Efika.pl

27/02/2018

Placówki oświatowe, a zmiany w przepisach o ochronie danych osobowych...

Nowe przepisy związane z ochroną danych osobowych zostały przyjęte przez Unię Europejską 4 maja 2016r. Od dnia 25.05.2018r. we wszystkich krajach Wspólnoty będą obowiązywać nowe przepisy związane z ochroną danych osobowych. Na czym będą polegały te zmiany i jaki jest związek zmian w prawie z ochroną danych osobowych w placówkach oświatowych wyjaśniamy poniżej?

Placówki oświatowe, a przetwarzanie danych osobowych.
Czy placówki oświatowe /szkoły, przedszkola, żłobki/ przetwarzają dane osobowe? Otóż, zdecydowanie tak! W takich placówkach ochrona danych osobowych dotyczy głównie następujących zagadnień:
• przetwarzanie danych w procesach rekrutacji,
• informacje o miejscach zatrudnienia rodziców lub opiekunów prawnych, ich danych teleadresowych, adresów e-mail,
• informacje o danych wrażliwych, np.: stanu zdrowia dzieci, sytuacji rodzinno-socjalnej,
• kontakt osób trzecich z dzieckiem /odbiór z placówki przez członka rodziny nie będącego rodzicem lub opiekunem prawnym/.
Pomimo, że nie istnieją ściśle określone regulacje co do przetwarzania danych osobowych przez żłobki/przedszkola to jednak w każdej z placówek edukacyjnych ma to miejsce. Jak dotąd to dyrekcja placówki ustala zasady przetwarzania danych (tj. ich zbierania np. podczas rekrutacji, przechowywania czy usuwania).
Wykorzystanie danych najczęściej jest związane z podpisaniem zgody przez rodzica lub opiekuna prawnego. Warto jednak pamiętać, że nie wszystkie operacje wymagają takiego podpisu. Na pewno trzeba postarać się o zgodę rodziców na przetwarzanie danych ich dzieci między innymi wtedy, gdy:
• zamierzamy opublikować informacje związane z dziećmi na stronie internetowej placówki,
• chcemy założyć monitoring w przedszkolu/żłobku (trwałe przetwarzanie danych),
• chcemy przekazać informacje o dzieciach np. jednostkom organizującym zajęcia dodatkowe w naszej placówce lub innej.
Odpowiednie przetwarzanie danych osobowych to dla osób korzystających z usług placówki oświatowej gwarancja bezpieczeństwa. Warto więc jest zareagować na zmieniające się w tym zakresie wymagania prawne.
Najważniejsze zmiany prawne wchodzące już za niespełna 100 dni…
Zmiany wprowadzone przez Unię Europejską dotyczą przede wszystkim ochrony danych osobowych przez instytucje posiadające szczegółowe informacje na temat konkretnych osób. Od 25 maja 2018r Unijne Rozporządzenie o Ochronie Danych Osobowych (RODO), które obowiązuje na mocy ustawy wprowadza następujące zmiany:
• dane osobowe mają być domyślnie chronione przez osoby je pozyskujące (bez starania się o to przez osoby, których te dane dotyczą),
• odpowiedzialność za bezprawne przetwarzanie danych zostanie przeniesiona na osoby zarządzające danymi osobowymi,
• zostaną zwiększone kary za niezgodne z prawem wykorzystanie danych osobowych (aż do 20 mln euro lub 4% globalnego rocznego obrotu),
• administratorzy danych osobowych będą zobowiązani do zapewnienia działań zabezpieczających poufne informacje o konkretnych osobach,
• rejestry danych osobowych staną się obowiązkowe,
• w życie wejdzie nowe prawo do bycia zapomnianym – każda osoba może żądać usunięcia wszelkich informacji na jej temat z rejestrów, gdy dane te nie są już potrzebne do celów, w których zostały zebrane, by nie były przetwarzane w sposób zgodny z prawem itd.
• zacznie obowiązywać nowe prawo do przenoszenia danych i ograniczenia profilowania,
• wszystkie komunikaty związane z ochroną danych osobowych mają być sformułowane przez administratora tych danych w sposób prosty i zrozumiały,
• administrator bezpieczeństwa informacji zostanie zastąpiony przez inspektora ochrony danych – dla kilku instytucji (np. przedszkoli) będzie można powołać jednego Nowe przepisy związane z ochroną danych osobowych podmiotów przetwarzających dane osobowe o ich obowiązkach a także współpraca z organem nadzorczym (w Polsce jest to GIODO – Generalny Inspektorat Ochrony Danych Osobowych).
Co zmiany w przepisach oznaczają dla przedszkoli i żłobków?
Chociaż zmiany w przepisach dotyczących danych osobowych są dużym wyzwaniem zwłaszcza dla dużych firm, każdy przedsiębiorca – również właściciel przedszkola – jest zobowiązany do dostosowania swojej działalności do najnowszego rozporządzenia. Konieczne może być na przykład zainwestowanie w unowocześniony system ochrony gromadzonych informacji. Z pewnością trzeba będzie także zmienić formularze i różnego rodzaju zgody na przetwarzanie danych osobowych. Co więcej, wg nowego prawa osoba, której dotyczą przetwarzane informacje może żądać więcej szczegółów na temat operacji przeprowadzanych na danych osobowych. Być może pojawi się więcej pytań od rodziców na ten temat.

