rejestracji.” ( http://www.giodo.gov.pl/1520050/id_art/3159/j/pl/ )
Zakończenie
Mamy nadzieje, że wiedzą już Państwo dokładnie, których zbiorów danych osobowych Administrator Danych nie musi rejestrować do GIODO. Niestety, pomimo tego, że wyjątków jest bardzo dużo, to nie „pokrywają” one wszystkich zbiorów danych osobowych przetwarzanych w firmach i instytucjach publicznych. Dlatego też, w następnym artykule pokażemy Państwu, jakie zbiory danych osobowych Administrator Danych musi w takim razie zarejestrować.
Inne artykuły związane z rejestracją zbiorów danych osobowych do GIODO
Zapraszamy do zapoznania się ze wszystkimi częściami cyklu artykułów poświęconych rejestracji zbiorów danych osobowych do GIODO:
– Które zbiory danych osobowych zwolnione są z obowiązku rejestracji:
– Jakie zbiory danych osobowych powinno się zarejestrować do GIODO
– Poradnik jak zarejestrować zbiór danych osobowych krok po kroku:
Część 1. – definiowanie administratora danych i nazwy zbioru danych, przedstawiciel Wnioskodawcy (państwo trzecie), powierzenie przetwarzania danych osobowych
Część 2. – wskazanie przesłanki legalności, celu i zakresu przetwarzania danych oraz kategorii osób, których dane są przetwarzane
Część 3. – osoby od których zbierane są dane osobowe, przekazywanie danych do państwa trzeciego
Część 4. – centralne/rozproszone przetwarzanie danych, jaką formę przetwarzania danych wybrać, które z podstawowych zabezpieczeń zaznaczyć
Część 5. – w jaki sposób opisać dodatkowe zabezpieczenia, które stosujemy, aby chronić przetwarzane dane osobowe
Podstawa prawna:
- Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2002 r. Nr 101 poz. 926 ze zm.),
- Drozd Andrzej, Ustawa o ochronie danych osobowych: komentarz – wzory pism i przepisy, stan prawny na 2 lipca 2007 r., wyd. Lexis Nexis, Warszawa 2007
- Barta Janusz, Fajgielski Paweł, Markiewicz Ryszard, Ochrona danych osobowych. Komentarz, wyd. Wolters Kluwer Polska, lipiec 2011
- J. Strzebińczyk, w: Kodeks cywilny. Komentarz do artykułów 1-534, red. E. Gniewek, Warszawa 2004.
- Sprawozdania roczne GIODO za lata 2000 oraz 2001
- www.giodo.gov.pl
Artykuł ukazał się w grudniowym numerze Miesięcznika Dyrektor Przedszkola (nr 12/47 grudzień 2012)
6 Responses
Leave a Reply
Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.
Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.
Witam,
czy przechowywane na serwerach zlecenia oraz oferty wysyłane do klientów to zbiory danych, które należy zarejestrowac do GIODO ? Czy rejestracji podlega wykaz korespondencji elektr. (zawiera: datę, adres, opis zawartości np. nr f-ry)
Witam,
W przypadku wykazu korespondencji może się Pani powołać na zwolnienie z obowiązku rejestracji nr. 11, uzasadniając, że są to tzw. „drobne bieżące sprawy życia codziennego”.
Co do danych klientów i potencjalnych klientów – tak są to zbiory danych osobowych. Jeśli przetwarza je Pani w wersji elektronicznej – ciężko będzie znaleźć w ustawie przesłankę zezwalającą na nierejestrowanie takich zbiorów.
Jedyna przesłanka, jaka w tym przypadku mogłaby być zastosowana, to powołanie tzw. ABI, czyli Administratora Bezpieczeństwa Informacji. Podmioty, które mają powołanego i zgłoszonego do GIODO ABI, zwolnione są co do zasady z obowiązku rejestracji zbiorów danych do GIODO.
Witam
Mam zamiar zorganizować maraton rowerowy. Każdy chętny musi się zarejestrować, podać swoje dane typu: imię, nazwisko, pełny adres zamieszkania (miejscowość ulica numer domu /mieszkania), adres e-mail, data urodzenia.
Zawodnik przy rejestracji musi zaznaczyć, że zaznajomił się z regulaminem w którym to jest zawarty punkt o przetwarzaniu danych osobowych w celu rejestracji zawodnika oraz prezentacji wyników.
Ale na stronie do wglądu będą tylko dane takie jak imię,nazwisko, miejscowość i wiek.
Czy zbiór takich danych muszę zarejestrować w GIODO-o?
