ADN 42
„Twoje dane – Twoja sprawa” – podsumowanie programu
Kolejna, VIII już edycja programu edukacyjnego GIODO dla szkół „Twoje dane – Twoja sprawa” została oficjalnie zainaugurowana podczas szkolenia, które odbyło się 26 i 27 października 2017 r. w Warszawie.
Zlecenie realizacji świadczeń zdrowotnych – kto jest ADO
Administratorzy danych, którzy chcą zlecić wykonywanie swoich zadań podmiotom zewnętrznym, i wiąże się to z przekazaniem danych osobowych, muszą zawrzeć umowę powierzenia. Może się także zdarzyć, że podmiot zewnętrzny sam pozyska dane osobowe niezbędne do realizacji tego zadania. Dowiedz się, jak rozwiązać taką sytuację w przypadku zlecania realizacji zadań przez szpital.
Zgoda rodziców w imieniu dziecka – jak ją zweryfikować
Ogólne rozporządzenie o ochronie danych stanowi, że zgodę na przetwarzanie danych osobowych dziecka do 16. roku życia w celu korzystania przez nie z usług społeczeństwa informacyjnego wyrażają rodzice lub opiekunowie prawni. Dowiedz się, w jaki sposób administrator będzie mógł zweryfikować, kto wyraził zgodę na przetwarzanie danych osobowych dziecka.
ADN 41
Szpital w Kole naruszył zasady ochrony danych osobowych
Po wycieku danych pacjentów i pracowników, do którego doszło w szpitalu w Kole, Generalny Inspektor Ochrony Danych Osobowych przeprowadził kontrolę w tym podmiocie i wykrył szereg uchybień. Szpital zobowiązał się do ich naprawienia.
Spółka i jej oddziały – kto jest administratorem danych
Mimo że ustawa o ochronie danych osobowych obowiązuje w Polsce już 20 lat, wciąż pojawiają się trudności z odpowiedzią na pytanie, kogo należy uznać za administratora danych. Dowiedz się, czy jednostki organizacyjne spółki – jej oddziały są odrębnymi administratorami danych. Sprawdź, czy na gruncie ogólnego rozporządzenia o ochronie danych sytuacja ta będzie wyglądała inaczej.
Projekt „nowej” uodo – omawiamy najważniejsze zmiany
Sposób wyboru Prezesa Urzędu Ochrony Danych Osobowych i jego zastępców, wprowadzenie rygoru natychmiastowej wykonalności wobec jego decyzji czy brak możliwości zawierania ugody administracyjnej – to jedne z kwestii uregulowanych w projekcie ustawy o ochronie danych osobowych, które spotkały się z krytyką. Dowiedz się, jakie inne ważne zmiany ma wprowadzić nowa ustawa.
ADN 40
Przejrzysta komunikacja z podmiotem danych obowiązkiem ADO
Przejrzysta komunikacja z podmiotem danych dla wielu administratorów będzie dużym wyzwaniem związanym z wdrożeniem przepisów ogólnego rozporządzenia o ochronie danych. Do tej pory większość podmiotów skupiała się na realizacji obowiązków informacyjnych przede wszystkim od strony formalnej. Pamiętaj, że naruszając zasadę przejrzystości komunikacji, narażasz się na karę finansową.
Ogólne rozporządzenie – co z dotychczasową dokumentacją
Ogólne rozporządzenie o ochronie danych, w przeciwieństwie do aktualnych polskich przepisów, nie wskazuje, jaką konkretną dokumentację ochrony danych osobowych trzeba będzie prowadzić. Nie oznacza to jednak, że obowiązki dokumentacyjne znikną. Sprawdź, czy wciąż będzie można prowadzić aktualną dokumentację i jakie nowe dokumenty warto przygotować.
ADN 39
„Co wiemy o ochronie danych” – podsumowanie badania
Fundacja Wiedza To Bezpieczeństwo przeprowadziła badanie, w którym zapytała ponad 1300 ankietowanych m.in. o to, jak osoby te chronią dane osobowe, jak postrzegają zagrożenia dla danych osobowych czy jak zachowują się w przypadku naruszenia prawa do ochrony danych osobowych.
Usuwanie danych czy nośników z danymi – czym się różnią
Przetwarzanie danych osobowych nie polega wyłącznie na pobieraniu zgód czy powierzaniu przetwarzania danych innym podmiotom. Również usuwanie przetwarzanych danych osobowych, na przykład poprzez niszczenie nośników z danymi, stanowi zagadnienie istotne zarówno pod względem prawnym, jak i technicznym. Dowiedz się, co zrobić, by bezpiecznie usunąć dan osobowe.
