21 Sty

Czy ze względu na RODO należy na nowo wypełnić obowiązek informacyjny?

Wspominałam już o tym, że RODO bardzo rozszerza obowiązki informacyjne wobec osoby której dane dotyczą, który ma być w sposób jasny i zrozumiały informowany o swoich prawach. Jeżeli RODO wymaga, aby administrator danych podawał więcej informacji, niż dotychczas, czy oznacza to, że powinien on na nowo wypełnić obowiązek informacyjnych wobec osób, których dane zgromadził?
Może dodam, że obowiązek informacyjny jest jednym z najsłabiej realizowanych przez administratorów wymagań, wynikających z przepisów o ochronie danych osobowych (obecnie art. 24-25 ustawy o ochronie danych osobowych). Jeżeli nie wiesz, o czym mówię, poczytaj więcej na temat obowiązku informacyjnego tutaj.
Odpowiedź na pytanie z tytułu postu, wymaga krótkiej analizy zapisów RODO.
Po pierwsze zgodnie z motywem 61: Informacje o przetwarzaniu danych osobowych dotyczących osoby, której dane dotyczą, należy przekazać tej osobie w momencie zbierania danych, a jeżeli danych nie uzyskuje się od osoby, której dane dotyczą, lecz z innego źródła – w rozsądnym terminie, zależnie od okoliczności. Zgodnie z art. 12 ust. 1 RODO: Informacji udziela się na piśmie lub w inny sposób, w tym w stosownych przypadkach – elektronicznie. Jeżeli osoba, której dane dotyczą, tego zażąda, informacji można udzielić ustnie, o ile innymi sposobami potwierdzi się tożsamość osoby, której dane dotyczą. Warto podkreślić, że forma ustna jest „formą na żądanie”, ponieważ jest to rozwiązanie, które nie daje możliwości udowodnienia, że administrator faktycznie wypełnił obowiązek informacyjny. Read More

15 Maj

RODO: nowe obowiązki informacyjne wobec podmiotu danych

Wraz z wejściem unijnych przepisów rozszerza się katalog praw osób, których dane dotyczą (podmiotów danych). Przede wszystkim RODO podkreśla prawo do przejrzystego i jasnego komunikowania o zasadach przetwarzania danych. Poza tym podmiot danych może w każdej chwili żądać wyczerpujących informacji na temat przetwarzania swoich danych, ich sprostowania, usunięcia (o ile nie stoi to w sprzeczności z przepisami prawa), zaprzestania przetwarzania (jeżeli jest to uzasadnione), przeniesienia lub ograniczenia przetwarzania. Administrator danych ma obowiązek w momencie pozyskiwania danych wypełnić obowiązek informacyjny wynikający z przepisów o ochronie danych osobowych wobec każdej osoby, której dane pozyskał.

Oznacza to, że obowiązek informacyjny należy wykonać zarówno wtedy, gdy pozyskujemy zgodę na przetwarzanie danych, ale także gdy dane są przetwarzane na podstawie innych przesłanek, np. przepisów prawa, dla dobra publicznego, czy zostały udostępnione ADO. Obowiązek informacyjny można wypełnić poprzez umieszczenie odpowiednich informacji bezpośrednio w treści zgody na przetwarzanie danych, w regulaminie usługi, czy poprzez wysłanie maila. Należy to zrobić tak, aby być w stanie udowodnić, że faktycznie został wypełniony. Read More

22 Mar

Listy poparcia a dane osobowe

Przez zagadnienie “listy poparcia” rozumiem wszelkiego rodzaju tabelki, w których podajemy swoje dane, w celu poparcia jakiejś inicjatywy, kandydata politycznego albo zadeklarowania jakiegoś stanowiska (np. płatności na rzecz organizacji charytatywnej). Ostatnio też spotkałam się z taką listą robioną na potrzeby informacji dla mojej parafii, czy kupiłam opłatek od jego przedstawiciela (należało wpisać imię, nazwisko, adres oraz kwotę, którą postanowiło się zapłacić).

Wszystkie te listy mają wspólną cechę, jest to pusta kartka z dużą tabelką. I za każdym razem skłaniają mnie do długiej, często niemiłej i zakończonej pisemną lub mailową skargą do organizatora zbierania danych, rozmową.

Większość ludzi nie zastanawia się nad tym: dla kogo i przez kogo są zbierane oraz czy zostaną wykorzystane we wskazanym celu. Na razie nie przechodzę do obowiązków wynikających z przepisów prawa, a jedynie do czystej logiki i zaufania do osoby zbierającej. Czy ktokolwiek z Was zadał sobie pytanie, czy jeżeli wpisuje swoje dane na listę, która nie ma żadnego nagłówka ani określonego celu zbierania, to może ona zostać wykorzystana w zupełnie inny sposób niż Was zapewniono? Chociażby do poparcia zupełnie innego kandydata lub inicjatywy, niż ta pod którą się podpisaliście. To jest właśnie główny powód moich “niemiłych” rozmów z osobami, które zbierają dane.

Read More

12 Maj

Czy trzeba informować osobę, której dane dotyczą o powierzeniu danych?

Jeżeli administrator danych korzysta z usługi realizowanej przez innego administratora (procesora) i realizacja tej usługi wiąże się z uzyskaniem przez ten podmiot dostępu do danych ze zbiorów administratora (np. biura rachunkowego, które poprowadzi także sprawy kadrowe), mówimy o powierzeniu danych osobowych.

Zasady powierzenia reguluje art. 31 ustawy o ochronie danych osobowych, z którego wynika m.in. obowiązek zawarcia umowy powierzenia na piśmie oraz konkretnego określenia zakresu oraz uprawnień procesora. Dodatkowo administratorowi danych przysługuje prawo kontroli sposobu przetwarzania i zabezpieczenia danych przez procesora.

Czy powierzenie danych oznacza konieczność poinformowania osób, do których danych uzyskał dostęp procesor o zaistnieniu tego faktu? Obowiązek informacyjny określają art. 24 i 25 ustawy o ochronie danych osobowych. Zakres danych o jakich należy poinformować obejmuje: Read More