Nie każdy może zarządzać danymi osobowymi uczestników targów czy konferencji

Każdy ma prawo do ochrony dotyczących go danych osobowych. Gwarantują to zarówno polskie, jak i unijne przepisy. Przetwarzanie wspomnianych danych może być natomiast dokonywane w ściśle określonych przypadkach – na zasadach określonych w ustawie o ochronie danych osobowych (dalej: uodo) oraz dyrektywie Parlamentu Europejskiego i Rady 95/46/WE.

Kiedy można mówić o danych osobowych

W rozumieniu uodo za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Danymi zatem będą takie informacje jak imię, nazwisko, płeć, wiek itp., lecz również wszelkie inne, które odnoszą się do konkretnej osoby, a na podstawie których będzie możliwe zidentyfikowanie jej, np. adres zamieszkania, numer telefonu, adres e-mail. Z kolei przetwarzaniem jest wykonywanie jakichkolwiek operacji i czynności w stosunku do danych osobowych, w tym ich zbieranie, przechowywanie, utrwalanie, opracowywanie itp.

Administrator odpowiada za dane i ich pilnuje

Każdy podmiot, który pozyskuje, a następnie wykorzystuje posiadane dane osobowe w wybrany przez siebie sposób, jest administratorem danych osobowych. Przypomnijmy, że to administrator ponosi pełną odpowiedzialność administracyjną za przestrzeganie przepisów ustawy, a także odpowiedzialność odszkodowawczą wobec osób fizycznych, w przypadku naruszenia zasad przetwarzania danych osobowych. Administratorem jest zatem każdy podmiot, niezależnie od tego w jakiej formie prawnej on występuje, który decyduje o celach i środkach przetwarzania danych osobowych. Wskazać przy tym należy, że statusu administratora danych osobowych nie można utożsamiać z faktycznym posiadaniem takich danych.

Zasadniczym kryterium wyróżniającym administratora danych od innych podmiotów, które przetwarzają dane osobowe, jest sprawowanie rzeczywistej kontroli nad danymi osobowymi, a zatem decydowanie o tym, jakie dane są zbierane (np. imię, nazwisko, e-mail), w jakim celu (np. rozesłania wiadomości marketingowych) i w jaki sposób są przetwarzane (np. przechowywane w konkretnym miejscu). Z tego też względu status administratora danych nie będzie przysługiwał np. firmie, której przykładowo powierzono od strony technicznej zorganizowanie określonej konferencji czy targów (organizatorowi lub podwykonawcy eventowego), w ramach których dochodzi do przetwarzania danych osobowych. Podmiot ten będzie jedynie przetwarzającym dane osobowe, a za administratora należałoby uznać podmiot, który zlecił organizację określonego wydarzenia i zebrania danych osobowych jego uczestników w tym celu.

Podkreślić przy tym należy, że odpowiedzialność administratora, a także jego obowiązki wynikają z przepisów bezwzględnie obowiązujących, a zatem nie można ich modyfikować np. poprzez umowę z innym podmiotem i nie mogą być one przeniesione na inny podmiot w żaden sposób. Z tego też względu to zawsze administrator ma obowiązek zadbać o to, aby dane osobowe były należycie przetwarzane.

Obowiązki można powierzyć osobie trzeciej

Administrator może oczywiście powierzyć innym podmiotom przetwarzanie danych osobowych, np. w zakresie ich pozyskania podczas spotkania biznesowego czy konferencji, niemniej jednak należy pamiętać, że w świetle prawa, administrator w dalszym ciągu będzie podmiotem odpowiedzialnym za przestrzeganie przepisów o ochronie danych osobowych.Ponadto w zakresie powierzenia przetwarzania danych osobowych (a zatem ich zbierania lub innego wykorzystywania w imieniu administratora), innemu podmiotowi, niezbędne jest zawarcie umowy na piśmie. Umowa taka będzie musiała określać dokładnie cel oraz zakres przetwarzania danych osobowych, których to podmiot przetwarzający nie może przekraczać. Podmiot przetwarzający dane, musi zapewnić należyte bezpieczeństwo przetwarzania danych, w takim samym zakresie, jak administrator danych, jednakże podmiot ten nie staje się administratorem danych osobowych. Niemniej ponosi on odpowiedzialność za naruszenie swoich obowiązków wynikających z umowy przetwarzania danych osobowych, w tym odszkodowawczo wobec administratora danych, za naruszenie postanowień umowy.

Niezbędne zaplecze

Aby można było przetwarzać dane osobowe, koniecznym będzie zapewnienie odpowiednich środków technicznych i organizacyjnych, które zapewnią należytą ochronne danych osobowych, w szczególności przed dostępem do tych danych nieupoważnionym osobom trzecim. Zakres podejmowanych zabezpieczeń i środków jest uzależniony przede wszystkim od tego, jakie faktycznie czynności są wykonywane z danymi. Jeżeli przetwarzanie danych osobowych polega np. na ewidencjonowaniu osób obecnych na danej konferencji, pozyskiwaniu danych w celach zainicjowania dalszej współpracy lub przesyłania określonych materiałów marketingowych, to wszelkie dokumenty dotyczące ww. kwestii, a więc listy obecności, kwestionariusze, formularze uzupełniane przez uczestników wydarzenia, muszą być przechowywane w bezpiecznym miejscu. Nie mogą być pozostawione bez nadzoru nad nimi odpowiedniej osoby oraz nie mogą być udostępniane osobom trzecim. Administrator jest również zobowiązany prowadzić wewnętrzną dokumentację dotyczącą sposobów konkretnego przetwarzania danych osobowych. Szczegółowy zakres obowiązków i wytycznych, które powinien spełnić administrator znajduje się w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków, jakim muszą odpowiadać urządzenia i systemy informatyczne.

Ponadto jeszcze przed rozpoczęciem przetwarzania danych, administrator jest zobowiązany zgłosić do Generalnego Inspektora Ochrony Danych Osobowych do rejestracji zbiór danych osobowych.
Konieczne upoważnienie

Istotne jest także to, aby osoby, które w imieniu administratora lub podmiotu przetwarzającego dane osobowe, podczas wykonywania wszelkich czynności związanych z przetwarzaniem danych, np. zbierania danych kontaktowych od uczestników danej konferencji, podpisywania listy obecności, wydawania identyfikatorów itp. posiadały upoważnienie do przetwarzania danych osobowych. Przepisy prawa nie nakazują wprost, aby miało ono formę pisemną. Niemniej jednak jest ona wskazana, bowiem w razie ewentualnych wątpliwości co do faktu jego udzielenia lub jego zakresu, pisemne oświadczenie upoważniające do wykonywania operacji na danych osobowych, będzie stanowiło dowód jego złożenia. Ponadto osoba taka, musi być należycie przeszkolona i pouczona, w zakresie ochrony danych osobowych, tak aby była świadoma tego, jakie czynności może lub musi wykonać, a co jest zabronione, aby dane były należycie chronione.

Autor: Miłosz Mazewski

CHCESZ DOWIEDZIEĆ SIĘ WIĘCEJ O RODO W TWOJEJ FIRMIE?
Prześlij nam swoje dane kontaktowe, skontaktujemy się.