18 kwi

Aktualizacja wpisu: Czy zbiór danych monitoringu wizyjnego należy zarejestrować w GIODO?

Ze względu na bardzo dużą liczbę zapytań związanych ze zbiorem monitoringu, postanowiłam zaktualizować wpis z grudnia 2015 roku dotyczący obowiązku rejestrowania zbioru danych gromadzonych w ramach monitoringu wizyjnego w rejestrze GIODO.

Przede wszystkim należy odpowiedzieć sobie na pytanie, czy dane gromadzone w ramach monitoringu wizyjnego stanowią zbiór danych osobowych. Odpowiedź jest twierdząca – jest to zbiór, w którym można wyszukiwać, który ma usystematyzowaną strukturę oraz pozwala zidentyfikować. Szczegółowo wyjaśniam to w poniższym filmie: Read More

19 wrz

Zakończenie działalności gospodarczej a wykreślenie zbioru z GIODO

Ostatnio napisał do mnie przedsiębiorca, który zastanawiał się, jakie ma obowiązki wobec GIODO, jeżeli zakończył działalność gospodarczą. Odpowiedź na jego pytanie było złożone, bo zależało od kilku czynników.

Po pierwsze, czy rzeczywiście zakończyło się przetwarzanie danych w zbiorze. Zgłoszony przez przedsiębiorcę zbiór danych dotyczył klientów jego sklepu internetowego. Pomimo, że zakończył już działalność, nadal ma obowiązek przechowywać dokumentację związaną z działalnością na wypadek kontroli skarbowej. Oznacza to, że nie zakończyło się przetwarzanie danych. Nie ma podstawy do wykreślenia zbioru z rejestru prowadzonego przez GIODO, do momentu gdy minie określony przepisami prawa czas przechowywania dokumentacji i zostanie ona zniszczona. Read More

21 sie

Czy basen lub aquapark ma prawo prosić o ksero karty ciąży lub orzeczenia niepełnosprawności na potrzeby zniżki?

Jedna z moich czytelniczek chciała skorzystać z usług aquaparku. Przeglądając cennik dowiedziała się, że może skorzystać ze zniżki dla kobiet w ciąży. Jednak dużą wątpliwość wzbudziły od niej wymagania, jakie trzeba spełnić, aby otrzymać zniżkę. Postanowiła napisać do mnie w tej sprawie:

z opisu wychodzi mi, że kobiety w ciąży otrzymają zniżkę, po pozostawieniu w kasie parku kserokopii karty ciąży. W karcie ciąży są dane dotyczące daty urodzenia, wagi, ciśnienia i np wynik testu na HIV…

Postanowiłam sprawdzić o co chodzi i poprosić aquapark o wyjaśnienie.

Cennik wygląda następująco (dostępny na stronie energylandia.pl/cennik/cennik-indywidualny/ ) zdjęcie z dnia 19-08-2016 r.

cennikZadałam pytanie rzecznikowi prasowemu, Panu Krystianowi Kojderowi (28 lipca 2016 r.):

Szanowni Państwo,
uprzejmie proszę o złożenie wyjaśnień w przedmiotowej sprawie:
1. Jaką mają Państwo podstawę prawną do zbierania kserokopii dokumentów potwierdzających stopień niepełnosprawności oraz informacje o stanie zdrowia (tzn. kartę ciąży)?
2. Czy zgodnie z art. 40 ustawy o ochronie danych osobowych, otrzymaliście Państwo zgodę Generalnego Inspektora Ochrony Danych Osobowych na przetwarzanie wyżej wymienionych danych wrażliwych?
3. W jaki sposób są chronione dane wrażliwe Państwa klientów, którzy składają w kasie kserokopie dokumentów?

Read More

09 sie

Czy trzeba rejestrować w GIODO zbiór osób wykonujących bezpłatne prace na cele społeczne?

Pytanie od Pani Małgorzaty:

Do naszej instytucji są kierowane przez sąd osoby do bezpłatnych prac społecznych. Kto jest administratorem ich danych osobowych i czy taki zbiór podlega obowiązkowi zgłoszenia do rejestru GIODO?

Wraz z informacją o skierowaniu na bezpłatne prace społeczne, sąd zazwyczaj przesyła do instytucji wyrok, na podstawie którego taka kara ma się odbyć. Instytucja otrzymuje informacje o treści wyroku oraz dane osobowe skierowanego do pracy. Od momentu otrzymania tych informacji, instytucja staje się administratorem danych osobowych w celu i zakresie związanym z realizacją bezpłatnej pracy społecznej.

Legalność przetwarzania przez nią danych wynika z art. 56 ustawy z dnia 6 czerwca 1997 r. Kodeks karny wykonawczy (Dz. U. 1997, Nr 90, poz. 557 z późn. zm.) oraz rozporządzenia Rady Ministrów z dnia 23 marca 2004 r. w sprawie podmiotów, w których jest wykonywana kara ograniczenia wolności oraz praca społecznie użyteczna (Dz.U. 2004, Nr 56, poz. 544). Read More

14 lip

Zmiana adresu administratora danych a ochrona danych osobowych

Czy zastanawialiście się kiedyś jakie są konsekwencje zmiany adresu administratora danych? Omówię to dla trzech przypadków:

