Na zakończenie cyklu newsletterowego, kiedy już wiesz, że prowadząc newsletter, przetwarzasz dane osobowe i wiesz, jak zbierać je poprawnie, opowiem Ci, jakie masz obowiązki, jako administrator danych osobowych. Tak jak poprzednio, skupiamy się na danych osobowych takich, jak adres e-mail, imię i nazwisko. Nie są to więc dane wrażliwe - nie będziemy omawiać obowiązków związanych z przetwarzaniem tego szczególnego rodzaju danych.
Obowiązki administratora danych osobowych reguluje znana Ci już dobrze ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Jeśli już zbierzesz dane osobowe i będziesz chciał je przetwarzać, musisz robić to w zgodzie z przepisami.
Ogólne obowiązki określa art. 26 ust. 1 ustawy:
Administrator danych przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności obowiązany jest zapewnić, aby dane te były:
- przetwarzane zgodnie z prawem;
- zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawanie dalszemu przetwarzaniu niezgodnemu z tymi celami (z zastrzeżeniem ust. 2 przepisu);
- merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzanie;
- przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania.
Chodzi więc o to, żeby dane osobowe przetwarzać staranie, zgodnie z prawem i zasadniczo zgodnie z celem przetwarzania.
Administrator danych ma także bardziej szczegółowe, techniczne obowiązki. Powinności administratora nie są zawieszone w próżni i abstrakcyjne. Administrator musi w bardzo dosłownym rozumieniu chronić dane osobowe przed dostaniem się w niepowołane ręce. Jak wskazuje art. 36 ustawy:
- Administrator danych jest obowiązany stosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przez udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.
- Administrator prowadzi dokumentację opisującą sposób przetwarzania danych oraz środki, o których mowa w ust. 1.
Oprócz tego administrator powinien czuwać nad zgodnością przetwarzania danych z ustawą, zapewnieniem zapoznania osób przetwarzających dane z przepisami o ochronie danych osobowych.
Dokumentacja opisująca sposób przetwarzania danych osobowych oraz środki ich ochrony
Administrator danych musi w specjalnych dokumentach opisać, jak przetwarza dane osobowe oraz jakie stosuje środki ich ochrony. Szczegółowo te dokumenty zostały wskazane w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.
Dokumentacja, o której mowa w rozporządzeniu składa się z:
- polityki bezpieczeństwa,
- instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych (instrukcja).
Co ważne, to są dokumenty praktyczne, w których opisujemy, jakie konkretnie działania podejmujemy w związku z przetwarzaniem danych osobowych. Na przykład polityka bezpieczeństwa musi zawierać wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe, a instrukcja - procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności.
Co, jeśli - jako administrator danych osobowych - chcemy upoważnić do ich przetwarzania inne osoby, np. konkretnego pracownika, który zajmuje się prowadzeniem bazy danych subskrybentów newslettera?
Należy nadać takiej osobie upoważnienie. Powinno ono być nadane odrębnie, a nie tylko wynikać np. z umowy o pracę czy z zakresu obowiązków pracowniczych. Najlepiej, aby miało formę pisemną, powinno też być imienne i określać dozwolony zakres przetwarzania danych osobowych (J. Barta, P. Fajgielski, R. Markiewicz, Ochrona danych osobowych. Komentarz, Wolters Kluwer 2015).
Administrator powinien prowadzić ewidencję upoważnionych osób, ze wskazaniem w niej ich imienia, nazwiska, daty nadania i ustania upoważnienia, jego zakres, a jeżeli dane są przetwarzane w systemie informatycznym - dodatkowo identyfikatora tej osoby. Osoby upoważnione do przetwarzania danych osobowych muszą zachować te dane w tajemnicy - podobnie jak sposoby ich zabezpieczenia. Osoba upoważniona może w tym zakresie podpisać stosowne oświadczenie.
Rejestracja zbioru danych osobowych
Czym jest zbiór danych osobowych?
Zgodnie z art. 7 ust. 1 ustawy, przez zbiór danych osobowych rozumie się przez to każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw jest rozproszony lub podzielony funkcjonalnie.
