30.1.2022

A.J.Zespół e-prawnik.pl

A.J.
Zespół e-prawnik.pl

Obowiązki związane z naruszeniami ochrony danych osobowych

Co to jest naruszenie danych osobowych?

Przez pojęcie „naruszenia ochrony danych” należy rozumieć „naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych” (art. 4 pkt 12 RODO). 

Porady prawne

Żeby zaistniało naruszenie, muszą być spełnione łącznie trzy przesłanki:

  • naruszenie musi dotyczyć danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych przez podmiot, którego dotyczy naruszenie;
  • skutkiem naruszenia musi być zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dostęp do danych osobowych;
  • naruszenie jest skutkiem złamania zasad bezpieczeństwa danych.

Jednocześnie, jak wskazuje Grupa Robocza Art. 29, można wyróżnić trzy typy naruszenia ochrony danych osobowych:

  • naruszenie poufności – polega na ujawnieniu danych osobowych nieuprawnionej osobie;
Przykład: „Przypadkowe wysłanie danych osobowych klienta do niewłaściwego działu firmy lub osoby postronnej.”
  • naruszenie dostępności – polega na trwałej utracie lub zniszczeniu danych osobowych;
Przykład: „Zgubienie lub kradzież nośnika zawierającego kopię bazy danych klientów administratora.”
Przykład: „Pracownik przypadkowo lub osoba nieupoważniona celowo usuwa dane ze zbioru. Administrator próbuje odzyskać dane z kopii zapasowej, jednak jego działania nie przynoszą rezultatu.”
  • naruszenie integralności – polega na zmianie treści danych osobowych w sposób nieautoryzowany.
Przykład: „Pracownik dla  żartu zmienia nazwiska klientów poprzez dopisanie litery „s” na końcu każdego z nich.”

Przykłady naruszeń

Przykład:

W wyniku przerwy w dostawie prądu lub ataku typu blokada usług, administrator tymczasowo lub trwale traci dostęp do danych osobowych.

W powyższym przykładzie mamy do czynienia ze zdarzeniem skutkującym utratą dostępności danych osobowych przez pewien odcinek czasu. Jest to naruszenie, ponieważ brak dostępu do danych może mieć znaczący wpływ na prawa i wolności osób fizycznych. Pamiętać należy jednak, że nie każda czasowa niedostępność do danych jest naruszeniem. Jest nią tylko taka niedostępność danych, która może stanowić ryzyko dla praw i wolności osób fizycznych, np. w przypadku  szpitala brak dostępu danych pacjentów może prowadzić do uniemożliwienia  przeprowadzenia operacji medycznej, a zatem narażenia życia, co należy zaklasyfikować  jako wysokie ryzyko dla praw i wolności osób fizycznych. W przypadku kilkugodzinnego braku dostępu spółki medialnej do swoich systemów i niemożliwości wysyłania newslettera do abonentów, istnieje natomiast niskie  prawdopodobieństwo naruszenia praw i wolności osób fizycznych. Podobnie w przypadku planowanej konserwacji systemu, dane osobowe mogą być niedostępne przez pewien czas i nie należy traktować tego jako naruszenia bezpieczeństwa (ryzyko niskie).

Chociaż utrata dostępu do systemów administratora może być tylko tymczasowa i w początkowej fazie naruszenia nie wywołuje skutków dla praw i wolności osób fizycznych, ważne jest, aby administrator po przeprowadzeniu pełnej analizy ryzyka, rozważył wszystkie możliwe konsekwencje naruszenia, zarówno te które już zaistniały jak i te, które mogą zaistnieć w przyszłości.

Przykład:

System informatyczny administratora został zainfekowany złośliwym oprogramowaniem. Po przeprowadzeniu wstępnej analizy administrator stwierdził, że nastąpiła tymczasowa utrata dostępu do danych jednak z uwagi na fakt, że administrator posiadał elektroniczny system zabezpieczeń chroniący przed wyciekiem danych, ryzyko naruszenia praw i wolności osób fizycznych było małe, a samo naruszenie nie wymagało zgłoszenia do Prezesa UODO. Po paru godzinach okazało się jednak, że w wyniku ww. włamania do systemu, haker po obejściu zabezpieczeń, uzyskał dostęp do danych osobowych, w związku z czym ryzyko naruszenia praw i wolności osób fizycznych stało się wysokie i wymagało zgłoszenia do organy nadzorczego.

Naruszenie danych może mieć miejsce również w następujących przypadkach:

  • zmiana danych bez zgody osoby, której dane dotyczą;
  • wysłanie danych do niewłaściwej osoby (np. poprzez niewłaściwie zaadresowanie poczty elektronicznej);
  • utrata nośników danych (telefon, laptop, USB, teczki zawierające dane w wersji papierowej);
  • nieuprawnione udostępnienie danych (np. elektronicznie – przekazywanie danych przez zdalny dostęp np. VPN, często przydzielane bezterminowo - ale też np. telefonicznie (rozmówca podaje się za pracownika policji czy urzędu, próbując wyciągnąć informacje);
  • nieodpowiednie usuwanie danych (np. administrator postanawia pozbyć się starych komputerów. Przed sprzedażą usuwa jedynie pliki na pulpicie i opróżnia kosz ze starych plików. Nie usuwa jednak danych z  dysku komputera).

Jakie obowiązki w związku z naruszeniami danych osobowych przewiduje RODO?

RODO przewiduje następujące obowiązki związane z naruszeniem danych osobowych:

  • wprowadzenie procedur umożliwiających stwierdzanie i ocenę naruszeń pod kątem wystąpienia ryzyka naruszenia praw i wolności osób fizycznych;
  • prowadzenie wewnętrznej ewidencji naruszeń;
  • zgłaszanie naruszeń organowi nadzorczemu;
  • powiadamianie osoby, której dane dotyczą o naruszeniu;
  • podejmowanie działań mających na celu przeciwdziałanie skutkom naruszenia i zapobieganie im w przyszłości.

Ważnym, jeżeli nie najważniejszym, elementem całego procesu związanego ze zgłaszaniem naruszenia ochrony danych, jest szybkość podjęcia niezbędnych działań, zarówno wobec organu nadzorczego, jak i osób, których dane dotyczą. Czas ma tu bardzo duże znaczenie.

Żeby zapewnić działania bez zbędnej zwłoki, administratorzy powinni więc opracować i wdrożyć procedury postępowania na wypadek wystąpienia naruszenia ochrony danych. Taka procedura pomoże ujednolicić, usprawnić oraz przyśpieszyć działania w przypadku wykrycia naruszenia ochrony danych. W tej procedurze powinno się zawrzeć m.in.:

  • cel, w jakim procedura została opracowana;
  • zakres jej stosowania;
  • katalog ewentualnych zagrożeń i naruszeń, jakie mogą wystąpić w związku z przetwarzaniem danych u konkretnego administratora;
  • opis etapów zarządzania naruszeniem, począwszy od jego wykrycia, a kończąc na usunięciu;
  • opis postępowania personelu administratora w przypadku wystąpienia naruszenia ochrony danych.

Dobrze zaprojektowana i wdrożona procedura postępowania na wypadek wystąpienia naruszenia ochrony danych pozwoli administratorowi przeprowadzić, w przypadku wykrycia przez niego naruszenia ochrony danych, szybką i prawidłową ocenę naruszeń, pod kątem wystąpienia ryzyka naruszenia praw i wolności osób fizycznych.