TSUE zablokował umowę o przekazywaniu danych PNR do Kanady
W swojej opinii z 26 lipca 2017 r. (opinia 1/15) Trybunał Sprawiedliwości Unii Europejskiej stwierdził, że umowa między UE a Kanadą w sprawie przekazywania i przetwarzania danych pasażerów nie spełnia wymogów wynikających z praw podstawowych Unii Europejskiej. Umowa ta nie może więc wejść w życie, chyba że zostanie zmieniona.
ADN 38
Poznaj najnowszą opinię Grupy Roboczej Art. 29
Grupa Robocza Art. 29 zrzeszająca europejskie organy ochrony danych osobowych wydała opinię (2/2017) w sprawie przetwarzania danych w związku z zatrudnieniem. Analizuje w niej m.in. zagrożenia, jakie wynikają z przetwarzania danych osobowych pracowników za pomocą nowych technologii.
Podmiot przetwarzający – jakie obowiązki ma zgodnie z rodo
Ogólne rozporządzenie o ochronie danych wprowadza dość rygorystyczne wymogi dotyczące podmiotów, którym powierza się przetwarzanie danych osobowych. Muszą one m.in. stosować odpowiednie środki organizacyjne i techniczne zabezpieczające dane osobowe, a także wspomagać administratora w wypełnianiu jego obowiązków. Sprawdź, jakie inne obowiązki będą mieli procesorzy zgodnie z ogólnym rozporządzeniem i jaka będzie dotyczyła ich odpowiedzialność.
SDN 09
Zgoda według rodo – wytyczne brytyjskie
Brytyjski organ ochrony danych (Komisarz ds. Informacji – Information Commissioner) wydał wstępną wersję wersję wytycznych dotyczących wymogów co do zgody na podstawie rodo. Organ ten stwierdził między innymi, że warunkiem ważności zgody jest poinformowanie osoby wyrażającej zgodę – w momencie jej wyrażania – o możliwości odwołania zgody w każdym momencie. Brytyjski komisarz zaleca także regularne „odświeżanie”, tj. pytanie o potwierdzenie uprzednio wyrażonej zgody na przetwarzanie danych w konkretnym celu.
Rok do RODO – wskazówki GIODO
Generalny Inspektor Ochrony Danych Osobowych opublikował na swojej stronie internetowej wskazówki dotyczące wdrożenia ogólnego rozporządzenia o ochronie danych (rodo). Mają one pomóc administratorom i podmiotom przetwarzającym ocenić swoją gotowość do rozpoczęcia stosowania ogólnego rozporządzenia o ochronie danych, co ma nastąpić pod koniec maja przyszłego roku.
Prawo do bycia zapomnianym kolejny raz przed TSUE
Francuska Rada Stanu zwróciła się do Trybunału Sprawiedliwości Unii Europejskiej o wyjaśnienie kolejnych wątpliwości związanych ze stosowaniem prawa do bycia zapomnianym, w tym w szczególności w odniesieniu do danych wrażliwych. TSUE będzie musiał rozważyć m.in. obowiązki spoczywające na operatorze wyszukiwarki internetowej, w przypadku gdy dane wrażliwe są zawarte w artykule prasowym lub gdy opublikowane treści są nieprawdziwe lub niekompletne.
ADN 37
Udostępnienie danych z karty pojazdu – co ze zgodą
Jednym ze sposobów przetwarzania danych osobowych jest ich udostępnianie. Aby działanie to było legalne, musi odbywać się na odpowiedniej podstawie prawnej. Nie zawsze musi to być zgoda. Sprawdź, jaką podstawę prawną zastosować przy udostępnianiu danych osobowych właściciela samochodu przez salon samochodowy.
Pracownicze nieobecności a dane osobowe – ile można?
Dzięki liście obecności pracodawca może sprawdzić, czy pracownik jest obecny w pracy. Trzeba jednak pamiętać, że takie listy zawierają dane osobowe, w tym dane osobowe wrażliwe, jeśli na liście jest umieszczona informacja, że pracownik przebywa na zwolnieniu lekarskim. Czy umieszczanie takich informacji jest zgodne z przepisami? Poznaj odpowiedź na to pytanie.
ADN 36
Wnioski GIODO po kontroli w starostwach powiatowych
Starostwa powiatowe nie powinny każdemu udostępniać numerów ksiąg wieczystych – informuje GIODO przeprowadzeniu kontroli w wybranych starostwach powiatowych. Udostępnianie każdemu, kto wystąpi o taką informację numerów ksiąg wieczystych, które są danymi osobowymi, to główny zarzut organu.
W jaki sposób zgłosić odwołanie ABI do GIODO
W pewnych sytuacjach administrator danych może zdecydować się na odwołanie administratora bezpieczeństwa informacji. Trzeba to zgłosić Generalnemu Inspektorowi Ochrony Danych Osobowych. Sprawdź, jak poprawnie wypełnić wniosek zgłoszenia odwołania ABI do GIODO. Dowiedz się, jak uniknąć błędów formalnych, przez które GIODO może odmówić uwzględnienia wniosku.
ADN 35
Zgoda w ogólnym rozporządzeniu – czy będzie łatwiej
Tak jak w aktualnie obowiązujących przepisach, również po rozpoczęciu stosowania ogólnego rozporządzenia o ochronie danych zgoda osoby fizycznej będzie wystarczającą podstawą prawną do przetwarzania jej danych osobowych. Ustawodawca unijny rozszerzył jednak jej definicję. Sprawdź, jak zgodnie z ogólnym rozporządzeniem rozumieć zgodę na przetwarzanie danych osobowych.
Wnioski GIODO po kontrolach w kancelariach prawnych
Generalny Inspektor Ochrony Danych Osobowych przeprowadził kontrole sektorowe w kanelariach prawnych. Główne zarzuty to nieodpowiednie zabezpieczenie danych, brak niezbędnych elementów dokumentacji przetwarzania danych, a także niezawieranie stosownych umów z podmiotami, którym powierzono przetwarzanie danych osobowych.
Operatorzy telekomunikacyjni nie mogą kopiować dowodów
Przy zawieraniu umów z operatorami telekomunikacyjnymi dochodzi do kopiowania dokumentów potwierdzających tożsamość i pozyskiwania nadmiernych danych osobowych – wynika z kontroli GIODO.
SDN 8
Prawo do bycia zapomnianym a dane z publicznych rejestrów
Trybunał Sprawiedliwości Unii Europejskiej w wyroku z 9 marca 2017 r. uznał, że nie istnieje prawo do bycia zapomnianym w odniesieniu do danych osobowych zawartych w publicznych rejestrach spółek. Niemniej jednak po upływie wystarczająco długiego czasu od rozwiązania danej spółki, państwa członkowskie mogą przewidzieć w wyjątkowych przypadkach ograniczenie dostępu osób trzecich do takich danych.
Poznaj wytyczne w sprawie oceny skutków dla ochrony danych
W wytycznych w sprawie oceny skutków dla ochrony danych Grupa Robocza Art. 29 tłumaczy, m.in. kiedy przetwarzanie może powodować wysokie ryzyko naruszenia praw i wolności podmiotów danych, co z kolei powoduje konieczność przeprowadzenia oceny skutków dla ochrony danych. Grupa Robocza Art. 29 wyjaśnia też, w jaki sposób ocena skutków powinna być przeprowadzana.
ADN 34
Zlecenie zniszczenia dokumentów z danymi to powierzenie
Przekazując dokumenty zawierające dane osobowe firmie zewnętrznej, która ma je zniszczyć, administrator danych powierza przetwarzanie danych osobowych. W związku z tym należy podpisać umowę powierzenia przetwarzania danych lub w umowie ogólnej zawrzeć postanowienia dotyczące powierzenia danych. Sprawdź, co trzeba uregulować w umowie i jak mogą wyglądać przykładowe postanowienia umowne.
Wskazówki GIODO w sprawie stosowania monitoringu w szkołach
Polskie przepisy nie regulują kwestii stosowania monitoringu wizyjnego, jest on jednak często wykorzystywany m.in. w szkołach. Generalny Inspektor Ochrony Danych Osobowych wydał zestaw wskazówek, które mają pomóc placówkom oświatowym stosować monitoring zgodnie z prawem.
Pracownik zgubił nośnik z danymi – co musi zrobić ABI
Zgubienie nośnika pamięci, na którym są zapisane dane osobowe, to incydent ochrony danych osobowych. Jeśli do niego dojdzie, administrator bezpieczeństwa informacji musi zareagować. Sprawdź, jakie pięć kroków musi podjąć ABI, gdy dojdzie do incydentu ochrony danych.
