RODO – Strona 3 – Sylwia Czub bloguje o danych osobowych

09 paź

Udostępnianie i współadministrowanie danych według RODO

Najłatwiej wytłumaczyć czym jest udostępnienie danych, jeżeli określi się, że do udostępnienia dochodzi, gdy nie następuje ono w drodze powierzenia. Podmiot, któremu dane są udostępniane staje się ich administratorem, czyli wykorzystuje je do własnych celów. Są dwa rodzaje udostępnienia: nielegalne, gdy dane są udostępniane osobie (podmiotowi) nieupoważnionej oraz legalne, gdy następuje na zasadach określonych w przepisach. Dotychczasowa ustawa o ochronie danych osobowych przewiduje udostępnienie danych, gdy jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą (art. 23 ust. 1 pkt 5 UODO). Prawnie usprawiedliwiony cel, czyli taki, który wynika z przepisów prawa lub na mocy UODO dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej lub marketing bezpośredni (nieelektroniczny) produktów własnych (art. 23 ust. 4). Dawniej ustawa wymagała, aby udostępnienie następowało na pisemny wniosek, jednakże rozwój technologii wymusił aktualizację tego zapisu. Istotne jest to, że to administrator danych, jako odpowiedzialny za legalność udostępnienia, podejmuje decyzję o formie wnioskowania oraz czy wniosek jest formalnie poprawny, czyli ma prawo wymagać wskazania przesłanki legalizującej. Read More →

03 paź

Powierzenie danych według RODO

Każde przekazanie danych osobowych innemu podmiotowi musi być uzasadnione prawnie, w przeciwnym wypadku dojdzie do udostępnienia osobie nieupoważnionej, co może skutkować niebotyczną karą. Jest to także ogromne ryzyko biznesowe i wizerunkowe, dla podmiotu, który dokonał takiego udostępnienia.

Powierzenie danych – o co chodzi?

Do powierzenia dochodzi wtedy, gdy na zlecenie administratora danych, inny podmiot dokonuje operacji na danych osobowych. Podmiot, któremu dane są powierzane, nie staje się ich administratorem (chociaż ponosi odpowiedzialność tak samo, jak administrator), jedynie wykonuje operacje na danych, należących do administratora danych, w sposób i w celu ściśle przez niego określonym. Podmiot, któremu dane powierzono nie ma prawa ich wykorzystywać, do własnych celów (w szczególności dodawać ich do własnej bazy klientów/marketingowej oraz dalej udostępniać/sprzedawać). Powierzyć można dowolną czynność na danych od gromadzenia, przez edycję, przechowywanie, usunięcie.

Czy warto dostosowywać się do RODO skoro jeszcze nie ma nowelizacji krajowej ustawy?

Takie pytanie padło na moim ostatnim szkoleniu. Trudno odmówić mu racji bytu oraz zasadności. Właściwie jak to powinno być: czy należy jak najszybciej wdrażać RODO nie znając właściwego kształtu nowej ustawy o ochronie danych osobowych, czy to w ogóle ma sens? Dla przypomnienia, nowelizacja ustawy jest przygotowywana przez Ministerstwo Cyfryzacji. Aktualna wersja ustawy wraz z uzasadnieniem (szczególnie polecam uzasadnienie, bo wskazuje na intencje ustawodawcy, tzn. co autor miał na myśli) jest dostępna na stronie Ministerstwa Cyfryzacji. Obecnie obowiązuje kilkukrotnie nowelizowana ustawa z dnia 29 sierpnia 1997 roku o ochronie danych osobowych, która jest implementacją dyrektywy unijnej z 1995 roku. Ogólne rozporządzenie o ochronie danych osobowych, w odróżnieniu od dyrektywy, zgodnie z prawem unijnym ma bezpośrednie zastosowanie, tzn. jest stosowane wprost, we wszystkich krajach UE. Read More →

18 sie

Co zrobić, gdy jesteśmy proszeni o wysłanie danych osobowych przez e-mail

Korzystając z urlopu załatwiam różne sprawy bankowe i urzędowe. I poraża mnie niewiedza pracowników instytucji przetwarzających dane osobowe na dużą skalę. Prawie każda sprawa kończyła się prośbą proszę przysłać brakujące dane e-mailem. Gdy poprosiłam o zapewnienie środka komunikacji, który gwarantuje bezpieczeństwo moich danych, spotykałam się z niezrozumieniem i konsternacją. Jak to? Przecież bezpiecznie, przecież przez e-mail. Jako wisienkę na torcie, dodam że jedna z próśb dotyczyła wysłania wniosku zawierającego bardzo szeroki zakres moich danych w formie podpisanego skanu, na ogólny adres e-mail, w stylu „biuro”. Drogi czytelniku mojego bloga, czy Ty też się z tym spotkałeś? Mówimy o zmianach w przepisach, konieczności ochrony danych osobowych, wyższych karach w związku z RODO, a jednocześnie nikomu nie przyszło do głowy, że przyjęte i stosowane przez szeregowych pracowników rozwiązania łamią wszystkie podstawowe zasady bezpieczeństwa. Jak niska musi być świadomość tych ludzi (pewnie swoje dane także przesyłają w taki sposób). Read More →

