Artykuły – Strona 26 – Sylwia Czub bloguje o danych osobowych

25 kwi

Czy numer PESEL jest konieczny w umowie?

Pytanie od Pana Grzegorza:

Nasza firma podpisuje z klientami umowy na wywóz nieczystości. Niektórzy klienci nie chcą podawać numeru PESEL w umowie, zasłaniając się ochroną danych osobowych oraz brakiem celowości zbierania PESEL-u (tzn. uważają, że zbieramy je na zapas). Rzeczywiście PESEL jest przez nas wykorzystywany dopiero, gdy klient nie wywiązuje się ze swoich zobowiązań i chcemy odzyskać należności. Czy klient może odmówić wpisania numeru PESEL do umowy?

W celu zawarcia umowy należy na wstępie określić jednoznacznie strony tej umowy. Jest to ważne nie tylko ze względu na dochodzenie późniejszych roszczeń przez strony, ale także aby uniknąć sytuacji, gdy ktoś wykorzysta cudze dane do zawarcia umowy w jego imieniu. Jeżeli nie da się jednoznacznie zidentyfikować stron podpisujących umowę, jest ona nieważna. Numer PESEL pozwala ustalić wszystkie pozostałe dane obywatela (taką informację uzyskuje się na uzasadniony w przepisach prawa wniosek do organu prowadzącego lub mającego dostęp do centralnego rejestru numerów PESEL). Read More →

19 kwi

Różnica w pojęciu osoby upoważnionej, uprawnionej oraz użytkownika

Bardzo często spotykam się w dokumentacjach, które przesyłacie mi do sprawdzenia w pomieszaniu pojęć: użytkownika, osoby upoważnionej oraz osoby uprawnionej. Nie są to synonimy i nie można używać ich zamiennie. Natomiast każde z nich ma kluczowe znaczenie dla dobrej organizacji polityki bezpieczeństwa informacji.

Osoba upoważniona – to osoba (najczęściej pracownik, ale niekoniecznie), która otrzymała upoważnienie do przetwarzania danych osobowych od administratora danych (ADO). Upoważnienie najczęściej jest wydawane na piśmie, chociaż GIODO dopuszcza także wydawanie upoważnień w formie służbowej wiadomości e-mail, ale jest to raczej rozwiązanie dla małych firm. Poza tym może stwarzać problemy w przyszłości przy kontroli upoważnień. Warto jeszcze przypomnieć, że upoważnienie powinno zawierać także informacje o tym do jakich danych (tzn. zbiorów) oraz w jakim zakresie pracownik otrzyma dostęp. Uważam, że warto od razu dodać informację o systemach informatycznych, do których zostaną nadane uprawnienia oraz loginie, który ma zostać przydzielony. Zmniejszy to liczbę dokumentów, które trzeba będzie wypełniać. Możecie skorzystać z przygotowanego przeze mnie wzoru. Read More →

16 kwi

Już za dwa lata jednolite przepisy o ochronie danych osobowych w całej Unii!

Doczekaliśmy się – Parlament Europejski uchwalił nowe rozporządzenie o ochronie danych osobowych oraz dyrektywę w sprawie przekazywania danych do celów policyjnych i sądowych. Oznacza to, że od momentu opublikowania Państwa członkowskie UE mają dwa lata, aby w pełni dostosować się do nowych przepisów. Warto podkreślić, że w odróżnieniu od dotychczas obowiązującej dyrektywy 95/46/WE, kraje członkowskie nie będą dokonywać własnej implementacji rozporządzenia, gdyż rozporządzenia unijne przyjmuje się wprost, dokładnie w brzemieniu, w którym zostały ogłoszone. Mówiąc krótko, w całej UE będą jednolite, identyczne przepisy o ochronie danych osobowych. Jest to bardzo duży krok na przód, bo dotychczas były duże rozbieżności w interpretacji przepisów o ochronie danych osobowych wynikających z dyrektywy 95/46/WE, np. były różne definicje zgody lub różny zakres danych uznany za wrażliwy (Polska jest jedynym krajem UE, w którym przynależność związkową uznaje się za dane wrażliwe). Read More →

07 kwi

Czy trzeba rejestrować stronę www w GIODO?

Część z Was otrzymała ostatnio wiadomość pod hasłem „BEZPIECZNA WIOSNA DLA KLIENTÓW” od stowarzyszenia „Bądźmy legalni”, z którego wynika, że musicie zarejestrować stronę www w GIODO. Oto fragment:

(…)”pragniemy zauważyć, że Państwa strona www nie jest jeszcze zarejestrowana w GIODO a jest do tego prawnie zobligowana.Każda strona lub sklep posiadająca elementy takie jak: newsletter, formularz kontaktowy, rejestracyjny, logowanie itp bezwzględnie muszą być zarejestrowane w GIODO. (…)

GIODO może nałożyć karę grzywny w postępowaniu administracyjnym dla osób prawnych lub jednostek organizacyjnych jednorazowo w kwocie do 50 tys. zł i może ją nałożyć maksymalnie 4 razy w jednym postępowaniu, co daję nam kwotę 200 tys. zł, w przypadku osób fizycznych jednorazowa kara grzywny może wynieść maksymalnie 10 tys. zł, ale razem nie mogą przekroczyć 50 tys. zł w jednym postępowaniu. Read More →

