Kim jest ADO i dlaczego to właśnie klient?
ADO to Administrator Danych Osobowych. Definicja ustawowa administratora danych mówi wiele i niewiele. Żeby Wam zobrazować, administratorem danych może być organ, jednostka organizacyjna, czy inny podmiot, który decyduje o celach i środkach przetwarzania danych osobowych. W praktyce chodzi o to, że nasi klienci sami decydują jakie dane, od kogo, w jakim celu czy w jaki sposób zamierzają zbierać i dalej przetwarzać. Są więc ich administratorem.
Ale uwaga, najczęściej administratorem jest podmiot jako taki: spółka akcyjna, spółka z ograniczoną odpowiedzialnością, stowarzyszenie, szkoła wyższa, etc., a nie członkowie zarządu, dyrektorzy, czy prezes. Właściwe przypisanie statusu administratora danych jest o tyle ważne, że to na ADO spoczywają ustawowe prawa i obowiązki, a w konsekwencji to ADO będzie stroną ewentualnych postępowań prowadzonych przez GIODO, adresatem decyzji administracyjnych, skarg klientów i tak dalej.
Warto jest podsumować, o czym trzeba pamiętać, będąc ADO i jednocześnie klientem Webankieta.pl
Legalność
Jak każdy ADO, tak i nasz klient musi zadbać o to, żeby mieć podstawę prawną do przetwarzania danych osobowych, znajdujących się na listach mailingowych z wysyłką zaproszeń do wzięcia udziału w ankiecie albo w już wypełnionej ankiecie. Jeżeli mówimy o danych tzw. „zwykłych”, czyli innych, niż wrażliwe w rozumieniu ustawy o ochronie danych osobowych, to podpowiadamy, że takich możliwych podstaw do wyboru jest pięć, a każda jest sobie równa.
Dane wrażliwe to dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz dane dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym
Klienci powinni zatem potwierdzić, czy:
- mają zgodę na przetwarzanie danych,
- przetwarzanie jest im niezbędne dla zrealizowania przepisów prawa,
- zachodzi konieczność przetwarzania danych dla zawarcia lub realizacji umowy,
- dochodzi do konieczności wykonania zadań realizowanych dla dobra publicznego,
- przetwarzanie jest im niezbędne dla wypełnienia tzw. prawnie usprawiedliwionych celów.
Mamy przy tym dobrą wiadomość. Tworząc ankietę w serwisie Webankieta.pl nasi klienci mają możliwość pozyskania właściwej podstawy – zgody. Przy kreowaniu ankiety możecie zaznaczyć w ustawieniach, że za jej pośrednictwem będą zbieranie dane osobowe. Wówczas w podpowiedzi otrzymacie treść klauzuli zgody, która będzie dołączona automatycznie do ankiety wypełnianej przez respondenta. Wystarczy uzupełnić pola własnymi danymi (tj. danymi o ADO).
Przypominamy, że to są podstawy prawne do przetwarzania danych przez ADO. Nie trzeba pytać o zgodę każdego z ankietowanych, ani nie trzeba szukać w przepisach, czy klient ma prawo przekazać nam dane przy okazji korzystania z Webankieta.pl. Współpraca nasza i klientów opiera się na konstrukcji powierzenia przetwarzania danych osobowych (zaraz powiemy, jakie obowiązki się z tym wiążą), a powierzenie nam danych nie wymaga spełniania dodatkowych podstaw, które wymieniliśmy.
Powierzenie
Klienci Webankieta.pl współpracując z nami powinni dochować obowiązków związanych z powierzeniem przetwarzania danych osobowych. Dzieje się tak dlatego, że wspieramy Was w wysyłce maili, czy agregowaniu odpowiedzi respondentów ankiet. Działamy jednak na Waszą rzecz, nie mamy sami odrębnego celu przetwarzania przekazywanych nam danych. O czym zatem powinniście pamiętać? Podpowiadamy:
- zawarcie z nami na piśmie umowy powierzenia (alternatywnie można wprowadzić klauzulę powierzenia w innej umowie – o świadczenie usług, NDA, itp.)
- określenie w takiej umowie powierzenia (albo klauzuli) co najmniej celu i zakresu powierzanych danych.
Służymy pomocą i mamy przygotowany projekt umowy powierzenia, zresztą sami często występujemy z inicjatywą jej zawarcia.
Obowiązek informacyjny
Jeżeli nasi klienci zbierają dane osobowe (a owszem, tak się właśnie dzieje), to każdą z osób, których dane przetwarzają muszą poinformować o:
- adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna – o miejscu swojego zamieszkania oraz imieniu i nazwisku;
- celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych;
- prawie dostępu do treści swoich danych oraz ich poprawiania;
- dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej.
