Blog prawniczy: lutego 2018

wtorek, 27 lutego 2018

Wdrożenie RODO

Autor: Alfred Spychała

Wdrożenie nowego rozporządzenia unijnego wymaga odpowiedniego przygotowania. Wiele obowiązków o charakterze organizacyjnym wymusi na administratorach danych osobowych zmiany sposobu ich funkcjonowania. Zmiany te są procosami, które rozkładają sie w czasie. Czasu na wdrożenie RODO jest jednak coraz mniej.

Czas na przygotowanie administratorów danych osobowych do przetwarzania danych osobowych zgodnego z zasadami unijnego rozporządzenia ogólnego o ochronie danych osobowych (RODO) nieubłagalnie ucieka. Większość osób, które profesjonalnie zajmują się zagadnieniami ochrony danych osobowych uważało, że do nowych wymagań administratorzy danych osobowych powinni rozpocząć przygotowywać nie czekając na polskie akty prawne , które współtworzyć będą system ochrony danych osobowych w naszym kraju.

RODO „(…)ma na celu przyczynić się do tworzenia przestrzeni wolności bezpieczeństwa i sprawiedliwości, oraz unii gospodarczej, do postępu społeczno gospodarczego do wzmocnienia i konwergencji gospodarek na rynku wewnętrznym, a także do pomyślności ludzi.”[1] Polskie ustawy przygotowane przez resort cyfryzacji, nad którymi niedawno zakończył się proces konsultacji, to akty dotyczące w głównej mierze kwestii proceduralnych. Takich jak: powołania nowego organu nadzoru - Prezesa Urzędu Ochrony Danych Osobowych, w miejsce obecnego Generalnego Inspektora Ochrony Danych Osobowych, kompetencji tego urzędu i trybu jego działania.

Do wymagań RODO można było i należało przygotowywać się od dawna, nie czekając na polską ustawę. Przepisy określające podstawowe zasady przetwarzania danych takie jak np. wywiązywania się z obowiązku informacyjnego wobec osób, od których je pozyskano, są już znane od 27 kwietnia 2016 r. Zawiera je unijne rozporządzenie. Rzecz jasna, są pewne zagadnienia w których RODO dopuszcza różne podejście w poszczególnych krajach UE. Przykładem niech tu będą. zasady powoływania inspektorów ochrony danych. Rozporządzenie unijne określa kilka kryteriów z tym związanych, pozwala jednak krajom UE na wprowadzenie dodatkowych regulacji np. dla wybranych sektorów gospodarki. W projekcie ustawy, który opracowało Ministerstwo Cyfryzacji uznano rozwiązania wynikające z unijnego rozporządzenia za wystarczająco szerokie.

Spore wątpliwości co do projektów nowej ustawy o ochronie danych osobowych i ustawy Przepisy wprowadzające ustawę o ochronie danych osobowych ma Główny Inspektor Ochrony Danych Osobowych. Z całą pewnością w procesie legislacyjnym część uwag zgłoszonych w ramach konsultacji projektów ustaw zostanie uwzględniona, część nie.

O ostatecznym kształcie obydwu ustaw przekonamy się, oby jak najwcześniej, co nie powinno powstrzymywać administratorów danych osobowych przed działaniami przygotowawczymi. Działania te powinny dotyczyć:

sprawdzenia, czy istnieje konieczność powołanie inspektora ochrony danych;
zaktualizowania klauzul informacyjnych dla osób, których dane są przetwarzane;
wyboru sprawdzonych firm, którym powierzone zostanie przetwarzanie danych;
przygotowania odpowiedniej formy zgody na przetwarzanie danych, uwzględniającej nowe uprawnienia osób udzielających takiej zgody;
opracowania odpowiednich procedur pozwalających na zrealizowanie praw podmiotów danych;
przygotowania odpowiedniej dokumentacji ochrony danych osobowych - rejestru czynności przetwarzania;
opracowania procedury zgłaszania naruszeń ochrony danych osobowych i dokumentacji w tym zakresie,
wdrożenia adekwatnych do zagrożeń środków bezpieczeństwa w oparciu o proces szacowania ryzyka;
permanentnego realizowania obowiązków spoczywających na administratorze danych osobowych.

[1] Motyw 2 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r.

Alfred Spychała

www.abi-24.com.pl

Licencjonowane artykuły dostarcza Artelis.pl.

Nowy element w dokumentacji ODO

Autor: Alfred Spychała

Ochrona praw i wolności osób, których dane dotyczą oraz obowiązki i odpowiedzialność prawna administratorów i podmiotów przetwarzających wymagają jasnego doprecyzowania oczekiwań organów nadzorczych w ramach ich działań monitorujących ochronę danych osobowych.

Od 25 maja 2018 r. na podstawie Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 administratorzy danych osobowych (ADO) lub podmioty przetwarzające będą zobowiązani do prowadzenia rejestrów czynności przetwarzania.

Każdy administrator lub podmiot przetwarzający dane osobowe w ramach współpracy z organem nadzorczym (w naszym przypadku z GIODO) - na jego żądanie - zobowiązany będzie do udostępniania rejestru w celu monitorowania operacji przetwarzania danych pod kątem ich bezpieczeństwa oraz zgodności z obowiązującymi przepisami prawa.

Z obowiązku prowadzenia rejestrów czynności przetwarzania zwolnione będą podmioty zatrudniające mniej niż 250 osób; chyba, że przetwarzanie, którego dokonują może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych, o których jest mowa w art. 9 ust. 1 rozporządzenia 2016/679, lub dane osobowe dotyczą wyroków skazujących i naruszeń prawa (w art. 10 rozporządzenia 2016/679).[1]

Zapisy rejestru, w sposób przejrzysty, ukazywać powinny rzeczywisty stan bezpieczeństwa przetwarzania z uwzględnieniem wdrożonych środków technicznych i organizacyjnych.

Większość informacji, jakie zawierać powinien rejestry dziś znaleźć można w obowiązującej dokumentacji ochrony danych osobowych, lecz są one rozproszone w różnych dokumentach. Po wejściu w życie rozporządzenia ogólnego o ochronie danych informacje te zostaną zgromadzone i uporządkowane w jednym dokumencie – rejestrze czynności przetwarzania.

Rejestr zawierał będzie w przypadku administratorów danych osobowych następujące informacje:

imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszystkich współadministratorów - a także, gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych;
cele przetwarzania;
opis kategorii osób, których dane dotyczą oraz kategorii danych osobowych;
kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych;
gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej w tym nazwę tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit 2 rozporządzenia 2016/679, dokumentację odpowiednich zabezpieczeń;
jeżeli jest to możliwe planowane terminy usunięcia poszczególnych kategorii danych;
jeżeli jest to możliwe ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1 rozporządzenia 2016/679.[2]

W przypadku podmiotów przetwarzających rejestr zawierać powinien następujące informacje:

imię i nazwisko lub nazwa oraz dane kontaktowe podmiotu przetwarzającego lub podmiotów przetwarzających oraz każdego administratora w imieniu, którego działa podmiot przetwarzający, a gdy ma to zastosowanie - przedstawiciela administratora lub podmiotu przetwarzającego oraz inspektora ochrony danych;
kategorie przetwarzań dokonywanych w imieniu każdego z administratorów;
gdy ma to zastosowanie – przekazania danych osobowych do państw trzecich lub organizacji międzynarodowych, w tym nazwę tego państwa trzeciego lub organizacji międzynarodowej a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi rozporządzenia 2016/679, dokumentację odpowiednich zabezpieczeń;
jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1 rozporządzenia 2016/679.[3]

Rejestry powinny być prowadzone w formie pisemnej, w tym formie elektronicznej. Podmioty, które z mocy prawa zobowiązane będą do prowadzenia rejestrów czynności przetwarzania na bieżąco weryfikować będą aktualność i zgodność jego zapisów ze stanem faktycznym przetwarzania danych.

