Temat: Proszę o pomoc, problem nietypowy: konieczność zgłoszenia...

Witam serdecznie i uprzejmie proszę Ekspertów o pomoc,
Jako właściciel agencji detektywistycznej mam pewne wątpliwości co do konieczności zgłaszania zbioru danych do GIODO. Opinie w tej sprawie są podzielone, jedni twierdzą że obowiązkowo tak, drudzy wręcz przeciwnie. Nawet w samym urzędzie zdanie jest zależne od podnoszącego słuchawkę.
W przypadku agencji „problem ODO” dotyczy dwóch sfer:
- rejestru umów / art. 23 /
- danych osobowych przewijających się w trakcie realizacji umowy

Dla ułatwienia poniżej zapisy z ustawy o usługach detektywistycznych :
Zgodnie z art. 8 naszej ustawy :
1. Detektyw jest uprawniony do przetwarzania danych osobowych, zebranych w toku wykonywanych przez niego czynności detektywa, bez zgody osób, których dane dotyczą.
2. Detektyw uprawniony do przetwarzania danych osobowych, w związku z wykonywaniem przez niego czynności detektywa, nie może powierzać przetwarzania danych innemu podmiotowi.
3. Detektyw ma obowiązek zniszczyć przetwarzane dane osobowe, zebrane w toku wykonywania czynności detektywa, najpóźniej bezpośrednio po zaprzestaniu korzystania z uprawnień detektywa.
4. Detektyw jest obowiązany przy przetwarzaniu danych osobowych stosować przepisy ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. Nr 133, poz. 883, z 2000 r. Nr 12, poz. 136, Nr 50, poz. 580 i Nr 116, poz. 1216 oraz z 2001 r. Nr 42, poz. 474, Nr 49, poz. 509 i Nr 100, poz. 1087), z wyłączeniem art. 25 ust. 1 i art. 32-35.

Artykuł 23 natomiast mówi, że Przedsiębiorca prowadzący działalność gospodarczą w zakresie usług detektywistycznych jest obowiązany:
[…]
2) zachowywać formę pisemną umów dotyczących prowadzonej działalności gospodarczej,
3) prowadzić i przechowywać dokumentację dotyczącą zatrudnianych detektywów oraz zawieranych i realizowanych umów, a także sprawozdań sporządzanych po zakończeniu spraw,
4) przedstawiać dokumentację, o której mowa w pkt 3, na żądanie organu upoważnionego do kontroli, z wyłączeniem sprawozdania, o którym mowa w art. 13 ust. 1, które nie podlega kontroli organu zezwalającego.
2. Minister właściwy do spraw wewnętrznych określi, w drodze rozporządzenia, rodzaj dokumentacji, o której mowa w ust. 1 pkt 3, formy jej prowadzenia oraz okres przechowywania, uwzględniając w szczególności wykaz zatrudnionych przez przedsiębiorcę detektywów, rejestr zawartych umów wraz z opisem ich realizacji, a także sprawozdanie kończące postępowanie w sprawie.

Jeśli chodzi o pierwszy punkt to niewielu z nas przedsiębiorców trzyma rejestr umów ( w którym są dane osobowe Zleceniodawcy ) dla własnej chęci przetwarzania bądź innej „przyjemności”, tylko z konieczności którą nakłada na nas ustawa / wgląd do umów żąda podczas kontroli mswia / oraz celem wystawienia faktury za wykonane zlecenie (zgodnie z pkt 8 art. 43 ustawy o ochronie danych osobowych : z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej )

Nie wiem też czy dobrze interpretuję zapis : „W odniesieniu do zbiorów danych osobowych sporządzanych doraźnie, […]a po ich wykorzystaniu niezwłocznie usuwanych albo poddanych anonimizacji, mają zastosowanie jedynie przepisy rozdziału 5.”
Czy to zatem oznacza, że jeśli dane przetwarzam tylko podczas realizacji zlecenia, a po jego zakończeniu sprawozdanie przekazuję Zleceniodawcy, a wszelkie materiały dot. Sprawy lądują w niszczarce – to obowiązuje mnie tylko konieczność należytego zabezpieczenia ww. danych, bez obowiązku ich zgłaszania ?

