Ostatnio bezpłatny audyt zamówiono minut temu

Zadzwoń do naszego konsultanta
phone
lub napisz email

Dane osobowe na bieżąco

Dowiedz się co nowego w temacie danych osobowych

Decyzja GIODO ws.przetwarzania przez Spółkę danych osobowych osób w związku z rezerwacją i zakupem biletów na przejazd

Decyzja GIODO ws.przetwarzania przez Spółkę danych osobowych osób w związku z rezerwacją i zakupem biletów na przejazd

Posted by Karol on Lis 30, 2016

I. Nakazująca usunięcie uchybień w procesie przetwarzania danych osobowych poprzez uzupełnienie dokumentu o opis przepływu danych pomiędzy poszczególnymi systemami oraz wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych, uwzględniające system informatyczny o nazwie (wykorzystywany do przetwarzania danych osobowych osób, które założyły konto w ww. systemie) Kontrola GIODO objęła przetwarzanie przez Spółkę danych osobowych osób w związku z rezerwacją i zakupem biletów na przejazd (przewóz). Na podstawie tak zgromadzonego materiału dowodowego ustalono, że w procesie przetwarzania danych osobowych Spółka, jako administrator danych, naruszyła przepisy o ochronie danych osobowych.   Zarzuty: 1. Umożliwienie dostępu do modułu administracyjnego systemu „[…]” o nazwie „[…]” bez odpowiednich zabezpieczeń, tj. niezastosowanie protokołu http (art. 36 ust. 1 ustawy). 2. Nieuwzględnienie systemu w opisie przepływu danych pomiędzy poszczególnymi systemami oraz w wykazie zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych (§ 3 ust. 2 oraz § 4 pkt 2 i 4 rozporządzenia). 3. Niewskazanie w zgłoszeniu do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych zbioru danych osobowych zgody na przetwarzanie danych osobowych jako podstawy prawnej upoważniającej administratora danych do prowadzenia zbioru danych oraz podanie niepełnego zakresu danych przetwarzanych w ramach ww. Zbioru oraz wszystkich celów przetwarzania tych danych (art. 41 ust. 1 pkt 2, 3 i 3a ustawy). 4. Niezmienianie przez użytkowników haseł dostępu do systemu.   Wskazówki GIODO: 1. W razie przesyłania danych metodą teletransmisji przy użyciu sieci publicznej zawsze istnieje możliwość przejęcia przesyłanych danych przez osobę nieuprawnioną. Istnieje również niebezpieczeństwo ich nieuprawnionej zmiany, uszkodzenia lub zniszczenia. Niezbędne jest zatem zastosowanie odpowiednich zabezpieczeń, które ochronią przesyłane dane. O tym, jakie środki należy zastosować, administrator danych powinien zdecydować samodzielnie. Może to być wymieniony w pytaniu protokół...

Czytaj dalej
Z kim muszę podpisywać umowę powierzenia przetwarzania danych osobowych?

Z kim muszę podpisywać umowę powierzenia przetwarzania danych osobowych?

