18 Lip

Prawo do usuwania danych – jak i kiedy można z niego skorzystać?

RODO rozbudziło Wasze apetyty na korzystanie ze swoich praw do prywatności! Dostaję bardzo dużo wiadomości z pytaniami, jak skorzystać z prawa do usuwania danych, a także sposobu w jaki realizują lub nie to prawo, różne podmioty. Ponieważ macie sporo wątpliwości w tym zakresie, szczególnie wtedy, gdy administrator danych odmawia prawa do usunięcia danych (lub gdy działacie w imieniu administratora i dokonujecie analizy, czy prawo do usunięcia przysługuje), postanowiłam opisać prawo do usuwania danych w formie pytań i odpowiedzi.

Czy każdemu przysługuje prawo do usuwania danych?

Tak, każda osoba fizyczna ma prawo do wnioskowania o usuwanie jej danych. Uwaga nie jest to prawo przysługujące firmom i przedsiębiorcom (na mocy RODO). Zawsze masz prawo wnioskować, jednak nie zawsze to prawo będzie Ci przysługiwać.

Kiedy administrator danych ma obowiązek usunąć dane na mój wniosek?

Zgodnie z artykułem 17 RODO, administrator danych ma obowiązek bez zbędnej zwłoki usunąć Twoje dane, gdy oto prosisz, jeżeli: Read More

09 Lip

Jakie obowiązki ma Inspektor Ochrony Danych?

Nowelizacja „starej” ustawy o ochronie danych osobowych, wprowadzona w 2015 roku miała przygotować administratorów danych osobowych do RODO. Wprowadziła nową, niż dotychczasowa, rolę Administratora Bezpieczeństwa Informacji. Generalny Inspektor Ochrony Danych w wypowiedziach związanych z nowelizacją przepisów, podkreślał, że zmiany mają przygotować przedsiębiorców na projektowane Rozporządzenie o ochronie danych (RODO). Rolę i obowiązki ABI określono w rozdziale  (Zabezpieczenie danych osobowych) „starej” ustawy o ochronie danych osobowych (Dz.U. 2016 poz. 922).

Wśród obowiązków ABI było zapewnienie przestrzegania przepisów o ochronie danych osobowych, w szczególności poprzez:

a) sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych,

b) nadzorowanie opracowania i aktualizowania dokumentacji oraz przestrzegania zasad w niej określonych,

c) zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych;

a także prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych.

Sposób realizacji obowiązków ABI określały dwa rozporządzenia wykonawcze do ustawy:

  • Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji
  • Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych

Jednocześnie ustawa dawała możliwość powierzenia ABI innych obowiązków, jeżeli nie naruszy to prawidłowego realizowania przez niego swoich głównych zadań, związanych z nadzorem nad zgodnością przetwarzania danych.

Mówiąc krótko, dotychczasowe przepisy dosyć szczegółowo określały zakres obowiązków ABI.

Jak wyglądają obowiązki nowego ABI, czyli Inspektora Ochrony Danych w świetle przepisów RODO? Read More

20 Cze

Umowy zlecenia a RODO

Czy zgodnie z RODO należy prosić zleceniobiorcę o wyrażenie zgody na przetwarzanie jego danych osobowych? Jak powinna brzmieć zgoda zleceniobiorcy i gdzie należy ją umieścić? Jak wypełnić obowiązek informacyjny wobec niego?

To tylko kilka wątpliwości, które przewijają się w Waszych mailach do mnie w związku ze zmianami wynikającymi z RODO. Przede wszystkim chciałabym podkreślić, że RODO to nie rewolucja, a ewolucja dotychczasowych zasad ochrony danych osobowych i w zakresie legalności przetwarzania danych osobowych zleceniobiorców nic nie uległo zmianie. Read More

05 Cze

Czy trzeba prosić o zgodę na przetwarzanie danych w związku z wystawieniem faktury

Na wstępie należy podkreślić, że zgoda to nie jedyna podstawa do legalnego przetwarzania danych. Tak naprawdę po zgodę sięgamy dopiero wtedy, gdy nie mamy innej przesłanki legalizującej przetwarzanie. Skupię się na danych zwykłych, czyli takich danych, które są zbierane do wystawienia faktury.

