Jakie prawa przysługują osobom, których dane dotyczą?

Realizując przetwarzanie danych osobowych, administrator musi mieć na uwadze, że RODO przyznaje osobom, których dane dotyczą, szereg uprawnień związanych ze sprawowaniem kontroli nad własnymi danymi. Oznacza to, że oprócz zapewnienia bezpieczeństwa danym, administrator jest obowiązany do realizacji praw podmiotów danych. Opieszałość w tej materii może narazić administratora danych na kontrolę organu nadzorczego, a nawet wysokie kary finansowe. Warto wobec tego wiedzieć, jakich działań może domagać się każda osoba, której dane przetwarzamy.

Jakie prawa RODO przyznaje osobie, której dane są przetwarzane?

Prawami jakie przysługują osobom fizycznym są:

  1. prawo dostępu do danych oraz uzyskania ich kopii;

  2. prawo do indywidualnej kontroli;

  3. prawo do sprostowania i uzupełnienia danych;

  4. prawo do usunięcia danych („do bycia zapomnianym”);

  5. prawo do ograniczenia przetwarzania;

  6. prawo do wycofania zgody;

  7. prawo do przenoszenia danych;

  8. prawo sprzeciwu;

  9. prawo do wniesienia skargi do organu nadzorczego.

Prawo dostępu do danych

Jednym z najważniejszych praw przysługujących osobie, której dane są przetwarzane, jest prawo dostępu do nich. Każda osoba fizyczna musi mieć zapewniony dostęp do danych jej dotyczących, które podlegają procesowi przetwarzania. Uprawnienie to powinno być realizowane przez administratora w rozsądnym okresie czasu, tak, by podmiot uprawniony miał świadomość przetwarzania i mógł dokonać oceny zgodności tego przetwarzania z prawem. 

Jeżeli istnieje taka możliwość, administrator powinien umożliwić osobie, której dane dotyczą, zdalny dostęp do wyżej wymienionych informacji. Ponadto osoba taka jest uprawniona do otrzymania bezpłatnej kopii tych danych. Za każdą kolejną kopię, której żąda podmiot danych, administrator może pobrać opłatę w rozsądnej wysokości wynikającą z kosztów administracyjnych. 

Prawo do indywidualnej kontroli

Osoba, której dane dotyczą, powinna mieć możliwość kontroli procesu przetwarzania swoich danych. Podstawą tego uprawnienia jest obowiązek administratora danych osobowych (ADO) do podania informacji o tym, czy dane konkretnej osoby podlegają procesowi przetwarzania w jego organizacji. Jeżeli taka sytuacja ma miejsce, wówczas można wnioskować o udzielenie określonych informacji (np.: o celu przetwarzania danych, okresie ich przetwarzania czy przysługujących prawach).

Prawo do sprostowania i uzupełnienia danych

Osoba uprawniona ma prawo żądania od administratora niezwłocznego sprostowania nieprawidłowych danych, które jej dotyczą. Może ona także uzupełnić dane niekompletne. Należy jednak pamiętać, że uzupełnienie danych powinno być dokonane z uwzględnieniem celów przetwarzania. Oznacza to, że osoba uprawniona nie może żądać dodania informacji, które byłyby nadmierne z punktu widzenia celu przetwarzania. 

Prawo do usunięcia danych („do bycia zapomnianym”)

Osoba, której dane dotyczą, może zażądać od administratora usunięcia jej danych, a ADO ma obowiązek niezwłocznie to działanie wykonać, gdy zostanie spełniona jedna z przesłanek wymienionych w art. 17 RODO. Należą do nich:

  • sytuacja, w której dane osobowe nie są już niezbędne do realizacji celów, dla których zostały pozyskane;

  • cofnięcie zgody na przetwarzanie danych osobowych przez osobę uprawnioną (w sytuacji, gdy była to jedyna podstawa prawna przetwarzania);

  • wniesienie sprzeciwu wobec przetwarzania danych (jeżeli nie występują prawnie uzasadnione przyczyny dalszego przetwarzania);

  • sytuacja, w której dane przetwarzane były niezgodnie z prawem;

  • dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator;

  • sytuacja, w której zostały zebrane dane dziecka w związku z bezpośrednim oferowaniem usług społeczeństwa informacyjnego (np. dostęp do gazet on-line).

