11 maj

Monitoring wizyjny w sądzie – temat pozornie prosty

Kilka dni temu przechodziłam obok budynku sądu. Na ogrodzeniu była zawieszona tabliczka z grafiką kamery oraz klauzulą informacyjną skierowaną do osób objętych monitoringiem wizyjnym.

Klauzula na pierwszy rzut oka była w porządku i brzmiała mniej więcej tak:

„Administratorem Państwa danych osobowych jest sąd ……………., z siedzibą …………….. W sprawach dotyczących Państwa danych, w tym związanych z udostępnianiem nagrań z monitoringu, proszę kontaktować się z inspektorem ochrony danych e-mail ………….

Podstawą przetwarzania jest prawnie uzasadniony interes administratora, jakim jest zapewnienie bezpieczeństwa osób i mienia, a także ochrona informacji, do czego jest uprawniony na podstawie przepisów kodeksu pracy. Nagrania są przechowywane przez okres 30 dni. Więcej informacji dostępne jest na stronie www…..”

Moim zdaniem zamieszczenie jedynie pierwszej warstwy informacyjnej oraz odniesienie do strony internetowej sądu jest w porządku. W ogóle sama klauzula była napisana prostym i zrozumiałym językiem i dobrze realizowała ideę informowania osoby, której dane dotyczą, wynikającą z przepisów RODO. Duży plus za grafikę. Jednak, niestety klauzula zawierała dość istotny błąd, który burzył cały jej sens.

Read More
08 kwi

Jak wyznaczyć administratora danych?

Temat wyznaczania administratora danych wraca do mnie jak bumerang. Często w kontekście zlecania usług jakiemuś podmiotowi i wyznaczenia go w związku z tym na administratora tych danych. Takie podejście świadczy o zupełnym niezrozumieniu funkcji administratora danych. Zgodnie z definicją (art. 4 RODO), administratorem jest ten kto decyduje o celach i sposobach przetwarzania. Czasami nazywa się go właścicielem danych – formalnie do niego należą. Wychodząc od samej definicji można zauważyć, że administrator może w ogóle nie mieć dostępu do danych. Może być tak, że zleca innemu podmiotowi ich zgromadzenie oraz wykonywanie różnych działań na danych. Mimo, że fizycznie w ogóle nie ma kontaktu z tymi danymi, w praktyce nic nie dzieje się bez jego wiedzy i zgody. Wykonawca nie zebrałby tych danych i nie pracowałby na nich, gdyby nie umowa z administratorem. Status administratora oznacza, że może zlecający zażądać zaprzestania przetwarzania, usunięcia danych lub przekazania do innego (nowego podwykonawcy). Nie można wykonawcy wyznaczyć na administratora tych danych, bo w praktyce działa na polecenie administratora.

Read More
04 maj

Gościnnie: Niech administratorem w gminie będzie gmina

Kto jest administratorem danych w gminie? Pytanie to zadaje sobie pewnie większość inspektorów ochrony danych. Moim zdaniem za ADO w gminie powinna być uznawana właśnie ta gmina. Dlaczego? Administrator danych jest adresatem szeregu obowiązków wynikających z RODO i odpowiada między innymi za:

  • przetwarzanie danych zgodnie z zasadami – art. 5,
  • realizację żądań osób, których dane dotyczą – art. 15-22,
  • zapewnienie bezpieczeństwa przetwarzania danych – art. 32,
  • współpracę z organem nadzorczym – art. 31,
  • zgłaszanie naruszenia ochrony danych osobowych organowi nadzorczemu – art.35,
  • zawiadamianie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych – art. 34,
  • wyznaczenie inspektora ochrony danych.

W art. 9 ustawy o ochronie danych osobowych [ustawa ODO], jako podmioty publiczne zobowiązane do zgłoszenia inspektora ochrony danych zostały wskazane jednostki sektora finansów publicznych, do których zgodnie z ustawą o finansach publicznych (art. 9) zalicza się jednostki samorządu terytorialnego, jak gminy, powiaty, województwa. W tak ujętym określeniu podmiotu publicznego za administratora w jednostkach samorządu terytorialnego jak najbardziej można byłoby przyjąć gminę, w której organem wykonawczym, działającym w jej imieniu jest wójt. Read More

29 paź

Jak określić administratora danych osobowych w bibliotece wojskowej lub urzędzie?

Problem z ustaleniem administratora danych osobowych w bibliotece klubu wojskowego (dalej będę nazywać ją biblioteką wojskową) polega na tym, że ta biblioteka nie jest samodzielną jednostką organizacyjną. Biblioteka wojskowa znajduje się w strukturach organizacyjnych jednostki wojskowej, która nie posiada osobowości prawnej. Natomiast osobowość posiada obsługujący jednostkę wojskową pod względem administracyjnym i gospodarczym oddział, pododdział lub związek organizacyjny (np. Wojskowy Oddział Gospodarczy). Kierownicy bibliotek wojskowych stają przed trudnością w określeniu, czy administratorem jest jednostka, dowódca, czy WOG.

