• Polski
  • English
  • Deutsch

    • Nasza siedziba znajduje się w Łodzi. Nasze akta rejestrowe prowadzi Sąd Rejonowy dla Łodzi-Śródmieścia w Łodzi, XX Wydział Gospodarczy KRS, numer KRS 465886, NIP 725-20-68-627. Jak możesz się z nami skontaktować? listownie: ul. Żwirki 17, 90-539 Łódź e-mailem na adres: info@lubasziwspolnicy.pl Jakie masz prawa? 1. dostępu do Twoich danych, 2. ich poprawiania, 3. żądania ich usunięcia, 4. ograniczenia przetwarzania, 5. wniesienia sprzeciwu co do przetwarzania Twoich danych osobowych. Co zrobić gdy uważasz, że przetwarzamy Twoje dane niezgodnie z wymogami prawnymi? Możesz wnieść skargę do organu nadzorczego. W Polsce jest to Prezes Urzędu Ochrony Danych Osobowych. Po co nam Twoje dane, czyli w jakim celu je przetwarzamy? 1. odpowiedzi na Twoją wiadomość lub rozwiązania poruszonej przez Ciebie sprawy, 2. marketingowym polegającym na promocji naszych towarów i usług oraz nas samych. Przy czym, ten cel realizujemy, jeżeli w wiadomości do nas poprosiłeś nas o informacje na temat naszych usług. Czy musisz podawać nam swoje dane? Jest to dobrowolne, lecz bez podania Twoich danych kontaktowych nie będziemy mogli odpowiedzieć na Twoją wiadomość i możemy nie móc rozwiązać poruszonej przez Ciebie sprawy. Na jakiej podstawie prawnej przetwarzamy Twoje dane? Art. 6 ust. 1 lit. f RODO, czyli tego rozporządzenia. Co jes naszym prawnie uzasadnionym interesem? Udzielenie odpowiedzi na Twoje pytanie lub rozwiązanie poruszonej przez Ciebie sprawy oraz prowadzenie naszego marketingu. Komu przekażemy Twoje dane? 1. podmiotom zajmującym się hostingiem (przechowywaniem) strony oraz danych osobowych dla nas, 2. dostawcom narzędzi służących do analityki działania strony. Jak długo będziemy przetwarzać Twoje dane? 1. przez czas potrzebny na udzielenie odpowiedzi na Twoje pytanie lub rozwiązanie poruszonej przez Ciebie sprawy, 2. prowadzenia działań marketingowych przez nas albo do czasu wyrażenia przez Ciebie sprzeciwu wobec dalszego przetwarzania danych w celach marketingowych. Czy po przekazaniu nam danych możesz sprzeciwić się ich przetwarzaniu? Tak. Możesz to zrobić w dwóch sytuacjach, gdy przetwarzamy Twoje dane: 1. na potrzeby marketingu bezpośredniego; takiego sprzeciwu nie musisz uzasadniać, 2. na podstawie innych naszych prawnie uzasadnionych interesów; taki sprzeciw wymaga uzasadnienia Twoją szczególną sytuacją.

