czwartek, Styczeń 30, 2020
Facebook
Home Tagi Wpis otagowany "przetwarzanie danych osobowych"

przetwarzanie danych osobowych

Rozpoczął się tegoroczny Generalny Pomiar Ruchu, który wykonywany jest co pięć lat. Przeprowadza go GDDKiA oraz zarządcy dróg wojewódzkich. Na sieci dróg krajowych pomiary będą prowadzone w ok. 2300 punktach (dla porównania w 2015 roku było to ok. 1950).

Wideorejstracja

Praktycznie we wszystkich punktach wykorzystamy metodę wideorejestracji, uzupełniając ją dodatkowo wynikami z automatycznych punktów pomiaru ruchu (około procent wszystkich punktów).

Pomiary w podstawowym cyklu prowadzi się w dziewięciu specjalnie wybranych dniach w ciągu roku. Chodzi o cztery dni z pomiarem 24-godzinnym oraz pięć dni z pomiarem 16-godzinnym. Dla każdego dnia pomiarowego są dwa terminy rezerwowe.

Cel badania

Głównym celem GPR 2020 jest uzyskanie zasadniczych parametrów i charakterystyk ruchu dla wszystkich odcinków sieci dróg krajowych. Poza miastami na prawach powiatu. Wyniki takich pomiarów są podstawowym źródłem informacji o ruchu drogowym w Polsce. Zebrane dane wykorzystuje administracja drogową m.in. do realizacji zadań związanych z zarządzaniem, utrzymaniem i planowaniem sieci drogowej. Przypomnijmy, że w 2015 roku SDRR na sieci dróg krajowych wyniósł 11178 poj./ dobę. Był o 14 proc. wyższy niż w 2010 roku. Najbardziej obciążonymi odcinkami dróg krajowych (ruch powyżej 100 tys. poj./dobę) była trasa S8 w Warszawie. Ponadto droga ekspresowa S86 na odcinku Sosnowiec – Katowice oraz autostrada A4 na odcinku przechodzącym  przez Katowice.

Syntezę wyników pomiaru ruchu poznamy wiosną, a szczegółowe dane jesienią 2021 r. Oprócz tego GDDKiA prowadzi w sposób ciągły automatyczne pomiary ruchu w wybranych lokalizacjach na sieci dróg krajowych. Z nich szczegółowe dane co roku udostępnione są na naszej stronie internetowej https://www.gddkia.gov.pl/pl/2876/Stacje-Ciaglych-Pomiarow-Ruchu

Pomiary wideo – informacja o przetwarzaniu danych osobowych

Chodzi o wizerunki przypadkowych osób znajdujących się w kadrze lub nr rejestracyjne pojazdów. Obszar objęty rejestracją obejmuje przede wszystkim jezdnie drogi, na których prowadzony jest pomiar. Zależnie od ustawienia kamery, w kadrze może znajdować się również pas drogowy i ewentualnie elementy z nim sąsiadujące.

Administratorem danych osobowych zarejestrowanych w ramach pomiarów ruchu realizowanych metodą wideorejestracji jest Generalny Dyrektor Dróg Krajowych i Autostrad,

Bez nart i bez dowodu nie poszusujesz?

13 stycznia rozpoczęly się w Polsce ferie zimowe. Na potęgę wypożyczamy sprzęt sportowy, a eksperci ChronPESEL.pl ostrzegają: brak rozwagi w tej sytuacji może skończyć się utratą danych osobowych!

Jak podaje Urząd Ochrony Danych Osobowych, do urzędników docierają sygnały, że w wypożyczalniach sprzętu zimowego wciąż żąda się od klientów pozostawienia w zastaw dowodu osobistego. Prezes UODO przypomina: to niezgodne z prawem! I dodaje, by nie tylko nie pozostawiać w wypożyczalniach dowodów osobistych, paszportów, praw jazdy czy legitymacji, ale też nie godzić się na ich kopiowanie.

Pozostawiony bez kontroli dokument lub co gorsza – skopiowany, może posłużyć złodziejowi do kradzieży tożsamości i zaciągnięcia kredytu na nasze dane. W 2017 r. doszło do blisko 50 tys., a w 2018 roku – do 70 tys. prób wyłudzenia kredytu w bankach na skradzione dane. Dokładna liczba wyłudzeń nie jest znana. Instytucje finansowe ujawniają jedynie przypadki, w których wyłudzeniom kredytów udało się zapobiec. Te kwoty również się wahają – od ponad 300 milionów złotych do ponad 2 miliardów złotych rocznie.

Dobry zwyczaj: wypożyczaj… ale za kaucją

Pamiętajmy, że od lipca 2019 r., zgodnie z Ustawą o dokumentach publicznych, firmy nie mogą już kopiować dowodów osobistych, paszportów, praw jazdy, kart pojazdu czy legitymacji, jeśli nie jest to prawnie uzasadnione. Dodatkowo w sukurs przychodzi nam RODO: w dowodzie osobistym jest bowiem nazwisko, imię, PESEL, data i miejsce urodzenia, płeć, wiek, zdjęcie, czyli dane osobowe, które powinny być chronione. Zgodnie z RODO zaś można przetwarzać takie informacje tylko w określonym celu.