02 sie

Pozyskiwanie zgody na przetwarzanie danych osobowych – najczęstsze błędy

Kto chociaż raz zetknął się z zagadnieniem pozyskiwania zgody wie, że temat jest tylko pozornie łatwy. W praktyce ten proces budzi wiele wątpliwości zaczynając od formy pozyskania, na treści zgody kończąc.

Definicja zgody na przetwarzanie danych osobowych

Ustawa o ochronie danych osobowych: Zgoda osoby, której dane dotyczą (podmiotu danych), to oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści; zgoda może być odwołana w każdym czasie.

Ogólne rozporządzenie o ochronie danych osobowych: zgoda osoby, której dane dotyczą oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych

Zgodnie z motywem 40 preambuły RODO: Aby przetwarzanie danych było zgodne z prawem, powinno się odbywać na podstawie zgody osoby, której dane dotyczą, lub na innej uzasadnionej podstawie przewidzianej prawem: albo w niniejszym rozporządzeniu, albo w innym akcie prawnym Unii lub w prawie państwa członkowskiego, o których mowa w niniejszym rozporządzeniu, w tym musi się ono odbywać z poszanowaniem obowiązku prawnego, któremu podlega administrator, lub z poszanowaniem umowy, której stroną jest osoba, której dane dotyczą, lub w celu podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy.

Mówiąc krótko, zgoda nie zawsze jest konieczna. Pisałam o tym szerzej tutaj. https://sylwiaczub.pl/pytanie-czy-zawsze-konieczna-jest-zgoda/

Brak dowodu pozyskania zgody

Zgoda jest oświadczeniem woli, może być wyrażona w dowolny sposób. Jednakże to na administratorze danych spoczywa obowiązek udowodnienia, że uzyskał zgodę. Read More →

15 maj

RODO: nowe obowiązki informacyjne wobec podmiotu danych

Wraz z wejściem unijnych przepisów rozszerza się katalog praw osób, których dane dotyczą (podmiotów danych). Przede wszystkim RODO podkreśla prawo do przejrzystego i jasnego komunikowania o zasadach przetwarzania danych. Poza tym podmiot danych może w każdej chwili żądać wyczerpujących informacji na temat przetwarzania swoich danych, ich sprostowania, usunięcia (o ile nie stoi to w sprzeczności z przepisami prawa), zaprzestania przetwarzania (jeżeli jest to uzasadnione), przeniesienia lub ograniczenia przetwarzania. Administrator danych ma obowiązek w momencie pozyskiwania danych wypełnić obowiązek informacyjny wynikający z przepisów o ochronie danych osobowych wobec każdej osoby, której dane pozyskał.

Oznacza to, że obowiązek informacyjny należy wykonać zarówno wtedy, gdy pozyskujemy zgodę na przetwarzanie danych, ale także gdy dane są przetwarzane na podstawie innych przesłanek, np. przepisów prawa, dla dobra publicznego, czy zostały udostępnione ADO. Obowiązek informacyjny można wypełnić poprzez umieszczenie odpowiednich informacji bezpośrednio w treści zgody na przetwarzanie danych, w regulaminie usługi, czy poprzez wysłanie maila. Należy to zrobić tak, aby być w stanie udowodnić, że faktycznie został wypełniony. Read More →

10 maj

RODO: rozszerzona zgoda na przetwarzanie danych osobowych

Ogólne rozporządzenie o ochronie danych osobowych (RODO) kładzie duży nacisk na prawa osób, których dane dotyczą (podmiotów danych). Przede wszystkim wymaga rozszerzenia obowiązku informacyjnego, w taki sposób, aby było od razu wiadomo jak długo będą przetwarzane dane, komu przekazywane i jakie prawa przysługują podmiotowi danych. Obowiązek informacyjny omówię w kolejnym wpisie, na razie skupię się na samym obowiązku i sposobie pozyskiwania zgody na przetwarzanie danych osobowych.

