Masz bazę adresów email? Jesteś administratorem danych osobowych!

4 min
Zaktualizowano:

Przez ostatnie trzy wpisy przeszliśmy długą drogę – od pozyskiwania danych osobowych (adresów email), przez kwestie budowania zgód, aż po reklamę i zasady jej prawidłowego tworzenia w komunikacji email.

Skoro mamy już bazę adresów email, warto zająć się tym, co należy do obowiązków administratora danych osobowych. Pierwszą kwestią jaką trzeba rozstrzygnąć jest to, czy adres email to dane osobowe?

Adres email = dane osobowe?

Definicja danych osobowych:

1. W rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.

2. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.

3. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.

Zatem czy adres email michal.kluska@everberg.pl to dane osobowe? Raczej tak. A adres biuro@firma.pl? Ten nie będzie już identyfikował osoby fizycznej. W praktyce jednak bazy mailingowe, niezależnie do tego jakie adresy tam wpadają (nikt tego realnie nie bada), traktowane są jako bazy danych osobowych – i moim zdaniem jest to słuszne podejście, bo obowiązki z tym związane nie są przerażające.

Jakie są obowiązki administratora danych osobowych?

Zanim o obowiązkach, to kim jest w ogóle administrator danych osobowych? Jest to urząd skarbowy, dyrektor szkoły, spółka prowadząca dany portal etc. Jest to organ, jednostka organizacyjna, podmiot lub osoba (nawet Jan Kowalski może być ADO) decydujący o celach i środkach przetwarzania danych osobowych – czyli co i kiedy z tymi danymi będzie się działo.

Najważniejsze w mojej ocenie obowiązki administratora danych osobowych to:

  • obowiązek informacyjny wypełniany przy zbieraniu danych osobowych (art. 24 i 25 ustawy)

Pamiętajcie, że ADO powinien poinformować m.in. o adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna – o miejscu swojego zamieszkania oraz imieniu i nazwisku. Najczęściej za wypełnienie obowiązku informacyjnego traktuje się klauzulę o wyrażeniu zgody na przetwarzanie danych osobowych lub np. w polityce prywatności.

  • szczególna staranność przy przetwarzaniu danych osobowych w celu ochrony interesów osób, których dane przetwarza (art. 26 ustawy)

Jest ona ważna generalnie przez cały cykl przetwarzania danych – od ich zbierania aż po bezpieczne usuwanie.

  • udzielanie informacji o zakresie przetwarzanych danych osobowych (art. 33 ustawy)

Może się zdarzyć, że do Was – jako administratorów danych – wpłynie pismo/mail od osoby, która ma prawo (1 raz na 6 miesięcy) zapytać o to, czy macie jej dane osobowe, a jeśli tak to skąd, w jakich celach są przetwarzane etc. Brak odpowiedzi (przy bardziej upartych osobach) może skończyć się decyzją zobowiązującą GIODO.

  • obowiązek uzupełniania, uaktualnienia, sprostowania danych, czasowego lub stałego wstrzymania przetwarzania kwestionowanych danych lub ich usunięcia ze zbioru, gdy zażąda tego osoba, której dane są przetwarzane przez administratora (art. 35 ustawy)

Dotyczy to również zaprzestania przetwarzania danych w celach marketingowych administratora danych osobowych.

  •  obowiązek stosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną (art. 36 ustawy)

W przypadku hostingu zewnętrznego, najczęściej firma świadcząca taką usługę zapewnia o realizacji tych obowiązków. W przeciwnym razie polecam lekturze rozporządzenie dot. technicznych i organizacyjnych zabezpieczeń.

W ramach tego obowiązku jest również posiadanie dwóch dokumentów – polityka bezpieczeństwa oraz instrukcja zarządzania systemem informatycznym.

  •  zgłasza zbiór do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych w przypadkach przewidzianych prawem (art. 40 ustawy)

Last but not least – zgłoszenie zbioru. Wypełniamy wniosek na stronie GIODO, który następnie generuje się w PDF, plik drukujemy, podpisujemy zgodnie z zasadami reprezentacji i wysyłamy do GIODO na ul. Stawki 2.

photo-1424298397478-4bd87a6a0f0c

A co z newsletterem?

Gdyby ktoś miał jeszcze wątpliwości, to odsyłam do stanowiska GIODO wyrażonego w następującej kwestii: CZY NALEŻY ZGŁOSIĆ DO REJESTRACJI GENERALNEMU INSPEKTOROWI OCHRONY DANYCH OSOBOWYCH ZBIÓR DANYCH OSÓB ZAMAWIAJĄCYCH USŁUGĘ NEWSLETTER?

Odpowiedź:

Tak, zbiór danych osób zamawiających za pośrednictwem strony internetowej wiadomości newsletter należy zgłosić do rejestracji GIODO.

Uzasadnienie:

Specyfiką Internetu jest to, że aby zamówić newsletter danego serwisu należy wpisać na jego stronie swój adres e-mail, który w rozumieniu ustawy o ochronie danych osobowych stanowi dane osobowe. Osoby zainteresowane otrzymywaniem bezpłatnych treści redakcyjnych (newsletter) z założenia podają dobrowolnie swój adres e-mail w serwisie.

Pozyskane w ten sposób adresy e-mail stanowią zbiór danych osobowych, w rozumieniu art. 7 ust. 1 ustawy, zgodnie z którym zbiór danych rozumiany jest jako każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie.

Biorąc pod uwagę cel, dla którego dane osobowe są gromadzone oraz jego przeznaczenie, stwierdzić należy, że nie zachodzą w tym przypadku przesłanki wskazane w art. 43 ust. 1 ustawy, zwalniające z obowiązku zgłoszenia zbioru danych osobowych do rejestracji.

Zatem zbiór danych zawierający adresy e-mail osób, które chcą otrzymywać newsletter, należy zgłosić Generalnemu Inspektorowi Ochrony Danych Osobowych (GIODO) do rejestracji.

Z czym według Was wiąże się administrowanie danymi osobowymi? Macie pytania, wątpliwości? Podzielcie się nimi w komentarzach!