Ostatnio bezpłatny audyt zamówiono minut temu

Zadzwoń do naszego konsultanta
phone
lub napisz email

GIODO

Generalny Inspektor Ochrony Danych Osobowych

W jaki sposób agencja reklamowa może przeprowadzić zgodnie z ustawą o danych osobowych akcję promocyjną? 0

W jaki sposób agencja reklamowa może przeprowadzić zgodnie z ustawą o danych osobowych akcję promocyjną?

  W JAKI SPOSÓB AGENCJA REKLAMOWA MOŻE PRZEPROWADZIĆ ZGODNIE Z USTAWĄ O OCHRONIE DANYCH OSOBOWYCH AKCJĘ PROMOCYJNĄ, POLEGAJĄCĄ NA ZEBRANIU ADRESÓW E-MAIL I PRZEKAZANIU ICH SWOJEMU KLIENTOWI DO CELÓW MARKETINGOWYCH? CZY MOŻNA WYSYŁAĆ INFORMACJE NA ADRESY E-MAIL, KTÓRE ZNAJDUJĄ SIĘ W POSIADANEJ BAZIE DANYCH, BEZ POZYSKIWANIA KAŻDORAZOWO ZGODY OSÓB, DO KTÓRYCH KIEROWANA BĘDZIE KORESPONDENCJA?     Prawo nie zawiera zamkniętego katalogu danych osobowych. By zakwalifikować dane jako dane osobowe każdorazowo należy dokonać oceny uwzględniając okoliczności oraz rodzaj środków i metody potrzebne do identyfikacji danej osoby.   Idąc tym tropem by ocenić, czy określony adres e-mail będzie daną osobową niezbędna będzie analiza wszelkich informacji związanych z danym adresem e-mail (np. IP komputera, czy danych z formularza wypełnianego przy tworzeniu konta pocztowego).   Dopiero po przeanalizowaniu tych informacji – dane uzyskane z tej analizy będą mogły pozwolić na bezpośrednie zidentyfikowanie osoby fizycznej lub umożliwią jej pośrednią identyfikację. Istnieje zatem możliwość identyfikacji osoby będącej użytkownikiem danego adresu, podobnie jak na podstawie adresu IP użytkownika komputera. Podstawowym kryterium ułatwiającym uznanie adresu e-mail za daną osobową będzie w szczególności jego treść (np. zawierająca imię lub skrót imienia i nazwisko). Nie zawsze jednak adres ten doprowadzi do identyfikacji osoby fizycznej. Może dotyczyć również podmiotów innych niż będących osobami fizycznymi. Adres poczty elektronicznej należy zatem traktować jako informację, która potencjalnie może...

Learn More
Ujawnienie listy mailingowej a prawo DOLIS-035-1157/15 0

Ujawnienie listy mailingowej a prawo DOLIS-035-1157/15

Adres poczty elektronicznej e-mail może być uznany za daną osobową. Niestety często dochodzi do naruszenia bezpieczeństwa danych wskutek nieuważnego udostępniania listy odbiorców wiadomości podczas wysyłek masowych. Administrator danych winien zapewnić środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych adresatów wiadomości.   Obowiązki ADO a wysyłka masowa korespondencji elektronicznej   Wystąpienie GIODO w sprawie DOLIS-035-1157/15 z 19 sierpnia 2015 r. do Spółki dotyczyło wysłania wiadomości ujawniającej listę mailingową, zawierającą dane osobowe innych adresatów tejże wiadomości – takie jak adres email oraz imię i nazwisko wraz z odpowiedzią. Zgodnie z art. 26 ust. 1 pkt 1 ustawy o ochronie danych osobowych, administrator danych przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były przetwarzane legalnie. Administrator danych winien zapewnić by dane osobowe były zbierane dla oznaczonych, zgodnych z prawem celów i nie poddawane dalszemu przetwarzaniu niezgodnemu z tymi celami.   W praktyce oznacza to tyle, że osoba (do której skierowana jest korespondencja przesyłana także do innych odbiorców), co do zasady, nie powinna mieć możliwości zapoznawania się z danymi pozostałych adresatów wiadomości. Administrator danych osobowych ma obowiązek  przestrzegania przepisów ustawy o ochronie danych osobowych.   Art. 36. 1. Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią...

