Sylwia Czub – Strona 20 – Sylwia Czub bloguje o danych osobowych

25 cze

Kiedy zwycięzca konkursu musi podać PESEL w celu odbioru nagrody (aktualizacja)

To już trzecia aktualizacja wpisu (marzec 2019) nie wykluczam, że treść będzie wymagała za rok kolejnej aktualizacji.

Zakres danych zbieranych od uczestnika konkursu powinien być adekwatny i uzasadniony do celu przetwarzania. Co do zasady organizator konkursu nie powinien od razu prosić uczestników o wszystkie dane, niezbędne nie tylko do realizacji konkursu, ale także do wydania nagród. Trudno uzasadnić zbieranie danych adresowych wszystkich uczestników, jeżeli nagrody zostaną wysłane tylko do laureatów. W związku z tym, organizując konkurs, należałoby: Read More →

08 cze

Czym są standardy kontroli zarządczej?

Ponownie gościnie, publikuję artykuł Łukasza Wojciechowskiego (Statuo.pl) na temat kontroli zarządczej. Moim zdaniem tekst bardzo dobry, konkretny i pomocny. Łukasz jest świetnym wykładowcą i trenerem, z którym miałam przyjemność współpracować, a czytelnikom mojego bloga oferuje 10% zniżki na wszystkie usługi (w tym szkolenia z kontroli zarządczej). Wystarczy podać informację, że poleciłam Wam kontakt 🙂

Autor: Łukasz Wojciechowski

Osoby odpowiedzialne za kontrolę zarządczą często zadają sobie pytanie – czego oni tak naprawdę od nas chcą? Trudno się dziwić. Opisywałem już błędy podczas wprowadzania (narzucania podmiotom) mechanizmów kontroli zarządczej w artykule Kontrola zarządcza – fakty i mity. Nie wszyscy wiedzą, że 16.09.2009 r. Minister Finansów określił w specjalnym komunikacie tzw. standardy kontroli zarządczej. Warto zwrócić uwagę na ten dokument i się z nim zapoznać. W tekście omówię jego najważniejsze elementy. Read More →

26 maj

Organizowanie konkursów – kompleksowe omówienie, nie tylko w kontekście RODO

Konkursy to jedna z najpopularniejszych metod na promocję podmiotu lub marki. Konkursy często robione są „na szybko”, co może pociągać za sobą negatywne konsekwencje dla organizatora, jeżeli nie zabezpieczył właściwie swojego interesu. Omówię organizowanie w kontekście szerszym niż ogólne rozporządzenie o ochronie danych osobowych (RODO), mając nadzieję, że będzie to dla Was bardziej wartościowe i łatwiejsze do wykorzystania, gdyż kompleksowe.

Konkurs czy loteria?

Mówiłam o pułapkach, pierwszą z nich jest organizowanie konkursu, który w praktyce okazuje się loterią. Bardzo ciekawy artykuł na ten temat, szeroko omawiający zagadnienie, jest tutaj. Ja natomiast powiem krótko: Konkurs wyróżnia to, że jego uczestnicy muszą wykazać się obiektywnie ocenionymi umiejętnościami, które można uznać za najlepsze (a tym samym nagrodzić w konkursie). Konkurs, w którym wszyscy wygrywają albo losuje się nagrody z dostępnej puli, nie jest konkursem tylko loterią. Loteria nie jest niczym złym, jednakże wymaga dopełnienia większej liczby formalności (zgłoszenie organom celnym), których niedopełnienie może pociągać nieprzyjemne konsekwencje, w szczególności kary finansowe. Read More →

15 maj

RODO: nowe obowiązki informacyjne wobec podmiotu danych

Wraz z wejściem unijnych przepisów rozszerza się katalog praw osób, których dane dotyczą (podmiotów danych). Przede wszystkim RODO podkreśla prawo do przejrzystego i jasnego komunikowania o zasadach przetwarzania danych. Poza tym podmiot danych może w każdej chwili żądać wyczerpujących informacji na temat przetwarzania swoich danych, ich sprostowania, usunięcia (o ile nie stoi to w sprzeczności z przepisami prawa), zaprzestania przetwarzania (jeżeli jest to uzasadnione), przeniesienia lub ograniczenia przetwarzania. Administrator danych ma obowiązek w momencie pozyskiwania danych wypełnić obowiązek informacyjny wynikający z przepisów o ochronie danych osobowych wobec każdej osoby, której dane pozyskał.

Oznacza to, że obowiązek informacyjny należy wykonać zarówno wtedy, gdy pozyskujemy zgodę na przetwarzanie danych, ale także gdy dane są przetwarzane na podstawie innych przesłanek, np. przepisów prawa, dla dobra publicznego, czy zostały udostępnione ADO. Obowiązek informacyjny można wypełnić poprzez umieszczenie odpowiednich informacji bezpośrednio w treści zgody na przetwarzanie danych, w regulaminie usługi, czy poprzez wysłanie maila. Należy to zrobić tak, aby być w stanie udowodnić, że faktycznie został wypełniony. Read More →

10 maj

RODO: rozszerzona zgoda na przetwarzanie danych osobowych

Ogólne rozporządzenie o ochronie danych osobowych (RODO) kładzie duży nacisk na prawa osób, których dane dotyczą (podmiotów danych). Przede wszystkim wymaga rozszerzenia obowiązku informacyjnego, w taki sposób, aby było od razu wiadomo jak długo będą przetwarzane dane, komu przekazywane i jakie prawa przysługują podmiotowi danych. Obowiązek informacyjny omówię w kolejnym wpisie, na razie skupię się na samym obowiązku i sposobie pozyskiwania zgody na przetwarzanie danych osobowych.

