24 Cze

Czy OPS powinien brać zgodę na przetwarzanie danych osobowych?

writing-1149962_640

Pytanie od Pana Andrzeja:

Czy jeżeli przetwarzamy w MOPS dane klientów zgodnie z ustawą o pomocy społecznej, świadczeniach rodzinnych, alimentacyjnych, 500+ i wspieraniu rodziny a jednocześnie pobieramy zgodę na przetwarzanie danych czy jest to zgodne z UODO ?

Przesłanki legalności przetwarzania danych osobowych określa art. 23 ust. 1 ustawy o ochronie danych osobowych. Jest ich pięć:

Osoba, której dane dotyczą wyrazi na to zgodę,

  1. Jest to niezbędne do zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa,
  2. Jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą,
  3. Jest to niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego,
  4. Jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.

Czytaj dalej

20 Cze

Roczne sprawozdanie dla GIODO – o co chodzi?

chain-690088_640(1)

Pewnie poprawię Wam nastrój dementując szerzące się ostatnio informacje o konieczności przygotowania do końca czerwca rocznego raportu dla GIODO.  O co chodzi? Gdy nie wiadomo o co chodzi, to pewnie chodzi o pieniądze… A jakie raporty trzeba przygotowywać?

Gdy nie ma ABI:

  1. Administrator Danych (instytucja/firma) przygotowuje raporty z incydentów, które miały miejsce (w szczególności notatki służbowe), określając co się stało i jakie środki zapobiegawcze zostały podjęte.
  2. Potwierdzenia przeszkolenia pracowników w zakresie bezpieczeństwa informacji.
  3. Raz do roku należy przeprowadzić sprawdzenie zabezpieczeń technicznych i organizacyjnych, które należałoby udokumentować. Gdy jest ABI przepisy wykonawcze do ustawy określają bardzo precyzyjnie, jak ma wyglądać sprawozdanie ze sprawdzenia, gdy nie ma ABI, wystarczy notatka służbowa.

Przykładowa zawartość notatki sporządzonej przez Administratora Danych po sprawdzeniu:

  1. Data/okres przeprowadzania sprawdzenia.
  2. Osoby, które przeprowadzały sprawdzenie.
  3. Co i w jaki sposób było sprawdzane (przegląd dokumentów, oględziny, rozmowy z pracownikami).
  4. Podsumowanie sprawdzenia, podjęte lub zalecane środki mające zwiększyć bezpieczeństwo danych.
  5. Podpis osoby prowadzącej sprawdzenie.

Gdy jest ABI: Czytaj dalej

16 Cze

Czy można publikować dane darczyńców i sponsorów na stronie?

donate-1331138_640

Pozyskiwanie darczyńców i sponsorów coraz częściej jest bardzo istotne dla podmiotów prowadzących działalność, np. fundacji, stowarzyszeń, kościołów, ale także muzeów, czy bibliotek. Powstaje pytanie – czy możemy publikować je na naszej stronie internetowej albo wywiesić, np. w gablocie, w naszej siedzibie.

Z punktu widzenia podmiotu, który zostały obdarowany, podziękowanie darczyńcy, czy sponsorowi jest bardzo istotne dla podtrzymania przyszłych relacji. Jednakże nie zawsze ta osoba życzy sobie, aby publicznie ujawniać jej dane. Ustawa o ochronie danych osobowych stoi po stronie ochrony prywatności darczyńcy i narzuca obowiązek pozyskania jego zgody na publiczne opublikowanie danych. Zgodę można pozyskać w dowolnej formie, także ustnej, jednakże dla celów dowodowych (a także przyszłej współpracy) należałoby zrobić to w formie wiadomości e-mail lub na piśmie. W przypadku darczyńcy, można umieścić klauzulę zgody na karcie przekazania daru (z okienkiem do zaznaczenia).

Przykładowy tekst zgody (wraz z klauzulą informacyjną): Czytaj dalej

06 Cze

Czy wykaz zbiorów w polityce może zastąpić rejestr ABI?

notes-514998_640

Pytanie od Pani Ewy:

W polityce bezpieczeństwa posiadamy wykaz zbiorów danych osobowych. Czy to jest jednoznaczne z jawnym rejestrem zbiorów danych osobowych? Czy powinien to być nowy rozbudowany odrębny dokument (wg Rozporządzenia Ministra Administracji i Cyfryzacji z dnia 11. 05.2015 r. w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbioru danych osobowych (Dz. U. poz. 719)) ?