[1] Por.: Art. 30 ust. 5 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679.

[2] Por.: Art. 30 ust. 1 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679.

[3] Por.: Art. 30 ust. 2 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679.

Alfred Spychała

www.abi-24.com.pl

Licencjonowane artykuły dostarcza Artelis.pl.

Inspektor ochrony danych

Autor: Alfred Spychała

Ochrona danych osobowych będzie skuteczna, gdy wzmocnione i doprecyzowane zostaną obowiązki administratorów lub podmiotów przetwarzających poprzez zapewnienie wewnętrznych rozwiązań organizacyjnych w zakresie monitorowania i egzekwowania przepisów o ochronie danych osobowych.

Za niecałe dwa lata (25 maja 2018 r.) administratorzy danych osobowych (ADO) pożegnają swoich administratorów bezpieczeństwa informacji (ABI) a na ich miejsce powołają inspektorów ochrony danych.

Zgonie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 administrator i podmiot przetwarzający będzie miał obowiązek powołania inspektora ochrony danych zawsze, gdy:

przetwarzania dokonuje organ lub podmiot publiczny z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;
główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cel wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub
główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych , o których mowa mowa w art. 9 ust. 1 rozporządzenia 2016/679 oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa o czym mowa w art. 10 tego rozporządzenia.

Inspektor ochrony danych będzie mógł być powołany dla grupę przedsiębiorstw lub w przypadku, gdy administrator lub podmiot przetwarzający jest organem lub podmiotem publiczny dla kilku takich organów lub podmiotów.

W przypadku innym niż te, o których mowa w ust. 1, administrator lub podmiot przetwarzający, zrzeszenia lub inne podmioty reprezentujące określone kategorie administratorów lub podmiotów przetwarzających będą mogli wyznaczyć lub jeżeli wymaga tego prawo unii lub prawo państwa członkowskiego, wyznaczą inspektora ochrony danych.[1]

Inspektora ochrony danych wyznaczany będzie na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych. Może on być członkiem personelu administratora lub podmiotu przetwarzającego lub wykonywać zadania na podstawie umowy o świadczeniu usług. Podobnie, jak w przypadku ABI, inspektor ochrony danych będzie zgłaszany przez administratora lub podmiot przetwarzający do rejestru prowadzonego przez organ nadzorczy (GIODO). Dane kontaktowe inspektora ochrony danych będą publikowane przez administratora lub podmiot przetwarzający.

Administrator lub podmiot przetwarzający zapewnią by inspektor ochrony danych był właściwie i niezwłocznie włączony we wszystkie sprawy dotyczące ochrony danych osobowych. Będą go wspierały w wypełnianiu przez niego zadań, o których mowa w art. 38 rozporządzenia 2016/679 zapewniając mu zasoby niezbędne do wykonania tych zadań oraz dostęp do danych osobowych i operacji przetwarzania, a także zasoby niezbędne do utrzymania jego wiedzy fachowej.

Inspektor ochrony danych podlegał będzie bezpośrednio najwyższemu kierownictwu administratora lub podmiotu przetwarzającego i nie będzie mógł być odwołany lub ukarany za wypełnianie swoich zadań, nie będzie też otrzymywał instrukcji dotyczących wykonywania tych zadań.

Osoby, których dane dotyczą będą mogły kontaktować się z inspektorem ochrony danych we wszystkich sprawach związanych z przetwarzaniem ich danych osobowych oraz wykonywaniem praw im przysługujących.[2]

Inspektor ochrony danych będzie realizował następujące zadania:

informowanie administratora lub podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe o obowiązkach spoczywających na nich na mocy obowiązujących przepisów prawa, w tym rozporządzenia 2016/679 oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tych sprawach;
monitorowanie przestrzegania rozporządzenia 2016/679, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityki administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty;
udzielanie na żądanie zaleceń, co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania zgodnie z art. 35 rozporządzenia 2016/679;
współpraca z organem nadzorczym;
pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o których mowa w art.. 36 rozporządzenia 2016/679 oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach.

Inspektor ochrony danych wypełniał będzie swoje zadania z należytym uwzględnieniem ryzyka związanego z operacjami przetwarzania, mając na uwadze charakter, zakres, kontekst i cele przetwarzania.[3]

[1] Porównaj: Art. 37 ust. 1 Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679

[2] Porównaj: Art. 38 Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679

[3] Porównaj: Art. 39 Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679

Alfred Spychała

www.abi-24.com.pl

Licencjonowane artykuły dostarcza Artelis.pl.

Szpieg, czy odpowiedzialny specjalista?

Autor: Alfred Spychała

ABI to funkcja osoby w strukturze organizacyjnej administratora danych osobowych, która zawodowo zajmuje się nadzorem nad systemem ochrony danych osobowych.

Nowelizacja Ustawy z dnia 29 sierpnia 1997 roku, która weszła w życie z początkiem 2015 roku wywołała, pewnego rodzaju, nieufność, co do intencji ustawodawcy. Wątpliwości wzbudziły zwłaszcza zapisy dotyczące zasad powoływania przez Administratorów Danych Osobowych (ADO) Administratorów Bezpieczeństwa Informacji (ABI) oraz pozycji, tego ostatniego w strukturze administratora danych i zakresu jego obowiązków.

Kontrowersyjny, zdaniem wielu zainteresowanych problematyką ochrony danych osobowych, jest zapis dotyczący czynności kontrolnych Administratora Bezpieczeństwa Informacji wykonywanych na polecenie GIODO.

Tu i ówdzie przeczytać można było o niekorzystnych dla przedsiębiorców aspektach powołania Administratora Bezpieczeństwa Informacji, takich jak:

dodatkowe koszty,
zbyt daleko idące gwarancje jego niezależności;
szpiegowski charakter działań ABI- ego w firmie na rzecz GIODO.

Jestem przekonany, że u podstaw takich a nie innych zapisów Ustawy o ułatwieniu wykonywania działalności gospodarczej z dnia 7 listopada 2014 r. nie leżała chęć uczynienia z Administratorów Bezpieczeństwa Informacji „wtyczek” GIODO, które działałyby na niekorzyść swoich pracodawców, czy w przypadku outsourcing-u, usługodawców.

Administrator Bezpieczeństwa Informacji (ABI) jest instytucją wywodzącą się z art. 18 dyrektywy95/46/WE i wykazuje w przepisach immanentny związek z obowiązkiem rejestracji zbiorów danych osobowych. Powołanie, przez administratora danych, urzędnika do spraw ochrony danych osobowych, który zapewni stosowanie wewnątrz organizacji przepisów prawa krajowego o ochronie danych osobowych oraz prowadził będzie rejestr operacji przetwarzania danych wykonywanych przez administratora danych umożliwia wprowadzenie przez państwa członkowskie daleko idących uproszczeń ze zwolnieniem z obowiązku zgłaszania zbioru danych do rejestracji włącznie.

Regulacje takie mają zachęcać administratorów danych osobowych do powoływania w swoich organizacjach Administratora Bezpieczeństwa Informacji, co z pewnością zwiększa poziom bezpieczeństwa danych osobowych.