    Nasza siedziba znajduje się w Łodzi. Nasze akta rejestrowe prowadzi Sąd Rejonowy dla Łodzi-Śródmieścia w Łodzi, XX Wydział Gospodarczy KRS, numer KRS 465886, NIP 725-20-68-627. Jak możesz się z nami skontaktować? listownie: ul. Żwirki 17, 90-539 Łódź e-mailem na adres: info@lubasziwspolnicy.pl Jakie masz prawa? 1. dostępu do Twoich danych, 2. ich poprawiania, 3. żądania ich usunięcia, 4. ograniczenia przetwarzania, 5. wniesienia sprzeciwu co do przetwarzania Twoich danych osobowych. Co zrobić gdy uważasz, że przetwarzamy Twoje dane niezgodnie z wymogami prawnymi? Możesz wnieść skargę do organu nadzorczego. W Polsce jest to Prezes Urzędu Ochrony Danych Osobowych. Po co nam Twoje dane, czyli w jakim celu je przetwarzamy? W celu marketingowym, polegającym na wysyłaniu do Ciebie newsletterów, analizowaniu czy zapoznajesz się z ich treściami, i które z nich najchętniej czytasz. Na tej podstawie możemy dopasowywać treści newslettera do Twoich zainteresowań. Czy musisz podawać nam swoje dane? Jest to dobrowolne. Bez ich podania nie będziesz jednak mógł otrzymywać newslettera. Na jakiej podstawie prawnej przetwarzamy Twoje dane? 1. Art. 6 ust. 1 lit. f RODO, czyli tego rozporządzenia. Naszym prawnie uzasadnionym interesem jest analizowanie czy zapoznajesz się z naszymi newsletterami, i które z informacji w nich zawartych czytasz najchętniej. 2. Art. 10 ustawy o świadczeniu usług drogą elektroniczną oraz art. 172 ustawy Prawo telekomunikacyjne. Co jest naszym prawnie uzasadnionym interesem? Doskonalenie naszego newslettera poprzez analizowanie czy zapoznajesz się z jego treścią i którymi wiadomościami najbardziej się interesujesz oraz dopasowywanie treści naszego newslettera do Twoich zainteresowań. Komu przekażemy Twoje dane? 1. Dostawcom narzędzi do: a. analityki ruchu na stronie, b. wysyłki newsletterów. 2. Podmiotom zajmującym się hostingiem (przechowywaniem) strony oraz danych osobowych. Jak długo będziemy przetwarzać Twoje dane? Przez czas prowadzenia działań marketingowych przez nas albo do czasu wyrażenia przez Ciebie sprzeciwu wobec dalszego przetwarzania danych w celach marketingowych, albo odwołania zgody na wysyłanie wiadomości na Twój adres e-mail. Odwołanie przez Ciebie zgody nie wpływa na zgodność z prawem przetwarzania przed wycofaniem zgody. Czy po przekazaniu nam danych możesz sprzeciwić się ich przetwarzaniu? Tak. Możesz to zrobić w dwóch sytuacjach, gdy przetwarzamy Twoje dane: 1. na potrzeby marketingu bezpośredniego; takiego sprzeciwu nie musisz uzasadniać, 2. na podstawie innych naszych prawnie uzasadnionych interesów; taki sprzeciw wymaga uzasadnienia Twoją szczególną sytuacją.

    Lubasz i Wspólnicy » Inicjatywy »  Odpowiedzi na pytania po webinarze „Ochrona danych osobowych w firmach”

    Odpowiedzi na pytania po webinarze „Ochrona danych osobowych w firmach”

    Odpowiedzi na pytania po webinarze „Ochrona danych osobowych w firmach”

    Konsultacje prawne

    W dniu 16 grudnia 2016 r. odbył się organizowany przez Wolters Kluwer webinar, który był prowadzony przez r. pr. dr Dominika Lubasza i Katarzynę Witkowską

    1. Czy baza danych uczestników szkoleń musi być zgłaszana do GIODO?

    Obowiązek zgłaszania zbiorów danych do rejestru prowadzonego przez GIODO wynika z art. 41 ustawy o ochronie danych osobowych. Katalog zwolnień z tego obowiązku przewiduje natomiast art. 43 ust. 1 i 1a. To, czy w danym przypadku powstanie obowiązek zgłoszenia zbioru czy nie, zależy w dużej mierze od tego, jaki model działania przyjął dany administrator.

    Jeżeli administrator danych (ADO) realizuje zadania samodzielnie, nie prowadzi własnego rejestru zbiorów danych i tym samym zgłasza do GIODO wszystkie zbiory, poza wymienionym w art. 43 ust. 1 pkt 1-12 ustawy o ochronie danych. W przypadku danych osobowych uczestników szkoleń, obowiązek zgłoszenia co do zasady powstaje, ponieważ nie można do tego przypadku zastosować żadnego ze zwolnień.

    Taki obowiązek nie istniałby jedynie, jeżeli dane uczestników przetwarzane byłyby w zbiorach tradycyjnych, papierowych, przyjmując, że nie ma w takich zbiorach danych wrażliwych (art. 43 ust. 1 pkt 12 ustawy) lub jeżeli dane przetwarzane byłyby tylko i wyłącznie w celu rozliczenia szkolenia (art. 43 ust. 1 pkt 8 ustawy). Jeżeli natomiast administrator utrzymuje bazę danych uczestników w celu ponownego zaproszenia na szkolenie, zebrania ankiet ewaluacyjnych, przesyłania certyfikatów i innych celach, w takim wypadku musi zgłosić zbiór do GIODO.

    Jeżeli w strukturze danego ADO powołany został administrator bezpieczeństwa informacji, a zbiór danych uczestników szkoleń nie zawiera danych wrażliwych, ADO korzysta ze zwolnienia z obowiązku zgłoszenia zbioru z art. 43 ust. 1a ustawy. W takim wypadku zbiór danych zwykłych uczestników szkoleń podlega uwzględnieniu w rejestrze zbiorów prowadzonym przez ABI i nie jest zgłaszany do GIODO.

    1. Mamy 2 agencje pracy we wspólnym zarządzaniu - co powinniśmy wykonać, aby przekazać właściwie dane osobowe z jednej do drugiej?

    Sposób przekazania danych między dwiema agencjami zależy od tego, w jakim celu takie przekazanie ma się odbywać. Jeżeli agencje świadczą dla siebie określone usługi i przekazanie danych od jednej agencji do drugiej ma służyć realizacji celu tej pierwszej (np. jedna z agencji wspiera drugą, umożliwiając korzystanie przez nią z wewnętrznej obsługi kadrowej i księgowej funkcjonującej w agencji albo np. jedna z agencji przejmuje pewien proces związany z szukaniem zatrudnienia dla określonej grupy pracowników lub pracodawców w imieniu drugiej agencji) konieczne jest zawarcie umowy powierzenia.

    Jeżeli natomiast przekazanie danych od jednej agencji do drugiej ma zapewnić możliwość realizacji własnych celów przez tę drugą agencję (np. przekazanie danych osób poszukujących pracy, zarejestrowanych w bazie agencji nr 1 do agencji nr 2, by ta agencja kontaktując się we własnym imieniu zaoferowała im pracę u swoich klientów) mamy do czynienia z udostępnieniem, które odbywać się musi na podstawie jednej z przesłanek przetwarzania danych. Jeżeli chodzi o dane zwykłe muszą o być przesłanki z art. 23 ust. 1 pkt 1-5 ustawy o ochronie danych (np. zgoda osoby, której dane dotyczą; taka możliwość może też wynikać m.in. z umowy zawartej z agencją). Gdyby udostępniane miałby być także dane wrażliwe, przesłanki udostępnienia należy szukać w art. 27 ust. 2 pkt 1 -10 ustawy.

    1. Czy instytucja kultury, mając zgłoszonego ABI powinna na stronie www, np. w zakładce BIP zamieścić informację o posiadanych bazach danych? Jeśli tak to jaka to powinna być informacja?

    Zgodnie z art. 36a ust. 2 pkt 2 ustawy o ochronie danych osobowych, zadaniem administratora bezpieczeństwa informacji jest prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych, z wyjątkiem zbiorów, o których mowa w art. 43 ust. 1 (czyli zbiorów, które korzystają ze zwolnienia z obowiązku zgłoszenia do GIODO), zawierającego nazwę zbioru oraz informacje, o których mowa w art. 41 ust. 1 pkt 2-4a i 7 ustawy, czyli:

    • Oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania, w tym numer identyfikacyjny rejestru podmiotów gospodarki narodowej, jeżeli został mu nadany, oraz podstawę prawną upoważniającą do prowadzenia zbioru, a w przypadku powierzenia przetwarzania danych podmiotowi, o którym mowa w art. 31, lub wyznaczenia podmiotu, o którym mowa w art. 31a, oznaczenie tego podmiotu i adres jego siedziby lub miejsca zamieszkania;
    • cel przetwarzania danych;
    • opis kategorii osób, których dane dotyczą, oraz zakres przetwarzanych danych;
    • sposób zbierania oraz udostępniania danych;
    • informację o odbiorcach lub kategoriach odbiorców, którym dane mogą być przekazywane;
    • opis środków technicznych i organizacyjnych zastosowanych w celach określonych w art. 36-39;
    • informację o sposobie wypełnienia warunków technicznych i organizacyjnych, określonych w przepisach, o których mowa w art. 39a;
    • informację dotyczącą ewentualnego przekazywania danych do państwa trzeciego.

    Rejestr jest jawny, co oznacza, że każdy ma prawo go przeglądać.

    Obowiązek prowadzenia rejestru obciąża więc nie samą instytucję, a ABI, a ujawnieniu w rejestrze podlegają tylko te zbiory, które nie korzystałyby ze zwolnienia, gdyby ADO działał samodzielnie. ADO, który powołał ABI korzysta ze zwolnienia z obowiązku zgłaszania zbiorów danych, nieobjętych zakresem art. 43 ust. 1 pkt 1-12 ustawy, ponieważ zbiory te uwzględnione są w rejestrze ABI. Zwolnienie nie obejmuje jednak zwolnienia z obowiązku rejestracji zbiorów danych wrażliwych.

    1. Jeżeli prowadzę biuro rachunkowe i przetwarzanie danych pracowników zatrudnionych przez moich klientów jest ewidentnie produktem ubocznym to w jakim stopniu powinnam zabezpieczać te dane?

    W przypadku, gdy dany podmiot przetwarza dane osobowe jako procesor, czyli podmiot przetwarzający dane na podstawie umowy powierzenia, nie jako niezależny administrator danych, musi zabezpieczać te dane w takim stopniu, jak wynika to z umowy z administratorem.

    Minimalny poziom ochrony wyznacza natomiast ustawa o ochronie danych w art. 31 ust. 3, zgodnie z którym, procesor jest obowiązany przed rozpoczęciem przetwarzania danych podjąć środki zabezpieczające zbiór danych, o których mowa w art. 36-39, oraz spełnić wymagania określone w przepisach, o których mowa w art. 39a. To oznacza, że procesor ma obowiązek zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem oraz prowadzić dokumentację opisującą sposób przetwarzania i zastosowane środki. Ponadto, procesor ma obowiązek wydawać i ewidencjonować upoważnienia do przetwarzania danych, sprawować kontrolę nad tym jak wprowadzane i przekazywane są dane oraz należycie zabezpieczać systemy informatyczne, zgodnie z odpowiednimi przepisami. Do sytuacji procesora znajdują zastosowanie także przepisy art. 36a-c ustawy dotyczące ABI. Jeżeli ABI nie został powołany, procesor ma także obowiązek zapoznawania osób upoważnionych z przepisami oraz prowadzenia sprawdzeń.

    W zakresie przestrzegania tych przepisów procesor ponosi odpowiedzialność jak administrator danych.

    Więcej na temat powierzenia przetwarzania danych: https://portalodo.com/outsourcing-uslug-a-dane-osobowe-kilka-uwag-o-powierzeniu-danych/

    1. Jeśli zleceniobiorca spółki w celu marketingu i reklamy oraz promowania własnych usług i polepszenia jakości świadczonych przez siebie usług na naszą rzecz chce wysyłać do określonych pracowników zleceniodawcy maile, to czy to się odbywa w ramach niezbędności do wykonania umowy czy potrzebuję pozyskać zgodę pracowników, którym takie informacje będą przekazywane na otrzymanie takich informacji?

    W przypadku planów wykorzystania danych pozyskanych w celu realizacji umowy, także do innych celów – w tym celów marketingowych, konieczne jest spełnienie dodatkowej przesłanki przetwarzania. O ile w przypadku polepszania świadczenia usług na rzecz zleceniodawcy zleceniobiorca może oprzeć się na przesłance prawnie usprawiedliwionego celu, o tyle w przypadku działań marketingowych sytuacja jest bardziej skomplikowana. Jeżeli w grę wchodzi prowadzenie działań marketingowych poprzez wysyłanie maili, konieczne jest uwzględnienie także przepisów ustawy o świadczeniu usług drogą elektroniczną i odebranie zgody na przesyłanie informacji handlowej. Pracodawca, który dane miałby przekazać zleceniobiorcy powinien z kolei zadbać o uzyskanie odpowiedniej zgody na udostępnienie danych. W takim układzie możliwe jest także skorzystanie z innych rozwiązań i np. uzgodnienie ze zleceniobiorcą, że pracodawca (w tym zakresie działając jako procesor) będzie zbierał dane w imieniu zleceniobiorcy lub bezpośrednio dla niego, udostępniając listę czy formularz umożliwiający zapisanie się / podanie danych tylko przez pracowników zainteresowanych otrzymywaniem od zleceniobiorcy informacji handlowych i udostępniających w tym celu identyfikujące ich adresy elektroniczne (adresy e-mail).

    1. Czy monitoring obiektów to baza danych, czy trzeba ją zgłosić do GIODO? Czy należy poinformować zwiedzających, że teren jest monitorowany?

    Większość systemów monitoringu wizyjnego zbiera dane osobowe, które następnie dostępne są według określonych kryteriów, a więc tworzy zbiory danych osobowych w rozumieniu art. 7 pkt 1 ustawy o ochronie danych osobowych. Właściciele takich systemów monitoringu powinni zadbać więc o realizację obowiązków wynikających z ustawy o ochronie danych osobowych, w tym zgłosić takie zbiory do rejestru prowadzonego przez GIODO. Na temat monitoringu wizyjnego i danych z nagrań kwalifikowanych jako dane osobowe można przeczytać więcej tutaj: https://portalodo.com/uwaga-obiekt-monitorowany/, https://portalodo.com/masz-monitoring-sprawdz-czy-nie-przetwarzasz-danych-osobowych/ ).

    W stosunku do danych przetwarzanych w ramach nagrań z monitoringu trudno jest zrealizować wszystkie obowiązki wynikające z ustawy, dlatego wielokrotnie podejmowano już temat opracowania regulacji dotyczącej tylko i wyłącznie monitoringu (więcej tutaj: https://portalodo.com/przyszlosc-monitoringu-wizyjnego/ ).

    Przyjmuje się, że należy poinformować przynajmniej o tym, że dany obiekt / teren jest monitorowany.

    1. Czy powiadamianie klientów o zmianach w prawie należy uznać za newsletter?

    To, czy informacja przesyłana do klientów, dotycząca np. zmian w prawie uznana być może za newsletter zależy oczywiście od sposobu i częstotliwości oraz regularności jej przesyłania. Wydaje się, że w tym wypadku pytanie powinno być postawione nieco inaczej, a mianowicie, czy wysyłanie do klientów informacji o zmianach w prawie należy uznać za przesyłanie im informacji handlowych i w związku z tym, czy możliwość przekazywania takich informacji uzależniona jest od zgody klienta. Odpowiedź na to pytanie zależy od konkretnego przypadku. Jeżeli umowa z klientem zakłada jako jeden z elementów świadczenia pomocy i wsparcia prawnego, aktualizowanie dla klienta informacji o przepisach czy informowanie go o zmianach w prawie, w takim wypadku kancelaria przekazując te informacje realizuje umowę i nie potrzebuje dodatkowej zgody na takie działanie. Jeżeli natomiast w ramach działalności kancelarii oferowana jest klientowi możliwość dodatkowego zapisu na newsletter obejmujący informacje o zmianach w prawie, w takim wypadku mamy do czynienia z wysyłaniem informacji handlowej przy czym, jeżeli klient zwraca się z prośbą o przesyłanie takich informacji lub w inny sposób wskazuje, że chce otrzymywać takie informacje na wskazany adres e-mail jest to wystarczające, by zgodnie z przepisami informować o takich zmianach.

