GoldenLine
Zaloguj się
Adam Buciński

Adam Buciński samodzielny
specjalista ds.
programów PUP,
konsultant itp.

Temat: Imię i nazwisko, szkolenia a ochrona danych osobowych

Dzień dobry
Mam taką zagwozdkę dotyczącą przetwarzania danych osobowych związaną z projektem unijnym realizowanym w ramach PO KL.
Abstrahując od tego, że w tej kwestii mam interpretację GIODO a stanowisko MRR jest odmienne (wg mnie błędne) mam takie pytanie:
1. Czy jeżeli przekazuje firmie szkoleniowej jedynie imiona i nazwiska uczestników szkolenia to można mówić, iż przekazuje im dane osobowe (załóżmy, że imiona i nazwiska są typowe, brak charakterystycznych) i należy zawrzeć umowę o powierzenie danych osobowych z firmą szkoleniową?
2. Opcja druga
Wydajemy uczestnikowi skierowanie, gdzie jest wskazane, że instytucja taka i taka kieruje Pana/i (tu imię i nazwisko) na szkolenie i nazwa. I firma szkoleniowe przyjmuje taką osobę po okazaniu przez nią takiego skierowania.
Byłbym pewny, że nie dochodzi w tych przypadkach do przekazania danych osobowych, ale w innej instytucji kontrola z IP (Instytucji Pośredniczącej) nakazała zawieranie umów o powierzenie danych (ale nie wiem czy to nie była nadgorliwość).
Potrzebne mi byłby jakieś opinie, decyzje, wyroki , żebym mógł to dobrze udokumentować dla kontroli.
Ja bym wolał żeby to nie było powierzenie danych, bo mam obecnie sytuację taką:
MRR - zawierać umowy o powierzenie danych (ale jeżeli dochodzi do przekazania danych)
GIODO - nie zawierać, bo nie jesteśmy do tego uprawnieni (administratorem jest MRR) możemy udostępnić za zgodą uczestnika w celu udzielenia mu wsparcia.
I tak kontrola będzie postępowała wg MRR, a przecież właściwym jest w tych kwestiach GIODO (nawet tak się zastanawiałem czy ich nie napuścić na siebie, ale z GIODO czekałem ponad 4 m-ce na interpretację to mi się odechciewa).
Pozdrawiam
Link do wypowiedziLink
Leszek K.

Leszek K. Zarządzanie
bezpieczeństwem
informacji. Dane
osobowe.

Temat: Imię i nazwisko, szkolenia a ochrona danych osobowych

W moim przekonaniu
1) samo imię i nazwisko nie stanowią danych osobowych (nie identyfikują jednoznacznie osoby)
2) imię i nazwisko oraz dane pracodawcy pozwalają na identyfikację osoby.

Samych imion i nazwisk nie należy traktować jako dane osobowe, bo tworzą one zbiór pewnej ilości osób o określonym imieniu i nazwisku, ale nie pozwalają na jednoznacznie ustalenie tożsamości danej osoby. Imiona i nazwiska unikatowe bez wątpienia ułatwiają zidentyfikowanie osoby, mimo to same nie stanowią danych osobowych, bo jak stwierdzić, że dane imię i nazwisko jest właśnie unikatowe?

Samo imię i nazwisko dopiero w połączeniu z inną dodatkową informacją o osobie może stać się danymi osobowymi np.:
* Leszek Kępa – autor książki o ochronie danych osobowych,
* Bronisław Komorowski – prezydent,
* Leszek Czarnecki – biznesmen,
* Stefan Żeromski ze Strawczyna.

Inna sprawa, że rzadko kiedy występują same imiona i nazwiska, bez kontekstu. A kontekst nadaje często możliwość identyfikacji osoby, ustalenia jej tożsamości. Leszek K. edytował(a) ten post dnia 25.06.12 o godzinie 12:51
Link do wypowiedziLink
Roman Janas

Roman Janas Tech. Sup. & Opr.
Supervisor, Amway
Polska Sp. z o.o.

Temat: Imię i nazwisko, szkolenia a ochrona danych osobowych

Panie Leszku,

Jak mówią matematycy wyjątek potwierdza regułę ale w tym przypadku chyba raczej przeczy.

Wszystko było by ok jeżeli nie mielibyśmy do czynienia z imionami i nazwiskami rzadkimi.

Przykładowo jeżeli mamy Mścisława Kowalskiego to trudno nie uznać tego za dane osobowe. O ile Kowalskich jest naprawdę wielu to Mścisław Kowalskich o ile istnieje na 99,99% jest jeden.