Zgodnie z art. 6 RODO:
1. Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:

a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;

b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;

c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;

d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej; Read More

23 Maj

Pakiet RODO PLUS – dla małych przedsiębiorców

Jeżeli:

  • Prowadzisz jednoosobową działalność gospodarczą lub małą firmę
  • Zatrudniasz kilku pracowników / masz kilku podwykonawców
  • Wszyscy straszą Cię RODO, a Ty nie wiesz co z tym zrobić i nigdzie nie możesz otrzymać pomocy (lub nie możesz jej otrzymać w rozsądnej cenie)
  • Zależy Ci, aby jak najszybciej dostosować swoją działalność do RODO
  • Twoja działalność nie wymaga bardzo skomplikowanych procedur w zakresie ochrony danych, bo właściwie niewiele danych przetwarzacie (w odróżnieniu od biur rachunkowych, czy agencji reklamowych)

Zainteresuje Cię “Pakiet RODO PLUS”. Są to wytyczne i wzory dokumentów służące do samodzielnego przygotowania się na wymagania RODO oraz zapewnienia zachowania poufności przez osoby, które pomagają Ci świadczyć usługi.

“Pakiet RODO PLUS” jest skierowany do tych drobnych przedsiębiorców, którzy chcieliby łatwo oraz szybko “ogarnąć temat RODO”.

Nie zatrudniasz pracowników? Nie przepłacaj, zamów Pakiet RODO w wersji podstawowej

“Pakiet RODO PLUS” zawiera 18 dokumentów elektronicznych w wersji edytowalnej:

  1. Skrócona informacja dla właściciela
  2. Zgoda na przetwarzanie danych osobowych
  3. Obowiązek informacyjny
  4. Ocena skutków dla ochrony danych
  5. Stosowane zasady i środki bezpieczeństwa
  6. Procedury postępowania oraz zarządzania incydentami
  7. Zgłoszenia naruszenia do organu nadzorczego
  8. Zawiadomienie osób o naruszeniu poufności ich danych
  9. Ewidencja naruszeń
  10. Wniosek o udostępnienie danych
  11. Odnotowanie informacji o udostępnieniu
  12. Umowa powierzenia przetwarzania danych osobowych
  13. Rejestr czynności przetwarzania
  14. Oświadczenie o zachowaniu poufności dla pracownika
  15. Upoważnienie do przetwarzania danych osobowych
  16. Formularz zamówienia usługi przez klienta z zapisami powierzenia danych
  17. Rejestr kategorii przetwarzania danych osobowych
  18. Zasady zachowania poufności dla pracowników

Powyższe wzory z wytycznymi mają pomóc Ci zrozumieć wymagania RODO oraz samodzielnie dostosować się do nich.

Cena całego pakietu to 499 zł + 23 % VAT (613,77 zł brutto)

Read More

20 Maj

Zasady zgłaszania IOD

Na stronie GIODO pojawiły się wytyczne dotyczące zgłaszania Inspektorów Ochrony Danych:  https://giodo.gov.pl/pl/1520281/10506. Poniżej wybrane informacje ze strony GIODO:

  • Zawiadomienia o wyznaczeniu IOD należy dokonywać od 25 maja 2018 r. Od tego dnia nie należy do nas kierować zgłoszeń powołania i odwołania ABI.
  • Zawiadomienia o wyznaczeniu IOD należy dokonywać w postaci elektronicznej i opatrzyć kwalifikowanym podpisem elektronicznym albo podpisem potwierdzonym profilem zaufanym ePUAP. Po 25 maja 2018 r. na stronie internetowej urzędu będzie udostępniony elektroniczny formularz służący do tego celu.

