• Polski
  • English
  • Deutsch

    • Nasza siedziba znajduje się w Łodzi. Nasze akta rejestrowe prowadzi Sąd Rejonowy dla Łodzi-Śródmieścia w Łodzi, XX Wydział Gospodarczy KRS, numer KRS 465886, NIP 725-20-68-627. Jak możesz się z nami skontaktować? listownie: ul. Żwirki 17, 90-539 Łódź e-mailem na adres: info@lubasziwspolnicy.pl Jakie masz prawa? 1. dostępu do Twoich danych, 2. ich poprawiania, 3. żądania ich usunięcia, 4. ograniczenia przetwarzania, 5. wniesienia sprzeciwu co do przetwarzania Twoich danych osobowych. Co zrobić gdy uważasz, że przetwarzamy Twoje dane niezgodnie z wymogami prawnymi? Możesz wnieść skargę do organu nadzorczego. W Polsce jest to Prezes Urzędu Ochrony Danych Osobowych. Po co nam Twoje dane, czyli w jakim celu je przetwarzamy? 1. odpowiedzi na Twoją wiadomość lub rozwiązania poruszonej przez Ciebie sprawy, 2. marketingowym polegającym na promocji naszych towarów i usług oraz nas samych. Przy czym, ten cel realizujemy, jeżeli w wiadomości do nas poprosiłeś nas o informacje na temat naszych usług. Czy musisz podawać nam swoje dane? Jest to dobrowolne, lecz bez podania Twoich danych kontaktowych nie będziemy mogli odpowiedzieć na Twoją wiadomość i możemy nie móc rozwiązać poruszonej przez Ciebie sprawy. Na jakiej podstawie prawnej przetwarzamy Twoje dane? Art. 6 ust. 1 lit. f RODO, czyli tego rozporządzenia. Co jes naszym prawnie uzasadnionym interesem? Udzielenie odpowiedzi na Twoje pytanie lub rozwiązanie poruszonej przez Ciebie sprawy oraz prowadzenie naszego marketingu. Komu przekażemy Twoje dane? 1. podmiotom zajmującym się hostingiem (przechowywaniem) strony oraz danych osobowych dla nas, 2. dostawcom narzędzi służących do analityki działania strony. Jak długo będziemy przetwarzać Twoje dane? 1. przez czas potrzebny na udzielenie odpowiedzi na Twoje pytanie lub rozwiązanie poruszonej przez Ciebie sprawy, 2. prowadzenia działań marketingowych przez nas albo do czasu wyrażenia przez Ciebie sprzeciwu wobec dalszego przetwarzania danych w celach marketingowych. Czy po przekazaniu nam danych możesz sprzeciwić się ich przetwarzaniu? Tak. Możesz to zrobić w dwóch sytuacjach, gdy przetwarzamy Twoje dane: 1. na potrzeby marketingu bezpośredniego; takiego sprzeciwu nie musisz uzasadniać, 2. na podstawie innych naszych prawnie uzasadnionych interesów; taki sprzeciw wymaga uzasadnienia Twoją szczególną sytuacją.

    Nasza siedziba znajduje się w Łodzi. Nasze akta rejestrowe prowadzi Sąd Rejonowy dla Łodzi-Śródmieścia w Łodzi, XX Wydział Gospodarczy KRS, numer KRS 465886, NIP 725-20-68-627. Jak możesz się z nami skontaktować? listownie: ul. Żwirki 17, 90-539 Łódź e-mailem na adres: info@lubasziwspolnicy.pl Jakie masz prawa? 1. dostępu do Twoich danych, 2. ich poprawiania, 3. żądania ich usunięcia, 4. ograniczenia przetwarzania, 5. wniesienia sprzeciwu co do przetwarzania Twoich danych osobowych. Co zrobić gdy uważasz, że przetwarzamy Twoje dane niezgodnie z wymogami prawnymi? Możesz wnieść skargę do organu nadzorczego. W Polsce jest to Prezes Urzędu Ochrony Danych Osobowych. Po co nam Twoje dane, czyli w jakim celu je przetwarzamy? W celu marketingowym, polegającym na wysyłaniu do Ciebie newsletterów, analizowaniu czy zapoznajesz się z ich treściami, i które z nich najchętniej czytasz. Na tej podstawie możemy dopasowywać treści newslettera do Twoich zainteresowań. Czy musisz podawać nam swoje dane? Jest to dobrowolne. Bez ich podania nie będziesz jednak mógł otrzymywać newslettera. Na jakiej podstawie prawnej przetwarzamy Twoje dane? 1. Art. 6 ust. 1 lit. f RODO, czyli tego rozporządzenia. Naszym prawnie uzasadnionym interesem jest analizowanie czy zapoznajesz się z naszymi newsletterami, i które z informacji w nich zawartych czytasz najchętniej. 2. Art. 10 ustawy o świadczeniu usług drogą elektroniczną oraz art. 172 ustawy Prawo telekomunikacyjne. Co jest naszym prawnie uzasadnionym interesem? Doskonalenie naszego newslettera poprzez analizowanie czy zapoznajesz się z jego treścią i którymi wiadomościami najbardziej się interesujesz oraz dopasowywanie treści naszego newslettera do Twoich zainteresowań. Komu przekażemy Twoje dane? 1. Dostawcom narzędzi do: a. analityki ruchu na stronie, b. wysyłki newsletterów. 2. Podmiotom zajmującym się hostingiem (przechowywaniem) strony oraz danych osobowych. Jak długo będziemy przetwarzać Twoje dane? Przez czas prowadzenia działań marketingowych przez nas albo do czasu wyrażenia przez Ciebie sprzeciwu wobec dalszego przetwarzania danych w celach marketingowych, albo odwołania zgody na wysyłanie wiadomości na Twój adres e-mail. Odwołanie przez Ciebie zgody nie wpływa na zgodność z prawem przetwarzania przed wycofaniem zgody. Czy po przekazaniu nam danych możesz sprzeciwić się ich przetwarzaniu? Tak. Możesz to zrobić w dwóch sytuacjach, gdy przetwarzamy Twoje dane: 1. na potrzeby marketingu bezpośredniego; takiego sprzeciwu nie musisz uzasadniać, 2. na podstawie innych naszych prawnie uzasadnionych interesów; taki sprzeciw wymaga uzasadnienia Twoją szczególną sytuacją.

    Lubasz i Wspólnicy » Aktualności  » Zgłoszenie danych do GIODO

    Zgłoszenie danych do GIODO

    administrator danych, dane osobowe, ochrona danych osobowych, system ochrony danych osobowych, zbior danych, zgloszenie zbioru do giodo

    Obowiązek zgłaszania zbiorów danych do GIODO wynika wprost z art. 40 ustawy o ochronie danych osobowych. Przepis ten jasno wskazuje, że administrator danych ma obowiązek zgłosić zbiór danych do rejestracji Generalnemu Inspektorowi Ochrony Danych. Niestety nadal wielu administratorów utożsamia ochronę danych osobowych tylko z tym obowiązkiem. Tymczasem trzeba pamiętać, że zgłoszenie zbioru jest jednym z elementów systemu ochrony danych osobowych, nie jego istotą. W zgłoszeniu wskazujemy, jakie dane i na jakiej podstawie prawnej przetwarzamy w danym zbiorze i w jaki sposób zabezpieczyliśmy ten zbiór. Nacisk powinien być więc położony na zabezpieczenie danych, a nie na zgłoszenie niewdrożonych i nieprzestrzeganych procedur jak to nadal często ma miejsce. Wypełnienie zgłoszenia do GIODO, jeżeli nie wdrożymy odpowiednich procedur i technicznych rozwiązań zapewniających bezpieczeństwo danych, nie stworzy bezpiecznych warunków przetwarzania danych.

    Które zbiory zgłaszać?
    Jeżeli jednak prawidłowo wdrażamy system ochrony danych osobowych, nie możemy zapominać także o zgłoszeniu zbiorów do rejestracji. Kwalifikacja zbiorów do zgłoszenia dokonywana jest przez pryzmat art. 43 ustawy o ochronie danych osobowych, który wskazuje, którzy administratorzy danych zwolnieni są z obowiązku rejestracji zbiorów danych. Pamiętać należy, że zwolnienia dotyczą najczęściej tylko niektórych zbiorów danych przetwarzanych przez określonego administratora. I tak np. przewidziano zwolnienie dla administratorów danych dotyczących osób korzystających z ich usług doradcy podatkowego. Zwolnienie to będzie dotyczyć zbioru danych klientów takiego doradcy, ale już nie zbioru danych potencjalnych klientów czy subskrybentów wysyłanego w celach marketingowych newslettera. Ocena, czy dany zbiór zgłaszać do GIODO czy nie, musi się więc odbywać w odniesieniu do tego danego zestawu informacji, nie zaś ogólnie do administratora danych.

