Category: Ochrona danych

Luty 15th, 2018 by D90aar_i-a

Kontynuując cykl artykułów dotyczących przygotowania się na rozpoczęcie stosowania rozporządzenia unijnego dotyczącego ochrony danych osobowych czas pochylić się nad bardzo istotnym zagadnieniem, które jest niezwykle ważne dla każdego Administratora Danych Osobowych (ADO). Podstawy przetwarzania danych od tego powinniśmy rozpocząć prace nad wdrażaniem w naszej firmie, organizacji nowych przepisów dotyczących ochrony danych. Wiedza na ten temat jest nam niezbędna do wprowadzenia w życie obowiązków, które nakłada na nas ustawodawca unijny oraz uzupełniająco rodzimy. Etap ustalenia na jakiej podstawie prawnej działamy jest elementem, który powinien nastąpić w momencie gdy posiadamy już wiedze jakiego rodzaju dane przetwarzamy i po co są nam one potrzebne. Wróćmy wiec do podstaw czyli wskazanych w treści rozporządzenia podstaw przetwarzania danych osobowych, należą do nich:
a) zgoda czyli osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
b) umowa czyli przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
c) obowiązek prawny czyli przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
d) ochrona żywotnych interesów czyli przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
e) interes publiczny czyli przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
f) prawnie uzasadnione interesy czyli przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

To na ADO nałożony jest obowiązek posiadania wiedzy na jakiej podstawie przetwarza dane. Wiedza ta jest niezbędna do projektowania całego procesu ochrony danych osobowych w firmie, organizacji czy instytucji publicznej. Aby tego dokonać warto skorzystać z pytań pomocniczych, na które odpowiedź pozwoli nam dowiedzieć się jaka podstawa jest właściwa.

Pytania:
1. Po co pozyskuje dane?
2. Jestem podmiotem publicznym czy prywatnym?
3. Czy dane są mi niezbędne do zawarcia i realizacji umowy z osoba fizyczną?
4. Czy przepisy prawa regulują działania podejmowane przeze mnie ?
5. Czy moja działalność realizuje prawnie chroniony interes ?

Podstawa wskazana w pkt f nie dotyczy ADO będących podmiotem publicznym.

Posted in Ochrona danych

Styczeń 29th, 2018 by D90aar_i-a

Komisja Europejska uruchomiła stronę internetową, na której opublikowane są pytania dotyczące rozporządzenia unijnego oraz odpowiedzi na pytania, przykłady zastosowania przepisów oraz rekomendacje. Ma to ułatwić obywatelom państw członkowskich posługiwanie się nowymi przepisami. Pytania podzielone zostały na dwie grupy zasad dotyczących biznesowi i organizacjom oraz obcokrajowcom. Oprócz tego mamy wyjaśnienie takich pojęć jak ochrona danych osobowych. Na stronie znajdziemy również przygotowane przewodniki dotyczącej tematu ochrony danych osobowych do pobrania w formie PDF.

https://ec.europa.eu/commission/priorities/justice-and-fundamental-rights/data-protection/2018-reform-eu-data-protection-rules_en

Posted in Ochrona danych

Styczeń 28th, 2018 by D90aar_i-a

Obowiązek informacyjny istnieje na bazie obecnych przepisów ustawy o ochronie danych osobowych, rozporządzenie unijne rozszerza jednak ten obowiązek, zobowiązując Administratora Ochrony Danych (ADO) do przekazania osobie fizycznej dodatkowych informacji. Jak ma wyglądać to przekazanie informacji? Rozporządzenie nakłada na ADO obowiązek przekazania tych informacji podczas pozyskiwania danych osobowych. Forma może być dowolna, ale dla celów dowodowych dobrze jest ją przekazać w formie pisemnej. Niektórzy ADO wybiorą formę elektroniczną w postaci maila, może to być informacja przedstawiona w miejscu widocznym dla osoby udostępniającej dane osobowe, ustanie lub w formie papierowej przekazana tej osobie. Wybór formy należy do ADO. Co musi taka informacja zawierać? Jeżeli ADO zbiera dane osobowe bezpośrednio od tej osoby informacja ta powinna zawierać:
1) Nazwę ADO, dane kontaktowe (adres, telefon, mail), dane przedstawiciela (wystarczy tylko adres mailowy) oraz Inspektora Ochrony Danych Osobowych jeżeli jest powołany;
2) Cele w jakim chcemy przetwarzać dane osobowe;
3) Podstawę prawna na jakiej przetwarzamy dane osobowe;
4) Informacje kto jest lub będzie odbiorcą danych osobowych, które zbieramy;
5) Informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej jeżeli planujemy dokonać takiej czynności;
6) Podać okres przez jaki dane będą przechowywane lub kryteria ustalenia tego okresu;
7) Informacje o przysługujących osobie fizycznej prawach czyli prawie do sprostowania, usunięcia lub ograniczenia przetwarzania oraz wniesienia sprzeciwu i przenoszenia danych;
8) Jeżeli przetwarzamy dane osobowe na podstawie zgody osoby fizycznej wówczas musimy poinformować ta osobę o prawie do wycofania jej w każdym czasie;
9) Informacje o uprawnieniu osoby fizycznej do wniesienia skargi do organu nadzoru czyli następcy prawnego GIODO;
10) Informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana;
11) Jeżeli dokonujemy zautomatyzowanego podejmowania decyzji, w tym profilowania powinniśmy wyjaśnić zasady jego dokonywania.
Wzór takiej informacji w następnym artykule.

