15 Maj

RODO: nowe obowiązki informacyjne wobec podmiotu danych

Wraz z wejściem unijnych przepisów rozszerza się katalog praw osób, których dane dotyczą (podmiotów danych). Przede wszystkim RODO podkreśla prawo do przejrzystego i jasnego komunikowania o zasadach przetwarzania danych. Poza tym podmiot danych może w każdej chwili żądać wyczerpujących informacji na temat przetwarzania swoich danych, ich sprostowania, usunięcia (o ile nie stoi to w sprzeczności z przepisami prawa), zaprzestania przetwarzania (jeżeli jest to uzasadnione), przeniesienia lub ograniczenia przetwarzania. Administrator danych ma obowiązek w momencie pozyskiwania danych wypełnić obowiązek informacyjny wynikający z przepisów o ochronie danych osobowych wobec każdej osoby, której dane pozyskał.

Oznacza to, że obowiązek informacyjny należy wykonać zarówno wtedy, gdy pozyskujemy zgodę na przetwarzanie danych, ale także gdy dane są przetwarzane na podstawie innych przesłanek, np. przepisów prawa, dla dobra publicznego, czy zostały udostępnione ADO. Obowiązek informacyjny można wypełnić poprzez umieszczenie odpowiednich informacji bezpośrednio w treści zgody na przetwarzanie danych, w regulaminie usługi, czy poprzez wysłanie maila. Należy to zrobić tak, aby być w stanie udowodnić, że faktycznie został wypełniony. Read More

22 Mar

Listy poparcia a dane osobowe

Przez zagadnienie “listy poparcia” rozumiem wszelkiego rodzaju tabelki, w których podajemy swoje dane, w celu poparcia jakiejś inicjatywy, kandydata politycznego albo zadeklarowania jakiegoś stanowiska (np. płatności na rzecz organizacji charytatywnej). Ostatnio też spotkałam się z taką listą robioną na potrzeby informacji dla mojej parafii, czy kupiłam opłatek od jego przedstawiciela (należało wpisać imię, nazwisko, adres oraz kwotę, którą postanowiło się zapłacić).

Wszystkie te listy mają wspólną cechę, jest to pusta kartka z dużą tabelką. I za każdym razem skłaniają mnie do długiej, często niemiłej i zakończonej pisemną lub mailową skargą do organizatora zbierania danych, rozmową.

Większość ludzi nie zastanawia się nad tym: dla kogo i przez kogo są zbierane oraz czy zostaną wykorzystane we wskazanym celu. Na razie nie przechodzę do obowiązków wynikających z przepisów prawa, a jedynie do czystej logiki i zaufania do osoby zbierającej. Czy ktokolwiek z Was zadał sobie pytanie, czy jeżeli wpisuje swoje dane na listę, która nie ma żadnego nagłówka ani określonego celu zbierania, to może ona zostać wykorzystana w zupełnie inny sposób niż Was zapewniono? Chociażby do poparcia zupełnie innego kandydata lub inicjatywy, niż ta pod którą się podpisaliście. To jest właśnie główny powód moich “niemiłych” rozmów z osobami, które zbierają dane.

Read More

12 Maj

Czy trzeba informować osobę, której dane dotyczą o powierzeniu danych?

Jeżeli administrator danych korzysta z usługi realizowanej przez innego administratora (procesora) i realizacja tej usługi wiąże się z uzyskaniem przez ten podmiot dostępu do danych ze zbiorów administratora (np. biura rachunkowego, które poprowadzi także sprawy kadrowe), mówimy o powierzeniu danych osobowych.

Zasady powierzenia reguluje art. 31 ustawy o ochronie danych osobowych, z którego wynika m.in. obowiązek zawarcia umowy powierzenia na piśmie oraz konkretnego określenia zakresu oraz uprawnień procesora. Dodatkowo administratorowi danych przysługuje prawo kontroli sposobu przetwarzania i zabezpieczenia danych przez procesora.

Czy powierzenie danych oznacza konieczność poinformowania osób, do których danych uzyskał dostęp procesor o zaistnieniu tego faktu? Obowiązek informacyjny określają art. 24 i 25 ustawy o ochronie danych osobowych. Zakres danych o jakich należy poinformować obejmuje: Read More