Zbiór osób składających CV
Zbiór danych osobowych osób ubiegających się o pracę, obok zbiorów aktualnych i byłych pracowników, na podstawie art. 43. ust 1 pkt 4 ustawy o ochronie danych osobowych, zwolniony jest z rejestracji. Co więcej, zwolnienie obejmuje także zbiory danych osób zatrudnionych na podstawie umów cywilnoprawnych (umowa zlecenie, umowa o dzieło, umowa agencyjna, praktykanci).
Nieco inaczej natomiast rzecz się ma w przypadku agencji zatrudnienia. Działają one na podstawie ustawy o promocji zatrudnienia i instytucjach rynku pracy. Prowadzą działalność gospodarczą w zakresie m.in. świadczenia usług pośrednictwa pracy, doradztwa personalnego, czy poradnictwa zawodowego. Nie zatrudniają jednak pracowników, za wyjątkiem agencji pracy tymczasowej (art. 18 ust. 1 pkt 4). Co za tym idzie, agencje zatrudnienia przetwarzają dane nie dotyczące osób u nich zatrudnionych, w związku z czym muszą je zgłosić do rejestracji GIODO. Wyjątek stanowią agencje pracy tymczasowej, które zatrudniają pracowników tymczasowych i w związku z tym podlegają wyłączeniu z obowiązku rejestracji na podstawie wskazanego wcześniej przepisu ustawy.
Odbierz pakiet bezpłatnych poradników i mikroszkoleń RODO
Zbiór danych osobowych z zakupionej bazy klientów
Wiele kontrowersji, zwłaszcza wśród konsumentów, budzi kwestia kupowania baz danych osobowych. Jak podkreśla GIODO, handel naszymi danymi, jeżeli wyraziliśmy wcześniej tzw. zgodę marketingową oraz zgodę na udostępnianie (przekazywanie) naszych danych innym podmiotom, jest jak najbardziej legalny. Kupując takie dane przedsiębiorca musi włączyć je do jakiegoś zbioru. Dane takie kupuje się najczęściej w celach marketingowych, aby zaoferować potencjalnym klientom swoje towary i usługi. Nowy administrator, po przejęciu danych osobowych, może utworzyć nowy zbiór albo włączyć przejęte dane do innego prowadzonego przez siebie zbioru. Przykładowo, dane osobowe klientów ośrodka wypoczynkowego, w związku z jego sprzedażą, zostały przekazane nowemu właścicielowi. Od momentu rozpoczęcia przetwarzania przejętych danych, nowy administrator powinien realizować wszystkie obowiązki wynikające z przepisów dotyczących ochrony danych osobowych, w tym m.in. obowiązek zgłoszenia zbioru do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych.
Zbiór osób przekazujących 1% podatku
Czy obdarowana organizacja powinna zgłosić do rejestracji zbiór danych osób, które dokonały przekazania na jej rzecz? Tak, ale pod warunkiem, że nie zachodzi żadna z przesłanek zwalniających administratora z obowiązku jej zgłoszenia. Może się bowiem okazać, że administrator danych osobowych (w tym przypadku organizacja pożytku publicznego) przetwarza dane osobowe w konkretnym zbiorze wyłącznie w celach sprawozdawczości finansowej i w związku z tym zbiór nie podlega obowiązkowi rejestracji (art. 43 ust. 1 pkt 8 ustawy o ochronie danych osobowych). Jeśli jednak zgromadzone dane służą także innym celom (np. wysyłaniu podziękowań, utrzymywaniu kontaktów z darczyńcami), to administrator jest zobowiązany zgłosić przedmiotowy zbiór do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych.
E-learning RODO to już standard!
Zbiór uczestników konkursu
Panuje dość powszechne przekonanie, że w przypadku konkursu organizowanego jednorazowo, gdy zostaną wyłonieni zwycięzcy, nagrody wysłane, dane uczestników usunięte, a przedsiębiorca nie prowadzi innych działań marketingowych, wymagających zbierania danych osobowych, można założyć, że nie ma obowiązku rejestrowania takiego zbioru danych (art. 43 ust. 1 pkt 11).