    Pamiętać należy także o tym, że od 1 stycznia 2015 roku administratorzy danych, którzy powołali ABI korzystają z przywileju niezgłaszania zbiorów danych do GIODO, o ile zbiory nie zawierają danych wrażliwych. Zwolnienie to jest wynikiem obciążenia obowiązkiem prowadzenia rejestru samego administratora bezpieczeństwa informacji.

    Jak wygląda zgłoszenie?
    Jeżeli po analizie przepisów administrator danych dochodzi do wniosku, że zbiory przez niego przetwarzane podlegają zgłoszeniu, wypełnić musi odpowiedni formularz rejestracyjny. Najprostszym rozwiązaniem jest wypełnienie wniosku elektronicznie. Można to zrobić na stronie e-GIODO (link https://egiodo.giodo.gov.pl/personal_data_register.dhtml). Z tego samego formularza korzystamy zgłaszając zbiory danych zwykłych, danych wrażliwych i zmiany w już zarejestrowanych zbiorach. Dla administratora danych, który opracował i wdrożył politykę bezpieczeństwa danych osobowych i instrukcję zarządzania systemem informatycznym, wypełnienie zgłoszenia nie powinno być trudne. Na czym polega wypełnienie wniosku?

    W pierwszej kolejności, administrator musi wskazać nazwę zgłaszanego zbioru i swoje dane. W ramach informowania organu nadzorczego o tym, jak przetwarzane są dane osobowe w strukturze administratora, musi on także poinformować dokonywanym lub planowanym powierzeniu przetwarzania danych. Jeżeli administrator korzysta z usług procesorów, musi pamiętać o podaniu ich nazw i adresów. Nie wystarczy więc ogólna informacja, że powierzenie ma miejsce. Warto zwrócić uwagę na fakt, że w zgłoszeniu ADO deklaruje powierzenie zgodnie z ustawą tj. na podstawie umowy zawartej na piśmie. W praktyce wielu administratorów nie dysponuje takimi umowami, mimo wskazania w zgłoszeniu, że powierzenie realizowane jest prawidłowo.

    W zgłoszeniu konieczne jest także podanie podstaw prawnych upoważniających do prowadzenia zbioru danych. Jeżeli zgłoszenie dotyczy danych zwykłych, administrator wskazuje podstawę przetwarzania z art. 23 ust. 1-5 ustawy, a jeżeli danych wrażliwych art. 27 ust. 2 pkt 1-10 ustawy. Zgłoszeniu opisany musi być również cel przetwarzania danych w zbiorze i kategorie osób, których dane są przetwarzane. W kolejnych krokach, administrator danych musi wskazać, jaki jest zakres przetwarzanych danych osobowych przetwarzanych w danych zbiorze (np. imię, nazwisko, datę urodzenia, PESEL, NIP, miejsce pracy, zawód, numer telefonu lub inne dane osobowe). Obowiązek ten dotyczy także danych wrażliwych – katalog tych danych jest katalogiem zamkniętym, więc wybór ograniczony jest to informacji określonych w art. 27 ust. 1 ustawy o ochronie danych osobowych tj. danych ujawniających pochodzenie rasowe, etniczne, poglądy polityczne, przekonania religijne, przekonania filozoficzne, przynależność partyjną, przynależność związkową, przynależność wyznaniową, stan zdrowia, kod genetyczny, nałogi, życie seksualne, a także danych dotyczących skazań, mandatów karnych, orzeczeń o ukaraniu lub innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym.

    W kolejnej części wniosku o zgłoszenie zbioru danych do GIODO administrator określić musi źródło danych (czy dane zbierane są od osób, których dotyczą czy też niebezpośrednio – z innych źródeł niż podmiot danych) oraz poinformować, czy dane ze zbioru będą udostępniane innym podmiotom, niż te upoważnione na podstawie przepisów prawa i wskazać odbiorców lub kategorie odbiorców, którym dane mogą być przekazywane. Jeżeli w toku przetwarzania danych dochodzi do ich przekazywania do państwa trzeciego (czyli państwa spoza Europejskiego Obszaru Gospodarczego), należy podać nazwę tego państwa lub państw.

