Category: Ochrona danych

Grudzień 9th, 2017 by D90aar_i-a

Kolejnym uprawnieniem, którego realizację umożliwić musi osobie fizycznej Administrator Danych Osobowych (ADO) jest prawo do przeniesienia danych osobowych. Osoba fizyczna ma prawo zgłosić do ADO żądanie otrzymania swoich danych zapisanych w w formacie nadającym się do odczytu maszynowego i przekazać je innemu ADO. ADO do którego wpłynie taki wniosek ma obowiązek zrealizować ten obowiązek i nie może robić żadnych przeszkód w tym, aby osoba fizyczna mogła udostępnić je kolejnemu ADO. Dotyczy to przypadków, gdy przetwarzanie danych osobowych tej osoby odbywa się na podstawie wyrażonej przez nią zgody, w celu wykonania umowy lub w sposób zautomatyzowany. O ile technicznie jest to możliwe składając w niosek o udostępnienie danych osoba fizyczna może jednocześnie prosić o ich przesłanie do nowego ADO.

Każdy ADO musi umożliwić osobie fizycznej realizację tego obowiązku. Wystarczające może okazać się wskazanie Inspektora Ochrony Danych Osobowych jako punktu kontaktowego, który w takich sprawach zrealizuje wniosek. Dla podmiotów, które nie będą miały go powołanego wystarczającym rozwiązaniem okazać może się  umieszczenie stosownego wniosku na stronie internetowej. 

Posted in Ochrona danych

Grudzień 3rd, 2017 by D90aar_i-a

Kontynuując cykl artykułów poświęconych RODO dzisiaj omówienie jednego z obowiązków Administratora Danych Osobowych (ADO) jakim jest usunięcie danych osobowych osoby fizycznej, które posiada. Usunięcia danych może żądać osoba, której dane dotyczą i ADO ma obowiązek tego dokonać. Zgodnie z rozporządzeniem ADO musi tego w szczególności dokonać, gdy: 

  1. dane osobowe nie są już niezbędne do celów, w których zostały zebrane;
  2.  osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie;
  3. osoba, której dane dotyczą, wnosi sprzeciw  wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania;
  4. dane osobowe były przetwarzane niezgodnie z prawem;
  5. dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator;
  6. dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego;

W tym zakresie ADO zobowiązany jest wprowadzić procedury, które ułatwią osobie fizycznej możliwość realizacji tego prawa. W szczególności jeżeli przetwarzamy dane elektronicznie osoba ta powinna mieć możliwość wniesienia takiego żądania. W tym celu można skierować do osób fizycznych, których dane przetwarzamy stosowną informację, która zawierała będzie informację jak można takie prawo realizować. Może to być przykładowo wskazanie adresu mailowego Inspektora Ochrony Danych Osobowych, na który należy wysłać żądanie. 

istotne jest także to, że ADO zobowiązany jest poinformować ADO, którym powierzył dane o obowiązku ich usunięcia, wraz z kopiami i łączami jeżeli takie powstały.Procedura ta powinna więc przewidywać również realizację tego obowiązku. Warto przy tym wspomnieć, że aby ADO mógł go zrealizować powinien kontrolować komu dane powierzył. 

Zasady te nie mają jednak bezwzględnego zastosowania, nie dotyczą bowiem sytuacji gdy przetwarzanie danych jest niezbędne: 

1.do korzystania z prawa do wolności wypowiedzi i informacji; 

2. do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa Unii lub prawa państwa członkowskiego, któremu podlega administrator, lub do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi; 

3. z uwagi na względy interesu publicznego w dziedzinie zdrowia publicznego zgodnie 

4. do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, o ile prawdopodobne jest, że prawo usunięcia danych uniemożliwi lub poważnie utrudni realizację celów takiego przetwarzania; 

5. do ustalenia, dochodzenia lub obrony roszczeń.

Posted in Ochrona danych

Listopad 19th, 2017 by D90aar_i-a

Kontynuując cykl artykułów dziś bliżej omówię temat zgody na przetwarzanie danych osobowych. Zgoda osoby, której dane mają być przetwarzane stanowi podstawę prawną do ich przetwarzania zarówno w obecnych przepisach jak i w rozporządzeniu unijnym. Zmienia się natomiast podejście do sposobu jej wyrażania. Jednak mądry Administrator Danych Osobowych (ADO) będzie musiał zawsze otrzymać ją  w taki sposób by móc wykazać jej istnienie w sytuacji ewentualnego naruszenia. Obecnie w obrocie prawnym funkcjonowała zgoda w formie oświadczenia składanego pisemnie przez osobę, której dane dotyczą lub w postaci zaznaczenia przysłowiowym krzyżykiem takiej zgody w momencie np. rejestracji na jakimś portalu internetowym. Zawsze jednak przybiera to formę oświadczenia pisemnego. 