Punktem wyjścia do znalezienia odpowiedzi na pytanie, jest ustawowa definicja administratora danych: jest to organ, jednostka organizacyjna, podmiot lub osobę decydującą (samodzielnie) o celach i środkach przetwarzania danych osobowych.  Trudność w ustaleniu administratora danych osobowych w instytucjach państwowych polega na tym, że dla danych przetwarzanych w ramach jednego podmiotu (np. urzędu) może być różny administrator danych osobowych. Dla danych pracowniczych będzie nim pracodawca, ale dla danych przetwarzanych w ramach centralnego rejestru PESEL Minister Spraw Wewnętrznych i Administracji. Decydującym czynnikiem jest odpowiedź na pytanie kto decyduje o celach i środach przetwarzania danych osobowych. Co ciekawe w przypadku wniosków kierowanych do urzędu o udostępnienie danych z rejestru PESEL powstaje nowy zbiór danych osobowych „decyzji administracyjnych na wniosek o udostępnienie danych z rejestru PESEL”, dla którego administratorem jest podmiot przetwarzający te dane. Read More

11 lut

Ustawa 500+ po cichu wprowadza niepokojące zmiany w ochronie danych obywateli

Wczoraj GIODO opublikował pismo skierowane do Zastępcy Szefa Kancelarii Sejmu, w którym zasygnalizował zaniepokojenie próbą wprowadzenia istotnych zmian w ustawie o ochronie danych osobowych poprzez, tzw. ustawę 500+. O co chodzi?

Bez konsultacji społecznych oraz z Generalnym Inspektorem Ochrony Danych Osobowych wprowadzono do projektu ustawy art. 38 pkt 1, który ma umożliwić wszystkim organom publicznym wymianę danych o obywatelach bez ograniczeń narzucanych przez ochronę danych osobowych. Jak to możliwe? Zaproponowano wprowadzenie nowego tworu zbiorowego administratora danych, który działałby na zasadach ustawowego administratora danych.

GIODO napisał:

Wprowadzanie zmian o charakterze systemowym, które w zasadniczy sposób modyfikują podstawowe zasady przetwarzania danych osobowych, do tego w trybie uniemożliwiającym jakąkolwiek realną dyskusję, jest przez Generalnego Inspektora Ochrony Danych Osobowych nie do przyjęcia. Zaproponowane przez projektodawcę nowe przepisy ustawy o ochronie danych osobowych w praktyce oznaczałyby całkowitą przebudowę modelu przetwarzania danych osobowych przez podmioty publiczne. Spowodowałoby to chaos i uniemożliwiło realizację ustawowych zadań zarówno przez administratorów danych, jak i przez organ do spraw ochrony danych osobowych.

Do tej pory administrator danych musiał być jednoznacznie określony, ciążyły na nim określone obowiązki i odpowiedzialność. W jaki sposób egzekwować kary albo kontrolować „zbiorowego administratora danych”, na którego będzie się składało wiele instytucji?

Co ciekawe tak istotne zmiany w zakresie ochrony danych osobowych zostały wprowadzone „za plecami” organu, który odpowiada za ochronę danych w Polsce:

Read More

08 wrz

Dylematy biblioteki publiczno-szkolnej

Niektórzy z Was na pewno kojarzą taki twór, jak biblioteka publiczno-szkolna. Najczęściej jest to biblioteka publiczna, która ma swoją siedzibę (lub filię) w szkole i jednocześnie pełni rolę biblioteki szkolnej i publicznej. W niektórych jest jedna kartoteka czytelników, w innych dwie oddzielne. I od razu nasuwają się pytania natury prawnej.

Kto jest administratorem danych czytelników, biblioteka czy szkoła?

Jeżeli jest to biblioteka publiczna (lub jej filia) mieszcząca się w szkole, to administratorem danych osobowych wszystkich czytelników (także uczniów) jest biblioteka publiczna. Jeżeli w szkole mieści się biblioteka, którą zarządza szkoła i która tylko po godzinach obsługuje mieszkańców, ale nie jest to biblioteka publiczna, a jedynie instytucja pełniąca taką rolę, administratorem danych jest szkoła. Read More

12 lut

Jak często powinny być przeprowadzane sprawdzenia?

Pytanie padło od Pana Grzegorza:
Czy sprawdzenie odbywa się na żądanie dyrektora, czy też co pewien okres czasu? 
Czy roczne sprawozdanie jest wymogiem odgórnym (narzuconym przez GIODO) oraz czy każde sprawozdanie roczne musi zostać wysłane o GIODO?
Na chwilę obecną nie wiadomo jaką częstotliwość przeprowadzania sprawdzeń uchwali ustawodawca. W projekcie rozporządzenia MAiC jest mowa o planowanym sprawdzeniu raz do roku oraz dodatkowym sprawdzeniu na zlecenie GIODO lub na skutek zaistnienia incydentu. Pragnę podkreślić, że podobne sprawdzenia w przypadku informacji niejawnych są przeprowadzane raz na 3 lata ze względu na fakt, że taki kompleksowy audyt blokuje pracę instytucji na pewien czas.
Czekamy na ustalenia dotyczące rozporządzenia, z nadzieją, że ustawodawca zrozumie, że potrzebą zmian było ułatwienie a nie utrudnianie wykonywania działalności gospodarczej… Jeżeli sprawdzenie będzie musiało być przeprowadzane raz do roku, to sprawozdanie z tego sprawdzenia będzie przygotowywane również raz do roku (plus dodatkowe na zlecenie GIODO lub po incydentalnym sprawdzeniu).

Read More

01 paź

Administrator danych osobowych

Zacznijmy od definicji ustawowej

Art. 7 ust. 4 UODO

Ilekroć w ustawie jest mowa o administratorze danych – rozumie się przez to organ, jednostkę organizacyjną podmiot lub osobę, o których mowa w art. 3, decydujące o celach i środkach przetwarzania danych osobowych.

Konieczne jest przytoczenie art. 3 UODO (konkretnie ust. 2.2):

Ustawę stosuje się również do osób fizycznych i osób prawnych oraz jednostek organizacyjnych niebędących osobami prawnymi, jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych.

Konkluzja: Read More