W okresie przejściowym, bezpośrednio po wejściu w życie ustawy, zostały przewidziane różne terminy na dopełnienie tego obowiązku. Zależą one od tego, czy dany podmiot przed 25 maja 2018 r. miał powołanego administratora bezpieczeństwa informacji (ABI), a także od tego, czy nowe przepisy nakładają na niego obowiązek wyznaczenia inspektora ochrony danych. Read More

17 Maj

RODO: odbiorca danych, czyli kto?

Ogólne rozporządzenie o ochronie danych w kilku sytuacjach, wymaga wskazania odbiorców danych:

  1. Podczas wypełniania obowiązku informacyjnego (art. 13-15 RODO)
  2. W rejestrze czynności przetwarzania (art. 30 RODO)

Należy także powiadomić wszystkich odbiorców danych o żądaniu osoby, której dane dotyczą usunięcia, sprostowania lub ograniczenia przetwarzania. Poprawne zrealizowanie tych obowiązków wymaga ustalenia kto jest odbiorcą danych w rozumieniu RODO.

Definicja odbiorcy jest wskazana w art. 4 ust. 9 RODO:

„Odbiorca” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią. Organy publiczne, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania zgodnie z prawem Unii lub prawem państwa członkowskiego, nie są jednak uznawane za odbiorców; przetwarzanie tych danych przez te organy publiczne musi być zgodne z przepisami o ochronie danych mającymi zastosowanie stosownie do celów przetwarzania;

W zakresie informacji przekazywanej osobie, której dane dotyczą, gdy pozyskujemy od niej jej dane osobowe ma zastosowanie artykuł 13, w zakresie odbiorcy ust. 1 e:

Osobie, której dane dotyczą przekazuje się informację: informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;

Jednocześnie, jeżeli w momencie gromadzenia danych, administrator nie planuje przekazywać od razu danych osobowych do wszystkich odbiorców (może to zależeć od konkretnych czynników), to informację o udostępnieniu należy podać w momencie udostępnienia, a nie gromadzenia (np. udostępnienie firmie windykacyjnej): Read More

12 Maj

Pakiet RODO dla mikro przedsiębiorców i freelancerów

Jeżeli:

  • Jesteś freelancerem, który na przykład prowadzi własnego bloga (lub vloga)
  • Prowadzisz jednoosobową działalność gospodarczą
  • Wszyscy straszą Cię RODO, a Ty nie wiesz co z tym zrobić i nigdzie nie możesz otrzymać pomocy (lub nie możesz jej otrzymać w rozsądnej cenie)
  • Zależy Ci, aby jak najszybciej dostosować swoją działalność do RODO

Zainteresuje Cię “Pakiet RODO”. Są to wytyczne i wzory dokumentów służące do samodzielnego przygotowania się na wymagania RODO.

“Pakiet RODO” jest skierowany do tych drobnych przedsiębiorców, którzy nie zatrudniają pracowników i chcieliby łatwo oraz szybko “ogarnąć temat RODO”.

Jesteś drobnym przedsiębiorcą, który zatrudnia pracowników? Skorzystaj z Pakietu RODO PLUS.

“Pakiet RODO” zawiera 13 dokumentów elektronicznych:

  1. Skrócona informacja dla właściciela
  2. Zgoda na przetwarzanie danych osobowych
  3. Obowiązek informacyjny
  4. Ocena skutków dla ochrony danych
  5. Stosowane zasady i środki bezpieczeństwa
  6. Procedury postępowania oraz zarządzania incydentami
  7. Zgłoszenia naruszenia do organu nadzorczego
  8. Zawiadomienie osób o naruszeniu poufności ich danych
  9. Ewidencja naruszeń
  10. Wniosek o udostępnienie danych
  11. Odnotowanie informacji o udostępnieniu
  12. Umowa powierzenia przetwarzania danych osobowych
  13. Rejestr czynności przetwarzania

Powyższe wzory z wytycznymi mają pomóc Ci zrozumieć wymagania RODO oraz samodzielnie dostosować się do nich.

