Newsletter - jak to zrobić? Cz. 3 - obowiązki administratora danych



Na zakończenie cyklu newsletterowego, kiedy już wiesz, że prowadząc newsletter, przetwarzasz dane osobowe i wiesz, jak zbierać je poprawnie, opowiem Ci, jakie masz obowiązki, jako administrator danych osobowych. Tak jak poprzednio, skupiamy się na danych osobowych takich, jak adres e-mail, imię i nazwisko. Nie są to więc dane wrażliwe - nie będziemy omawiać obowiązków związanych z przetwarzaniem tego szczególnego rodzaju danych.


Obowiązki administratora danych osobowych reguluje znana Ci już dobrze ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Jeśli już zbierzesz dane osobowe i będziesz chciał je przetwarzać, musisz robić to w zgodzie z przepisami. 

Ogólne obowiązki określa art. 26 ust. 1 ustawy: 


Administrator danych przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności obowiązany jest zapewnić, aby dane te były:


  1. przetwarzane zgodnie z prawem;

  2. zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawanie dalszemu przetwarzaniu niezgodnemu z tymi celami (z zastrzeżeniem ust. 2 przepisu);
  3. merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzanie;
  4. przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania.


Chodzi więc o to, żeby dane osobowe przetwarzać staranie, zgodnie z prawem i zasadniczo zgodnie z celem przetwarzania.


Administrator danych ma także bardziej szczegółowe, techniczne obowiązki. Powinności administratora nie są zawieszone w próżni i abstrakcyjne. Administrator musi w bardzo dosłownym rozumieniu chronić dane osobowe przed dostaniem się w niepowołane ręce. Jak wskazuje art. 36 ustawy:

  1. Administrator danych jest obowiązany stosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przez udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.
  2. Administrator prowadzi dokumentację opisującą sposób przetwarzania danych oraz środki, o których mowa w ust. 1.


Oprócz tego administrator powinien czuwać nad zgodnością przetwarzania danych z ustawą, zapewnieniem zapoznania osób przetwarzających dane z przepisami o ochronie danych osobowych.

Dokumentacja opisująca sposób przetwarzania danych osobowych oraz środki ich ochrony


Administrator danych musi w specjalnych dokumentach opisać, jak przetwarza dane osobowe oraz jakie stosuje środki ich ochrony. Szczegółowo te dokumenty zostały wskazane w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.


Dokumentacja, o której mowa w rozporządzeniu składa się z:
  • polityki bezpieczeństwa,
  • instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych (instrukcja).


Co ważne, to są dokumenty praktyczne, w których opisujemy, jakie konkretnie działania podejmujemy w związku z przetwarzaniem danych osobowych. Na przykład polityka bezpieczeństwa musi zawierać wykaz budynków, pomieszczeń lub części pomieszczeń,  tworzących obszar, w którym przetwarzane są dane osobowe, a instrukcja - procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności.


Upoważnione osoby

Co, jeśli - jako administrator danych osobowych - chcemy upoważnić do ich przetwarzania inne osoby, np. konkretnego pracownika, który zajmuje się prowadzeniem bazy danych subskrybentów newslettera?


Należy nadać takiej osobie upoważnienie. Powinno ono być nadane odrębnie, a nie tylko wynikać np. z umowy o pracę czy z zakresu obowiązków pracowniczych. Najlepiej, aby miało formę pisemną, powinno też być imienne i określać dozwolony zakres przetwarzania danych osobowych (J. Barta, P. Fajgielski, R. Markiewicz, Ochrona danych osobowych. Komentarz, Wolters Kluwer 2015).


Administrator powinien prowadzić ewidencję upoważnionych osób, ze wskazaniem w niej ich imienia, nazwiska, daty nadania i ustania upoważnienia, jego zakres, a jeżeli dane są przetwarzane w systemie informatycznym - dodatkowo identyfikatora tej osoby. Osoby upoważnione do przetwarzania danych osobowych muszą zachować te dane w tajemnicy - podobnie jak sposoby ich zabezpieczenia. Osoba upoważniona może w tym zakresie podpisać stosowne oświadczenie.


Rejestracja zbioru danych osobowych


Czym jest zbiór danych osobowych? 

Zgodnie z art. 7 ust. 1 ustawy, przez zbiór danych osobowych rozumie się przez to każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw jest rozproszony lub podzielony funkcjonalnie.

