[Czuwaj] =?ISO-8859-2?Q?przetwarzanie danych - b=B3=EAdy i niepe=B3na prawda?=

[Tomasz Kazubski]

sprawa ochrony danych osobowych jest dość trudna, dlatego spróbuję pokazać błędy lub niepełną prawdę w dotychczasowych wypowiedziach



>Magda Kowalczyk:
>"Wyrażam zgodę na przetwarzanie podanych przeze mnie danych osobowych 
>dla potrzeb niezbędnych do realizacji założeń programowych Szczepu 
>związanych z rocznym cyklem pracy (zgodnie z Ustawą z dnia 29.08.97 roku 
>o Ochronie Danych Osobowych Dz. U. Nr 133 poz. 883)."
>
>mieści się np. zamieszczanie składu osobowego zastępów na stonie (imię i 
>nazwisko, stopień, funkcja), punkcjacji, a także rozkazów ?
>
>Może ktoś z listy pomoże nam rozwiać wątpliwości?

powyższe sformułowanie jest niewystarczające, gdyż zgodnie z art. 24 ustawy o ochronie danych osobowych (uodo):

1. W przypadku zbierania danych osobowych od osoby, której one dotyczą, administrator danych jest obowiązany poinformować tę osobę o:
1) adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna - o miejscu swojego zamieszkania oraz imieniu i nazwisku,
2) celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych,
3) prawie dostępu do treści swoich danych oraz ich poprawiania,
4) dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej.
2.  Przepisu ust. 1 nie stosuje się, jeżeli:
1) przepis innej ustawy zezwala na przetwarzanie danych bez ujawniania faktycznego celu ich zbierania,
2) osoba, której dane dotyczą, posiada informacje, o których mowa w ust. 1.

a każdy musi mieć potwierdzenie tego, że poinformował o tym, o czym mówi ust. 1




>Kowlak:
>Ustawa stanowi, że przetwarzanie tych danych jest, co do zasady,
>niedopuszczalne, a ich przetwarzanie jest możliwe tylko w ściśle określonych
>sytuacjach (wymienionych w art. 27 ust. 2 ustawy). Są to m.in. sytuacje,
>gdy:
>jest to niezbędne do wykonania statutowych zadań kościołów i innych związków
>wyznaniowych, stowarzyszeń, fundacji lub innych niezarobkowych organizacji
>lub instytucji o celach politycznych, naukowych, religijnych, filozoficznych
>lub związkowych, pod warunkiem, że przetwarzanie danych dotyczy wyłącznie
>członków tych organizacji lub instytucji albo osób utrzymujących z nimi
>stałe kontakty w związku z ich działalnością i zapewnione są pełne gwarancje
>ochrony przetwarzanych danych.
>
>
>Więc moim zdaniem w ogóle nie ma o czym mówić.

Niestety nie słyszałem o wyciętej z kontekstu wypowiedzi "prawnej", ale tym razem chyba się to udało :)
gdyż ust. 2 art. 27 zaczyna się od słów: "Przetwarzanie danych, o których mowa w ust. 1, jest jednak dopuszczalne, jeżeli:"
i dopiero teraz powinno być:
4) jest to niezbędne do wykonania statutowych zadań kościołów i innych związków wyznaniowych, stowarzyszeń, fundacji lub innych niezarobkowych organizacji lub instytucji o celach politycznych, naukowych, religijnych, filozoficznych lub związkowych, pod warunkiem, że przetwarzanie danych dotyczy wyłącznie członków tych organizacji lub instytucji albo osób utrzymujących z nimi stałe kontakty w związku z ich działalnością i zapewnione są pełne gwarancje ochrony przetwarzanych danych,

ważne jest jednak to, co mówi ust. 1, a w nim czytamy:
"Zabrania się przetwarzania danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym."

czyli niestety zupełnie nie dotyczy to danych zwyczajowo udostępnianych przez naszych harcerzy ;)
dlatego wskazany wyżej artykuł 27 nie ma zastosowania w normalnej drużynie

co nie oznacza, że dane osobowe inne niż wskazane w art. 27 ust. 1 nie są chronione przez ustawę, gdyż zgodnie z art. 1 i 6 uodo każdy ma prawo do ochrony danych osobowych, zaś zgodnie z art. 3 ust. 2 ustawę stosuje się m.in. do osób prawnych jeżeli przetwarzają dane osobowe dla realizacji celów statutowych 


>Seascout:
>Kowlaku... wszystko zależy co jest dana osobową. Samo nazwisko połączone z imieniem, nie jest dana osobową.
>
>Nazwisko + PESEL juz jest...