Jestem bardzo ciekawa Waszego zdania w tej kwestii…temat dosyć nietypowy, zresztą jak większość związanych z naszą branżą, która jeszcze raczkuje i wiele czasu i sił potrzeba, aby zaczęła się kształtować.

Pozdrawiam serdecznie i z góry dziękuję za pomoc !!
Ka Be

Temat: Proszę o pomoc, problem nietypowy: konieczność zgłoszenia...

Witam Panią detektyw,

przejrzałem ustawę o usługach detektywistycznych i moim zdaniem będziesz musiała zgłosić zbiór do GIODO. Dane przetwarzane doraźnie to nie akta sprawy zbierane w toku może nawet kilkutygodniowych czynności. Natomiast w w/w ustawie nie ma mowy o zwolnieniu z rejestracji zbioru. Co więcej z tego co widać detektywi dostali dość szerokie uprawnienia: zbieranie danych bez zgody osób, których te dane dotyczą, zniesienie obowiązku informacyjnego. W takich okolicznościach tym bardziej powinni być oni nadzorowani, a brak zgłoszenie zbioru do organu nadzoru jakim jest GIODO mógłby taki nadzór ograniczyć.

Temat: Proszę o pomoc, problem nietypowy: konieczność zgłoszenia...

Witam Pana Rozpruwacza,
A kto powiedział, że tego nie zrobiłam ? ;) pomimo tego, jednak mam wątpliwości czy, aby na pewno było to konieczne...stąd moje pytanie.
A co do uprawnień to: prooooooszę Cię...to które wymieniłeś to praktycznie jedyne, które daje nam nasza popaprana ustawa. Prawda jest taka, że ograniczeń i nadzoru mamy duuużo więcej, niż realnych możliwości. Biorąc pod uwagę, że niekiedy bardzo dużo zależy od naszych działań to możemy naprawdę nie wiele.
Co nie zmienia faktu, że bardzo dziękuje za Twoją opinię i poświęcony na nią czas.
Czekam na dalsze zdania w tej materii.

Pozdrawiam!
Ka Be

Temat: Proszę o pomoc, problem nietypowy: konieczność zgłoszenia...

Rozumiem, iż złożyłaś wniosek o wpisanie zbioru do rejestru GIODO i został on zarejestrowany?

Temat: Proszę o pomoc, problem nietypowy: konieczność zgłoszenia...

Witam,

moim zdaniem konieczne jest zgłoszenie zbioru danych do rejestracji GIODO w przypadku gdy administratorem danych jest osoba/przedsiębiorca prowadząca działalność gospodarczą w zakresie świadczenia usług detektywistycznych. Nie wynika to z "charakteru" administratora danych, ale literalnie z brzmienia przytoczonych przepisów.

Priomo, przywołany art. 8 ust. 4 ustawy u usługach detektywistycznych podporządkowuje działania detektywa przepisom ustawy o ochronie danych osobowych, przewidując w tym zakresie dwa wyjątki. Wyłącza stosowanie art. 25 ust. 1 i art. 32-35. Artykuły 32-35 znajdują się w rozdziale IV ustawy i dotyczą praw osób, których dane dotyczą; jest rzeczą oczywistą, iż nie znajdują one zastosowania do pracy detektywa, który na podstawie art. 8 ust. 1 może zbierać dane osobowe bez wiedzy osoby, której one dotyczą. Artykuł 25 ust. 1 z kolei nakłada na administratora danych - jeśli dane zostały uzyskane od osoby trzeciej - obowiązek informacyjny we wskazanym tam zakresie.