Tu musimy wykazać się zarówno asertywnością, jak i dużą czujnością oraz znajomością prawa. W wypożyczalni sprzętu zimowego nikt nie może żądać od nas pozostawienia dowodu osobistego. Komunikat UODO wyraźnie to potwierdza. Powołajmy się również na ustawę o dokumentach publicznych, a zamiast dowodu wpłaćmy kaucję za sprzęt. Pracownik wypożyczalni może też spisać nasze dane kontaktowe – radzi Bartłomiej Drozd, ekspert Serwisu ChronPESEL.pl.

Przetwarzanie? Zgoda, ale na moich warunkach

Analogiczna sytuacja jak na stoku może nas spotkać w hotelu czy pensjonacie. Eksperci ChronPESEL.pl podkreślają, że przy meldunku równie często tracimy swój dowód z oczu.

Wielu z nas nie wie, że od kilku lat obiekty tego typu nie mają obowiązku meldunku swoich gości na pobyt czasowy. Nie powinniśmy godzić się więc na kopiowanie dowodu osobistego czy pozostawiania go na recepcji, a jeśli ktoś żąda od nas tego, lepiej taki fakt zgłosić do odpowiedniego urzędu – radzi Bartłomiej Drozd i dodaje: – Podawanie numeru PESEL czy adresu zamieszkania w wielu instytucjach jest koniecznością. Mamy z tym do czynienia na co dzień w szpitalach, przychodniach i urzędach. Jednak, jeśli ktoś oczekuje takich informacji przy innej okazji zawsze upewnijmy się, w jaki sposób podane przez nas dane będą wykorzystywane i czy możemy je potem usunąć.

Warto wiedzieć, że ChronPESEL.pl to usługa zwiększająca ochronę przed konsekwencjami utraty danych osobowych. Jej użytkownik otrzymuje informację o bezprawnym użyciu jego numeru PESEL oraz asystę i pomoc prawną, pozwalającą na uniknięcie kłopotów związanych z wyłudzeniem kredytów, pożyczek itp. na jego dane. Platforma została uruchomiona przez Kaczmarski Group i wykorzystuje m.in. dane Krajowego Rejestru Długów.

  1. Każde przedsiębiorstwo  lub  inna  jednostka  organizacyjna  zatrudniająca  choćby jednego pracownika lub  posiadająca  w  jakiejkolwiek  formie  dane  swoich Klientów  będących osobami fizycznymi, przetwarza dane osobowe w rozumieniu ustawy o ochronie danych osobowych.
  2. Sklepy internetowe, biura rachunkowe, hotele, spółdzielnie, urzędy, stowarzyszenia, placówki  edukacyjne,  przychodnie medyczne  i  przetwarzają  dane  osobowe. Wszystkie podmioty usługowe i handlowe  przetwarzające  dane  osobowe  swoich  Klientów,  podlegają  ustawie o ochronie danych osobowych.
  3. Podmiot przetwarzający dane osobowe musi posiadać odpowiednią dokumentację, w  tym  szczególnie  dokument  Polityki  Bezpieczeństwa,  Instrukcję  Zarządzania Systemem  Informatycznym  oraz  Ewidencję  osób  upoważnionych  do przetwarzania danych osobowych.

Każdego kandydata, który pomyślnie przejdzie wszystkie etapy procesu rekrutacji i otrzyma propozycję pracy, czeka jeszcze jedno, bardzo istotne zadanie – dopełnienie formalności związanych z zatrudnieniem. 

Przyjęcie oferty pracy to dopiero pierwszy krok, który kandydat musi poczynić, żeby zostać zatrudnionym. Przed nim jeszcze wypełnienie kilku dokumentów oraz dopełnienie innych formalności, o które powinien zadbać pracodawca. Najważniejsze etapy zatrudnienia wskazuje ekspert LeasingTeam Professional.

Wypełnienie dokumentów

 Pracodawca przekazuje kandydatowi komplet dokumentów, których wypełnienie jest niezbędne do zatrudnienia pracownika. Pierwszym z nich jest kwestionariusz osobowy, w którym pracownik wpisuje dane konieczne do zawarcia umowy takie jak m.in. imię i nazwisko, data urodzenia, numer pesel, miejsce zamieszkania etc. Inne dokumenty, o których wypełnienie pracodawca musi poprosić pracownika to PIT-2, czyli oświadczenie pracownika dla celów obliczania miesięcznych zaliczek na podatek dochodowy od osób fizycznych, informacja o podwyższonych kosztach (wypełniana, jeśli miejsce zamieszkania pracownika znajduje się w innej miejscowości niż miejsce wykonywania pracy), zgoda na przetwarzanie danych osobowych, zgoda na przekazywanie wynagrodzenia na wskazane konto oraz oświadczenie wypełniane, gdy kandydat jest rodzicem lub opiekunem dziecka.

– Niektóre organizacje posiadają wewnętrzne dokumenty takie jak: zakaz konkurencji, oświadczenie dotyczące przestrzegania tajemnicy służbowej lub odpowiedzialności materialnej za powierzone mienie. Tego typu dokumenty pracownik najczęściej podpisuje w pierwszym dniu pracy po zapoznaniu się z regulaminami – komentuje Magdalena Szewczyk, Team Leader w LeasingTeam Professional.

