Witaj na blogu dane-osobowe.info

Tutaj oswajamy dane osobowe w praktyce.

 

Podpowiadamy jak rozumieć i właściwie stosować prawo ochrony danych osobowych.

RODO da się oswoić

Rozporządzenie ogólne o ochronie danych poznaję codziennie, pracuję z nim od paru miesięcy i coraz bardziej się nim zachwycam – serio! Jest świetne! Oswój je!

czytaj dalej

Powołaj Inspektora ochrony danych

Nie ryzykuj – zaufaj specjalistom

 

Poznaj ofertę

Skontaktuj się z nami

14 + 3 =

Informujemy, że administratorem danych osobowych wskazanych w powyższym formularzu jest Monika Gierada-Sołtysek, prowadząca działalność gospodarczą o nazwie Dane-osobowe.info, z siedzibą w Gdańsku Państwa dane osobowe będą przetwarzane  w celu udzielenia odpowiedzi na przesłane zapytanie. Mają Państwo prawo dostępu do swoich danych, do ich poprawiania a także do zażądania ich usunięcia jeżeli dalsze ich przetwarzanie odbywa się z naruszeniem Rozporządzenia ogólnego o ochronie danych lub sprostowania jeżeli dane są nieprawidłowe. W przypadku gdy zachodzi podejrzenie, że dane przetwarzane są z naruszeniem prawa, magą Państwo prawo złożyć skargę do organu nadzorczego (GIODO). Dane będą przetwarzane do czasu zrealizowania celu do którego zostały zebrane.

Zgody na przetwarzanie danych osobowych? Wydaje się, że to nic trudnego – czy jednak na pewno?!  Sprawdź czy wiesz wszystko.

Warunki wyrażenia zgody – Ustawa o ochronie danych osobowych.

Ustawa o ochronie danych osobowych wymagała aby:

  • zgoda nie była domniemana lub dorozumiana – klauzula musiała być wyodrębniona i widoczna, nie mogła być np. wtopiona w treść regulaminu,
  • zgoda musiała być aktem woli np. poprzez zaznaczenie checkboxa,
  • zgoda musiała być wydana dobrowolnie
  • wycofanie zgody było możliwe w dowolnym momencie
  • do realizacji każdego celu pobrać odrębną zgodę.

Warunki wyrażenia zgody – RODO

Klauzula – nie tylko!

RODO mniej restrykcyjnie podchodzi do wymogu publikowania klauzul zgód – wskazuje, że zgoda ma być okazaniem woli i może polegać na wyraźnym działaniu potwierdzającym przyzwolenie na przetwarzanie danych osobowych.

Tłumacząc wprost: od 25.05.2018 zgoda nie musi być w postaci klauzuli np. jeżeli osoba zostanie poinformowana, że wpisanie adresu email w pole newsletter będzie jednoznaczne z wydaniem zgody na przetwarzanie jej danych w celu przesyłania newslettera to już samo wpisanie tego adresu będzie jednoznaczne z wydaniem zgody.

Zasady od Maja 2018 roku.

Z drugiej strony RODO wymaga, aby:

  • zgoda była formułowana jasnym i prostym językiem i wskazywała jasno cel przetwarzania danych osobowych,
  • dla każdej z kilku różnych operacji przetwarzania danych lub dla każdego z różnych celów przetwarzania danych należy pobrać odrębną zgodę
  • zgoda pobierana w pisemnym oświadczeniu, które dotyczy także innych kwestii – np. w umowie – musi się od tych pozostałych kwestii wyraźnie odróżniać – to powielenie wymogu znanego już z Ustawy.
  • wycofanie zgody było równie łatwe jak jej wydanie a o możliwości wycofania zgody należy poinformować osobę zanim taką zgodę wyda,
  • zgoda była dobrowolna np. nie można uzależniać od wydania zgody wykonania umowy, nie można ją także uznać za dobrowolną jeżeli zachodzi brak równowagi między osobą a administratorem np. administrator jest organem publicznym.
  • zgoda będzie uznana za ważną tylko wtedy, kiedy osoba która ją wydała jest w stanie zidentyfikować administratora danych osobowych przed jej wydaniem.