W rozporządzeniu unijnym zmienia się trochę podejście do wyrażenia zgody na przetwarzanie danych osobowych. Zaznacza się, że zgoda tej osoby ma być świadomym, konkretnym, jednoznacznym i przede wszystkim dobrowolnym okazaniem woli. Jednakże nie musi przybrać tylko formy oświadczenia woli, bowiem może być również wyraźnym działaniem potwierdzającym  przyzwolenie tej osoby na przetwarzanie jej danych. Takim działaniem może być nawet ustna zgoda przekazać podmiotowi, który ma przetwarzać dane. Ze względów dowodowych ADO powinien jednak przemyśleć w jakiej formie zgodę powinien wykorzystać. Wszytko uzależnione jest od rodzaju prowadzonej działalności, jeżeli np. świadczymy usługi telekomunikacyjne zgoda w formie ustnej wyrażana podczas rozmowy z konsultantem pod warunkiem poinformowania tej osoby i wyrażenia przez nią zgody an nagranie rozmowy jest wystarczająca. Może to również być mail zawierający wniosek o przygotowanie oferty, w którym osoba fizyczna dobrowolnie przekazuje nam dane niezbędne do przygotowania żądanego przez nią dokumentu oferty handlowej.  Ważne jest jednak żeby ta zgoda była wyraźna czyli jasno wynikało z niej że osoba fizyczna wyraża ta zgodę. Tym samym nie powinna ona być wyrażona razem z innym zobowiązaniem. 

Zgoda musi podobnie jak w obecnym stanie prawnym mieć charakter dobrowolny. Nie powinna stanowić jakiejkolwiek formy przymusu. Nie powinna uzależniać wykonania jakieś umowy, której osoba fizyczna jest stroną  jeżeli przetwarzanie danych osoby fizycznej nie jest niezbędne do jej wykonania. Tak więc zgodnie z zasadą adekwatności ADO nie powinien wymuszać dobrowolnej zgody osoby fizycznej na przetwarzanie danych w celu wykonania umowy, jeżeli te dane nie są mu potrzebne do jej realizacji. Zgodna powinna określać cel przetwarzania, innymi słowy jednoznacznie wskazywać np. wyrażam zgodę na przetwarzanie moich danych osobowych w celu założenia rachunku bankowego. Aby wyrażenie zgody miało charakter świadomy konieczne jest aby osoba fizyczna znała dane ADO oraz cel w jakim udostępnia swoje dane. ADO powinien jednak pamiętać o konieczności udowodnienia, wykazania, że posiada taką zgodę jest to niezbędne dla prawidłowego i zgodne  z prawem przetwarzania danych osobowych osoby, która mu je powierzyła. 

Posted in Ochrona danych

Listopad 12th, 2017 by D90aar_i-a

Kontynuując cykl artykułów dotyczących przygotowania się Administratora Ochrony Danych (ADO) na rozpoczęcie stosowania nowych przepisów dziś omówienie bardzo istotnej kwestii, którą jest ocena skutków przetwarzania danych osobowych – ang. Privacy Impact Assessment (PIA).  Zasadniczym pytaniem, na które na wstępie należy odpowiedzieć jest ustalenie kiedy mamy obowiązek dokonać takiej oceny. Przepisy w tym zakresie wskazują na sytuacje, gdy ze względu na  charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może wystąpić  wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Wówczas ADO zobowiązany jest przed rozpoczęciem dokonania przetwarzania danych osobowych dokonać takiej oceny. Aby taka ocenę dokonać musi wiedzieć już na czym dokładnie będzie polegać czynność jaka będzie wykonywał, a więc w jakim stopniu i zakresie planuje przetwarzać dane osobowe.   Dokonując takiej oceny ADO powinien konsultować się z Inspektorem Ochrony Danych Osobowych jeżeli takiego wyznaczył. Jego zdanie jest tutaj również istotne. 

Zgodnie z nowymi przepisami oceny skutków w szczególności należy dokonać  sytuacji, gdy: dokonujemy systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej, przetwarzamy  na dużą skalę szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1, lub danych osobowych dotyczących wyroków skazujących i naruszeń prawa, systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie (wszelkiego rodzaju monitoring). Organ nadzoru w danym kraju również może sporządzić wykaz czynności, które takiej ocenie będą podlegały. 