Prawo do ograniczenia przetwarzania

RODO przyznaje osobie, której dane dotyczą, prawo do żądania ograniczenia przetwarzania danych, gdy:

  • osoba, której dane dotyczą, kwestionuje prawidłowość danych osobowych – dotyczy to okresu, gdy ADO sprawdza poprawność danych;

  • przetwarzanie jest niezgodne z prawem, a osoba, której dane dotyczą, sprzeciwia się usunięciu danych osobowych, żądając w zamian ograniczenia ich wykorzystywania;

  • administrator nie potrzebuje już danych osobowych do celów przetwarzania, ale są one potrzebne osobie, której dane dotyczą, do ustalenia, dochodzenia lub obrony roszczeń;

  • osoba, której dane dotyczą, wniosła sprzeciw na mocy art. 21 ust. 1 RODO wobec przetwarzania – do czasu stwierdzenia, czy prawnie uzasadnione podstawy po stronie administratora są nadrzędne wobec podstaw sprzeciwu osoby, której dane dotyczą.

Do metod ograniczenia danych można zaliczyć: przeniesienie na określony czas wybranych danych do innego systemu przetwarzania, uniemożliwienie użytkownikom dostępu do określonych danych, usunięcie danych ze strony internetowej na określony czas oraz powstrzymanie się od wszelkich działań poza przechowywaniem.

Prawo do wycofania zgody

Osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę, o ile oczywiście przetwarzanie odbywa się na jej podstawie. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie tej zgody przed jej wycofaniem. Osoba, której dane dotyczą, jest o tym informowana, zanim wyrazi zgodę.

Wycofanie zgody musi być równie łatwe jak jej wyrażenie

Prawo do przenoszenia danych

Osoba uprawniona może zażądać od administratora przekazania jej danych w powszechnie używanym formacie nadającym się do odczytu maszynowego. Może ona także uzyskać przeniesienie tych danych przez administratora do innego podmiotu. Z uprawnienia tego mogą skorzystać wyłącznie osoby, których dane przetwarzane są na podstawie zgody, w celu wykonania umowy lub gdy przetwarzanie odbywa się w sposób automatyczny. 

Prawo sprzeciwu

Zgodnie z art. 21 RODO osoba uprawniona, która znajduje się w szczególnej sytuacji, może w dowolnym momencie wnieść sprzeciw wobec przetwarzania dokonywanego w ramach zadań wykonywanych w interesie publicznym, związanego ze sprawowaniem władzy publicznej powierzonej ADO lub ze względu na prawnie uzasadnione interesy administratora. 

Ponadto zgodnie z art. 21 ust. 2 RODO osoba, której dane dotyczą, może sprzeciwić się przetwarzaniu danych na potrzeby marketingu bezpośredniego, w tym profilowania. Sprzeciw ten dotyczy danych w zakresie, w jakim przetwarzanie jest związane z takim marketingiem.

Prawo do wniesienia skargi do organu nadzorczego

Każda osoba, której dane są przetwarzane, ma prawo wnieść skargę do organu nadzorczego. W Polsce organem nadzoru jest Prezes Urzędu Ochrony Danych Osobowych (PUODO). Z uprawnienia tego można skorzystać w sytuacji, gdy osoba ta podejrzewa, że dane jej dotyczące są przetwarzane niezgodnie z prawem.

Administrator a realizacja uprawnień 

ADO zobowiązany jest nie tylko do realizacji uprawnień przysługujących osobom, których dane są przetwarzane, ale także ma on obowiązek przekazania informacji o podjętych przez niego niezbędnych działaniach w celu wykonania tych uprawnień. Informacje te powinien dostarczyć bez zbędnej zwłoki, najpóźniej w ciągu miesiąca od otrzymania wniosku. W sprawach skomplikowanych termin ten może ulec przedłużeniu o dwa miesiące, jednak w takim przypadku w ciągu miesiąca należy poinformować o przedłużeniu oraz podać przyczynę opóźnienia. 