Podpisanie umowy

Po wypełnieniu dokumentów pracownik podpisuje umowę. Jeżeli umowa o pracę nie została zawarta na piśmie, pracodawca najpóźniej dzień przed rozpoczęciem przez pracownika pracy, powinien pisemnie potwierdzić wszystkie ustalenia i warunki.

– Przed podpisaniem danego rodzaju umowy warto zapoznać się z ustawą lub kodeksem, które regulują podstawę prawną danej umowy. W przypadku umowy o pracę będzie to Kodeks Pracy, natomiast umowę o pracę tymczasową reguluje Ustawa o zatrudnianiu pracowników tymczasowych. Dzięki temu pracownik pozna swoje prawa i obowiązki, a także zorientuje się w kwestiach związanych z urlopem, czasem pracy itp.uważa Magdalena Szewczyk z LeasingTeam Professional.

W ciągu 7 dni od daty zatrudnienia, pracodawca musi poinformować pracownika m.in. o obowiązującej normie czasu pracy, terminach i sposobie wypłat wynagrodzenia, wymiarze urlopu wypoczynkowego czy długości wypowiedzenia.

Badania lekarskie

Na podstawie wypełnionego przez pracownika kwestionariusza osobowego, pracodawca wystawia skierowanie na badania lekarskie, które pracownik jest zobowiązany wykonać przed rozpoczęciem zatrudnienia. Badania są obowiązkowe i mają na celu wykluczenie przeciwwskazań do wykonywania pracy na danym stanowisku. Ich koszt ponosi pracodawca. Bez nich pracownik nie może zostać dopuszczony do pracy. Jeżeli pracownik posiada aktualne orzeczenie wydane na podstawie skierowania uzyskanego od poprzedniego pracodawcy, które stwierdza brak przeciwwskazań do pracy w warunkach odpowiadających warunkom występującym na nowym stanowisku pracy, pracownik nie musi ponownie przechodzić badań.

Szkolenie BHP

Przed rozpoczęciem pracy kandydat musi odbyć wstępne szkolenie z zakresu przepisów BHP. Celem wstępnego szkolenia BHP jest dostarczenie pracownikowi wiedzy i umiejętności niezbędnych do wykonywania pracy z uwzględnieniem przepisów BHP (instruktaż ogólny) oraz zapoznanie pracownika z zagrożeniami występującymi na konkretnych stanowiskach pracy (instruktaż stanowiskowy). Udział w szkoleniu BHP stanowi warunek konieczny do dopuszczenia pracownika do pracy. Szkolenie pracownika przed dopuszczeniem do pracy nie jest wymagane w przypadku podjęcia przez niego pracy na tym samym stanowisku pracy, które zajmował u danego pracodawcy bezpośrednio przed nawiązaniem z tym pracodawcą kolejnej umowy o pracę.

Ubezpieczenie

W ciągu 7 dni od daty zatrudnienia pracodawca ma obowiązek zgłosić daną osobę jako swojego pracownika do Zakładu Ubezpieczeń Społecznych, a następnie regularnie odprowadzać za niego określone składki ubezpieczeniowe: emerytalną, rentową, chorobową i wypadkową. ZUS pobiera i przekazuje innym instytucjom również składki na ubezpieczenie zdrowotne, Fundusz Pracy, Fundusz Gwarantowanych Świadczeń Pracowniczych i Fundusz Emerytur Pomostowych.

Powyższe składki nie dotyczą pracowników zatrudnionych na podstawie umowy zlecenia, którzy nie ukończyli 26 roku życia i posiadają status studenta. Poświadczeniem statusu studenta jest ważna legitymacja studencka lub zaświadczenie z uczelni wyższej. Student może dobrowolnie zgłosić chęć przystąpienia do ubezpieczenia chorobowego na podstawie wniosku złożonego do pracodawcy. Ta zasada nie dotyczy umów regulowanych przez Kodeks Pracy takich jak np. umowa o pracę.

Znajomość wszystkich etapów procesu zatrudnienia, a także wiedza, których formalności powinien dopełnić kandydat, a których pracodawca, przyda się każdej osobie i to nie tylko dopiero rozpoczynającej karierę zawodową. Przepisy się zmieniają, dlatego dobrze jest śledzić informacje na temat nowego prawa regulującego kwestie zatrudnienia. Zawsze należy także zapoznać się z treścią podpisywanych dokumentów, gdyż zawarte w nich zapisy będą obowiązywały pracownika od daty ich podpisania.

 

 

Źródło: materiały prasowe firmy

Procesorów, czyli podmioty przetwarzające dane w imieniu przedsiębiorców, czekają duże zmiany wynikające z wejścia w życie europejskiego rozporządzenia o ochronie danych osobowych (RODO). Muszą się oni przygotować na wprowadzenie przepisów zwiększających zakres ich obowiązków wobec administratorów danych oraz ograniczenia, których do tej pory nie mieli. Z nowymi regulacjami powinny zapoznać się przede wszystkim firmy przetwarzające dane osobowe usługowo, np. działające w obszarze telemarketingu, call centre lub biura księgowe.

Obowiązkowy IOD

Firma zewnętrzna świadcząca usługi na rzecz podmiotu, który musiał wyznaczyć Inspektora ochrony danych (obecnego ABI, którego po 25 maja 2018 r. zastąpi IOD) będzie zobowiązana do wyznaczenia osoby do pełnienia takiej funkcji. Oznacza to, że każdy zleceniobiorca, któremu będą powierzane dane wymagające obligatoryjnego powołania IOD przez ich administratora będzie zobowiązany go powołać. Jest to spowodowane m.in. nowym zakresem obowiązków procesorów oraz obostrzeniami, jakie wprowadza w zakresie przetwarzania danych osobowych unijne rozporządzenie – mówi Konrad Gałaj-Emiliańczyk, ekspert ds. ochrony danych, ODO 24.

Powierzanie przetwarzania

Procesor będzie mógł przetwarzać powierzone dane wyłącznie na udokumentowane polecenie administratora tych danych. Warto dodać, że jeżeli zmieni on np. cel ich przetwarzania to automatycznie stanie się ich administratorem. Oznacza to, że będzie także ponosił za nie pełną odpowiedzialność, niejako w zastępstwie pierwotnego administratora danych.

Zakaz podpowierzania

RODO wprowadza w odniesieniu do zlecania przez procesora przetwarzania danych osobowych innym podmiotom ograniczenie w postaci pisemnej zgody administratora tych danych. Obecnie kwestia ta jest regulowana wyłącznie w treści umowy powierzenia i jest zależna od woli stron umowy powierzenia. Procesorzy nie chcą być ograniczani w tym zakresie, dlatego że sami korzystają z usług podwykonawców, którzy często się zmieniają. To obostrzenie domyślnie ujawni administratorowi danych wszystkie podmioty zewnętrzne, które będą miały faktyczny dostęp do powierzanych danych – wskazuje ekspert ODO 24.

Bezpieczeństwo przede wszystkim

Zapewnienie odpowiedniego poziomu bezpieczeństwa przez podmiot, któremu podpowierzone zostało przetwarzanie danych osobowych jest kolejnym obowiązkiem, który wprowadza RODO. Jeżeli podprocesor nie zapewni odpowiednich zabezpieczeń zgodnych z nowymi przepisami, odpowiedzialność za jego uchybienia poniesie podmiot, który mu podpowierzył dane, a nie sam administrator danych. Obecnie proces ten jest regulowany tylko w treści umów powierzenia przetwarzania danych osobowych.

Zachowanie tajemnicy

Zleceniobiorcy muszą zadbać o to by osoby, które zostały upoważnione do przetwarzania powierzonych danych osobowych zachowały je w tajemnicy. Obecnie jest to regulowane z mocy samej ustawy o ochronie danych osobowych, która bezpośrednio zobowiązuje osoby upoważnione do zachowania danych osobowych w tajemnicy – dodaje Konrad Gałaj-Emiliańczyk.

Wsparcie administratora

Procesorzy, po wejściu w życie nowych regulacji, będą musieli – w miarę możliwości – pomagać administratorom danych wywiązać się z obowiązku odpowiadania na żądania osób, których dane dotyczą. Ponadto będą zobowiązani po zakończeniu przetwarzania powierzonych danych usunąć je lub zwrócić administratorowi danych w zależności od jego woli.

Warto dodać, że procesorzy danych będą zobowiązani do udostępnia administratorom wszelkich informacji niezbędnych do wykazania spełnienia obowiązków określonych w przepisach Rozporządzenia ogólnego UE oraz umożliwienia im lub audytorom upoważnionym przez administratorów przeprowadzania audytów, w tym inspekcji – mówi Gałaj-Emiliańczyk z ODO 24.

Dodatkową zmianą techniczną jest możliwość zawierania umów powierzenia w formie elektronicznej. Do tej pory mogły być one sporządzane wyłącznie na piśmie.

 

Źródło: ODO 24

Zbieranie zgód na przetwarzanie danych osobowych w celach marketingowych jest postrzegane przez wiele podmiotów jako zabezpieczenie na wypadek zarzutów nielegalnego ich wykorzystywania. Przedsiębiorcy i marketerzy często zapominają o tym, że taka zgoda może zostać odwołana w każdym momencie. Nie zmienia to jednak faktu, że zgodnie z obowiązującym prawem, takie zgody powinny zbierać wszystkie organizacje prowadzące działania marketingowe. Ekspert ODO 24 – firmy specjalizującej się w ochronie danych osobowych i bezpieczeństwie informacji radzi, jak je przygotować.

Odbieranie zgody na przetwarzanie danych osobowych od osoby, której dane dotyczą  najczęściej jest kojarzone z dwoma procesami w organizacji – rekrutacją oraz marketingiem. Do prowadzenia działań marketingowych, takich jak np. wysyłanie oferty  własnych produktów i usług drogą mailową lub telefoniczną, zawsze potrzebne są odpowiednie zgody.

Zgody są najczęściej wykorzystywanym narzędziem dającym podstawę prawną przetwarzania danych osobowych w celach marketingowych. Jeżeli podmiot chce prowadzić wysyłkę oferty handlowej drogą elektroniczną powinien posiadać zgodę odbiorcy takiej wiadomości – mówi Konrad Gałaj-Emiliańczyk, ekspert ds. ochrony danych, ODO 24.