Posted in Ochrona danych

Styczeń 16th, 2018 by D90aar_i-a

Rekrutacja pracowników bardzo ważny element dla każdej firmy, jednostki sektora finansów publicznych. W tym obszarze każdy Administrator powinien również dbać o ochronę przetwarzanych danych osobowych.
Przede wszystkim zgodnie z zasadą minimalizacji danych wyrażoną w RODO, powinniśmy od pracowników wybranych w rekrutacji żądać tylko niezbędnych do nawiązania i utrzymania stosunku pracy danych osobowych. Zakres tych danych określa art. 221 Kodeksu pracy. Nalezą do nich:
– imię, nazwisko, imiona rodziców, data urodzenia, miejsce zamieszkania,
– wykształcenie, przebieg dotychczasowego zatrudnienia,
– dane dzieci, małżonka jeżeli jest to potrzebne,
– numer pesel,
Poza tymi danymi pracodawca nie ma prawa pozyskiwać innych danych. Jeżeli to zrobi to jego działanie należy utożsamiać z działaniem nielegalnym. Pracodawca może żądać w wyjątkowych sytuacjach innych danych w szerszym zakresie tylko i wyłącznie w konkretnie wskazanym celu i w minimalnym potrzebnym mu do jego realizacji zakresie. Pracodawca nie może pozyskiwać danych, które nie są mu potrzebne.
Podstawa przetwarzania danych osobowych osób biorących udział w rekrutacji jest zgoda tej osoby na przetwarzanie jej danych w procesie rekrutacji. Powinna ona spełniać reguły określone w rozporządzeniu unijnym być konkretna, jasna, świadoma, dobrowolna. Dane po zakończeniu procesu rekrutacji powinniśmy, więc usunąć niezwłocznie. Jeżeli jednak chcielibyśmy pozostawić je w celu wykorzystania ich w przyszłości, należy pozyskać od tej osoby zgodę na przetwarzanie danych osobowych w przyszłych prowadzonych przez nas rekrutacjach. Oznacza to również że nie mamy prawa prowadzić list, zestawień danych z rekrutacji by gromadzić informacje o osobach, które nie chcemy lub nie możemy zatrudnić.
Zamieszczając ogłoszenie z oferta zatrudnienia, powinniśmy zrealizować również obowiązek informacyjny wobec osób, które będą w nim uczestniczyć. Koniecznym jest podać w jego treści informacje o danych pracodawcy, celu przetwarzania, dobrowolności, prawie dostępu do danych. W ramach przepisów rozporządzenia katalog tych informacji jest rozszerzony. Osoba, która bierze udział w rekrutacji powinna otrzymać te wszystkie informacje dla celów dowodowych najlepiej w formie pisemnej. Jeżeli korzystamy z pośrednictwa firmy, które zamieszczają te ogłoszenia w procesie realizacji rekrutacji powinny one te zasady wprowadzić. Pamiętać należy, że dane te podlegają ochronie zgodnie z przepisami rozporządzenia.