Wydanie zgody przez dziecko – przypadek szczególny.

Jeżeli kierujesz swoje usługi do dzieci w wieku poniżej 13 roku życia, to od przyszłego roku musisz mieć możliwość wykazania, że zgody na przetwarzanie ich danych osobowych pobierasz od osób sprawujących władzę rodzicielską bądź opiekę nad dzieckiem a przynajmniej że te osoby wiedzą i akceptują wydanie zgody.

W przypadku, gdy usługi kierujesz do dzieci powyżej 13 roku życia – zgodę będziesz musiał sformułować w sposób dla nich zrozumiały.

Co ze zgodami pobranymi przed RODO.

Jeżeli zgody pobrane przed 25.05.2018 spełniają wszystkie wymagania stawiane przez RODO – pozostają ważne. Natomiast zgody, które były wydane niezgodnie z wymaganiami RODO automatycznie tracą ważność. Taką niezgodnością może być np. wymuszanie zgód poprzez domyślne zaznaczenie checkboxa.

Koniec darmowych skrzynek? – dane osobowe zamiast opłaty.

W świetle RODO pod znakiem zapytania stoi tzw. Barter czyli obowiązkowe wydanie zgody na przetwarzanie danych osobowych w zamian za jakąś korzyść np. darmowe konto email. Jakby nie było taką zgodę w świetle RODO można uznać za niedobrowolną.
Dziś jeszcze nie wiadomo czy będzie można utrzymać zasadę barteru, na pewno postępując ostrożnie należy przygotować alternatywę: albo opłata walutą albo opłata danymi osobowymi.

Moim zdaniem jednak barter będzie akceptowany, zwłaszcza że w treści Europejskiego Kodeksu Łączności elektronicznej, zostało wskazane, że: Aby wejść w zakres definicji usługi łączności elektronicznej, usługa zazwyczaj musi być świadczona w zamian za wynagrodzenie. W gospodarce cyfrowej uczestnicy rynku coraz częściej uznają, że informacje o użytkownikach mają wartość pieniężną. Usługi łączności elektronicznej są często świadczone w zamian za świadczenie wzajemne inne niż pieniężne, np. udostępnienie danych osobowych lub innych danych. Pojęcie wynagrodzenia powinno zatem obejmować sytuacje, gdy usługodawca prosi o dane osobowe, a użytkownik końcowy aktywnie, pośrednio lub bezpośrednio, udostępnia usługodawcy takie dane, jak nazwisko lub adres e-mail (Motyw 16) a Kodeks ten należy bez wątpienia uznać za uzupełniający europejskie przepisy związane z ochroną danych osobowych.

Zgody na przetwarzanie danych osobowych – to nie wszystko.

Przetwarzając dane osobowe do własnych celów biznesowych nie możesz zapominać o innych aktach prawnych poza prawem ochrony danych osobowych. Kwestie dotyczące marketingu są regulowane także  przez Ustawę o świadczeniu usług drogą elektroniczną i Prawo Telekomunikacyjne. Obie Ustawy bardzo ograniczają możliwość prowadzenia marketingu bezpośredniego kanałami komunikacji telefonicznej i elektronicznej – na takie działania także potrzebna jest zgoda.

 

Każdy zbiera zgody na przetwarzanie danych osobowych, a jak nie zbiera to od razu larum, że nie zbiera – o Matko! Tymczasem zgoda nie zawsze jest potrzebna.

Czy wiesz że Ustawa o ochronie danych osobowych i Rozporządzenie ogólne o ochronie danych przewidziały AŻ 5 (Ustawa o ochronie danych osobowych) i AŻ 6 (RODO) przesłanek, które pozwalają przetwarzać dane osobowe (te zwykłe, nie wrażliwe)?

Czy wiesz, że zbieranie zgód na przetwarzanie danych osobowych nie zawsze jest możliwe i korzystne? O tym za chwile.

Pięć sytuacji, w których można przetwarzać dane osobowe.

  1. Za zgodą osoby, której dane dotyczą.
  2. Przetwarzanie danych osobowych w celu realizacji umowy zawartej z osobą, której dane dotyczą.
  3. Konieczność przetwarzania wynika z obowiązku prawnego.
  4. Przetwarzanie danych osobowych jest niezbędne do wykonania zadania realizowanego dla dobra publicznego.
  5. Przetwarzanie jest konieczne do realizacji prawnie usprawiedliwionego celu administratora lub podmiotu trzeciego, z zastrzeżeniem że nadrzędny charakter wobec tych interesów mają interesy oraz prawa i wolności osoby, której dane dotyczą.
  6. Przetwarzanie danych jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą lub innej osoby fizycznej (nowość w RODO).

Uwaga! Dane osobowe możemy przetwarzać do celów osobistych bez powyższych ograniczeń. Ochronie prawnej nie podlegają także dane osób zmarłych i dane przedsiębiorców w zakresie publikowanym w CEiDG.

Zgoda na przetwarzanie danych osobowych – pułapka.

Zgoda na przetwarzanie danych osobowych obowiązuje do momentu jej odwołania lub zrealizowania celu na jaki została wydana.  Tutaj pojawia się pierwszy problem: jeżeli pobierzemy zgodę na przetwarzanie danych do celów realizacji umowy a do realizacji umowy będzie konieczne przetwarzanie danych osobowych to wycofanie zgodny będzie całkowicie uniemożliwiało wypełnienie zobowiązań umownych. Z drugiej strony aby dochować zgodności z prawem, takie wycofanie zgodny musimy zaakceptować.  Jaki z tego wniosek? Jeżeli przetwarzasz dane osobowe do realizacji umowy, nie pobieraj zgodny na ich przetwarzanie w tym celu.

Zgodę na przetwarzanie danych osobowych pobieraj tylko wtedy, gdy nie możesz skorzystać z innej możliwości prawnej. Zgodę na przetwarzanie danych osobowych należy pobierać zwłaszcza jeżeli dane chcemy przetwarzać do celów marketingowych.

Jakie dane osobowe do umowy a jakie za zgodą.

Do celów ukształtowania, zawarcia i realizacji umowy możesz przetwarzać tylko takie dane osobowe, które są NIEZBĘDNE do realizacji tych celów i musisz mieć możliwość wykazania tej “niezbędności”. Jeżeli potrzebujesz jakieś dane osobowe ponad te, które są wymagane do umowy to na przetwarzanie takich danych musisz znaleźć inną przesłankę i tu najczęściej będzie to zgoda.

Np. Klient aby dokonać zakupu w sklepie internetowym musi podać: imię, nazwisko, adres dostawy, numer telefonu (jeżeli tego wymaga kurier) i na przetwarzanie tych danych nie będzie potrzebna zgoda (to wynika z treści umowy czy regulaminu), natomiast oprócz realizacji umowy i niezależnie od niej Klient może przystąpić do newslettera i w takiej sytuacji na przetwarzanie adresu email klienta w celu wysłania newslettera jest już potrzebna zgoda.

Jak oswoić Rozporządzenie ogólne o ochronie danych – ABI z Gdańska radzi

Do Ustawy o ochronie danych podchodziłam ostatnio bardzo krytycznie tymczasem Rozporządzenie ogólne o ochronie danych po prostu jest dobre i to w dodatku dla każdego rodzaju biznesu: dużego, małego, mikro, dla usług i produkcji. Dlaczego – o tym poniżej.

Od lat wspieram firmy z województwa pomorskiego w realizacji procedur ochrony danych osobowych. Miałam kilkukrotnie możliwość relokować się do stolicy ale Gdańsk, Gdynię, Sopot – lasy, morze i nawet ciepłe zimy zbyt kocham aby się wyprowadzić w szum, zgiełk i wieczny pośpiech. W Trójmieście jest co robić, w Trójmieście i w pomorskim są firmy dla których chce i mogę pracować jako administrator bezpieczeństwa informacji czy  – za chwilę – inspektor ochrony danych osobowych.  Trójmiasto to najwspanialsze miejsce do życia w Polsce i dlatego tutaj analizuję Rozporządzenie ogólne o ochronie danych.

 Czas zakasać rękawy – morza szum, ptaków śpiew i Rozporządzenie ogólne przed nami.

Rozporządzenie ogólne o ochronie danych (RODO) walczy z prowizorką i pozerstwem. Kończy się era kupowania gotowych dokumentacji i pisania procedur na zasadzie „sztuka dla sztuki”.

 

  • Zmieniamy podejście – analiza ryzyka i zaufanie do przedsiębiorców zamiast sztywnych wytycznych.

Dotychczas Ustawa o ochronie danych wymagała konkretów: antywirusów, złożonych haseł, dokumentacji, Rozporządzenie opiera się w całości na analizie ryzyka – analiza ryzyka ma być przeprowadzona i udokumentowana – na jej podstawie mają być wybrane i wdrożone zabezpieczenia odpowiednie do istniejących zagrożeń.  Skuteczność środków bezpieczeństwa ma być monitorowana a same środki doskonalone. Mikroprzedsiębiorstwa będą więc miały mniej pracy – dużą część odpowiedzialności przerzucą na firmy świadczące usługi w outsourcingu, inni – zależnie od skali i sposobu działania

  • Kary finansowe dla tych którzy zawiodą, rozczarują, obchodzą przepisy.

Surowo karze nadużycia tego zaufania: Administrator danych ma obowiązek rozliczyć się czyli UDOKUMENTOWAĆ swoją zgodność z Rozporządzeniem ogólnym o ochronie danych osobowych. Jeżeli Administrator nie  będzie w stanie tego zrobić – czekają go konsekwencje prawne, z czego najbardziej zastraszające są kary finansowe: maksymalnie do 20 mln euro lub 4% rocznego światowego obrotu przedsiębiorstwa, w zależności co większe.

  • Duża dowolność dokumentacji (choć nie całkowitą)

W bardzo ograniczonym zakresie wskazuje na konkretną dokumentację a ilość wymaganych dokumentów zależy od skali przetwarzania danych osobowych, ryzyka i wielkości przedsiębiorstwa (rys. 1)

  • Jawne naruszenia

Od 25.05.2018 należy zgłaszać do GIODO (a być może w przyszłości Urzędu Ochrony Danych Osobowych – UODO) wszystkie naruszenia bezpieczeństwa danych osobowych.

  • Budowa świadomości zamiast martwych procedur.

Wdrożenie procedur: prowadzenie szkoleń czy instruktaży będzie konieczne.

  • Jest kogo zapytać.
  1. wspierać i doradzać lokalnie ma Inspektor ochrony danych – on ma działać skutecznie, nie może być tylko zdalnie, kontakt ma być łatwy a Inspektor musi znać organizację i prawo branży, w której ona działa. Inspektor ma być niezależny.
  2. Wsparcie GIODO – GIODO lub Urząd Ochrony Danych Osobowych (taka nazwa pojawiła się w nowym projekcie ustawy o ochronie danych osobowych) ma doradzać, szerzyć dobre praktyki, budować świadomość i wspierać przedsiębiorców, choć także kontrolować.
  3. Wspierać mają także akredytowane przez GIODO (UODO) komercyjne jednostki certyfikacyjne – tak tak, na zgodność z RODO będzie można przeprowadzić certyfikację, którą będzie można zaprezentować w materiałach reklamowych.
  • Procesor – podmiot przetwarzający – odpowiada na równi z Administratorem.