31/01/2018

BRANŻA MEDYCZNA, A OCHRONA DANYCH OSOBOWYCH
WYMAGANA PRZEZ RODO

W kwietniu 2016 roku Unia Europejska przyjęła nowe regulacje, które zrewolucjonizują ochronę danych osobowych. Zmiany, jakie wprowadza unijne rozporządzenie o ochronie danych osobowych (RODO) dotyczyć będą zarówno podmiotów publicznych jak i prywatnych. 25 maja 2018 roku przedsiębiorcy muszą już spełniać nowe wymagania prawne, dlatego warto jak najlepiej wykorzystać czas, jaki pozostał na dostosowanie się do nich, zwłaszcza że za ich nieprzestrzeganie przewidziane są wysokie kary administracyjne. Branża medyczna, która przetwarza na dużą skalę przede wszystkim dane szczególnej kategorii – dane wrażliwe powinna skupić się w pierwszej kolejności na spełnieniu kilku obowiązków.

WYZNACZENIE INSPEKTORA OCHRONY DANYCH

Inspektor ochrony danych na gruncie rozporządzenie będzie pełnił jeszcze ważniejszą rolę w systemie ochrony danych niż do tej pory jego odpowiednik – administrator bezpieczeństwa informacji (ABI). Co istotne, rozporządzenie przewiduje m.in obligatoryjne wyznaczenie inspektora ochrony danych w sytuacji, gdy główna działalność administratora lub procesora polega na przetwarzaniu na dużą skalę danych osobowych szczególnych kategorii czyli np. o stanie zdrowia. W związku z tym dla przedsiębiorców z branży medycznej będzie obligatoryjne wyznaczenie Inspektora ochrony danych.
Przedsiębiorcy będą mogli powołać Inspektora z personelu organizacji lub zlecić wykonywanie tej funkcji na podstawie umowy o świadczenie usług (outsourcing). Inspektor ochrony danych nie tylko będzie musiał cechować się odpowiednią wiedzą, ale również wiedzą praktyczną. Jak pokazuje praktyka wiedza teoretyczna jest niewystarczająca. Dlatego też przedsiębiorcy z branży medycznej powinni rozpocząć poszukiwania osoby, która byłaby wstanie pełnić taką funkcję. Warto by przedsiębiorcy rozważyli możliwość skorzystania z pomocy wyspecjalizowanego podmiotu świadczącego tego typu usługi, ponieważ jest to gwarancja profesjonalnego wsparcia z zakresu ochrony danych osobowych i wdrożenia sprawnego systemu ochrony danych. Inspektor ochrony danych, podlegać będzie bezpośrednio najwyższemu kierownictwu administratora, przy czym administrator zobowiązany będzie do terminowego i właściwego angażowania inspektora we wszystkie sprawy dotyczące ochrony danych osobowych – powinien korzystać z jego wiedzy i umiejętności.

OSZACOWANIE RYZYKA DLA PODSTAWOWYCH PRAW I WOLNOŚCI ORAZ WPROWADZENIE STOSOWNYCH MECHANIZMÓW OCHRONY DANYCH OSOBOWYCH

Rozporządzenie nie wskazuje, jakie środki techniczne oraz organizacyjne gwarantują bezpieczeństwo przetwarzania danych osobowych. To administrator danych będzie musiał sam dobrać takie, które zapewnią odpowiedni stopień bezpieczeństwa przetwarzanych danych. Istotne przy tym będzie oszacowanie przez niego ryzyka, które pozwoli wybrać właściwe środki techniczne i organizacyjne mające na celu minimalizację tego ryzyka.

OBOWIĄZEK OCENY SKUTKÓW PLANOWANYCH OPERACJI PRZETWARZANIA DLA OCHRONY DANYCH

Podmioty z branży medycznej są zobowiązane do 25 maja 2018 roku, w związku z przetwarzaniem na dużą skalę danych szczególnych kategorii, do dokonania oceny skutków planowanych operacji dla ochrony danych. Taka ocena będzie musiała zawierać: opis planowanych operacji i celów przetwarzania, określenie czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów, ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą, planowane środki w celu zaradzenia ryzyku, w tym zabezpieczenia oraz środki i mechanizmy bezpieczeństwa mające zapewnić ochronę danych osobowych i wykazać przestrzeganie niniejszego rozporządzenia z uwzględnieniem prawnie uzasadnionych interesów osób, których dotyczą dane.

OBOWIĄZEK UPRZEDNICH KONSULTACJI Z ORGANEM NADZORCZYM

Gdy dany rodzaj przetwarzania będzie powodował wysokie ryzyko dla praw i wolności osób, których dane dotyczą, co potwierdzi ocena skutków dla ochrony danych, administrator danych zobowiązany będzie do przeprowadzenia uprzednich konsultacji z organem nadzorczym przed podjęciem działań. Ewentualny wniosek w ich sprawie w trybie art. 36 rozporządzenia (wraz z oceną skutków planowanych operacji przetwarzania dla ochrony danych osobowych) powinien zostać wysłany do organu nadzorczego dnia 25 maja 2018 roku.

UTWORZENIE REJESTRU CZYNNOŚCI PRZETWARZANIA

Rejestr musi zostać utworzony do 25 maja 2018 roku. Dla podmiotów z branży medycznej prowadzenie rejestru będzie obligatoryjne. Administrator będzie musiał zamieścić w nim takie informacje jak: imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także, gdy ma to zastosowanie, przedstawiciela administratora oraz inspektora ochrony danych; cele przetwarzania; opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych; kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych; gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, w razie braku decyzji stwierdzającej odpowiedni stopień ochrony lub braku odpowiednich zabezpieczeń w tym wiążących reguł korporacyjnych – dokumentacja odpowiednich zabezpieczeń, o których mowa w art. 49 ust. 1 Rozporządzenia; jeżeli jest to możliwe: planowane terminy usunięcia poszczególnych kategorii danych, a także ogólny opis technicznych i organizacyjnych środków bezpieczeństwa.

WPROWADZENIE PROCEDUR ZGŁASZANIA NARUSZEŃ OCHRONY DANYCH OSOBOWYCH DO GIODO

W przypadku naruszenia ochrony danych osobowych, czyli zajścia incydentu, administrator bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia, będzie zobowiązany zgłosić to organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Naruszeniem praw lub wolności osoby fizycznej jest m.in. powstanie uszczerbku fizycznego, szkód majątkowych lub niemajątkowych u osób fizycznych, takich jak utrata kontroli nad własnymi danymi osobowymi lub ograniczenie praw, dyskryminacja, kradzież lub sfałszowanie tożsamości, strata finansowa, nieuprawnione odwrócenie pseudonimizacji, naruszenie dobrego imienia, naruszenie poufności danych osobowych chronionych tajemnicą zawodową lub wszelkie inne znaczne szkody gospodarcze lub społeczne.

