GIODO, osoba prywatna i PESEL Opcje

[KsaR]

Czy jako osoba prywatna muszę przesyłać dane PESEL do GIODO jeśli będą odpowiednio zabezpieczone przed osobami trzecimi ? (Czyt. Na użytek administracji w celu weryfikacji, żadnego udostępniania osobą trzecim).
__
Jeśli ktoś się zna to prosiłbym o link do KW lub KK.
__
Pytam bo kilka osób mi wytykało że takie dane muszę zgłaszać odrazu inaczej będzie to nie legalne, a wiem że jest sporo serwisów wykorzystujących dane prywatne za zgodą użytkownika które nie korzystają z GIODO.

Ten post edytował KsaR 11.09.2016, 19:25:06

[gitbejbe]

Zgodnie z art. 6 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t. j. Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.), za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne (art. 6 ust. 2 ustawy). Stosownie do ust. 3 powołanego przepisu, informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu i działań. Danymi osobowymi będą zatem zarówno takie dane, które pozwalają na określenie tożsamości konkretnej osoby, jak i takie, które nie pozwalają na jej natychmiastową identyfikację, ale są, przy pewnym nakładzie kosztów, czasu i działań, wystarczające do jej ustalenia. Daną osobową będzie taka informacja, która pozwala na ustalenie tożsamości danej osoby, bez nadzwyczajnego wysiłku i nakładów, zwłaszcza przy wykorzystaniu łatwo osiągalnych i powszechnie dostępnych źródeł. Poza zakresem przedmiotowej definicji znajdzie się zatem taka informacja, na podstawie której identyfikacja osoby wymagać będzie nieracjonalnych, nieproporcjonalnie dużych nakładów kosztów, czasu lub działań.

Z tego co wiem, sam fakt że zbierasz dane osobowe - zwłaszcza PESEL, już obliguje Cię do zgłoszenia zbioru - niezależnie od tego czy dane są bezpieczne czy nie. Zgłaszając zbiór podajesz również sposób w jaki przetrzymujesz dane i wtedy również piszesz o ewentualnych zabezpieczeniach, ale tak czy siak musisz zgłosić zbiór.

http://www.giodo.gov.pl/317/id_art/973/j/pl/

[trueblue]

W jakim celu zbierasz te dane? Tzn. na jakie potrzeby?

[KsaR]

W jakim celu zbierasz te dane? Tzn. na jakie potrzeby?

Jak na razie nie zbieram tylko przedstawiłem kilku osobom pomysł i wyszło na to że trzeba zgłaszać.

*Pomysł* mam taki żeby lepiej walidować wiek osoby. Bo z zwykłym podaniem daty byłoby za prosto.
Pesel można ominąć generatorami jak i nawet za pożyczyć od kogoś ale myślę że takich wypadków by nie było - i prędzej by poszukali innego *projektu*(i akurat nie mam nic przeciwko)
dodatkowo z pesel można płeć wyciągnąć a to także może mi się przydać w *projekcie*

Pomysł brzmi słabo jednak innego rozwiązania nie widzę poza tymi banalnymi...(jak podanie daty ur.)

Zarazem dziwi mnie potrzeba zgłaszania takich danych do GIODO... bo sam pesel na nic im się nie przyda

[trueblue]

Ale będziesz PESEL przechowywał czy będzie tylko wykorzystany w momencie walidacji?
To może być kluczowa kwestia.

Niezależnie od tego, proponowałbym Ci wysłać zapytanie mailowe podając swoje dane adresowe - dostaniesz polecony z wyjaśnieniem.
A to dlatego, że np. przechowywanie danych klientów na potrzeby wystawiania faktur wcale nie jest obłożone obowiązkiem rejestrowania zbioru, ale gdyby już korzystać z tych danych do wysyłki np. mailingu (nawet życzenia świąteczne), to już tak.

[KsaR]

Ale będziesz PESEL przechowywał czy będzie tylko wykorzystany w momencie walidacji?
To może być kluczowa kwestia.
[...]

Raczej tylko w momencie rejestracji będzie obliczane czy poprawny - jeśli tak to zapiszę date ur i płeć. Dalej potrzebny raczej nie będzie.

[trueblue]

Według informacji z GIODO PESEL jest daną osobową, co jest moim zdaniem idiotyzmem. Pytanie czy ze względu na to, że data urodzenia + płeć, nie mają kilku dodatkowych cyferek już nie są danym osobowymi (ale pewnie są), czy ze względu na swoje źródło pochodzenia są.
Lepiej się dowiedzieć.

[adam9870]

Wg Ustawy o ochronie danych osobowych:

Art. 6. 1. W rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.
2. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer
identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.
3. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.

PESEL nie musi być daną osobową. Przykład: czy gdybyś znalazł kartę z 11 cyframi (moim PESELem) na ulicy to wiedziałbyś o kogo chodzi? Nie.

USTAWA z dnia 29 sierpnia 1997 r. o ochronie danych osobowych1
Art. 3a. 1. Ustawy nie stosuje się do:
1) osób fizycznych, które przetwarzają dane wyłącznie w celach osobistych lub domowych;

Nie każdy ma obowiązek rejestracji zbioru danych osobowych.

Art. 43. 1. Z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych:
8) przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej;
11) przetwarzanych w zakresie drobnych bieżących spraw życia codziennego;

Jeżeli powołasz (i zgłosisz do GIODO) tzw. administratora bezpieczeństwa informacji w firmie, to nie jest wymagane zgłaszanie zbioru danych do GIODO.

Art. 43.
1a. Obowiązkowi rejestracji zbiorów danych osobowych, z wyjątkiem zbiorów zawierających dane, o których mowa w art. 27 ust. 1, nie podlega administrator danych, który powołał administratora bezpieczeństwa informacji i zgłosił go Generalnemu Inspektorowi do rejestracji, z zastrzeżeniem art. 46e ust. 2.

[trueblue]

Wg Ustawy o ochronie danych osobowych:

PESEL nie musi być daną osobową. Przykład: czy gdybyś znalazł kartę z 11 cyframi (moim PESELem) na ulicy to wiedziałbyś o kogo chodzi? Nie.

Przykładem pojedynczej informacji stanowiącej daną osobową jest natomiast numer PESEL, który zgodnie z art. 15 ust. 2 ustawy z dnia 24 września 2010 r. o ewidencji ludności (Dz.U. z 2015 r. poz. 388) jest 11-cyfrowym symbolem numerycznym, jednoznacznie identyfikującym osobę fizyczną, w którym sześć pierwszych cyfr oznacza datę urodzenia (rok, miesiąc, dzień), kolejne cztery - liczbę porządkową i płeć osoby, a ostatnia jest cyfrą kontrolną służącą do elektronicznej kontroli poprawności nadanego numeru ewidencyjnego. Można więc stwierdzić, że numer PESEL ex definitione stanowi daną osobową, a jej przetwarzanie podlega wszelkim rygorom przewidzianym w ustawie o ochronie danych osobowych.

http://www.giodo.gov.pl/317/id_art/973/j/pl/

[adam9870]

czy gdybyś znalazł kartę z 11 cyframi (moim PESELem) na ulicy to wiedziałbyś o kogo chodzi?

[trueblue]

A co mają do tego co zacytowałem moje możliwości poznawcze(?)