Procedura pozwala dokonać klasyfikacji zidentyfikowanych naruszeń ochrony danych, czyli określić poziom wystąpienia ryzyka naruszenia praw i wolności osób fizycznych, tj. niski, średni lub wysoki. W zależności, z jakim poziomem ryzyka naruszenia praw i wolności osób fizycznych administrator ma do czynienia, inaczej kształtują się jego obowiązki w stosunku do organu nadzorczego, a także osób, których dane dotyczą. Jeżeli w wyniku analizy administrator stwierdził, że ma do czynienia z niskim ryzykiem naruszenia praw i wolności osób fizycznych, nie jest on zobligowany do zgłoszenia naruszenia Prezesowi Urzędu Ochrony Danych Osobowych. Wskazane naruszenie musi jedynie wpisać do wewnętrznej ewidencji naruszeń. W przypadku stwierdzenia średniego ryzyka naruszenia praw i wolności osób fizycznych, obowiązkiem administratora jest zgłoszenie naruszenia ochrony danych Prezesowi UODO, jak również umieszczenie wpisu w wewnętrznej ewidencji naruszeń. Wystąpienie wysokiego ryzyka naruszenia praw i wolności osób fizycznych, oprócz wpisu w ewidencji naruszeń, wymaga od administratora powzięcia odpowiednich działań, zarówno wobec organu nadzorczego (zgłoszenie naruszenia ochrony danych), ale także w niektórych przypadkach również wobec osób, których dane dotyczą. W przypadku naruszeń, które mogą powodować wysokie ryzyko naruszenia praw lub wolności osoby, której dane dotyczą, RODO wprowadza bowiem dodatkowy obowiązek niezwłocznego zawiadomienia podmiotu danych przez administratora, chyba, że ten podjął działania prewencyjne przed zaistnieniem naruszenia albo działania zaradcze po wystąpieniu naruszenia (art. 34 ust. 3 RODO).

Niezależnie od poziomu ryzyka, administrator zobowiązany jest do wprowadzenia środków zaradczych mających na celu zminimalizowanie ryzyka i zabezpieczenia danych osobowych.

O jakich naruszeniach trzeba powiadomić Prezesa UODO?

W przypadku wykrycia przez administratora naruszenia ochrony danych osobowych konieczne jest, aby w pierwszej kolejności dokonana została analiza pod kątem wystąpienia ryzyka naruszenia praw i wolności osób fizycznych. Jeżeli w wyniku przeprowadzonego badania okaże się, że nie ma prawdopodobieństwa wystąpienia ryzyka naruszenia praw i wolności osób fizycznych, administrator zwolniony jest z obowiązku powiadamiania organu nadzorczego o naruszeniu. Jednakże pamiętać trzeba, że organ nadzorczy będzie mógł zwrócić się do administratora o uzasadnienie decyzji o niezgłaszaniu naruszenia, w związku z tym, wnioski z przeprowadzonej analizy należy udokumentować w wewnętrznej ewidencji naruszeń.

Ryzyko naruszenia praw i wolności osób fizycznych jest obecne, kiedy naruszenie może skutkować fizyczną, materialną lub niematerialną szkodą dla osób fizycznych, których dane naruszono. Szkodami takimi są np. dyskryminacja, kradzież tożsamości lub oszustwo dotyczące tożsamości, nadużycia finansowe, straty finansowe, nieuprawnione cofnięcie pseudonimizacji, utrata poufności danych osobowych chronionych tajemnicą zawodową, naruszenie dobrego imienia lub inne znaczące skutki gospodarcze lub społeczne dla danej osoby fizycznej. Jeżeli naruszenie dotyczy danych osobowych ujawniających pochodzenie etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych lub danych genetycznych, dotyczących zdrowia lub życia seksualnego, należy uznać, że występuje duże prawdopodobieństwo takiej szkody.

Kiedy nie ma obowiązku zgłoszenia naruszenia Prezesowi UODO?

Art. 33 ust. 1 RODO wskazuje, że w przypadku, gdy „jest mało prawdopodobne, by naruszenie to skutkowało naruszeniem praw lub wolności osób fizycznych”, administrator nie ma obowiązku zawiadomienia organu nadzorczego o naruszeniu ochrony danych.

W świetle art. 33 RODO, nie każde naruszenie ochrony danych osobowych wiąże się z naruszeniem bezpieczeństwa danych. Obowiązek zgłoszenia, o którym mowa w ww. artykule, dotyczy tylko tych naruszeń, które stanowią naruszenie bezpieczeństwa danych.

Przykład I: Pracownik kancelarii przez pomyłkę wynosi poza jej obszar teczkę z niezabezpieczonymi danymi osobowymi, wśród których znajdują się również szczególne kategorie danych osobowych.  Po chwili orientuje się, że nastąpiła pomyłka i wraca do kancelarii zwracając teczkę. Działanie takie naruszyło zasady ochrony danych, ale nie wpłynęło na bezpieczeństwo danych, które nie zostały udostępnione.

Przykład II: Administrator traci bezpiecznie zaszyfrowany pendrive. Klucz szyfrowania pozostaje w posiadaniu administratora i nie jest to jedyna kopia danych osobowych. W takiej sytuacji dane pozostają niedostępne dla złodzieja. Oznacza to małe prawdopodobieństwo, by naruszenie  stanowiło zagrożenie dla praw lub wolności osób, których dane dotyczą.

Do każdej sytuacji należy jednak podchodzić z dużą rozwagą i ostrożnością. Zmiana choćby jednego z kluczowych elementów zdarzenia może bowiem doprowadzić do odmiennych wniosków, np. jeżeli w przypadku opisanym w przykładzie II po czasie okaże się, że naruszono bezpieczeństwo klucza lub, że oprogramowanie narażone jest na ataki, wówczas zmieni się ryzyko naruszenia praw i wolności osób, a w związku z tym może powstać obowiązek zgłoszenia naruszenia Prezesowi UODO. Podobna sytuacja może się zdarzyć, gdy w sytuacji zaistnienia naruszenia, administrator nie będzie dysponował kopią zapasową danych osobowych. W takim przypadku będziemy mieli do czynienia z naruszeniem dostępności, stanowiącym ryzyko dla praw i wolności osób fizycznych i w związku z tym, sytuacja ta będzie wymagała zgłoszenia naruszenia organowi nadzorczemu.

W jaki sposób należy powiadomić Prezesa UODO o naruszeniu?

Organem właściwym do zgłaszania naruszeń ochrony danych osobowych jest Prezes Urzędu Ochrony Danych Osobowych (Prezes UODO).

  1. Zgłoszenia naruszenia dokonuje się elektronicznie za pomocą odpowiedniego formularza dostępnego poniżej, który należy wypełnić, a następnie...
  2. ... załączyć do pisma ogólnego dostępnego na platformie biznes.gov.pl

Jeżeli naruszenie dotyczy danych osób w różnych krajach UE, Prezes UODO może być, ale nie musi być wiodącym (czyli właściwym dla administratora lub podmiotu przetwarzającego) organem nadzorczym. W przypadku transgranicznego naruszenia danych administrator powinien dokonać analizy, czy wiodącym organem nadzorczym w odniesieniu do czynności przetwarzania, które zostały objęte naruszeniem jest Prezes UODO, czy też może inny europejski organ nadzorczy.

Jakie informacje musi zawierać zgłoszenie o naruszeniu kierowane do Prezesa UODO?

Zgodnie z art. 33 ust. 3 RODO, administrator powinien wskazać w zgłoszeniu naruszenia następujące informacje:

  • opis charakteru naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazanie kategorii i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;
  • wskazanie imienia i nazwiska oraz danych kontaktowych inspektora ochrony danych lub oznaczenia innego punktu kontaktowego, od którego można uzyskać więcej informacji;
  • opis możliwych konsekwencji naruszenia ochrony danych osobowych;
  • wskazanie środków, jakie zostały zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

Zob.: Zgłoszenie naruszenia ochrony danych osobowych

Jak szybko należy zgłosić naruszenie Prezesowi UODO?

Zgodnie z art. 33 ust. 1 RODO, w przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55 RODO, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.

Jak wynika z ww. artykułu, zgłoszenie naruszenia powinno być przesłane do właściwego organu nadzorczego, bez zbędnej zwłoki. To czy zawiadomienia dokonano bez zbędnej zwłoki, należy ustalić z uwzględnieniem w szczególności charakteru i wagi naruszenia, jego konsekwencji oraz niekorzystnych skutków dla osoby, której dane dotyczą.