Ustawa przewiduje, że co do zasady - zbiór danych podlega rejestracji Generalnemu Inspektorowi Danych Osobowych. Od tej reguły są pewne wyjątki, ale niestety newsletter nie jest jednym z nich. Ustawa co prawda nie mówi o nim wprost, ale GIODO wyraźnie - i moim zdaniem słusznie - przyjmuje, że zbiór danych osób korzystających z newslettera należy zgłosić do GIODO jako zbiór danych osobowych.
W złoszeniu zbioru do rejestracji (określonym w art. 41 ustawy) podajemy takie dane, jak:
wniosek o wpisanie zbioru do rejestru zbiorów danych osobowych,
oznaczenie administratora danych osobowych i adres jego siedziby lub miejsca zamieszkania, w tym numer REGON (jeśli został mu nadany) oraz podstawę prawną upoważniającą do prowadzenia zbioru,
jeżeli przetwarzanie danych zostało powierzone innemu podmiotowi w drodze umowy zawartej na piśmie lub jeśli przedstawicielowi w Polsce podmiotu przetwarzającego dane, który ma swoją siedzibę albo miejsce zamieszkania w państwie trzecim - należy oznaczyć ten podmiot i adres jego siedziby lub miejsca zamieszkania,
cel przetwarzania danych,
opis kategorii osób, których dane dotyczą, oraz zakres przetwarzanych danych,
sposób zbierania oraz udostępniania danych,
Informacja o odbiorcach lub kategriach odbiorców, którym dane moga być przekazywane,
opis środków technicznych i organizacyjnych zastosowanych w celu przetwarzania danych zgodnie z wymogami ustawowymi (w tym w celu przestrzegania obowiązków administratora danych), wymaganych również przez ustawę o ochronie danych osobowych,
informację o sposobie wypełnienia warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych,
informację dotyczącą ewentualnego przekazywania danych do państwa trzeciego.
Do GIODO należy również zgłaszać wszelkie zmiany powyższych informacji - w terminie 30 dni od jej dokonania w zbiorze.
Czy zatem zgłaszając zbiór danych osobowych do rejestracji, zgłaszamy również każdy adres e-mail, imię czy nazwisko, jakie znajduje się w tym zbiorze? Na szczęście nie. Zgłaszamy sam zbiór, a nie wszelkie zawarte w nim informacje. Nie tylko nie wpisujemy posiadanych adresów mailowych, ale także nie musimy wysyłać nowych zgłoszeń z każdą kolejną daną osobową w naszej bazie.
Kiedy można rozpocząć przetwarzanie danych osobowych? W przypadku danych osobowych takich, jak e-mail, imię i nazwisko (a więc nie danych wrażliwych), można rozpocząć ich przetwarzanie w zbiorze po jego zgłoszeniu.
Wzór zgłoszenia określa rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 11 grudnia 2008 r. W sprawie wzrou zgłoszenia zbiotu danych do rejestracji Generalnemu Inspektorowi Danych Osobowych. Więcej informacji o zgłaszaniu zbiorów znajdziecie na stronie internetowej GIODO.
Warto pamiętać, że za przetwarzanie danych osobowych niezgodnie z ustawą o ochronie danych osobowych (np. nie będąc do tego uprawnionym czy umożliwianie dostepu do danych osobom nieuprawnionym), ustawa przewiduje odpowiedzialnośc karną i kary: grzywny, ograniczenia wolności a nawet jej pozbawienia.
Na wskazaniu wybranych obowiązków administratora danych osobowych kończymy wycieczkę po prawnych regulacjach dotyczących newsletterów - oczywiście w pewnym zakresie :) Mam nadzieję, że po lekturze części pierwszej, drugiej i niniejszej trzeciej będzie Ci łatwiej poruszać się w kwestii podawania takich danych osobowych, jak adres e-mail, imię i nazwisko - obojętnie, po której stronie newslettera stoisz, odbiorcy czy nadawcy.
Z jakimi ciekawymi sytuacjami spotkaliście się, jeśli chodzi o newslettery? Jakie macie spostrzeżenia o podawaniu i przetwarzaniu danych osobowych? Dajcie znać poniżej!
Photo credit: mcfarlandmo via Foter.com / CC BY
0 komentarze:
Prześlij komentarz