Przykład: Wyrażam zgodę na przetwarzanie moich danych osobowych w postaci adresu poczty elektronicznej w celu otrzymywania informacji handlowych drogą elektroniczną wysyłanych przez (nazwa podmiotu).

Jeżeli działania marketingowe są prowadzone z wykorzystaniem połączeń telefonicznych to zgoda na nie musi zostać wyrażona osobno. Takie rozwiązanie zapobiega sytuacji, w której może powstać domniemanie zgody na przetwarzanie danych osobowych w innym celu niż ten, który wynika z treści oświadczenia woli.

Przykład: Wyrażam zgodę na przetwarzanie moich danych osobowych w postaci numeru telefonu w celu otrzymywania połączeń telefonicznych mających na celu przedstawienie informacji handlowej przez (nazwa podmiotu).

Warto zaznaczyć, że w procesie pobierania danych osobowych bezpośrednio od osoby, której dane dotyczą należy spełnić obowiązek informacyjny. W praktyce oznacza to, że istnieje konieczność poinformowania osoby, od której pobierana jest zgoda, o adresie siedziby i pełnej nazwie podmiotu, który to robi, celu zbierania danych, znanych mu lub przewidywanych odbiorcach lub kategoriach odbiorców danych, prawie dostępu do treści jego danych oraz ich poprawiania, dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej – zaznacza Konrad Gałaj-Emiliańczyk z ODO 24.

 

Źródło:  ODO 24

Ministerstwo Cyfryzacji opublikowało 28 marca br. projekt ustawy o ochronie danych osobowych, która ma dookreślić, w granicach dopuszczalnych przez ogólne rozporządzenie o ochronie danych (RODO), krajowy system ochrony danych osobowych.

Jak zaznaczył Maciej Kawecki, doradca w gabinecie politycznym Ministra Cyfryzacji, projekt ma charakter roboczy i może jeszcze ulec zmianie. Jego udostępnienie na tak wczesnym etapie prac legislacyjnych wynika z ogromnego zainteresowania tym tematem przez opinię publiczną, a także chęci zapewnienia pełnej transparentności procesu tworzenia przepisów o ochronie danych osobowych.

Projekt określa zarówno zagadnienia ogólne jak i kwestie związane z: postępowaniem w sprawie naruszenia przepisów o ochronie danych osobowych, europejską współpracą administracyjną, postępowaniem kontrolnym, administracyjnymi karami pieniężnymi, odpowiedzialnością cywilną oraz  inspektorami ochrony danych. Propozycja nie obejmuje jednak tak istotnych kwestii jak m.in.: pozycja ustrojowa nowego organu ochrony danych osobowych, przepisy przejściowe oraz  przepisy zmieniające regulacje sektorowe.

Jedną z najważniejszych zmian wynikającą z projektu ustawy jest  powołanie w miejsce obecnego Generalnego Inspektora Ochrony Danych Osobowych – krajowego organu ds. ochrony danych osobowych –  nowego organu administracji publicznej – Prezesa Urzędu Ochrony Danych Osobowych. Komentowana zmiana wynika z faktu, iż na gruncie europejskiego rozporządzenia o ochronie danych osobowych (RODO) inspektor ochrony danych jest osobą fizyczną wyznaczaną przez administratora bądź podmiot przetwarzający i obowiązaną do szeroko rozumianego monitorowania przestrzegania przepisów RODO. Należy zauważyć, że jednocześnie brak jest jakiegokolwiek związku ustrojowego pomiędzy takimi osobami (inspektorami ochrony danych) a organem ds. ochrony danych osobowych. Zachowanie obecnej nazwy organu (Generalny Inspektor Ochrony Danych), wprowadzałoby w tym zakresie w błąd – co do ich pozycji ustrojowej, bowiem zgodnie z art. 38 ust. 3 RODO, inspektorzy ochrony danych muszą być niezależni.

Tak jak już wcześniej zapowiadało Ministerstwo Cyfryzacji, projekt ustawy obniżył do 13 lat wiek dzieci, których przetwarzanie danych osobowych, w przypadku usług społeczeństwa informacyjnego, będzie wymagało zgody rodziców bądź opiekunów prawnych. Zgodnie z art. 15 ustawy z 23 kwietnia 1964 r. – Kodeks cywilny (Dz.U. z 2016 r. poz. 380, z późn. zm.) osoba, która ukończyła 13 lat ma ograniczoną zdolność do czynności prawnych, a zatem może zawierać umowy w drobnych bieżących sprawach życia codziennego, może także rozporządzać swoim zarobkiem. W ocenie projektodawcy w tym kontekście uzasadnione jest przyjęcie granicy lat 13 także dla skutecznego wyrażenia przez dziecko zgody na przetwarzanie dotyczących go danych osobowych w związku z kierowanymi bezpośrednio do dziecka usługami społeczeństwa informacyjnego. Nie ma powodu, aby przyjąć, że osoba mogąca rozporządzić swoim zarobkiem oraz zawierać drobne umowy, nie była jednocześnie uprawniona do wyrażenia zgody na przetwarzanie dotyczących jej danych osobowych, zwłaszcza że zgodnie z przepisami RODO zgodę można w każdym czasie wycofać.