Żeby nie być gołosłownym. Serwis moikrewni.pl na zapytanie Kowalski podaje liczbę 67 203, Janas 9695, Kępa 8051. Ale już np. nazwisko Hanaka daje wynik jedynie 122, a Dałkowski jedynie 95. Dodam, że można tam obejrzeć rozkład geograficzny występowania nazwisk.

Jeżeli do nazwiska dodamy imię to mamy płeć więc liczba osób o danym nazwisku zmniejsza nam się przyjmując założenia statystyczne o połowę.

Tak więc nie ryzykowałbym stwierdzenia, że baza imin i nazwisk nie jest bazą danych osobowych. Tym bardziej, że w Polsce, ze względu na gramatykę język i składnię jest to de fakto baza imin, nazwisk i płci.
Link do wypowiedziLink
Roman Janas

Roman Janas Tech. Sup. & Opr.
Supervisor, Amway
Polska Sp. z o.o.

Temat: Imię i nazwisko, szkolenia a ochrona danych osobowych

Przepraszam przeczytałem komentarz p. Leszka a nie zerknąłem na początek.

Według mnie w obu opcjach trzeba jednak zawrzeć umowę o przetwarzanie danych.

Co do ADO to jeżeli Państwo zbierają dane i decydują co z nimi zrobić to jak najbardziej jesteście Państwo Administratorem danych.
Link do wypowiedziLink
Adam Buciński

Adam Buciński samodzielny
specjalista ds.
programów PUP,
konsultant itp.

Temat: Imię i nazwisko, szkolenia a ochrona danych osobowych

Uściślając my zbieramy dane, ale ADO jest wyraźnie wskazany - to Ministerstwo Rozwoju Regionalnego (i taką informację podpisują uczestnicy projektu). Jest to zawarte w umowie o dofinansowanie projektu. My mamy tylko powierzone przetwarzanie danych. Ot taka ciekawa konstrukcja.
Czy umowę o powierzenie danych:
1. Wg GIODO taką umowę powinien zawrzeć tylko ADO.
2. Powiatowe Centrum Pomocy Rodzinie (bo o taką jednostkę chodzi) nie może powierzać innym podmiotom danych w innym celu niż same przetwarzają. Jeżeli ktoś ma dostęp może porównać interpretacje jak w przypadku powiatowych urzędów pracy (cel instytucji szkoleniowej i cel pup nie jest tożsamy).
I tak jeszcze kilka punktów jest w interpretacji z GIODO, którą otrzymałem.
W jaki sposób firma szkoleniowa bez dodatkowych danych mogłaby łatwo zidentyfikować osobę?
Pozdrawiam
Link do wypowiedziLink
Roman Janas

Roman Janas Tech. Sup. & Opr.
Supervisor, Amway
Polska Sp. z o.o.

Temat: Imię i nazwisko, szkolenia a ochrona danych osobowych

Panie Adamie,

To jest możliwe do zrobienia. Trzeba zachować tylko odpowiedni podmiot, który będzie przekazywał dane, umowa lub modyfikacja umowy o przetwarzanie danych między MRR a Pana instytucją i odpowiednio sformułowany tekst na "skierowaniu" na szkolenie.

Natomiast co do identyfikacji to jeżeli konieczna jest identyfikacja użytkownika to jedyne co można zrobić to identyfikację odwrotną. To znaczy firma szkoleniowa podaje Państwu dane a Państwo je weryfikują i potwierdzają zgodność lub nie.

Trochę kombinatoryki ale da się to zrobić tak, że wszyscy będą zadowoleni i wszystko będzie zgodnie z przepisami.
Link do wypowiedziLink
Jarosław Żabówka

Jarosław Żabówka Administrator
Bezpieczeństwa
Informacji (ABI).

Temat: Imię i nazwisko, szkolenia a ochrona danych osobowych

Adam Buciński:
Uściślając my zbieramy dane, ale ADO jest wyraźnie wskazany - to Ministerstwo Rozwoju Regionalnego (i taką informację podpisują uczestnicy projektu). Jest to zawarte w umowie o dofinansowanie projektu. My mamy tylko powierzone przetwarzanie danych.

Gdy ostatnio się tym zajmowałem, Ministerstwo powierzało jedynie zbiór danych przetwarzanych w celu kontroli i ewaluacji projektu (PEFS) i rzeczywiście tego zbioru nie można było podpowierzać.
Ale to jest zupełnie inny zbiór, niż zbiór danych przetwarzanych w celu realizacji projektu (inny cel przetwarzania), którego administratorem byliby Państwo. I tu już możecie podpisać umowę powierzenia.

