Sylwia Czub – Strona 17 – Sylwia Czub bloguje o danych osobowych

05 cze

Czy trzeba prosić o zgodę na przetwarzanie danych w związku z wystawieniem faktury

Na wstępie należy podkreślić, że zgoda to nie jedyna podstawa do legalnego przetwarzania danych. Tak naprawdę po zgodę sięgamy dopiero wtedy, gdy nie mamy innej przesłanki legalizującej przetwarzanie. Skupię się na danych zwykłych, czyli takich danych, które są zbierane do wystawienia faktury.

Zgodnie z art. 6 RODO:
1. Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:

a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;

b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;

c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;

d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej; Read More →

20 maj

Zasady zgłaszania IOD

Na stronie GIODO pojawiły się wytyczne dotyczące zgłaszania Inspektorów Ochrony Danych: https://giodo.gov.pl/pl/1520281/10506. Poniżej wybrane informacje ze strony GIODO:

Zawiadomienia o wyznaczeniu IOD należy dokonywać od 25 maja 2018 r. Od tego dnia nie należy do nas kierować zgłoszeń powołania i odwołania ABI.
Zawiadomienia o wyznaczeniu IOD należy dokonywać w postaci elektronicznej i opatrzyć kwalifikowanym podpisem elektronicznym albo podpisem potwierdzonym profilem zaufanym ePUAP. Po 25 maja 2018 r. na stronie internetowej urzędu będzie udostępniony elektroniczny formularz służący do tego celu.

W okresie przejściowym, bezpośrednio po wejściu w życie ustawy, zostały przewidziane różne terminy na dopełnienie tego obowiązku. Zależą one od tego, czy dany podmiot przed 25 maja 2018 r. miał powołanego administratora bezpieczeństwa informacji (ABI), a także od tego, czy nowe przepisy nakładają na niego obowiązek wyznaczenia inspektora ochrony danych. Read More →

17 maj

RODO: odbiorca danych, czyli kto?

Ogólne rozporządzenie o ochronie danych w kilku sytuacjach, wymaga wskazania odbiorców danych:

Podczas wypełniania obowiązku informacyjnego (art. 13-15 RODO)
W rejestrze czynności przetwarzania (art. 30 RODO)

Należy także powiadomić wszystkich odbiorców danych o żądaniu osoby, której dane dotyczą usunięcia, sprostowania lub ograniczenia przetwarzania. Poprawne zrealizowanie tych obowiązków wymaga ustalenia kto jest odbiorcą danych w rozumieniu RODO.

Definicja odbiorcy jest wskazana w art. 4 ust. 9 RODO:

„Odbiorca” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią. Organy publiczne, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania zgodnie z prawem Unii lub prawem państwa członkowskiego, nie są jednak uznawane za odbiorców; przetwarzanie tych danych przez te organy publiczne musi być zgodne z przepisami o ochronie danych mającymi zastosowanie stosownie do celów przetwarzania;

W zakresie informacji przekazywanej osobie, której dane dotyczą, gdy pozyskujemy od niej jej dane osobowe ma zastosowanie artykuł 13, w zakresie odbiorcy ust. 1 e:

Osobie, której dane dotyczą przekazuje się informację: informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;

Jednocześnie, jeżeli w momencie gromadzenia danych, administrator nie planuje przekazywać od razu danych osobowych do wszystkich odbiorców (może to zależeć od konkretnych czynników), to informację o udostępnieniu należy podać w momencie udostępnienia, a nie gromadzenia (np. udostępnienie firmie windykacyjnej): Read More →

27 kwi

Szkolenie „Zostań Inspektorem Ochrony Danych”