A jeżeli tak, czy zamiast osobistego zgłaszania do zbioru jest lepszym rozwiązaniem powierzenie tego firmie która w swojej ofercie ma taką możliwość w drodze umowy na podstawie art. 31 ustawy o ochronie danych osobowych.
Witam,
Bez wątpienia takie informacje będą stanowić dane osobowe (umożliwiają identyfikację konkretnych osób fizycznych). Będą stanowić też zbiór danych osobowych – mają uporządkowaną, zapewne tabelaryczną strukturę, są dostępne według określonych kryteriów.
Jedyne przesłanki pozwalające na niezarejestrowanie takiego zbioru to:
– wyznaczenie Administratora Bezpieczeństwa Informacji
– organizacja maratonu rowerowego wyłącznie w ramach danego stowarzyszenia i wyłącznie dla członków tego stowarzyszenia
– potraktowanie tego zbioru jako zbiór doraźny (ale tylko w przypadku, jeśli nie organizuje Pan takich maratonów cyklicznie, a tylko jednorazowo, dane po maratonie zostaną usunięte)
W innym wypadku jest Pan zobligowany do rejestracji takiego zbioru do GIODO. Może Pan oczywiście skorzystać w tym celu z pomocy zewnętrznego podmiotu.
Pozdrawiam serdecznie,
Łukasz Zegarek
Witam,
Zamierzam zrobić stronę internetową, na której ludzie będą mogli zostawiać treści o przejazdach – carscharing. Coś ala blablacar, alternatywa bezpłatna. Nie jest to związane z prowadzeniem przeze mnie interesu. Chcę by ludzie mieli możliwość zostawiania tam po prostu jakby internetowych ogłoszeń. W treści mogą zostawić numer telefonu, email, zresztą cokolwiek mnie to nie interesuje. Nie będę przecież w stanie sprawdzać wszystkiego ani nie mam zamiaru. Treści te byłyby usuwane po dacie przejazdu. Jedyną daną identyfikującą w bazie danych byłby adres email celem potwierdzenia rejestracji, użytkownicy będą mogli wpisać swój login.
Chciałbym uniknąć całej rejestracji w gido.
Czy potrzebuje to rejestrować? Rozważam też zrobienie takiej strony bez wymaganego potwierdzenia rejestracji emailem. Użytkownik wybiera login np misia123 podaje hasło i już może się logować i wyszukiwać przejazdy na zasadzie z miasta do miasta.
Czyż nie są to małe sprawy życia codziennego?
Czy nie można by zrobić takiej strony w oparciu o zasadę, że jest to internetowy klub wspólnych przejazdów zrzeszających członków? Samochodowych bądź też grupowych, np. w Niemczech są grupowe bilety pkp, nie musi to być rodzina. Ludzie mogliby poszukiwać ogłoszeń o interesującej ich trasie np Wrocław-Gdańsk.
Chciałbym postawić taką stronę, bo to co wyprawia blablacar z opłatami to przesada. Być może w przyszłości konieczne, były by jakieś składki członkowskie, wiadomo większy ruch, koszty serwera itd. Na razie chciałbym to postawić na swój koszt zobaczymy co z tego wyjdzie.
Witam,
Nie będą to niestety drobne, bieżące sprawy życia codziennego, a główna działalność Pańskiego serwisu. Za „drobną, bieżącą sprawę życia codziennego” mógłby Pan uznać np. ewidencję korespondencji. Jest to przydatne, ale bez takich operacji ewidencyjnych też Pański portal mógłby funkcjonować.
To co możemy doradzić to:
– … zarejestrować zbiór w GIODO;) Wbrew pozorom nie jest to aż tak straszne, GIODO nie gryzie! Tutaj odsyłam Pana do serii naszych poradników, gdzie rozłożyliśmy proces rejestracji zbioru w GIODO na „czynniki pierwsze”: https://blog-daneosobowe.pl/tag/rejestracja-do-giodo/
– poczekać do maja 2018. To właśnie wtedy zaczną obowiązywać nowe przepisy unijne w zakresie ochrony danych osobowych (tzw. RODO). Nowe przepisy zniosą obowiązek rejestracji zbiorów danych do GIODO.
– wyznaczyć ABI. Podmioty mające wyznaczonego i zarejestrowanego w GIODO ABI (rejestracja zajmuje 5 min) są generalnie zwolnione z obowiązku rejestracji do GIODO. Domyślam się, że w związku z dodatkowymi kosztami związanymi z wyznaczeniem ABI, ta opcja dla Pana odpada.
Podsumowując – ma Pan 3 opcje. Wydaje nam się, że jedyną realną alternatywą jest opcja pierwsza.
Pozdrawiam serdecznie,
Łukasz Zegarek