Ponadto administrator musi zgłosić naruszenie nie później niż w terminie 72 godzin po stwierdzeniu naruszenia. Według Grupy Roboczej Art. 29 administrator „stwierdza” naruszenie, kiedy ma on wystarczający stopień pewności co do tego, że miało miejsce zdarzenie zagrażające bezpieczeństwu, które doprowadziło do naruszenia ochrony danych.  

Termin wskazany w art. 33 ust. 1 RODO nie powinien być przekraczany przez administratorów, jednakże RODO przewiduje pewne okoliczności, gdy zgłoszenie naruszenia organowi nadzorczemu może nastąpić po 72 godzinach od stwierdzeniu naruszenia. W takim przypadku, administrator jest zobligowany do podania przyczyn opóźnienia (więcej w pkt. „Czy dopuszczalne jest przekazywanie informacji o naruszeniu po upływie 72 godzin od stwierdzenia naruszenia?”).

Czy dopuszczalne jest przekazywanie informacji o naruszeniu po upływie 72 godzin od stwierdzenia naruszenia?

Administratorzy nie zawsze będą dysponować wszystkimi wymaganymi informacjami dotyczącymi naruszenia w ciągu 72 godzin od jego stwierdzenia. W związku z tym, zgodnie z art. 33 ust. 4 RODO, administrator może udzielać informacji sukcesywnie. W takim przypadku administrator powinien przekazać brakujące informacje, jak tylko wejdzie w ich posiadanie. Zawiadamianie „sukcesywne” jest dopuszczalne pod warunkiem, że administrator poda organowi nadzorczemu przyczyny opóźnienia.

Kiedy i w jakim celu trzeba zawiadomić o naruszeniu osoby, których dane dotyczą?

Zgodnie z art. 34 pkt. 1 RODO „Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu”. Z powołanego przepisu wynika, że administrator będzie zobowiązany do zawiadomienia podmiotu danych wówczas, gdy  spełnione zostaną łącznie dwie przesłanki. Po pierwsze, musi dojść do naruszenia ochrony danych osobowych. Po drugie, może ono powodować wysokie ryzyko naruszenia praw lub wolności osoby, której dane dotyczą. Do takich przypadków należą sytuacje, w których naruszenie prowadzi do dyskryminacji, kradzieży tożsamości, oszustwa, straty finansowej lub uszczerbku na reputacji. Jeżeli naruszenie dotyczy danych wrażliwych, można założyć, że jest prawdopodobne, iż takie naruszenie może prowadzić do wskazanych wyżej szkód. Nie jest konieczne, aby wysokie ryzyko zmaterializowało się i by faktycznie doszło do naruszenia praw lub wolności. Dlatego nie ma znaczenia, czy ostatecznie ich naruszenie nastąpi. Wystarczający jest fakt samego pojawienia się wysokiego ryzyka naruszenia praw lub wolności.

RODO wymaga, aby osoby fizyczne zostały zawiadomione o naruszeniu ich danych „bez zbędnej zwłoki”. Oznacza to, że administrator powinien zrealizować przedmiotowy obowiązek tak szybko, jak pozwalają na to okoliczności danej sprawy. Należy przyjąć, że im poważniejsze jest ryzyko naruszenia praw lub wolności podmiotu danych, tym szybciej powinno nastąpić zawiadomienie, jak wskazuje motyw 86 RODO. Poinformowanie na czas osób fizycznych o zaistniałym naruszeniu ma na celu umożliwienie podmiotom danych podjęcie niezbędnych działań zapobiegawczych dla ochrony przed negatywnymi skutkami naruszenia. Jako przykład można wskazać wyciek haseł bankowych, w przypadku którego reakcja banku powinna być natychmiastowa.

W jaki sposób należy poinformować o naruszeniu osoby, których dane dotyczą?

Forma, w jakiej podmioty danych powinny być zawiadomione o naruszeniu, nie została wprost wskazana w RODO. Ostateczny jej dobór będzie zależał od danych kontaktowych podmiotów danych, którymi dysponuje administrator. Mając na względzie znaczenie zawiadomienia, powinno być ono sporządzone w formie, która umożliwi podmiotowi danych na wielokrotne zapoznanie się z jego treścią. Bardzo ważne jest, aby zawiadomienie zostało dostarczone do adresata w możliwie najkrótszym czasie. Wybierając mniej efektywny środek komunikacji, administrator może spowodować nieuzasadnioną zwłokę w przekazaniu informacji. W tym kontekście wadą przesyłki nadanej drogą tradycyjną jest czas niezbędny na jej doręczenie podmiotowi danych. Dla porównania zasadniczą zaletą elektronicznej formy komunikacji jest jej szybkość, co jest pożądane z uwagi na obowiązek powiadomienia podmiotu danych bez zbędnej zwłoki (art. 34 ust. 1 RODO). Forma ta umożliwia adresatowi wielokrotne zapoznanie się z komunikatem oraz jego wydruk w razie potrzeby. Co do zasady administrator bezpośrednio powiadamia osoby, których dane naruszono, chyba że wymagałoby to niewspółmiernie dużego wysiłku. W takim przypadku administrator wydaje publiczny komunikat bądź stosuje podobny środek, żeby w równie skuteczny sposób poinformować osoby, których dane dotyczą, (art. 34 ust. 3 lit. c RODO). Do powiadamiania osób, których dane naruszono, administrator powinien stosować komunikaty dedykowane, które nie powinny być przesyłane razem z innymi informacjami, na przykład newsletterem, czy standardową wiadomością. Pomoże to przekazać informacje o naruszeniu w jasny i przejrzysty sposób. Powiadomienia ograniczającego się do komunikatu prasowego, czy firmowego bloga nie uznaje się za skuteczne poinformowanie osoby fizycznej o naruszeniu.

Jakie informacje należy przekazać osobom, których dane dotyczą, w związku z naruszeniem?

Zgodnie z art. 34 ust. 2 RODO zawiadomienie skierowane do osób, których dane dotyczą powinno jasnym i prostym językiem opisywać charakter naruszenia ochrony danych osobowych oraz zawierać przynajmniej informacje i środki, o których mowa w art. 33 ust. 3 lit. b), c) i d). Zgodnie z tym przepisem, administrator powinien podać przynajmniej następujące informacje:

  • imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub innego punktu kontaktowego, od którego można uzyskać więcej informacji;
  • opis możliwych konsekwencji naruszenia ochrony danych osobowych;
  • opis środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu - w tym w stosownych przypadkach - środków w celu zminimalizowania jego ewentualnych negatywnych skutków.

Zawiadomienie powinno być sformułowane jasnym i prostym językiem. Aby wymóg ten został spełniony, administrator powinien mieć na względzie grupę odbiorców, do której zawiadomienie będzie skierowane i dostosować do niej jego treść. Tytułem przykładu: jeżeli określony podmiot posiada klientów w zbliżonym wieku i poziomie wykształcenia, język komunikatu powinien uwzględniać te okoliczności. Jeżeli natomiast adresaci są zróżnicowani lub administrator nie posiada wystarczających danych dla dokładniejszego określenia grupy odbiorców zawiadomienia, to w takim przypadku punktem odniesienia powinien być przeciętny adresat takiej wiadomości. Celem jest przekazanie odbiorcy komunikatu łatwego do zrozumienia. Ponadto komunikat nie powinien być nadmiernie rozbudowany, gdyż długa informacja z reguły utrudnia zrozumienie istoty przekazu.

Czy RODO wymaga podjęcia innych kroków w związku z naruszeniem?

Podobnie jak w przypadku każdego incydentu związanego z bezpieczeństwem, administrator powinien ustalić, czy naruszenie było wynikiem błędu ludzkiego lub problemu systemowego i zobaczyć w jaki sposób można zapobiec powtórce incydentu - czy to poprzez lepsze procesy, dalsze szkolenia lub inne kroki naprawcze. W celu sprawnej realizacji przez administratorów i podmioty przetwarzające obowiązków w zakresie naruszeń ochrony danych zalecane jest wdrożenie procedur. Ponadto procedura zgłaszania organowi nadzorczemu naruszeń ochrony danych osobowych oraz zawiadamiania o naruszeniach podmiotów danych, powinna być elementem kodeksu postępowania, zgodnie z art. 40 ust. 2 lit. i RODO.