Posted in Ochrona danych

Styczeń 9th, 2018 by D90aar_i-a

W ramach cyklu artykułów dotyczących RODO temat oceny ryzyka został już poruszony. Uzupełnimy go jednak o informacje zawarte w poradniku wydanym niedawno przez GIODO. Konkretnie skupimy się na dokonywaniu oceny ryzyka naruszenia ochrony danych osobowych. W procesie szacowania naruszenia szacowania tego ryzyka trzeba mieć na uwadze wiele czynników. W treści poradnika wskazuje się na takie elementy jak waga zagrożeń, wynikająca z rodzaju skutku urzeczywistnienia się zagrożeń. Podczas oceny ryzyka uwzględnić należy czy operacja przetwarzania jest niezbędna, czy ingerencja w prywatność związana z przetwarzaniem tych danych jest proporcjonalna do celów przetwarzania. Dokonując oceny trzeba uwzględnić czy prawdopodobieństwo i powagę ryzyka naruszenia praw lub wolności osoby, której dane dotyczą. Tym samym określić należy to uwzględniając charakter, zakres, kontekst i cele przetwarzania danych.
Jak wskazuje się w treści poradnika proces zarządzania ryzykiem powinien być wpisany w proces zarządzania organizacją dana firmą. W zależności od jej wielkości wprowadzić należy również rozwiązania. W dużych organizacjach konieczne może okazać się powołanie specjalnego zespołu do zarządzania ryzykiem. Bardzo istotnym elementem na który wskazuje poradnik jest włączenie w cały proces pracowników firmy. Zaznaczyć trzeba, że stanowią oni bardzo dobre źródło informacji . Pracownicy musza mieć wiedze jakie procesy zachodzą w firmie jak mogą zgłaszać incydenty, zaobserwowane sytuacje. Tutaj ważne jest także szkolenie ich w tym zakresie.
W poradniku zaproponowano sposób przykładowego szacowania takiego ryzyka
Rp = P x (Sd + Si + Sp)
gdzie:
Rp – poziom wyliczanego ryzyka,
P – wartość przypisana prawdopodobieństwu materializacji zagrożenia z zakresu {0, 1, 2, 3, 4}, gdzie:
0 – zdarzenie nieprawdopodobne, 1 – zdarzenie prawie nieprawdopodobne, 2 – zdarzenie mało prawdopodobne, 3 – zdarzenie wysoce prawdopodobne, 4 – zdarzenie niemal pewne.
Sd, Si, Sp – skutki zdarzenia odpowiednio w zakresie dostępności informacji, integralności oraz poufności z zakresu {0, 1, 2, 3, 4}, gdzie:
0 – zdarzenie nie powoduje skutku (nie występuje), 1 – zdarzenie wywołuje niewielki skutek, 2 – zdarzenie wywołuje znaczący skutek, 3 – zdarzenie wywołuje bardzo znaczący skutek, 4 – zdarzenie wywołuje skutek katastrofalny

Sposób ten ma charakter przykładowy każdy administrator może samodzielnie wybrać sposób szacowania ryzyka.
Wskazano także przykłady środków, które mogą minimalizować ryzyko, bowiem RODO w tym zakresie zapewnia swobodę działania administratorów. Jako przykład wskazuje się między innymi: pseudonimizację i szyfrowanie danych osobowych, zarządzanie systemem w sposób zapewniający ciągłość poufności, integralności i dostępności przetwarzanych informacji, regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Posted in Ochrona danych

Styczeń 1st, 2018 by D90aar_i-a

Temat zgody na przetwarzanie danych był już poruszany w ramach cyklu artykułów poświęconych RODO. Wówczas skoncentrowaliśmy się na wymaganiach jakie stawia przed Administratorem Danych Osobowych rozporządzenie unijne.

Przygotuj się na stosowanie RODO- zgoda na przetwarzanie danych osobowych


Dziś poruszymy ten temat w kontekście, który poruszył GIODO tzn. jak dostosować i sprawdzić poprawność z rozporządzeniem unijnym posiadane już zgody. Przede wszystkim zaczynając analizę posiadanych zgód na przetwarzanie danych osobowych powinniśmy rozpocząć ja od sprawdzenia czy w treści wyraźnie był określony cel przetwarzania danych. Musimy tego dokonać pod katem zasad określonych w rozporządzeniu czyli zasady dobrowolności, konkretności, świadomości i jednoznaczności. Zaznaczyć trzeba, że gdy zgoda została uzyskana na podstawie zaznaczenia domyślnie okienek na formularzu nie wyczerpuje tych zasad. Zgoda pozyskana wcześniej, która wyczerpuje te zasady jest jak najbardziej aktualna i ważna. Jeżeli jednak pozyskaliśmy ją poprzez stronę internetową, logowanie, itd. Konieczne jest by było możliwe jej odwołanie w taki sam sposób jak ja pozyskaliśmy, realizuje to uprawnienie, o którym mowa w art. 7 dyrektywy. Musimy pamiętać także, że rozporządzenie przewiduje dla osoby fizycznej, która wyraziła na to zgodę również inne uprawnienia takie jak prawo do bycia zapomnianym, przenoszenia danych. Administrator musi stworzyć procedury, mechanizmy, które pozwolą mu na realizację tych praw. Ponadto przed wyrażeniem zgody osoba fizyczna, która zgody udzieli musi mieć przekazane wszystkie informacje na temat administratora i przysługujących jej prawach. W zakresie procedur i wypełniania obowiązków, które wynikają z rozporządzenia prawo nie działa wstecz, tym samym powinniśmy je wprowadzić do nowych zgód. Zgody otrzymane przed wejściem w życie rozporządzenia trzeba sprawdzić pod katem przede wszystkim celowości. Wytyczne w tym zakresie przygotowała również Grupa Robocza Art. 29.