Jednym z bardziej kontrowersyjnych zapisów projektu ustawy jest znaczne obniżenie maksymalnej granicy możliwej do nałożenia administracyjnej kary pieniężnej w stosunku do podmiotów publicznych – do 100 000 zł. W opinii Ministerstwa powyższe rozwiązanie podyktowane jest założeniem, że wymierzany wymiar kary nie powinien skutkować zaprzestaniem, a nawet ograniczeniem należytego wykonywania przez podmioty powierzonych im zadań publicznych, co w sposób oczywisty naruszałoby interes publiczny.

Według Macieja Kaweckiego projekt ustawy o ochronie danych osobowych powinien trafić do Sejmu jesienią tego roku, a proces legislacyjny zakończyć się na początku 2018 r., aby kwiecień i maj pozwoliły na przygotowanie się do wejścia w życie nowych przepisów. Sama ustawa powinna zacząć obowiązywać 25 maja 2018 r. – wtedy rozpoczyna się stosowanie rozporządzenia całej Unii Europejskiej, które przepisy krajowe dookreślają.

 

Autor: Tomasz Ochocki, ekspert ds. ochrony danych, ODO 24

 

W maju 2018 roku wejdzie w życie rozporządzenie GDPR regulujące zasady przechowywania i przetwarzania danych osobowych na terenie Unii Europejskiej. Mimo, że konsekwencje niezastosowania się do rozporządzeń ustalonych przez organy Wspólnoty są niezwykle dotkliwe, jedynie 3% firm działających na rynkach unijnych jest przygotowanych na nadchodzące zmiany. Obecnie, zdecydowana większość organizacji nie spełnia wymogów GDPR oraz nie dysponuje skutecznymi narzędziami umożliwiającymi lokalizowanie danych osobowych wewnątrz organizacji.

(9 marca 2017 r.) – Głównym założeniem rozporządzenia GDPR (General Data Protection Regulation), które wejdzie w życie 28 maja 2018 roku, jest ujednolicenie przepisów o ochronie danych osobowych na terenie Unii Europejskiej. Rozwiązanie to może stanowić ułatwienie dla dużych organizacji operujących w różnych krajach, dla których wprowadzenie jednolitych procedur na wielu rynkach wiąże się z redukcją kosztów i uproszczeniem polityki wewnętrznej. Z drugiej strony, regulacja niesie ze sobą ogromne wyzwania dla firm, które do tej pory nie przywiązywały odpowiedniej wagi do kwestii przetwarzania danych osobowych.

Na podstawie nowego rozporządzenia GDPR:

  • firmy muszą przedstawić zasady polityki ochrony prywatności oraz opisać je przejrzystym i zrozumiałym językiem;
  • firmy i instytucje muszą posiadać wyraźną zgodę na zbieranie wszystkich danych, które gromadzą, a administratorzy danych muszą być w stanie wykazać istnienie takiej zgody, która może być w każdej chwili wycofana;
  • podmioty zatrudniające powyżej 250 pracowników muszą powołać inspektora ochrony danych;
  • użytkownicy zyskają prawo do informacji, kiedy ich dane dostały się w niepowołane ręce;
  • użytkownicy muszą mieć prawo do bycia zapomnianym (oznacza to, że klient może zgłosić się do danej instytucji z prośbą o usunięcie wszystkich informacji, które go dotyczą);
  • użytkownicy muszą mieć prawo do przeniesienia swoich danych do innego usługodawcy.

Nieznajomość zasad wynikających z GDPR może wiązać się z ogromnymi kosztami. W świetle nowego rozporządzenia, organizacje będą zobowiązane do przekazania, w ciągu 72 godzin, właściwym organom i potencjalnie poszkodowanym klientom informacji dotyczących jakiegokolwiek naruszenia bezpieczeństwa ich danych. W innym wypadku, firma może spodziewać się kary w wysokości do 20 milionów Euro, bądź 4% globalnych rocznych obrotów. Co ważne, kary mają charakter administracyjny, dla organu zajmującego się sprawą nie będą więc istotne przyczyny, a sam fakt zaistnienia naruszenia przepisów.

IP niczym PESEL

Z perspektywy biznesu posiadanie dużej ilości danych pozwala lepiej zrozumieć klientów i zmieniające się trendy rynkowe, ale może także wpływać na podejmowanie trafnych decyzji. Nie dziwi zatem fakt, że organizacje powszechnie wdrażają nowe technologie umożliwiające zbieranie informacji, m.in. dotyczących preferencji zakupowych czy aktywności w Internecie. Jednak sposób wykorzystania niektórych rozwiązań umożliwiających masowe gromadzenie i przetwarzanie informacji nie zawsze jest zgodny z regulacjami dotyczącymi ochrony danych osobowych.