Forma wyrażenia zgody

Sama definicja zgody nie uległa dużej zmianie: jest to dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych (art. 4 ust. 11 RODO). Pozostawiono możliwość pozyskania ustnej zgody, dodatkowo podkreślono, że może być ona uzyskiwana elektronicznie (np. poprzez zaznaczenie odpowiednich okienek). Należy pamiętać, że w przypadku pozyskiwania zgody w innej formie niż pisemna, to na administratorze danych osobowych będzie ciążył obowiązek udowodnienia, że została ona pozyskana, a nie dorozumiana. RODO określa wprost: Milczenie, okienka domyślnie zaznaczone lub niepodjęcie działania nie powinny oznaczać zgody (ust. 32 preambuły).Takim dowodem może być na przykład film z wydarzenia, przed którym uczestnicy zostaną zapytani o zgodę na przetwarzanie ich danych. Read More →

29 mar

Komentarz: Projekt MAiC ustawy o ochronie danych osobowych

Ministerstwo Administracji i Cyfryzacji po przeprowadzeniu konsultacji z GIODO, związkami przedsiębiorców oraz Stowarzyszeniem ABI postanowiło opublikować bardzo wstępny projekt nowej ustawy o ochronie danych osobowych. Warto podkreślić, że nowa ustawa ma na celu doprecyzowanie tych elementów RODO, w których unijny ustawodawca pozostawił swobodę krajom członkowskim. Mówiąc krótko nie jest to transpozycja unijnego przepisu, który obowiązuje nas w opublikowanej treści, a zapewnienie skuteczności normom przewidzianym w RODO. Projekt może jeszcze ulec wielu zmianom, więc nie należy traktować jego treści jako wiążącej, jednakże na pewno ujawnia kierunek, w którym zmierza ustawodawca i pozwala lepiej przygotować się na jego wprowadzenie i późniejsze stosowanie.

Przed przeczytaniem treści ustawy, warto najpierw sięgnąć po bardzo przystępnie napisane wprowadzenie do projektu ustawy. Moim zdaniem po jego przeczytaniu bardzo łatwo przyjdzie przyswojenie treści samego projektu. Jakie zmiany? Read More →

08 mar

Kto musi powołać ABI/IOD?

Aktualna ustawa o ochronie danych osobowych określa, że powołanie ABI (administratora bezpieczeństwa informacji) jest przywilejem administratora danych. Oznacza to, że ma on możliwość, a nie obowiązek powołania ABI. Warto podkreślić, że w podmiotach, które przetwarzają dane na dużą skalę lub przetwarzają dane wrażliwe, ABI zdecydowanie powinien być powołany, bo pomimo że nie ma tego obowiązku, trudno jest wyobrazić sobie, jak taki podmiot będzie w stanie wywiązać się z obowiązku zapewnienia poufności danych bez osoby odpowiedzialnej za nadzór nad procesami przetwarzania.

Powołanie ABI przez podmioty publiczne (urzędy, szpitale, ośrodki pomocy społecznej, itd), banki, operatorów telekomunikacyjnych, agencje badawcze oraz inne podmioty, które przetwarzają dane w szerokim zakresie i na dużą skalę powinno być obligatoryjne już dzisiaj. Jest to kwestia chociażby zaufania do tych podmiotów oraz dawania przez nie gwarancji należytej świadomości i stosowanych środków w celu ochrony danych. Przekazywanie im danych wiąże się z kwestią zaufania w złożone deklaracje. Pomimo, że nie ma obowiązku powołania ABI, zdecydowanie jest to zalecane w tego typu podmiotach.

Nowelizacja przepisów o ochronie danych osobowych wprowadza w miejsce ABI inspektora ochrony danych osobowych (IOD). Jest to rola rozszerzona w stosunku do obecnych obowiązków ABI. Szerzej omówię to w oddzielnym artykule. Read More →

02 mar

Jak „ugryźć” RODO?

Świadomie od pewnego czasu unikałam szerszego omawiania zagadnienia tematu RODO (unijnego rozporządzenia o ochronie danych osobowych, które od maja 2018 roku zastąpi naszą ustawę o ochronie danych osobowych). Po pierwsze byłam odrobinę ciekawa „jakie szaleństwo narośnie dookoła tego tematu”, po drugie naprawdę liczyłam na to, że przeczytacie RODO. Rzeczywistość wygląda tak, że jesteście na każdym kroku straszeni przez różne firmy wysokimi karami oraz nieobliczalnymi kontrolami, które rozpoczną się już za niecały rok. W efekcie… zasypujecie mnie pytaniami. W większości z nich pytacie co robić? jak się nie dać? oraz co powinien zrobić człowiek, którego właśnie powołano na ABI?

Bardzo staram Wam się pomóc i skrupulatnie, chociaż z ogromnym opóźnieniem odpowiadam na Wasze wiadomości. Jednakże nawet najlepsze rady nie zdadzą się na nic, jeżeli osoba, która jest odpowiedzialna za nadzór nad przestrzeganiem przepisów i za zapewnienie ciągłości działania systemów bezpieczeństwa nie zapoznała się z przepisami. Prawda jest taka, że najlepsze szkolenie nie nauczy Was tego co jest konieczne, jeżeli nie przeczytacie: