Audyt, wdrożenie dokumentacji, rejestracja zbiorów
Szkolenia z zakresu ochrony danych osobowych
Outsourcing
Aktualności
-
ACTA (Umowa handlowa dotycząca zwalczania obrotu towarami podrobionymi) może być niezgodna z fundamentalnymi zasadami ochrony danych osobowych.ACTA (Umowa handlowa dotycząca zwalczania obrotu towarami podrobionymi) może być niezgodna z fundamentalnymi zasadami ochrony danych osobowych.
W związku z podniesionymi przez Parlament Europejski i kilka organizacji wolności obywatelskich wątpliwościami co do konsekwencji ACTA, europejskie organy ochrony danych (zrzeszone w ramach Grupy Roboczej Artykułu 29 - GR Art. 29) skierowały pismo do Komisarza ds. Handlu EU (Karel de Gucht), w którym przedstawiły kilka obaw co do tej nowej międzynarodowej umowy. Europejskie organy ochrony danych mają m.in. obawy odnoszące się do przepisów dotyczących procedur 'notice and take down', przeszukiwań prowadzonych przez władze celne, kryminalizacji naruszeń prawa autorskiego na małą skalę oraz ewentualnego wprowadzenia 'zasady trzech skreśleń', ponieważ środki te mogą ingerować w życie prywatne wielu obywateli. Toteż europejskie organy ochrony danych wzywają Komisarza do respektowania europejskich ram ochrony danych oraz do zapewnienia, aby ACTA była w pełni z nimi zgodna. Należy zająć się kwestią naruszeń prawa autorskiego, ale muszą być zapewnione odpowiednie zabezpieczenia ochrony praw podstawowych osób fizycznych.
Szczegółowe informacje można znaleźć w piśmie (wersja angielska) znajdującym się tutaj .Trzeba unormować zasady pozyskiwania danych osobowych na potrzeby rekrutacji do żłobkówTrzeba unormować zasady pozyskiwania danych osobowych na potrzeby rekrutacji do żłobków
GIODO po raz kolejny skierował do Ministra Pracy i Polityki Społecznej prośbę o unormowanie w przepisach rangi ustawowej zasad przetwarzania danych osobowych na potrzeby rekrutacji do żłobków, w tym zakresu pozyskiwanych danych. Podjęcie prac legislacyjnych mających na celu stworzenie odpowiednich podstaw prawnych dla pozyskiwania danych osobowych na potrzeby rekrutacji do żłobków i przedszkoli GIODO traktuje jako niezwykle pilne i istotne. Zabiega o nie także w resorcie edukacji narodowej i zapowiada, że starania te poprze czynnościami kontrolnymi.
źródło: www.giodo.gov.pl"Co Państwo wie o obywatelach? Zasady przetwarzania danych w rejestrach publicznych" to temat debaty ekspertów, która 4 stycznia 2012 r. odbyła się w redakcji "Dziennika Gazety Prawnej"."Co Państwo wie o obywatelach? Zasady przetwarzania danych w rejestrach publicznych" to temat debaty ekspertów, która 4 stycznia 2012 r. odbyła się w redakcji "Dziennika Gazety Prawnej".
Jej współorganizatorami byli dr Wojciech Rafał Wiewiórowski - Generalny Inspektor Ochrony Danych Osobowych (GIODO) oraz Jadwiga Sztabińska, redaktor naczelna pisma. Wybór tematu rejestrów publicznych nie był przypadkowy. Pod takim bowiem hasłem odbywać się będą tegoroczne obchody Dnia Ochrony Danych Osobowych.
Do udziału w dyskusji zaproszeni zostali wybitni eksperci zajmujący się ochroną danych osobowych i tworzeniem różnego rodzaju rejestrów publicznych. Oprócz GIODO, uczestniczyli w niej: prof. Irena Lipowicz - Rzecznik Praw Obywatelskich, Michał Boni - Minister Administracji i Cyfryzacji, Piotr Kluz - Podsekretarz Stanu w Ministerstwie Sprawiedliwości oraz dr Wacław Iszkowski - członek Rady Informatyzacji.
Dyskutowano o powodach pozyskiwania przez państwo różnych informacji o obywatelach, zaletach tworzenia elektronicznych baz danych, a także o zagrożeniach związanych ze zbieraniem zbyt wielu danych. Podnoszono, że w ostatnim okresie znacząco rośnie liczba baz danych tworzonych przez podmioty z sektora publicznego, a dostęp do nich uzyskują niekiedy organy lub osoby do tego nieuprawnione. Wskazywano na zasady, jakie powinny obowiązywać przy przetwarzaniu danych osobowych w zbiorach prowadzonych przez państwo, w tym na konieczność ich odpowiedniego zabezpieczania.
Debatę prowadził redaktor Łukasz Kuligowski, a relacja z niej zostanie opublikowana w "Dzienniku Gazecie Prawnej" 30 stycznia 2012 r.
źródło: www.giodo.gov.plOd 1 stycznia 2012 r. zaczynają obowiązywać nowe przepisy prawa mające istotny wpływ na ochronę danych osobowych.Od 1 stycznia 2012 r. zaczynają obowiązywać nowe przepisy prawa mające istotny wpływ na ochronę danych osobowych.
Co ważne, zmianie ulegają przepisy ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.). Wprowadza je wchodząca w życie 1 stycznia 2012 r. ustawa z dnia 16 września 2011 r. o wymianie informacji z organami ścigania państw członkowskich Unii Europejskiej (Dz. U. Nr 230, poz. 1371).
Ponadto z dniem 31 grudnia 2011 r. stracił moc obowiązującą art. 7a ust. 2 ustawy z dnia 19 listopada 1999 r. Prawo działalności gospodarczej, który stanowił, że "Ewidencja działalności gospodarczej jest jawna i dane osobowe w niej zawarte nie podlegają przepisom ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych". Oznacza to, że od 1 stycznia 2012 r. przepisy ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych będą dotyczyły informacji identyfikujących przedsiębiorców w obrocie gospodarczym, o ile - dla konkretnego stanu faktycznego - będą stanowiły dane osobowe w rozumieniu art. 6 ustawy o ochronie danych osobowych. Tym samym administratorzy danych osobowych dotyczących przedsiębiorców będą musieli wypełnić wszelkie obowiązki wynikające z ustawy o ochronie danych osobowych, w tym te dotyczące rejestracji zbiorów danych osobowych.
źródło: www.giodo.gov.plMożliwość nakładania przez GIODO kar pieniężnych to jedna z poważniejszych zmian, jakie zamierza wprowadzić Unia Europejska.Możliwość nakładania przez GIODO kar pieniężnych to jedna z poważniejszych zmian, jakie zamierza wprowadzić Unia Europejska.
Takie rozwiązania są przewidziane w nowych ramach ochrony danych osobowych Unii Europejskiej, których projekt obecnie znajduje się w fazie tzw. konsultacji międzyresortowych w ramach Komisji Europejskiej (KE). Oficjalnie KE ma go przedstawić pod koniec stycznia 2012 r. Wtedy zostanie skierowany do standardowej procedury uchwalania aktu prawnego z udziałem wszystkich organów Unii Europejskiej, która najprawdopodobniej rozpocznie się od lutego 2012 r.
Na razie z nieoficjalnych informacji wiadomo, że jest to projekt rewolucyjny. Nie są to bowiem poprawki do istniejącego systemu, lecz wprowadzenie zupełnie nowej regulacji, gdyż dzisiejsza dyrektywa o ochronie danych osobowych zostanie zastąpiona rozporządzeniem.
