איסוף נתונים אישיים - איך מזהים אותם?

שֵׁרוּת

מאמר חיצוני

מחבר: Mariola Malicka, יועצת משפטית בכתובת www.przetwarzaniedanych.pl

איסוף נתונים אישיים הוא אחד ממושגי היסוד בתחום דיני הגנת מידע אישי. לאור חוק זה, אוסף נתונים אישיים הוא מכלול נתונים אישיים, בעלי מבנה משלו, בהם נתונים זמינים לפי קריטריונים ספציפיים.

האוספים יהיו אלו המעובדים באופן מסורתי, באופן ידני (תיקיות, קבצים), וגם אוטומטיים המעובדים במערכות IT (מאגרי מידע מקצועיים).

נראה שהעניין פשוט וכל סט מובנה של נתונים אישיים, המעובדים בצורה מסורתית או אוטומטית, קל יחסית לזהות כסט. עם זאת, לרוב בקרי הנתונים יש בעיות רבות בהבנת הסוגיות הקשורות להגנה על נתונים אישיים בהיקף חובותיהם. אחד הנושאים החשובים בתחום הגנת מידע אישי, איתם מתמודדים יזמים בהבנה, הוא איסוף נתונים אישיים.

התרגול מראה שזיהוי קבצי נתונים אישיים עדיין גורם לא מעט בעיות. לעתים קרובות, במהלך ביקורת, יזמים מופתעים מכך שהם מעבדים כל כך הרבה סטים של נתונים אישיים בארגון שלהם. הם לא מבינים ולא ממש מרגישים צורך להבחין בין סטים שונים בחברה.

לבסוף, כדאי לתת למנהל מתחיל כיצד לזהות קבוצה של נתונים אישיים בארגון שלך:

  • אוסף נתונים אישיים, לאור חוק הגנת נתונים אישיים, חייב להיות בעל מבנה מסודר, הוא לא יכול להיות קבוצה אקראית,
  • קבוצה היא קבוצה של נתונים זמינים לפי קריטריונים ספציפיים

לטענת המפקח הראשי על נתונים אישיים, על מנת לסווג כל סט של נתונים כמכלול כמשמעותו בחוק הגנת נתונים אישיים, די בקריטריון אחד כדי למצוא נתונים אישיים במערך. האפשרות לחפש לפי כל קריטריון אישי (למשל שם, שם משפחה, תאריך לידה, מספר PESEL) או לא אישי (למשל תאריך הזנת הנתונים במערכת התיוק) קובעת את האופי המובנה של מערך הנתונים ובכך מאפשרת הסט שיסווג כמערך נתונים אישי.

טיפים מקוונים

מנהלים חברה ויש לכם שאלות?

נצלו את ייעוץ המומחים של מדריך היזמים

ייעוץ מקוון לעסקים

לאור עמדה זו, מערך חוזים, למשל, חוזי רכישה ומכירה המסודרים באופן כרונולוגי לפי תאריך הסיום, כל עוד נוצרת אפשרות גישה לנתונים אישיים על פי קריטריון כלשהו, ​​יהיה מכלול אישי. נתונים במשמעות ה-GDPR.

לעתים קרובות גם יזמים יוצרים סטים רבים ושונים, אותם הם מזהים כסט אחד. לדוגמא, לא ניתן להגיש את בסיס הלקוחות של החנות המקוונת המעובדת למטרות שונות, כגון עיבוד הזמנות, שיווק, ניהול מאגר של חוזים במשפט אזרחי, לרישום למפקח הכללי להגנת מידע אישי כקבוצה אחת של נתונים אישיים. .

לצורך יישום מטרות שונות, יהיה צורך בעיבוד נתונים אישיים בהיקפים שונים, כלומר, הגשת מערכת תיוק לרישום אינה נוגעת למערכת אחת, אלא למספר מערכות תיוק למטרות שונות.

בסופו של דבר, הפרשנות האם עסקינן בסט כמשמעותו בחוק הגנת מידע אישי עם מלוא ההשלכות הנובעות מעובדה זו עשויה להיעשות על ידי הרשות להגנת מידע אישי או - במקרה של מחלוקת - על ידי בית משפט.