    1. Czy dyrektor szkoły jako ABI jest zobowiązany do składania sprawozdań?

    Odpowiedź na to pytanie wymaga wyjaśnienia kilku kwestii. Przede wszystkim, wskazać należy, że sytuacja, w której administratorem bezpieczeństwa informacji jest dyrektor placówki (w tym wypadku szkoły) budzi wątpliwości. W przypadku danych osobowych uczniów, nauczycieli, rodziców, opiekunów etc. administratorem danych jest szkoła, w której imieniu działa dyrektor. Tym samym, jako osoba reprezentująca administratora danych nie może być jednocześnie administratorem bezpieczeństwa informacji.

    Zaznaczyć należy, że funkcja ABI przewidziana jest po to, by w strukturze administratora danych była jedna osoba odpowiedzialna za nadzór nad przestrzeganiem przepisów, która będzie w razie potrzeby wskazywała nieprawidłowości, zdawała odpowiednie sprawozdania czy też dokonywała sprawdzeń na wezwanie GIODO. Ze względu na powierzone zadania, ABI musi podlegać bezpośrednio kierownikowi jednostki organizacyjnej. Nie może natomiast sam być tym kierownikiem, ponieważ przeczy to istocie tej funkcji.

    Jeżeli jednak w szkole zostanie powołany zgodnie z przepisami ABI, do jego zadań należy m.in. prowadzenie sprawdzeń zgodności przetwarzania danych osobowych z przepisami oraz opracowywanie w tym zakresie sprawozdań dla administratora danych (składanych w tym wypadku dyrektorowi szkoły). ABI może także otrzymać wezwanie do dokonania sprawdzenia od GIODO. W takim przypadku, ABI składa sprawozdanie za pośrednictwem administratora danych do GIODO.

    Jeżeli natomiast ADO nie powołuje ABI, zgodnie z art. 36b ustawy o ochronie danych, następujące zadania ABI:

    • sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych (bez opracowania w tym zakresie sprawozdania dla administratora danych),
    • nadzorowanie opracowania i aktualizowania dokumentacji ochrony danych oraz przestrzegania zasad w niej określonych,
    • zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych;

    wykonuje administrator danych (ADO wykonuje tylko zadania ABI, nie pełni funkcji administratora bezpieczeństwa informacji). Składanie sprawozdania jest w takiej sytuacji wyłączone, ponieważ administrator danych musiałby składać je sam sobie.

    1. Jeśli nagrywam rozmowę telefoniczną na numerze telefonicznym do ochrony obiektu muszę uprzedzić, że rozmowa jest nagrywana? Czy te nagrania też tworzą bazę danych?

    Nagrywanie rozmowy powinno zostać poprzedzone informacją, że rozmowa jest nagrywana. Jeżeli podczas takiej rozmowy dochodzi do przekazywania danych osobowych, mamy już do czynienia z ich przetwarzaniem, a to oznacza konieczność realizacji obowiązków wynikających z ustawy o ochronie danych osobowych (w tym obowiązku informacyjnego, obowiązku zabezpieczenia danych). Nagrania tworzą bazę danych, natomiast to, czy tworzą zbiór danych, podlegać powinno indywidualnej ocenie. Może być tak, że nagrania będą wchodziły w zakres szerszego zbioru zidentyfikowanego u danego administratora, a mogą tworzyć też niezależny zbiór danych.

    1. Własna działalność gospodarcza na rzecz innych podmiotów, czy jestem wówczas ADO?

    Zgodnie z przepisami ustawy o ochronie danych osobowych, administratorem danych osobowych (ADO) jest organ, jednostka organizacyjna, podmiot lub osoba, o których mowa w art. 3 decydujące o celach i środkach przetwarzania danych. Administratorem danych mogą być więc zarówno podmioty publiczne, jak i podmioty prywatne, w tym podmioty niepubliczne realizujące zadania publiczne, osoby fizyczne, osoby prawne, a także jednostki organizacyjnie nieposiadające osobowości prawnej, o ile, co wynika z art. 3 u.o.d.o., przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji swych celów statutowych. Osoba fizyczna prowadząca działalność gospodarczą jest więc administratorem danych swoich pracowników, klientów, kontrahentów etc.