- Dzięki jego wprowadzeniu nastąpi pełna harmonizacja prawa materialnego w ramach Unii Europejskiej - mówił dr Wojciech Rafał Wiewiórowski, Generalny Inspektor Ochrony Danych Osobowych (GIODO) w czasie wywiadu udzielonego redaktor Iwonie Jackowskiej z "Pulsu Biznesu". - To nie do końca oznacza, że znikną ustawy krajowe, gdyż będą one musiały wprowadzić proponowany przez Unię Europejską system do procedur, które obowiązują w poszczególnych państwach członkowskich - tłumaczył. - Możemy więc w uproszczeniu powiedzieć, że prawo materialne dotyczące ochrony danych osobowych będzie wynikało wyłącznie z rozporządzenia, natomiast procedury dotyczące dochodzenia roszczeń mogą się różnić pomiędzy krajami i te zapewne będą wciąż regulowane na poziomie aktów prawa krajowego - dodał.
Mówiąc o tym, co zawiera projekt nowych ram ochrony danych osobowych Unii Europejskiej, GIODO wskazał m.in. na rewolucyjne, z punktu widzenia Polski, rozwiązania przewidujące system sankcji finansowych, które w przypadku stwierdzenia naruszeń, miałyby być nakładane przez organy ochrony danych osobowych poszczególnych krajów członkowskich. Najwyższe z nich to milion euro bądź 5 proc. obrotów przedsiębiorstwa.
Nowe przepisy mają też być odpowiedzią na postęp cywilizacyjny. W opinii GIODO, są technologicznie neutralne, lecz wprowadzają takie regulacje prawne, które umożliwią rozwiązanie problemów występujących w związku z wykorzystywaniem nowoczesnych technologii.
- Istotną kwestią jest też stworzenie procedur koordynacyjnych i uwspólniających, jeżeli chodzi o decyzje wydawane przez organy ochrony danych osobowych, które dotyczą spraw ponadgranicznych, czyli więcej niż jednego kraju członkowskiego - uważa dr Wojciech Rafał Wiewiórowski.
Jego zdaniem, równie rewolucyjne zmiany, zwłaszcza z polskiego punktu widzenia, mogą nastąpić w dawnym, tzw. trzecim filarze obejmującym współpracę policyjną i sądową w sprawach karnych oraz współpracę służb specjalnych. Dotychczasowe przepisy dotyczące tych sektorów mają bowiem zostać zastąpione dyrektywą. To oznacza, że w Polsce trzeba będzie ustalić nowe, wyraźne zasady ochrony danych osobowych w tych obszarach, zwłaszcza w służbach specjalnych, wraz z ustanowieniem niezależnej kontroli nad przetwarzaniem tych danych.
źródło: www.giodo.gov.plJak pokazują badania, chociaż nie zawsze z należytą rozwagą udostępniamy swoje dane osobowe, to jednak zależy nam na ochronie naszej prywatności.Jak pokazują badania, chociaż nie zawsze z należytą rozwagą udostępniamy swoje dane osobowe, to jednak zależy nam na ochronie naszej prywatności.
Potwierdzają to przeprowadzone w Europie badania. Dowodzą one, że 92 proc. dzieci w wieku 14-18 lat deklaruje, że stopień ochrony ich prywatności w serwisie społecznościowym jest ważnym aspektem przy podejmowaniu decyzji, czy się do niego przyłączyć. - Oczywiście nie twierdzę, że te osoby potrafią chronić swoją prywatność i że faktycznie to robią. Jednak czują, że prywatność jest wartością, którą powinno się chronić - mówił dr Wojciech Rafał Wiewiórowski, Generalny Inspektor Ochrony Danych Osobowych (GIODO) w czasie wywiadu udzielonego redaktor Paulinie Szczucińskiej z Wydawnictwa G+J RBA.
Omawiając kwestię ochrony danych osobowych w dobie rozwoju nowoczesnych technologii, poruszono m.in. takie problemy, jak stosowanie odpowiednich ustawień prywatności przy korzystaniu z serwisów internetowych, bezpieczeństwo danych przetwarzanych w tzw. chmurach obliczeniowych czy warunki, które należy spełnić, by móc tworzyć profile osobowe klientów.
Odpowiadając na pytanie, czy sami możemy chronić swoje dane przed niepożądanym ich wykorzystaniem, dr Wojciech Rafał Wiewiórowski wskazał na stosowany przez niektóre osoby sposób ochrony swoich danych, jakim jest dołączanie do przesyłanych w różne miejsca dokumentów, np. CV, miniwirusów, które po pewnym czasie niszczą całą zawartość przesyłki. Jak mówił, jest to bardzo ciekawe, ale prawnie wątpliwe rozwiązanie. - Takie wirusy można nawet pobrać z różnych stron internetowych, ale wiąże się to jednak z pewnym niebezpieczeństwem - przestrzegał. - Przecież nie mamy pewności, czy wirus ten nie jest np. programem szpiegującym, który zamiast nasze dane zniszczyć, wyśle je gdzieś bez naszej kontroli.
źródło: www.giodo.gov.plBrakuje regulacji ustawowych określających funkcjonowanie rejestrów nowotworów.Brakuje regulacji ustawowych określających funkcjonowanie rejestrów nowotworów.
Od 2003 r. wszystkie osoby pełniące funkcję Generalnego Inspektora Ochrony Danych Osobowych, w tym obecnie ją sprawujący dr Wojciech Rafał Wiewiórowski, zwracały się do kolejnych ministrów zdrowia z prośbą o podjęcie odpowiednich prac legislacyjnych w tym zakresie. Generalnemu Inspektorowi Ochrony Danych Osobowych (GIODO) nie przysługuje bowiem inicjatywa ustawodawcza, ma ją natomiast minister zdrowia.
Z najnowszych informacji przekazanych przez resort zdrowia wynika, że sytuacja zmieni się po 1 stycznia 2012 r., kiedy zaczną obowiązywać przepisy ustawy o systemie informacji w ochronie zdrowia, oraz wydanych do niej rozporządzeń wykonawczych, o czym dr Wojciech Rafał Wiewiórowski, Generalny Inspektor Ochrony Danych Osobowych mówił w czasie wywiadu udzielonego redaktor Ewie Szarkowskiej z "Pulsu Medycyny".
- Nie mam wątpliwości, że przetwarzanie danych zawartych w rejestrach nowotworów jest konieczne - stwierdził. - Jedną z bardziej istotnych informacji, która może być z nich pozyskana, jest tzw. przeżywalność pacjenta, czyli informacja o tym, czy po 5 lub 10 latach od diagnozy i leczenia pacjent wciąż żyje - tłumaczył. - Takie działanie jest stosunkowo proste do wykonania, pod warunkiem że istnieje przymus rejestracji każdego przypadku zachorowania i możliwość automatycznego zestawienia takiego rejestru np. z bazą PESEL, czyli informacjami zawartymi w Powszechnym Elektronicznym Systemie Ewidencji Ludności - mówił. - Wówczas jeśli w jednej bazie mamy informacje, że w określonym roku konkretny pacjent o określonym numerze PESEL zachorował na raka i zostały mu udzielone określone świadczenia medyczne i możemy zestawić je z danymi zawartymi w bazie PESEL, to łatwo dla celów sprawozdawczych ustalić tzw. przeżywalność.
Jednak każde z tych działań, aby było legalne, musi odbywać się na określonej podstawie prawnej. Musi zatem istnieć prawny przymus pozyskiwania danych o wykryciu i leczeniu raka, od którego nikt nie może się uchylić, oraz prawna możliwość zestawiania tych informacji z danymi PESEL. - Gdyby podstawą takich działań była zgoda pacjenta, dane mogłyby być niekompletne, bo część pacjentów w ogóle mogłaby jej nie wyrazić, a wszyscy mogliby ją w każdej chwili odwołać - dodał dr Wojciech Rafał Wiewiórowski.
źródło: www.giodo.gov.plLista osobistych czy firmowych kontaktów nie podlega obowiązkowi zgłoszenia do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych.Lista osobistych czy firmowych kontaktów nie podlega obowiązkowi zgłoszenia do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych.
Co do zasady listy kontaktów osobistych w telefonie nie podlegają obowiązkowi zgłoszenia do rejestracji GIODO, bowiem traktowane są jako zbiory danych prowadzone w celach osobistych lub domowych. Przepisy ustawy o ochronie danych osobowych nie mają do nich zastosowania.
Obowiązkowi zgłoszenia do rejestracji GIODO nie podlegają również zbiory kontaktów służbowych, o ile tworzone są wyłącznie na potrzeby ich utrzymywania. Ponieważ taki zbiór ma charakter pomocniczy, służy usprawnieniu i przyspieszeniu działalności administratora danych, to można uznać go za zbiór danych przetwarzanych w zakresie drobnych bieżących spraw życia codziennego. W konsekwencji, zgodnie z art. 43 ust. 1 pkt 11 ustawy o ochronie danych osobowych, nie podlega on zgłoszeniu do rejestracji.
Za niezgłoszenie zbioru do rejestracji ustawa o ochronie danych osobowych przewiduje m.in. karę grzywny, ale uprawnionym do jej nakładania jest, nie GIODO, a jedynie sąd. Natomiast GIODO może nakładać tzw. grzywnę w celu przymuszenia podmiotu do wykonania wydanej wobec niego decyzji, co wynika z ustawy o postępowaniu egzekucyjnym w administracji.
źródło: www.giodo.gov.plWyposażanie przedmiotów w znaczniki RFID umożliwia pozyskiwanie informacji nie tylko o tych przedmiotach, ale także o ich użytkownikach. To zagrożenie dla prywatności.Wyposażanie przedmiotów w znaczniki RFID umożliwia pozyskiwanie informacji nie tylko o tych przedmiotach, ale także o ich użytkownikach. To zagrożenie dla prywatności.
Technologia identyfikacji radiowej (ang. Radio Frequency Identification - RFID) umożliwia automatyczną identyfikację obiektów. Odbywa się ona z wykorzystaniem miniaturowych urządzeń zwanych znacznikami lub tagami RFID. Wyposaża się w nie coraz więcej przedmiotów, m.in. towary w sklepach. Dzięki zainstalowaniu takich mikroprocesorów, które mogą być odczytywane bezprzewodowo za pomocą fal radiowych, możliwe jest pozyskiwanie wiedzy zarówno na temat wyposażonych w nie przedmiotów, jak i osób, które je użytkują. Najczęściej odbywa się nie tylko bez naszej zgody, ale i wiedzy, co rodzi zagrożenia dla naszej prywatności.
- Systemy RFID są obecnie powszechnie wykorzystywane m.in. do zabezpieczania towarów przed kradzieżami - mówił Andrzej Lewiński, zastępca Generalnego Inspektora Ochrony Danych Osobowych (GIODO) w czasie rozmowy z redaktor Agnieszką Stefańską z "Rzeczpospolitej". Podawał też inne, liczne ich zastosowanie w sektorze gospodarki. - Ponadto technologia ta pozwala na gromadzenie rozmaitych danych dotyczących określonej osoby, śledzenie obywateli poruszających się po miejscach publicznych, takich jak np. lotniska, markety, centra handlowe, dworce, ulice - wskazywał. Jak mówił, jej zastosowanie daje możliwość wzbogacania profili poprzez monitorowanie zachowań konsumentów w sklepach, odczytywania informacji m.in. o noszonych ubraniach i używanych akcesoriach.
- Zwolennicy tych rozwiązań podnoszą liczne ich zalety, jak np. kwestie bezpieczeństwa czy możliwość szybkiego dotarcia do informacji medycznych - mówił Andrzej Lewiński. - U osób negujących takie rozwiązania obawy wzbudza możliwość zdalnej identyfikacji lub uzyskania dostępu do informacji przez osoby niepowołane - dodał.