Ustawa przewiduje, że co do zasady - zbiór danych podlega rejestracji Generalnemu Inspektorowi Danych Osobowych. Od tej reguły są pewne wyjątki, ale niestety newsletter nie jest jednym z nich. Ustawa co prawda nie mówi o nim wprost, ale GIODO wyraźnie - i moim zdaniem słusznie - przyjmuje, że zbiór danych osób korzystających z newslettera należy zgłosić do GIODO jako zbiór danych osobowych.


W złoszeniu zbioru do rejestracji (określonym w art. 41 ustawy) podajemy takie dane, jak:


  • wniosek o wpisanie zbioru do rejestru zbiorów danych osobowych,
  • oznaczenie administratora danych osobowych i adres jego siedziby lub miejsca zamieszkania, w tym numer REGON (jeśli został mu nadany) oraz podstawę prawną upoważniającą do prowadzenia zbioru,
  • jeżeli przetwarzanie danych zostało powierzone innemu podmiotowi  w drodze umowy zawartej na piśmie lub jeśli przedstawicielowi w Polsce podmiotu przetwarzającego dane, który ma swoją siedzibę albo miejsce zamieszkania w państwie trzecim - należy oznaczyć ten podmiot i adres jego siedziby lub miejsca zamieszkania,
  • cel przetwarzania danych,
  • opis kategorii osób, których dane dotyczą, oraz zakres przetwarzanych danych,
  • sposób zbierania oraz udostępniania danych,
  • Informacja o odbiorcach lub kategriach odbiorców, którym dane moga być przekazywane,
  • opis środków technicznych i organizacyjnych zastosowanych w celu przetwarzania danych zgodnie z wymogami ustawowymi (w tym w celu przestrzegania obowiązków administratora danych), wymaganych również przez ustawę o ochronie danych osobowych,
  • informację o sposobie wypełnienia warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych,
  • informację dotyczącą ewentualnego przekazywania danych do państwa trzeciego.


Do GIODO należy również zgłaszać wszelkie zmiany powyższych informacji - w terminie 30 dni od jej dokonania w zbiorze.


Czy zatem zgłaszając zbiór danych osobowych do rejestracji, zgłaszamy również każdy adres e-mail, imię czy nazwisko, jakie znajduje się w tym zbiorze? Na szczęście nie. Zgłaszamy sam zbiór, a nie wszelkie zawarte w nim informacje. Nie tylko nie wpisujemy posiadanych adresów mailowych, ale także nie musimy wysyłać nowych zgłoszeń z każdą kolejną daną osobową w naszej bazie.


Kiedy można rozpocząć przetwarzanie danych osobowych? W przypadku danych osobowych takich, jak e-mail, imię i nazwisko (a więc nie danych wrażliwych), można rozpocząć ich przetwarzanie w zbiorze po jego zgłoszeniu.


Wzór zgłoszenia określa rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 11 grudnia 2008 r. W sprawie wzrou zgłoszenia zbiotu danych do rejestracji Generalnemu Inspektorowi Danych Osobowych. Więcej informacji o zgłaszaniu zbiorów znajdziecie na stronie internetowej GIODO.


Odpowiedzialność karna


Warto pamiętać, że za przetwarzanie danych osobowych niezgodnie z ustawą o ochronie danych osobowych (np. nie będąc do tego uprawnionym czy umożliwianie dostepu do danych osobom nieuprawnionym), ustawa przewiduje odpowiedzialnośc karną i kary: grzywny, ograniczenia wolności a nawet jej pozbawienia.


Podsumowanie


Na wskazaniu wybranych obowiązków administratora danych osobowych kończymy wycieczkę po prawnych regulacjach dotyczących newsletterów - oczywiście w pewnym zakresie :) Mam nadzieję, że po lekturze części pierwszej, drugiej i niniejszej trzeciej będzie Ci łatwiej poruszać się w kwestii podawania takich danych osobowych, jak adres e-mail, imię i nazwisko - obojętnie, po której stronie newslettera stoisz, odbiorcy czy nadawcy.


Z jakimi ciekawymi sytuacjami spotkaliście się, jeśli chodzi o newslettery? Jakie macie spostrzeżenia o podawaniu i przetwarzaniu danych osobowych? Dajcie znać poniżej!



Photo credit: mcfarlandmo via Foter.com / CC BY

Tagi: , , , , ,

0 komentarze:

Publikowanie komentarza

Copyright © Prawnointelektualny - prawo autorskie i doradztwo dla twórców Martyna Czapska

Distributed By My Blogger Themes | Blogger Theme By NewBloggerThemes Up ↑