Jakie naruszenia należy wpisywać do wewnętrznej ewidencji?

Art. 33 ust. 5 RODO nakłada na administratorów obowiązek dokumentowania wszelkich naruszeń ochrony danych osobowych, czyli  prowadzenia wewnętrznej ewidencji naruszeń. Użyte w ww. artykule sformułowanie „wszelkich naruszeń” oznacza, że ewidencja powinna obejmować wszystkie naruszenia spełniające kryteria określone w definicji zawartej w art. art. 4 pkt 12 RODO. W ewidencji powinny zatem się znaleźć zarówno  naruszenia ochrony danych osobowych podlegające obowiązkowi notyfikacyjnemu Prezesowi UODO, jak i te, które nie podlegają zgłoszeniu organowi nadzorczemu ze względu na okoliczność, że jest mało prawdopodobne, że skutkowałyby one ryzykiem naruszenia praw lub wolności osób fizycznych.

Zgodnie z wymaganiami art. 33 ust. 5 RODO administrator musi rejestrować informacje o naruszeniu obejmujące okoliczności naruszenia ochrony danych osobowych, przebieg i naruszone dane osobowe. Ewidencja powinna obejmować ponadto skutki i konsekwencje naruszenia oraz działania naprawcze podjęte przez administratora.

Prowadzenie ewidencji łączy się z zasadą rozliczalności przewidzianą w art. 5 ust. 2 RODO oraz obowiązkami administratora wynikającymi z art. 24 RODO. Jak wskazuje art. 33 ust. 5 (zdanie 2) RODO organ nadzorczy może zażądać dostępu do dokumentacji (ewidencji) naruszeń i dokumentacja ta powinna pozwolić organowi na weryfikowanie przestrzegania RODO w zakresie tych obowiązków.

Grupa Robocza Art. 29 podkreśla również, że w przypadku podjęcia decyzji o niezgłoszeniu naruszenia, wskazane jest udokumentowanie takiego faktu w ewidencji wraz z podaniem przyczyny, dla której administrator uznaje ryzyko naruszenia praw i wolności osób fizycznych za mało prawdopodobne.

Jeżeli chodzi o sposób prowadzenia ewidencji, Grupa Robocza Art. 29 podkreśla, że administrator może zdecydować o dokumentowaniu naruszeń w rejestrze czynności przetwarzania prowadzonym zgodnie z art. 30 RODO. Nie ma wymogu prowadzenia osobnego rejestru naruszeń, jeżeli informacje dotyczące naruszenia można łatwo zidentyfikować i przedłożyć na żądanie.

Brak udokumentowania naruszenia we właściwy sposób może prowadzić do wykonania przez organ nadzorczy uprawnień na mocy art. 58 RODO lub nałożenia administracyjnej kary pieniężnej zgodnie z art. 83 RODO.

Dowiedz się więcej o nowych unijnych przepisach w zakresie danych osobowych.   

Podstawa prawna:

  • rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych; RODO; Dziennik Urzędowy Unii Europejskiej L z 2016 r. nr 119, str. 1); 
  • ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (t.j. Dz.U. z 2019 r., poz. 1781, ze zm.).

Na podst.: uodo.gov.pl

Porady prawne

Potrzebujesz porady prawnej?

Jak powołać inspektora ochrony danych?

Jak powołać inspektora ochrony danych?

Kto może, a kto ma obowiązek wyznaczenia inspektora ochrony danych? Ogólne rozporządzenie o ochronie danych (RODO), które musi być stosowane od 25 maja 2018 r., w art. 37 ust 1 przewiduje obowiązek wyznaczenia inspektora dla administratorów i podmiotów przetwarzających wówczas, gdy: przetwarzania dokonują organ lub podmiot publiczny, (...)

Przetwarzanie danych osobowych przez sądy

Przetwarzanie danych osobowych przez sądy

Zgłaszanie naruszeń ochrony danych osobowych przez sądy UODO przygotował publikację „Przetwarzanie danych osobowych przez sądy w kontekście zgłaszania naruszeń ochrony danych osobowych”, która stanowi odpowiedź na pytanie, czy Prezes UODO jest organem właściwym do przyjmowania zgłoszeń naruszeń ochrony danych osobowych oraz prowadzenia kontroli w przypadku (...)

Dokumentacja przetwarzania danych osobowych według RODO

Dokumentacja przetwarzania danych osobowych według RODO

Od 25 maja 2018 r. ze względu na wejście do stosowania nowych przepisów regulujących zagadnienia ochrony danych osobowych oraz wejście w życie nowej ustawy o ochronie danych osobowych straciły moc wcześniej obowiązujące wymagania dotyczące dokumentacji przetwarzania danych osobowych. Zmienione regulacje obowiązują wszystkich uczestników obrotu gospodarczego oraz (...)

RODO w pracy - przetwarzanie danych w miejscu pracy.

RODO w pracy - przetwarzanie danych w miejscu pracy.

Niniejszy artykuł uwzględnia zmiany wynikające z postanowień ogólnego rozporządzenia o ochronie danych (RODO) oraz nowelizacji Kodeksu pracy wprowadzonej ustawą z 10 maja 2018 r. o ochronie danych osobowych.   Rozporządzenie 2016/679 dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie (...)

Co reguluje RODO?

Co reguluje RODO?

Pokrótce o RODO... Prywatność każdego człowieka musi być chroniona. 25 maja 2018 r. we wszystkich krajach należących do Unii Europejskiej zacznie być stosowane Ogólne Rozporządzenie o Ochronie Danych Osobowych 2016/679 (RODO). ##baner## W omawianym rozporządzeniu ustanowione zostały przepisy o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych (...)

Transfer danych UE-USA: ważny wyrok

Transfer danych UE-USA: ważny wyrok

Ważny wyrok Trybunału Sprawiedliwości Unii Europejskiej - wyrok TSUE ws. Data Protection Commissioner przeciwko Facebook Ireland Ltd. i Maximilian Schrems Trybunał Sprawiedliwości Unii Europejskiej 16 lipca 2020 r. wydał wyrok w sprawie C-311/18 - Data Protection Commissioner przeciwko Maximillian Schrems i Facebook Ireland. Trybunał stwierdził nieważność decyzji 2016/1250 (...)

Przetwarzanie danych przy rekrutacji pracowników a RODO

Przetwarzanie danych przy rekrutacji pracowników a RODO

Jak potencjalni pracodawcy powinni przetwarzać dane osobowe kandydatów do pracy zgodnie z RODO, czyli ogólnym rozporządzeniem o ochronie danych? Jakie dane kandydatów mogą pozyskiwać i jak długo mogą je przetwarzać? Rekrutacja po nowemu 25 maja 2018 roku we wszystkich krajach należących do Unii Europejskiej zaczęło być stosowane Ogólne Rozporządzenie (...)

Co RODO przynosi przedsiębiorcom?

Co RODO przynosi przedsiębiorcom?

Rozporządzenie 2016/679 dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich  danych  oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych - RODO) wprowadzić ma m.in. ułatwiania działalności gospodarczej poprzez uproszczenie i ujednolicenie (...)

Akt o usługach cyfrowych

Akt o usługach cyfrowych

Pierwsze wspólne przepisy dotyczące obowiązków i odpowiedzialności pośredników na jednolitym rynku otworzą nowe możliwości świadczenia usług cyfrowych ponad granicami przy równoczesnym zapewnieniu wysokiego poziomu ochrony użytkowników bez względu na ich miejsce zamieszkania w UE. ##baner## Jakie są najważniejsze cele aktu o usługach (...)

Dane już lepiej chronione

Dane już lepiej chronione

Od 25 maja br. w całej UE należy stosować nowe przepisy o ochronie danych - czyli tzw. RODO. Mają one lepie chronić prywatność konsumentów i nakładają na przedsiębiorców obowiązek bezpiecznego przechowywania i zarządzania informacjami identyfikującymi konkretne osoby.  - "Ochrona danych jest prawem podstawowym w UE. Dzięki nowym przepisom Europejczycy odzyskają kontrolę (...)