Jak przygotować prawidłowo ocenę skutków? 

Mając wiedzę jaki proces chcemy wdrożyć w naszym przedsiębiorstwie lub jaką nowa procedurę rozpocząć jesteśmy w stanie prawidłowo dokonać oceny.  Najlepiej jest przygotować na takie okoliczności procedurę lub, która będzie można powtarzać w takich sytuacjach i zawierać będzie kroki niezbędne do jej przeprowadzenia. W pierwszej kolejności musimy opisać planowaną operacje przetwarzania, na czym dokładnie będzie polegała i w jakim celu ma być przeprowadzana. Kolejnym etapem jest rozważenie czy operacje przetwarzania danych których będziemy dokonywać są niezbędne ze względu na cele przetwarzania. Należy również dokonać oceny ryzyka naruszenia praw lub wolności osób, których dane dotyczą czyli przede wszystkim określić jak jest ono duże. Ponadto określić jakie może być to ryzyko w danej sytuacji. Mając już ustalone te wszystkie elementy dochodzimy do ostatniego i jednocześnie najważniejszego elementu oceny skutków czyli środków jakie możemy podjąć i wcielić w życie aby zabezpieczyć dane i przetwarzać je zgodnie z obowiązującymi przepisami. 

Gdy rozpoczniemy przetwarzanie danych osobowych ADO powinien pamiętać o dokonywaniu przeglądu tych operacji i aktualizowania oceny skutków, zwłaszcza jeżeli nastąpi zmiana ryzyka ich naruszenia. 

Posted in Ochrona danych

Listopad 7th, 2017 by D90aar_i-a

Kontynuując rozpoczęty cykl artykułów dotyczących przygotowania się na rozpoczęcie stosowania RODO w dzisiejszym artykule przybliżymy bardziej obowiązek informacyjny jaki nakłada na Administratora Danych Osobowych (ADO) rozporządzenie. Zaczynając mówić o tym obowiązku na początku podkreślić trzeba, że przekazywanie informacji powinno następować w jasnej i zrozumiałej formie z zastosowaniem prostego języka. Obowiązek informacyjny ustawodawca przewidział również w obowiązującej ustawie o ochronie danych osobowych, jednakże nie jest on tak rozbudowany jak ma to zostać rozwiązane w przyszłości. Jak ten obowiązek wygląda teraz, a jak będzie wyglądał od maja 2018r. najlepiej zobrazuje poniższe porównanie.  

Obecnie ADO zobowiązany jest podać adres swojej siedziby, nazwę oraz wskazać cel przetwarzania danych. Ponadto miał również obowiązek poinformować o prawie dostępu do treści i ich poprawienia.   W RODO wskazano, że zobowiązany jest podać swoją tożsamość, dane kontaktowe Inspektora Ochrony Danych Osobowych, cel i podstawę prawną przetwarzania danych. Ponadto należy:

  • podać czy podanie danych osobowych podyktowane jest obowiązkiem ustawowym, wynika z umowy, jest warunkiem przystąpienia do umowy (konsekwencje niepodania danych osobowych)
  • informacja o profilowaniu, jeżeli będzie miało miejsce w szczególności tryb działania, znaczenie profilowania, 
  • informacje o odbiorcach danych
  • poinformować o zamiarze przekazania danych do państwa trzeciego,
  • poinformować o prawie dostępu do danych poprawienia, usunięcia, ograniczenia przetwarzania 
  • poinformować o prawie do przenoszenia danych,
  • prawo do cofnięcia zgody na przetwarzanie,
  •  poinformować o prawie do wniesienia skargi do organu nadzorczego

Co najważniejsze w celu realizacji tych obowiązków ADO zobowiązany będzie przygotować odpowiednie procedury i dokonać modyfikacji zgody na przetwarzanie oraz utworzyć dokument pozwalający na ich realizacje. Ponadto cielić w życie i realizować na etapie  przed rozpoczęciem przetwarzania danych. 

Posted in Ochrona danych

Październik 30th, 2017 by D90aar_i-a

Kolejny artykuł z cyklu ,,Przygotuj się na stosowanie RODO” poświęcony będzie Rejestrowi czynności przetwarzania danych osobowych. Obowiązek jego prowadzenia należy do Administratora Danych Osobowych. Zgodnie  z rozporządzeniem nie ma już obowiązku zgłaszania zbiorów do GIODO, ale rejestr przetwarzania powinien być prowadzony skrupulatnie. 

Jakie informacje powinny być zawarte w rejestrze? 