    Ostatnia część zgłoszenia obejmuje opis środków technicznych i organizacyjnych zastosowanych w celu zabezpieczenia danych. W tej części zgłoszenia, administrator musi wyjaśnić, czy przetwarza dane wyłącznie w postaci papierowej czy też wykorzystuje do tego celu system informatyczny, czy zbiór prowadzony jest centralnie czy też w architekturze rozproszonej, a także czy przetwarzanie prowadzone jest w użyciem systemu połączonego z siecią publiczną (np. Internetem). Kolejnym krokiem jest wskazanie, czy został wyznaczony administrator bezpieczeństwa informacji czy też administrator danych działa samodzielnie, a także czy osoby dopuszczone do przetwarzania danych posiadają nadane upoważnienia do przetwarzania danych i czy prowadzona jest ewidencja tych upoważnień. Administrator musi poinformować w zgłoszeniu, czy wdrożył politykę bezpieczeństwa i instrukcję zarządzania systemem informatycznym. A ponadto, administrator musi wykazać zastosowanie:
    •    środków ochrony fizycznej danych (np. przechowywanie zbioru danych w pomieszczeniu zabezpieczonym drzwiami zwykłymi, stosowanie systemu kontroli dostępu, przechowywanie kopii zapasowych w sejfie),
    •    środków sprzętowych infrastruktury informatycznej i telekomunikacyjnej (np. stosowanie mechanizmu wymuszającego okresową zmianę haseł, stosowanie UPS, generatorów prądu lub innych środków ochrony przed skutkami awarii zasilania),
    •    środków ochrony w ramach narzędzi programowych i baz danych (np. środki umożliwiające rejestrowanie zmian wykonywanych na poszczególnych elementach zbioru danych, umożliwienie dostępu do zbioru wyłącznie po uwierzytelnieniu z wykorzystaniem identyfikatora użytkownika oraz hasła, stosowanie wygaszaczy ekranów)
    •     i środków organizacyjnych (np. szkolenia, oświadczenia o poufności).

    Poza poinformowaniem, jakie środki zastosowano w celu zabezpieczenia danych, administrator musi również zadeklarować, czy stosuje zabezpieczenia na poziomie podstawowym, podwyższonym czy wysokim.

    Ostatnim krokiem przy wypełnianiu formularza elektronicznego jest podanie adresu poczty elektronicznej administratora danych. Możliwe jest dołączenie do formularza składanego elektronicznie także innych dokumentów. Jeżeli administrator danych dysponuje kwalifikowanym certyfikatem lub profilem zaufanym ePUAP wniosek może złożyć elektronicznie. Pozostali administratorzy danych, muszą przesłać wydrukowany i prawidłowo podpisany formularz na adres biura GIODO.

    Wypełniając wniosek pamiętać należy, że samo zgłoszenie zbioru nie przesądza o tym, że dane przetwarzane są zgodnie z ustawą. Aby mieć pewność, że stworzony przez nas system ochrony danych osobowych jest skuteczny, należy przede wszystkim zweryfikować, czy zastosowane zostały środki techniczne i organizacyjne adekwatne do zagrożeń, nie zapominając oczywiście o obowiązkach formalnych.

    Post Views: 2 456
    Wróć do listy
    dr Dominik Lubasz

    dr Dominik Lubasz

    • Wspólnik
    • Radca prawny
    Skontaktuj się z autorem

    Jeśli omawiane kwestie dotyczą Państwa sytuacji, prosimy o kontakt bezpośrednio z

    Witold Chomiczewski LL.M
    Napisz mail

    Witold Chomiczewski LL.M

    Wspólnik
    Radca prawny

    witold.chomiczewski@lubasziwspolnicy.pl
    dr Dominik Lubasz
    Napisz mail

    dr Dominik Lubasz

    Wspólnik
    Radca prawny

    dominik.lubasz@lubasziwspolnicy.pl

    Artykuły powiązane

    Kiedy mamy do czynienia z powierzeniem przetwarzania?

    Ustawa o ochronie danych osobowych przewiduje możliwość wykonywania czynności przetwarzania danych samodzielnie przez ich administratora oraz z wykorzystaniem podmiotu trzeciego. Podmiot przetwarzający (zwany także procesorem) uzyskuje dostęp do danych i …

    Więcej

    Polityka bezpieczeństwa danych osobowych

    Do obowiązków administratora danych osobowych należy m.in. prowadzenie dokumentacji opisującej sposób przetwarzania danych osobowych. Zgodnie z przepisami rozporządzenia w sprawie dokumentacji przetwarzania danych oraz warunków technicznych i organizacyjnych, jakim powinny …

    Więcej

    Używamy cookies i podobnych technologii. Uzyskujemy do nich dostęp w celach statystycznych i zapewnienia prawidłowego działania strony. Możesz określić w przeglądarce warunki przechowywania cookies i dostępu do nich. Więcej

    Subscribe to our newsletter

    FreshMail.pl