Silna, pozycja Administratora Bezpieczeństwa Informacji w strukturze administratora danych podyktowana jest tym, że działania ABI nie mogą być uzależnione od działań innych osób ani też środków będących w ich dyspozycji.

Odpowiednie środki techniczne (sprzętowe) oraz nadane kompetencje umożliwiać mają ABI:

wydawanie poleceń dotyczących przestrzegania zasad określonych w dokumentacji (art. 36a ust. 2 pkt 1 lit. b Ustawy o ochronie danych osobowych);
kontrolowanie działalności administratora danych pod kątem zgodności przetwarzania danych osobowych z przepisami (art. 36a ust. 2 pkt 1 lit. a Ustawy o ochronie danych osobowych);
prowadzenia szkoleń dotyczących przepisów o ochronie danych osobowych (art. 36a ust. 2 pkt 1 lit. c Ustawy o ochronie danych osobowych);
prowadzenia rejestru zbiorów danych (art. 36a ust. 2 pkt 2 Ustawy o ochronie danych osobowych);

Zgodnie z art. 19b Ustawy o ochronie danych osobowych GIODO może zwrócić się do ABI wpisanego do rejestru ABI o dokonanie sprawdzenia zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych u administratora danych, który danego ABI powołał wskazując zakres i termin sprawdzenia. Nie wyklucza to, co prawda, skorzystania przez GIODO z własnych kompetencji kontrolnych, biorąc jednak pod uwagę ilość kontroli przeprowadzanych przez GIODO w ciągu roku kalendarzowego, w większości przypadków kontrola wykonana przez ABI powinna finalizować czynności sprawdzające w konkretnej sprawie.

W przypadku polecenia dokonania sprawdzenia przez GIODO ABI przygotowuje sprawozdanie zawierające: wykaz podjętych czynności, określenie podmiotu i zakresu czynności, opis stanu faktycznego stwierdzonego w toku czynności, inne informacje mające znaczenie dla oceny zgodności przetwarzania danych z prawem oraz stwierdzone przypadki naruszenia przepisów. Przygotowane sprawozdanie ze sprawdzenia ABI przedstawia GIODO za pośrednictwem Administratora Danych Osobowych.

Odstąpienie przez GIODO od czynności kontrolnych i zlecenie ich przeprowadzenia Administratorowi Bezpieczeństwa Informacji należy traktować, jako wyraz zaufania w równym stopniu dotyczący Administratora Bezpieczeństwa Informacji, jak i Administratora Danych Osobowych, który go powołał. Jeżeli jednak Administrator Danych Osobowych nie powołał Administratora Bezpieczeństwa Informacji, i sam pełni jego obowiązki z mocy prawa, nie może skorzystać z możliwości uniknięcia kontroli GIODO w związku z wykonaniem sprawdzenia przez ABI.

Alfred Spychała

www.abi-24.com.pl

Licencjonowane artykuły dostarcza Artelis.pl.

Dane osobowe w chmurze

Autor: Alfred Spychała

Każda czynność związana z przetwarzaniem danych osobowych powinna odbywać się z poszanowaniem zasad wynikających z powszechnie obowiązujących przepisów prawa tj. Ustawy o ochronie danych osobowych z 29 sierpnia 1997 r. i wydanych na jej podstawie aktów wykonawczych.

Definicja Cloud Computing z 2011 roku mówi o modelowym zapewnieniu powszechnego i wygodnego sieciowego dostępu na żądanie do dzielonej puli konfigurowanych zasobów obliczeniowych, które mogą być szybko przydzielone i uwolnione przy minimalnym wysiłku zarządczym lub interakcji z dostawcą usługi. W dużym uproszczeniu mówiąc Cloud Computing to udostępnianie określonych zasobów informatycznych przez Internet. Działanie takie charakteryzuje się pięcioma podstawowymi cechami:

samoobsługą na żądanie;

szeroką dostępnością sieciową;

pulą zasobów;

mierzalnością wykorzystania zasobów.

Z założenia przetwarzanie w chmurze wiąże się z przechowywaniem danych w środowisku o charakterze zewnętrznym z zapewnieniem stałego do nich dostępu. Obecnie obowiązujące przepisy o ochronie danych osobowych dopuszczają takie rozwiązanie zwłaszcza, gdy chmura umiejscowiona jest w infrastrukturze informatycznej administratora danych. W takim przypadku nie zachodzi, bowiem sytuacja, że jakakolwiek wyodrębniona część danych przetwarzane jest przy udziale podmiotu zewnętrznego.

W sytuacji, gdy chmura znajduje się poza infrastrukturą administratora staje się on klientem usługi, który wykorzystuje udostępnioną mu strukturę (platforma, aplikacja) do przetwarzania danych. W takich przypadkach dostawca owej usługi staje się przetwarzającym dane osobowe. Wiąże się to z określonymi zagrożeniami, które wymagają od administratora danych osobowych przeprowadzenia szczegółowej analizy prawnej, która zbada i zdefiniuje relacje pomiędzy administratora danych (klientem) a dostawca usługi.

„Kluczowe staje się więc sprawdzenie przez administratora czy zasady ochrony danych gwarantują zapewnienie bezpieczeństwa przekazywanych informacji, ich poufność i integralność. Problem staje się o wiele bardziej skomplikowany w sytuacji, w której przetwarzanie odbywa się na terenie kilku państw bądź nawet podległym wyłącznie jurysdykcji międzynarodowej.”[1]

Na administratorze danych osobowych spoczywa obowiązek przeprowadzenia audytu prawnego który szczegółowo zbada sytuacje prawną stron umowy ze szczególnym uwzględnieniem takich zagadnień jak: prawo wewnętrzne państwa na terenie, którego znajduje się siedziba lub infrastruktura usługodawcy; obowiązujące umowy międzynarodowe; przepisy sektorowe dotyczące administratora danych osobowych.

ADO musi być pewien, że warunki świadczenia usługi dadzą mu pełną kontrolę nad sposobem przetwarzania danych w chmurze i uniemożliwią usługodawcy przetwarzanie danych do celów innych niż cele administratora. Kluczowe znaczenie ma też pełna współpraca usługodawcy z administratorem danych w zakresie osiągnięcia założonych standardów usługi i adekwatnego poziomu jej ochrony. Pełnej współpracy wymagają też działania nadzorcze i kontrolne prowadzone periodycznie jak i te, które wdraża się w konsekwencji naruszenia bezpieczeństwa systemu.

Biorąc pod uwagę charakter przetwarzanych danych w chmurze zapisy umowy pomiędzy administratorem danych osobowych a usługodawcą uregulowane być muszą takie między innymi zagadnienia jak:

procedury kontroli dostępu do danych przetwarzanych w chmurze,

sposoby szyfrowania danych przekazywanych pomiędzy systemami usługodawcy i ADO,

możliwość natychmiastowego usunięcia danych w przypadku incydentu bezpieczeństwa.

Polityka bezpieczeństwa, Instrukcja zarządzania systemem informatycznym oraz Umowa powierzenia przetwarzania danych osobowych powinny „(…) obejmować całokształt przetwarzania danych osobowych przez usługodawcę i uwzględniać zmienność charakterystyczną dla chmury (np. zmianę serwera i jego lokalizacji z powodu awarii czy obciążenia sieci) poprzez zapewnienie jednolitych procedur we wszystkich wariantach usługi.”[2] Jest to niezwykle istotne zagadnienie zwłaszcza, że zgodnie z Ustawą o ochronie danych osobowych z 29 sierpnia 1997 r. administrator ma obowiązek wskazania miejsca przetwarzania danych osobowych oraz wdrożenia odpowiednich środków bezpieczeństwa. Bez precyzyjnego określenia wykorzystywanej infrastruktury jest to niemożliwe.