Kiedy można przetwarzać dane osobowe?

Kiedy można przetwarzać dane osobowe?

25 maja 2018 r. w państwach członkowskich UE zmieniają się wymogi dotyczące przetwarzania danych osobowych. RODO to inaczej Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 2016/679 z 27 kwietnia 2016 r. w sprawieochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (inaczej ogólne rozporządzenie o ochronie danych (...)

Rejestr czynności przetwarzania danych osobowych według RODO

Rejestr czynności przetwarzania danych osobowych według RODO

25 maja 2018 r. we wszystkich krajach Unii Europejskiej zacznie być stosowane Ogólne Rozporządzenie o Ochronie Danych Osobowych nr 2016/679 (RODO). RODO obejmuje swoim zastosowaniem wszystkie podmioty prywatne i publiczne, które przetwarzają dane osobowe i w praktyce większość procesów przetwarzania danych. Pozwoli ono m.in. spójnie monitorować przetwarzanie (...)

Pora na dostosowania do systemów informacyjnych Schengen

Pora na dostosowania do systemów informacyjnych Schengen

Sejm zajmuje się obecnie rządowym projektem ustawy o udziale Rzeczypospolitej Polskiej w Systemie Informacyjnym Schengen oraz Systemie Informacji Wizowej. Potrzeba przyjęcia takiej ustawy wynika z członkostwa Polski w Unii Europejskiej, a w szczególności w tzw. dorobku prawnym Schengen, którego urzeczywistnienie w pełnym zakresie jest uwarunkowane włączeniem do Systemu Informacyjnego Schengen. Czym (...)

System Informacyjny Schengen oraz System Informacji Wizowej

System Informacyjny Schengen oraz System Informacji Wizowej

W związku z wejściem do strefy Schengen obowiązuje w naszym kraju ustawa o udziale Rzeczypospolitej Polskiej w Systemie Informacyjnym Schengen oraz Systemie Informacji Wizowej. Potrzeba przyjęcia takiej ustawy wynikała z członkostwa Polski w Unii Europejskiej, a w szczególności w tzw. dorobku prawnym Schengen, którego urzeczywistnienie w pełnym zakresie było uwarunkowane włączeniem (...)

Obowiązek zgłaszania naruszeń przepisów RODO

Obowiązek zgłaszania naruszeń przepisów RODO

RODO nakłada na podmioty przetwarzające dane osobowe prawny obowiązek informowania o incydentach bezpieczeństwadotyczących danych osobowych. Zgłaszanie naruszeń ochrony danych to nowy obowiązek, jaki przepisy ogólnego rozporządzenia o ochronie danych nakładają na administratorów danych. Jego dopełnianie w stosunku do osób, których dane dotyczą, (...)

DODO - Ochrona danych osobowych przy przeciwdziałaniu przestępczości

DODO - Ochrona danych osobowych przy przeciwdziałaniu przestępczości

Rada Ministrów przyjęła projekt ustawy wdrażającej unijną dyrektywę policyjną Rada Ministrów przyjęła projekt ustawy, która wprowadzi przepisy tzw. unijnej dyrektywy policyjnej (DODO). Regulacje te dotyczą przetwarzania danych osobowych w celu rozpoznawania, zapobiegania, wykrywania i zwalczania czynów zabronionych, w tym zagrożeń dla bezpieczeństwa i porządku (...)

Powiadomienia dotyczące inspektora ochrony danych

Powiadomienia dotyczące inspektora ochrony danych

Powiadomienia dotyczące IOD lub jego zastępcy należy składać tylko w postaci elektronicznej Przesłanie zawiadomienia dotyczącego IOD lub zastępcy IOD w innej formie niż elektroniczna jest bezskuteczne.  ##baner## Podmiot, który wyznaczył inspektora ochrony danych ma obowiązek zawiadomić o tym Prezesa UODO w terminie 14 dni w trybie określonym w art. (...)

Dane osobowe obywateli będą lepiej chronione

Dane osobowe obywateli będą lepiej chronione

Rządowy projekt ustawy o ochronie danych osobowych, przygotowany przez ministra cyfryzacji, ma sprawić, że dane osobowe Polaków będą lepiej chronione. Czemu ma służyć nowa ustawa o ochronie danych osobowych? Lepsza ochrona danych osobowych – to główny cel nowej ustawy. Zaproponowane przepisy wynikają z konieczności zapewnienia w Polsce skutecznego stosowania unijnego (...)

Ocena skutków dla ochrony danych

Ocena skutków dla ochrony danych

Kto ma obowiązek oceny skutków dla ochrony danych? RODO nakłada obowiązek wdrożenia odpowiednich środków ochrony danych osobowych na administratorów. Administratorzy muszą też być w stanie wykazać przestrzeganie rozporządzenia pod kątem ryzyka naruszenia praw lub wolności osób fizycznych. Nowa, przyjęta w ogólnym rozporządzeniu o ochronie danych (RODO), (...)

Rewolucja w systemie ochrony danych osobowych

Rewolucja w systemie ochrony danych osobowych

Konsultacje społeczne projektu przepisów wdrażających ogólne rozporządzenie o ochronie danych (RODO) Podwyższenie poziomu ochrony prywatności obywateli, w tym przyznanie im nowych, nieznanych dzisiaj i skutecznych mechanizmów ochrony przed naruszeniami, przy jednoczesnym poszanowaniu interesów przedsiębiorców – to podstawowe założenia udostępnionego (...)

Ochrona danych osobowych zatrudnionych na podstawie umów cywilnoprawnych i pracowników tymczasowych

Ochrona danych osobowych zatrudnionych na podstawie umów cywilnoprawnych i pracowników tymczasowych

25 maja 2018 roku we wszystkich krajach należących do Unii Europejskiej zaczęło być stosowane Ogólne Rozporządzenie o Ochronie Danych Osobowych 2016/679 (RODO). RODO obejmuje swoim zastosowaniem wszystkie podmioty prywatne i publiczne, które przetwarzają dane osobowe i w praktyce większość procesów przetwarzania danych.  W artykule przedstawiono kwestie związane (...)

Obowiązki administratora danych osobowych

Obowiązki administratora danych osobowych

    Dane osobowe każdego człowieka stanowią szczególny przedmiot ochrony prawnej. Dlatego też w regulacji rangi ustawowej ustanowiono nie tylko pojęcie danych osobowych, ale także procedury ich ochrony oraz podstawowe obowiązki administratorów danych w tym zakresie. Do wskazanych obowiązków możemy zaliczyć: zapewnienie legalności przetwarzania danych, obowiązki (...)

Dalsze gromadzenie danych oosobowych osób ubiegających się o zatrudnienie

Dalsze gromadzenie danych oosobowych osób ubiegających się o zatrudnienie

Formalne objaśnienia prawne Ministra Cyfryzacji dla przedsiębiorców w kwestiach związanych z ochroną danych osobowych, zgodnie z art. 33 Prawa przedsiębiorców, mają na celu wyjaśnienie wątpliwości w zakresie możliwości gromadzenia przez pracodawców dokumentów rekrutacyjnych już po zakończeniu procesu rekrutacji w stosunku do osób, (...)

Stosowanie ustawy o STIR

Stosowanie ustawy o STIR

STIR (system teleinformatyczny izby rozliczeniowej) umożliwia wymianę informacji między systemem bankowym a Krajową Administracją Skarbową (KAS) i zapobiega wyłudzeniom skarbowym, których najczęściej dokonują zorganizowane grupy przestępcze. STIR już działa Przykładem jego sprawnego działania jest szybka identyfikacja nowo założonego podejrzanego rachunku bankowego i uniemożliwienie (...)

Na czym polega powierzenie przetwarzania danych osobowych i jakie wiążą się z tym obowiązki?

Na czym polega powierzenie przetwarzania danych osobowych i jakie wiążą się z tym obowiązki?

Powierzenie przetwarzania danych innemu podmiotowi jest uregulowane w art. 31 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U.2015.2135 z późn. zm.) – dalej „u.o.d.o.”   Zgodnie z art.  31. u.o.d.o. 1. Administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych. 2. Podmiot, o którym (...)