Wykaz zbiorów w polityce bezpieczeństwa zawiera informacje o zawartości zbioru, jego strukturze, polach informacyjnych przetwarzanych w ramach poszczególnych systemów oraz powiązania między nimi. Dodatkowo są wskazane programy służące do przetwarza tych danych. Zakres danych w wykazie zbiorów zawartym w polityce określa Rozporządzenie MSWiA w sprawie dokumentacji przetwarzania danych osobowych.
Czytaj dalej

03 Cze

Nowelizacja krajowej ustawy o ochronie danych osobowych

stature-935628_640

Mamy już obowiązujące ogólne rozporządzenie o ochronie danych osobowych, jednak jeszcze przez dwa lata jest czas na dostosowanie się do nowych przepisów, co oznacza że administrator danych może podjąć decyzję, czy stosuje jeszcze przepisy krajowe, czy już unijne. Od 1 czerwca w krajowej ustawie o ochronie danych osobowych pojawi się kilka zmian dotyczących możliwości pociągnięcia Generalnego Inspektora Ochrony Danych Osobowych do odpowiedzialności.

Tekst z zaznaczonymi zmianami jest dostępny na stronach GIODO.

25 Maj

Instrukcja zarządzania: Stosowane metody i środki uwierzytelniania

mouse-285123_640

Pełny tytuł do zastosowania w Instrukcji: Stosowane metody i środki uwierzytelniania oraz procedury związane z ich zarządzaniem i użytkowanie.

Należy określić:

1. Kto odpowiada za przydzielanie i zmienianie haseł użytkownikom.

Na przykład uprawnienia do systemu są nadawane przez dyrektora bezpośrednio na upoważnieniu, którego kopia jest przekazywana do ASI. Na podstawie upoważnienia do przetwarzania danych osobowych ASI nadaje uprawnienia (login i pierwsze hasło).

2. Jakie są wymagania dotyczące złożoności hasła.

Co do zasady hasło nie może być krótsze niż osiem znaków, powinno zawierać małe i duże litery oraz cyfry lub znaki specjalne (musi zawierać 3 spośród 4 wymienionych elementów).

3. Jak często należy zmieniać hasło. Czytaj dalej

17 Maj

Czy dokumentacja bezpieczeństwa informacji stanowi informację publiczną?

blogger-336371_640

Wiele podmiotów publicznych publikuje na swoich stronach internetowych politykę bezpieczeństwa oraz instrukcję zarządzania systemem informatycznym. Często uzasadniają to koniecznością upublicznienia dokumentacji bezpieczeństwa, jako informacji publicznej. Czy rzeczywiście jest to informacja publiczna? I w szczególności czy odmówienie wglądu w dokumentację może skutkować negatywnymi konsekwencjami dla jednostki publicznej?

Ustawa o dostępie do informacji publicznej określa, że każda informacja o sprawach publicznych stanowi informację publiczną w rozumieniu ustawy i podlega udostępnieniu (…)

Czytaj dalej

12 Maj

Czy trzeba informować osobę, której dane dotyczą o powierzeniu danych?

blogging-15968_640

Jeżeli administrator danych korzysta z usługi realizowanej przez innego administratora (procesora) i realizacja tej usługi wiąże się z uzyskaniem przez ten podmiot dostępu do danych ze zbiorów administratora (np. biura rachunkowego, które poprowadzi także sprawy kadrowe), mówimy o powierzeniu danych osobowych.

Zasady powierzenia reguluje art. 31 ustawy o ochronie danych osobowych, z którego wynika m.in. obowiązek zawarcia umowy powierzenia na piśmie oraz konkretnego określenia zakresu oraz uprawnień procesora. Dodatkowo administratorowi danych przysługuje prawo kontroli sposobu przetwarzania i zabezpieczenia danych przez procesora.

Czy powierzenie danych oznacza konieczność poinformowania osób, do których danych uzyskał dostęp procesor o zaistnieniu tego faktu? Obowiązek informacyjny określają art. 24 i 25 ustawy o ochronie danych osobowych. Zakres danych o jakich należy poinformować obejmuje: Czytaj dalej

10 Maj

Unijna dyrektywa w sprawie ochrony danych przetwarzanych przez organy ścigania

old-books-436498_640

Przepisy zawarte w dyrektywie mają na celu ochronę osób w związku z przetwarzaniem danych osobowych na potrzeby zapobiegania, dochodzenia, wykrywania lub ścigania przestępstw lub wykonywania sankcji karnych. Polska ma dwa lata na dostosowanie obowiązujących przepisów do dyrektywy.

Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW.

10 Maj

Unijne ogólne rozporządzenie o ochronie danych osobowych

knowledge-1052010_640

Rozporządzenie zastąpi krajowe przepisy o ochronie danych osobowych i będzie obowiązywać w uchwalonym brzmieniu od 27 kwietnia 2018 roku, czyli administratorzy danych mają 2 lata na dostosowanie się do nowych przepisów. Proszę zwrócić uwagę, że przed właściwą treścią rozporządzenia zostały szczegółowo opisane wytyczne do stosowania.

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.