[1] T. A. J. Banyś, Joanna Łuczak, Ochrona danych osobowych w praktyce. Jak unikać błędów i ich konsekwencji prawnych, Presscom Sp. z o. o. 2014, s. 170.

[2] Ibidem s. 172.

Alfred Spychała

www.abi-24.com.pl

Licencjonowane artykuły dostarcza Artelis.pl.

Wyjątkowy sposób przetwarzania danych

Autor: Alfred Spychała

Ochrona osób fizycznych w związku z przetwarzaniem danych osobowych jest jednym z praw podstawowych. Art. 8 ust 1 Karty praw podstawowych Unii Europejskiej oraz art. 16 ust. 1 Traktatu o funkcjonowaniu Unii Europejskiej stanowią, że każda osoba ma prawo do danych osobowych jej dotyczących.

W myśl ogólnego rozporządzenia o ochronie danych, które zacznie obowiązywać we wszystkich krajach Unii Europejskiej od 25 maja 2018 r. każdej osobie, której dotyczą przetwarzane dane, będzie przysługiwać prawo sprzeciwu wobec ich przetwarzania. Prawo to przysługiwać będzie nawet, jeżeli dane osobowe przetwarzane będą zgodnie z prawem, także gdy ich przetwarzanie będzie niezbędne do wykonywania zadań realizowanych w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi lub ze względu na prawnie uzasadniony interes administratora bądź strony trzeciej.

W tym trzecim przypadku administrator danych będzie musiał także wykazać, że jego ważne i prawnie uzasadnione interesy mają charakter nadrzędny wobec interesów lub podstawowych praw osoby, której dane dotyczą.

W przypadku przetwarzania danych osobowych do celów marketingowych osoba, której dane dotyczą będzie miała prawo, w dowolnym momencie, wnieść sprzeciw wobec takiego przetwarzania (pierwotnego lub dalszego) - w tym profilowania – o ile jest ono związane z marketingiem bezpośrednim. O możliwości podjęcia takich działań osoba, której dane dotyczą, powinna być w sposób jasny i niebudzący wątpliwości poinformowana.

Nie powinno być możliwe, by wobec osoby, której dane dotyczą podejmowano decyzje rodzące wobec niej skutki prawne, lub w podobny sposób znacząco wpływające na jej status quo, na podstawie zautomatyzowanego przetwarzania danych osobowych bez ingerencji czynnika ludzkiego. Do takiego przetwarzania zalicza się profilowanie polegające na dowolnym zautomatyzowanym przetwarzaniu danych osobowych pozwalającym oceniać indywidualne cechy osoby fizycznej, a w szczególności analizować i prognozować aspekty dotyczące: efektów pracy, sytuacji ekonomicznej, zdrowia, osobistych preferencji i zainteresowań, zachowania, aktualnego miejsca przebywania, planowanych podróży itd. itp.

Podejmowanie decyzji na podstawie takiego przetwarzania dopuszczalne będzie jednak, gdy zgodne to będzie z prawem Unii lub prawem państw członkowskiego, któremu podlega administrator, w tym do celów monitorowania i zapobiegania (zgodnie z uregulowaniami, standardami i zaleceniami instytucji Unii lub krajowych podmiotów nadzorujących) oszustwom, uchylaniu się od podatków oraz dla zapewnienia niezawodności usług świadczonych przez administratora lub gdy jest to niezbędne do zawarcia lub wykonania umowy między osobą, której dane dotyczą a administratorem, a także, gdy osoba, której dane dotyczą, wyrazi wyraźną zgodę.

W każdym z powyższych przypadków przetwarzanie takie powinno być odpowiednio zabezpieczone a osoba, której dane dotyczą powinna być poinformowana o jej prawach do:

uzyskania interwencji człowieka,
wyrażenia własnego stanowiska,
uzyskania wyjaśnień, co do decyzji wynikającej z takiego trybu oceny,
zakwestionowania podjętej - na podstawie takiej zautomatyzowanej procedury - decyzji.

Przetwarzanie takie nie będzie jednak dotyczyło dzieci. W pozostałych przypadkach, aby zapewnić rzetelność i przejrzystość przetwarzania danych osobowych, administrator będzie miał obowiązek zastosowania odpowiednich środków technicznych i organizacyjnych, które maksymalnie zminimalizują ryzyko błędów, zabezpieczą dane osobowe w sposób uwzględniający potencjalne ryzyko dla interesów i praw osób, których dane dotyczą, ale także zapobiegać będą skutkom w postaci dyskryminacji osób fizycznych z uwagi na ich pochodzenie rasowe lub etniczne, poglądy polityczne, wyznanie lub przekonania, przynależność do związków zawodowych, stan genetyczny, zdrowotny lub orientację seksualną.

Europejska Rada Ochrony Danych, która działać będzie na podstawie ogólnego rozporządzenia o ochronie danych będzie miała możliwość wydawania wskazówek doprecyzowujących zasady, na jakich możliwe będzie profilowanie.

Alfred Spychała

www.abi-24.com.pl

Licencjonowane artykuły dostarcza Artelis.pl.

Bezpieczeństwo danych

Autor: Alfred Spychała

Parlament Europejski i Rada Unii Europejskiej uważają że administrator danych osobowych (ADO) powinien mieć obowiązek wdrożenia odpowiednich i skutecznych środków oraz powinien być w stanie wykazać że czynności przetwarzania są zgodne z ogólnym rozporządzeniem o ochronie danych oraz że są skuteczne.

Ogólne rozporządzenie o ochronie danych będzie miało zastosowanie od 25 maja 2018 roku we wszystkich państwach członkowskich UE. Przepisy rozporządzenia w znacznie większym stopniu niż obowiązująca Ustawo o ochronie danych osobowych z 29 sierpnia 1997 roku obligować będą administratorów danych osobowych do zapewnienia maksymalnego bezpieczeństwa tych danych.

Uwzględniając stan wiedzy technicznej, koszt wdrożenia oraz charakter, zakres, kontekst i cel przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia administrator i podmiot przetwarzający będą musieli wdrożyć odpowiednie środki techniczne i organizacyjne, które zapewnią stopień bezpieczeństwa odpowiadający potencjalnemu ryzyku.

Wśród technicznych i organizacyjnych środków zabezpieczających odpowiedni poziom zabezpieczenia wymienia się:

pseudonimizację i szyfrowanie danych osobowych,
zdolność do ciągłego zapewnienia poufności, integralności, dostępności systemów i usług przetwarzania,
możliwości szybkiego przywracania dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego,
regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Przy ocenie stopnia bezpieczeństwa danych osobowych ich administrator będzie musiał uwzględniać w szczególności ryzyko wiążące się z ich przetwarzaniem a w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

W przypadku naruszenia zasad ochrony danych osobowych, które może skutkować ryzykiem naruszenia praw lub wolności osób fizycznych administrator bez zbędnej zwłoki będzie miał obowiązek zgłoszenia takiego faktu organowi nadzorczemu. Art. 34 rozporządzenia nakłada też na administratora obowiązek zawiadomienia osoby, której dane dotyczą o takim naruszeniu. Zawiadomienie takie nie będzie wymagane jedynie w następujących przypadkach, gdy:

administrator zastosował do danych osobowych, których dotyczy naruszenie odpowiednie techniczne i organizacyjne środki ochrony takie jak: szyfrowanie, pseudonimizację anonimizację i inne;
administrator zastosował dostępne środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą;
zawiadomienie wymagałoby niewspółmiernie dużego wysiłku (w takich przypadkach administrator danych powinien wydać publiczny komunikat, informujący w sposób skuteczny, wszystkie osoby, których dane dotyczą o zaistniałym naruszeniu ich ochrony).

