Ochrona danych osobowych w firmie i szkolenia ABI
Zbiory danych osobowych sporządzone doraźnie

Zbiory danych osobowych sporządzone doraźnie

logotyp2

Zgodnie z art. 2 ust. 3, ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (UODO), w odniesieniu do zbiorów danych osobowych sporządzanych doraźnie, wyłącznie ze względów technicznych, szkoleniowych lub w związku z dydaktyką w szkołach wyższych, a po ich wykorzystaniu niezwłocznie usuwanych albo poddanych anonimizacji, mają zastosowanie jedynie przepisy rozdziału 5 UODO tj. Zabezpieczenie danych osobowych. Co to oznacza w praktyce i jakie dane mogą być objęte zbiorem doraźnym, postaram się wyjaśnić w dzisiejszym wpisie.

Po pierwsze doraźne zbiory danych osobowych to zbiory, które zgodnie z przywołanym przepisem spełniają łącznie trzy podstawowe kryteria:

  1. Są tworzone doraźnie
  2. Są tworzone wyłącznie ze względów technicznych, szkoleniowych lub w związku z dydaktyką w szkołach wyższych
  3. Po wykorzystaniu dane zawarte w zbiorze są niezwłocznie usuwane albo poddawane anonimizacji

Najtrudniej wobec powyższych przesłanek określić cechę „doraźności” zbioru. Zgodnie z oficjalnym stanowiskiem GIODO „istotną rolę w zakresie praktycznego rozumienia art. 2 ust. 3 UODO odgrywa czynnik czasu, w ciągu którego są przetwarzane dane osobowe. Konieczne jest rozważenie celu (zadań), któremu służyć ma przetwarzanie danych w określonej strukturze. O ile pierwszy z tych czynników (czas) nie jest z oczywistych powodów ściśle, ustawowo określony (tzn. trudno o wskazanie ścisłych, czasowych granic zbioru doraźnego), o tyle pojęcie doraźności musi być uzależnione od celu przetwarzania danych w zbiorze. Jeżeli dane tworzące określoną strukturę służą realizacji zasadniczego, głównego celu przetwarzania, trudno uznać tę strukturę za zbiór doraźny. Nie zmienia tego okoliczność, że okres jej przetwarzania jest relatywnie krótki.”

Mając powyższe na uwadze należy stwierdzić, że pojęcie doraźności użyte w art. 2 ust. 3 UODO jest ocenne oraz ma charakter niedookreślony, co w konsekwencji może powodować trudności interpretacyjne. Konieczne jest zatem odwołanie się do konkretnych okoliczności faktycznych towarzyszących przetwarzaniu danych przez Administratora, przetwarzającego je dla określonych, precyzyjnie wskazanych celów.

Wobec powyższego, jeżeli dane osobowe są gromadzone i przetwarzane jednorazowo, wyłącznie na potrzeby np. organizacji konkursu z wykorzystaniem platformy Facebook, a po jego zakończeniu zostają one niezwłocznie usunięte z bazy organizatora konkursu, można taki zbiór danych uznać jako doraźny. Nie należy zapominać, że wobec takiego zbioru Administrator danych jest zobowiązany, zgodnie z przepisami Rozdziału 5 UODO do m.in. zabezpieczenia danych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy, zmianą, utratą, uszkodzeniem lub zniszczeniem, a także zapewnienia kontroli nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru danych wprowadzone oraz komu są przekazywane. Administrator doraźnego zbioru danych osobowych jest zobowiązany również do spełnienia obowiązku informacyjnego wynikającego z art. 24 ust. 1 UODO.

Najważniejszą zaletą klasyfikacji zbioru danych osobowych, jako doraźnego, jest brak stosowania wobec niego przepisów dotyczących rejestracji zbiorów danych osobowych. Cecha ta jest bardzo korzystna dla Administratora danych, nawet w sytuacji prowadzenia takiego rejestru przez Administratora Bezpieczeństwa Informacji. Należy jednak pamiętać, że jeżeli dane, zbierane dla potrzeb realizacji określonego zadania, mają służyć później innym celom np. marketingowym, konieczne jest uzyskanie zgody osoby, której dane dotyczą, na inny sposób ich wykorzystania oraz zgłoszenie takiego zbioru do GIODO lub wpisanie zbioru do rejestru prowadzonego przez Administratora Bezpieczeństwa Informacji.

Marcin Kaleta

Prezes Zarządu