>Sikor:
>Hmmm najlepiej pogrzebać na stronach GIDO :)
>Tam się dowiesz, że imię i nazwisko same w sobie nie są danymi osobowymi. 
>Są tylko ich elementem. Więc takie zgody i zastrzeżenia nie są potrzebne w 
>konteksice tego co napisałaś no chyba, że w rozkazie podajecie iż chodzi o 
>Gienka Zenobka ur. 12-03-6785 r w Mysioburce... Inną sprawą są dane 
>osobowe będące w posiadaniu drużynowego czy organizacji (bo to już sa dane 
>umożliwiające zidentyfikowanie danej osoby). I tu spokojnie można wrzucić 
>malutkim druczkiem stosowne oświadczenie na dole druku zgody na 
>przynależność do drużyny.
>
>cyt...
>Art. 6.1) 1. W rozumieniu ustawy za dane osobowe uważa się wszelkie 
>informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania 
>osoby fizycznej.
>2. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można 
>określić bezpośrednio lub pośrednio, w szczególności przez powołanie się 
>na numer identyfikacyjny albo jeden lub kilka specyficznych czynników 
>określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, 
>kulturowe lub społeczne.
>3. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, 
>jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.
>...
>
>
>Tyle ustawa. Zwróć uwagę na sformułowanie "zidentyfikowanej lub możliwej 
>do zidentyfikowania osoby". Imię i nazwisko to stanowczo za mało by 
>zidentyfikować daną osobę.


jednak daną jest już: Jaś Kowalski 1DH, Hufiec Pćim Wielki
lub: Ewa Nowak 1 Pćimska Drużyna Harcerska, 
gdy dane członka drużyny zostaną udostępnione np. na stronie internetowej

wg mnie wynika to z treści art. 6 ust. 2, który mówi, że określenie cechy społeczenej może powodować zidentyfikowanie osoby
aby mieć pewność trzeba by wgryźć się w komentarz i orzecznictwo

dla mnie jest to wystarczające, gdyż jeżeli mam te dane to spokojnie mogę dotrzeć bezbłędnie do tej osoby

>Seascout:
>Ja pare razy rekomendowałem takie rozwiązanie, że rodzice na początku roku podpisują oświadczenie, ze wiedza na czym polega harcerstwo i zgadzają się >na udział ich dziecka w zbiórkach zastępu, na których nie ma dorosłego opiekuna.
>
>Chciałem nawet, zeby GK przygotowała taki druk, o brzmieniu skonsultowanym z prawnikami, jeden dla wszystkich, zebyś Ty, jako druzynowa, nie musiała >się zastanawiać, czy takie oświadczenie wystarczająco dobrze Cie zabezpiecza. Ale cóż... Moze kiedys GK znajdzie czas zając się sprawami >druzynowych :)
>
>Na razie może trzeba skonsultowac się z jakims znajomym prawnikiem w hufcu.
>
>Ja widze takie rozwiązanie...


Ja mogę napisać instrukcje prawne, stworzyć odpowiednie druczki w tej lub innej sprawie, jednak Główna Kwatera nie jest tym zainteresowana, a sprawa np. z ochroną danych osobowych nie jest taka prosta, co prawda zgodnie z art. 43 ZHP jest zwolnione z obowiązku rejestracji zbioru danych osobowych swoich członków u Generalnego Inspektora Ochrony Danych Osobowych, jednak czy dotyczy to danych rodziców wyrażających zgody ........... a to już inna bajka .....

Mam nadzieję, że na liście wypowie się uczestnik szkolenia Głównej Kwatery z 9 lub 23 lutego br. dla Administratorów Bezpieczeństwa Informacji, które zostało zorganizowane przez "jedną z lepszych warszawskich firm związanych z tematyką przetwarzania danych osobowych. Dlatego też każdy uczestnik szkolenia otrzyma ceniony na otwartym rynku certyfikat Administratora Bezpieczeństwa Informacji wydany przez tą firmę oraz komplet materiałów związanych z ustawą o danych osobowych." (Komunikat GK ZHP 3/2008)

To co napisałem wiem po zapoznaniu się z ustawą i mając elementarną wiedzę potrzebną każdemu prawnikowi. Nie specjalizuję się akurat w tej dziedzinie, więc może uczestnikowi tego szkolenia uda się rozszerzyć temat dyskusji.

pozdrawiam

tomek