Alfred Spychała

www.abi-24.com.pl

Licencjonowane artykuły dostarcza Artelis.pl.

Sposób na ochronę tożsamości

Autor: Łukasz Mastalerek

Ustawa z dnia 29.08.1997 o ochronie danych osobowych w szczegółowy sposób definiuje konieczność należytego zabezpieczenia wszelkich informacji, które dotyczą możliwości zidentyfikowania osoby fizycznej przez nieuprawnione do tego celu osoby.

Nakłada ona również obowiązek na podmioty będące w posiadaniu tych danych zgodnie z art. 7 wyżej powołanej ustawy stosowanie procedury dotyczącej ich przetwarzania, modyfikacji, a nawet usuwania. W rozumieniu przepisów ustawy o ochronie danych osobowych do podmiotów mających obowiązek zabezpieczenia danych dotyczących osób trzecich należą również działające na terenie naszego kraju przedsiębiorstwa, które w swoich zbiorach w postaci dokumentacji papierowej bądź elektronicznej dysponują danymi swoich klientów. Zgodnie z art. z ust. 3 przez usuwanie danych należy rozumieć ich zniszczenie bądź taką modyfikację, która nie pozwoli na ustalenie tożsamości osoby, której dotyczą. Ponieważ w każdym biurze dokumentacja papierowa po upływie określanego terminu archiwizacji ulega zniszczeniu dla zachowania wymogów proceduralnych polecane jest wręcz stosowanie nowoczesnych urządzeń zwyczajowo nazywanych niszczarkami.

Profesjonalne niszczarki dokumentów
Niszczarki przeznaczone do utylizacji dokumentacji biurowej wykorzystywane są nie tylko w celu pozbycia się zalegającej w firmie makulatury papierowej, ale przede wszystkim do zniszczenia dokumentów zawierających dane objęte ustawą o ich ochronie. W sprzedaży dostępne są różne modele urządzeń, których zarówno wydajność jak również sposób cięcia dokumentów na niemożliwe do odtworzenia ścinki można bez żadnego problemu dopasować do indywidualnych potrzeb każdej firmy.

Producenci oferują zarówno proste w budowie niszczarki przeznaczone do bezpiecznej utylizacji dokumentów domowych takich jak dla przykładu faktury czy zeznania podatkowe jak również profesjonalne niszczarki centralne, które ze względu na rozszerzoną funkcjonalność oraz wydajność doskonale sprawdzają się w dużych przedsiębiorstwach skutecznie niszcząc dane zawarte w dokumentacji papierowej bądź na nośnikach elektronicznych.

Ochrona tożsamości
Ze względu na stopień konieczności zabezpieczenia utylizowanych dokumentów wprowadzony został kilkustopniowy podział, który definiuje poziom bezpieczeństwa zniszczenia danych zagwarantowany przez dany model niszczarki. I tak w przypadku utylizacji jedynie dokumentów firmowych o charakterze wewnętrznym, które nie zostały objęte ustawą o ochranie danych osobowych, producenci polecają zastosowanie urządzenia o poziomie zabezpieczenia 1, które tnie dokument na paski o szerokości około dwunastu milimetrów. W przypadku konieczności zniszczenia dokumentacji o charakterze tajnym polecany jest model gwarantujący zabezpieczenie zniszczonych danych na poziomie 5, który tnie kartkę papieru na ścinki o szerokości mniejszej niż jeden milimetr.

Mając do wyboru tak rozbudowany wachlarz modeli niszczarek o różnym poziomie zabezpieczenia dokumentacji jej zutylizowanie w oparciu o procedury nałożone ustawą „O ochranie danych osobowych” są możliwe do zrealizowania. Mając na względzie coraz częściej zdarzające się ataki związane z kradzieżą danych osobowych klienci korzystający z usług firmy stosujących profesjonalne niszczarki do utylizacji dokumentacji, mogą czuć się bezpieczni i nie obawiać się że ich dane dostaną się w niepowołane ręce. Warto również wiedzieć, że podmioty dysponujące danymi osobowymi osób trzecich w przypadku braku należytej ich ochrony podczas przechowywania, modyfikowania, a nawet usuwanie podlegają odpowiedzialności karnej.

Więcej informacji na temat kradzieży tożsamości i niszczarek biurowych znajdziesz na stronie www.niszczarkibiurowe.com.

Licencjonowane artykuły dostarcza Artelis.pl.

Powierzenie danych kadrowych do Biura Rachunkowego a ochrona danych osobowych

Autor: Tomasz Smolarek

Naruszenia Ustawy o Ochronie Danych Osobowych mogą być karane bardzo dotkliwie. Najwyższa przewidziana prawem sankcja to 3 lata bezwzględnego pozbawienia wolności. Warto zatem przeanalizować podstawowe wymagania stawiane pracodawcom, wynikające z Ustawy.

Definicja danych osobowych

Pojęcie „danych osobowych” zostało zdefiniowane w art. 6 Ustawy. Można powiedzieć, że są to wszelkie informacje dotyczące osoby, którą można zidentyfikować. Ustawodawcy posuwają się dość daleko w interpretacjach tego przepisu dowodząc, że danymi osobowymi są adresy IP oraz adresy mailowe. Warto jednocześnie zauważyć, że wg art. 6 pkt 3 informacja nie będzie daną osobową, jeżeli określenie tożsamości osoby wymagałoby nadmiernych kosztów, czasu lub działań. Co wynika z powyższego? Danymi osobowymi są wszelkie informacje o znanej lub identyfikowalnej osobie, np. właścicielu firmy, pracowniku czy kontrahencie.

Kogo obejmuje Ustawa?

Krótko można powiedzieć – prawie wszystkich. Wyjątki są opisane w art. 3a. Jest to m. in. sytuacja gdy osoba fizyczna przetwarza dane „w celach osobistych lub domowych”. Warto zauważyć, że z Ustawy nie wynika czym są cele osobiste lub domowe, co znaczy, że w przypadkach krytycznych rozstrzygać będzie to sąd. Warto wziąć to pod uwagę podejmując decyzję czy konkretne dane można przetwarzać czy też nie.

Kiedy dane wolno przetwarzać?

O tym mówi pierwszy artykuł, pkt 2 Ustawy, wymieniając dobro publiczne (bliżej niesprecyzowane), dobro osoby, której dane dotyczą lub dobro osób trzecich, ale wyłącznie w zakresie regulowanym ustawą. Inaczej mówiąc, mogę zawsze przetwarzać własne dane, jednak dane innych osób jedynie wtedy gdy zezwala na to Ustawa.

Dodatkowe wytyczne znajdujemy w art. 23 Ustawy, który wymienia dopuszczalność przetwarzania danych, gdy:

Osoba, której dane dotyczą wyrazi na to zgodę. Zgoda ta nie może być domniemana
Jest to niezbędne z punktu widzenia prawa
Przetwarzamy dane osoby z którą zawieramy lub zawarliśmy umowę
Jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów, a samo przetwarzanie danych nie narusza praw i wolności osoby, której dane dotyczą

Jak widać, przetwarzanie danych osobowych pracowników mieści się w zakresie opisanym powyżej i nie wymaga odrębnej zgody pracownika.