Z uwagi na to, że administratorzy danych będą zobligowani do zgłaszania naruszeń ochrony danych osobowych w tak krótkim czasie organizacje muszą przyjąć wewnętrzne polityki w zakresie zarządzania incydentami, w szczególności ich zgłaszania przez personel najwyższemu kierownictwu oraz dalszego postępowania w celu ograniczenia skutków incydentów, a ponadto kwestii zawiadamiania osoby, której dane dotyczą o naruszeniu ochrony danych osobowych.
Zgłoszenie naruszenia ochrony danych do organu nadzorczego będzie musiało co najmniej: opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie; zawierać imię i nazwisko oraz dane kontak
towe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego od którego można uzyskać więcej informacji; opisywać możliwe konsekwencje naruszenia ochrony danych osobowych; opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

Rozporządzenie za niedostosowanie się do nowych przepisów i nie spełnienie powyższych obowiązków przewiduje karę w wysokości do 10.000.000 Euro, a w przypadku przedsiębiorców – w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie będzie miała wyższa kara.

22/11/2017

NADCHODZI RODO...?

Przegłosowane w Parlamencie Europejskim dnia 14 kwietnia 2016 roku „ogólne rozporządzenie o ochronie danych” /RODO/ z jednej strony wprowadza nowe zasady związane z przetwarzaniem danych osobowych w państwach członkowskich Unii Europejskiej, z drugiej strony utrwala i powtarza wiele przepisów istniejących już wcześniej, zwłaszcza na gruncie dyrektywy 95/46/WE.

Najważniejsze zmiany wynikające z RODO dla firm i organizacji.

1. Wprowadzenie obowiązku prowadzenia „rejestru czynności przetwarzania” w określonych w rozporządzeniu przypadkach.
2. Wprowadzenia możliwości ustanawiania „kodeksów postępowania”, określających sposoby realizacji procedur zabezpieczenia danych w określonych kategoriach podmiotów.
3. Wprowadzenie możliwości przyjęcia „mechanizmów certyfikujących” odnoszących się do sposobu określenia procedur przetwarzania danych w konkretnych podmiotach.
4. Wprowadzenie dodatkowych kryteriów warunkujących obowiązek ustanowienia wewnętrznego „inspektora ochrony danych” (odpowiednika ABI).
5. Obowiązek zgłaszania naruszenia ochrony danych do organu nadzorczego w ciągu 72 godzin.
6. Obowiązek dokonywania w określonych sytuacjach „oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych”.
7. Wprowadzenie nowych kar pieniężnych nakładanych w trybie administracyjnym za naruszenia określonych przepisów ochrony danych osobowych sformułowanych w ogólnym rozporządzeniu o ochronie danych nawet do 20 milionów euro.
8. Określenie sfer, w których państwa członkowskie we własnym zakresie ustalą szczególne regulacje odnoszące się do ochrony danych w ramach prawa danego państwa członkowskiego.
9. Wprowadzenie określenie definicji takich czynności jak „profilowanie”, „pseudonimizacja”.
10. Zmiana sposobu (formy) uregulowania europejskiego prawa ochronnych danych z dyrektywy na rozporządzenie (które w przeciwieństwie do dyrektywy zawsze może być bezpośrednio stosowane w pełnym zakresie).

