Plan kontroli sektorowych PUODO

Na stronie Urzędu Ochrony Danych Osobowych został opublikowany plan kontroli sektorowych. Zgodnie z nim w 2019 roku UODO zweryfikuje przetwarzanie danych osobowych w takich m.in. obszarach, jak: telemarketing, profilowanie w sektorze bankowym i ubezpieczeniowym czy system identyfikacji i monitoringu odpadów.
Poniżej prezentujemy sektory, które są objęte zakres kontroli planowych.

💲 Sektor prywatny
I. Telemarketing
II. Brokerzy danych w zakresie podstaw prawnych przetwarzania danych osobowych
III. Profilowanie w sektorze bankowym i ubezpieczeniowym.

🛄Sektor publiczny
I. Miejski monitoring wizyjny (kontynuacja kontroli sektorowych z 2018 r.)
II. Udostępnianie danych w Biuletynie Informacji Publicznej oraz sposób wysyłania
korespondencji zawierającej dane osobowe
III. Sposób prowadzenia rejestru czynności przetwarzania danych osobowych i sposób
dokumentowania przez administratora danych naruszeń ochrony danych osobowych
IV. System identyfikacji i monitoringu odpadów
V. Sposób prowadzenia i zabezpieczenia przez spółdzielnie mieszkaniowe rejestru
członków

💗Sektor zdrowia, zatrudnienia i szkolnictwa
I. Szkoły i placówki oświatowe – przetwarzanie danych osobowych rejestrowanych za
pomocą systemu monitoringu wizyjnego (cd. sektora rozpoczętego w IV kwartale 2018
r.).
II. Pracodawcy – przetwarzanie danych osobowych rejestrowanych za pomocą systemu
monitoringu wizyjnego. Przetwarzanie danych w związku z rekrutacją.
III. Podmioty udzielające świadczeń zdrowotnych – przetwarzanie danych osobowych w
związku z udostępnianiem dokumentacji medycznej w ramach realizacji praw pacjenta
do dostępu do dokumentacji medycznej dotyczącej jego stanu zdrowia
oraz udzielonych mu świadczeń zdrowotnych.

⚖️Sektor organów ścigania i sądów
I. Policja – środki techniczne i organizacyjne mające na celu zapobiegnięcie
nieuprawnionemu odczytywaniu, kopiowaniu, zmienianiu lub usuwaniu nośników
danych, realizacja obowiązków związanych z wewnętrzną obsługą oraz notyfikacją w
PUODO naruszeń ochrony danych osobowych
II. Straż Graniczna – ustalenie środków mających na celu zapobiegnięcie
nieuprawnionemu wprowadzaniu danych osobowych oraz nieuprawnionemu
oglądaniu, zmienianiu lub usuwaniu przechowywanych danych osobowych
oraz zapobieżenie nieuprawnionemu odczytywaniu, kopiowaniu, zmienianiu lub
usuwaniu danych osobowych podczas ich przekazywania lub podczas przenoszenia
nośników danych
III. Areszty Śledcze – środki mające na celu zapobieżenie nieuprawnionemu odczytywaniu,
kopiowaniu, zmienianiu lub usuwaniu danych osobowych podczas ich przekazywania
lub podczas przenoszenia nośników danych, a także zapewnienie osobom,
uprawnionym do korzystania z systemu zautomatyzowanego przetwarzania, dostępu
wyłącznie do danych osobowych objętych posiadanym przez siebie uprawnieniem,
sposoby udostępniania danych osobowych osadzonych, podstawy prawnej, celu
i zakresu ich udostępniania.
IV. Systemy SIS/VIS – kontrolą objęte będą podmioty uprawnione do dostępu
do systemów SIS/VIS. Zakresem kontroli objęta będzie realizacja zadań w

Czy IOD może ponosić odpowiedzilność za wykonywnaie swoich zadań?

Zakaz otrzymywania instrukcji i brak ponoszenia odpowiedzialności za wykonywanie zadań inspektora ochrony danych stanowi prawdopodobnie największą nowość w odniesieniu do gwarancji Inspektora Ochrony Danych. Gwarancja ta uregulowana w art. 38 ust.3 RODO umożliwia IOD posiadanie pełnej autonomii decyzyjnej w zakresie nadzoru nad ochroną danych osobowych, nawet jeśli jego zalecenia będą stały w jawnej opozycji do decyzji Administratora danych lub strategii…
Przeczytaj więcej tutaj: Czy IOD może ponosić odpowiedzilność za wykonywnaie swoich zadań?
Artykuł pojawił się pierwszy raz na stronie Jak chronić informacje? (jakchronicinformacje.pl)

Czy IOD może ponosić odpowiedzialność za wykonywanie swoich zadań?