Zapraszam Was na szkolenie, które jest perełką wśród szkoleń. Wszyscy prowadzący są praktykami, którzy podzielą się z Wami swoim doświadczeń zawodowym. Jest to szkolenie dające zaawansowaną wiedzę w zakresie nadzorowania procesów przetwarzania danych. Pozwala zrozumieć co, jak i dlaczego. I najważniejsze. Postanowiliśmy je zorganizować, bo nasi klienci bardzo intensywnie poszukują Inspektorów Ochrony Danych, proszą o polecenie kogoś, kto naprawdę zna się na rzeczy, a my nie jesteśmy w stanie polecić nikogo „sensownego” kto miałby wiedzę, kwalifikacje oraz czas, aby zająć się tematem (nie oszukujmy się, większość specjalistów jest teraz maksymalnie obciążona pracą). Szkolenie odbędzie się w lipcu, kiedy (mamy nadzieję) trochę opadanie RODOszaleństwo. Uczestnicy ostatniego dnia otrzymają szansę weryfikacji swojej wiedzy i kwalifikacji. A jeżeli uzyskają co najmniej 80% punktów w naszym teście, będziemy (oczywiście za ich zgodą) przez 12 miesięcy polecać ich naszym klientom (i potencjalnym klientom), a także zamieścimy ich dane na naszej stronie z informacją, że polecamy do wykonywania zadań IOD i zweryfikowaliśmy ich wiedzę w tym zakresie. To szkolenie może być szansą na start w tym zawodzie, dla osób, które wcześniej nie zajmowały się tym zagadnieniem i nie wiedzą od czego zacząć, w szczególności nie mają kontaktów biznesowych. Read More →

16 kwi

Ocena skutków przetwarzania według RODO

Ogólne rozporządzenie o ochronie danych osobowych to ewolucja dotychczasowego podejścia do zapewnienia bezpieczeństwa przetwarzanych danych, które powinno być oparte na ocenie ryzyka. Generalny Inspektor Ochrony Danych w grudniu 2017 roku opublikował dwuczęściowy poradnik: Jak rozumieć podejście oparte na ryzyku wg RODO? Warto do niego sięgnąć, aby zyskać ogólne pojęcie o zasadach szacowania ryzyka. Wadą poradnika jest jego uniwersalność i profesjonalizm, które mają zapewnić, że będzie miał zastosowanie zarówno do małych, jak i dużych organizacji. Dla osoby nie mającej pojęcia o szacowaniu ryzyka (albo w ogóle o ryzyku), może to być zbyt trudne źródło informacji (chociaż rzetelnie opracowane). Chciałabym podkreślić, że RODO nie narzuca żadnych konkretnych metod szacowania ryzyka – to administrator decyduje, jak dokona oceny tego ryzyka. Nie muszą to być wyrafinowane, czy skomplikowane metody. Podmioty publiczne mogą skorzystać z mechanizmów kontroli zarządczej – są im znane i od lat stosowane. Osoby rozpoczynające swoją przygodę z szacowaniem ryzyka, mogą robić tabele (macierze), ale mogą też po prostu wypisywać zidentyfikowane dla danego procesu ryzyka oraz ich skutki, a następnie opisywać co mogłoby je zminimalizować. Jest to metoda tak dobra, jak każda inna, dopóki działa i jest regularnie stosowana (to czy działa bardzo łatwo jest rozpoznać – zła metoda sprawia, że nie jesteśmy w stanie przeprowadzić analizy, utykamy w połowie). Read More →

30 mar

Mity wokół RODO: nie będzie już zbiorów danych

Tyle razy już słyszałam „od maja nie będzie już zbiorów danych”, że postanowiłam napisać. Nie wiem jak powstała ta miejska legenda, jednakże chciałabym ją rozwiać. Najszybciej jak się da. Sam tekst Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), czyli RODO odnosi się do przetwarzania danych osobowych w ramach zbiorów w wielu miejscach:

(Motyw 15) Aby zapobiec poważnemu ryzyku obchodzenia prawa, ochrona osób fizycznych powinna być neutralna pod względem technicznym i nie powinna zależeć od stosowanych technik. Ochrona osób fizycznych powinna mieć zastosowanie do zautomatyzowanego przetwarzania danych osobowych oraz do przetwarzania ręcznego, jeżeli dane osobowe znajdują się lub mają się znaleźć w zbiorze danych. Zbiory lub zestawy zbiorów oraz ich strony tytułowe, które nie są uporządkowane według określonych kryteriów nie powinny być objęte zakresem niniejszego rozporządzenia. Read More →