Obowiązek zaktualizowania zgody na przetwarzanie danych po wejściu w życie RODO

Obowiązek zaktualizowania zgody na przetwarzanie danych po wejściu w życie RODO

Rozpoczęcie stosowania – od 25 maja 2018 r. – przepisów unijnego ogólnego rozporządzenia o ochronie danych (RODO) oznacza rewolucję. Ten akt prawny nakłada bowiem na administratorów danych wiele nowych obowiązków. Kiedy dotychczasowa zgoda będzie dalej ważna? Zgodnie z RODO, jeżeli przetwarzanie ma za podstawę zgodę w myśl dyrektywy 95/46 i odpowiada (...)

Termin na wyznaczenie inspektora ochrony danych

Termin na wyznaczenie inspektora ochrony danych

Jedną z najważniejszych zmian, jakie od 25 maja 2018 r. przewidują nowe przepisy o ochronie danych osobowych, jest przejście od dotychczasowego modelu dobrowolnego wyznaczania ABI do systemu, w którym w odniesieniu do wielu podmiotów przewidziany jest obowiązek wyznaczenia inspektora ochrony danych. Wobec tego każdy podmiot - niezależnie od tego, czy skorzystał (...)

Jak korzystać z praw gwarantowanych przez RODO?

Jak korzystać z praw gwarantowanych przez RODO?

Na podstawie doświadczeń z pierwszych 6 miesięcy stosowania RODO Urząd Ochrony Danych Osobowych przygotował 10 wskazówek, jak osoba indywidualna może korzystać z praw gwarantowanych przez rozporządzenie. Masz prawo wiedzieć, co będzie się działo z Twoimi danymi Powinieneś wiedzieć, kto, na jakiej podstawie i po co przetwarza Twoje dane osobowe. Firma (...)

Zasady przetwarzania danych osobowych oraz ich zabezpieczanie

Zasady przetwarzania danych osobowych oraz ich zabezpieczanie

Administrator danych przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, nadto administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną. Sposoby ochrony interesów (...)

Nowa ustawa o ochronie danych osobowych!

Nowa ustawa o ochronie danych osobowych!

Ustawa o ochronie danych osobowych w założeniu ma zapewnić lepszą ochronę danych osobowych. Nowe regulacje wynikają z konieczności zapewnienia w Polsce skutecznego stosowania rozporządzenia UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych oraz w sprawie ich swobodnego przepływu (tzw. RODO). Do nowych przepisów będą musiały dostosować się (...)

Co RODO przynosi obywatelom?

Co RODO przynosi obywatelom?

Rozporządzenie 2016/679 dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich  danych  oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych - RODO) stanowić ma m.in. istotny krok na drodze do umacniania praw podstawowych obywateli UE w erze (...)

Ustawa wdrażająca dyrektywę „policyjną” już obowiązuje

Ustawa wdrażająca dyrektywę „policyjną” już obowiązuje

6 lutego 2019 r. weszła w życie ustawa z 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz.U. z 2019 r. poz. 125), wdrażająca do polskiego porządku prawnego dyrektywę 2016/680, zwana często tzw. „dyrektywą policyjną”. Nowa ustawa wdraża dyrektywę 2016/680 Dyrektywa (...)

Mija termin zawiadomienia o wyznaczeniu IOD

Mija termin zawiadomienia o wyznaczeniu IOD

Kiedy upływa termin? 31 lipca 2018 r. upływa termin zawiadomienia Prezesa Urzędu Ochrony Danych Osobowych o wyznaczeniu inspektora ochrony danych (IOD) przez podmioty, które przed 25 maja 2018 r. nie powołały ABI, a zgodnie z art. 37 ust. 1 RODO mają obowiązek wyznaczenia IOD. Należy też pamiętać, że: jedynym prawidłowym i skutecznym sposobem (...)

Szykuje się skuteczniejszy pobór abonamentu RTV

Szykuje się skuteczniejszy pobór abonamentu RTV

Abolicja dla osób posiadających zaległości z tytułu nieuiszczania opłat abonamentowych, uproszczona rejestracja odbiorników i poprawa skuteczności poboru abonamentu RTV, a tym samym wsparcie dla misji pełnionej przez media publiczne – to główne założenia proponowanej nowelizacji ustawy o opłatach abonamentowych. Przygotowany przez Ministerstwo Kultury i Dziedzictwa (...)

Na jaką ochronę mogą liczyć świadkowie koronni?

Na jaką ochronę mogą liczyć świadkowie koronni?

23 listopada 2006 r. wchodzi w życie rozporządzenie Rady Ministrów z dnia 18 października 2006 r. w sprawie udzielania ochrony i pomocy świadkom koronnym i innym uprawnionym osobom. Zastępuje ono dotyczczas obowiązujące rozporządzenie Rady Ministrów z dnia 30 grudnia 1998 r. w sprawie szczegółowych warunków, zakresu i sposobu udzielania oraz cofania ochrony i pomocy (...)

Nowelizacja ustawy o ochronie danych osobowych

Nowelizacja ustawy o ochronie danych osobowych

Sejm znowelizował ustawę o ochronie danych osobowych. Zmiany mają na celu dostosowanie tej regulacji do prawa unijnego.Doprecyzowano m. in. słowniczek ustawowy. Zgodnie z nowelą, za administratora danych osobowych rozumieć należy organ, jednostkę organizacyjną lub osobę, do której zastosowanie znajduje ustawa o ochronie danych osobowych, decydujące o celach i środkach przetwarzania danych (...)

RODO w szkole

RODO w szkole

Początek roku szkolnego to czas, gdy pojawia się konieczność dopełnienia przez szkołę wielu obowiązków, w tym tych, które dotyczą przetwarzania danych osobowych. Temat ten co roku wzbudza ciekawość i pojawia się wiele pytań z nim związanych. Poznaj odpowiedzi UODO na najczęściej zadawane przez rodziców (opiekunów prawnych) pytania (...)

Prezydent RP będzie mógł ratyfikować Konwencję 108+

Prezydent RP będzie mógł ratyfikować Konwencję 108+

Prezes Urzędu Ochrony Danych Osobowych z satysfakcją przyjął informację o uchwaleniu przez polski parlament ustawy zezwalającej Prezydentowi RP na ratyfikację Protokołu zmieniającego Konwencję o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych, sporządzonego 10 października 2018 r. w Strasburgu. Protokół wprowadza tzw. (...)

Ochrona danych osobowych w e-commerce. Lepiej chroń swoich klientów

Ochrona danych osobowych w e-commerce. Lepiej chroń swoich klientów

Obowiązek ochrony przetwarzanych danych osobowych ciąży na każdym właścicielu e-sklepu czy serwisu internetowego, który taki zbiór danych gromadzi. Wiąże się to nie tylko z koniecznością jego rejestracji u Głównego Inspektora Ochrony Danych Osobowych (GIODO), ale też odpowiedniego zabezpieczenia i zarządzania bazą. Mogliśmy się w ostatnim czasie kilkakrotnie przekonać, jakie są (...)

Jak złożyć zawiadomienie o wyznaczeniu nowego inspektora ochrony danych?

Jak złożyć zawiadomienie o wyznaczeniu nowego inspektora ochrony danych?

Przetwarzasz dane osobowe? Pamiętaj, że musisz wyznaczyć inspektora ochrony danych (IOD) oraz powiadomić o tym fakcie Prezesa UODO. Masz na to dwa tygodnie od daty wyznaczenia IOD, jednak nie później niż do 31 lipca lub 1 września. O tym, który termin dotyczy twojej sprawy dowiesz się poniżej. 25 maja 2018 r. zaczęły obowiązywać przepisy europejskiego rozporządzenia o ochronie (...)