Zakaz otrzymywania instrukcji i brak ponoszenia odpowiedzialności za wykonywanie zadań inspektora ochrony danych stanowi prawdopodobnie największą nowość w odniesieniu do gwarancji Inspektora Ochrony Danych. Gwarancja ta uregulowana w art. 38 ust.3 RODO umożliwia IOD posiadanie pełnej autonomii decyzyjnej w zakresie nadzoru nad ochroną danych osobowych, nawet jeśli jego zalecenia będą stały w jawnej opozycji do decyzji Administratora danych lub strategii…
Przeczytaj więcej tutaj: Czy IOD może ponosić odpowiedzialność za wykonywanie swoich zadań?
Artykuł pojawił się pierwszy raz na stronie Jak chronić informacje? (jakchronicinformacje.pl)

Na jakiej podstawie można przetwarzać dane osobowe?

RODO wskazuje kilka przesłanek, na podstawie których można, zgodnie z prawem,  przetwarzać dane osobowe. Należy jednak odróżnić podstawy przetwarzania danych zwykłych od podstaw przetwarzania danych wrażliwych (szczególnych kategorii). Przetwarzanie danych osobowych jest pojęciem dość szerokim – oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką […] Artykuł Na jakiej podstawie…
Przeczytaj więcej tutaj: Na jakiej podstawie można przetwarzać dane osobowe?
Artykuł pojawił się pierwszy raz na stronie eRODO.pl

Kiedy i jak – zgodnie z RODO – należy spełnić obowiązek informacyjny?

Tylko osoba, która została należycie poinformowana, może skutecznie podejmować decyzje dotyczące przetwarzania jej danych osobowych. Z tego względu obowiązek informacyjny jest jedną z podstawowych powinności administratora danych osobowych.

Odpowiedź na pytania, kiedy i w jaki sposób należy spełnić obowiązek informacyjny jest jednym z kluczowych zagadnień dla administratorów danych osobowych. 

Kiedy należy udzielić informacji o procesie przetwarzania?

Obowiązek informacyjny polega na zobligowaniu administratora do przekazania informacji o przetwarzaniu danych osobie, której dane dotyczą.

RODO przewiduje trzy takie sytuacje:

  • przy zbieraniu danych bezpośrednio od osoby, której te dane dotyczą (np. przy zbieraniu danych przez formularz kontaktowy/rejestracyjny na stronie, landing pages, papierowe formularze);

  • przy zbieraniu danych ze źródeł innych niż osoba, której te dane dotyczą (np. od naszych partnerów biznesowych, z internetu- olx, allegro, ale również pracuj,pl);

  • gdy zmienia się cel przetwarzanych danych (np. sprzedaż naszych produktów naszym pracownikom, która dokumentowane jest fakturą).

Zbieranie danych bezpośrednio od osoby, której dane dotyczą

W pierwszym z podanych przypadków administrator danych osobowych powinien spełnić obowiązek informacyjny przed tym, gdy podmiot udostępni mu jeszcze swoje dane osobowe. Ma to bowiem umożliwić temu podmiotowi właściwą ocenę sytuacji i pomóc w podjęciu decyzji o udostępnieniu lub odmowie udostępnienia swoich danych osobowych.

Zgodnie z art. 13 RODO firma jest zobowiązana do poinformowania o:

  1. swojej tożsamości i danych kontaktowych;

  2. tożsamości i danych kontaktowych swojego przedstawiciela (gdy ma to zastosowanie);

  3. danych kontaktowych inspektora ochrony danych (gdy ma to zastosowanie);

  4. celu przetwarzania danych osobowych oraz podstawie prawnej przetwarzania;

  5. prawnie uzasadnionym interesie realizowanym przez administratora lub przez stronę trzecią (jeżeli takowe występują);

  6. odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;

  7. zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej (gdy ma to zastosowanie);

  8. okresie, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteriach ustalania tego okresu;

  9. prawach, które przysługują danej osobie;

  10. prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem (jeżeli przetwarzanie odbywa się na podstawie wcześniej udzielonej zgody);

  11. prawie wniesienia skargi do organu nadzorczego;

  12. tym, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;

  13. zautomatyzowanym podejmowaniu decyzji, w tym profilowaniu.