W pozostałym zakresie art. 8 u.u.d. nie wyłącza przepisów u.o.d.o. A contrario nakłada na detektywa wiele obowiązków związanych zarówno z rejestracją zbioru, zapewnieniem mu należytej ochrony przed dostępem osób nieuprawnionych, przekazywaniem danych za granicę, jak i poddaniem się kontroli ze strony Generalnego Inspektora Danych Osobowych.

Zgodnie z art. 40 ustawy, detektyw jako administrator danych jest obowiązany zgłosić zbiór danych do rejestracji Generalnemu Inspektorowi. Z obowiązku tego ustawa zwalnia - art. 43 ust. 1 pkt 8 - administratorów danych, którzy przetwarzają dane osobowe WYŁĄCZNIE W CELU wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej. Przywołane zwolnienie nie dotyczy jednak sytuacji, w których dane osobowe będą przetwarzane także w innych celach, przy czym wystarczy sama możliwość prowadzenia takich postępowań.

Wreszcie przywołany art. 2 ust. 3 u.o.d.o. stanowi, że w odniesieniu do zbiorów danych osobowych sporządzanych doraźnie, WYŁĄCZNIE ZE WZGLĘDÓW TECHNICZNYCH, SZKOLENIOWYCH LUB W ZWIĄZKU Z DYDAKTYKĄ W SZKOŁACH WYŻSZYCH, a po ich wykorzystaniu niezwłocznie usuwanych albo poddanych anonimizacji, mają zastosowanie jedynie przepisy rozdziału V - zabezpieczenie danych.

"Pojęcie "doraźności" jest ocenne, niedookreślone. W tej sytuacji konieczne jest odwołanie się do konkretnych okoliczności faktycznych towarzyszących przetwarzaniu danych przez konkretnego administratora, przetwarzającego je dla określonych, precyzyjnie wskazanych celów. Wykładni art. 2 ust. 3 nie można bowiem dokonywać w sposób abstrakcyjny, nie znając szczegółowo okoliczności przetwarzania danych w konkretnym przypadku. Nie ulega jednak wątpliwości, że istotną rolę w zakresie praktycznego rozumienia art. 2 ust. 3 odgrywa czynnik czasu, w ciągu którego są przetwarzane dane osobowe. Poza tym konieczne jest rozważenie celu (zadań), któremu służyć ma przetwarzanie danych w określonej strukturze. O ile pierwszy z tych czynników (czas) nie jest z oczywistych powodów ściśle, ustawowo określony (tzn. trudno o wskazanie ścisłych, czasowych granic zbioru doraźnego), o tyle pojęcie doraźności musi być uzależnione od celu przetwarzania danych w zbiorze. Jeżeli dane tworzące określoną strukturę służą realizacji zasadniczego, głównego celu przetwarzania, trudno uznać tę strukturę za zbiór doraźny. Nie zmienia tego okoliczność, że okres jej przetwarzania jest relatywnie krótki." - tyle w temacie ma do powiedzenia GIODO. (http://www.giodo.gov.pl/322/)

Jako przykład w literaturze wskazuje się, że zbiory określone w art. 2 ust. 3 powstają w związku ze zbieraniem danych osobowych przez portiernie, czy tzw. biura przepustek.

Przedstawiony przez Ciebie sposób przetwarzania danych osobowych, nie wydaje mi się, spełniać przesłanek doraźności.

Wreszcie, przeglądając informację o zarejestrowanych zbiorach - http://egiodo.giodo.gov.pl/index.dhtml - można natrafić na kilka zarejestrowanych przez osoby świadczące usługi detektywistyczne zbiorów danych. Nie jest to oczywiście żaden argument ale potwierdzenie, że skoro w dotychczas prowadzonych postępowaniach w sprawie zgłoszonych do rejestracji zbiorów danych osobowych GIODO dokonywał ich rejestracji to postępowanie w tej sprawie nie było bezprzedmiotowe, a GIODO nie dopatrzył się przesłanek wyłączających obowiązek rejestracji.