Teraz czytam (np. tutaj: http://efs.slaskie.pl/?grupa=2&art1=1328528049), że administratorem wszystkich danych jest Ministerstwo. Nie bardzo mi się chce w to wierzyć. Czy rzeczywiście tak teraz to wygląda, czy też znowu w informacjach z Ministerstwa ktoś, coś pomieszał?

----------------------------------------

Nie mogę zgodzić się ze stwierdzeniem, że w tym wypadku imię i nazwisko nie będą danymi osobowymi, bo nie można zidentyfikować osoby. Przecież właśnie w tym celu je udostępniamy, żeby prowadzący szkolenie zidentyfikował konkretną osobę fizyczną i potwierdził jej udział w szkoleniu.
Link do wypowiedziLink
Adam Buciński

Adam Buciński samodzielny
specjalista ds.
programów PUP,
konsultant itp.

Temat: Imię i nazwisko, szkolenia a ochrona danych osobowych

Panie Jarosławie, Panie Romanie
Wg mojego doświadczenia to w przypadku Ministerstwa Rozwoju Regionalnego wszystko jest możliwe.
Do nich właśnie nie dociera, że coś innego to dane osobowe związane z PEFS, a co innego to podane do firmy szkoleniowej w celu identyfikacji osoby. I się upierają żeby wszędzie zawierać umowy o powierzeniu danych, a to nie jest ani takie oczywiste ani potrzebne:
I tak z mojego stanu wiedzy:
1. Owszem z instytucją szkoleniową powinniśmy zawrzeć umowę o powierzenie danych, jeżeli instytucja ta miałaby obowiązek właśnie zebrać dane uczestników zgodne z zakresem PEFS - posiłkuje tu się interpretacją GIODO w przypadku powiatowych urzędów pracy.
2. Możemy udostępnić dane (akurat w przypadku powiatowego centrum pomocy rodzinie) firmie szkoleniowej - po pierwsze mamy na to zgodę uczestnika, po drugie o ile kiedyś sprawdzałem ma to umocowanie w ustawie o pomocy społecznej.
Jeżeli możemy więc udostępnić dane niezbędne do udzielenia wsparcia osobie to czemu mam zawierać umowę o powierzeniu przetwarzania danych? Właśnie dla mnie to coś nie halo. To firma szkoleniowa chyba powinna jak coś zebrać zgody na przetwarzanie danych osobowych od uczestników (nie mieszając już nas) jak chce przetwarzać te dane.
Kwestia ewentualna to czy konieczne jest zawarcie umowy w przypadku udostępnienia danych.
Na dodatek mam problem z firmami szkoleniowymi, gdy są upoważnienie do przetwarzania danych ustawowo (tak jest chyba w przypadku ośrodków szkolenia kierowców).
Dla mnie imię i nazwisko akurat w tym przypadku nie jest daną osobową, bo właśnie to tak sobie wyobrażałem (może mylnie):
My podajemy imię i nazwisko, osoba przychodzi do instytucji szkoleniowej, która bierze od niej zgodę na przetwarzanie danych i dodatkowe dane typu zamieszkanie czy PESEL, firma szkoleniowa kontaktuje do nas w celu weryfikacji osoby.
Pozdrawiam
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Imię i nazwisko, szkolenia a ochrona danych osobowych

Panie Adamie.

A jaki jest cel przetwarzania danych osobowych? Główny cel?
Link do wypowiedziLink
Adam Buciński

Adam Buciński samodzielny
specjalista ds.
programów PUP,
konsultant itp.

Temat: Imię i nazwisko, szkolenia a ochrona danych osobowych

Panie Grzegorzu
Jeżeli dobrze rozumiem pytanie to: głównym celem przetwarzania danych uczestników projektu jest ich aktywizacja zawodowa zwiększająca szansę na znalezienie zatrudnienia.
Pozdrawiam
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Imię i nazwisko, szkolenia a ochrona danych osobowych

A kto organizuje ten projekt aktywizacji zawodowej?
Link do wypowiedziLink
Adam Buciński

Adam Buciński samodzielny
specjalista ds.
programów PUP,
konsultant itp.

Temat: Imię i nazwisko, szkolenia a ochrona danych osobowych

Panie Grzegorzu
Realizatorem projektu jest powiatowe centrum pomocy rodzinie.
Pozdrawiam
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Imię i nazwisko, szkolenia a ochrona danych osobowych

A szkolenia jak rozumiem są jedną z części tego programu?