06 kwi

Polityka bezpieczeństwa: określenie środków technicznych i organizacyjnych

Na określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych składają się w szczególności:

Procedura nadawania/zmiany/odwołania upoważnień do przetwarzania danych.
Obowiązki Kierownika/Dyrektora/Zarządu (czyli tego kto działa w imieniu ADO).
Obowiązki Osoby Upoważnionej.
Obowiązki ASI (jeśli jest), ABI (jeśli jest) oraz np. koordynatora ochrony danych (jeśli jest).
Opis zastosowanych zabezpieczeń technicznych.
Opis zastosowanych zabezpieczeń organizacyjnych.
Procedura postępowania przy naruszeniu bezpieczeństwa danych (co zrobić, komu zgłosić, itd.).
Zasady udostępniania danych.
Procedury powierzania danych.

Wskazówki do poszczególnych punktów: Read More →

01 kwi

Nowelizacja ustawy o ochronie danych osobowych – jak interpretować zmiany?

W dniu dzisiejszym wchodzą zmiany w ustawie o ochronie danych osobowych w związku ze zmianami wynikającymi z ustawy o pomocy państwa w wychowywaniu dzieci (zwanej też ustawą 500+).

Zmieniony tekst ustawy jest już dostępny na stronach ISAP.

Co się zmieniło?

Dodano ustęp 2a do art. 23 (legalność przetwarzania danych):

Podmioty, o których mowa w art. 3 ust. 1, uważa się za jednego administratora danych, jeżeli przetwarzanie danych służy temu samemu interesowi publicznemu.

Komentarz GIODO: (…) wprowadzenie w miejsce ugruntowanej w obowiązującym prawie konstrukcji administratora danych koncepcji „jednego administratora” w odniesieniu do podmiotów wskazanych w art. 3 ust. 1 ustawy o ochronie danych osobowych (zgodnie z którą podmioty te łącznie stanowią jednego administratora), spowoduje dla samych administratorów danych trudności w praktycznym stosowaniu przepisu. Powołana wyżej prounijna wykładnia przepisów o ochronie danych osobowych wyklucza bowiem tego rodzaju konstrukcję. Nowy model administrowania danymi przez podmioty publiczne w żadnym wypadku nie może wyłączyć odpowiedzialności któregokolwiek z administratorów, ani zwolnić go z wykonywania ustawowych obowiązków. Każdy administrator danych nadal będzie obowiązany do realizacji nałożonych na niego właściwymi przepisami zadań i żaden inny podmiot nie będzie mógł go w tym zakresie wyręczyć.

Dodano ustęp 2a do art. 31 (powierzenie danych): Read More →

24 mar

Wesołych Świąt!

Spuszczam oczy i nic nie widzę! Odpoczywajcie, żeby po świętach wziąć się porządnie do roboty. Zwłaszcza, że wejdzie w życie nowelizacja ustawy.

16 mar

O ochronie danych osobowych w bibliotece

Wszystkich bibliotekarzy, szczególnie tych pracujących w systemie bibliotecznym MAK+, zapraszam do lektury nowego numeru PODKARPACKICH MAK-ów.

Oprócz spraw związanych z funkcjonowaniem bibliotek oraz pracy w systemie bibliotecznym, znajdziecie w nim zebrane w jednym miejscu istotne wpisy z mojego bloga dotyczące ochrony danych osobowych w bibliotece.

Numer jest dostępny online tutaj.

09 mar

Wykorzystanie wizerunku do celu sprawozdawczego

Pytanie od Pani Barbary:

W ramach sprawozdawczości przekazujemy do Urzędu informacje opatrzone dodatkowo dokumentacją fotograficzną z imprez organizowanych na terenie naszej instytucji, tj. w Bibliotece Głównej oraz w filiach bibliotecznych. Zdarza się, że zdjęcia z naszych imprez publikowane są następnie na stronie internetowej Urzędu Miasta. Podobnie sytuacja wygląda przy rozliczeniach, podsumowaniach projektów, gdzie dodatkowo wymagana jest dokumentacja fotograficzna. Niejednokrotnie, w ramach współpracy (realizacji projektu) zdjęcia te publikowane są na stronach internetowych innych organizacji.

Nadmieniam, że jako administrator danych osobowych posiadamy zgodę na wykonywanie zdjęć, jak też publikację wizerunku na naszej stronie internetowej oraz portalach społecznościowych. Czy taka praktyka jest zgodna z przepisami o ochronie danych osobowych? Czy może w przypadku wykorzystania zdjęć z wizerunkiem uczestników naszych imprez przez inne organizacje powinniśmy się jakoś zabezpieczyć?

Prezentacja z webinariów dla klientów MAK+

Wczoraj poprowadziłam szkolenie online dla klientów systemu bibliotecznego MAK+ z tematyki ochrony danych osobowych w kontekście elektronicznych wypożyczalni. Zainteresowanie było ogromne, w szkoleniu wzięło udział ponad 230 uczestników. Dla wszystkich, którzy nie mogli wziąć udziału lub chcieliby sobie przypomnieć niektóre fragmenty webinaru udostępniam prezentację:

Elektroniczna wypożyczalnia a ochrona danych osobowych