Monthly Archives: czerwiec 2016

24 cze

Czy OPS powinien brać zgodę na przetwarzanie danych osobowych?

Pytanie od Pana Andrzeja:

Czy jeżeli przetwarzamy w MOPS dane klientów zgodnie z ustawą o pomocy społecznej, świadczeniach rodzinnych, alimentacyjnych, 500+ i wspieraniu rodziny a jednocześnie pobieramy zgodę na przetwarzanie danych czy jest to zgodne z UODO ?

Przesłanki legalności przetwarzania danych osobowych określa art. 23 ust. 1 ustawy o ochronie danych osobowych. Jest ich pięć:

Osoba, której dane dotyczą wyrazi na to zgodę,

  1. Jest to niezbędne do zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa,
  2. Jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą,
  3. Jest to niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego,
  4. Jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.

Read More

20 cze

Roczne sprawozdanie dla GIODO – o co chodzi?

Pewnie poprawię Wam nastrój dementując szerzące się ostatnio informacje o konieczności przygotowania do końca czerwca rocznego raportu dla GIODO.  O co chodzi? Gdy nie wiadomo o co chodzi, to pewnie chodzi o pieniądze… A jakie raporty trzeba przygotowywać?

Gdy nie ma ABI:

  1. Administrator Danych (instytucja/firma) przygotowuje raporty z incydentów, które miały miejsce (w szczególności notatki służbowe), określając co się stało i jakie środki zapobiegawcze zostały podjęte.
  2. Potwierdzenia przeszkolenia pracowników w zakresie bezpieczeństwa informacji.
  3. Raz do roku należy przeprowadzić sprawdzenie zabezpieczeń technicznych i organizacyjnych, które należałoby udokumentować. Gdy jest ABI przepisy wykonawcze do ustawy określają bardzo precyzyjnie, jak ma wyglądać sprawozdanie ze sprawdzenia, gdy nie ma ABI, wystarczy notatka służbowa.

Przykładowa zawartość notatki sporządzonej przez Administratora Danych po sprawdzeniu:

  1. Data/okres przeprowadzania sprawdzenia.
  2. Osoby, które przeprowadzały sprawdzenie.
  3. Co i w jaki sposób było sprawdzane (przegląd dokumentów, oględziny, rozmowy z pracownikami).
  4. Podsumowanie sprawdzenia, podjęte lub zalecane środki mające zwiększyć bezpieczeństwo danych.
  5. Podpis osoby prowadzącej sprawdzenie.

Gdy jest ABI: Read More

16 cze

Czy można publikować dane darczyńców i sponsorów na stronie?

Pozyskiwanie darczyńców i sponsorów coraz częściej jest bardzo istotne dla podmiotów prowadzących działalność, np. fundacji, stowarzyszeń, kościołów, ale także muzeów, czy bibliotek. Powstaje pytanie – czy możemy publikować je na naszej stronie internetowej albo wywiesić, np. w gablocie, w naszej siedzibie.

Z punktu widzenia podmiotu, który zostały obdarowany, podziękowanie darczyńcy, czy sponsorowi jest bardzo istotne dla podtrzymania przyszłych relacji. Jednakże nie zawsze ta osoba życzy sobie, aby publicznie ujawniać jej dane. Ustawa o ochronie danych osobowych stoi po stronie ochrony prywatności darczyńcy i narzuca obowiązek pozyskania jego zgody na publiczne opublikowanie danych. Zgodę można pozyskać w dowolnej formie, także ustnej, jednakże dla celów dowodowych (a także przyszłej współpracy) należałoby zrobić to w formie wiadomości e-mail lub na piśmie. W przypadku darczyńcy, można umieścić klauzulę zgody na karcie przekazania daru (z okienkiem do zaznaczenia).

Przykładowy tekst zgody (wraz z klauzulą informacyjną): Read More

06 cze

Czy wykaz zbiorów w polityce może zastąpić rejestr ABI?

Pytanie od Pani Ewy:

W polityce bezpieczeństwa posiadamy wykaz zbiorów danych osobowych. Czy to jest jednoznaczne z jawnym rejestrem zbiorów danych osobowych? Czy powinien to być nowy rozbudowany odrębny dokument (wg Rozporządzenia Ministra Administracji i Cyfryzacji z dnia 11. 05.2015 r. w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbioru danych osobowych (Dz. U. poz. 719)) ?

Wykaz zbiorów w polityce bezpieczeństwa zawiera informacje o zawartości zbioru, jego strukturze, polach informacyjnych przetwarzanych w ramach poszczególnych systemów oraz powiązania między nimi. Dodatkowo są wskazane programy służące do przetwarza tych danych. Zakres danych w wykazie zbiorów zawartym w polityce określa Rozporządzenie MSWiA w sprawie dokumentacji przetwarzania danych osobowych.
Read More

03 cze

Nowelizacja krajowej ustawy o ochronie danych osobowych

Mamy już obowiązujące ogólne rozporządzenie o ochronie danych osobowych, jednak jeszcze przez dwa lata jest czas na dostosowanie się do nowych przepisów, co oznacza że administrator danych może podjąć decyzję, czy stosuje jeszcze przepisy krajowe, czy już unijne. Od 1 czerwca w krajowej ustawie o ochronie danych osobowych pojawi się kilka zmian dotyczących możliwości pociągnięcia Generalnego Inspektora Ochrony Danych Osobowych do odpowiedzialności.

Tekst z zaznaczonymi zmianami jest dostępny na stronach GIODO.