Kilka słów komentarza. Po pierwsze, my nie jesteśmy odbiorcą danych. Jesteśmy procesorem, podmiotem przetwarzającym dane w oparciu o powierzenie, ale nie jesteśmy odbiorcą (dlatego, że w rozumieniu przepisów dane nie są nam udostępniane, lecz powierzane). Dlatego nie musicie wskazywać nas w obowiązku informacyjnym. Po drugie, decyzja o ostatecznej formie spełnienia obowiązku informacyjnego należy do Was, ponieważ sama ustawa o ochronie danych osobowych nie wskazuje konkretnego sposobu. Chcielibyśmy Wam jednak podpowiedzieć, że osoby, do których kierujecie ankiety mogą być informowane za jej pośrednictwem. Jak? Sami macie wpływ na jej treść, a tworząc pytania w ankiecie możecie edytować np. część z podziękowaniami i wpisać tam klauzulę informacyjną.
Zabezpieczenie
Oczywista oczywistość, a w praktyce okazuje się, że warto stale podnosić świadomość wszystkich, którzy przetwarzają dane osobowe. Jeżeli chodzi o zabezpieczenia, to należy wskazać chociażby na:
- Środki o charakterze organizacyjno-formalnym, jak obowiązek nadawania upoważnień do przetwarzania danych, prowadzenia ewidencji osób upoważnionych oraz zobowiązania tych osób do zachowania w tajemnicy zarówno danych, jak i sposobów ich zabezpieczenia, opracowanie polityki bezpieczeństwa i instrukcji zarządzania systemem informatycznym, możliwość powołania Administratora Bezpieczeństwa Informacji,
- Poprzez zabezpieczenia bardziej fizyczne, np.: klucze dostępowe (tradycyjne czy magnetyczne) lub kody do pomieszczeń czy mebli, monitoring wizyjny, ochrona fizyczna, alarmy przeciwwłamaniowe, przeciwpożarowe, gaśnice wolnostojące, kraty/rolety w oknach, dobór wyposażenia (meble metalowe czy niemetalowe),
- Aż po zabezpieczenia techniczne, w szczególności: nadawanie indywidualnych loginów i „mocnych” haseł dostępowych do systemu, szyfrowanie dysków twardych urządzeń przenośnych, instalowanie programów antywirusowych, antyspamowych, zapór sieciowych, mechanizmów podtrzymujących zasilanie (UPS, listwy antyprzepięciowe, agregaty prądotwórcze), dostosowanie systemów informatycznych do wymagań rozporządzenia.
Rozporządzenie MSWiA z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. z 2004 r., Nr 100, poz. 1024).
Odnosząc się do zabezpieczenia danych osobowych dostarczanych przez klientów i przetwarzanych w Webankieta.pl, z przyjemnością informujemy, że wiemy, o co chodzi: https://www.webankieta.pl/blog/wlasnie-dlatego-dane-osobowe-w-webankieta-pl-sa-bezpieczne/
Obowiązek rejestracyjny
Nie dajcie się zwieść często wysyłanym wiadomościom, informującym o rzekomym bezwzględnym obowiązku rejestrowania przez wszystkie firmy swoich zbiorów danych. To nie jest tak i to naprawdę zależy. Zależy od tego, jakie zbiory danych macie i czy powołaliście oraz zgłosiliście do GIODO Administratora Bezpieczeństwa Informacji. W tym drugim przypadku jest spora szansa, że zbiory adresatów zaproszeń do wypełnienia ankiety czy respondentów ankiet nie muszą być przez Was zgłaszane do GIODO, za to uwzględnione w jawnym rejestrze ABI (o ile w ogóle nie znajdziecie innego wyłączenia z obowiązku rejestracyjnego).
Chcielibyśmy przy tej okazji zauważyć jedną rzecz: obowiązek rejestracyjny dotyczy ADO, a nie procesorów (w przypadku Webankieta.pl – właśnie nas). W praktyce więc to nasi klienci muszą ocenić, czy i co trzeba zgłosić do GIODO lub do jawnego rejestru ABI. Webankieta.pl, przetwarzając zbiory danych dostarczanych przez naszych klientów (dane powierzone, o czym mówiliśmy wyżej), nie musi takich zbiorów rejestrować (jest procesorem wobec takich danych, a nie administratorem i to jest kluczowa różnica).
Katarzyna Ułasiuk
Administrator Bezpieczeństwa Informacji Get Feedback Racino, Sadowski, Skowronek spółka jawna
Kierownik Zespołu Ochrony Danych Osobowych w iSecure Sp. z o.o.