O danych osobowych jedni słyszeli mniej, inni więcej. My w Webankieta słyszeliśmy o tym dużo. Korzystamy ze stałego wsparcia prawnika – specjalisty w zakresie ochrony danych osobowych, który pełni u nas funkcję Administratora Bezpieczeństwa Informacji, czuwa nad spełnieniem przepisów dotyczących ochrony takich danych i wyjaśnia poniżej, o co chodzi w ich przetwarzaniu.
Co?
Według ustawy o ochronie danych osobowych „za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.”
Tyle teorii. Ustawodawca miał na myśli to, że nie musimy mieć wiele informacji dotyczących jakiejś osoby fizycznej, aby potwierdzić, że przetwarzamy dane osobowe. Wystarczy, że mamy jedną, czy dwie dane, na podstawie których bez większych trudności wiemy, o której osobie mowa. I nie chodzi wcale o dane typowo „personalne”, jak np. imię, nazwisko, PESEL, numer i seria dowodu osobistego, ale też inne, jak wartość wynagrodzenia, wizerunek, stanowisko, czy pełniona funkcja. Voilà! Przepis na dane osobowe wygląda więc tak:
- bierzemy pod uwagę tylko osoby fizyczne (czyli nie spółki, organy, urzędy, etc. ale już ich reprezentantów czy osoby kontaktowe – tak)
- oceniamy, czy informacje, które posiadamy, da się przypisać od razu albo bez większych trudności do konkretnej osoby fizycznej (np. czy imię, nazwisko, nazwa reprezentowanego podmiotu, dane kontaktowe dotyczą osoby, której tożsamość ustalimy od razu albo możemy ją zidentyfikować przy niewielkim nakładzie pracy, czasu lub finansów).
Gotowe!
Od razu wyjaśniam pewien mit: dostępność danych osobowych w Internecie, czy opublikowanie ich w innym miejscu nie oznacza z automatu, że ochrona ich nie dotyczy! Jak znam ustawę o ochronie danych osobowych, to nie znalazłam w niej żadnego miejsca, które wyłączałoby dane jawne spod ochrony przewidzianej przepisami.
Jest jednakże jeden wyjątek: dane ujawnione w Centralnej Ewidencji i Informacji o Działalności Gospodarczej rzeczywiście od 19 maja 2016 r. nie podlegają wymogom ustawy o ochronie danych (za wyjątkiem ich zabezpieczenia i możliwości kontroli GIODO w tym zakresie).
Jak?
Mówimy o zgodnym z prawem przetwarzaniu danych osobowych. W praktyce każda forma dysponowania danymi, to ich przetwarzanie. Katalogu zamkniętego takich operacji nie ma, ale na pewno jest to już sam wgląd, utrwalanie, kopiowanie, przechowywanie, czy usuwanie. Tak, tak… Jak się okazuje, nawet archiwizacja danych, to ich przetwarzanie.
Bez znaczenia pozostaje to, w jakiej formie do przetwarzania danych osobowych dochodzi – czy to w formie elektronicznej, czy to papierowej (tradycyjnej). Dlatego też przetwarzać dane zgodnie z wymaganiami ustawy o ochronie danych osobowych należy zarówno wtedy, kiedy przechowujemy dokumenty pracownicze lub handlowe w papierze, jak też kiedy odczytujemy otrzymane wiadomości e-mail, przechowujemy dane na serwerze, wykonujemy ich backup, niszczymy dokumenty papierowe, wprowadzamy dane do systemu informatycznego, otrzymujemy korespondencję papierową, podpisujemy umowy, zbieramy dane za pośrednictwem formularzy elektronicznych, skanujemy, drukujemy, udostępniamy na stronie internetowej, kompilujemy dane w tabeli .xls, migrujemy z serwera na serwer… I tak dalej. Mówi się, że człowiek jest najsłabszym ogniwem, dlatego warto uczulić wszystkich pracowników i współpracowników na te kwestie.
Kto?
W przetwarzaniu danych osobowych kluczową rolę pełni tzw. administrator danych. Według definicji ustawowej jest to „organ, jednostka organizacyjna, podmiot lub osoba […] decydujące o celach i środkach przetwarzania danych osobowych”, a według praktyki realizującej tę definicję: spółka, przedsiębiorca będący osobą fizyczną, inna instytucja (muzeum, spółdzielnia mieszkaniowa, organ administracyjny, instytucja kultury), a nawet osoba fizyczna niebędąca przedsiębiorcą, o ile przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych.
Get Feedback, dostawca usług za pośrednictwem Ankietka.pl/Webankieta, posiada taki status administratora danych, wobec tych osób, których dane przetwarza z własnej inicjatywy, we własnym celu, na własną rzecz. Potencjalni klienci, klienci, współpracownicy Get Feedback z pewnością należą do kategorii takich osób. Korzystając z usług naszej spółki każda z osób jest informowana o fakcie przetwarzania jej danych osobowych, celach, przysługujących uprawnieniach, ponieważ zamieszczamy stosowne informacje m. in. w regulaminie czy polityce prywatności.
Ale dostarczając usługi nasza spółka pracuje na jeszcze innej kategorii danych, tj. przekazywanych przez naszych klientów, udzielających odpowiedzi w ankietach inicjowanych przez naszych klientów, otrzymujących korespondencję mailową wysyłaną w imieniu naszych klientów. Nie przetwarzamy tej kategorii danych, jako administrator. Według ustawy jesteśmy tzw. procesorem, czyli podmiotem przetwarzającym dane w imieniu i na rzecz innej osoby czy spółki (naszego klienta), która to posiada status administratora przekazywanych nam danych i w pełnym zakresie odpowiada za zgodne z przepisami przetwarzanie tych danych. Klient, administrator danych adresatów swoich ankiet, powierza nam – procesorowi, pracę na danych tych osób. Tak to działa.
Relacje pomiędzy administratorem a procesorem oraz obowiązki i uprawnienia przysługujące nam lub naszym klientom, w zależności od tych statusów, omawiamy w odrębnych artykułach. Już teraz jednak sygnalizujemy, że jako administrator danych naszych klientów, czy potencjalnych klientów, zachęcamy do bezpośredniego kontaktu z nami lub naszym Administratorem Bezpieczeństwa Informacji (autorką tego artykułu), gdyż z chęcią wyjaśnimy ewentualne wątpliwości.
Katarzyna Ułasiuk
Administrator Bezpieczeństwa Informacji Get Feedback Racino, Sadowski, Skowronek spółka jawna
Kierownik Zespołu Ochrony Danych Osobowych w iSecure Sp. z o.o.