Zapytaj prawnika:

Dodaj załącznikDodaj załącznik

Oświadczenia i zgody RODO:


PORADY PRAWNIKA

Rejestracja bazy danych w GIODO

Rejestracja bazy danych w GIODO

Co powinienem wiedzieć o rejestracji bazy danych w GIODO? W pierwszej kolejności podajemy podstawowe informacje, z którymi zapoznanie jest konieczne dla prawidłowego wykonania obowiązków (...)

Ochrona danych osobowych

Ochrona danych osobowych

Krajowy Rejestr Długów BIG S.A. ma ustawowy obowiązek prezentacji informacji konsumentom na ich wniosek. Chciałem skorzystać i zobaczyć jak wygląda taka informacja. Zarejestrowałem się na na stronie (...)

Umowa powierzania przetwarzania danych osobowych

Umowa powierzania przetwarzania danych osobowych

Jakie dane/formę powinna zawierać umowa powierzania przetwarzania danych osobowych podpisywana, np. w ramach umowy na usługi hostingowe? Umowy z tego zakresu są zazwyczaj tzw. umowami o świadczenie (...)

Wokanda a ochrona danych osobowych

Wokanda a ochrona danych osobowych

Wokandy są wywieszane na drzwiach sal i/lub w tablicach poszczególnych wydziałów sądów. Pewnego dnia spisując informację z wokandy zostałem "okrzyczany" przez Panią z sekretariatu, że nie wolno. (...)

Ujawnienie danych osobowych dłużników

Ujawnienie danych osobowych dłużników

Zarząd spółdzielni mieszkaniowej w materiałach na Zebranie Przedstawicieli podał do wiadomości imiona, nazwiska, adresy, kwoty zadłużeń (także spłaconych) oraz sygnatury spraw sądowych i stan (...)

Komercyjna baza danych klientów

Komercyjna baza danych klientów

Czy pracując w firmie handlowej, zbierając informację o rynku i klientach (nie tylko tej firmy, ale całej branży), mogę sporządzić komercyjną bazę klientów i swobodnie się nią posługiwać (...)

Wniosek o zaprzestanie przetwarzania danych

Wniosek o zaprzestanie przetwarzania danych

W naszej firmie na mocy polecenia Prezesa Zarządu została przeprowadzona ocena pracownicza, przebiegająca w następujący sposób. Każdy z pracowników ocenia osoby, z którymi kontaktuje się zawodowo (...)

Publikacja danych osobowych w Internecie

Publikacja danych osobowych w Internecie

Firma pragnie zamieszczać na stronie subiektywne, ale wyłącznie pozytywne opinie oraz ocenę internautów na temat osób, np. fryzjerów, czy też stomatologów wymienionych z nazwiska oraz miejsca (...)

Zgłoszenie zbioru danych GIODO

Zgłoszenie zbioru danych GIODO

Prowadzę jednoosobowa działalność gospodarczą, polegającą na świadczeniu usług drogą elektroniczna dla osób prywatnych. Kiedy zaczyna sie dla mnie obowiązek zgłaszania danych osobowych zarejestrowanych (...)

Naruszenie dóbr osobistych przez pracodawcę

Naruszenie dóbr osobistych przez pracodawcę

Na podstawie art. 51 i 52 w związku z art.36 Ustawy z 1997 r. o ochronie danych osobowych, wytoczyłam pracodawcy proces karny o zagubienie moich akt osobowych na rynku miejskim. Za winną zagubienia (...)

Osoby niepożądane

Osoby niepożądane

Kraje skandynawskie stosują wobec osób które uważają za niepożądane zakaz wjazdu na ich terytorium. Czy w Polsce można sprawdzić czy figuruje się na takiej liście?Kto mógłby mi udzielić informacji (...)

Szkoda z powodu ujawnienia danych osobowych

Szkoda z powodu ujawnienia danych osobowych

Za jakie rodzaje szkód (co można zaliczyć do szkody) powstałych w wyniku ujawnienia danych osobowych szerokiemu kręgowi odbiorców w publikacjach ogólnodostępnych można dochodzić roszczeń na (...)

Wniosek do banku o wypis z MIG BR.

Wniosek do banku o wypis z MIG BR.

W 2010 roku wziąłem kredyt na remont mieszkania. Niestety moja sytuacja materialna pogorszyła się w trakcie i miałem problem ze spłatą kredytu. Na szczęście w 2014 roku udało mi się spłacić (...)

Naruszenie dóbr osobistych pracownika

Naruszenie dóbr osobistych pracownika

Dyrektor biura projektowego w dużej firmie na polecenie prezesa rozesłał do wszystkich swoich podległych pracowników drogą e-mailową listę pracowników uporządkowaną wg ilości godzin korzystania (...)

Ujawnienie adresu policjanta

Ujawnienie adresu policjanta

Czy ujawnienie adresu zamieszkania policjanta, bez jego zgody przez przełożonych służbowych osobom, wobec których policja prowadzi postępowanie karne, narusza przepisy ustawy o ochronie danych osobowych? (...)

Przesłanka przetwarzania danych wrażliwych

Przesłanka przetwarzania danych wrażliwych

Jaka przesłanka legalizuje przetwarzanie danych wrażliwych w amatorskich klubach, towarzystwach sportowych, klubach dyskusyjnych, klubach zainteresowań? Za tzw. dane wrażliwe uważa się dane ujawniające (...)

Przekazywanie przez organy danych o zameldowaniu

Przekazywanie przez organy danych o zameldowaniu

Czy wydział meldunkowy, w którym dokonywany jest meldunek danej osoby na pobyt czasowy (na przykład nauka w szkole poza miejscem zamieszkania i pobyt w internacie) ma obowiązek powiadomić wydział (...)

Likwidacja spółki cywilnej małżonków

Likwidacja spółki cywilnej małżonków

Jesteśmy małżeństwem i prowadzimy działalność jako dwuosobowa spółka cywilna. Obecnie żona chce zrezygnować z działalności i przekazać mi udziały (10%) w ramach wspólnoty małżeńskiej, (...)

Czy mam szansę na wypisane z MIG-RB?

Czy mam szansę na wypisane z MIG-RB?

Dzisiaj dowiedziałam się w banku że jestem wpisana do MIG-RB od 2014 roku. Wpisał mnie tam mój bank. Czy mam szansę na wypisane z MIG-RB? Przygotowana dla Pani opinia oparta została przede wszystkim (...)

Uzyskanie danych osobowych ze zbioru PESEL

Uzyskanie danych osobowych ze zbioru PESEL

Nabyłem mieszkanie na licytacji komorniczej i obecnie chciałem złożyć pozew o eksmisję zamieszkujących tam osób. Ponieważ nie wiem kto dokładnie tam zamieszkuje, a więc kogo powinienem pozwać, (...)

Prawa komornika sądowego do informacji o dłużniku

Prawa komornika sądowego do informacji o dłużniku

Organ prowadzący egzekucję (komornik sądowy) ma prawo zasięgać informacji w różnych instytucjach administracyjnych w sprawie danych dłużnika (np. meldunkowych) wobec którego toczy (...)

Udostępnienie numeru telefonu

Udostępnienie numeru telefonu

Jeśli operator telefoniczny udostępnił numer telefonu - pomimo jego zastrzeżenia - osobie trzeciej, czy złamał ustawę o ochronie danych osobowych, czy też złamał tylko warunki umowy (zastrzeżenie (...)

Jak usunąć swoją historię kredytowa z BIK?

Jak usunąć swoją historię kredytowa z BIK?

Czy mogę usunąć swoją historię kredytowa z BIK jeżeli nadal mam zaległości do spłacenia? Niniejsza opinia została sporządzona na podstawie przepisów ustawy Prawo bankowe (Dz.U.2012.1376 (...)

Czy pracodawca musi dać ksero listy obecności na żądanie pracownika?

Czy pracodawca musi dać ksero listy obecności na żądanie pracownika?

Czy na prośbę pracownika, pracodawca musi czy ewentualnie może dać kserokopie listy obecności na której on się znajduje? Zgodnie z rozporządzeniem o zakresie prowadzenia przez pracodawców dokumentacji (...)

