Spis treści
pytania i odpowiedzi
GIODO pytania i odpowiedzi 2
GIODO pytania i odpowiedzi 3
RODO pytania i odpowiedzi 1
Wszystkie strony

GIODO pytania i odpowiedzi


  • Czy prowadząc działalność gospodarczą i zatrudniając pracowników muszę zgłosic zbiór do GIODO?

Nie, zgodnie z 43 ust.1 pkt 4 ustawy o ochronie danych osobowych zbiory danych osobowych zawierające dane pracowników są zwolnione z rejestracji w GIODO. Nie zwalnia to jednak przedsiębiorcy z odpowiedniego zabezpieczenia tych danych zgodnie z wymogami ustawy oraz posiadania dokumentacji wymaganej przez Generalnego Inspektora Ochrony Danych Osobowych. 


  • Jakie obowiązki ma ADO gdy nie powołuje ABI?

Niepowołanie administratora bezpieczeństwa informacji(ABI) nie oznacza dla administratora danych osobowych(ADO) zwolnienia z obowiązków przewidzianych w Ustawie o ochronie danych osobowych (u.o.d.o.). Wręcz przeciwnie, gdy ADO podejmie taką decyzję, musi wypełnić nałożone obowiązki sam lub przy pomocy wyznaczonych do tego osób. Oczywiście w art. 36a u.o.d.o. znajdują się również takie obowiązki, z których administrator danych jest zwolniony, a mianowicie prowadzenie rejestru zbiorów oraz sporządzanie sprawozdania ze sprawdzenia, gdyż w myśl ustawy sprawozdanie to miał przekazywać administrator bezpieczeństwa informacji do ADO, a więc oczywistym jest fakt, że administrator danych, nie będzie przygotowywał sprawozdania sam dla siebie. Natomiast zbiory jakie miały by się znaleźć w rejestrze zbiorów prowadzonym przez ABI, administrator danych osobowych musi zgłosić do rejestracji u Generalnego Inspektora Ochrony Danych osobowych.


  • Czy brak konieczności rejestracji zbioru w GIODO zwalnia nie z przestrzegania ustawy o ochronie danych osobowych?

Nie, zwolnienie z obowiązku rejestracji zbioru nie zwalnia administratora danych z nałożonych przepisami obowiązków czyli:
- zastosowania środków informatycznych, organizacyjnych oraz posiadania wymaganych dokumentów  (Dz.U. nr 100, poz. 1024)
- informowania (art. 24 lub 25)
- pilnowania czy dane są zbierane zgodnie z prawem i przetwarzane tylko w zakresie dla którego zostały zebrane


  • Czy prowadząc sklep internetowy muszę zgłosic zbiór do GIODO?

Tak, ustawodawca przewiduje zwolnienie z konieczności rejestracji zbioru, który służy do wystawiania faktur bądź rachunku lub prowadzenia sprawozdawczości finansowych jednak w sklepie przetwarzamy zbiory również w celu wysyłki, opracowaniu zwrotów itp. W takim przypadku brak wymaganej dokumentacji oraz rejestracji zbioru będzie skutkował nałożeniem kar przez GIODO. Zbiory należy zarejestrować przed rozpoczęciem działalności. 


  • Czy biuro rachunkowe podlega pod ustawę o ochronie danych osobowych?

Tak, biuro rachunkowe przetwarza dane osobowe powierzone mu przez swoich klientów. W myśl art. 31 ustawy o ochronie danych osobowych dane takie zostają powierzone przez klienta do biura rachunkowego na podstawie umowy powierzenia danych. Biuro rachunkowe jest zobligowane w myśl tej samej ustawy do odpowiedniego zabezpieczenia otrzymanych danych czyli do stosowania się do polityki bezpieczeństwa oraz innych dokumentów wymaganych przez ustawę wdrożonych w danym biurze.


  • Czy powołanie ABI jest obowiązkowe?

Zgodnie z przepisami znowelizowanej ustawy, powołanie ABI jest uprawnieniem, a nie obowiązkiem administratora danych. Gdy ADO zdecyduje się nie powoływać ABI, wówczas obowiązki ABI przechodzą na niego. Skutkuje to tym, że administrator danych zamiast rejestrować ABI, musi zarejestrować w GIODO swoje zbiory danych osobowych, z wyłączeniem zbiorów, które rejestracji nie podlegają ? art. 43.1 ustawy o ochronie danych osobowych.


  • Czy po zgłoszeniu ABI trzeba zgłaszać zbiory danych do GIODO?

Uzależnione jest to od charakteru zbioru. W przypadku danych wrażliwych, o których mowa w art. 27 ust. 1 ustawy o ochronie danych osobowych, nadal istnieje obowiązek ich zgłaszania do Generalnego Inspektora przed rozpoczęciem przetwarzania. Jeżeli chodzi o pozostałe zbiory, nie ujęte w art. 27 ust. 1 ustawy, nie istnieje obowiązek ich zgłaszania. Obowiązek prowadzenia jawnego rejestru tych zbiorów, przechodzi wówczas na ABI.


  • Czy w przypadku zgłoszenia ABI do rejestracji w GIODO, trzeba wyrejestrować wcześniej zgłoszone zbiory?

ABI nie są zobowiązani do wnioskowania o wykreślenie z rejestru GIODO prowadzonych u siebie zbiorów z danymi zwykłymi.


  • Czy prowadząc jednoosobową działalność gospodarczą, muszę sporządzić i wdrożyć Politykę bezpieczeństwa i Instrukcję zarządzania systemem informatycznym

Tak, każdy administrator danych (niezależnie od jego wielkości) i każdy podmiot ma obowiązek odpowiednio zabezpieczyć przetwarzane przez siebie zbiory danych danych. W tym celu musi zostać przygotowana i wdrożona dokumentacja dotycząca sposobu przetwarzania danych i ich ochrony. Konieczne jest również zastosowanie ściśle określonych środków technicznych.


  • Czym może skutkować niedostosowanie infrastruktury do wymogów GIODO?

Wykrycie podczas kontroli naruszenie obowiązków wymaganych przez ustawę może skutkować zakazem przetwarzania danych osobowych co wiąże się z zaprzestaniem działalności i nakazem usunięcia wykrytych niezgodności. W przypadku niezastosowania się do zakazu można otrzymać grzywnę w wysokości 50 000 PLN za każde naruszenie ale nie więcej niż 200 000 PLN. Jednocześnie inspektor GIODO lub PIP może zawiadomić prokuraturę o dokonaniu przestępstwa polegającemu na niezgodnym z ustawą przetwarzaniu danych co grozi karą nawet do 2 lat pozbawienia wolności zgodnie z art. 49 ust. 1 ustawy o ochronie danych osobowych. 


  • Czy baza maili i telefonów klientów podlega pod ustawę o ochronie danych osobowych?

Tak, zgodnie z art. 6 za dane osobowe uważa  wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Oznacza to że posiadając takie dane należy stosować wszystkie zabezpieczenia i dokumentacje wymaganą przez GIODO. Jeśli dane służą nam nie tylko do wystawiania faktur to zbiór taki również musimy zarejestrować w GIODO.


  • Czy prowadzony w postaci papierowej rejestr przychodzącej i wychodzącej korespondencji jest zbiorem danych i czy podlega rejestracji?

Tak, zgodnie z definicją zawartą w art. 7 pkt 1 za zbiór uważa się "każdy posiadający strukturę zestaw danych o charakterze osobowym". Zgodnie z art. 2 ust. 2 pkt 1 ustawy o ochronie danych osobowych, ustawę tę stosuje się do przetwarzania danych osobowych w kartotekach, skorowidzach, księgach, wykazach i w innych zbiorach ewidencyjnych. Oznacza to, iż przepisy ustawy mają zastosowanie również w przypadku przetwarzania danych osobowych w zbiorach prowadzonych w formie tradycyjnej (papierowej), tj. bez użycia systemów informatycznych. Zgodnie z nowelizacją ustawy zbiory danych przetwarzane poza systemem informatycznym są zwolnione z obowiązku rejestracji. Oczywiście muszą być one ujęte w rejestrze prowadzonym przez ADO.


  • Czy przed rejestracją zbioru w GIODO należy najpierw wdrożyć politykę bezpieczeństwa?

Tak, sama rejestracja zbioru jest uwieńczeniem działań mających na celu zapewnienie przetwarzanym danym odpowiedniego bezpieczeństwa. Zgodnie z art. 36 ust. 1  ustawy o ochronie danych osobowych jesteśmy zobowiązani do odpowiednich środków zarówno technicznych jak i organizacyjnych.


  • Czy należy zgłosić do GIODO zbiór danych osób korzystających z newslettera?

Tak, pozyskane adresy e-mail stanowią zbiór danych osobowych w rozumieniu art. 7 ust. 1 ustawy, zgodnie z którym zbiór danych rozumiany jest jako każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie.


  • Czy biblioteka ma obowiązek rejestracji zbiorów danych czytelników?

Tak, zbiory danych czytelników biblioteki podlegają rejestracji, istnieją jednak od tego odstępstwa w myśl art. 43 ust. 1 pkt 4 ustawy, z obowiązku rejestracji zwolnione są zbiory, w których gromadzone są dane osobowe dotyczące wyłącznie osób uczących się oraz zatrudnionych u administratora danych osobowych. Rejestracji również nie podlegają zbiory danych dotyczących użytkowników systemu biblioteczno-informacyjnego, które prowadzone są przez uczelnie wyższe.


  • Czy spółdzielnia mieszkaniowa podlega ustawie oo ochronie danych osobowych?

Tak, spółdzielnia mieszkaniowa jest takim samym ADO jak każdy inny podmiot, przetwarza przecież dane swoich pracowników czy lokatorów. Zatem zgodnie z art 36 musi posiadać opracowaną i wdrożoną pełną dokumentację przewidzianą przez ustawę o ochronie danych osobowych.


  • Czy przekazując dane osobowe klientów, zewnętrznym firmom łamię prawo?

Nie, jeśli przekazanie danych następuje na podstawie wiążącej umowy i podmiot, któremu przekazujemy dane jest w stanie, w odpowiedni sposób je zabezpieczyć. Wynika to z art. 31 ust. 1 ustawy o ochronie danych osobowych, Administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych.
Należy jednak pamiętać, że zgodnie z art. 35 ust 3 tejże ustawy, Administrator danych jest zobowiązany poinformować bez zbędnej zwłoki innych administratorów, którym udostępnił zbiór danych, o dokonanym uaktualnieniu lub sprostowaniu.


  • Czy szkoła prowadząc e-dziennik narusza przepisy ustawy o ochronie danych osobowych?

Nie, według GIODO dziennik lekcyjny prowadzony w formie elektronicznej nie narusza prawa uczniów, rodziców i nauczycieli do ochrony danych osobowych. Wynika to z faktu, że przepisy ustawy określają tylko ogólne zasady przetwarzania danych. W sytuacji, gdy występują szczególne wobec ustawy przepisy prawa, trzeba je zastosować jako pierwsze. W tym przypadku zasady tworzenia i prowadzenia dzienników lekcyjnych określają przepisy dotyczące oświaty. Mowa tu m.in. o rozporządzeniu ministra edukacji narodowej i sportu z dn. 19 lutego 2002r., które określa w jaki sposób, publiczne przedszkola, szkoły i placówki mają prowadzić dokumentację przebiegu nauczania oraz jaki ma być jej rodzaj.

Podkreślić należy tutaj, że zarówno dzienniki w formie papierowej jak i elektronicznej muszą być w odpowiedni sposób i przy pomocy określonych środków, zabezpieczone przed dostępem osób nieuprawnionych.


  • Co GIODO może zrobić w sprawie przesyłania SPAMU?