    Pamiętać jednak należy, że w przypadku świadczenia usług na rzecz innych podmiotów i przetwarzania w związku z tym określonych danych osobowych, często mamy do czynienia z powierzeniem przetwarzania danych (np. obsługa kadrowa i księgowa i otrzymywanie w związku z tym danych pracowników, klientów, kontrahentów zleceniodawcy – w stosunku do tych danych zleceniobiorca jest procesorem, nie administratorem).

    1. Czy osoba fizyczna prowadząca działalność gospodarczą i świadcząca usługi dla innych przedsiębiorców musi zgłosić siebie jako ADO?

    Nie, nie ma obowiązku dokonywania takiego zgłoszenia, ponieważ polskie przepisy o ochronie danych osobowych w ogóle nie przewidują tworzenia rejestru administratorów danych. GIODO prowadzi dwa rejestry: zbiorów danych i administratorów bezpieczeństwa informacji. Osoba prowadząca działalność gospodarczą jako administrator danych powinna natomiast zweryfikować, jakie zbiory danych przetwarza w swojej działalności oraz które z nich podlegają zgłoszeniu do GIODO.

    1. Czy przekazując dane pracownika, oddelegowanego do pracy na innym obiekcie, osobie, która odpowiada po stronie klienta za wykonanie prac, powinno się dołączyć zapis -deklarację, że ta osoba nie wykorzysta tych danych do innych celów?

    Odbieranie oświadczeń wzmacniających dodatkowo poziom ochrony danych jest możliwe. Warto jednak zwrócić uwagę, że w powołanym w pytaniu przypadku, administrator danych podpisując określoną umowę z klientem, powinien już na poziomie tej umowy zadbać o bezpieczeństwo danych i zobowiązać klienta do należytego upoważnienia i zobowiązania swoich pracowników do prawidłowego przetwarzania danych i do zachowania poufności lub otrzymać od niego stosowne oświadczenie o wykonywaniu tego obowiązku.

    1. Czy baza udziałowców spółki – osób fizycznych – musi być zgłaszana do GIODO?

    Zgłoszeniu do GIODO podlega każdy zbiór danych osobowych, o ile nie został wymieniony w katalogu zwolnień z art. 43 ust. 1 pkt 1 – 12 ustawy oraz o ile nie został u administratora danych powołany ABI. Zbiór wspólników spółki nie mieści się co do zasady w przewidzianych przez ustawę zwolnieniach i podlega zgłoszeniu do rejestru prowadzonego przez GIODO.

    1. Instytucja kultury prowadzi konkurs plastyczny posiada dane osobowe uczniów: imię, nazwisko wiek oraz nazwę szkoły. Czy może przekazać fundacji 2000 prac plastycznych ? Czy musi zawierać umowę powierzenia na przekazanie danych tej fundacji. Prace maja być wykorzystywane cele fundacji na zakup kamizelki dla chorego dziecka.

    W przypadku przekazania danych osobowych innemu administratorowi, który te dane przetwarza dalej we własnych celach (np. celach statutowych) mamy do czynienia z udostępnieniem danych, nie ich powierzeniem. Nie ma więc konieczności zawierania umowy powierzenia. Warto jednak pamiętać, że udostępnienie danych możliwe jest, jeżeli spełniona jest jedna z przesłanek przetwarzania, określonych w art. 23 ust. 1 pkt 1-5 ustawy o ochronie danych osobowych (gdyby chodziło o dane wrażliwe – art. 27 ust. 2 pkt 1-10 ustawy).