Jeżeli żądania są ewidentnie nieuzasadnione lub nadmierne, administrator może pobrać rozsądną opłatę za ich spełnienie lub odmówić realizacji roszczenia. ADO musi jednak powiadomić osobę uprawnioną o zaistniałym fakcie i przyczynach niespełnienia żądania. Powinien on także poinformować o możliwości wniesienia skargi do organu nadzorczego oraz o sądowej możliwości dochodzenia ochrony praw.

Plan kontroli sektorowych PUODO

Na stronie Urzędu Ochrony Danych Osobowych został opublikowany plan kontroli sektorowych. Zgodnie z nim w 2019 roku UODO zweryfikuje przetwarzanie danych osobowych w takich m.in. obszarach, jak: telemarketing, profilowanie w sektorze bankowym i ubezpieczeniowym czy system identyfikacji i monitoringu odpadów.
Poniżej prezentujemy sektory, które są objęte zakres kontroli planowych.

💲 Sektor prywatny
I. Telemarketing
II. Brokerzy danych w zakresie podstaw prawnych przetwarzania danych osobowych
III. Profilowanie w sektorze bankowym i ubezpieczeniowym.

🛄Sektor publiczny
I. Miejski monitoring wizyjny (kontynuacja kontroli sektorowych z 2018 r.)
II. Udostępnianie danych w Biuletynie Informacji Publicznej oraz sposób wysyłania
korespondencji zawierającej dane osobowe
III. Sposób prowadzenia rejestru czynności przetwarzania danych osobowych i sposób
dokumentowania przez administratora danych naruszeń ochrony danych osobowych
IV. System identyfikacji i monitoringu odpadów
V. Sposób prowadzenia i zabezpieczenia przez spółdzielnie mieszkaniowe rejestru
członków

💗Sektor zdrowia, zatrudnienia i szkolnictwa
I. Szkoły i placówki oświatowe – przetwarzanie danych osobowych rejestrowanych za
pomocą systemu monitoringu wizyjnego (cd. sektora rozpoczętego w IV kwartale 2018
r.).
II. Pracodawcy – przetwarzanie danych osobowych rejestrowanych za pomocą systemu
monitoringu wizyjnego. Przetwarzanie danych w związku z rekrutacją.
III. Podmioty udzielające świadczeń zdrowotnych – przetwarzanie danych osobowych w
związku z udostępnianiem dokumentacji medycznej w ramach realizacji praw pacjenta
do dostępu do dokumentacji medycznej dotyczącej jego stanu zdrowia
oraz udzielonych mu świadczeń zdrowotnych.

⚖️Sektor organów ścigania i sądów
I. Policja – środki techniczne i organizacyjne mające na celu zapobiegnięcie
nieuprawnionemu odczytywaniu, kopiowaniu, zmienianiu lub usuwaniu nośników
danych, realizacja obowiązków związanych z wewnętrzną obsługą oraz notyfikacją w
PUODO naruszeń ochrony danych osobowych
II. Straż Graniczna – ustalenie środków mających na celu zapobiegnięcie
nieuprawnionemu wprowadzaniu danych osobowych oraz nieuprawnionemu
oglądaniu, zmienianiu lub usuwaniu przechowywanych danych osobowych
oraz zapobieżenie nieuprawnionemu odczytywaniu, kopiowaniu, zmienianiu lub
usuwaniu danych osobowych podczas ich przekazywania lub podczas przenoszenia
nośników danych
III. Areszty Śledcze – środki mające na celu zapobieżenie nieuprawnionemu odczytywaniu,
kopiowaniu, zmienianiu lub usuwaniu danych osobowych podczas ich przekazywania
lub podczas przenoszenia nośników danych, a także zapewnienie osobom,
uprawnionym do korzystania z systemu zautomatyzowanego przetwarzania, dostępu
wyłącznie do danych osobowych objętych posiadanym przez siebie uprawnieniem,
sposoby udostępniania danych osobowych osadzonych, podstawy prawnej, celu
i zakresu ich udostępniania.
IV. Systemy SIS/VIS – kontrolą objęte będą podmioty uprawnione do dostępu
do systemów SIS/VIS. Zakresem kontroli objęta będzie realizacja zadań w

Czy IOD może ponosić odpowiedzilność za wykonywnaie swoich zadań?

Zakaz otrzymywania instrukcji i brak ponoszenia odpowiedzialności za wykonywanie zadań inspektora ochrony danych stanowi prawdopodobnie największą nowość w odniesieniu do gwarancji Inspektora Ochrony Danych. Gwarancja ta uregulowana w art. 38 ust.3 RODO umożliwia IOD posiadanie pełnej autonomii decyzyjnej w zakresie nadzoru nad ochroną danych osobowych, nawet jeśli jego zalecenia będą stały w jawnej opozycji do decyzji Administratora danych lub strategii…
Przeczytaj więcej tutaj: Czy IOD może ponosić odpowiedzilność za wykonywnaie swoich zadań?
Artykuł pojawił się pierwszy raz na stronie Jak chronić informacje? (jakchronicinformacje.pl)

Czy IOD może ponosić odpowiedzialność za wykonywanie swoich zadań?

Zakaz otrzymywania instrukcji i brak ponoszenia odpowiedzialności za wykonywanie zadań inspektora ochrony danych stanowi prawdopodobnie największą nowość w odniesieniu do gwarancji Inspektora Ochrony Danych. Gwarancja ta uregulowana w art. 38 ust.3 RODO umożliwia IOD posiadanie pełnej autonomii decyzyjnej w zakresie nadzoru nad ochroną danych osobowych, nawet jeśli jego zalecenia będą stały w jawnej opozycji do decyzji Administratora danych lub strategii…
Przeczytaj więcej tutaj: Czy IOD może ponosić odpowiedzialność za wykonywanie swoich zadań?
Artykuł pojawił się pierwszy raz na stronie Jak chronić informacje? (jakchronicinformacje.pl)

Na jakiej podstawie można przetwarzać dane osobowe?

RODO wskazuje kilka przesłanek, na podstawie których można, zgodnie z prawem,  przetwarzać dane osobowe. Należy jednak odróżnić podstawy przetwarzania danych zwykłych od podstaw przetwarzania danych wrażliwych (szczególnych kategorii). Przetwarzanie danych osobowych jest pojęciem dość szerokim – oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką […] Artykuł Na jakiej podstawie…
Przeczytaj więcej tutaj: Na jakiej podstawie można przetwarzać dane osobowe?
Artykuł pojawił się pierwszy raz na stronie eRODO.pl

Kiedy i jak – zgodnie z RODO – należy spełnić obowiązek informacyjny?

Tylko osoba, która została należycie poinformowana, może skutecznie podejmować decyzje dotyczące przetwarzania jej danych osobowych. Z tego względu obowiązek informacyjny jest jedną z podstawowych powinności administratora danych osobowych.

Odpowiedź na pytania, kiedy i w jaki sposób należy spełnić obowiązek informacyjny jest jednym z kluczowych zagadnień dla administratorów danych osobowych. 

Kiedy należy udzielić informacji o procesie przetwarzania?

Obowiązek informacyjny polega na zobligowaniu administratora do przekazania informacji o przetwarzaniu danych osobie, której dane dotyczą.

RODO przewiduje trzy takie sytuacje:

  • przy zbieraniu danych bezpośrednio od osoby, której te dane dotyczą (np. przy zbieraniu danych przez formularz kontaktowy/rejestracyjny na stronie, landing pages, papierowe formularze);

  • przy zbieraniu danych ze źródeł innych niż osoba, której te dane dotyczą (np. od naszych partnerów biznesowych, z internetu- olx, allegro, ale również pracuj,pl);

  • gdy zmienia się cel przetwarzanych danych (np. sprzedaż naszych produktów naszym pracownikom, która dokumentowane jest fakturą).

Zbieranie danych bezpośrednio od osoby, której dane dotyczą

W pierwszym z podanych przypadków administrator danych osobowych powinien spełnić obowiązek informacyjny przed tym, gdy podmiot udostępni mu jeszcze swoje dane osobowe. Ma to bowiem umożliwić temu podmiotowi właściwą ocenę sytuacji i pomóc w podjęciu decyzji o udostępnieniu lub odmowie udostępnienia swoich danych osobowych.

Zgodnie z art. 13 RODO firma jest zobowiązana do poinformowania o:

  1. swojej tożsamości i danych kontaktowych;

  2. tożsamości i danych kontaktowych swojego przedstawiciela (gdy ma to zastosowanie);

  3. danych kontaktowych inspektora ochrony danych (gdy ma to zastosowanie);

  4. celu przetwarzania danych osobowych oraz podstawie prawnej przetwarzania;

  5. prawnie uzasadnionym interesie realizowanym przez administratora lub przez stronę trzecią (jeżeli takowe występują);

  6. odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;

  7. zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej (gdy ma to zastosowanie);

  8. okresie, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteriach ustalania tego okresu;

  9. prawach, które przysługują danej osobie;

  10. prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem (jeżeli przetwarzanie odbywa się na podstawie wcześniej udzielonej zgody);

  11. prawie wniesienia skargi do organu nadzorczego;

  12. tym, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;

  13. zautomatyzowanym podejmowaniu decyzji, w tym profilowaniu.

Podmiot danych powinien zostać poinformowany nie tylko o procesie przetwarzania jego danych, ale także o przysługujących mu uprawnieniach oraz skutkach, jakie niesie dla niego to przetwarzanie lub jego odmowa.

Zbieranie danych z innych źródeł niż osoba, której dane dotyczą

W przypadku, gdy dane nie są zbierane bezpośrednio od osoby, której dotyczą, oprócz informacji wskazanych wyżej, należy również poinformować o:

  1. kategoriach posiadanych danych (oznacza to wskazanie typów i rodzajów lub zakresu zbieranych danych);

  2. źródłach pochodzenia danych osobowych.

Źródło pochodzenia danych powinno być określone w sposób maksymalnie dokładny. Jeżeli administrator nie może przedstawić danych w sposób precyzyjny (ponieważ pochodzą np. z różnych źródeł), informacje te mogą być podane w sposób ogólny. 

W przypadku, gdy pozyskujemy dane ze źródła innego niż, osoba której te dane dotyczą, wówczas zgodnie z art. 14 ust 3 RODO i motywem 61 Preambuły RODO, obowiązek informacyjny powinien być spełniony w rozsądnym terminie. Termin ten nie może przekroczyć miesiąca. Jeżeli jednak dane osobowe mają być wykorzystywane do komunikacji z osobą, której dane dotyczą, wówczas obowiązek informacyjny należy spełnić najpóźniej przy pierwszej komunikacji z tą osobą. W sytuacji w której administrator planuje ujawnić dane osobowe innemu odbiorcy, obowiązek informacyjny należy zrealizować najpóźniej przy ich pierwszym ujawnieniu.

Obowiązek informacyjny, gdy zmienia się cel przetwarzania

W przypadku zmiany celu przetwarzania danych osobowych, administrator zobowiązany jest do udzielenia informacji przed rozpoczęciem nowego procesu przetwarzania. Dotyczy to sytuacji, gdy zebrał te dane bezpośrednio od podmiotu uprawnionego, jak i z innych źródeł. Wówczas należy podać informacje o:

  1. okresie, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteriach ustalania tego okresu;

  2. fakcie zautomatyzowanego podejmowania decyzji, w tym profilowania i jego konsekwencjach dla osoby, której dane dotyczą;

  3. przysługujących podmiotowi prawach (dostępu do danych, sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu wobec przetwarzania, przenoszenia danych);

  4. prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem, jeżeli przetwarzanie miało miejsce na podstawie zgody na przetwarzanie danych zwykłych (art. 6 ust. 1 lit. a RODO) lub szczególnej kategorii (art. 9 ust. 2 lit. a RODO);

  5. prawie do wniesienia skargi do organu nadzorczego.

