Ochrona danych osobowych a zgłoszenia na imprezy

Cześć, nie znalazłem nigdzie żeby ten temat był poruszany, a to chyba błąd :-) Mianowicie;

Często zgłoszenia na imprezy odbywają się poprzez np. formularze google, gdzie należy podać prócz tak standardowych danych jak imię i nazwisko, to jeszcze swój adres czy numer PESEL, albo poprzez skrzynki pocztowe na które trzeba wysłać powyższe dane.

Kilka razy już słyszałem że nie możemy korzystać z tych dobrodziejstw, bo nie zapewniają odpowiedniej ochrony danych osobowych, dlatego nasuwają mi się takie pytania:

1. Po co w zgłoszeniach na imprezy często wymaga się numeru PESEL, adresu itp. itp.? Jest to do czegoś konieczne? A może wystarczy tylko imię i nazwisko i numer z ewidencji ZHP?

2. Czy poczta na którą są wysyłane zgłoszenia z danymi osobowymi musi być na hostingu zgodnym z wytycznymi GIODO, przez podpisanie umowy powierzenia przetwarzania danych osobowych?

3. Czy serwery ZHP są zgodne z wytycznymi GIODO?

Spotkałem się z tą stroną: https://rejestracja.zhp.pl/ i chyba dopiero ona spełnia wszelkie warunki prawne :-)

pytanie zadane 2 listopada 2015 w Przepisy, ewidencja, dokumentacja... przez użytkownika Michał Nowak (196)
Współczynnik akceptacji: 50%

1 odpowiedź

Najlepsza

Ad.1. Nie wiem po co, to zależy od organizatora. Ale zauważ, że w definicji GIODO dane osobowe to wszelkie dane, które pozwalają na jednoznaczną identyfikację osoby. Takimi danymi są już imię i nazwisko w połączeniu z emailem (a często nawet sam email), zatem nie ważne co dodamy więcej - numer ewidencyjny, PESEL czy cokolwiek innego - będą to dane osobowe.

Ad.2. Poczta jeśli dobrze pamiętam nie jest w rozumieniu GIODO zbiorem danych. Nie możesz odpowiadać za coś, co ktoś przysyła CI na Twoją pocztę. (ale to jest do sprawdzenia - nie umiem tu przytoczyć dokładnego przepisu).

Ad.3. Chodzi Ci o pocztę w zhp.net.pl i usługi z tym związane? Tu trzeba by się dowiedzieć jakie są zapisy umowy licencyjnej z Microshitemsoftem. Umowa taka musi zawierać zapisy dotyczące bezpieczeństwa przechowywania powierzonych danych, serwery spełniać muszą kilka wymogów bezpieczeństwa, oraz nie może być dostępu osób trzecich do powierzonych danych.

W przypadku google te wymogi nie były spełnione, gdyż dane były przechowywane na serwerach zewnętrznych, bez umowy w sprawie ich przechowywania, oraz miały do nich dostęp osoby trzecie (firma google konkretnie - zastrzega sobie w umowach dostęp do wszystkiego co u nich przechowujemy).

Ideą strony rejestracja.zhp.pl było właśnie odpowiedzenie na te problemy z zewnętrznymi firmami i przechowywaniem danych, zatem tak, w chwili obecnej to chyba najsensowniejsza opcja. Porównaj również ten komunikat:

http://komunikaty.gk.zhp.pl/node/515

odpowiedź 2 listopada 2015 przez użytkownika ♦Gacek (9,221)
wybrane 2 listopada 2015 przez użytkownika Michał Nowak

ad. 1. Często zbieranie w zgłoszeniach danych adresowych ma związek z rozliczaniem grantu pozyskanego na organizację danej imprezy – w wielu przypadkach grantodawca wymaga choć trochę weryfikowalnej listy uczestników. Do samych celów organizacyjnych naszej imprezy powinien wystarczyć numer ewidencyjny członka ZHP, wtedy zestaw imię + nazwisko + numer ewidencyjny nie stanowi danych osobowych z punktu widzenia osób spoza ZHP.

W ramach pedantyzmu dopisze jeszcze, że numer PESEL sam z siebie zawsze stanowi daną osobową, nawet bez nazwiska. Akurat konkretnie PESEL tak ma. ;)

ad. 3. Tak, taka właśnie była główna motywacja wyboru Microsoftu jako dostawcy usług – mają serwery na terenie UE, podpisali z nami umowę o ochronie danych osobowych.

komentarz 2 listopada 2015 przez użytkownika vanadey (15,575)

Czyli wychodzi na to że nie możemy wykorzystywać ankiet google, ale możemy korzystać z ankiet w Office 365 - udostępnionych nam w ramach zhp.net.pl :-) Czy ma ktoś jakiś źródło o podpisaniu umowy o ochronie danych osobowych?