Trwa generowanie dokumentu...

Zakończono!

Pobierz

Jak zidentyfikować zbiór danych osobowych w swojej firmie?

zbiór danych osobowych
Data: 2016-10-07 Kategoria: Ochrona danych Tag artykułu: zbiór danych osobowych Autor: Angelika Borowska

Każdy podmiot, posiadający w dyspozycji dane osobowe, powinien gwarantować legalność ich przetwarzania. Jest to jeden z podstawowych wymogów stawianych przez GIODO. Jak legalnie przetwarzać dane osobowe? Jak zidentyfikować zbiór danych osobowych? Odpowiedzi na te pytania znajdziesz poniżej.

Dane osobowe i zbiór danych osobowych - ustawowe definicje

Przed przystąpieniem do identyfikacji zbiorów danych osobowych należy wyjaśnić dwa zasadnicze pojęcia: dane osobowe oraz zbiór danych. Ich prawidłowe zdefiniowanie ułatwi dalsze postępowanie.

Pojęcie danych osobowych zostało określone w art. 6 ust. 1 ustawy o ochronie danych osobowych. Zgodnie z jego treścią przez dane osobowe rozumie się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.

 

Ważne!

Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników, określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.


Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.

 

Natomiast zbiorem danych osobowych (art. 7 pkt 1) jest każdy, posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie.

Identyfikacja zbiorów danych osobowych - zasady

Kolejny krok to zidentyfikowanie zbiorów danych osobowych. Na to czym polega? Opiera się przede wszystkim na przeprowadzeniu wewnętrznej inwentaryzacji (audytu), której celem jest wyodrębnienie zbiorów danych. W dużym skrócie czynność ta sprowadza się do fizycznego obejścia wszystkich działów znajdujących się w firmie i sprawdzenia, gdzie mamy do czynienia z danymi osobowymi.

 

Ważne!

Przeglądowi podlegają również komputery i systemy informatyczne wykorzystywane w jednostce.

 

W oparciu o opracowany spis dokonuje się wyselekcjonowania danych osobowych i pogrupowania ich w zbiory.

Kryteria identyfikacji zbiorów danych osobowych

W celu identyfikacji zbiorów danych osobowych należy określić:

  1. podstawę prawną uprawniająca do przetwarzania danych osobowych (art. 23 oraz art. 27 ustawy o ochronie danych osobowych);

  2. cel przetwarzania danych osobowych (czy te same dane osobowe będą przetwarzane tylko w jednym celu);

  3. zakres przetwarzania danych osobowych;

  4. sposób przetwarzania danych osobowych w zbiorze (czy będzie to forma papierowa (tradycyjna) czy system informatyczny).

Podstawa prawna przetwarzania danych osobowych

Art. 23 ustawy o ochronie danych osobowych jasno określa, kiedy przetwarzanie danych osobowych jest dopuszczalne. Jest to możliwe, gdy:

  • osoba, której dotyczą dane, wyrazi zgodę na przetwarzanie danych osobowych;

  • jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku, wynikającego z przepisu prawa;

  • jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą;

  • jest niezbędne do wykonania określonych prawem zadań, realizowanych dla dobra publicznego;

  • jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów, realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.

 

Ważne!

Przez prawnie usprawiedliwiony cel przetwarzania danych osobowych uważa się:

  • marketing bezpośredni własnych produktów lub usług administratora danych;

  • dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej.

 

Art. 27 ustawy określa natomiast tzw. wrażliwe dane osobowe, które mogą być przetwarzane wyłącznie w ściśle określonych sytuacjach.

Data: 2016-10-07 Kategoria: Ochrona danych