Obowiązki Procesora, czyli podmiotu świadczącego usługi w modelu outsorucingu, będą zrównane z obowiązkami Administratora danych -> koniec z brakiem odpowiedzialności i umowami powierzenia zawieranymi ze względów marketingowo- rynkowych! Jeżeli powierzamy komuś dane do przetwarzania będzie on musiał NAPRAWDĘ je zabezpieczyć. Z drugiej strony RODO nie wymaga umów powierzenia w postaci pisemnej – to spore ułatwienie.

  • Rejestracja zbiorów odchodzi w zapomnienie.

Będziemy rejestrować Inspektorów ochrony danych i będziemy rejestrować naruszenia.

  • Więcej praw zyskują osoby, których dane dotyczą.

O tym należy napisać więcej i wkrótce na blogu pojawi się stosowny wpis.

  • Jednolite prawo na terenie Unii Europejskiej

Działa w takim samym brzmieniu na terenie Unii Europejskiej a także poza nią, jeżeli usługi lub produkty są oferowane ludziom zamieszkałym na terenie Unii Europejskiej.

  •  Privacy by design i Privacy by default.

Ochrona prywatności ma być brana pod uwaga na etapie projektowania rozwiązań (systemów, technologii, oprogramowania, procedur) a potem użytkownik ma mieć aktywny domyślnie najwyższy poziom ochrony prywatności.

  • Szczególnie chroni dane dzieci.

Jak widać zatem morze pracy przed biznesem ale to dobra praca a nie wtłaczanie na siłę sztywnych wymagań.

Inaczej wdrożenie będzie wyglądało u osoby prowadzącej mały e-sklep a inaczej w firmie świadczącej np. usługi przetwarzania danych w chmurze i to jest dobre. Zabezpieczać dane powinni wszyscy ale lepiej i skuteczniej muszą to robić te firmy, które przetwarzają je w dużej ilości lub które przetwarzają dane wrażliwe tzw. Szczególnych kategorii.

Ja się  cieszę.. Lubię być ABI w firmach, w których podejście do bezpieczeństwa jest rzeczą ważną, lubię pracować rzetelnie i  z sensem, lubię szkolić, doradzać, audytować –  sądzę, że RODO sprawi, że miejsc do wykonywania takiej pracy będzie coraz więcej zatem powód do radości jest. Do dzieła!

Od czego zacząć…. Pomyślałam. I zdałam sobie sprawę, że każdy kto siada do pisania bloga stoi przed tym samym wyzwaniem.
Standard: najpierw opisać co , jak i po co więc – dobrze – opiszę.
Nie jest to blog parentingowy, nie chcę dawać dobrych rad rodzicom – nie mam patentu na wychowanie choć jestem matką, czytam, edukuje się i wyciągam wnioski ale każdy jest najlepszym rodzicem jakim być potrafi a ze mnie żaden autorytet 
Nie napiszę o kuchni – mam wrażenie, że tutaj raczkuję – dopiero uczę się gotować, uczę się smaków i walczę z zasobnością portfela żeby od czasu do czasu pozwolić sobie na super frykas albo jego przyrządzenie dla mojej rodziny.
Jednak chcę pomóc i pomagać, służyć wiedzą i się rozwijać więc mogę Wam pisać, pisać i pisać o tym, na czym się znam, z czego od lat żyję i co staje się coraz popularniejszym tematem: ochrona danych osobowych.
Tutaj – części „po godzinach” znajdziecie porady, refleksje, tipy, materiały do ściągnięcia. Od perspektywy rodzica po perspektywę przedsiębiorcy.
W części wpisów – “biznes” – pojawią się wyjaśnienia i tipy w zakresie stosowania Rozporządzenia ogólnego o ochronie danych osobowych.
Zapraszam!