Należy zwrócić również uwagę, że w każdej z omówionych sytuacji motyw 60 RODO zobowiązuje administratora do podania osobie uprawnionej wszelkich innych informacji niezbędnych do zapewnienia rzetelności i przejrzystości przetwarzania, uwzględniając konkretne okoliczności i kontekst przetwarzania danych osobowych.

Kiedy obowiązek informacyjny nie powstaje?

Istnieją pewne szczególne sytuacje, gdy ADO nie ma obowiązku udzielenia informacji o przetwarzaniu danych. Można do nich zaliczyć okoliczności, w ramach których: 

  1. osoba, od której dane są zbierane, już dysponuje tymi informacjami;

  2. udzielenie wymienionych wyżej informacji jest niemożliwe lub wymaga niewspółmiernego wysiłku;

  3. udzielenie takich informacji może uniemożliwić lub poważnie utrudnić realizację celu przetwarzania;

  4. pozyskanie danych jest regulowane przepisami prawa;

  5. konieczne jest zachowanie tajemnicy zawodowej.

W jakiej formie należy spełnić obowiązek informacyjny? 

ADO ma obowiązek podjąć wszelkie środki, by komunikować się i przekazywać informacje w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem – w szczególności, gdy informacje są kierowane do dziecka (art. 12 ust. 1 RODO).

Dodatkowo motyw 58 Preambuły wskazuje, że gdy jest to konieczne, informację należy przedstawić także w sposób graficzny. W sytuacji, gdy przetwarzane są dane dziecka, treść obowiązku należy przekazać w taki sposób, by mogło ją ono zrozumieć. 

Ponadto RODO stanowi, że obowiązek informacyjny można spełnić na piśmie lub w inny sposób (art. 12 ust. 1 RODO). Oznacza to, że katalog możliwych opcji jest otwarty. W rozporządzeniu zostały wymienione także dwie inne metody: elektroniczna i ustna.

Przykładowymi miejscami gdzie możemy umieścić obowiązki informacyjne są:

  • polityki prywatności, w szczególności, gdy zbieramy dane w sposób elektroniczny (np. formularze rejestracyjne) lub miejsca pod formularzami;

  • Stopki formularzy papierowych lub na odrębnych od nich kartkach;

Podsumowanie

Reasumując, można stwierdzić, że przepisy RODO ustanowiły szeroki katalog informacji, które ADO ma obowiązek przekazać podmiotowi danych. Zakres tego obowiązku jest zależny od sposobu, w który administrator uzyskał dane. Informacje te mają umożliwić podmiotowi danych samodzielną decyzję odnośnie przetwarzania jego danych osobowych oraz umożliwić mu kontrolę nad tym procesem.

Gwarancje przyznane Inspektorowi Ochrony Danych

Ustawodawca unijny, regulując funkcję IOD, miał za cel zapewnienie pełnej niezależności i skuteczność wykonywania przez IOD zadań nałożonych przez RODO. Ogólne rozporządzenie o ochronie danych w art. 38 RODO wprowadza dzięki temu nowe gwarancje umożliwiające wypełnianie przez IOD obowiązków. Prawo do właściwego i niezwłocznego włączania we wszystkie sprawy dotyczące ochrony danych osobowych Przepis ten nakazuje administratorom oraz podmiotom przetwarzającym właściwie…
Przeczytaj więcej tutaj: Gwarancje przyznane Inspektorowi Ochrony Danych
Artykuł pojawił się pierwszy raz na stronie Jak chronić informacje? (jakchronicinformacje.pl)

Materiały dla słuchaczy studiów podyplomowych (E2Z8)

