Autor: Biuro DLS
Materiały dla słuchaczy studiów podyplomowych (E4Z2)
Serdecznie dziękuję za udział w moich wykładach na studiach podyplomowych z ODO przeprowadzonych na UMCS. Poniżej znajdują się linki do prezentacji z moich wykładów. Archiwum zabezpieczone jest tym samym hasłem, które podałem Państwu na wykładach. Materiały:
Zapraszam również do zapisania się na nasz newsletter: RODO Informator
Pierwsza w Polsce kara (1 mln zł) za naruszenie RODO!
Po ponad 10 miesiącach od rozpoczęcia stosowania RODO dowiadujemy się o pierwszej nałożonej przez polski organ nadzoru karze za naruszenie postanowień RODO.
W dniu 15 marca br. Prezes Urzędu Ochrony Danych Osobowych nałożył pierwszą pieniężną karę administracyjną w wysokości ponad 943 tyś zł. (€ 220.000). Powodem nałożenia kary było świadome niedopełnienie przez administratora danych obowiązku informacyjnego w stosunku do osób fizycznych prowadzących jednoosobową działalność gospodarczą pozyskanych z publicznie dostępnych rejestrów.
Warszawska spółka pozyskała dane osobowe ok. 6 mln osób ze źródeł powszechnie dostępnych, takich jak np. CEIDG, REGON. W stosunku do 90 tyś. osób spółka posiadała m.in. dane kontaktowe (adres, numer telefonu)- osoby te zostały poinformowane o przetwarzaniu ich danych osobowych.
W stosunku do reszty osób, których spółka nie posiadała tych danych (a tylko adres korespondencyjny), spółka podjęta decyzję o nie przesyłaniu obowiązku informacyjnego określonego przez art. 14 RODO bezpośrednio do osób, a spełnienie go poprzez komunikat na stronie internetowej firmy. Spółka powołuje się przy tym na wyłączenie określone w art. 14 ust. 5 pkt b) RODO zgodnie z którym obowiązek informacyjny może być niewykonany, jeżeli jego wykonanie jest niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku.
Zdaniem organu w tym przypadku spółka nie może się powoływać na to wyłączenie, ponieważ miała możliwość kontaktu z tymi osobami np. poprzez przesłanie im listu, którego przesłanie do ok. 5 mln osób mogło kosztować spółkę nawet do 30 mln złotych. Nadmierny koszt nie stanowił również okoliczności łagodzącej przy nałożeniu kary. Dodatkowo spółka został zobowiązana do spełnienia obowiązku w stosunku do osób, które nie zostały wcześniej poinformowane.
Na tak wysoką karę złożyło się również to, że spółka podjęła świadomą decyzję o niespełnieniu obowiązku informacyjnego. Prezes UODO zwrócił przy tym uwagę na to, że kara miała być na tyle wysoka, by ukarany nie wkalkulował jej w koszty swojej działalności. W obecnej chwili spółka ma możliwość odwołania się od decyzji PUODO do Wojewódzkiego Sądu Administracyjnego, co też zapewne zrobi.
Materiały dla słuchaczy studiów podyplomowych (E4Z1)
Serdecznie dziękuję za udział w moich wykładach na studiach podyplomowych z ODO przeprowadzonych na UMCS. Poniżej znajdują się linki do prezentacji z moich wykładów. Archiwum zabezpieczone jest tym samym hasłem, które podałem Państwu na wykładach. Materiały:
E04Z01 17032019 Studia podyplomowe UMCS
Zapraszam również do zapisania się na nasz newsletter: RODO Informator
IOD w stanie konfliktu interesów? Kiedy jest to możliwe?
RODO w art. 38 ust. 6 daje IOD możliwość wykonywania innych zadań i obowiązków niż te, które zostały określone w art. 37 RODO. Obowiązki te jednak nie mogą prowadzić do konfliktu interesów. Konflikt interesów to sytuacja, w której IOD zajmowałby stanowisko, umożliwiające mu określanie sposobów i celów przetwarzania danych co mogłoby wykluczać jego niezależność,a także wymagać stawiania celów biznesowych ponad prawa…
Przeczytaj więcej tutaj: IOD w stanie konfliktu interesów? Kiedy jest to możliwe?
Artykuł pojawił się pierwszy raz na stronie Skuteczny IOD. Blog o byciu skutecznym IOD.
eLearningRODO.pl nowy sklep ze szkoleniami z RODO
Z własnego doświadczenia wiemy, że przy wdrożeniu i stosowaniu RODO jedną z najważniejszych rzeczy jest odpowiednie budowanie świadomości pracowników z zakresie ochrony danych osobowych. Najlepszą formą w tym zakresie są szkolenia stacjonarne z RODO. Nie da się ich przecenić w ich zakresie możliwości zadawania pytań przez uczestników i na bieżąco rozwiewania wątpliwości w tym zakresie. Nie zawsze jest jednak możliwe przeprowadzenie szkolenia stacjonarnego. Powody mogą być różne- brak budżetu, czasu i pracownicy znajdują się w wielu lokalizacjach lub duża ich rotacja.
Jako firma świadoma tych problemów postanowiliśmy połączyć plusy szkolenia stacjonarnego z szkoleniami e-learningowymi i tak powstała nasza nowa usługa- eLearning RODO dla pracowników.
Nasze szkolenie elearningowe z RODO zostało przygotowane przez doświadczonych specjalistów z ODO, natomiast ich przystępność w praktyce ocenili pracownicy naszych klientów wystawiając im ocenę 5 na 6 gwiazdek w zakresie przejrzystości i łatwości odbioru. Dodatkowo wiedząc o tym, że inaczej kwestie ochrony danych osobowych są realizowane w sektorze publicznym, a inaczej w prywatnym przygotowane zostały dwa różne szkolenia dla tych sektorów.
Co wyróżnia nasze szkolenie e-learningowe?
- Możliwość kontaktu pracowników z trenerem;
- Ciągła aktualizacja treści wraz z dynamicznymi zmianami prawnymi;
- Możliwość zakupu tylko jednej licencji, jak i większej ich ilości;
- Prostota zakupu szkoleń w sklepie internetowym oraz automatyczny dostęp do szkolenia po jego opłaceniu.
- Możliwość samodzielnego druku certyfikatów po ukończeniu szkolenia.
Zapraszamy wobec tego do odwiedzenia strony eLearning RODO i rozważenia zakupu szkoleń dla siebie lub Państwa pracowników.
“Jak chronić informacje?” zmienia się w “Skutecznego IOD”
Pragnę poinformować, że funkcjonujący od lutego 2015 r. portal jakchronicinformacje.pl od dnia 11 lutego 2019 r. zmienia nazwę na skutecznyiod.pl. Zmiana nazwy podyktowana jest lepszym jej dopasowaniem do treści publikowanych na portalu. Materiały publikowane na „Skutecznym IOD” w głównej mierze będą odnosiły się do funkcjonowania oraz wykonywania zadań przez Inspektora Ochrony Danych zarówno w sektorze publicznym, jak i sektorze prywatnym.…
Przeczytaj więcej tutaj: “Jak chronić informacje?” zmienia się w “Skutecznego IOD”
Artykuł pojawił się pierwszy raz na stronie Skuteczny IOD. Blog o byciu skutecznym IOD.
RODO a marketing B2B
Jedno z najczęściej zadawanych przez naszych klientów pytań dotyczy prowadzenia działań marketingowych w relacjach B2B pod rygorem RODO, ustawy o świadczeniu usług drogą elektroniczną oraz prawa telekomunikacyjnego. W poniższym artykule postaramy się na nie wyczerpująco odpowiedzieć. Dane osobowe przedsiębiorcy pod RODO Choć może się to wydawać zaskakujące, wspomniane powyżej akty prawne mają zastosowanie również w […] Artykuł RODO a marketing…
Przeczytaj więcej tutaj: RODO a marketing B2B
Artykuł pojawił się pierwszy raz na stronie eRODO.pl
Kiedy i w jakie sprawy powinien być włączany IOD?
Inspektor Ochrony Danych, aby mógł właściwie wykonywać nałożone na niego przepisami RODO obowiązki, został wyposażony w specjalne uprawnienia określone w art. 38 RODO. Jedna z przyznanych gwarancji dotyczy zapewnienia Inspektorowi odpowiedniego dostępu do danych oraz procesów, w których są one przetwarzane. W jakich sprawach należy informować IOD? Art. 38 ust. 1 RODO brzmi: Administrator oraz podmiot przetwarzający zapewniają, by inspektor…
Przeczytaj więcej tutaj: Kiedy i w jakie sprawy powinien być włączany IOD?
Artykuł pojawił się pierwszy raz na stronie Jak chronić informacje? (jakchronicinformacje.pl)
Kiedy i w jakie sprawy powinien być włączany IOD?
Inspektor Ochrony Danych, aby mógł właściwie wykonywać nałożone na niego przepisami RODO obowiązki, został wyposażony w specjalne uprawnienia określone w art. 38 RODO. Jedna z przyznanych gwarancji dotyczy zapewnienia Inspektorowi odpowiedniego dostępu do danych oraz procesów, w których są one przetwarzane. W jakich sprawach należy informować IOD? Art. 38 ust. 1 RODO brzmi: Administrator oraz podmiot przetwarzający zapewniają, by inspektor…
Przeczytaj więcej tutaj: Kiedy i w jakie sprawy powinien być włączany IOD?
Artykuł pojawił się pierwszy raz na stronie Jak chronić informacje? (jakchronicinformacje.pl)
Jakie prawa przysługują osobom, których dane dotyczą?
Realizując przetwarzanie danych osobowych, administrator musi mieć na uwadze, że RODO przyznaje osobom, których dane dotyczą, szereg uprawnień związanych ze sprawowaniem kontroli nad własnymi danymi. Oznacza to, że oprócz zapewnienia bezpieczeństwa danym, administrator jest obowiązany do realizacji praw podmiotów danych. Opieszałość w tej materii może narazić administratora danych na kontrolę organu nadzorczego, a nawet wysokie kary finansowe. Warto wobec tego wiedzieć, jakich działań może domagać się każda osoba, której dane przetwarzamy.
Jakie prawa RODO przyznaje osobie, której dane są przetwarzane?
Prawami jakie przysługują osobom fizycznym są:
-
prawo dostępu do danych oraz uzyskania ich kopii;
-
prawo do indywidualnej kontroli;
-
prawo do sprostowania i uzupełnienia danych;
-
prawo do usunięcia danych („do bycia zapomnianym”);
-
prawo do ograniczenia przetwarzania;
-
prawo do wycofania zgody;
-
prawo do przenoszenia danych;
-
prawo sprzeciwu;
-
prawo do wniesienia skargi do organu nadzorczego.
Prawo dostępu do danych
Jednym z najważniejszych praw przysługujących osobie, której dane są przetwarzane, jest prawo dostępu do nich. Każda osoba fizyczna musi mieć zapewniony dostęp do danych jej dotyczących, które podlegają procesowi przetwarzania. Uprawnienie to powinno być realizowane przez administratora w rozsądnym okresie czasu, tak, by podmiot uprawniony miał świadomość przetwarzania i mógł dokonać oceny zgodności tego przetwarzania z prawem.
Jeżeli istnieje taka możliwość, administrator powinien umożliwić osobie, której dane dotyczą, zdalny dostęp do wyżej wymienionych informacji. Ponadto osoba taka jest uprawniona do otrzymania bezpłatnej kopii tych danych. Za każdą kolejną kopię, której żąda podmiot danych, administrator może pobrać opłatę w rozsądnej wysokości wynikającą z kosztów administracyjnych.
Prawo do indywidualnej kontroli
Osoba, której dane dotyczą, powinna mieć możliwość kontroli procesu przetwarzania swoich danych. Podstawą tego uprawnienia jest obowiązek administratora danych osobowych (ADO) do podania informacji o tym, czy dane konkretnej osoby podlegają procesowi przetwarzania w jego organizacji. Jeżeli taka sytuacja ma miejsce, wówczas można wnioskować o udzielenie określonych informacji (np.: o celu przetwarzania danych, okresie ich przetwarzania czy przysługujących prawach).
Prawo do sprostowania i uzupełnienia danych
Osoba uprawniona ma prawo żądania od administratora niezwłocznego sprostowania nieprawidłowych danych, które jej dotyczą. Może ona także uzupełnić dane niekompletne. Należy jednak pamiętać, że uzupełnienie danych powinno być dokonane z uwzględnieniem celów przetwarzania. Oznacza to, że osoba uprawniona nie może żądać dodania informacji, które byłyby nadmierne z punktu widzenia celu przetwarzania.
Prawo do usunięcia danych („do bycia zapomnianym”)
Osoba, której dane dotyczą, może zażądać od administratora usunięcia jej danych, a ADO ma obowiązek niezwłocznie to działanie wykonać, gdy zostanie spełniona jedna z przesłanek wymienionych w art. 17 RODO. Należą do nich:
-
sytuacja, w której dane osobowe nie są już niezbędne do realizacji celów, dla których zostały pozyskane;
-
cofnięcie zgody na przetwarzanie danych osobowych przez osobę uprawnioną (w sytuacji, gdy była to jedyna podstawa prawna przetwarzania);
-
wniesienie sprzeciwu wobec przetwarzania danych (jeżeli nie występują prawnie uzasadnione przyczyny dalszego przetwarzania);
-
sytuacja, w której dane przetwarzane były niezgodnie z prawem;
-
dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator;
-
sytuacja, w której zostały zebrane dane dziecka w związku z bezpośrednim oferowaniem usług społeczeństwa informacyjnego (np. dostęp do gazet on-line).