23/05/2017

Ochrona danych osobowych w praktyce medycznej, a nowe przepisy…

Przypominamy, że maju 2018 roku wchodzi w życie Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679. Pierwszą zmianą, na którą trzeba zwrócić uwagę, jest art. 4 i zmiana definicji danych osobowych. Zwróćmy uwagę na zapis: „dane osobowe” oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;

Jak wiemy, dotychczas imię i nazwisko w większości przypadków (zależało to od kontekstu przetwarzania) nie były wystarczającą informacją do klasyfikacji przetwarzanych danych osobowych - natomiast teraz będą. W związku z tym każdy dokument zawierający choćby tylko te dwie informacje będzie dokumentem z danymi osobowymi i będzie podlegał ochronie. Co więcej, forma elektronicznego przyporządkowywania informacji i ich grupowania będzie ograniczona przez określenie i ograniczenie w rozporządzeniu pojęcia „profilowania”.

Co oznacza „profilowanie”?. Otóż, oznacza ono dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się;
Jeżeli będziemy się zatem dopuszczali profilowania w innym celu niż nasz cel ustawowy, czyli ochrona zdrowia, będziemy łamali prawo.

Czego więc np.: w gabinecie robić nie wolno? Gromadzić np. dodatkowych zgód pacjenta wykraczających poza jego leczenie. Gromadzić dokumentów, które nie są niezbędne w procesie leczenia, a zawierają chociaż tylko imię i nazwisko.
Rozporządzenie kładzie również nacisk na elementy, o których zapominamy – czas przetwarzania danych osobowych i zasadę minimalizmu w ich przetwarzaniu.
Dane osobowe muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”);

Spotkamy się dzisiaj dość często ze wzorami dokumentów, gdzie np. wpisujemy PESEL oraz numer dowodu osobistego lub adres osoby. Zwłaszcza w oświadczeniach mnożą się dane osobowe służące do identyfikacji. Przykładem jest upoważnienie osoby trzeciej do odbioru dokumentacji medycznej. Wpisywanie numeru dowodu osobistego i PESEL pacjenta jest już w świetle powyższego przepisu nieadekwatne. Podobnie jest z danymi osoby upoważnianej. Tam wpisywanie numeru dowodu jest uzasadnione w celu jej identyfikacji. Z kolei do wylegitymowania przy odbiorze dokumentacji PESEL jest nam niepotrzebny…

01/03/2017

Kto musi spodziewać się kontroli GIODO w 2017 roku?


Generalny Inspektor Ochrony Danych Osobowych przedstawił plan kontroli na 2017 rok.

Jak wynika z przedstawionego planu, tym razem GIODO skontroluje m.in.:

1. Sklepy stacjonarne, które stosują monitoring do tworzenia profili klientów.

2. Przychodnie i poradnie lekarskie (publiczne i niepubliczne) funkcjonujące w strukturach podmiotów wykonujących działalność lecznicą (ustawa o działalności leczniczej z dnia 15 kwietnia 2011 r.): w zakresie przetwarzania danych osobowych w związku z rejestracją pacjentów. Szczególną uwagę GIODO zwróci na problem konieczności podawania przez pacjentów, w obecności innych osób, danych osobowych wymaganych podczas rejestracji w placówkach służby zdrowia oraz na zastosowane środki techniczne i organizacyjne w celu ich zabezpieczenia.
Generalny Inspektor Ochrony Danych Osobowych zaplanował kontrole w ww. sektorach ze względu na coraz częściej pojawiające się zagrożenia naruszenia przepisów o ochronie danych osobowych w sygnalizowanych obszarach, w tym liczne sygnały obywateli korzystających z usług takich podmiotów.
3. Organy i służby uprawnione do dokonywania wpisów oraz wglądu do danych zawartych w Systemie Informacyjnym Schengen oraz Wizowym Systemie Informacyjnym, w tym audyt bezpieczeństwa SISII/VIS: m.in. Konsulaty, Policja, Straż Graniczna jako podmioty wymienione w ustawie z dnia 24 sierpnia 2007 r. o udziale Rzeczypospolitej Polskiej w Systemie Informacyjnym Schengen oraz Wizowym Systemie Informacyjnym.