19 mar

Zaktualizuj regulamin pod RODO

Zwracałam już uwagę na konieczność aktualizacji obowiązku informacyjnego pod RODO:

RODO: nowe obowiązki informacyjne wobec podmiotu danych

jednak niedawno zdałam sobie sprawę, że bardzo wiele osób w ogóle nie realizuje obowiązku informacyjnego, więc pewnie nie wie jak to zrobić. Obowiązek informacyjny to nic innego, jak udzielenie osobie, której dane dotyczą informacji o zasadach przetwarzania jej danych oraz o tym, jakie prawa jej przysługują. Mówiąc krótko, żeby miała poczucie, że nawet jeżeli jej dane są przekazywane do podmiotu, który ma uprzywilejowaną pozycję (duża/bogata firma, urząd, szpital) to ma ona prawo do kontroli tego, czy jej dane są prawidłowo przetwarzane (w tym zabezpieczone) oraz może dochodzić swoich praw (co więcej może zrobić to w jej imieniu organ nadzoru). Read More →

12 mar

Zostań Inspektorem Ochrony Danych!

Dostaję już prawie masowo pytania o to, jak przekwalifikować się na Inspektora Ochrony Danych. Co bardzo pozytywne, coraz częściej piszecie, że temat „jest bardzo interesujący i wciągający”. A jakże! Bardzo ciekawy, a gdy już złapie się bakcyla i nabierze wiedzy oraz ogłady, jest także dochodowy.

Inspektor Ochrony Danych ma przed sobą niełatwe zadanie: nadzorowanie procesów przetwarzania danych u Administratora. Biorąc pod uwagę odpowiedzialność, ilość zadań oraz możliwe kary, nie powinni zajmować się tym Ci, którzy nie czują się naprawdę pewnie i nie mają wiedzy teoretycznej w małym palcu. Należy swoją przygodę rozpocząć od zapoznania się z przepisami zarówno aktualnych krajowych przepisów, jak i RODO (polecam w tej kolejności). Mogę także polecić bardzo dobre szkolenie dla Inspektorówstauo.pl,. Co więcej tym razem w Lublinie (żeby nie było, że zawsze w Warszawie). Prowadzi je naprawdę doskonały specjalista, czyli Łukasz Wojciechowski, który nie tylko pisze wspaniałego bloga ale jest też świetnym szkoleniowcem. Read More →

20 lut

Jakie wytyczne w zakresie zabezpieczenia danych daje RODO?

Mam nadzieję, że treść RODO staje się Wam coraz bliższa i coraz częściej sięgacie już do rozporządzenia, a nie starej ustawy o ochronie danych. Tym bardziej, że czasu na dostosowanie się do wymogów RODO jest coraz mniej. A zostawianie wszystkiego na ostatnią chwilę może sprawić, że zabraknie czasu. Pisałam już o tym, że jeżeli wdrożyliście już działające procedury bezpieczeństwa, to nie powinniście ich wyrzucać do kosza. RODO nie przewraca do góry nogami dotychczasowych rozwiązań, a proponuje ich rozwinięcie oraz doskonalenie. Czyli dostosowanie się do RODO, to przede wszystkim przejrzenie dotychczasowych rozwiązań, a następnie dostosowanie ich z uwzględnieniem ryzyk dla procesów przetwarzania. Read More →

04 lut

Jak zostać Inspektorem Ochrony Danych?

Wraz z ogólnym rozporządzeniem ochrony danych osobowych pojawiło się ogromne zapotrzebowanie na specjalistów odpowiedzialnych za nadzór nad procesami przetwarzania danych osobowych. RODO wymusza na wielu grupach administratorów danych obowiązek wyznaczenia inspektora ochrony danych, co za tym idzie niejako stwarza nowe miejsca pracy. Nie oszukujmy się, dzisiaj zapotrzebowanie na inspektorów jest większe niż liczba specjalistów, którzy mogliby sprostać wymaganiom tego zawodu (szczególnie w mniejszych miastach).

Zapotrzebowanie wpłynęło na zainteresowanie przekwalifikowaniem się do nowego zawodu. Read More →