Zbiór danych osobowych - jak go zidentyfikować?

Artykuł zewnętrzny

Autorka: Mariola Malicka, radca prawny w firmie www.przetwarzaniedanych.pl

Zbiór danych osobowych to jedno z podstawowych pojęć z zakresu prawa ochrony danych osobowych. Zbiór danych osobowych to w świetle tegoż prawa zestaw danych o charakterze osobowym, posiadający własną strukturę, w którym dane są dostępne według określonych kryteriów.

Zbiorami będą zarówno takie, które są przetwarzane tradycyjnie, manualnie (teczki, kartoteki), jak i te zautomatyzowane, przetwarzane w systemach informatycznych (profesjonalne bazy danych).

Wydawałoby się, że sprawa jest prosta i każdy uporządkowany zestaw danych osobowych, przetwarzany w sposób tradycyjny  czy zautomatyzowany jest w miarę łatwy do identyfikacji jako zbiór. Większość administratorów danych osobowych ma jednak niemało problemów ze zrozumieniem kwestii związanych z ochroną danych osobowych w zakresie obowiązków, które na nich ciążą. Jednym z istotnych zagadnień z zakresu ochrony danych osobowych, ze zrozumieniem którego borykają się przedsiębiorcy, jest właśnie zbiór danych osobowych.

Praktyka pokazuje, iż identyfikacja zbiorów danych osobowych przysparza wciąż niemało problemów. Często w czasie przeprowadzanego audytu przedsiębiorcy dziwią się, iż przetwarzają w swojej organizacji tak wiele zbiorów danych osobowych. Nie rozumieją i nie do końca na początku czują potrzebę rozróżniania różnych zbiorów w firmie.

Na koniec warto udzielić kilku wskazówek początkującym administratorem jak rozpoznać zbiór danych osobowych w swojej organizacji:

  • zbiór danych osobowych w świetle ustawy o ochronie danych osobowych musi mieć strukturę uporządkowaną, nie może być przypadkowym zestawem,
  • zbiór to zestaw danych dostępnych według określonych kryteriów

Według Głównego Inspektora Danych Osobowych, żeby  jakikolwiek zestaw danych zaklasyfikować jako zbiór w rozumieniu przepisów Ustawy o ochronie danych osobowych, wystarczające jest jedno kryterium umożliwiające odnalezienie danych osobowych w zestawie. Możliwość wyszukania według jakiegokolwiek kryterium osobowego (np. imię, nazwisko, data urodzenia, PESEL) lub nieosobowego (np. data zamieszczenia danych w zbiorze) przesądza o uporządkowanym charakterze zestawu danych i tym samym umożliwia zakwalifikowanie tego zestawu jako zbioru danych osobowych.

W świetle tego stanowiska  zbiór umów na przykład kupna-sprzedaży ułożonych chronologicznie według daty zawarcia, jeśli tylko zostanie stworzona możliwość dostępu do danych osobowych według jakiegokolwiek kryterium, będzie zbiorem danych osobowych w rozumieniu uodo.

Często bywa też tak, że przedsiębiorcy tworzą wiele różnych zbiorów, które identyfikują jako jeden zbiór. Na przykład baza klientów sklepu internetowego przetwarzanych w różnych celach, jak np. realizacji zamówień, marketingu, prowadzenia bazy umów cywilnoprawnych, nie może zostać zgłoszona do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych jako jeden zbiór danych osobowych.

Dla realizacji różnych celów konieczne będzie przetwarzanie danych osobowych w różnych zakresach, a to oznacza, że zgłoszenie zbioru do rejestracji dotyczy nie jednego, lecz kilku zbiorów prowadzonych w różnych celach.

Ostatecznie interpretacji, czy mamy do czynienia ze zbiorem w rozumieniu ustawy o ochronie danych osobowych z pełnymi konsekwencjami wynikającymi z tego faktu, może dokonać organ ochrony danych osobowych lub - w przypadku sporu - sąd.