ADN 33
Zgoda abonenta w jednym państwie działa w całej UE
Abonenci telefoniczni nie muszą wyrażać odrębnej zgody na udostępnienie ich danych firmie z innego państwa członkowskiego, która prowadzi spis abonentów – orzekł Trybunał Sprawiedliwości Unii Europejskiej w wyroku z 15 marca 2017 r.
Prawo do bycia zapomnianym danych z publicznych rejestrów
W odniesieniu do danych osobowych, które znajdują się w rejestrach publicznych, nie obowiązuje prawo do bycia zapomnianym – orzekł Trybunał Sprawiedliwości Unii Europejskiej w wyroku z 9 marca 2017 r.
ADN 32
Sklepy i przychodnie muszą spodziewać się kontroli GIODO
Generalny Inspektor Ochrony Danych Osobowych zapowiedział, że w 2017 roku przeprowadzi kontrole m.in. w sklepach stacjonarnych, przychodniach i poradniach lekarskich, zarówno publicznych, jak i niepublicznych.
SABI krytykuje pomysły GIODO w sprawie inspektorów
21 lutego 2017 r. odbyło się spotkanie Stowarzyszenia Administratorów Bezpieczeństwa Informacji (SABI) z przedstawicielami Ministerstwa Cyfryzacji w sprawie przedstawionego przez GIODO projektu nowej ustawy, która uzupełni unijne rozporządzenie ogólne o ochronie danych osobowych.
SDN 7
Na czym polega prawo do przenoszenia danych
Grupa Robocza Art. 29 w swoich wytycznych odniosła się do kwestii prawa do przenoszenia danych. Tłumaczy w nich, m.in. jakie elementy składają się na to prawo, jak odnosi się ono do innych uprawnień podmiotów danych i jak powinno być realizowane. Jest to zestaw cennych wskazówek dla administratorów.
ADN 31
Sprawozdanie do GIODO? Tylko ze sprawdzenia dla organu
Generalny Inspektor Ochrony Danych Osobowych przypomina, że sprawozdań ze sprawdzeń planowych i doraźnych nie trzeba do niego przekazywać.
RPO w sprawie monitoringu w placówkach służby zdrowia
Do Rzecznika Praw Obywatelskich wpływają pisma od organów samorządu lekarskiego, które poruszają problem legalności stosowania monitoringu wizyjnego w miejscach udzielania świadczeń zdrowotnych, w szczególności na szpitalnych oddziałach ratunkowych.
ADN 30
TSUE: Masowe zatrzymywanie danych niezgodne z prawem UE
Trybunał Sprawiedliwości Unii Europejskiej uznał, że państwa członkowskie nie mogą nakładać na operatorów telekomunikacyjnych ogólnego obowiązku zatrzymywania danych. Zdaniem Trybunału taka możliwość istnieje tylko w przypadku, gdy dane są zbierane do celów walki z poważną przestępczością.
RPO: Przepisy o profilowaniu bezrobotnych do TK
Przepisy dotyczące profilowania osób bezrobotnych są niezgodne z konstytucją – twierdzi Rzecznik Praw Obywatelskich i kieruje je do Trybunału Konstytucyjnego. RPO podkreśla, że profilowanie to przetwarzanie danych, dlatego jego zasady muszą zostać uregulowane w ustawie, a nie w rozporządzeniu.
RODO – zmiany zaplanuj już dziś. Od czego zacząć w bankach
Już za niecałe półtora roku zacznie obowiązywać ogólne rozporządzenie o ochronie danych osobowych. Jest to czas na przygotowanie się do zmian, jakie czekają wszystkie podmioty, które przetwarzają dane osobowe. Dowiedz się, jak te przygotowania powinny wyglądać w przypadku banków.
SDN 6
Whistleblowing a ochrona danych osobowych – teraz i w rodo
Whistleblowing, czyli zgłaszanie naruszeń, wiąże się z przetwarzaniem danych osobowych – osób zgłaszających i tych, które dopuściły się naruszeń. Na jakiej podstawie prawnej można przetwarzać te dane? Czy wobec tych osób trzeba zrealizować obowiązek informacyjny? Sprawdź, co w tej kwestii zmieni ogólne rozporządzenie o ochronie danych.
ADN 29
Upoważnienia do przetwarzania danych – gdzie przechowywać
Przepisy nie odnoszą się wprost do kwestii upoważnień. Nie ma oficjalnego wzoru tego dokumentu, przepisy nie wskazują, jaki powinno mieć zakres i gdzie należy je przechowywać. Jeden egzemplarz trzeba przekazać pracownikowi, a gdzie zamieścić drugi, który zostaje u administratora danych? Sprawdź, co radzi nasz ekspert.