Learn More
Decyzja GIODO dotycząca nadawania upoważnień do przetwarzania danych osobowych 0

Decyzja GIODO dotycząca nadawania upoważnień do przetwarzania danych osobowych

Nakazująca przywrócenie stanu zgodnego z prawem poprzez nadanie osobom dopuszczonym do przetwarzania danych osobowych upoważnień oraz uzupełnienie dokumentacji stanowiącej politykę bezpieczeństwa w zakresie opisu przepływu danych pomiędzy systemami. Zarzuty: 1. Dopuszczenie do przetwarzania danych osobowych w Spółce osób, którym nadano upoważnienia niezgodnie z art. 37 ustawy. Pracownicy Spółki zostali zbiorczo upoważnieni do przetwarzania danych osobowych w Spółce w zakresie powierzonych obowiązków. Osoby wymienione w dokumencie otrzymały zgodę na przetwarzanie danych osobowych w Spółce. Zgoda została wyrażona poprzez podpisanie ww. dokumentu przez administratora bezpieczeństwa informacji, który jednak nie posiada pisemnego upoważnienia do nadawania upoważnień do przetwarzania danych osobowych w imieniu administratora danych. 2. Nieuwzględnienie w prowadzonej w Spółce dokumentacji stanowiącej politykę bezpieczeństwa opisu przepływu danych pomiędzy systemami z uwzględnieniem systemu informatycznego o nazwie A, w którym przetwarzane są dane osobowe pracowników i kandydatów do pracy w Spółce (art. 36 ust. 2 w zw. z § 4 pkt 4 rozporządzenia). 3. Niedopełnienie obowiązku, aby w systemach sieciowych oraz w systemie informatycznym o nazwie A (w którym przetwarzane są dane osobowe pracowników i kandydatów do pracy w Spółce) hasła używane do uwierzytelniania użytkowników były zmieniane nie rzadziej niż co 30 dni (część A pkt IV ust. 2 załącznika do rozporządzenia). Wskazówki GIODO: 1. art. 37 ustawy, do przetwarzania danych mogą być dopuszczone...

Learn More
Czy zgłoszenie zbioru danych do GIODO jest trudne? 0

Czy zgłoszenie zbioru danych do GIODO jest trudne?

Każdy przedsiębiorca z pewnością staje przed tym dylematem. Otóż, odpowiedź brzmi przecząco. Zgłoszenie zbioru danych do GIODO nie jest trudne i jest możliwe do wykonania samodzielnie. Oczywiście, jak się Państwo zapewne przekonają, fachowa wiedza jest jednak bardzo przydatna.   1. By zgłosić do GIODO zbiór danych osobowych, należy złożyć wniosek. Istnieje kilka dróg złożenia takiego wniosku: 1. elektronicznie przy użyciu podpisu elektronicznego 2. elektronicznie bez użycia podpisu elektronicznego + zgłoszenie papierowe (z własnoręcznym podpisem i pieczątką) w tym celu ze strony GIODO należy pobrać formularz elektroniczny i wypełnić wniosek. 3. pocztą – na adres Biura Generalnego Inspektora Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa) w tym celu należy pobrać ze strony GIODO – wzór zgłoszenia danych do rejestracji i przesłać na adres Biura Generalnego Inspektora Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa) 4. osobiście w Biurze Generalnego Inspektora Ochrony Danych Osobowych Samo zgłoszenie zbioru danych osobowych to jednak nie wszystko. Ustawa wymaga sporządzenia pisemnej dokumentacji, która będzie określać sposób przetwarzania danych oraz opisywać środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych.   2. Każdy e-sklep musi mieć również opracowaną i wdrożoną: Politykę bezpieczeństwa danych osobowych, która opisuje zasady przetwarzania danych osobowych (w formie papierowej i elektronicznej) w organizacji. Zgodnie z Rozporządzeniem MSWiA, Polityka powinna zawierać w...

Learn More
Decyzja GIODO ws.przetwarzania przez Spółkę danych osobowych osób w związku z rezerwacją i zakupem biletów na przejazd 0

Decyzja GIODO ws.przetwarzania przez Spółkę danych osobowych osób w związku z rezerwacją i zakupem biletów na przejazd