Forma wyrażenia zgody

Sama definicja zgody nie uległa dużej zmianie: jest to dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych (art. 4 ust. 11 RODO). Pozostawiono możliwość pozyskania ustnej zgody, dodatkowo podkreślono, że może być ona uzyskiwana elektronicznie (np. poprzez zaznaczenie odpowiednich okienek). Należy pamiętać, że w przypadku pozyskiwania zgody w innej formie niż pisemna, to na administratorze danych osobowych będzie ciążył obowiązek udowodnienia, że została ona pozyskana, a nie dorozumiana. RODO określa wprost: Milczenie, okienka domyślnie zaznaczone lub niepodjęcie działania nie powinny oznaczać zgody (ust. 32 preambuły).Takim dowodem może być na przykład film z wydarzenia, przed którym uczestnicy zostaną zapytani o zgodę na przetwarzanie ich danych. Read More →

30 kwi

Yves Rocher weryfikuje tożsamość uczestników konkursu prosząc o przysłanie skanu dowodu osobistego

Znana większości kobiet marka kosmetyczna Yves Rocher Polska zorganizowała konkurs, w którym jednym z zastrzeżeń w regulaminie jest prawo sprawdzenia tożsamości uczestnika konkursu (nie laureata) poprzez zażądanie od niego skanu dowodu osobistego.

Poniżej zapis dostępnego tutaj regulaminu konkursu:

Ochrona danych osobowych a dostęp do informacji publicznej

Dostęp do informacji publicznej jest dzisiaj palącym problemem dla wielu instytucji publicznych (szczególnie urzędów) lub realizujących zadania publiczne, które po pierwsze są zasypywane pytaniami w tym trybie, po drugie nie wiedzą jak sobie z nimi radzić. Moja ogólna uwaga do zagadnienia i zalecenie jest takie, aby wprowadzić w swoim podmiocie procedurę postępowania z zapytaniem i udzielania odpowiedzi w trybie dostępu do informacji publicznej. Moje doświadczenie, wynikające z przeprowadzania audytów w instytucjach publicznych, jest takie, że pracownicy tych podmiotów zupełnie nie wiedzą, co robić z pytaniami o informację publiczną. Zazwyczaj jest w takim podmiocie wąskie grono osób, które mają właściwą wiedzę i potrafią udzielić odpowiedzi, jednakże szeregowi pracownicy, do których takie pytania są kierowane, nie wiedzą co z nimi robić. Podczas audytów stwierdziłam, że gdy do pracownika instytucji publicznej przychodzi e-mail z pytaniem w trybie dostępu do informacji publicznej, to albo od razu go kasuje, bo uznaje, że wymagana jest forma pisemna albo żąda udzielenia pełnych danych nadawcy pytania. Dodatkowo często odpowiedzi są udzielane przez samych pracowników, a powinny być konsultowane przynajmniej z osobą zajmującą się tego typu kwestiami i/lub z prawnikiem. Nie powinno w tym całym łańcuszku zabraknąć ABI. Wprowadzenie jednolitej procedury i przeszkolenie pracowników w zakresie postępowania z takimi postępowaniami, pozwoli uniknąć stresów i nieprzyjemnych sytuacji.

Opowiem dzisiaj o odpowiadaniu na pytania o informację publiczną w kontekście pytania zadanego w trybie ustawy o dostępie do informacji publicznej, które zostało skierowane przez Fundację Promocji Bezpieczeństwa. Samo pytanie także stanowi informację publiczną, więc poniżej je przytaczam: Read More →

18 kwi

Aktualizacja wpisu: Czy zbiór danych monitoringu wizyjnego należy zarejestrować w GIODO?

Ze względu na bardzo dużą liczbę zapytań związanych ze zbiorem monitoringu, postanowiłam zaktualizować wpis z grudnia 2015 roku dotyczący obowiązku rejestrowania zbioru danych gromadzonych w ramach monitoringu wizyjnego w rejestrze GIODO.

Przede wszystkim należy odpowiedzieć sobie na pytanie, czy dane gromadzone w ramach monitoringu wizyjnego stanowią zbiór danych osobowych. Odpowiedź jest twierdząca – jest to zbiór, w którym można wyszukiwać, który ma usystematyzowaną strukturę oraz pozwala zidentyfikować. Szczegółowo wyjaśniam to w poniższym filmie: Read More →

14 kwi

Czytelnikom mojego bloga życzę zdrowych i pogodnych Świąt!

09 kwi

Ukradli mi dane, co robić?

Prawda jest taka, że w dzisiejszych czasach łatwo stać się ofiarą cyberprzestępstwa, ale bardzo trudno wyplątać z takiej sytuacji. Być może oglądaliście film Złodziej tożsamości, w którym główny bohater pada ofiarą kradzieży tożsamości. Film doskonale obrazuje sytuację ofiary takiego przestępstwa – jest ona właściwie bezsilna, bo aby można było mówić o przestępstwie musi wykazać, że rzeczywiście do niego doszło oraz… wskazać kto je popełnił. Niestety nie jest to tylko filmowa rzeczywistość, ale realny problem poszkodowanego. W przytoczonym filmie ofiara kradzieży tożsamości traci nie tylko pieniądze (w tym oszczędności życia), ale także stanowisko pracy i pozycję społeczną.
W polskiej rzeczywistości oszuści najczęściej wykorzystują pozyskane dane, aby dzięki nim zaciągnąć pożyczki, kupić sprzęt AGD, telefony. Osoba, której dane zostały wykorzystane najczęściej dowiaduje się dopiero po kilku miesiącach, gdy puka do niej komornik z żądaniem zwrotu pieniędzy. Jednak wtedy najczęściej jest już za późno, bo przestępca skutecznie ukrył wszystkie ślady. Read More →