Rejestracja zbiorów oraz dokumentacja przetwarzania danych

Każdy zbiór danych, z wyjątkiem przypadków opisanych w Ustawie trzeba rejestrować. Z obowiązku rejestracji zwolnione m. in. zbiory danych pracowniczych (art. 43 pkt. 1 ppkt. 4). Pracodawcy nie muszą zatem zgłaszać zbiorów do GIODO.

Zwolnienie z obowiązku rejestracji zbioru danych nie zwalnia jednak z wdrożenia dokumentacji przetwarzania danych oraz zapewnienia odpowiednich warunków technicznych, służących ochronie danych osobowych. Na tą konieczność zwracają uwagę artykuły 36 do 39 Ustawy. Szczegółową specyfikację dokumentacji opisuje natomiast rozporządzenie Ministra Spraw Wewnętrznych i Administracji z 29 kwietnia 2004. Dokumentacja ta to co najmniej:

Polityka bezpieczeństwa
Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych

Nie polecamy samodzielnego tworzenia tych dokumentów. Lepiej zlecić to profesjonaliście. Warto podkreślić, że każdy pracodawca powinien posiadać opisaną powyżej dokumentację i stosownie ją aktualizować.

Czy powierzenie usługowego prowadzenia ksiąg rachunkowych firmie zewnętrznej (Biuro Rachunkowe) zwalnia pracodawcę z obowiązku stworzenia dokumentacji? Nigdzie w przepisach nie znajdziemy takiego zwolnienia.Co więcej, powierzenie danych pracowniczych innej firmie narzuca na Administratora danych osobowych dodatkowe obowiązki opisane w artykule 31 Ustawy. Jakie to obowiązki?

Powierzenie danych musi być na piśmie. Ma to być umowa powierzenia przetwarzania danych, a więc dokument odrębny od pełnomocnictw podatkowych czy umowy na prowadzenie ksiąg podatkowych;
Biuro Rachunkowe musi spełniać takie same standardy bezpieczeństwa jak podmiot, który dane udostępnił.

Podejmując decyzję o wyborze Biura Rachunkowego trzeba zatem zadać przyszłemu kontrahentowi bardzo istotne pytanie dotyczące wypełniania przez niego wymogów Ustawy. Braki w tym zakresie będą obciążały Administratora danych, czyli pracodawcę

autor: Tomasz Smolarek

Najlepsze Biuro Rachunkowe

smolarek.biz.pl

Licencjonowane artykuły dostarcza Artelis.pl.

Ochrona danych osobowych klientów w sklepie internetowym

Autor: Filip Turyk

Obowiązujące przepisy nakładają na każdy podmiot dysponujący danymi klientów wiele obowiązków. Dotyczy to także sklepów internetowych.

Sklepy internetowe zdobywają dużą popularność. Wynika to z faktu stosunkowo niskich kosztów, możliwości dotarcia do dużej liczby klientów oraz prostoty samej transakcji. Mechanizm zakupów najczęściej sprowadza się do zarejestrowania się w portalu, a następnie wybrania interesującego towaru i dokonania płatności przelewem lub za pośrednictwem platformy transakcyjnej.

Formularz rejestracji zawiera najczęściej imię i nazwisko osoby dokonującej zakupów, numer telefonu i adres mailowy, a także adres zamieszkania, na który ma zostać dostarczony zakup. Zestaw podawanych przez klienta informacji to jego dane osobowe. Właściciel sklepu posiadający zbiór zarejestrowanych klientów ma zatem określone obowiązki wynikające z ustawy o ochronie danych osobowych.

Po pierwsze, aby przetwarzać dane osobowe należy dysponować odpowiednią podstawą prawną. W przypadku klientów portalu najczęściej będzie to zgoda osoby zainteresowanej lub przesłanka wymagająca podania danych w celu realizacji umowy kupna-sprzedaży. Należy przy tym pamiętać, że zgodę wyraża osoba, która nie dokonała zakupów lub też w sytuacji, gdy jej dane będą wykorzystane w innych niż zakup celach takich jak np. marketing. W przypadku podawania danych już przy zakupie podstawą będzie zawarta w formie elektronicznej umowa kupna-sprzedaży.

Po drugie, każda osoba, której dane są przetwarzane w portalu musi zostać prawidłowo poinformowana o tym kto przetwarzana dane, w jakim celu, prawie dostępu do treści danych oraz ich poprawiania, a także o dobrowolności lub obowiązku podania danych. W przypadku zgody informacje te powinny być zawarte w samej klauzuli. Niezgodna z prawem jest często stosowana formułka „wyrażam zgodę zgodnie z ustawą o ochronie danych osobowych” lub „dane są przetwarzane zgodnie z ustawą o ochronie danych osobowych.

Po trzecie zakres danych powinien być adekwatny do celu, w jakim są one gromadzone. Nie należy, zatem zbierać zbyt wielu informacji o klientach takich jak data urodzenia czy numer dowodu osobistego, chyba, że podanie takich danych jest niezbędne dla zrealizowania usługi.

Po czwarte ochrona danych osobowych wymaga zabezpieczenia danych adekwatnie do zagrożeń. Podstawowe zabezpieczenia to stworzenie polityki bezpieczeństwa i instrukcji zarządzania systemami informatycznymi, a także wydanie upoważnień osobom mających dostęp do bazy danych i utworzenie ewidencji osób upoważnionych. Należy także pamiętać, że baza danych sklepu stanowi zbiór danych przetwarzany w formie elektronicznej. Jest więc aplikacją służącą do przetwarzania danych osobowych i wymaga spełnienia określonych warunków takich jak automatyczne odnotowanie loginu i daty pierwszego wprowadzenia danych do systemu. Szczegółowe wytyczne wskazane są w rozporządzeniu wykonawczym do ustawy. W celu nadzoru nad ochroną danych osobowych może być wyznaczony administrator bezpieczeństwa informacji.

Po piąte zbiór klientów będzie najprawdopodobniej wymagał zarejestrowania w biurze GIODO. Nie spełnia on bowiem warunków zwalniających z tego obowiązku.

Należy pamiętać, że przetwarzanie danych klientów bez spełnienia powyższych obowiązków może narazić właściciela sklepu na zagrożenie karą, w skrajnych sytuacjach nawet pozbawienia wolności do lat dwóch. Warto także wziąć pod uwagę coraz większą świadomość klientów. Większe zaufanie zdobywa sklep dbający o poufność przekazywanych w związku z zakupami informacji.

Filip Turyk
Idcon ochrona danych osobowych
www.idcon.com.pl

Licencjonowane artykuły dostarcza Artelis.pl.

Obowiązek rejestracji danych osobowych

Autor: Filip Turyk

Jednym z ważniejszych obowiązków administratorów danych jest konieczność zarejestrowania zbiorów. Nie wystarczy jednak samo złożenie wniosku w biurze GIODO.

Obecnie obowiązujące przepisy co do zasady wymagają, aby każdy zbiór danych osobowych został zarejestrowany. Jednakże ustawa wymienia szereg przesłanek zwalniających z tego obowiązku. Na przykład rejestracji nie podlegają dane osobowe pracowników. Jeśli nie zachodzi przesłanka zwalniająca, należy zbiór zarejestrować.

Można to zrobić w formie papierowej bądź elektronicznej poprzez stronę GIODO. Należy pamiętać, że sam fakt rejestracji powinien być ostatnią czynnością, jaką wykonuje administrator danych. Przed złożeniem wniosku organizacja, w której funkcjonuje ochrona danych osobowych, powinna bowiem dane odpowiednio zabezpieczyć. A zatem pierwszą czynnością, jaką musi wykonać administrator danych, jest analiza i wyodrębnienie zbiorów danych.