I. Nakazująca usunięcie uchybień w procesie przetwarzania danych osobowych poprzez uzupełnienie dokumentu o opis przepływu danych pomiędzy poszczególnymi systemami oraz wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych, uwzględniające system informatyczny o nazwie (wykorzystywany do przetwarzania danych osobowych osób, które założyły konto w ww. systemie) Kontrola GIODO objęła przetwarzanie przez Spółkę danych osobowych osób w związku z rezerwacją i zakupem biletów na przejazd (przewóz). Na podstawie tak zgromadzonego materiału dowodowego ustalono, że w procesie przetwarzania danych osobowych Spółka, jako administrator danych, naruszyła przepisy o ochronie danych osobowych.   Zarzuty: 1. Umożliwienie dostępu do modułu administracyjnego systemu „[…]” o nazwie „[…]” bez odpowiednich zabezpieczeń, tj. niezastosowanie protokołu http (art. 36 ust. 1 ustawy). 2. Nieuwzględnienie systemu w opisie przepływu danych pomiędzy poszczególnymi systemami oraz w wykazie zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych (§ 3 ust. 2 oraz § 4 pkt 2 i 4 rozporządzenia). 3. Niewskazanie w zgłoszeniu do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych zbioru danych osobowych zgody na przetwarzanie danych osobowych jako podstawy prawnej upoważniającej administratora danych do prowadzenia zbioru danych oraz podanie niepełnego zakresu danych przetwarzanych w ramach ww. Zbioru oraz wszystkich celów przetwarzania tych danych (art. 41 ust. 1 pkt 2, 3 i 3a ustawy). 4. Niezmienianie przez użytkowników haseł dostępu do...

Learn More
Decyzja GIODO w sprawie zmiany hasła do systemu Windows 0

Decyzja GIODO w sprawie zmiany hasła do systemu Windows

Decyzja nakazująca usunięcie uchybień w procesie przetwarzania danych osobowych poprzez zapewnienie, aby zmiana hasła do systemu informatycznego „Windows 7”, w którym przetwarzane są dane osobowe osób wnioskujących o wydanie dokumentów związanych z przebiegiem zatrudnienia na podstawie przechowywanej przez Spółkę dokumentacji osobowej i płacowej następowała nie rzadziej niż co 30 dni, w terminie 2 miesięcy od dnia, w którym niniejsza decyzja stanie się ostateczna. Zarzuty GIODO: 1. Niezapewnienie, aby zmiana hasła do systemu informatycznego „Windows 7”, w którym przetwarzane są dane osobowe osób wnioskujących o wydanie dokumentów związanych z przebiegiem zatrudnienia na podstawie przechowywanej przez Spółkę dokumentacji osobowej i płacowej następowała nie rzadziej niż co 30 dni (część A pkt IV ust. 2 rozporządzenia). 2. Niespełnienie przez administratora danych wymogów, o których mowa w art. 39 ust. 1 ustawy w zakresie, w jakim prowadzona ewidencja osób upoważnionych nie zawierała identyfikatora użytkownika w systemie informatycznym, którym posługuje się on podczas uwierzytelniania w systemie informatycznym, będący jednocześnie identyfikatorem indeksującym wykonane przez niego operacje. Wskazówki GIODO 1. Zgodnie z częścią A pkt IV ust. 2 załącznika do rozporządzenia, w przypadku, gdy do uwierzytelniania użytkowników używa się hasła, jego zmiana następuje nie rzadziej, niż co 30 dni. W toku kontroli ustalono, iż hasło do systemu operacyjnego „Windows 7” na komputerze Specjalisty ds. administracji personalnej,...

Learn More
Decyzja GIODO w sprawie przetwarzania danych osobowych przy zamówieniu anulowanym przed jego realizacją 0

Decyzja GIODO w sprawie przetwarzania danych osobowych przy zamówieniu anulowanym przed jego realizacją

Decyzja z 14 lipca 2015 r. nakazująca usunięcie uchybień dotyczących przetwarzania danych osobowych klientów sklepu internetowego, którzy złożone zamówienia anulowali przed ich realizacją. Kontrola GIODO wykazała, że w sklepie internetowym nie są obecnie usuwane dane związane ze złożonym zamówieniem, w tym dane osobowe podane do faktury oraz dane do wysyłki zamówionych towarów lub usług (o ile nie są tożsame z danymi do faktury VAT), nawet wówczas, gdy klient anulował to zamówienie. Sklep internetowy nie realizuje obowiązku informacyjnego o którym mowa w art. 25 ust. 1 ustawy w stosunku do klientów, dla których zamówienie na oferowany przez Spółkę certyfikat jest składane za pośrednictwem partnera – podmiotu współpracującego ze Spółką w zakresie sprzedaży certyfikatów, posiadającego konto w sklepie internetowym Spółki, tj. w zakresie wskazanym w art. 25 ust.1 pkt 3 i pkt 5 ustawy, tj. dotyczących źródła danych oraz uprawnień wynikających z art. 32 ust. 1 pkt 7 i 8 ustawy. Zarzuty: 1) przetwarzanie danych osobowych klientów sklepu internetowego Spółki w związku ze złożonym przez nich zamówieniem, które następnie zostało anulowane przez klienta – brak podstawy prawnej legalnego przetwarzania danych 2) nierealizowanie obowiązku informacyjnego, o którym mowa w art. 25 ust. 1 ustawy w stosunku do klientów, dla których zamówienie na oferowany przez Spółkę certyfikat jest składane za pośrednictwem partnera –...

