Zbiór danych osobowych – kiedy należy zarejestrować w GIODO?
Informacje o pracownikach i klientach, listy mailingowe, dane użytkowników stron internetowych – dane osobowe gromadzi każda firma. Jest to częste zwłaszcza wówczas, gdy firma prowadzi sprzedaż przez Internet. Nie wolno zapominać, że tego typu dane są objęte ochroną prawną jako dobra osobiste.
Dlatego w określonych przypadkach przepisy nakładają na przedsiębiorców obowiązek zgłoszenia zbioru danych osobowych Głównemu Inspektorowi Ochrony Danych Osobowych (GIODO).
Które informacje są danymi osobowymi?
Pierwsze pytanie, na które należy sobie odpowiedzieć przed zgłoszeniem bazy do GIODO dotyczy tego, czy gromadzone dane stanowią dane osobowe.
Definicję danych osobowych można znaleźć w treści ustawy o ochronie danych osobowych. W myśl przepisów, są nimi wszelkie informacje „dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.” Kim jest osoba możliwa do zidentyfikowania? Chodzi o możliwość określenia jej tożsamości np. przez powołanie się na numer identyfikacyjny, cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Jeżeli określenie tożsamości wymagałoby nadmiernych kosztów, czasu lub działań, to informacja nie stanowi danej osobowej.
Z punktu widzenia przedsiębiorcy kluczowe są dwa elementy definicji – możliwość identyfikacji danej osoby oraz to, czy identyfikacja wymaga dodatkowych działań. Posłużmy się przykładem takiej informacji – adresem IP przypisanym do konkretnego komputera.
Dla dostawcy łącza internetowego adres IP stanowi daną osobową, jeśli jest on trwale lub przez dłuższy czas powiązany z konkretnym urządzeniem. Firma dysponuje bowiem dodatkowymi informacjami o swoich klientach (adresy, imiona i nazwiska) i może je w łatwy sposób powiązać – nie wymaga to dodatkowego czasu i kosztów. Z kolei dla właściciela sklepu internetowego adresy IP osób odwiedzających stronę raczej nie stanowią danych osobowych. Skojarzenie ich z konkretnymi osobami jest bowiem z reguły trudne, a niejednokrotnie wręcz niemożliwe, a na pewno wymaga podjęcia dodatkowych działań, o których wspomina ustawa.
To czy dana informacja stanowi dane osobowe jest zatem uzależnione od konkretnej sytuacji, dlatego przepisy nie zawierają zamkniętego katalogu takich informacji. Mimo to w praktyce prowadzenia działalności gospodarczej do danych osobowych należy zaliczyć:
- imię i nazwisko (pracowników, klientów, kontrahentów),
- wizerunek (np. zdjęcie),
- adres zamieszkania,
- numery PESEL i NIP.
Czym jest zbiór danych osobowych?
Każdy przedsiębiorca ma do czynienia ze zbiorami danych osobowych, które przechowuje i przetwarza. Są to listy zamówień, adresy e-mail osób zapisanych na newsletter, dane osób korzystających z usług firmy, itp.
O tym, czy zbiór informacji przechowywany w firmie jest zbiorem danych osobowych, decydują zapisy wspomnianej ustawy. W myśl przepisów zbiorem danych osobowych jest „każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie”.
Dla przedsiębiorcy najważniejszym pojęciem w przytoczonej definicji jest struktura danych. Z informacjami ustrukturyzowanymi mamy do czynienia w momencie, gdy w zestawieniu można odszukać dane osobowe według kryterium:
- osobowego (np. imię i nazwisko klienta, data urodzenia),
- nieosobowego (np. data zamieszczenia elementu w zbiorze).
Możliwość wyszukania konkretnego wpisu w zbiorze danych powoduje, że mamy do czynienia z uporządkowanym zbiorem danych. W myśl przepisów taki zbiór jest traktowany przez przepisy jako zbiór danych osobowych i powinien zostać zgłoszony do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych.
Istnieje jednak kilka wyjątków, zwalniających przedsiębiorcę z obowiązku rejestracji. Pełną listę zawiera art. 43 ustawy o ochronie danych osobowych. Znajdziemy w nim m.in.:
dane przetwarzane wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej,
- informacje niejawne,
- dane dotyczące osób korzystających z usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta,
- informacje przetwarzane w związku z zatrudnieniem pracowników i świadczeniem usług na podstawie umów cywilnoprawnych,
- informacje powszechnie dostępne (np. adresy e-mail opublikowane na firmowych stronach internetowych),
- dane przetwarzane na potrzeby drobnych bieżących spraw życia codziennego (np. księgi wejść i wyjść).