  1. imię i nazwisko lub nazwę oraz dane kontaktowe administratora, Inspektora Ochrony Danych;
  2. cele przetwarzania dodać należy że może ich być kilka;
  3. opis kategorii przetwarzanych danych np. imię, nazwisko …
  4. kategorie odbiorców, którym dane będą ujawnione;
  5. informacja o przekazaniu danych do państwa trzeciego;
  6. jeżeli jest to możliwe, planowana datę usunięcia danych;
  7. jeżeli jest to możliwe opis technicznych i organizacyjnych środków bezpieczeństwa;

 

Rejestr może mieć formę pisemną lub elektroniczną wybór należy do Administratora Ochrony Danych. Nie wszyscy przedsiębiorcy musza prowadzić taki rejestr rozporządzenie dopuszcza sytuacje, w których nie ma takiego obowiązki i dotyczą one przedsiębiorcy lub podmiotu zatrudniającego mniej niż 250 osób, chyba że przetwarzanie, którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych czyli obecnie klasyfikowanych jako wrażliwych (dot. pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych) oraz danych dot. wyroków skazujących. 

Posted in Ochrona danych

Październik 22nd, 2017 by D90aar_i-a

 Tym artykułem rozpoczynamy cykl artykułów poświęconych przygotowaniu do rozpoczęcia stosowania nowego rozporządzenia unijnego. W ramach cyklu omówimy wszystkie zmiany jakie wprowadza rozporządzenie, wskażemy co Administrator Ochrony Danych już możne lub powinien zrobić by przygotować się do wejścia w życie nowych przepisów. 

Pierwszy z cyklu artykułów w całości poświęcony zostanie obowiązkom Administratora Danych Osobowych. Aby bardziej obrazowo przedstawić to zagadnienie dokonam porównania obowiązków administratora w obecnym stanie prawnym i po rozpoczęciu stosowania rozporządzenia unijnego.  

 Obowiązek   Ustawa o ochronie danych osobowych   RODO
 Podstawa prawna przetwarzania danych   Należy posiadać podstawę prawną   Należy posiadać podstawę prawną 
 Pisemna zgoda na przetwarzanie danych w określonych sytuacjach   Wymagana forma pisemna  Forma pisemna nie jest wymagana 
 Określenie celu przetwarzania danych   Należy określić cel przetwarzania   Należy określić cel przetwarzania 
 Obowiązek informacyjny  Należy wykonać ( mały zakres)   Należy wykonać ( bardzo rozbudowany) 
 Umowa powierzenia danych osobowych   Należy zawierać umowę   Należy zawierać umowę (bardziej szczegółowa możliwość nałożenia obowiązków na procesora)
 Przygotowanie polityki bezpieczeństwa i instrukcji   Obowiązek przygotowania   Brak obowiązku przygotowania 
 Upoważnienie do przetwarzania danych   Należy przygotować   Należy przygotować
 Uwzględnienie ochrony danych w fazie projektowania nowych działań  Nie ma takie obowiązku   Obowiązek dokonywania 
 Prowadzenie dokumentacji operacji przetwarzania danych   Nie ma takie obowiązku    Obowiązek dokonywania 
 Prowadzenie oceny skutków przetwarzania danych    Nie ma takie obowiązku     Obowiązek dokonywania 
 Zgłaszanie naruszenia danych osobowych     Nie ma takie obowiązku   Obowiązek dokonywania
 Rejestrowanie zbiorów danych osobowych   Obowiązek dokonanie (zwolnienie w przypadku powołania ABI)   Nie ma takie obowiązku 
 Powołanie ABI/ Inspektora Ochrony Danych Osobowych     Nie ma takiego obowiązku   Obowiązek powołania, w niektórych sytuacjach 

Posted in Ochrona danych

Październik 8th, 2017 by D90aar_i-a

Każdy Administrator Danych Osobowych stanie wkrótce przed obowiązkiem dostosowania zasad ochrony danych osobowych do nowych przepisów regulujących  te zasady. Poniżej przedstawiamy porównanie w oparciu o jakie przepisy należny je przygotować obecnie i w przyszłości. 