Następnie na podstawie wyników wcześniejszej analizy jest sporządzenie odpowiedniej dokumentacji – polityki bezpieczeństwa oraz instrukcji zarządzania systemami informatycznymi. Jeśli dane przetwarzane są w formie elektronicznej, należy także zadbać o to, aby systemy informatyczne spełniały wymogi wynikające z obowiązujących przepisów. W myśl obecnego orzecznictwa, jeśli podmiot przetwarzający dane osobowe posiada wieloosobowy zarząd, to powinien być także wyznaczony administrator bezpieczeństwa informacji.

Po przygotowaniu dokumentacji opisującej precyzyjnie, jakimi zbiorami dysponuje administrator danych oraz zawierającej dokładne procedury postępowania, zgodnie z wytycznymi rozporządzenia wykonawczego do ustawy o ochronie danych osobowych należy wydać upoważnienia każdej osobie dopuszczonej do przetwarzania danych oraz przygotować ewidencję osób upoważnionych. Jednocześnie administrator danych powinien w zależności od podstawy prawnej przygotować treści klauzul zgody oraz informacyjne, umieszczając je w miejscach dostępnych dla każdej osoby, której dane dotyczą.

Dopiero po wdrożeniu pełnych zasad ochrony można przystąpić do rejestracji zbiorów. Treść wniosku rejestracyjnego stanowi rozporządzenie wykonawcze do ustawy i jest ściśle określone. Wniosek najprościej jest wypełnić w formie elektronicznej na stronie Generalnego Inspektora Ochrony Danych Osobowych, a następnie wydrukować i przesłać w formie pisemnej na adres GIODO. Forma elektroniczna pozwala na uniknięcie błędów, albowiem system nie pozwala na pominięcie istotnych elementów, a także zawiera szereg wskazówek i podpowiedzi. Jeśli administrator danych dysponuje podpisem elektronicznym, wniosek można złożyć z pominięciem formy papierowej.

Filip Turyk
Idcon ochrona danych osobowych
www.idcon.com.pl

Licencjonowane artykuły dostarcza Artelis.pl.

Mailing i newslettery – o czym pamiętać?

Autor: Jarek_Góra

Jak zgodnie z prawem przesyłać newsletter i prowadzić akcje mailingowe?

Newslettery oraz e-mail marketing są dziś niezwykle popularnymi narzędziami do utrzymywania kontaktu i budowania relacji z klientami, w przypadku pierwszegooraz do pozyskiwania nowych klientów i zachęcania do nabywania towarów, korzystania z oferowanych usług czy przeprowadzania akcji promocyjnych, w przypadku drugiego. Oba te narzędzia wykorzystują pocztę elektroniczną do komunikowania się z odbiorcami i z oboma wiążą się pewne obostrzenia prawne. Pisałem o tym już wcześniej na blogu, ale myślę, że warto wrócić do tematu.

NARZĘDZIE – E-MAIL

Zarówno newslettery, a więc elektroniczna forma czasopisma, jak i mailing rozsyłane są za pomocą poczty elektronicznej. W pierwszej kolejności zatem organizacja, która zamierza przesyłać newlettery bądź zorganizować akcje mailingową, musi oczywiście dysponować bazą odbiorców, a więc musi w jakiś sposób zgromadzić adresy mailowe osób, którą są zainteresowane otrzymywaniem takich informacji. Najpopularniejszym sposobem pozyskiwania adresów e-mailowych jest umożliwienie osobom odwiedzającym daną stronę internetową zapisanie się do newslettera lub wyrażenie zgody na otrzymywanie mailingu poprzez dobrowolne podanie swojego adresu.

SPAM?

Dlaczego to tak istotne? Ponieważ zarówno w newsletterach, jak i mailingu, w przeważającej większości przypadków znajdują się informacje o charakterze handlowym. Natomiast zgodnie z art. 24 ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną przesyłanie za pomocą środków komunikacji elektronicznej niezamówionych informacji handlowych to wykroczenie zagrożone karą grzywny. Zatem, aby uniknąć posądzenia o przesyłanie niezamówionych informacji handlowych, a więc popularnego spamu, musimy uzyskać uprzednia zgodę osoby, do której zamierzamy takie informacje przesłać. Ściganie tego wykroczenia następuje na wniosek pokrzywdzonego, a więc osoby, która nie zamówiła otrzymywania takich wiadomości.

UWAGA – OCHONA DANYCH OSOBOWYCH?

Zgodnie z interpretacją Generalnego Inspektora Ochrony Danych Osobowych adres e-mail może być daną osobową. Będzie tak w przypadku, gdy w sposób niewymagający nadmiernych środków jesteśmy w stanie zidentyfikować osobę, której adres dotyczy. Jeżeli obok adresów poczty elektronicznej zbieramy i przetwarzamy również inne dane odbiorców naszego newslettera lub mailingu takie jak imię, nazwisko, wiek, adres korespondencyjny itp., wątpliwość, czy mail będzie daną osobową, schodzi na dalszy plan.

W związku z powyższym pojawia się kwestia związana właśnie z ochroną danych osobowych. Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych narzuca na administratora danych, a więc w naszym przypadku organizatora mailingu czy wysyłającego newsletter, szereg obowiązków. Począwszy od zapewnienia legalności przetwarzania danych osobowych, co w omawianym przypadku sprowadza się do uzyskania zgody osoby, której dane osobowe dotyczą, poprzez spełnienie obowiązku informacyjnego, wymagań związanych z bezpieczeństwem przetwarzania danych osobowych, a na rejestracji zbioru danych skończywszy.

Obowiązek informacyjny ciążący na administratorze danych polega na poinformowaniu osób, których przetwarzane dane dotyczą o adresie swojej siedziby i pełnej nazwie, celu zbierania danych, prawie dostępu do treści swoich danych oraz ich poprawiania, a także o dobrowolności podania danych. Informacje te powinny być udzielone w momencie uzyskiwania danych osobowych. W interesie administratora danych jest uzyskanie potwierdzenia zapoznania się z tymi informacjami przez osobę, która udostępnia swoje dane osobowe (np. adres e-mail). W tym samym momencie powinna zostać udzielona zgoda na przetwarzanie danych osobowych, np. poprzez zaznaczenie odpowiedniego pola na stronie internetowej.

Baza e-mailingowa stanowi zbiór danych osobowych, w rozumieniu ustawy o ochronie danych osobowych, zgodnie z którą zbiór danych rozumiany jest jako każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie. Mając natomiast na uwadze cel, dla którego prowadzony jest taki zbiór, wskazać należy, że zgodnie z przepisami ustawy oraz interpretacją GIODO, taki zbiór wymaga rejestracji. Warto zwrócić uwagę, że brak zgłoszenia do rejestracji zbioru danych, w sytuacji, kiedy jest się do tego zobowiązanym, stanowi czyn zabroniony podlegający grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.

NABYCIE BAZY DANYCH LEGALNE?

Na rynku funkcjonują firmy, które oferują gotowe bazy mailingowe. Czy działalność takich firm jest zgodna z prawem i czy można posłużyć się nabytą bazą mailingową?

Firmy takie najczęściej zbierają dane osobowe na własne potrzeby i uzyskują zgody osób, których te dane osobowe dotyczą. Tak jak pisałem wcześniej, osoba udzielająca zgody na przetwarzanie danych jej dotyczących udziela jej w określonym zakresie, mianowicie, do przetwarzania tych danych w określonym celu. W innym zakresie administrator danych nie jest uprawniony do korzystania z nich. Co więcej, zgodnie z ustawą o ochronie danych osobowych "kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2". Zatem administrator danych nie może przekazać czy też sprzedać np. bazy mailingowej nieupoważnionym podmiotom.