4. System Eurodac: na podstawie art. 32 Rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 603/2013 z dnia 26 czerwca 2013 r. w zakresie wniosków Europolu i wyznaczonych krajowych organów ścigania o porównanie danych daktyloskopijnych z danymi przechowywanymi w systemie centralnym na potrzeby porządku publicznego (analiza próbek umotywowanych elektronicznych wniosków wskazanych organów). Kontrola zostanie przeprowadzona w Policji.

źródło:GIODO/Kontrole

Biuro generalnego inspektora ochrony danych osobowych.

15/11/2016

Czy Fundacje i Stowarzyszenia mają obowiązek zgłaszania zbiorów danych osobowych do GIODO?

Obowiązek zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi wynika z art. 40 ustawy o ochronie danych osobowych. Zgodnie z tym przepisem, administrator danych jest obowiązany zgłosić zbiór danych do rejestracji Generalnemu Inspektorowi, a sytuacje, gdy jest z tego obowiązku zwolniony, określone są w art. 43 ust. 1 ustawy.

Na mocy przepisu art. 43 ust. 1 pkt 4 ustawy stowarzyszenia zwolnione są z obowiązku zgłoszenia do rejestracji zbiorów danych osób w nich zrzeszonych, w myśl zaś art. 43 ust. 1 pkt 8 ustawy z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej.

Zarówno fundacje, jak i stowarzyszenia są jednak zobowiązane do zgłoszenia do rejestracji zbiorów (innych niż zbiory danych osób zrzeszonych w stowarzyszeniu), takich, jak np.: zbiory danych darczyńców, osób, którym fundacja lub stowarzyszenie udziela pomocy lub wsparcia w związku z realizacją zadań statutowych, czy też osób utrzymujących kontakty z tymi instytucjami. Podmioty te nie są jednak zobowiązane do zgłaszania Generalnemu Inspektorowi zbiorów danych, które są przetwarzane wyłącznie w celu prowadzenia sprawozdawczości finansowej.

Trzeba też pamiętać o konieczności posiadania, a tym samym wdrożenia pełnej dokumentacji oraz praktyk w zakresie przetwarzania danych osobowych w organizacjach pozarządowych jakimi są fundacje i stowarzyszenia zgodnie z wytycznymi ustawy o ochronie danych osobowych /odo/...

08/11/2016

Odpowiadamy na pytania...

1. Kiedy mamy do czynienia z momentem powstania obowiązku rejestracyjnego zbioru do GIODO?

Zgłoszenia zbioru do rejestracji należy dokonać przed rozpoczęciem przetwarzania danych, czyli przed pierwszą czynnością, jaką administrator może wykonać na danych, tj. przed pozyskaniem pierwszych danych do zbioru. Zgodnie bowiem z art. 46 ust. 1 ustawy o ochronie danych osobowych, administrator danych może rozpocząć ich przetwarzanie w zbiorze po zgłoszeniu tego zbioru do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (GIODO).

Jednak gdy administrator danych osobowych zamierza przetwarzać tzw. dane szczególnie chronione, wskazane w art. 27 ustawy, tj. dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz dane dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym, to zbieranie tego typu danych, zgodnie z art. 46 ust. 2 ustawy, może rozpocząć dopiero po zarejestrowaniu zbioru, chyba że ustawa zwalnia go z tego obowiązku.

2. Kto musi rejestrować swoje zbiory?

Obowiązek zgłoszenia zbioru do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (GIODO) ciąży na administratorze danych, czyli podmiocie decydującym o celach i środkach przetwarzania danych osobowych.

Status administratora danych może przysługiwać zarówno podmiotom publicznym, jak i prywatnym. Administratorem danych może być organ państwowy, organ samorządu terytorialnego, państwowa i komunalna jednostka organizacyjna, a także podmiot niepubliczny realizujący zadania publiczne, osoba fizyczna, osoba prawna oraz jednostka organizacyjna niebędąca osobą prawną, jeżeli przetwarza dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych. Nie ma przy tym znaczenia fakt, czy podmiot ten samodzielnie przetwarza dane, czy też zlecił ich przetwarzanie innemu podmiotowi, w drodze umowy na podstawie art. 31 ustawy o ochronie danych osobowych.