Serdecznie dziękuję za udział w moich wykładach na studiach podyplomowych z ODO przeprowadzonych na UMCS. Poniżej znajdują się linki do prezentacji z moich wykładów. Archiwum zabezpieczone jest tym samym hasłem, które podałem Państwu na wykładach. Materiały:

E02Z08 15122018 Studia podyplomowe UMCS (monitoring pracowniczy, przygotowanie do kontroli)

Zapraszam również do zapisania się na nasz newsletter: RODO Informator

Materiały dla słuchaczy studiów podyplomowych (E3Z3)

Serdecznie dziękuję za udział w moich wykładach na studiach podyplomowych z ODO przeprowadzonych na UMCS. Poniżej znajdują się linki do prezentacji z moich wykładów. Archiwum zabezpieczone jest tym samym hasłem które podałem Państwu na wykładach. Materiały:

Edycja 3 08.12.2018 Zjazd 3: Zasady udostępniania danych osobowych w świetle aktualnych regulacji

Edycja 3 09.12.2018 Zjazd 3: Warsztaty i zajęcia praktyczne – uzyskiwanie zgody na przetwarzanie danych osobowych, obowiązek informacyjny, zasady przetwarzania danych osobowych, przygotowanie do kontroli PUODO

Zapraszam również do zapisania się na nasz newsletter: RODO Informator

LinkedIn nielegalnie wykorzystał adresy e-mial

LinkedIn wykorzystał nielegalnie adresy e-mail osób niebędących jego użytkownikami, aby ukierunkować kampanię reklamową prowadzoną na Facebooku. Sprawie przyjrzał się bliżej DPC (irlandzki urząd ochrony danych osobowych).

Jak wynika z raportu opublikowanego przez The Data Protection Commissioner (DPC) LinkedIn przetwarzał nielegalnie adresy e-mail około 18 MLN osób niebędących członkami serwisu w celu nadania kierunku reklamie na Facebooku. Skarga do DPC została złożona przez użytkownika spoza LinkedIn, dotyczyła bezprawnego pozyskania i wykorzystania jego adresu e-mail.

Kontrola LinkedIn przeprowadzony przez DPC

W związku ze złożoną skargą przeprowadzana została kontrola, która trwała od 1 stycznia 2018 roku do 24 maja 2018 roku. Podczas niej wykazano, że LinkedIn Corporation (LinkedIn Corp) z siedzibą w USA, przetwarzający dane w imieniu LinkedIn Ireland, przekazał około 18 MLN adresów e-mail osób niebędących użytkownikami w postaci zahasztagowanej lub zakodowanej Facebookowi w celu spersonalizowania reklamy, zachęcającej do rejestracji w serwisie LinkedIn.

Polubowne rozwiązanie skargi

Ostatecznie skarga została polubownie rozwiązana, a LinkedIn wdrożył szereg rozwiązań mających na celu zapobieżenie podobnym sytuacjom poprzez zaprzestanie przetwarzania w powyższy sposób danych.

To jednak nie koniec sprawy. DPC zaniepokojony problemami przeprowadził kolejną kontrolę w celu ustalenia, czy LinkedIn wdrożył odpowiednie środki bezpieczeństwa, ze szczególną uwagą zwróconą w kierunku przetwarzania danych osób niebędących użytkownikami. W rezultacie LinkedIn Ireland poinstruował LinkedIn Corp w sprawie ochrony danych osobowych i zgodnie z ustaleniami kazał usunąć dane osobowe powiązane z takim przetwarzaniem.

Na aprobatę z pewnością zasługują działania, jakie zostały podjęte przez LinkedIn oraz ścisła współpraca z organem nadzoru. Dzięki tak sprawnemu działaniu doszło do zapobieżenia dalszym naruszeniom w zakresie ochrony danych osobowych. Na marginesie należy dodać, że na LinkedIn nie została nałożona kara, ponieważ skarga wpłynęła przed 25 maja 2018 roku, czyli przed rozpoczęciem stosowania RODO, w tym okresie DPC, zgodnie z obowiązującymi uregulowaniami, nie miała kompetencji do nakładania kar finansowych.