Temat: Proszę o pomoc, problem nietypowy: konieczność zgłoszenia...

Zgodnie z § 3 rozporządzenia MSWiA z dnia 3 czerwca 1998 r. w sprawie określenia podstawowych warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, administrator danych powinien wyznaczyć osobę, zwaną dalej "administratorem bezpieczeństwa informacji", odpowiedzialną za bezpieczeństwo danych osobowych w systemie informatycznym, w tym w szczególności za przeciwdziałanie dostępowi osób niepowołanych do systemu, w którym przetwarzane są dane osobowe, oraz za podejmowanie odpowiednich działań w przypadku wykrycia naruszeń w systemie zabezpieczeń.
Pełnienie obowiązków ABI to trudne i odpowiedzialne zadanie. Jeśli nie jesteście pewni czy osoba, którą zamierzacie wyznaczyć posiada odpowiednią wiedzę i czy poradzi sobie z obowiązkami ABI - http://abi.czj-infox.pl

Temat: Proszę o pomoc, problem nietypowy: konieczność zgłoszenia...

Moim zdaniem należy zgłosić do rejestracji zbiór ze względy na to że nie należy on do zbiorów doraźnych mających drugorzędne znaczenie dla ADO i nie związane z jego podstawową działalnością (np.: książki wejść-wyjść do budynku). W takim przypadku należy zgłosić zbiór do GIODO.
Można to również zweryfikować w inny sposób, mianowicie zgłosić zbiór do GIODO a oni zweryfikują rodzaj przetwarzania danych i zarejestrują zbiór lub odmówią rejestracji i wtedy będzie się miało całkowitą i bezsprzeczną pewność o braku przesłanek do prób rejestracji takich danych.
Proste i logiczne rozwiązanie.

Temat: Proszę o pomoc, problem nietypowy: konieczność zgłoszenia...

Art. 8 ust. 2 ustawy o usługach detektywistycznych określa że:

Detektyw uprawniony do przetwarzania danych osobowych, w związku z wykonywaniem przez niego czynności detektywa, nie może powierzać przetwarzania danych innemu podmiotowi.

Mam w związku z tym wątpliwości, czy detektyw może zlecić prowadzenie księgowości innemu podmiotowi? W końcu znajdą się tam pewne dane dotyczące kontrahentów, a więc "w związku z wykonywaniem przez niego czynności detektywa"...?

Temat: Proszę o pomoc, problem nietypowy: konieczność zgłoszenia...

Pani Karolino,

Jak najbardziej bym zgłosił zbiór do GIODO. Przedwszystkim dlateg, że nie ma tutaj mowy o zbiorach tymczasowych. Zbiory techniczne, tymczasowe to zbiory tworzone na w trakcie przetwarzania danych w celu np. przygotowania raportu. W przypadku agencji dedektywistycznej przetwarzanie tych dancy zwykle nie trwa jeden dziń ale nieco dłużej.

Wspomniała Pani, że dane są niszczone po zakończeniu sprawy. Może się czepiam ale określibym bym to raczej jako archwizowanie w ludzkiej pamięci. Dedektywi zwykle pamiętają większość swoich spraw co czasami się im przydaje.

Poza tym, proszę zauważyć, że ustawa o usługach dedektywistycznych upoważnia tą grupę do przetwarzania danych osobowych ale nie zwalnia z stosowania rygorów uodo w zakresie przetwarzania danch. Rozumiem tu nie tylko zbieranie danych ale również dbałość o nie.

Co do wątpliwości p. Leszka to mamy tu do czynienia z przetwarzaniem danych zawartych na umowie cywilno prawnej i koniecznych do realizacji (dokładnie mówiąc pewnej części) tejże umowy (Art. 23.1 pkt 3). Więc raczej nie ma tu problemu nawet z punktu widzenia uodo.