07 paź

Czy należy żądać potwierdzenia zapoznania się z klauzulą informacyjną?

Z cyklu krótkie pytanie, krótka odpowiedź: Czy mogę żądać od osoby, której dane dotyczą oświadczenia, że zapoznała się z treścią klauzuli informacyjnej, a także że akceptuje jej treść? 

Zgodnie z artykułem 13 oraz 14 RODO, nie mogę tego robić, ponieważ te przepisy prawa wyraźnie wskazują na to, że jest to obowiązek informacyjny (administrator podaje osobie, której dane dotyczą inforamcje o przetwarzaniu jej danych). Po stronie administratora leży tylko i wyłacznie przekazanie klauzuli informacyjnej. Natomiast nie może zmusić osoby, której dane dotyczą do tego, żeby podpisała się pod tym, że zapoznała się z klauzulą. I w żadnym wypadku nie może wymagać, aby oświadczyła, że akceptuje jej treść. Zresztą, jak można mówić o akceptacji, gdy trudno jest mówić o dobrowolności. W żadnym wypadku nie możemy w ten sposób sformułować żądania.

Read More
11 sie

Klauzula informacyjna do osób dodanych do bazy PR

Być może pamiętacie pierwszą karę pieniężną nałożoną przez Prezesa UODO? Chodziło o niezrealizowanie obowiązku informacyjnego wobec osób, które zostały dodane do bazy danych administratora, gdzie dane pozyskał on z ogólndostępnych źródeł, jak strony internetowe, CEiDG, czy KRS. Istotne w sprawie jest to, że administrator nie potrzebował w tym wypadku zgody tych osób, bo cel nie był marketingowy, a informacyjny (możliwość sprawdzenia takiego przedsiębiorcy w jednej bazie).

Organ nadzorczy zwrócił uwagę, że nawet jeżeli nie potrzebujemy zgody na przetwarzanie, to osoba, której dane dotyczą ma prawo wiedzieć o tym, że mamy jej dane i co z nimi robimy. Chociażby po to, by móc się sprzeciwić na takie działanie. Za niewypełnienie obowiązków informacyjnych, ostecznie nałożono prawie 1 mln zł kary. Read More

18 wrz

Obowiązek informacyjny wobec członków wspólnoty mieszkaniowej

Do stworzenia tego wpisu zainspirował mnie pewien zarządca wspólnoty mieszkaniowej, który uraczył swoich członków naprawdę zabawnym obowiązkiem informacyjnym. Oczywiście mówiąc zabawny jestem dość delikatna, bo zarządca to podmiot przetwarzający dane w imieniu wspólnoty, który powinien być w stanie zapewnić zgodność z przepisami RODO w realizowanych przez siebie czynnościach.

Zacznę od tego co w obowiązku było niepoprawne, bo najlepiej uczyć na błędach 🙂 Gdy poniżej mówię o administratorze, mam na myśli administratora w rozumieniu art. 4 RODO.

1) Jako administrator danych została wskazana (cytuję): „Wspólnota Mieszkaniowa”. Obowiązek był częścią oświadczenia, w którym ani razu nie wskazano pełnej nazwy i danych kontaktowych wspólnoty. Trudno więc uznać, że zostałam skutecznie poinformowana o tym, kto przetwarza moje dane.

2) Co ciekawe, od razu przy danych administratora został wskazany zarządca (tutaj pełna nazwa, adres, dane kontaktowe), wraz z informacją, że zostało mu powierzone przetwarzanie danych. Z punktu widzenia osoby, która otrzymuje tę informację, można odnieść wrażenie, że to zarządca jest administratorem danych – wynika to z dziwnej konstrukcji przekazywanych informacji. Read More

19 mar

Zaktualizuj regulamin pod RODO

Zwracałam już uwagę na konieczność aktualizacji obowiązku informacyjnego pod RODO:

RODO: nowe obowiązki informacyjne wobec podmiotu danych

jednak niedawno zdałam sobie sprawę, że bardzo wiele osób w ogóle nie realizuje obowiązku informacyjnego, więc pewnie nie wie jak to zrobić.  Obowiązek informacyjny to nic innego, jak udzielenie osobie, której dane dotyczą informacji o zasadach przetwarzania jej danych oraz o tym, jakie prawa jej przysługują. Mówiąc krótko, żeby miała poczucie, że nawet jeżeli jej dane są przekazywane do podmiotu, który ma uprzywilejowaną pozycję (duża/bogata firma, urząd, szpital) to ma ona prawo do kontroli tego, czy jej dane są prawidłowo przetwarzane (w tym zabezpieczone) oraz może dochodzić swoich praw (co więcej może zrobić to w jej imieniu organ nadzoru). Read More

21 sty

Czy ze względu na RODO należy na nowo wypełnić obowiązek informacyjny?