GIODO wychodzi jednak z założenia iż zbiór danych, tworzony na potrzeby przeprowadzenia konkursu, np. na stronie internetowej, nie stanowi szczególnej kategorii zbioru zwolnionego z rejestracji, w związku z czym obowiązkowi zgłoszenia do rejestracji podlega.
Zbiór prenumeratorów Newslettera
Zdaniem GIODO, adresy e-mail pozyskane poprzez zapisanie się poszczególnych osób na listę subskrybentów newslettera, stanowią zbiór danych osobowych w rozumieniu art. 7 ust. 1 ustawy o ochronie danych osobowych (zestaw danych posiadających strukturę o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie). Biorąc pod uwagę cel, dla którego dane osobowe są gromadzone oraz ich przeznaczenie, stwierdzić należy, że nie zachodzą w tym przypadku przesłanki wskazane w art. 43 ust. 1 ustawy, zwalniające z obowiązku zgłoszenia zbioru danych osobowych do rejestracji.
Inspektor Ochrony Danych.
Czas na praktyczne umiejętności!
Zbiór danych osobowych członków stowarzyszenia lub organizacji
Zbiór danych osobowych członków stowarzyszeń i organizacji jest zwolniony z rejestracji na podstawie art. 43 ust. 1 pkt 4. W związku z wykonywaniem zadań statutowych, stowarzyszenia mogą prowadzić również inne zbiory danych osobowych, np.: zbiory danych osób, którym stowarzyszenia udzielają pomocy i wsparcia czy też zbiory danych dotyczących darczyńców.
Należy przy tym zaznaczyć, iż GIODO inaczej postrzega status wolontariuszy. Jego zdaniem wolontariusze nie są zatrudniani na ani podstawie umów o pracę ani umów zlecenia czy umów o dzieło. Ideą wolontariatu, uregulowanego w ustawie o działalności pożytku publicznego i o wolontariacie, jest bowiem dobrowolne i bezpłatne wykonywanie określonych czynności przez wolontariusza na rzecz określonych podmiotów (tzw. korzystających). Zgodnie z powyższym, skoro między korzystającym a wolontariuszem nie istnieje stosunek pracy, organizacja, na rzecz której wolontariusze świadczą określoną pracę, ma obowiązek zgłoszenia zbioru ich danych do rejestracji GIODO.
Zbiór pacjentów izby wytrzeźwień
Pensjonariuszy izb wytrzeźwień można traktować jako osoby korzystające z usług medycznych. Zgodnie z ustawą o wychowaniu w trzeźwości i przeciwdziałaniu alkoholizmowi oraz §18 rozporządzenia ministra zdrowia w sprawie trybu doprowadzania, przyjmowania i zwalniania osób w stanie nietrzeźwości oraz organizacji izb wytrzeźwień i placówek utworzonych lub wskazanych przez jednostkę samorządu terytorialnego, zadaniem tych placówek jest udzielanie osobom nietrzeźwym pierwszej pomocy w nagłych wypadkach oraz prowadzenie detoksykacji dla osób wyrażających na to zgodę. Ponadto, zgodnie z art. 4 §1 ww. rozporządzenia, osobę doprowadzoną do izby poddaje się niezwłocznie badaniom lekarskim. Wykonywanie tych zadań należy uznać za udzielanie świadczeń zdrowotnych, za które, na podstawie art. 3 ustawy o zakładach opieki zdrowotnej, uważa się działania służące zachowaniu, ratowaniu, przywracaniu i poprawie zdrowia. Oznacza to, że pacjenci izby wytrzeźwień to osoby korzystające z jej usług medycznych. Zatem izba wytrzeźwień, jako administrator danych, jest zwolniona z obowiązku rejestracji w GIODO prowadzonych zbiorów danych osobowych na podstawie art. 43 ust. 1 pkt 5 ustawy.
Więcej informacji na temat rejestracji zbiorów danych osobowych w 6. rozdziale ustawy o ochronie danych osobowych z 29 sierpnia 1997 roku, art. 40 – 46a.
Przeczytaj część drugą: Które zbiory rejestrować w GIODO .2