  1. Tymczasowa zmiana adresu głównej siedziby
  2. Stała zmiana adres głównej siedziby
  3. Zmiana adresu filii/oddziału

Tymczasowa zmiana adresu głównej siedziby

Jest to sytuacja, w której firma (administrator danych) musi zmienić tymczasowo siedzibę, aby  w określonym, znanym terminie wrócić do pierwotnej siedziby lub przenieść się pod docelowy adres. Tymczasowa przeprowadzka nie skutkuje zmianą adresu w rejestrach, w których figuruje jednostka (CEiDG, RIK, SIO, rejestr REGON, itp.). Oznacza to, że adres siedziby administratora danych nie uległ zmianie, zmienił się jedynie adres korespondencyjny. Tymczasowa zmiana nie wpływa na dane ADO podawane przy wypełnianiu obowiązku informacyjnego z art. 24 i 25 UODO, pozyskiwaniu zgody na przetwarzanie danych osobowych, czy dane w rejestrach prowadzonych przez GIODO. Natomiast konieczne jest niezwłoczne zaktualizowanie wykazu budynków, pomieszczeń oraz części pomieszczeń stanowiących obszar przetwarzania danych osobowych w polityce bezpieczeństwa danych osobowych. Read More

06 cze

Czy wykaz zbiorów w polityce może zastąpić rejestr ABI?

Pytanie od Pani Ewy:

W polityce bezpieczeństwa posiadamy wykaz zbiorów danych osobowych. Czy to jest jednoznaczne z jawnym rejestrem zbiorów danych osobowych? Czy powinien to być nowy rozbudowany odrębny dokument (wg Rozporządzenia Ministra Administracji i Cyfryzacji z dnia 11. 05.2015 r. w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbioru danych osobowych (Dz. U. poz. 719)) ?

Wykaz zbiorów w polityce bezpieczeństwa zawiera informacje o zawartości zbioru, jego strukturze, polach informacyjnych przetwarzanych w ramach poszczególnych systemów oraz powiązania między nimi. Dodatkowo są wskazane programy służące do przetwarza tych danych. Zakres danych w wykazie zbiorów zawartym w polityce określa Rozporządzenie MSWiA w sprawie dokumentacji przetwarzania danych osobowych.
Read More

07 kwi

Czy trzeba rejestrować stronę www w GIODO?

Część z Was otrzymała ostatnio wiadomość pod hasłem „BEZPIECZNA WIOSNA DLA KLIENTÓW” od stowarzyszenia „Bądźmy legalni”, z którego wynika, że musicie zarejestrować stronę www w GIODO. Oto fragment:

(…)”pragniemy zauważyć, że Państwa strona www nie jest jeszcze zarejestrowana w GIODO a jest do tego prawnie zobligowana.Każda strona lub sklep posiadająca elementy takie jak: newsletter, formularz kontaktowy, rejestracyjny, logowanie itp bezwzględnie muszą być zarejestrowane w GIODO. (…)

GIODO może nałożyć karę grzywny w postępowaniu administracyjnym dla osób prawnych lub jednostek organizacyjnych jednorazowo w kwocie do 50 tys. zł i może ją nałożyć maksymalnie 4 razy w jednym postępowaniu, co daję nam kwotę 200 tys. zł, w przypadku osób fizycznych jednorazowa kara grzywny może wynieść maksymalnie 10 tys. zł, ale razem nie mogą przekroczyć 50 tys. zł w jednym postępowaniu. Read More

21 sty

Webinaria dla administratorów bezpieczeństwa informacji – 26.01.2016 (wtorek)

Designed by Freepik.com

Czy zostaliście powołani na ABI i nie wiecie, jak skutecznie wywiązywać się ze swoich obowiązków? Może znacie już teorię, przeczytaliście ustawę oraz akty wykonawcze do niej, ale nadal nie potraficie zastosować tego w praktyce. A może boicie się przeprowadzać sprawdzenia na zlecenie GIODO lub negatywnej reakcji Waszych szefów, na niekoniecznie pozytywny, wyniki Waszej kontroli.  Jeżeli chcecie zyskać praktyczną wiedzę, która pozwoli Wam skutecznie i bezstresowo pełnić rolę ABI, to te webinaria są dla Was!

Zapraszam na dwa warsztaty (prowadzone na żywo) poświęcone tematyce:

  1. Prowadzenie zbiorów danych przez ABI
  2. Przeprowadzanie sprawdzeń i przygotowywanie sprawozdań przez ABI

 

Read More

31 gru

Czas oczekiwania na zarejestrowanie w GIODO

Koniec roku zmusza do refleksji nad upływającym czasem, więc dzisiaj będzie o czasie. Odpowiem na pytania:

  • ile czasu czeka się na wpisanie zbioru danych osobowych zwykłych lub wrażliwych w GIODO?
  • jak długo czeka się na wpisanie ABI do rejestru GIODO?
  • jaki jest czas oczekiwania na wykreślenie zbioru z rejestru GIODO?
  • ile czasu ma GIODO na wykreślenie ABI na wniosek administratora danych?

Uwaga: W GIODO nie rejestrujemy zbiorów danych zwolnionych na podstawie artykułu 43 ust. 1 ustawy o ochronie danych osobowych.

Read More

05 lis

Czy rejestr korespondencji należy zarejestrować w GIODO?

Pytanie od Pani Moniki:

Rejestry korespondencji prowadzimy w arkuszach Excel i na gotowych wydrukach z poczty, ale odręcznie dokonujemy wpisów na nich, nie mamy żadnego specjalnego systemu pocztowego, czy taki zbiór wymaga zgłoszenia do GIODO?

To jest bardzo dobre pytanie 🙂 Zgodnie z ustawą o ochronie danych osobowych należy zgłosić do GIODO każdy zbiór (art. 40), chyba że został on wymieniony w art. 43.1 jako zwolniony z tego obowiązku. Obowiązku zgłaszania zbiorów do GIODO nie mają także administratorzy danych, którzy powołali i zarejestrowali Administratora Bezpieczeństwa Informacji (nie dotyczy zbiorów danych wrażliwych). Read More