Upublicznianie informacji publicznej w internecie

Upublicznianie informacji publicznej w internecie

Dzień dobry! Zwróciłem się poprzez BIP do NIK z prośbą o kopię protokołu kontroli przeprowadzonej w jednej z instytucji państwowych. Otrzymaliśmy protokół, naj ego podstawie został napisany (...)

Pomyłkowy przelew

Pomyłkowy przelew

Z konta firmowego pomyłkowo zostały wysłane pieniądze na konto bankowe osoby prywatnej. Nie znamy danych osobowych właściciela konta. W jaki sposób możemy uzyskać od banku informacje o danych (...)

Podstawa prawna oceny pracowniczej w firmie

Podstawa prawna oceny pracowniczej w firmie

Czy przeprowadzenie w firmie oceny pracowniczej (np. w sposób opisany niżej) może być zakwalifikowane jako wypełnianie obowiązku pracodawcy, o którym mowa w art. 94 ust. 9 kodeksu pracy? Jakie kryteria (...)

Bezpieczne kupno samochodu

Bezpieczne kupno samochodu

Jak bezpiecznie przeprowadzić transakcję kupna samochodu? Kiedy powinienem przekazać właścicielowi gotówkę, jakie dokumenty powinienem podpisać, czy prawo przewiduje możliwość unieważnienia (...)

Główny Inspektorat Ochrony Danych Osobowych

Główny Inspektorat Ochrony Danych Osobowych

Firma prowadzi system komputerowy zawierajacy bazę danych klientów, który jest zgłoszony do GIODO. Czy jeśli chcielibyśmy nieodpłatnie użyczyć ten system innej firmie, powinniśmy informować (...)

Powołanie na świadka pracownika powoda

Powołanie na świadka pracownika powoda

Otrzymałem pozew i w ramach sprzeciwu chciałbym zgłosić na świadka pracownika powoda, którego adresu nie znam. Znam jedynie jego imię i nazwisko. Jak zgłosić świadka, aby spełnić warunki art. (...)

FORUM PRAWNE

zadłużenie PLUS windykacja "Raport"

zadłużenie PLUS windykacja "Raport" Mam kłopot, dwa i pół roku temu rozwiązałam umowę z plus gsm. Parę dni temu dostałam od nich pismo, że zalegam im pieniądze, dzień później zadzwoniła (...)

nagrywanie rozmów przez firmy windykacyjne + przedawnienie

nagrywanie rozmów przez firmy windykacyjne + przedawnienie Mam problem dotyczący konkretnie firmy kruk. Ponieważ mam zadłużenie (idea) z 2001 roku które przejeła firma windykacyjna (które już (...)

Zmiana przepisów o ochronie danych po 1 stycznia 2015

Zmiana przepisów o ochronie danych po 1 stycznia 2015 W raz z nowym rokiem od 1 stycznia 2015 roku w polskim systemie prawnym obowiązywać będą nowe przepisy prawa dotyczące ochrony danych osobowych. (...)

Klauzule zakazane - sprawdzenie regulaminu sklepu internetowego

Klauzule zakazane - sprawdzenie regulaminu sklepu internetowego Witam, pozwów przez jakąś organizacje ciąg dalszy, na początek maja mam nieobowiązkowe przesłuchanie w swojej sprawie, aż niby trzy (...)

Ustawa o ochronie danych osobowych

Ustawa o ochronie danych osobowych Czy jeżeli Spółdzielnia poprzez Panią zatrudnioną w charakterze sprzątaczki przekazuje informację łatwo dostępną - czytaj nie w kopercie , całkowicie jawną (...)

Umowa zlecenia-wątpliwości i nieuczciwy pracodawca.

Umowa zlecenia-wątpliwości i nieuczciwy pracodawca. Witam Trafił mi się wyjątkowo felerny pracodawca. Zacznę od tego, że znalazłam ogłoszenie o pracę w internecie, gdzie pisało iż pracodawca (...)

Wierzytelności a decyzje GIODO

Wierzytelności a decyzje GIODO Wielkie uznanie dla Macieja Logan za bezinteresowną pomoc dla innych, zwłaszcza w kwestii Kruka! Gorąco Pozdrawiam :) Panie Macieju znalazłem coś niepokojącego odnośnie (...)

Ratunku Kruk ściga PILNE

Ratunku Kruk ściga PILNE Mam pytanie co robić w 1999 mąż zawarł umowe z cyfra + , w umowie zaznaczył iż opłaty abonamentowej bedzie dokonywał miesiecznie książeczką opłat. Cyfra została podłączona (...)

Asystent w dziale prawnym

Asystent w dziale prawnym Merkury Market spółka z ograniczoną odpowiedzialnością sp. k. ogłasza nabór na stanowisko Asystent w dziale prawnym Miejsce wykonywania pracy: Krosno Osoba zatrudniona (...)

Presco atakuje!!! co robić?

Presco atakuje!!! co robić? Witam, dostałem pismo od firmy PRESCO - "Ostateczne wezwanie do zapłaty", bo jak tego nie zrobię to 26.07.04 sprawa bedzie w sądzie" i sam nie wiem co mam (...)

Nadchodzi KRUK - ratunku!!!

Nadchodzi KRUK - ratunku!!! W 2002 r. pilnie potrzebowałem gotówki. Idąc za radą znajomego (nie słuchajcie znajomych) kupiłem telefon w promocji aby sprzedać go w komisie. Podpisałem umowę z ówczesną (...)

żądanie usunięcia danych osobowych BRE Bank S.A.

żądanie usunięcia danych osobowych BRE Bank S.A. Witam, Mam pytanie dotyczące żądania usunięcia danych osobowych z bazy danych grupy BRE Bank S.A. Otóż podmiot należący do Grupy BRE Bank S.A. (...)

Czy firmy windykacyjne mają prawo posiadać moje dane??

Czy firmy windykacyjne mają prawo posiadać moje dane?? Witam. Mam proste pytanie, czy firmy windykacyjne takie jak KRUK mają prawo posiadać moje dane?? Wszędzie ludzie piszą, że nie mają prawa, (...)

podgladanie w pracy przez szefa kamera

podgladanie w pracy przez szefa kamera Mam takie pytanie - czy szef moze w zakladzie pracy zamontowac kamery i korzystac z ich obrazu poprzez internet w domu patrzac co robia jego pracownicy? Wlasnie tak (...)

Seminarium prawnicze z Maciejem Kaweckim dot. nowelizacji przepisów o ochronie danych osobowych

Seminarium prawnicze z Maciejem Kaweckim dot. nowelizacji przepisów o ochronie danych osobowych W raz z nowym rokiem od 1 stycznia 2015 roku w polskim systemie prawnym obowiązywać będą nowe przepisy (...)

Dni wolne za święta w sobotę

Dni wolne za święta w sobotę 1 i 3 maja to wolne dni. 1 - czwartek, 3 - sobota, co w takim razie z piątkiem, czy aby nie jest ustawowo wolnym dniem o pracy, jeżeli 3 maja wypada w sobotę, proszę (...)

Nowelizacja ustawy o ochronie danych osobowych. Zmiana przepisów po 1 stycznia 2015

Nowelizacja ustawy o ochronie danych osobowych. Zmiana przepisów po 1 stycznia 2015 W raz z nowym rokiem od 1 stycznia 2015 roku w polskim systemie prawnym obowiązywać będą nowe przepisy prawa dotyczące (...)

Znowu KRUK - Idea

Znowu KRUK - Idea Poniżej znalazłem wypowiedź prawnika, że prowadził sprawy o przedawnienie i w zależności od sądu ternim wahał się od roku do dwoch lat (przedawnienie) po dwóch i pół roku (...)

Patrole policji

Patrole policji Od pewnego czasu na ulicach Szczecina można spotkać patrole policji wraz z pracownikami agencji ochrony osób i mienia. Jak to się ma do ustawy o ochronie danych osobowych. Przecież (...)

Ochrona danych osobowych

Ochrona danych osobowych Jaką infomrację należy uznać za "dane osobowe" (czyli w rozumieniu ustawy za dane pozwalające na określenie tożsamości ossoby)? Jak dużym nakładem środków (...)

Porady prawne