Wyjaśniał, że w Unii Europejskiej trwa dyskusja, jak się przed tymi zagrożeniami zabezpieczać. Jednym z jej efektów jest przyjęcie przez Komisję Europejską zaleceń, które obligują państwa członkowskie UE do zagwarantowania skutecznych mechanizmów ochrony danych osobowych przetwarzanych przy wykorzystaniu technologii RFID.
- Komisja ze szczególną uwagą odnosi się do zastosowań RFID w sektorze handlu detalicznego - wyjaśniał Andrzej Lewiński. - Jego przedstawiciele zobowiązani zostali do informowania osób fizycznych - poprzez stosowanie wspólnego znaku europejskiego - o identyfikatorach umieszczonych lub wbudowanych w produkty - mówił. Jak wyjaśniał, przy sprzedaży identyfikatory te powinny być dezaktywowane lub usuwane, chyba że konsumenci wyrażą zgodę na dalsze ich działanie.
źródło: www.giodo.gov.plAdresy zamieszkania członków zarządów fundacji nie będą już zamieszczane w publikowanych w Internecie sprawozdaniach z działalności fundacji.Adresy zamieszkania członków zarządów fundacji nie będą już zamieszczane w publikowanych w Internecie sprawozdaniach z działalności fundacji.
Gwarantują to znowelizowane na wniosek Generalnego Inspektora Ochrony Danych Osobowych (GIODO) przepisy rozporządzenia Ministra Sprawiedliwości z dnia 8 maja 2001 r. w sprawie ramowego zakresu sprawozdania z działalności fundacji.
Wystąpienie GIODO do ministra sprawiedliwości
Z prośbą o ich zmianę dr Wojciech Rafał Wiewiórowski, GIODO zwrócił się z wystąpieniem do ministra sprawiedliwości, Krzysztofa Kwiatkowskiego 7 kwietnia 2011 r., korzystając z nowego uprawnienia, jakie od 7 marca 2011 r., daje mu art. 19a ustawy o ochronie danych osobowych. Na jego podstawie GIODO może do określonych podmiotów kierować wystąpienia zawierające wnioski o uchwalenie bądź zmianę aktów prawnych w sprawach dotyczących ochrony danych osobowych, a ich adresaci są zobowiązani udzielić GIODO pisemnej odpowiedzi w ciągu 30 dni od daty ich otrzymania.
W odpowiedzi - obietnica zmiany przepisów
Minister sprawiedliwości takiej odpowiedzi udzielił. Wskazał w niej, że podziela stanowisko GIODO, zgodnie z którym "wymóg podawania do publicznej wiadomości w sprawozdaniach z działalności fundacji danych dotyczących adresu zamieszkania członków zarządu fundacji budzi zastrzeżenia co do zgodności z przepisami regulującymi ochronę danych osobowych". Poinformował przy tym, iż resort sprawiedliwości rozpoczął prace nad nowelizacją przepisów w tym zakresie. Zapowiedział, że zniesiony zostanie wymóg podawania w sprawozdaniach z działalności fundacji prywatnych adresów zamieszkania członków zarządu, wprowadzony zaś - obowiązek podawania adresu do korespondencji oraz adresu poczty elektronicznej, jeżeli fundacja taki adres posiada.
Znowelizowane rozporządzenie już obowiązuje
Zapowiadane zmiany zostały wprowadzone w życie rozporządzeniem ministra sprawiedliwości z dnia 21 września 2011 r. zmieniającym rozporządzenie w sprawie ramowego zakresu sprawozdania z działalności fundacji. Zostało ono opublikowane w Dzienniku Ustaw nr 217 pod poz. 1291. Obowiązuje od 27 października 2011 r.