Podmiot danych powinien zostać poinformowany nie tylko o procesie przetwarzania jego danych, ale także o przysługujących mu uprawnieniach oraz skutkach, jakie niesie dla niego to przetwarzanie lub jego odmowa.

Zbieranie danych z innych źródeł niż osoba, której dane dotyczą

W przypadku, gdy dane nie są zbierane bezpośrednio od osoby, której dotyczą, oprócz informacji wskazanych wyżej, należy również poinformować o:

  1. kategoriach posiadanych danych (oznacza to wskazanie typów i rodzajów lub zakresu zbieranych danych);

  2. źródłach pochodzenia danych osobowych.

Źródło pochodzenia danych powinno być określone w sposób maksymalnie dokładny. Jeżeli administrator nie może przedstawić danych w sposób precyzyjny (ponieważ pochodzą np. z różnych źródeł), informacje te mogą być podane w sposób ogólny. 

W przypadku, gdy pozyskujemy dane ze źródła innego niż, osoba której te dane dotyczą, wówczas zgodnie z art. 14 ust 3 RODO i motywem 61 Preambuły RODO, obowiązek informacyjny powinien być spełniony w rozsądnym terminie. Termin ten nie może przekroczyć miesiąca. Jeżeli jednak dane osobowe mają być wykorzystywane do komunikacji z osobą, której dane dotyczą, wówczas obowiązek informacyjny należy spełnić najpóźniej przy pierwszej komunikacji z tą osobą. W sytuacji w której administrator planuje ujawnić dane osobowe innemu odbiorcy, obowiązek informacyjny należy zrealizować najpóźniej przy ich pierwszym ujawnieniu.

Obowiązek informacyjny, gdy zmienia się cel przetwarzania

W przypadku zmiany celu przetwarzania danych osobowych, administrator zobowiązany jest do udzielenia informacji przed rozpoczęciem nowego procesu przetwarzania. Dotyczy to sytuacji, gdy zebrał te dane bezpośrednio od podmiotu uprawnionego, jak i z innych źródeł. Wówczas należy podać informacje o:

  1. okresie, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteriach ustalania tego okresu;

  2. fakcie zautomatyzowanego podejmowania decyzji, w tym profilowania i jego konsekwencjach dla osoby, której dane dotyczą;

  3. przysługujących podmiotowi prawach (dostępu do danych, sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu wobec przetwarzania, przenoszenia danych);

  4. prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem, jeżeli przetwarzanie miało miejsce na podstawie zgody na przetwarzanie danych zwykłych (art. 6 ust. 1 lit. a RODO) lub szczególnej kategorii (art. 9 ust. 2 lit. a RODO);

  5. prawie do wniesienia skargi do organu nadzorczego.

Należy zwrócić również uwagę, że w każdej z omówionych sytuacji motyw 60 RODO zobowiązuje administratora do podania osobie uprawnionej wszelkich innych informacji niezbędnych do zapewnienia rzetelności i przejrzystości przetwarzania, uwzględniając konkretne okoliczności i kontekst przetwarzania danych osobowych.

Kiedy obowiązek informacyjny nie powstaje?

Istnieją pewne szczególne sytuacje, gdy ADO nie ma obowiązku udzielenia informacji o przetwarzaniu danych. Można do nich zaliczyć okoliczności, w ramach których: 

  1. osoba, od której dane są zbierane, już dysponuje tymi informacjami;

  2. udzielenie wymienionych wyżej informacji jest niemożliwe lub wymaga niewspółmiernego wysiłku;

  3. udzielenie takich informacji może uniemożliwić lub poważnie utrudnić realizację celu przetwarzania;

  4. pozyskanie danych jest regulowane przepisami prawa;

  5. konieczne jest zachowanie tajemnicy zawodowej.

W jakiej formie należy spełnić obowiązek informacyjny? 

ADO ma obowiązek podjąć wszelkie środki, by komunikować się i przekazywać informacje w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem – w szczególności, gdy informacje są kierowane do dziecka (art. 12 ust. 1 RODO).

Dodatkowo motyw 58 Preambuły wskazuje, że gdy jest to konieczne, informację należy przedstawić także w sposób graficzny. W sytuacji, gdy przetwarzane są dane dziecka, treść obowiązku należy przekazać w taki sposób, by mogło ją ono zrozumieć. 

Ponadto RODO stanowi, że obowiązek informacyjny można spełnić na piśmie lub w inny sposób (art. 12 ust. 1 RODO). Oznacza to, że katalog możliwych opcji jest otwarty. W rozporządzeniu zostały wymienione także dwie inne metody: elektroniczna i ustna.

Przykładowymi miejscami gdzie możemy umieścić obowiązki informacyjne są:

  • polityki prywatności, w szczególności, gdy zbieramy dane w sposób elektroniczny (np. formularze rejestracyjne) lub miejsca pod formularzami;

  • Stopki formularzy papierowych lub na odrębnych od nich kartkach;

Podsumowanie

Reasumując, można stwierdzić, że przepisy RODO ustanowiły szeroki katalog informacji, które ADO ma obowiązek przekazać podmiotowi danych. Zakres tego obowiązku jest zależny od sposobu, w który administrator uzyskał dane. Informacje te mają umożliwić podmiotowi danych samodzielną decyzję odnośnie przetwarzania jego danych osobowych oraz umożliwić mu kontrolę nad tym procesem.

Gwarancje przyznane Inspektorowi Ochrony Danych

Ustawodawca unijny, regulując funkcję IOD, miał za cel zapewnienie pełnej niezależności i skuteczność wykonywania przez IOD zadań nałożonych przez RODO. Ogólne rozporządzenie o ochronie danych w art. 38 RODO wprowadza dzięki temu nowe gwarancje umożliwiające wypełnianie przez IOD obowiązków. Prawo do właściwego i niezwłocznego włączania we wszystkie sprawy dotyczące ochrony danych osobowych Przepis ten nakazuje administratorom oraz podmiotom przetwarzającym właściwie…
Przeczytaj więcej tutaj: Gwarancje przyznane Inspektorowi Ochrony Danych
Artykuł pojawił się pierwszy raz na stronie Jak chronić informacje? (jakchronicinformacje.pl)

LinkedIn nielegalnie wykorzystał adresy e-mial

LinkedIn wykorzystał nielegalnie adresy e-mail osób niebędących jego użytkownikami, aby ukierunkować kampanię reklamową prowadzoną na Facebooku. Sprawie przyjrzał się bliżej DPC (irlandzki urząd ochrony danych osobowych).

Jak wynika z raportu opublikowanego przez The Data Protection Commissioner (DPC) LinkedIn przetwarzał nielegalnie adresy e-mail około 18 MLN osób niebędących członkami serwisu w celu nadania kierunku reklamie na Facebooku. Skarga do DPC została złożona przez użytkownika spoza LinkedIn, dotyczyła bezprawnego pozyskania i wykorzystania jego adresu e-mail.

Kontrola LinkedIn przeprowadzony przez DPC

W związku ze złożoną skargą przeprowadzana została kontrola, która trwała od 1 stycznia 2018 roku do 24 maja 2018 roku. Podczas niej wykazano, że LinkedIn Corporation (LinkedIn Corp) z siedzibą w USA, przetwarzający dane w imieniu LinkedIn Ireland, przekazał około 18 MLN adresów e-mail osób niebędących użytkownikami w postaci zahasztagowanej lub zakodowanej Facebookowi w celu spersonalizowania reklamy, zachęcającej do rejestracji w serwisie LinkedIn.

Polubowne rozwiązanie skargi

Ostatecznie skarga została polubownie rozwiązana, a LinkedIn wdrożył szereg rozwiązań mających na celu zapobieżenie podobnym sytuacjom poprzez zaprzestanie przetwarzania w powyższy sposób danych.

To jednak nie koniec sprawy. DPC zaniepokojony problemami przeprowadził kolejną kontrolę w celu ustalenia, czy LinkedIn wdrożył odpowiednie środki bezpieczeństwa, ze szczególną uwagą zwróconą w kierunku przetwarzania danych osób niebędących użytkownikami. W rezultacie LinkedIn Ireland poinstruował LinkedIn Corp w sprawie ochrony danych osobowych i zgodnie z ustaleniami kazał usunąć dane osobowe powiązane z takim przetwarzaniem.