Jeżeli chodzi o spam, ustawa o ochronie danych osobowych ma bardzo ograniczone zastosowanie. Kwestie te regulują odrębe przepisy prawa. W odniesieniu do ustawy można jedynie wnieść sprzeciw wobec przetwarzania danych osobowych do administratora danych. Jednak wysyłając maila zwrotnego ze sprzeciwem na adres, z ktorego otrzymaliśmy spam, musimy pamiętać, że pomoże on zidentyfikować nasze konto jako aktywne, co spowoduje, że nasza poczta elektroniczna nadal będzie atakowana przez programy spamerskie. GIODO może wszcząć postępowanie administracyjne w przypadku nie zastosowania się administratora danych do sprzeciwu przeciw przetwarzaniu danych w celach marketingowych. Należy zauważyć, że jest to najskuteczniejsze w przypadku tradycyjnych działań marketingowych, gdy znany jest nam administrator danych.


  • Jakie dane mogą zbierać Przedsiębiorcy telekomunikacyjni na potrzeby rejestracji kart pre-paid?Zgodnie z art. 60b ust. 1 pkt 1 ustawy z dnia 16 lipca 2004 r. - Prawo telekomunikacyjne, abonent będący osobą fizyczną podaje dostawcy usług następujące dane: a) imię i nazwisko, b) numer PESEL, jeżeli go posiada, albo nazwę, serię i numer dokumentu potwierdzającego tożsamość, a w przypadku cudzoziemca, który nie jest obywatelem państwa członkowskiego albo Konfederacji Szwajcarskiej - numer paszportu lub karty pobytu. Powyższy przepis wskazuje dane, jakie abonent - kupujący kartę pre-paid jest obowiązany podać dostawcy usług przedpłaconych.





    • Czym jest rejestr ABI?
      W chwili powołania przez Administratora Danych Osobowych osoby na stanowisko ABI przestaje na nim ciążyć obowiązek rejestracji zbiorów w GIODO, jeśli nie przetwarza on zbiorów wrażliwych. ABI jest wtedy zobowiązany do prowadzenia jawnego rejestru zbiorów danych osobowych które wymagałyby rejestracji bez powołania ABI. W rejestrze tym muszą się znaleźć: a) nazwa zbioru danych osobowych, b) oznaczenie administratora danych osobowych, c) jeśli został wyznaczony przedstawiciel ADO to jego nazwa i adres siedziby, d) jeśli dane są przekazywane to nazwa i adres siedziby podmiotu któremu dane przekazujemy, e) podstawa prawna przetwarzania danych, f) cel przetwarzania danych, g) opis kategorii osób, których dane są przetwarzane, h) zakres przetwarzanych danych, i) w jaki sposób zbierane są dane, j) sposób udostępniania danych, k) oznaczenie odbiorcy danych, l) informacje dotyczące ewentualnego przekazywania danych do państw trzecich.


    • Czy w CV koniecznie musi być zgoda na przetwarzanie danych osobowych?
      Nie, jeśli kandydat na pracownika aplikuje bezpośrednio do pracodawcy a w CV znajdują się jedynie dane wymagane przez przepisy. Zakres danych jakie pracodawca może wymagać są określone przez Kodeks Pracy. Należą do nich: imię, nazwisko, imiona rodziców, data urodzenia, adres, przebieg dotychczasowego zatrudnienia oraz wykształcenie. Pracodawca może wymagać podania innych danych jeśli wynika to z innych przepisów. Należy tu zauważyć iż kandydacj często zamieszczają dodatkowe dane takie jak nr telefonu, zdjęcie itp. Pamiętajmy również iż w przypadku gdy w CV znajdują się dane do których nie ma podstawy prawnej przetwarzania np dane o stanie zdrowia, preferencjach seksualnych itp, osoba odbierająca CV przed przekazaniem ich dalej musi te dane usunąć.  Należy pamiętać że po zakończeniu procesu rekrutacji, wszystkie CV osób które nie zostały zatrudnione należy usunąć, zarówno wersje papierowe jak również skasować z systemów informatycznych. Jeżeli rekrutacja jest prowadzona przez inny podmiot np agencję pracy, taka zgoda jest wymagana.


