Odpowiedzi na pytania GIODO część II

 

Pytanie nr 5 Czy znasz prawa osób, których dane dotyczą? Czy jesteś gotowy na realizacje wniosków z ich strony, dotyczących np. przeniesienia danych czy prawa do bycia zapomnianym?

Prawa osób, których dane dotyczą przewidziane w rozporządzeniu:

Prawo do sprostowania danych– Osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego sprostowania dotyczących jej danych osobowych, które są nieprawidłowe.

Osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych;

Prawo do wniesienia sprzeciwu wobec przetwarzania dotyczących jej danych osobowych opartego na przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi lub przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią;

Prawo do bycia zapomnianym- administrator ma obowiązek usunąć dane jeżeli: dane osobowe nie są już niezbędne do celów, w których zostały zebrane, osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie, osoba, której dane dotyczą, wnosi sprzeciw z pkt 3, dane osobowe były przetwarzane niezgodnie z prawem, dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego

Prawo do ograniczenia przetwarzania danych- można żądać gdy osoba, której dane dotyczą, kwestionuje prawidłowość danych osobowych, przetwarzanie jest niezgodne z prawem, a osoba, której dane dotyczą, sprzeciwia się usunięciu danych osobowych, administrator nie potrzebuje już danych osobowych do celów przetwarzania, ale są one potrzebne osobie, której dane dotyczą, osoba, której dane dotyczą, wniosła sprzeciw na mocy art. 21 ust. 1 wobec przetwarzania;

Prawo do przenoszenia danych- osoba, której dane dotyczą, ma prawo otrzymać w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego dane osobowe jej dotyczące, które dostarczyła administratorowi, oraz ma prawo przesłać te dane osobowe innemu administratorowi.

Pytanie nr 6 Czy zadbałeś, by pozyskiwane przez Ciebie zgody na przetwarzanie

danych osobowych były dostosowane do wymogów rozporządzenia?

Trzeba dostosować posiadane zgody do przepisów nowego  rozporządzenia zamieścić w ich treści dodatkowe dane. Zgoda powinna być wyrażona w drodze jednoznacznej, potwierdzającej czynności, która wyraża odnoszące się do określonej sytuacji dobrowolne, świadome i jednoznaczne przyzwolenie osoby, których dane dotyczą, na przetwarzanie dotyczących jej danych osobowych i która ma na przykład formę pisemnego (w tym elektronicznego) lub ustnego oświadczenia. Może to polegać na zaznaczeniu okienka wyboru podczas przeglądania strony internetowej, na wyborze ustawień technicznych do korzystania z usług społeczeństwa informacyjnego lub też na innym oświadczeniu bądź zachowaniu, które w danym kontekście jasno wskazuje, że osoba, której dane dotyczą, zaakceptowała proponowane przetwarzanie jej danych osobowych. Osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę.

Pytanie nr 7 Czy zdecydowałeś, jakie środki techniczne i organizacyjne zastosujesz, by zapewnić bezpieczeństwo danych osobowych i zgodność z przepisami ogólnego rozporządzenia?

Trzeba zadecydować jakie środki techniczne i organizacyjne wprowadzimy  celu ochrony danych osobowych czy istnieje konieczność wprowadzenia nowych procedur, działań w tym rozwiązań technicznych. Rozporządzenie przykładowo wskazuje środki takie jak: pseudonimizację i szyfrowanie danych osobowych; zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania; zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego; regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Pytanie nr 8 Czy jesteś gotów do rejestracji czynności przetwarzania danych?

Administrator ma obowiązek prowadzić  rejestr czynności przetwarzania danych osobowych, za które odpowiada. W rejestrze tym zamieszcza się wszystkie następujące informacje: imię i nazwisko lub nazwę oraz dane kontaktowe administratora, cele przetwarzania, opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych; kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych; jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa.

Ponadto każdy przetwarzający dane (my gdy przetwarzamy powierzone dane) prowadzi rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora zawierający następujące informacje: imię i nazwisko lub nazwa oraz dane kontaktowe podmiotu przetwarzającego lub podmiotów przetwarzających oraz każdego administratora, w imieniu którego działa podmiot przetwarzający, kategorie przetwarzań dokonywanych w imieniu każdego z administratorów; jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa.

Pytanie 9 Czy znasz koncepcje ochrony danych w fazie projektowania oraz domyślnej ochrony danych i czy uwzględniłeś je w swoich działaniach?

 

Definicje privacy by design and privancy by default znajdują się w odpowiedzi na pytanie nr 1. Jeżeli chodzi o ocenę skutków przetwarzania danych to Grupa Robocza Nr 29 przygotowała wytyczne jak to robić i kiedy zasady te będą z pewnością przeniesione do polskiej regulacji, której jeszcze niema. Administrator musi najpierw stwierdzić czy rodzaj przetwarzania jakie ma zamiar prowadzić ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Jeżeli stwierdzimy, ze tak wówczas trzeba dokonać oceny skutków już na etapie planowania działania.

Maj 31st, 2017 by

Newsletter

FreshMail.pl