Na aprobatę z pewnością zasługują działania, jakie zostały podjęte przez LinkedIn oraz ścisła współpraca z organem nadzoru. Dzięki tak sprawnemu działaniu doszło do zapobieżenia dalszym naruszeniom w zakresie ochrony danych osobowych. Na marginesie należy dodać, że na LinkedIn nie została nałożona kara, ponieważ skarga wpłynęła przed 25 maja 2018 roku, czyli przed rozpoczęciem stosowania RODO, w tym okresie DPC, zgodnie z obowiązującymi uregulowaniami, nie miała kompetencji do nakładania kar finansowych.

Czy zgoda jest jedyną przesłanką przetwarzania zwykłych danych osobowych?

Zgoda udzielona przez osobę jest autonomiczną i wystarczającą podstawą prawną do przetwarzania danych osobowych. Warto jednak zwrócić uwagę, że zbieranie zgody podmiotu danych nie jest zawsze koniecznością, bowiem przepisy RODO wskazują także inne warunki, których spełnienie legalizuje proces przetwarzania danych. Art. 6 RODO zawierają katalog sześciu przesłanek, które mogą stać się legalną podstawą przetwarzania danych osobowych. Należy pamiętać, że mają one charakter niezależny, co oznacza, że wystarczy spełnienie tylko jednej z nich, by proces przetwarzania był zgodny z prawem.

Zgoda jako podstawa prawna

Wspomniana w tytule zgoda podmiotu danych jest bardzo często występującą podstawą procesu przetwarzania. Art. 4 RODO określa zgodę jako dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, w którym osoba, której dane dotyczą. Zgoda może być wyrażona w formie oświadczenia lub wyraźnego działania potwierdzającego przyzwolenie na przetwarzanie dotyczących jej danych osobowych  pisemnej, elektronicznej lub ustnej. Zgoda może być zatem udzielona m.in. za pomocą: checkboxa, ustnego oświadczenia, jednoznacznego działania, podpisu pod klauzulą lub przyjęcia odpowiednich ustawień przeglądarki.

Formularz zgody nie może zawierać skomplikowanych, niejasnych sformułowań, musi zostać także wyodrębniony z innych dokumentów, aby osoba wyrażająca zgodę nie miała wątpliwości, że właśnie udziela jakiemuś podmiotowi zezwolenia na przetwarzanie danych osobowych. Oświadczenie o wyrażaniu zgody może zostać uznane za świadome tylko wtedy, gdy podmiot danych posiada informacje przynajmniej o celu przetwarzania danych oraz tożsamości podmiotu, któremu swoje dane udostępnia. By spełniona została przesłanka dobrowolności, osoba, której dane dotyczą, musi mieć możliwość rzeczywistego i wolnego wyboru, a więc odmowa lub wycofanie zgody nie mogą wiązać się z negatywnymi konsekwencjami.

Zgoda nie będzie stanowiła podstawy prawnej przetwarzania danych osobowych w sytuacjach, gdy:

  • występuje wyraźna nierównowaga między ADO a osobą, której dane dotyczą; w szczególności dotyczy to stosunków na linii obywatel – organ publiczny;
  • nie można udzielić zgody na różne czynności z zakresu przetwarzania danych z osobna;
  • od udzielenia zgody uzależnione jest wykonanie umowy.

Więcej na temat zgody na przetwarzanie danych  dowiesz się z artykułu „Kiedy zgoda na przetwarzanie danych jest ważna?„.

Jakie inne przesłanki wymienia art. 6 RODO?

Oprócz wspomnianej wcześniej zgody osoby uprawnionej, rozporządzenie za legalne uznaje przetwarzanie danych w sytuacjach, gdy:

  • jest ono niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
  • jest ono niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
  • jest ono niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
  • jest ono niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
  • jest ono niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności, gdy osoba, której dane dotyczą, jest dzieckiem.

Wykonanie umowy

Proces przetwarzania danych jest zgodny z prawem, jeżeli jest on związany z zawarciem umowy lub wykonaniem czynności, które zmierzają do zawarcia umowy. Oznacza to, że dokonanie czynności przed zawarciem umowy, które podejmowane są na żądanie osoby, której dane dotyczą, nie wymaga uzyskiwania dodatkowej zgody od tej osoby.