Posted by Karol on Lis 29, 2016

Z kim muszę podpisywać umowę powierzenia przetwarzania danych osobowych? (kurier, poczta, księgowa, operator płatności, hosting)   W codziennej praktyce sklepy internetowe do realizacji swoich celów biznesowych bardzo często korzystają z usług firm zewnętrznych. W związku z tym pojawia się problem dostępu do danych i ich przetwarzania przez osoby trzecie. Sprzedawcy internetowi mają w związku z tym obowiązek zabezpieczenia danych osobowych swoich klientów przed ich bezprawnym wykorzystaniem poprzez spełnienie ustawowo określonych obowiązków. Zgodnie z ustawą o ochronie danych osobowych, administrator danych osobowych może powierzyć przetwarzanie danych innemu podmiotowi w drodze umowy zawartej na piśmie – czyli tzw. umowy powierzenia przetwarzania danych osobowych.   Czym jest powierzenie danych? Przetwarzanie danych osobowych jest dopuszczalne tylko wtedy, gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa, na co wskazuje bezpośrednio art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych. Powierzenie przetwarzania danych uregulowane jest w art. 31 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Art. 31 ust. 1 Admi­ni­stra­tor da­nych może po­wie­rzyć in­nemu pod­mio­towi, w dro­dze umowy za­war­tej na pi­śmie, prze­twa­rza­nie da­nych. Polega ono na tym, że administrator danych powierza w drodze pisemnej umowy ich przetwarzanie – w całości lub w części – innemu podmiotowi. Oznacza to, że administrator nie musi sam wykonywać wszystkich czynności związanych z procesem przetwarzania danych osobowych. Najczęściej umowy powierzenia przetwarzania danych zawierane są np. w celu dochodzenia wierzytelności lub w związku ze zleceniem innemu podmiotowi realizacji części zadań administratora (tzw. outsourcing). W pewnym uproszczeniu chodzi o przekazanie in­nej fir­mie ze­branych przez administratora danych oso­bowych po to, by ta firma zro­biła coś z tymi nimi w jego imieniu i na jego rzecz. Czy przekazując dane zawsze je powierzam? Są...

Czytaj dalej
Decyzja GIODO w sprawie zmiany hasła do systemu Windows

Decyzja GIODO w sprawie zmiany hasła do systemu Windows

Posted by Karol on Lis 23, 2016

Decyzja nakazująca usunięcie uchybień w procesie przetwarzania danych osobowych poprzez zapewnienie, aby zmiana hasła do systemu informatycznego „Windows 7”, w którym przetwarzane są dane osobowe osób wnioskujących o wydanie dokumentów związanych z przebiegiem zatrudnienia na podstawie przechowywanej przez Spółkę dokumentacji osobowej i płacowej następowała nie rzadziej niż co 30 dni, w terminie 2 miesięcy od dnia, w którym niniejsza decyzja stanie się ostateczna. Zarzuty GIODO: 1. Niezapewnienie, aby zmiana hasła do systemu informatycznego „Windows 7”, w którym przetwarzane są dane osobowe osób wnioskujących o wydanie dokumentów związanych z przebiegiem zatrudnienia na podstawie przechowywanej przez Spółkę dokumentacji osobowej i płacowej następowała nie rzadziej niż co 30 dni (część A pkt IV ust. 2 rozporządzenia). 2. Niespełnienie przez administratora danych wymogów, o których mowa w art. 39 ust. 1 ustawy w zakresie, w jakim prowadzona ewidencja osób upoważnionych nie zawierała identyfikatora użytkownika w systemie informatycznym, którym posługuje się on podczas uwierzytelniania w systemie informatycznym, będący jednocześnie identyfikatorem indeksującym wykonane przez niego operacje. Wskazówki GIODO 1. Zgodnie z częścią A pkt IV ust. 2 załącznika do rozporządzenia, w przypadku, gdy do uwierzytelniania użytkowników używa się hasła, jego zmiana następuje nie rzadziej, niż co 30 dni. W toku kontroli ustalono, iż hasło do systemu operacyjnego „Windows 7” na komputerze Specjalisty ds. administracji personalnej, z którego możliwy jest dostęp do pliku w formacie „Excel” (zawierającego imię i nazwisko osoby kierującej podanie o dostęp do dotyczącej jej dokumentacji osobowej i płacowej, w tym uzyskanie stosownych zaświadczeń stworzonych w oparciu o ww. dokumentację, zakres żądania, datę wysyłki skanu podania do P. Sp. z o.o. oraz adnotację, na której fakturze żądanie zostało rozliczone), a także do wiadomości...

Czytaj dalej
Zobacz więcej wpisów

POBIERZ DARMOWY PORADNIK!

Dowiedz się jak spełnić swoje obowiązki wobec GIODO

i jak dokonać rejestracji zbiorów danych osobowych!

Kliknij i pobierz poradnik