Więc na moje oko dane są przetwarzane do celu realizacji programu i tylko do niego. Decydującym o zakresie przetwarzania danych osobowych jest PCPR, który jest według mnie ADO.

Firma szkoleniowa nie realizuje projektu otwartego, tylko na zlecenie PCPR, czyli coś jakby szkolenie zamknięte. Dlatego dane powinny być powierzone firmie szkoleniowej i przetwarzane tylko do celu realizacji szkolenia, bez możliwości ich dalszego wykorzystania przez podmiot szkolący. Wyjątkiem mogą być uprawnienia państwowe jakie można nabyć na podstawie dokumentu potwierdzającego ukończenie szkolenia (np kursy licencyjne).

Żeby nieco jaśniej. Osoby przyszły do PCPR po pomoc, a nie do firmy szkoleniowej po szkolenie, więc analogii ze szkolenia kierowców tu nie odnajduję. Tam podstawą jest dwustronna umowa o szkolenie między kursantem a ośrodkiem, tu stronami umowy o szkolenie jest PCPR i firma szkoląca. Dlatego to PCPR jest administratorem, on decyduje w jaki sposób realizowany jest projekt i również w tym zakresie kto i jakie dane osobowe uczestników projektu powinien otrzymać. Tu jest ten obowiązek i prawo oceny adekwatności przetwarzania danych osobowych jak również zabezpieczenia ich przed niewłaściwym wykorzystaniem.

Moim zdaniem zbieranie danych osobowych od uczestników przez ośrodek szkoleniowy byłoby celowe tylko w sytuacji gdy refundujecie szkolenie, a umowa o szkolenie zawierana jest miedzy ośrodkiem a szkolącym.

Reasumując. PCPR jako administrator danych osobowych. Umowa powierzenia DO ośrodkowi, w celu realizacji konkretnego szkolenia. Z tym, że moim zdaniem może to być kilka paragrafów w umowie, a nie odrębny dokument.
Link do wypowiedziLink
Adam Buciński

Adam Buciński samodzielny
specjalista ds.
programów PUP,
konsultant itp.

Temat: Imię i nazwisko, szkolenia a ochrona danych osobowych

Panie Grzegorzu
Ale odróżnijmy jedną kwestię udostępnienie czy powierzenie.
W interpretacji, którą otrzymałem z GIODO (czekałem skromne 4 miesiące) mam stwierdzone:
1. Udostępnianie danych osobowych uczestników programów pomocowych UE opiera się na przesłance art. 23 ust. 1 pkt 1 - tj. zgodzie osoby, której dane dotyczą.
2. Natomiast w zakresie powierzania GIODO stwierdził, że:
- jedynie administrator danych może powierzyć dane osobowe innemu podmiotowi
tutaj proszę zobaczyć oświadczenie i kto jest administratorem
http://efs.slaskie.pl/?grupa=2&art1=1331281379
- w przypadku powierzenia danych osobowych uczestnika na podstawie art. 23 ust. 1 pkt 3 musiałby być on stroną umowy z administratorem danych
Niestety mam tą interpretację jako skan w pdf tak, że nie mogę całości skopiować.
Odpowiedź MRR też mam (i wg mnie nie rozróżniają oni właśnie kwestii udostępnienia a powierzenia) - mogę oba podesłać na maila.
Owszem jako PCPR mógłbym sam zawrzeć taką umowę powierzenie w zakresie realizacji, ale przy realizacji projektu wymagana jest zgoda Instytucji Pośredniczącej, czyli tak jakby wracamy do trybu, że PCPR ma powierzone przetwarzanie danych.
Żeby było ciekawej, to uczestnictwo w projekcie opiera się na umowie pomiędzy uczestnikiem a pcpr, w której uczestnik zobowiązuje się do obycia szeregu form wsparcia w tym szkolenia. No i co z takim fantem, gdzie żeby zrealizować umowę trzeba przeprowadzić szkolenie?
Pozdrawiam
P.S. Ośrodki szkolenia kierowców jak najbardziej mieszamy 70% uczestników przechodzi szkolenie z zakresu prawa jazdy.
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Imię i nazwisko, szkolenia a ochrona danych osobowych

A to poproszę na maila opinię wraz z zapytaniem.
grzegorz.krzeminski@ibii.eu

Co do oświadczenia, na dole jest informacja, że wzór dostosowany przez odpowiednią IP. W jakim zakresie należy ten wzór dostosować?

I druga kwestia - z samego oświadczenia wprost wynika, że to jest MRR, ale tu nieco więcej informacji potrzeba. Poza tym, że moim zdaniem cel przetwarzania danych takie jak monitoring czy sprawozdawczość są nieco za szerokie. Z imienia i nazwiska w sprawozdaniu się pisze uczestników, czy powinny być tylko sztuki? To tak na pierwszy rzut oka.