    1. Czy mimo sprzeciwu osoby, której dane dotyczą będzie można je nadal archiwizować w postaci elektronicznej i papierowej, gdy obowiązek archiwizacji wynika z przepisów ?

    Prawo do wniesienia sprzeciwu wobec przetwarzania dotyczy jedynie przypadków:

    • których mowa w art. 23 ust. 1 pkt 4 (czyli gdy przetwarzanie jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego) oraz 23 ust. 1 pkt 5 ustawy (gdy przetwarzanie jest niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą)
    • i gdy administrator danych zamierza je przetwarzać w celach marketingowych lub wobec przekazywania danych innemu administratorowi danych.

    Jest to stosunkowo wąski katalog przypadków i nie obejmuje sytuacji, w których przetwarzanie jest konieczne do spełnienia obowiązku lub realizacji uprawnienia wynikających z przepisów prawa. Jeżeli więc administrator przetwarza dane w celu realizacji obowiązku archiwizacyjnego, wynikającego z przepisów, wola osoby, której dane dotyczą nie ma wpływu na to przetwarzanie.

    1. Czy są kary indywidualne dla ADO? Czy zastępca ABI może ponieść odpowiedzialność karną w razie nieobecności ABI?

    Ustawa o ochronie danych osobowych zawiera w rozdziale 8 przepisy karne. Odpowiedzialność karna jest odpowiedzialnością zindywidualizowaną, dla której zaistnienia konieczne jest ustalenie konkretnego sprawcy. Przepisy karne z ustawy o ochronie danych osobowych przewidują zarówno odpowiedzialność, którą ponieść może wyłącznie administrator danych (lub osoba reprezentująca administratora danych) - art. 53 (zakładające odpowiedzialność za niezgłoszenie zbioru do rejestracji), a także odpowiedzialność, którą ponieść może każdy administrujący zbiorem danych lub obowiązany do ochrony danych – art. 51, art. 52 i ar. 54. Ponadto, przepisy art. 49 i 54a określają odpowiedzialność za przestępstwa powszechne, które mogą być popełnione przez każdego, nie tylko administratora i administrującego zbiorem danych lub danymi.

     

    Jeśli masz więcej pytań, to zapraszamy do kontaktu:

    dominik.lubasz@lubasziwspolnicy.pl

    katarzyna.witkowska@lubasziwspolnicy.pl

    Post Views: 2 537

    Aktualności powiązane z inicjatywą

    ANKIETA – Branża e-commerce po wejściu w życie ustawy o prawach konsumenta

    Kancelaria  Lubasz i Wspólnicy we współpracy z Kancelarią Szostek Bar i Partnerzy oraz E-COMMERCE Polska prowadzi unikatowe badanie dotyczące wpływu ustawy o prawach konsumenta na branżę e-commerce. Zachęcamy do udziału w tym badaniu. Wypełnij ANKIETĘ. RAPORT będzie dostępny …

    Więcej

    Powierzenie przetwarzania danych osobowych

    Korzystanie z ogólnodostępnych wzorów dokumentów Już pobieżna analiza obecnego sposobu funkcjonowania biznesu, niezależnie od branży i zakresu terytorialnego, pozwala dostrzec ogromny wzrost zainteresowania przedsiębiorców stosowaniem outsourcingu w ramach wielu procesów biznesowych. Przy okazji outsourcingu, w wielu przypadkach …

    Więcej

    RODO pod lupą. Przewodnik po przepisach.

    Na koniec roku zaplanowaliśmy dla Państwa publikację e-booka poświęconego w całości przepisom rozporządzenia o ochronie danych. Zapraszamy do zapoznania się z przygotowaną przez nas mapą kluczowych zmian, jakie niosą ze sobą przepisy ogólnego rozporządzenia o ochronie …

    Więcej

    Używamy cookies i podobnych technologii. Uzyskujemy do nich dostęp w celach statystycznych i zapewnienia prawidłowego działania strony. Możesz określić w przeglądarce warunki przechowywania cookies i dostępu do nich. Więcej

    Subscribe to our newsletter

    FreshMail.pl