Learn More
Decyzja GIODO w sprawie warunków technicznych systemów informatycznych służących do przetwarzania danych osobowych 0

Decyzja GIODO w sprawie warunków technicznych systemów informatycznych służących do przetwarzania danych osobowych

Decyzja w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. GIODO wykrył w procesie przetwarzania danych osobowych naruszenia administratora serwisu internetowego polegające na niezawarciu umów powierzenia z podmiotem zewnętrznym, niezarejestrowaniu zbioru danych w GIODO, nieopracowaniu obowiązkowej dokumentacji przetwarzania danych osobowych oraz uchybienia w procesie stosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych. Zarzuty GIODO: Spółka powierza przetwarzanie danych osobowych pozyskiwanych w toku rejestracji użytkownika serwisu internetowego podmiotowi mimo, ze nie zawarła umowy powierzenia przetwarzania ww. danych osobowych zgodnie z art. 31 ust. 1 ustawy o ochronie danych osobowych, określających cel i zakres, w jakim podmioty te mogą przetwarzać powierzone dane osobowe, Spółka nie realizuje wobec użytkowników serwisu internetowego (o którym mowa w art. 24 ust. 1 ustawy o ochronie danych osobowych) i osób wskazanych przez użytkowników serwisu obowiązku informacyjnego, (o którym mowa w art. 25 ust. 1 ustawy o ochronie danych osobowych) Niestosowanie odpowiednich do zagrożeń środków technicznych w celu ochrony danych osobowych w toku uwierzytelniania użytkowników serwisu internetowego oraz podczas wprowadzania i modyfikacji danych osobowych przetwarzanych w ramach kont użytkowników tego serwisu poprzez wprowadzenie środków kryptograficznej ochrony wyżej wskazanych danych, Niezapewnienie, aby hasło logowania do systemu informatycznego o nazwie A, w którym przetwarzane są dane osobowe użytkowników serwisu internetowego o nazwie było zmieniane...

Learn More
Brak zgłoszenia do GIODO – jakie czekają nas kary? 0

Brak zgłoszenia do GIODO – jakie czekają nas kary?

Jakie kary grożą za brak zgłoszenia do GIODO? Zapewne niejeden sklep internetowy zadał sobie pytanie „co, jeśli nie zgłoszę zbioru danych do GIODO”? Świadomość problematyki ochrony danych i prywatności u administratorów danych osobowych i obywateli jest wprawdzie w Polsce już dość wysoka, ale mimo to mają oni duże poczucie bezkarności, a obywatele wrażenie nieegzekwowalności swoich praw. Skuteczna ochrona bezpieczeństwa danych osobowych klientów rozpoczyna się dopiero w momencie rejestracji zbiorów danych osobowych w GIODO. A co na to prawo? Obowiązujące od 1 stycznia 2015 r. znowelizowane przepisy ustawy o ochronie danych osobowych wprowadzają nowe zasady rejestracji zbiorów danych osobowych. Problem odpowiedzialności za zgłoszenie zbiorów danych osobowych do GIODO wiąże się nierozerwalnie z faktem powołania lub niepowołania funkcji ABI w swojej firmie. W aktualnym stanie prawnym mamy do czynienia z następującą sytuacją: Art. 40 i art. 43 ust. 1 i 1a Ustawy o ochronie danych osobowych Obowiązkowi rejestracji zbiorów danych osobowych, z wyjątkiem zbiorów zawierających dane, o których mowa w art. 27 ust. 1, nie podlega administrator danych, który powołał Administratora Bezpieczeństwa Informacji i zgłosił go Generalnemu Inspektorowi do rejestracji oraz Art. 53. Kto będąc do tego obowiązany nie zgłasza do rejestracji zbioru danych, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. Jest to przestępstwo umyślne, formalne, ścigane z urzędu. Podmiotem...

Learn More

POBIERZ DARMOWY PORADNIK!

Dowiedz się jak spełnić swoje obowiązki wobec GIODO

i jak dokonać rejestracji zbiorów danych osobowych!

Kliknij i pobierz poradnik