Administratorem w sferze niepublicznej jest co do zasady podmiot (np. spółka prawa handlowego, spółdzielnia, przedsiębiorca prowadzący działalność gospodarczą jednoosobowo, stowarzyszenie, fundacja), a nie osoba lub osoby zarządzające tym podmiotem (np. dyrektor przedsiębiorstwa, prezes spółdzielni, zarząd spółki) lub też pracownik wykonujący czynności związane z ochroną danych osobowych (np. pełnomocnik zarządu ds. ochrony danych osobowych, administrator bezpieczeństwa informacji). Niemniej to osoby zarządzające danym podmiotem ponoszą odpowiedzialność za naruszenie przepisów o ochronie danych osobowych. Osoby te mogą być bowiem pociągnięte do odpowiedzialności karnej za przestępstwa określone w rozdziale ósmym ustawy o ochronie danych osobowych, jeżeli ich działaniom naruszającym przepisy ustawy, podejmowanym w związku z reprezentowaniem administratora danych można przypisać winę. Ponadto należy wskazać, że administratorem danych przetwarzanych w jednostce organizacyjnej osoby prawnej (np. oddziale spółki) jest co do zasady dana osoba prawna, a nie jej jednostka organizacyjna (oddział spółki)...

26/10/2016

Orzeczenie Trybunału Sprawiedliwości UE mówiące, że Adres IP - to dane osobowe...

Trybunał Sprawiedliwości Unii Europejskiej orzekł, że dynamiczny adres IP zarejestrowany przez podmiot, który prowadzi witrynę internetową, przy okazji jej przeglądania, jest wobec tego podmiotu daną osobową. Będzie tak w sytuacji, gdy dysponuje on środkami prawnymi, które umożliwiają mu zidentyfikowanie osoby, która odwiedza witrynę. Sprawa, którą rozpatrywał Trybunał Sprawiedliwości Unii Europejskiej dotyczyła obywatela Niemiec Patricka Breyera, który sprzeciwił się rejestrowaniu i przechowywaniu jego adresu IP, przez strony internetowe służb federalnych. Zbierają one te dane, żeby chronić się przed atakami cybernetycznymi i skutecznie je ścigać i karać.

Breyer skierował sprawę do sądu administracyjnego i zażądał, aby ten zakazał służbom federalnym przechowywania (lub zlecania przechowywania przez podmioty trzecie) adresu IP jego serwisu hostingowego. Powództwo P. Breyera zostało oddalone w pierwszej instancji, dlatego wniósł on apelację do sądu drugiej instancji. Sąd apelacyjny zmienił częściowo wcześniejsze orzeczenie. Nakazał Republice Federalnej Niemiec zaprzestać przechowywania lub zlecania przechowywania przez osoby trzecie – po zakończeniu każdego przeglądania – adresu IP systemu hostingowego P. Breyera, przekazanego w trakcie przeglądania przez niego dostępnych publicznie stron mediów online. Zdaniem sądu apelacyjnego dynamiczny adres IP w połączeniu z datą sesji, do której się on odnosi, stanowi, w sytuacji gdy dany użytkownik strony internetowej ujawnił swoją tożsamość w trakcie tej sesji, dane osobowe. Sąd stwierdził, że operator strony może zidentyfikować użytkownika poprzez zestawienie jego nazwiska z adresem IP jego komputera.