Kto do was kieruje osobę? Czy może osoby się same zgłaszają?
Link do wypowiedziLink
Adam Buciński

Adam Buciński samodzielny
specjalista ds.
programów PUP,
konsultant itp.

Temat: Imię i nazwisko, szkolenia a ochrona danych osobowych

Wzór może, być modyfikowany. Natomiast ja się z tym nie spotkałem (woj. podlaskie i woj. mazowieckie). Jest on załącznikiem do umowy, więc mamy obowiązek taki zbierać.
Co do osób:
- wyszukujemy je z pośród klientów pcpr i proponujemy udział w projekcie.
- zgłaszają się same.
Czyli obie opcje.
pozdrawiam
Link do wypowiedziLink
Jarosław Żabówka

Jarosław Żabówka Administrator
Bezpieczeństwa
Informacji (ABI).

Temat: Imię i nazwisko, szkolenia a ochrona danych osobowych

Zawsze robiłem dokładnie tak, jak napisał Grzegorz. Jedyna wątpliwość, która tu się pojawia, to że teraz w dofinansowanych projektach, to MRR ma być ADO. Ma to pewien sens i przy pierwszym moim projekcie zastanawiałem się, czy tak nie przyjąć. Mam jednak wątpliwości, czy ta ustawa daje podstawę do przetwarzania wszystkich danych wrażliwych, które mogą się pojawić w projektach realizowanych przez OPS-y czy PCPR-y. Poza tym, MRR w żaden sposób nie decyduje o środkach przetwarzania tych danych.

Ten temat był zawsze zakręcony, a interpretacje Ministerstwa mijały się z prawdą. Dlatego chciałbym potwierdzić w innym źródle niż strona internetowa, że to MRR jest ADO. Tym bardziej, że jakieś pół roku temu, czytałem dokument który twierdził coś innego...
Link do wypowiedziLink
Adam Buciński

Adam Buciński samodzielny
specjalista ds.
programów PUP,
konsultant itp.

Temat: Imię i nazwisko, szkolenia a ochrona danych osobowych

Ależ proszę bardzo.
http://www.efs.gov.pl/Dokumenty/Strony/Dokumenty.aspx
punkt piąty - Zasady finansowania.
A tam str. 116 minimalny wzór umowy o dofinansowanie projektu - par. 21.
Nie muszę dodawać, że Instytucją Zarządzającą jest Ministerstwo Rozwoju Regionalnego?
Temat zakręcony, ale co ja mam powiedzieć, jak jestem jakby między młotem a kowadłem:)?
Przynajmniej wg mojej wiedzy.
Pozdrawiam
P.S. A jak się ma zmieszczenie takiego umocowania do dalszego powierzenia danych, jeżeli wg GIODO tylko administrator może zawierać takie umowy? Dla mnie to kontrowersyjne jest.
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Imię i nazwisko, szkolenia a ochrona danych osobowych

Adam Buciński:
Wzór może, być modyfikowany. Natomiast ja się z tym nie spotkałem (woj. podlaskie i woj. mazowieckie). Jest on załącznikiem do umowy, więc mamy obowiązek taki zbierać.
Co do osób:
- wyszukujemy je z pośród klientów pcpr i proponujemy udział w projekcie.
- zgłaszają się same.
Czyli obie opcje.
pozdrawiam

No to jak dla mnie jesteście ADO. Dane nie są pozyskane przez MRR tylko przez was do celów waszych. Potem moim zdaniem dane przekazujecie w celu włączenia do zbioru MRR, gdzie MRR staje się ADO całości.

I pewnie dlatego umowa powierzenia z firma szkoląca bo to są WASI klienci, nie MRR-a i to wy realizujecie projekt nie MRR.
Link do wypowiedziLink
Adam Buciński

Adam Buciński samodzielny
specjalista ds.
programów PUP,
konsultant itp.

Temat: Imię i nazwisko, szkolenia a ochrona danych osobowych

Panie Grzegorzu
Ok. tylko dlaczego musimy mieć zgodę Instytucji Pośredniczącej na zawarcie takiej umowy?
Pozdrawiam
A po za tym to czy pcpr w ogóle musi zawierać taką umowę w przypadku swojej normalnej działalności, jeżeli nie zawiera np. w przypadku turnusu rehabilitacyjnego, czy innych świadczeń?
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy





Wyślij zaproszenie do
Anuluj