Głównym celem GDPR jest zapewnienie prywatności obywatelom Unii Europejskiej, co powoduje, że od maja 2018 roku organizacje z terenu Wspólnoty będą mogły gromadzić i przetwarzać tylko te dane, które są potrzebne w ich działalności. Przykładowo, jeśli firma dotychczas w kontakcie z klientami wykorzystywała wyłącznie takie dane, jak imię, nazwisko i adres mailowy, nie może w swoim formularzu umieszczać prośby o podanie numeru telefonu. Rozporządzenie GDPR przewiduje większą elastyczność w zbieraniu danych, jeśli informacje będą szyfrowane.

Ochrona prywatności i wrażliwych danych jest jednym z priorytetów Unii Europejskiej, co znalazło odzwierciedlenie w ostatecznym kształcie rozporządzenia GDPR. Głównym założeniem regulacji w ramach tzw. privacy by design jest zmniejszenie ilości danych gromadzonych przez firmy i zachęcenie przedsiębiorstw do pozyskiwania tylko tych informacji, które są im potrzebne. To właśnie dane są fundamentem działalności każdej organizacji, dlatego ich ochrona powinna stanowić strategiczny cel współczesnej firmy – mówi Miłosz Trawczyński, Business Consulting Manager w SAS.

Jednym z ważniejszych elementów nowego rozporządzenia jest zaktualizowana definicja danych osobowych. Według regulacji unijnej, dane osobowe to wszystkie informacje dotyczące osoby fizycznej, które umożliwiają jej identyfikację. W rozumieniu GDPR, adres IP oraz identyfikatory zamieszczone w tzw. ciasteczkach (cookies) są więc danymi osobowymi podobnie jak PESEL czy NIP.

Namierzyć dane osobowe

Chcąc upewnić się, że polityka firmy jest zgodna z GDPR organizacje muszą w pierwszej kolejności uporządkować informacje, którymi dysponują oraz zlokalizować wśród nich dane osobowe. W wielu przypadkach będzie to dużym wyzwaniem, gdyż przedsiębiorstwa często nie dysponują odpowiednimi do tego celu narzędziami. Wejście w życie GDPR z pewnością wpłynie na wzrost zainteresowania rozwiązaniami klasy data management.

Technologie do zarządzania danymi umożliwiają identyfikowanie danych osobowych,  analizowanie ich przepływu, regulowanie i rejestrowanie dostępu do informacji, szyfrowanie informacji poufnych, definiowanie zasad zarządzania danymi w organizacji. Po wejściu w życie dyrektywy GDPR firmy będą musiały nie tylko nauczyć się porządkować dane, ale przede wszystkim zapewnić im odpowiednią ochronę. Rozwiązania do zarządzania danymi pozwalają łączyć dane bez potrzeby przenoszenia ich pomiędzy poszczególnymi zbiorami, co znacznie zmniejsza ryzyko zagrożeń dla informacji wrażliwych. Ponadto, możliwe jest zarządzanie incydentami oraz szybkie uzyskanie raportu dotyczącego ewentualnej próby wykradzenia danych, dzięki czemu firma może poinformować o tym fakcie odpowiednie organy.

Rewolucyjne zmiany w biznesie

GDPR znacząco zmieni podejście do profilowania danych. Twórcy rozporządzenia podkreślają, że wykorzystywanie informacji do tworzenia profilu klienta nie może w żaden sposób dyskryminować go i ograniczać jego dostępu do poszczególnych usług. Ma to ogromne znaczenie m.in. dla sektora finansowego, w którym powszechnie wykorzystuje się dane dotyczące klientów np. w procesie skoringu kredytowego (oceny czy klient spełnia warunki udzielenia kredytu).

Po wejściu w życie dyrektywy GDPR klient ma prawo do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu danych. W praktyce oznacza to, że nie można będzie odmówić wynajmu mieszkania lub udzielenia pożyczki na podstawie informacji dostępnych np. na portalach społecznościowych. Niezgodne z GDPR będzie również wnioskowanie o cechach osoby fizycznej. Przykładowo nie będzie można uznać, że ktoś choruje na daną chorobę na podstawie posiadanych danych o jej objawach. Ten element rozporządzenia GDPR może wpłynąć na pracę towarzystw ubezpieczeniowych, m.in. w zakresie obliczania wysokości składek.

Nie ulega wątpliwości, że GDPR wpłynie na procedury wewnętrzne firm z różnych sektorów gospodarki. Ograniczenia jakie niesie ze sobą nowa regulacja sprawią, że biznes będzie musiał zmienić podejście do przetwarzania, ochrony oraz wykorzystywania danych osobowych. Technologie data management mogą pomóc wypracować nowe modele działania, które będą zgodne z nadchodzącymi normami prawnymi – tłumaczy Miłosz Trawczyński.

Źródło: SAS Institute

 

Dla zapewnienia europejskim przedsiębiorcom możliwości rozwoju i wykorzystania potencjału gospodarki cyfrowej konieczne jest ograniczenie obowiązków administracyjnych i stworzenie przewidywalnych, racjonalnych ram prawnych dotyczących przetwarzania danych osobowych – apelują w liście do premierów kilku krajów Konfederacja Lewiatan i inne organizacje pracodawców.

W związku z finalizowaną unijną reformą przepisów o ochronie danych osobowych Konfederacja Lewiatan wraz z organizacjami pracodawców z Austrii, Czech, Słowacji, Słowenii, Chorwacji i Węgier wystosowała wspólny list skierowany do premierów państw Europy Środkowo-Wschodniej.

