Ustawa o ochronie danych osobowych nakłada na przetwarzających te dane szereg obowiązków. Nie udam się ich dopełnić, jeżeli nie zapoznamy się z podstawowymi pojęciami wprowadzonymi w ustawie.
Nie stworzymy wymaganych dokumentów, takich jak: polityka bezpieczeństwa, instrukcja zarządzania systemem informatycznym i nie przygotujemy zgłoszenia zbioru, jeżeli nie będziemy prawidłowo rozumieć terminów: dane osobowe, zbiór danych, administrator danych, itd.
Już samo pojęcie zbioru danych osobowych stwarza pewne problemy i jest często mylone z bazą danych. Baza danych to nie jest to samo co zbiór danych osobowych!
Należy wyraźnie odróżnić zbiór danych, od jego fizycznej reprezentacji w bazie danych programu w którym dane przetwarzamy. Ten sam zbiór może być przetwarzany jednocześnie w kilku bazach (lub programach) a nawet w formie akt papierowych. W jednej bazie danych programu komputerowego możemy również przetwarzać kilka zbiorów danych. Co więcej, ta sama informacja, może jednocześnie należeć do różnych zbiorów danych osobowych.
Najlepiej zapomnieć na chwilę o programach komputerowych, bazach danych i zastanowić się jakie dane, w jakim celu i w oparciu o jaką przesłankę uchylającą zakaz przetwarzania (art.23 ust.1 ustawy o ochronie danych osobowych), będą u nas przetwarzane. Przykładowo, możemy stwierdzić, że przetwarzamy dane osobowe w pięciu zbiorach:
– Dane pracowników – art.23 ust.1 pkt 2- „jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa”. Zbiór zwolniony z rejestracji.
– Dane przetwarzane w związku z realizacją recepty – art.23 ust.1 pkt 2- „jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa”. Zbiór zwolniony z rejestracji.
– Dane przetwarzane w celu wystawienia faktury – art.23 ust.1 pkt 2- „jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa”. Zbiór zwolniony z rejestracji.
– Dane przetwarzane w celach marketingowych – art.23 ust.1 pkt 1- „osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych”. Zbiór zgłaszamy.
– Dane przetwarzane w celu dostawy towaru do klienta – art.23 ust.1 pkt 3- „jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą”. Zbiór zgłaszamy.
To w ilu i jakich programach i bazach danych są przetwarzane dane z tych zbiorów, nie jest dla identyfikacji zbiorów istotne. Informację o tym będziemy musieli jednak później umieścić w naszej polityce bezpieczeństwa.
Zbiory danych związane z realizacją recept nie podlegają rejestracji. Podobnie, nie podlegają jej zbiory danych tworzone wyłącznie w celu wystawienia faktury, zbiory danych przetwarzanych w związku z zatrudnieniem, itd.
Podkreślmy, że ewentualnej rejestracji podlega zbiór danych (nie „dane”, nie „baza danych”). Dlatego nie możemy twierdzić, że ta sama baza danych raz musi być zgłaszana a raz nie musi, gdyż zgłaszany jest zbiór danych osobowych. Nawet jeżeli, dla ułatwienia, dane są wprowadzane do systemu tylko jeden raz, to mogą być przetwarzane w różnych zbiorach, np. różniących się celem przetwarzania.
To, że zbiór danych osobowych jest zwolniony z rejestracji, nie oznacza, że do przetwarzania danych w tym zbiorze nie znajdują zastosowania przepisy ustawy, a administrator danych jest zwolniony z pozostałych spoczywających na nim obowiązków. W szczególności administrator musi opracować politykę bezpieczeństwa, instrukcję zarządzania systemem informatycznym, dopełnić obowiązku zabezpieczenia danych, prowadzenia dokumentacji, wydawania upoważnień, itd.