Posted in Ochrona danych

Grudzień 17th, 2017 by D90aar_i-a

Grupa Robocza Art. 29 podczas ostatniego posiedzenia przyjęła dokumenty: adekwatności,  tabelę zawierającą elementy i zasady, które muszą znaleźć się w wiążących regułach korporacyjnych dla administratorów, ustanawiający tabelę zawierającą elementy i zasady, które muszą znaleźć się w wiążących regułach korporacyjnych dla przetwarzających,wytyczne dotyczące zgody na mocy Rozporządzenia 2016/679, wytyczne dotyczące przejrzystości na mocy Rozporządzenia 2016/679. 

Grupa Robocza prowadzi obecnie wobec treści tych dokumentów konsultacje społeczne.  Każdy może przesłać uwagi w języku angielskim. Szczegółowe informacje oraz treść dokumentów znajdują się an stronie GIODO.  

Posted in Ochrona danych

Grudzień 9th, 2017 by D90aar_i-a

Kolejnym uprawnieniem, którego realizację umożliwić musi osobie fizycznej Administrator Danych Osobowych (ADO) jest prawo do przeniesienia danych osobowych. Osoba fizyczna ma prawo zgłosić do ADO żądanie otrzymania swoich danych zapisanych w w formacie nadającym się do odczytu maszynowego i przekazać je innemu ADO. ADO do którego wpłynie taki wniosek ma obowiązek zrealizować ten obowiązek i nie może robić żadnych przeszkód w tym, aby osoba fizyczna mogła udostępnić je kolejnemu ADO. Dotyczy to przypadków, gdy przetwarzanie danych osobowych tej osoby odbywa się na podstawie wyrażonej przez nią zgody, w celu wykonania umowy lub w sposób zautomatyzowany. O ile technicznie jest to możliwe składając w niosek o udostępnienie danych osoba fizyczna może jednocześnie prosić o ich przesłanie do nowego ADO.

Każdy ADO musi umożliwić osobie fizycznej realizację tego obowiązku. Wystarczające może okazać się wskazanie Inspektora Ochrony Danych Osobowych jako punktu kontaktowego, który w takich sprawach zrealizuje wniosek. Dla podmiotów, które nie będą miały go powołanego wystarczającym rozwiązaniem okazać może się  umieszczenie stosownego wniosku na stronie internetowej. 

Posted in Ochrona danych

Grudzień 3rd, 2017 by D90aar_i-a

Kontynuując cykl artykułów poświęconych RODO dzisiaj omówienie jednego z obowiązków Administratora Danych Osobowych (ADO) jakim jest usunięcie danych osobowych osoby fizycznej, które posiada. Usunięcia danych może żądać osoba, której dane dotyczą i ADO ma obowiązek tego dokonać. Zgodnie z rozporządzeniem ADO musi tego w szczególności dokonać, gdy: 

  1. dane osobowe nie są już niezbędne do celów, w których zostały zebrane;
  2.  osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie;
  3. osoba, której dane dotyczą, wnosi sprzeciw  wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania;
  4. dane osobowe były przetwarzane niezgodnie z prawem;
  5. dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator;
  6. dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego;

W tym zakresie ADO zobowiązany jest wprowadzić procedury, które ułatwią osobie fizycznej możliwość realizacji tego prawa. W szczególności jeżeli przetwarzamy dane elektronicznie osoba ta powinna mieć możliwość wniesienia takiego żądania. W tym celu można skierować do osób fizycznych, których dane przetwarzamy stosowną informację, która zawierała będzie informację jak można takie prawo realizować. Może to być przykładowo wskazanie adresu mailowego Inspektora Ochrony Danych Osobowych, na który należy wysłać żądanie. 

istotne jest także to, że ADO zobowiązany jest poinformować ADO, którym powierzył dane o obowiązku ich usunięcia, wraz z kopiami i łączami jeżeli takie powstały.Procedura ta powinna więc przewidywać również realizację tego obowiązku. Warto przy tym wspomnieć, że aby ADO mógł go zrealizować powinien kontrolować komu dane powierzył. 