Kiedy należy zarejestrować bazę danych osobowych?
Przedsiębiorca ma obowiązek zgłoszenia zbioru danych osobowych do GIODO, ale nie zawsze. Ten obowiązek pojawia się w przypadku, gdy zamierza gromadzić informacje, które:
- są danymi osobowymi w rozumieniu przepisów (opisanych powyżej),
- stanowią ustrukturyzowany zbiór,
- nie są wyłączone z obowiązku rejestracji przez ustawę o ochronie danych osobowych.
Istotne jest tutaj słowo „zamierza”, ponieważ rejestracji w GIODO należy dokonać przed rozpoczęciem przetwarzania danych. Pod pojęciem „przetwarzania” kryje się utrwalanie danych (np. w formie wydruku), przechowywanie, zmienianie, usuwanie i udostępnianie danych osobowych. Zgłoszenie zbioru jest warunkiem koniecznym, aby wymienione czynności mogły być dokonywane zgodnie z prawem. Warto tutaj zauważyć, że dla GIODO nie ma znaczenia wielkość bazy – oznacza to, że zgłoszeniu podlegają także zbiory zawierające choćby kilka rekordów.
Rejestracja zbioru danych osobowych jest możliwa w warszawskim biurze Generalnego Inspektora Ochrony Danych Osobowych. Zgłoszenia można również dokonać pocztą lub drogą elektroniczną przy pomocy aplikacji dostępnej na stronie egiodo.giodo.gov.pl. Podczas wypełniania wniosku przedsiębiorca zgłaszający zbiór danych musi wskazać m.in.:
- podmiot będący administratorem danych wraz z adresem siedziby lub miejsca zamieszkania,
- opis kategorii osób, których dane będą gromadzone,
- cel przetwarzania danych i sposób ich zbierania,
- opis środków, służących zbieraniu danych,
- informację na temat odbiorców, którym mogą być przekazywane dane.
Warto również pamiętać, że rejestracja zbioru danych nie wyczerpuje wszystkich obowiązków administratora danych. Każdą aktualizację zbioru należ zgłosić w terminie do 30 dni od momentu dokonania zmiany. Zgłoszenie aktualizacji jest możliwe przy pomocy formularza online dostępnego na stronie GIODO.
Wyjątkiem są sytuacje, gdy przedsiębiorca chce dokonać zmiany podmiotu będącego administratorem danych lub poszerzyć zbiór o informacje drażliwe (np. orientacja seksualna, przynależność partyjna, wyznanie). Wtedy każdą zmianę należy zgłosić przed jej wprowadzeniem. W przeciwnym razie przedsiębiorca musi liczyć się z sankcjami. Brak rejestracji zbioru danych osobowych lub niezgłoszenie jego aktualizacji grozi grzywną, ograniczeniem lub pozbawieniem wolności do jednego roku.
Wykorzystanie danych osobowych do celów marketingowych
Przedsiębiorcy często rejestrują bazy danych osobowych, aby wykorzystywać je do informowania o aktualnych promocjach i ofertach specjalnych. Oczywistym sposobem jest wysyłanie wiadomości e-mail o charakterze reklamowym czy promocyjnym do bazy adresów e-mail zgromadzonych przez posiadaną stronę www.
Przepisy dopuszczają taką możliwość, przy czym należy pamiętać o pewnych ograniczeniach. Przede wszystkim wykorzystanie marketingowe danych osobowych nie może naruszać praw i wolności osób, których dane dotyczą. To oznacza zarówno, że odbiorca musi wyrazić zgodę na takie wiadomości marketingowe, jak i w każdej chwili musi mieć możliwość cofnięcia takiej zgody. Administrator danych musi oczywiście uwzględnić to żądanie i nie wysyłać więcej tego typu informacji. Dlatego często praktykowanym rozwiązaniem jest zamieszczanie w wiadomościach e-mail linków pozwalających na rezygnację z otrzymywania przesyłek reklamowych.
Prawo zezwala również na wykorzystywanie danych osobowych do promocji produktów lub usług innego podmiotu niż administrator danych. Z taką sytuacją mamy do czynienia, gdy firma kupuje usługę wysyłki do cudzej bazy adresów lub kupuje wręcz bazę adresów e-mail osób, którym później wysyła reklamę pocztą elektroniczną na własną rękę. Jednak takie wykorzystanie informacji wymaga od nowego administratora posiadania odrębnej zgody osób na przekazywanie ich danych osobowych podmiotom trzecim, w dodatku otrzymanej bezpośrednio od osób, których te dane dotyczą. Innymi słowy, zgody udzielone zbywcy takiej bazy nie „przechodzą automatycznie” na nabywcę bazy.