Europejscy przedsiębiorcy zwracają w nim uwagę na potrzebę zbliżenia ostatecznego brzmienia Rozporządzenia o ochronie danych osobowych z uzgodnieniami dokonanymi na forum Rady Unii Europejskiej.

– Unijne zasady ochrony danych muszą chronić prywatności obywateli a jednocześnie pozwolić europejskim firmom na tworzenie innowacyjnych produktów i usług, zdolnych konkurować na globalnym rynku – podkreśla Henryka Bochniarz, prezydent Konfederacji Lewiatan.

Autorzy listu wzywają również do wyrażenia przez szefów rządów wsparcia negocjowanego przez Komisję Europejską porozumienia między UE i USA umożliwiającego przedsiębiorcom transferowanie danych osobowych pomiędzy tymi państwami, określanego jako Safe Harbor II.

– Unieważnienie decyzji w sprawie Safe Harbor przez Trybunał Sprawiedliwości UE z dnia na dzień pozbawiło tysiące europejskich i amerykańskich firm systemowego rozwiązania, pozwalającego na przekazywanie często niezbędnych do prowadzenia ich działalności danych  do Stanów Zjednoczonych- stwierdza Magdalena Piech, ekspertka Konfederacji Lewiatan. Choć istnieją inne podstawy prawne transferów danych, są one bardziej kosztowne i wymagają spełnienia określonych, często długotrwałych formalności- wyjaśnia.

Zdaniem pracodawców z Konfederacji Lewiatan i innych organizacji europejskich, złe decyzje lub brak podjęcia działań w obu kwestiach ze strony rządów europejskich państw mogłyby mieć negatywny wpływ na wzrost gospodarczy i rozwój Jednolitego Rynku Cyfrowego.

 

Konfederacja Lewiatan

Eksperci

Co czeka branżę Consumer Finance? Prognoza 2020

Początek nowej dekady będzie dla branży pożyczkowej pełen wyzwań. Katarzyna Jóźwik, Dyrektor General...

Polacy puszczają z dymem 105 tysięcy mieszkań rocznie

W bieżącym roku Polacy wydadzą na wyroby tytoniowe około 28 miliardy złotych – wynika z szacunków HR...

Na mieszkanie wydajemy co czwartą złotówkę

Najmocniej w ostatnim roku drożał wywóz śmieci. Według GUS podwyżka opłat wyniosła 31,3%, co więcej ...

To nie jest kraj dla bogatych ludzi – zmiany Małego ZUS-u

Dzięki rozszerzeniu Małego ZUS-u najmniejsi przedsiębiorcy każdego miesiąca zaoszczędzą średnio po k...

PKB Polski rośnie coraz wolniej. Opinia eksperta.

Polska gospodarka zwalnia. Od jakiegoś czasu mówi o tym ekonomiści. Kilka dni temu rządzący politycy...

AKTUALNOŚCI

Dziś Dzień Ochrony Danych osobowych. Jak chronić się przed kradzieżą danych?

Szpitale, e-sklepy, operatorzy komórkowi, wyższe uczelnie – to m.in. stamtąd w 2019 r. wyciekły dane...

Blisko połowa dorosłych Polaków nie pracuje i się nie uczy

Populacja osób biernych zawodowo liczy blisko 13,3 mln osób. To oznacza, że prawie połowa dorosłych ...

Wylot do Azji? Lepiej sobie darować. Koronawirus z Wuhan szaleje. Główny Inspektor Sanitarny ostr

Wszystkie loty z Wuhan są odwołane. Wstrzymany jest również cały transport publiczny a także dalekob...

Prezydent RP Andrzej Duda oficjalnie otworzył Dom Polski zorganizowany przez PZU i Pekao

Prezydent Andrzej Duda otworzył dziś oficjalnie Dom Polski w Davos. PZU i Pekao już po raz drugi zor...

Miało być źle, będzie jeszcze gorzej – zmiany w rozliczeniach firm

Minimalna pensja jest jeszcze wyższa niż planowano w 2019 roku, dodatkowy roczny koszt poniesiony pr...

Kolejna autostrada do Niemiec. GDDKIA wskazała najkorzystniejszą ofertę na drugi odcinek A18

Oferta firmy Strabag Infrastruktura Południe została wybrana jako najkorzystniejsza w przetargu na p...

Polskie firmy produkują 46,5 mln par butów rocznie

Produkcja obuwia w Polsce wyniosła w 2017 roku ponad 46 mln par, co plasuje Polskę na 40. pozyc...

Cyberbezpieczeństwo w 2020 – krajobraz zagrożeń i zabezpieczeń

2019 rok dostarczył nam sporo bezprecedensowych ataków, a ransomware uważany przez biznes za najwięk...

Miliony do wzięcia. Twój prąd, twój wniosek online.

Ruszył drugi nabór o dofinansowanie w ramach programu „Mój prąd”. Pamiętaj, zamiast jeździć do urzęd...

Najmniejsze firmy w największych kłopotach. Są w najgorszej kondycji od 5 lat

W I kwartale 2020 subindeks Barometru EFL dla mikroprzedsiębiorców już po raz trzeci spadł. Niestety...