Wspominałam już o tym, że RODO bardzo rozszerza obowiązki informacyjne wobec osoby której dane dotyczą, który ma być w sposób jasny i zrozumiały informowany o swoich prawach. Jeżeli RODO wymaga, aby administrator danych podawał więcej informacji, niż dotychczas, czy oznacza to, że powinien on na nowo wypełnić obowiązek informacyjnych wobec osób, których dane zgromadził?
Może dodam, że obowiązek informacyjny jest jednym z najsłabiej realizowanych przez administratorów wymagań, wynikających z przepisów o ochronie danych osobowych (obecnie art. 24-25 ustawy o ochronie danych osobowych). Jeżeli nie wiesz, o czym mówię, poczytaj więcej na temat obowiązku informacyjnego tutaj.
Odpowiedź na pytanie z tytułu postu, wymaga krótkiej analizy zapisów RODO.
Po pierwsze zgodnie z motywem 61: Informacje o przetwarzaniu danych osobowych dotyczących osoby, której dane dotyczą, należy przekazać tej osobie w momencie zbierania danych, a jeżeli danych nie uzyskuje się od osoby, której dane dotyczą, lecz z innego źródła – w rozsądnym terminie, zależnie od okoliczności. Zgodnie z art. 12 ust. 1 RODO: Informacji udziela się na piśmie lub w inny sposób, w tym w stosownych przypadkach – elektronicznie. Jeżeli osoba, której dane dotyczą, tego zażąda, informacji można udzielić ustnie, o ile innymi sposobami potwierdzi się tożsamość osoby, której dane dotyczą. Warto podkreślić, że forma ustna jest „formą na żądanie”, ponieważ jest to rozwiązanie, które nie daje możliwości udowodnienia, że administrator faktycznie wypełnił obowiązek informacyjny. Read More

15 maj

RODO: nowe obowiązki informacyjne wobec podmiotu danych

Wraz z wejściem unijnych przepisów rozszerza się katalog praw osób, których dane dotyczą (podmiotów danych). Przede wszystkim RODO podkreśla prawo do przejrzystego i jasnego komunikowania o zasadach przetwarzania danych. Poza tym podmiot danych może w każdej chwili żądać wyczerpujących informacji na temat przetwarzania swoich danych, ich sprostowania, usunięcia (o ile nie stoi to w sprzeczności z przepisami prawa), zaprzestania przetwarzania (jeżeli jest to uzasadnione), przeniesienia lub ograniczenia przetwarzania. Administrator danych ma obowiązek w momencie pozyskiwania danych wypełnić obowiązek informacyjny wynikający z przepisów o ochronie danych osobowych wobec każdej osoby, której dane pozyskał.

Oznacza to, że obowiązek informacyjny należy wykonać zarówno wtedy, gdy pozyskujemy zgodę na przetwarzanie danych, ale także gdy dane są przetwarzane na podstawie innych przesłanek, np. przepisów prawa, dla dobra publicznego, czy zostały udostępnione ADO. Obowiązek informacyjny można wypełnić poprzez umieszczenie odpowiednich informacji bezpośrednio w treści zgody na przetwarzanie danych, w regulaminie usługi, czy poprzez wysłanie maila. Należy to zrobić tak, aby być w stanie udowodnić, że faktycznie został wypełniony. Read More

22 mar

Listy poparcia a dane osobowe

Przez zagadnienie “listy poparcia” rozumiem wszelkiego rodzaju tabelki, w których podajemy swoje dane, w celu poparcia jakiejś inicjatywy, kandydata politycznego albo zadeklarowania jakiegoś stanowiska (np. płatności na rzecz organizacji charytatywnej). Ostatnio też spotkałam się z taką listą robioną na potrzeby informacji dla mojej parafii, czy kupiłam opłatek od jego przedstawiciela (należało wpisać imię, nazwisko, adres oraz kwotę, którą postanowiło się zapłacić).

Wszystkie te listy mają wspólną cechę, jest to pusta kartka z dużą tabelką. I za każdym razem skłaniają mnie do długiej, często niemiłej i zakończonej pisemną lub mailową skargą do organizatora zbierania danych, rozmową.

Większość ludzi nie zastanawia się nad tym: dla kogo i przez kogo są zbierane oraz czy zostaną wykorzystane we wskazanym celu. Na razie nie przechodzę do obowiązków wynikających z przepisów prawa, a jedynie do czystej logiki i zaufania do osoby zbierającej. Czy ktokolwiek z Was zadał sobie pytanie, czy jeżeli wpisuje swoje dane na listę, która nie ma żadnego nagłówka ani określonego celu zbierania, to może ona zostać wykorzystana w zupełnie inny sposób niż Was zapewniono? Chociażby do poparcia zupełnie innego kandydata lub inicjatywy, niż ta pod którą się podpisaliście. To jest właśnie główny powód moich “niemiłych” rozmów z osobami, które zbierają dane.

Read More

12 maj

Czy trzeba informować osobę, której dane dotyczą o powierzeniu danych?

Jeżeli administrator danych korzysta z usługi realizowanej przez innego administratora (procesora) i realizacja tej usługi wiąże się z uzyskaniem przez ten podmiot dostępu do danych ze zbiorów administratora (np. biura rachunkowego, które poprowadzi także sprawy kadrowe), mówimy o powierzeniu danych osobowych.

Zasady powierzenia reguluje art. 31 ustawy o ochronie danych osobowych, z którego wynika m.in. obowiązek zawarcia umowy powierzenia na piśmie oraz konkretnego określenia zakresu oraz uprawnień procesora. Dodatkowo administratorowi danych przysługuje prawo kontroli sposobu przetwarzania i zabezpieczenia danych przez procesora.

Czy powierzenie danych oznacza konieczność poinformowania osób, do których danych uzyskał dostęp procesor o zaistnieniu tego faktu? Obowiązek informacyjny określają art. 24 i 25 ustawy o ochronie danych osobowych. Zakres danych o jakich należy poinformować obejmuje: Read More