Zarówno P. Breyer, jak i Republika Federalna Niemiec wnieśli skargę rewizyjną do niemieckiego federalnego trybunału sprawiedliwości na orzeczenie sądu apelacyjnego. Trybunał stwierdził, że adres IP dostarcza wskazówek co do tego, jakie strony lub określone pliki w Internecie w określonych datach P. Breyer przegląda, jednak nie pozwalają bezpośrednio określić jego tożsamości. W związku z wieloma wątpliwościami w sprawie niemiecki trybunał sprawiedliwości zawiesił postępowanie i zwrócił się do Trybunału Sprawiedliwości Unii Europejskiej z pytaniem, czy dynamiczne adresy IP (takie, które zmieniają się przy okazji każdego nowego połączenia z Internetem) są danymi osobowymi. Pytał też, czy podmioty, które prowadzą serwisy internetowe, są administratorami danych wobec adresów IP swoich użytkowników i czy w związku z tym muszą stosować wobec nich zasady ochrony danych osobowych. Trybunał Sprawiedliwości UE odpowiedział, że dynamiczny adres IP zarejestrowany przez podmiot, który prowadzi witrynę internetową, przy okazji jej przeglądania, jest wobec tego podmiotu daną osobową. Będzie tak w sytuacji, gdy dysponuje on środkami prawnymi, które umożliwiają mu zidentyfikowanie osoby, która odwiedza witrynę. Trybunał przypomniał też, że zgodnie z prawem UE, dostawca usług medialnych może wykorzystywać dane osobowe swojego użytkownika bez jego zgody tylko, jeśli jest to konieczne do umożliwienia konkretnego skorzystania z tych usług i zafakturowania kosztów takiego korzystania. Trybunał przypomniał, że zgodnie z prawem Unii przetwarzanie danych osobowych jest zgodne z prawem, m.in., gdy jest ono konieczne dla realizacji potrzeb wynikających z uzasadnionych interesów administratora danych lub osoby trzeciej lub osób trzecich, którym dane są ujawniane. Wyjątkiem są sytuacje, gdy pierwszeństwo mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą.
(Źródło: wyrok Trybunału Sprawiedliwości Unii Europejskiej z 19 października 2016 r. (C-582/14) - za experto24.pl)

04/10/2016

GIODO OSTRZEGA PRZEDSIĘBIORCÓW I ORGANIZACJE!!!

Uwaga – na korespondencję z Kancelarii Liberty”, „Bądźmy Legalni” i „Legalni z Prawem”...

(...)GIODO skierował do organów ścigania zawiadomienie o podejrzeniu popełnienia przestępstwa oszustwa.

• „Kancelaria Liberty” „Bądźmy Legalni”, „Legalni z Prawem” rozsyłają masowo maile o odpowiedzialności grożącej za niedopełnienie obowiązku zgłoszenia zbiorów danych do rejestracji.
• Prowadzony mailing to dezinformowanie przedsiębiorców.
• Adres e-mail – [email protected] oraz treść tej korespondencji noszą pozory działania z urzędu i wprowadzają odbiorców wiadomości w błąd.
• GIODO nie wzywa za pośrednictwem powyższego maila do rejestracji i nie jest ani autorem, ani inicjatorem tych maili, korespondencja ta nie pochodzi od organu ds. ochrony danych osobowych.
• Treść maili wskazuje na konieczność dokonania rejestracji zbiorów danych osobowych w terminie 3 dni roboczych – informacje te są nierzetelne, niezgodne z przepisami prawa, w tym z ustawą o ochronie danych osobowych, ustawą o świadczeniu usług drogą elektroniczną.
• GIODO przestrzega, żeby nie odpowiadać na tę korespondencję.(...)
czytaj więcej...
http://www.giodo.gov.pl/560/id_art/9594/j/pl

30/08/2016

http://wiadomosci.gazeta.pl/wiadomosci/7,114871,20613758,wyciek-danych-pesel-dotyczy-nawet-polowy-polakow-sprawdz-co.html?utm_source=facebook.com&utm_medium=SM&utm_campaign=FB_Gazeta

Wyciek danych PESEL to realny problem dużej części Polaków. Jeśli nie podejmiemy odpowiednich kroków, oszuści mogą wziąć kredyt na nasze nazwisko. Oto, co zrobić, by do tego nie doszło.