W praktyce jednak firmy, które zajmują się właśnie sprzedażą takich baz danych osobowych, zapewniają sobie taką możliwość poprzez uzyskanie odpowiednio szerokiej zgody od osób, których dane dotyczą. W treści zgody, której udziela osoba udostępniająca swoje dane osobowe, znajduje się zgoda na udostępnianie danych np. „partnerom handlowym” administratora danych i otrzymywanie od nich informacji handlowych.

Jeśli rzeczywiście tak jest i firma oferująca do sprzedaży bazę mailingową posiada odpowiednie zgody, wszystko odbywa się legalnie. W innym przypadku firma, która nabywa taką bazę, może zostać posądzona o przesyłanie spamu, o którym pisałem wyżej.

W każdym jednak przypadku nabywając taką bazę mailingową organizacja staje się administratorem danych osobowych zawartych w tej bazie, z czym wiążą się obowiązki wynikające z ustawy o ochronie danych osobowych. Warto zwrócić uwagę na obowiązek informacyjny, który w tym przypadku jest poszerzony o wskazanie źródła pozyskania danych.

Jaroław Góra

http://www.ipblog.pl/o-mnie/

Licencjonowane artykuły dostarcza Artelis.pl.

Jak zadbać o prywatność swoich danych w kilku krokach

Autor: Filip Turyk

Dane osobowe takie jak imię, nazwisko, adres, numery kart kredytowych, rachunków bankowych, czy informacje o stanie zdrowia lub zainteresowaniach powinny być chronione przez każdy podmiot posiadający takie informacje. Czy jednak myślimy o tym, że sami również możemy te dane ujawnić?

W dzisiejszych czasach kradzież tożsamości może wiązać się z poważnymi konsekwencjami. Począwszy od nieprawdziwych informacji podawanych na portalach internetowych poprzez zakupy internetowe, na wyłudzeniu kredytu skończywszy. Nie zawsze mamy wpływ na to, jak dane osobowe zabezpieczają firmy tworzące bazy danych. Jednakże możemy znacząco zwiększyć ich bezpieczeństwo samemu przestrzegając kilku prostych zasad:

1. Aktualność oprogramowania. Każde zainstalowane na prywatnym komputerze oprogramowanie powinno być stale aktualizowane. Dotyczy to w szczególności systemu operacyjnego, przeglądarek internetowych, czy też programów antywirusowych. Każdy poważny producent oprogramowania monitoruje bezpieczeństwo swoich aplikacji i na bieżąco poprawia błędy lub luki mogące narazić klientów na przykre konsekwencje utraty lub kradzieży danych.

2. Zabezpieczenie sieci bezprzewodowej. WI FI staje się coraz bardziej popularne. Jest to bardzo wygodna forma dostępu do Internetu. Należy jednak pamiętać, że do sieci może podłączyć się także osoba z zewnątrz. Dlatego dostęp powinien być zabezpieczony hasłem, najlepiej o wysokiej złożoności. Routery bezprzewodowe oferują także możliwość tzw. filtrowania adresów MAC, czyli łączą się wyłącznie ze zdefiniowanymi wcześniej urządzeniami. Konfiguracja zajmuje tylko chwilę, a dzięki filtrowi żaden inny komputer nie będzie mógł połączyć się z naszą siecią.

3. Różnorodność haseł. Wiele osób używa jednego lub dwóch haseł, które stosuje do wszystkich kont internetowych lub komputera. Oczywiście jest to wygodne. Należy jednak pamiętać, że osoba, która wejdzie w jego posiadanie otrzyma dostęp do wszystkich zabezpieczonych w ten sposób aplikacji.

4. Zapamiętywanie haseł. Przeglądarki internetowe, a także portale internetowe oferują możliwość zapamiętania hasła. To rozwiązanie pozwala na późniejsze wejście bez konieczności logowania. Jednakże dostęp taki będzie posiadała także każda osoba korzystająca z danego komputera.

5. Wylogowywanie z aplikacji. Przy korzystaniu z komputerów firmowych lub publicznych warto po sprawdzeniu poczty, czy też stanu konta wylogować się z aplikacji. Wiele osób po prostu zamyka przeglądarkę, nie zdając sobie sprawy z tego, iż można ją potem jeszcze raz otworzyć wraz z zalogowanym użytkownikiem.

6. Programy antywirusowe. Instalacja takiego programu, nawet darmowego powinna być podstawową czynnością zaraz po instalacji systemu operacyjnego.

Te proste zasady powodują, że ochrona danych osobowych ulega znaczącej poprawie. Pamiętajmy o tym, że najsłabszym ogniwem każdego systemu bezpieczeństwa zawsze jest człowiek. Poprzez własne niedopatrzenie możemy stać się obiektem ataku lub kradzieży tożsamości.

Filip Turyk
Idcon ochrona danych osobowych
www.idcon.com.pl

Licencjonowane artykuły dostarcza Artelis.pl.

Wrażliwe dane pracownika

Autor: Filip Turyk

Ustawa o ochronie danych osobowych wyróżnia pewien szczególny typ danych a mianowicie dane sensytywne. Należą do nich między innymi informacje o stanie zdrowia lub karalności. Czy pracodawca może uzyskać takie dane od swoich pracowników?

Danymi wrażliwymi są informacje o pracowniku ingerujące w głęboką sferę jego prywatności. Nie wszyscy chcą dzielić się wstydliwymi przypadłościami zdrowotnymi lub faktem, iż w przeszłości zdarzył im się konflikt z prawem. Pracodawca ze zrozumiałych względów chciałby jednak wiedzieć czy pracownik jest zdrowy i wiarygodny. Kodeks pracy upoważnia, a wręcz nakazuje pracodawcy przeprowadzenie badań okresowych i wstępnych. Co za tym idzie ma on możliwość uzyskania informacji o stanie zdrowia swojego pracownika. Jednakże wspomniane prawo pracy nie daje pracodawcy możliwości wglądu w wyniki badań. Może on jedynie otrzymać zaświadczenie o braku przeciwwskazań zdrowotnych do pracy na określonym stanowisku. Kodeks pracy nie upoważnia natomiast pracodawcy do gromadzenia jakichkolwiek informacji o niekaralności. Przetwarzanie tego typu danych będzie, zatem możliwe tylko wtedy, gdy przepisy innych ustaw na to zezwolą. Dotyczy to w szczególności określonych grup zawodowych mających dostęp np. do broni. Więcej informacji na temat stanu zdrowia lub karalności pracodawca może uzyskać jedynie wtedy, gdy pracownik udzieli mu na to pisemnej zgody. Należy przy tym pamiętać, że ochrona danych osobowych wymaga, aby zgoda była dobrowolna, co w przypadku pracodawców jest sprawą dyskusyjną ze względu na podległy charakter pracownika. Generalny Inspektor Ochrony Danych Osobowych podczas jednej ze swoich kontroli w instytucji finansowej uznał, że gromadzenie informacji o niekaralności pracowników oraz ich sytuacji finansowej mimo ich wcześniejszej pisemnej zgody jest sprzeczne z prawem. Narusza mianowicie zasadę, iż nikt nie może być obowiązany inaczej niż na podstawie przepisów prawa do udostępniania informacji na swój temat.

Filip Turyk
Idcon ochrona danych osobowych
www.idcon.com.pl

Licencjonowane artykuły dostarcza Artelis.pl.