Odpowiedź Generalnego Inspektora Danych Osobowych z dnia 14 kwietnia 2008 na pytanie "Rz" dotyczące ochrony danych osobowych podczas organizacji zjazdów naukowych

Podmiot organizujący zjazd naukowy (lub innego rodzaju konferencję) powinien, przy przetwarzaniu danych danych osób zainteresowanych uczestnictwem w nich, przestrzegać zasad postępowania wynikających z ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2002 r. Nr 101, poz. 926, z późn. zm.)

Do Generalnego Inspektora Ochrony Danych Osobowych dotarły sygnały, z których wynikało, że dane osób zainteresowanych uczestnictwem w niektórych zjazdach naukowych, gromadzone są na stronach internetowych w zakresie nieadekwatnym do celu ich przetwarzania. Pod wskazanym adresem znajdowały się bowiem formularz rejestracyjny z następującym zakresem danych: Pesel, imię, nazwisko, tytuł, instytucja, adres do korespondencji, telefon, e-mail.

Ponadto, poważne wątpliwości budzi w tym przypadku legalność przetwarzania danych osobowych, albowiem brak jest w formularzu tzw. klauzuli zgody na ich przetwarzanie, jak również nie został dopełniony obowiązek informacyjny.

W tym miejscu wskazać należy, że legalność przetwarzania danych przez ich administratora, którym - zgodnie z art. 7 pkt 4 w zw. z art. 3 ust. 2 pkt 2 ustawy - jest m. in. osoba prawna, jeżeli przetwarza dane osobowe dla realizacji celów statutowych, o ile decyduje o celach i środkach przetwarzania tych danych, uzależniona jest od spełnienia szeregu obowiązków określonych w przepisach ustawy oraz wydanych na jej podstawie aktów wykonawczych. Do najważniejszych z nich należą:

1) obowiązek legitymowania się jedną z przesłanek legalności przetwarzania danych, które w odniesieniu do danych osobowych zwykłych określone zostały w art. 23ust. 1 ustawy, zaś danych szczególnie chronionych – w art. 27 ust. 2,

2) obowiązek informacyjny unormowany – w zależności od tego, czy dane zbierane są bezpośrednio od osoby, której one dotyczą, czy też z innego źródła – w art. 24 lub 25 ustawy,

3) obowiązek dołożenia szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, poprzez zapewnienie, aby dane były przetwarzane zgodnie z prawem, zbierane dla oznaczonych, zgodnych z prawem celów i nie poddawane dalszemu przetwarzaniu niezgodnemu z tymi celami, merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane, przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania (art. 26 ustawy),

4) obowiązek respektowania praw osób, których dane dotyczą, określonych w rozdziale 4 ustawy,

5) obowiązek zastosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy, zmianą, utratą, uszkodzeniem lub zniszczeniem, o których mowa w art. 36 – 39 ustawy, zaś w przypadku przetwarzania danych w systemie informatycznym – w przepisach rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024)

6) wynikający z art. 40 ustawy obowiązek zgłoszenia zbioru danych osobowych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych, z wyjątkiem przypadków, o których mowa w art. 43 ust. 1 pkt 1 – 11.

Wobec powyższego, proponuję wziąć pod rozwagę przy organizacji kolejnych konferencji konieczność uwzględnienia ww. obowiązków ciążących na administratorze danych.