Obowiązek prawny

Przetwarzanie danych jest uznawane za legalne, jeżeli ono konieczne do spełnienia obowiązku prawnego ciążącego na administratorze. W tej sytuacji podstawą prawną są przepisy prawa UE lub państwa członkowskiego (np. polskie przepisy).

RODO nie wymaga, żeby dla każdej czynności wchodzącej w zakres procesu przetwarzania istniała szczegółowa podstawa prawna. Obowiązek prawny, któremu podlega administrator, może być podstawą różnych działań związanych z przetwarzaniem danych. Ponadto źródłem obowiązku mogą być nie tylko ustawy, ale także akty prawa miejscowego.

Ochrona żywotnych interesów

Proces przetwarzania jest zgodny z art. 6 RODO także w sytuacji, gdy jest on niezbędny do ochrony interesu mającego istotne znaczenie dla osoby, której dane dotyczą lub innej osoby fizycznej. Przesłanka ta może być podstawą przetwarzania tylko wtedy, gdy przetwarzanie danych osobowych jest wymagane do ratowania życia lub zdrowia osób.

Realizacja interesu publicznego

W sytuacji, gdy przetwarzanie danych jest niezbędne do wykonania zadania realizowanego w interesie publicznym, proces ten legalizowany jest przez prawo UE lub państwa członkowskiego. Rozporządzenie nie wymaga, by do każdego procesu przetwarzania istniała oddzielna podstawa prawna. Niemniej prawo to powinno określać, kto będzie administratorem tych danych oraz jaki interes publiczny jest w tym przypadku realizowany.

Prawnie uzasadniony interes administratora

Przesłanka ta ma miejsce w sytuacji, gdy istnieją odpowiednie powiązania między osobą, której dane dotyczą, a administratorem danych (np.: osoba ta jest klientem administratora lub z nim współpracuje). Występuje ona także wtedy, gdy przetwarzanie danych jest niezbędne do zapobiegania oszustwom, np. zastosowanie monitoringu. Za taki interes można również uznać przetwarzanie danych w ramach marketingu bezpośredniego. Przesłanka ta nie ma jednak zastosowania do działalności organów publicznych w zakresie wykonywania przez nich zadań ustawowych, dla których podstawę prawną przetwarzania danych powinien określić ustawodawca.

Podsumowanie

Reasumując, zgoda osoby uprawnionej nie jest jedyną przesłanką przetwarzania danych osobowych. Art. 6 RODO wymienia także zestaw innych warunków, które mogą stać się podstawą prawną przetwarzania. Warto pamiętać, że jest to katalog niezależny od siebie, w związku z czym spełnienie jednej przesłanki jest wystarczające do tego, by działanie było zgodne z prawem. Od tych przesłanek należy odróżnić przetwarzanie danych szczególnych kategorii (czyli danych wrażliwych, określonych w art. 9 RODO). Do tej kategorii danych będziemy stosować również inne podstawy prawne niż w przypadku danych osobowych zwykłych.

Jak prawidłowo udostępnić dane kontaktowe IOD?

W wytycznych opublikowanych na stronie urzędu (UODO) zwraca się uwagę na obowiązek udostępniania danych kontaktowych inspektora i podkreśla się, że powinny one znajdować się w ogólnie dostępnym miejscu. Dane kontaktowe IOD Zgodnie z art. 11 ustawy o ochronie danych osobowych z dnia 10 maja 2018 roku – danymi kontaktowymi są…
Przeczytaj więcej tutaj: Jak prawidłowo udostępnić dane kontaktowe IOD?
Artykuł pojawił się pierwszy raz na stronie Jak chronić informacje? (jakchronicinformacje.pl)

Kiedy zgoda na przetwarzanie danych jest ważna?

Zgoda podmiotu danych jest jedną z sześciu przesłanek określonych w art. 6 ust. 1 RODO, które legalizują proces przetwarzania danych. Jak każda z przesłanek może być stosowana autonomicznie. Administrator danych zarówno podczas bieżącej działalności lub audytu / wdrożenia RODO powinien za każdym razem rozważyć jednak, czy zgoda w konkretnym przypadku…
Przeczytaj więcej tutaj: Kiedy zgoda na przetwarzanie danych jest ważna?
Artykuł pojawił się pierwszy raz na stronie eRODO.pl