Zasady te nie mają jednak bezwzględnego zastosowania, nie dotyczą bowiem sytuacji gdy przetwarzanie danych jest niezbędne: 

1.do korzystania z prawa do wolności wypowiedzi i informacji; 

2. do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa Unii lub prawa państwa członkowskiego, któremu podlega administrator, lub do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi; 

3. z uwagi na względy interesu publicznego w dziedzinie zdrowia publicznego zgodnie 

4. do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, o ile prawdopodobne jest, że prawo usunięcia danych uniemożliwi lub poważnie utrudni realizację celów takiego przetwarzania; 

5. do ustalenia, dochodzenia lub obrony roszczeń.

Posted in Ochrona danych

Listopad 19th, 2017 by D90aar_i-a

Kontynuując cykl artykułów dziś bliżej omówię temat zgody na przetwarzanie danych osobowych. Zgoda osoby, której dane mają być przetwarzane stanowi podstawę prawną do ich przetwarzania zarówno w obecnych przepisach jak i w rozporządzeniu unijnym. Zmienia się natomiast podejście do sposobu jej wyrażania. Jednak mądry Administrator Danych Osobowych (ADO) będzie musiał zawsze otrzymać ją  w taki sposób by móc wykazać jej istnienie w sytuacji ewentualnego naruszenia. Obecnie w obrocie prawnym funkcjonowała zgoda w formie oświadczenia składanego pisemnie przez osobę, której dane dotyczą lub w postaci zaznaczenia przysłowiowym krzyżykiem takiej zgody w momencie np. rejestracji na jakimś portalu internetowym. Zawsze jednak przybiera to formę oświadczenia pisemnego. 

W rozporządzeniu unijnym zmienia się trochę podejście do wyrażenia zgody na przetwarzanie danych osobowych. Zaznacza się, że zgoda tej osoby ma być świadomym, konkretnym, jednoznacznym i przede wszystkim dobrowolnym okazaniem woli. Jednakże nie musi przybrać tylko formy oświadczenia woli, bowiem może być również wyraźnym działaniem potwierdzającym  przyzwolenie tej osoby na przetwarzanie jej danych. Takim działaniem może być nawet ustna zgoda przekazać podmiotowi, który ma przetwarzać dane. Ze względów dowodowych ADO powinien jednak przemyśleć w jakiej formie zgodę powinien wykorzystać. Wszytko uzależnione jest od rodzaju prowadzonej działalności, jeżeli np. świadczymy usługi telekomunikacyjne zgoda w formie ustnej wyrażana podczas rozmowy z konsultantem pod warunkiem poinformowania tej osoby i wyrażenia przez nią zgody an nagranie rozmowy jest wystarczająca. Może to również być mail zawierający wniosek o przygotowanie oferty, w którym osoba fizyczna dobrowolnie przekazuje nam dane niezbędne do przygotowania żądanego przez nią dokumentu oferty handlowej.  Ważne jest jednak żeby ta zgoda była wyraźna czyli jasno wynikało z niej że osoba fizyczna wyraża ta zgodę. Tym samym nie powinna ona być wyrażona razem z innym zobowiązaniem. 

Zgoda musi podobnie jak w obecnym stanie prawnym mieć charakter dobrowolny. Nie powinna stanowić jakiejkolwiek formy przymusu. Nie powinna uzależniać wykonania jakieś umowy, której osoba fizyczna jest stroną  jeżeli przetwarzanie danych osoby fizycznej nie jest niezbędne do jej wykonania. Tak więc zgodnie z zasadą adekwatności ADO nie powinien wymuszać dobrowolnej zgody osoby fizycznej na przetwarzanie danych w celu wykonania umowy, jeżeli te dane nie są mu potrzebne do jej realizacji. Zgodna powinna określać cel przetwarzania, innymi słowy jednoznacznie wskazywać np. wyrażam zgodę na przetwarzanie moich danych osobowych w celu założenia rachunku bankowego. Aby wyrażenie zgody miało charakter świadomy konieczne jest aby osoba fizyczna znała dane ADO oraz cel w jakim udostępnia swoje dane. ADO powinien jednak pamiętać o konieczności udowodnienia, wykazania, że posiada taką zgodę jest to niezbędne dla prawidłowego i zgodne  z prawem przetwarzania danych osobowych osoby, która mu je powierzyła. 

Posted in Ochrona danych