Cena całego pakietu to 299 zł + 23 % VAT (367,77 zł brutto).

Read More

27 Kwi

Szkolenie “Zostań Inspektorem Ochrony Danych”

Zapraszam Was na szkolenie, które jest perełką wśród szkoleń. Wszyscy prowadzący są praktykami, którzy podzielą się z Wami swoim doświadczeń zawodowym. Jest to szkolenie dające zaawansowaną wiedzę w zakresie nadzorowania procesów przetwarzania danych. Pozwala zrozumieć co, jak i dlaczego. I najważniejsze. Postanowiliśmy je zorganizować, bo nasi klienci bardzo intensywnie poszukują Inspektorów Ochrony Danych, proszą o polecenie kogoś, kto naprawdę zna się na rzeczy, a my nie jesteśmy w stanie polecić nikogo “sensownego” kto miałby wiedzę, kwalifikacje oraz czas, aby zająć się tematem (nie oszukujmy się, większość specjalistów jest teraz maksymalnie obciążona pracą). Szkolenie odbędzie się w lipcu, kiedy (mamy nadzieję) trochę opadanie RODOszaleństwo. Uczestnicy ostatniego dnia otrzymają szansę weryfikacji swojej wiedzy i kwalifikacji. A jeżeli uzyskają co najmniej 80% punktów w naszym teście, będziemy (oczywiście za ich zgodą) przez 12 miesięcy polecać ich naszym klientom (i potencjalnym klientom), a także zamieścimy ich dane na naszej stronie z informacją, że polecamy do wykonywania zadań IOD i zweryfikowaliśmy ich wiedzę w tym zakresie. To szkolenie może być szansą na start w tym zawodzie, dla osób, które wcześniej nie zajmowały się tym zagadnieniem i nie wiedzą od czego zacząć, w szczególności nie mają kontaktów biznesowych. Read More

16 Kwi

Ocena skutków przetwarzania według RODO

Ogólne rozporządzenie o ochronie danych osobowych to ewolucja dotychczasowego podejścia do zapewnienia bezpieczeństwa przetwarzanych danych, które powinno być oparte na ocenie ryzyka. Generalny Inspektor Ochrony Danych w grudniu 2017 roku opublikował dwuczęściowy poradnik: Jak rozumieć podejście oparte na ryzyku wg RODO? Warto do niego sięgnąć, aby zyskać ogólne pojęcie o zasadach szacowania ryzyka. Wadą poradnika jest jego uniwersalność i profesjonalizm, które mają zapewnić, że będzie miał zastosowanie zarówno do małych, jak i dużych organizacji. Dla osoby nie mającej pojęcia o szacowaniu ryzyka (albo w ogóle o ryzyku), może to być zbyt trudne źródło informacji (chociaż rzetelnie opracowane). Chciałabym podkreślić, że RODO nie narzuca żadnych konkretnych metod szacowania ryzyka – to administrator decyduje, jak dokona oceny tego ryzyka. Nie muszą to być wyrafinowane, czy skomplikowane metody. Podmioty publiczne mogą skorzystać z mechanizmów kontroli zarządczej – są im znane i od lat stosowane. Osoby rozpoczynające swoją przygodę z szacowaniem ryzyka, mogą robić tabele (macierze), ale mogą też po prostu wypisywać zidentyfikowane dla danego procesu ryzyka oraz ich skutki, a następnie opisywać co mogłoby je zminimalizować. Jest to metoda tak dobra, jak każda inna, dopóki działa i jest regularnie stosowana (to czy działa bardzo łatwo jest rozpoznać – zła metoda sprawia, że nie jesteśmy w stanie przeprowadzić analizy, utykamy w połowie). Read More