    • Czy można zachować CV kandydatów do późniejszych rekrutacji?
      Tak, w takim przypadku należy dodać stosowną zgodę na przetwarzanie danych osobowych w celu późniejszych rekrutacji.  
      >

    • Kiedy należy podpisać umowę powierzenia przetwarzania danych osobowych?
      Każdy administrator danych, który przekazuje przetwarzane przez niego dane osobowe podmiotom zewnętrznym, jest zobowiązany podpisać z tymi podmiotami umowę powierzenia przetwarzania danych osobowych. Wyłączenie stanowią tutaj podmioty będące jednostkami nadrzędnymi dla ADO.

    • Czy wysyłając dane osobowe przez internet należy je zabezpieczać?
      Tak, ustawa mówi iż w przypadku przesyłania danych osobowych poprzez internet, należy zastosować środki kryptograficzne. W przypadku zbierania danych osobowych np poprzez formularz kontaktowy umieszczony na stronie należy stosować szyfrowanie łącza przy pomocy klucza SSL. Natomiast gdy chcemy dane osobowe wysłać przy pomocy e-malia można zastosować szyfrowanie kluczem PGP, jest ono bardzo wygodne dla użytkownika gdyż może być niewidoczne dla użytkownika. Drugim sposobem jest np. spakowanie danych przy pomocy programu 7zip z nadaniem hasła.  

 

    • Czy wynosząc dane osobowe w postaci elektronicznej poza obszar przetwarzania, należy je zabezpieczyć?Tak, dane w postaci elektronicznej wynoszone poza obszar przetwarzania np. do domu, do klienta itp muszą być przenoszone jedynie na urządzeniach zaszyfrowanych. Dotyczy to laptopów, telefonów, dysków zewnętrznych, pendrive czy płyt CD/ DVD.     



     RODO


    RODO (Rozporządzenie o Ochronie Danych Osobowych) celem rozporządzenia jest ujednolicenie przepływu danych osobowych pomiędzy państwami Unii Europejskiej. Zastąpi ono dyrektywę 95/46/WE Parlamentu Europejskiego i Rady WE z 1995r.

    Głownymi zmianami są:

    •     Zastąpienie 28 regulacji dotyczących ochrony danych osobowych stosowanych w Unii Europejskiej.
    •     Powiadamianie przez podmiot przetwarzający dane osobowe organu nadzorczego - Urzędu Ochrony Danych Osobowych -  oraz osób których dane dotyczą o incydencie utraty danych.
    •     Zwiększenie kwoty kar oraz nadanie szerszych kompetencji UODO w celu skuteczniejszego egzekwowania ustaw.


    Rozporządzenie będzie obowiązywać od 25.05.2018 roku.

    • Kim jest Inspektor ochrony danych?

    Funkcja obecnych administratorów bezpieczeństwa informacji (ABI) wraz z wejściem nowych przepisów przekształcena zostanie w inspektorów ochrony danych, będących specjalistami powołanymi przez administratorów danych osobowych(ADO) w celu pomagania im w procesie przetwarzania danych osobowych. Szeroki wachlarz zadań inspektora ochrony danych, wymaga by taka osoba posiadała fachową wiedzę z tematu prawa i praktyk w zakresie ochrony danych osobowych.

    • Czy jest obowiązek powoływania Inspektora ochrony danych?

    W przeciwieństwie do obecnj ustawy Ogólne rozporządzenie o ochronie danych osobowych zakłada sytuacje, kiedy wyznaczenie inspektora ochrony danych będzie konieczne, np. w przypadku organów lub podmiotów publicznych. Obowiązek taki nałożony będzie również na ADO przetwarzających dane wrażliwe na dużą skalę.

 
Zadaj pytanie on-line Napisz do nas... Wyślij stat4u