 Obecne przepisy:   Nowe przepisy: 
– ustawa z 29 sierpnia 1997 roku o ochronie danych osobowych 

-rozporządzenia do ustawy 

-przepisy szczególne, np. ustawa o świadczeniu usług drogą elektroniczną, Kodeks pracy, Prawo bankowe, Prawo telekomunikacyjne

-decyzje Komisji Europejskiej wydawane na podstawie dyrektywy

– ogólne rozporządzenie o ochronie danych

-akty delegowane wydawane przez Komisję Europejską

– decyzje Komisji Europejskiej wydawane na podstawie rozporządzenia

– przepisy ograniczonej ustawy o ochronie danych osobowych

-przepisy szczególne

Posted in Ochrona danych

Wrzesień 15th, 2017 by D90aar_i-a

 

W Rządowym Centrum Legislacyjnym opublikowano w dniu 14.09.2017r. również projekt nowej ustawy o ochronie danych osobowych, która zastąpi obecnie funkcjonującą ustawę i implementuje do naszego porządku prawnego rozporządzenie unijne dotyczące ochrony danych osobowych (RODO). Nowa ustawa reguluje: jakie podmioty maja obowiązek wyznaczyć Inspektora Ochrony Danych, warunki i tryb udzielania akredytacji i certyfikacji, organ właściwy w sprawie ochrony danych, postępowanie kontrolne, odpowiedzialność cywilna za naruszenie przepisów. Szczegółowa analizę zapisów i postępów legislacyjnych będziemy śledzić na blogu. 

Aktualnie do dnia 13.10.2017r. trwają konsultacje społeczne, w których udział może wziąć każdy. Uwagi można przesyłać na specjalnie stworzony przez Ministerstwo Cyfryzacji adres mailowy. 

https://mc.gov.pl/konsultacje/konsultacje-spoleczne-projektu-przepisow-wdrazajacych-ogolne-rozporzadzenie-o-ochronie

Posted in Ochrona danych

Wrzesień 15th, 2017 by D90aar_i-a

 

W dniu 14.09.2017r. na stronie Rządowego Centrum Legislacyjnego pojawił się projekt ustawy wprowadzającej przepisy ustawy o ochronie danych osobowych przygotowany przez Ministra Cyfryzacji.  Projekt obecnie jest an etapie opiniowania. W treści projektu znajdziemy regulacje zmieniające wiele ustaw funkcjonujących w naszym porządku prawnych, na których pracują przedsiębiorcy oraz jednostki samorządu terytorialnego. Zaproponowane regulacje wskazują kto jest administratorem danych w różnych sytuacjach i na jakiej podstawie można je przetwarzać oraz co ważne w jakim zakresie.

Czytając projekt moja uwagę zwróciły zapisy dotyczące zmian w Kodeksie pracy. Dotyczą one tak naprawdę wszystkich podmiotów zarówno z sektora publicznego jak i prywatnego. W tym zakresie projekt wyraźnie wskazuje jakich danych i informacji pracodawca żąda od pracownika. Wskazuje się że do udostępniania tych danych pracodawcy dochodzi na podstawie oświadczenia osoby której dane dotyczą, w przypadku danych biometrycznych czyli zawierających np. wizerunek naszej twarzy wskazano, że powinno być ono  złożone w formie pisemnej lub elektronicznej. Przetwarzanie danych dokonywane przez pracodawcę ma odbywać się w tylko w zakresie  niezbędnym do realizacji stosunku pracy. Przetwarzanie danych osobowych w zakresie szerszym niż wskazany w ustawie jest możliwe ale tylko gdy dotyczą one stosunku pracy i osoba, która ubiega się o pracę wyrazi na to zgodę. Zaznaczono, że przetwarzanie danych zawierających informacje o nałogach, stanie zdrowia, życiu lub orientacji seksualnej jest zabronione nawet za zgodą pracownika. Uregulowano również kwestie monitoringu w miejscu pracy, który również zaliczamy jako formę przetwarzania danych osobowych pracowników. Pracodawca może z niego korzystać jednakże z wyłączeniem pomieszczeń takich jak szatnia czy stołówka. Należy również o fakcie posługiwania się monitoringiem zawiadomić pracownika. 

Ważną informacją, którą znajdziemy również w projekcie jest kwestia wyjaśnienia statusu Administratora Bezpieczeństwa Informacji (ABI)dotychczas tylko mówiono o automatycznej zamianie tego stanowiska na Inspektora Bezpieczeństwa Informacji (IBI). W projekcie wskazano, że dotychczasowy ABI do dnia 1.09.2018r. będzie pełnił funkcję IBI. W tym terminie możemy wyznaczyć inną osobę na jego miejsce o czym musimy zawiadomić Prezesa Urzędu. 

Całość projektu dostępna jest na stronie Rządowego Centrum Legislacyjnego 

https://legislacja.rcl.gov.pl/projekt/12302951

 

Posted in Ochrona danych

Newsletter

FreshMail.pl