Prawo do ograniczenia przetwarzania
RODO przyznaje osobie, której dane dotyczą, prawo do żądania ograniczenia przetwarzania danych, gdy:
-
osoba, której dane dotyczą, kwestionuje prawidłowość danych osobowych – dotyczy to okresu, gdy ADO sprawdza poprawność danych;
-
przetwarzanie jest niezgodne z prawem, a osoba, której dane dotyczą, sprzeciwia się usunięciu danych osobowych, żądając w zamian ograniczenia ich wykorzystywania;
-
administrator nie potrzebuje już danych osobowych do celów przetwarzania, ale są one potrzebne osobie, której dane dotyczą, do ustalenia, dochodzenia lub obrony roszczeń;
-
osoba, której dane dotyczą, wniosła sprzeciw na mocy art. 21 ust. 1 RODO wobec przetwarzania – do czasu stwierdzenia, czy prawnie uzasadnione podstawy po stronie administratora są nadrzędne wobec podstaw sprzeciwu osoby, której dane dotyczą.
Do metod ograniczenia danych można zaliczyć: przeniesienie na określony czas wybranych danych do innego systemu przetwarzania, uniemożliwienie użytkownikom dostępu do określonych danych, usunięcie danych ze strony internetowej na określony czas oraz powstrzymanie się od wszelkich działań poza przechowywaniem.
Prawo do wycofania zgody
Osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę, o ile oczywiście przetwarzanie odbywa się na jej podstawie. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie tej zgody przed jej wycofaniem. Osoba, której dane dotyczą, jest o tym informowana, zanim wyrazi zgodę.
Wycofanie zgody musi być równie łatwe jak jej wyrażenie
Prawo do przenoszenia danych
Osoba uprawniona może zażądać od administratora przekazania jej danych w powszechnie używanym formacie nadającym się do odczytu maszynowego. Może ona także uzyskać przeniesienie tych danych przez administratora do innego podmiotu. Z uprawnienia tego mogą skorzystać wyłącznie osoby, których dane przetwarzane są na podstawie zgody, w celu wykonania umowy lub gdy przetwarzanie odbywa się w sposób automatyczny.
Prawo sprzeciwu
Zgodnie z art. 21 RODO osoba uprawniona, która znajduje się w szczególnej sytuacji, może w dowolnym momencie wnieść sprzeciw wobec przetwarzania dokonywanego w ramach zadań wykonywanych w interesie publicznym, związanego ze sprawowaniem władzy publicznej powierzonej ADO lub ze względu na prawnie uzasadnione interesy administratora.
Ponadto zgodnie z art. 21 ust. 2 RODO osoba, której dane dotyczą, może sprzeciwić się przetwarzaniu danych na potrzeby marketingu bezpośredniego, w tym profilowania. Sprzeciw ten dotyczy danych w zakresie, w jakim przetwarzanie jest związane z takim marketingiem.
Prawo do wniesienia skargi do organu nadzorczego
Każda osoba, której dane są przetwarzane, ma prawo wnieść skargę do organu nadzorczego. W Polsce organem nadzoru jest Prezes Urzędu Ochrony Danych Osobowych (PUODO). Z uprawnienia tego można skorzystać w sytuacji, gdy osoba ta podejrzewa, że dane jej dotyczące są przetwarzane niezgodnie z prawem.
Administrator a realizacja uprawnień
ADO zobowiązany jest nie tylko do realizacji uprawnień przysługujących osobom, których dane są przetwarzane, ale także ma on obowiązek przekazania informacji o podjętych przez niego niezbędnych działaniach w celu wykonania tych uprawnień. Informacje te powinien dostarczyć bez zbędnej zwłoki, najpóźniej w ciągu miesiąca od otrzymania wniosku. W sprawach skomplikowanych termin ten może ulec przedłużeniu o dwa miesiące, jednak w takim przypadku w ciągu miesiąca należy poinformować o przedłużeniu oraz podać przyczynę opóźnienia.
Jeżeli żądania są ewidentnie nieuzasadnione lub nadmierne, administrator może pobrać rozsądną opłatę za ich spełnienie lub odmówić realizacji roszczenia. ADO musi jednak powiadomić osobę uprawnioną o zaistniałym fakcie i przyczynach niespełnienia żądania. Powinien on także poinformować o możliwości wniesienia skargi do organu nadzorczego oraz o sądowej możliwości dochodzenia ochrony praw.