GIODO z zadowoleniem przyjął tę zmianę. - Nie kwestionując tego, że fundacje powinny działać transparentnie, a kontroli powinny podlegać pozyskiwane przez nie fundusze oraz to, kto w owych fundacjach podejmuje decyzje władcze, to według mnie nie było powodu, dla którego ta identyfikacja osób miałaby posuwać się tak daleko, by ogólnie dostępny był również prywatny adres zamieszkania osoby należącej do władz fundacji - powiedział dr Wojciech Rafał Wiewiórowski. - Zidentyfikowanie osób jest wskazane, aczkolwiek nie było powodu, aby sprawozdanie z działalności fundacji przekształcać w listę adresową z prywatnymi adresami zamieszkania osób, które w fundacjach podejmują decyzje władcze - dodał.
źródło: www.giodo.gov.plSzkoły gromadzą wiele informacji o uczniach, ich rodzicach bądź opiekunach oraz o nauczycielach, a ich obowiązkiem jest właściwa ochrona tych danych.Szkoły gromadzą wiele informacji o uczniach, ich rodzicach bądź opiekunach oraz o nauczycielach, a ich obowiązkiem jest właściwa ochrona tych danych.
Tymczasem z sygnałów docierających do Generalnego Inspektora Ochrony Danych Osobowych (GIODO),jak i przeprowadzonej w 2008 r. kontroli sektorowej w szkołach podstawowych i średnich wynika, że nie wszystkie szkoły są przygotowane do przetwarzania, w tym właściwego zabezpieczania, tak dużej liczby danych, które znajdują się w ich posiadaniu.
Jest to tym trudniejsze, że do sektora oświaty należą bardzo różne podmioty - poczynając od wielkich, dobrze wyposażonych szkół, które przy użyciu nowoczesnych metod zarówno uczą, jak i przetwarzają dane osobowe, a kończąc na małych placówkach, w których zaledwie kliku nauczycieli musi wypełnić zarówno zadania edukacyjne, jak i te związane z przetwarzaniem danych osobowych.
Dlatego podnoszenie świadomości pracowników placówek oświatowych w zakresie ochrony danych osobowych jest tak istotne. Celowi temu służył przyjazd dra Wojciecha Rafała Wiewiórowskiego, Generalnego Inspektora Ochrony Danych Osobowych na XIII Krajową Konferencję Dyrektorów Szkół i Przedszkoli odbywającą się 18 i 19 października 2011 r. w Łodzi, na której wygłosił referat pt. "Dyrektor administratorem baz danych osobowych". Wyjaśniał w nim m.in. jak powinny być chronione dane gromadzone w Systemie Informacji Oświatowej (SIO).
W przerwie konferencji GIODO zorganizował spotkanie z mediami, podczas którego wskazywał na podstawowe zasady, których szkoły muszą przestrzegać przy pozyskiwaniu i wykorzystywaniu danych osobowych.
Pytany o ocenę nowej wersji systemu informacji oświatowej (SIO) powiedział, że po poprawkach wprowadzonych zarówno przez Ministerstwo Edukacji Narodowej (MEN), jak i przez Sejm do uchwalanych w tym zakresie przepisów można przyjąć, iż jest on akceptowalny. Wskazywał, że z punktu widzenia ochrony danych osobowych szczególnie istotne są ostateczne uregulowania dotyczące pozyskiwania i wykorzystywania danych tzw. szczególnie chronionych, do których należą m.in. dane o niepełnosprawności.
- Istnieje na przykład powszechne przekonanie - mówił dr Wojciech Rafał Wiewiórowski - że w SIO przechowywane będą informacje o niepełnosprawności dziecka, podczas gdy w systemie tym przetwarzana będzie jedynie informacja o tym, że orzeczenie w takiej sprawie zostało wystawione. Jego treść nie będzie tam zamieszczana - wyjaśniał. Jak mówił, posiadanie informacji o orzeczeniu niepełnosprawności jest niezbędne ze względu na naliczanie subwencji oświatowej. Nie ma jednak żadnego powodu, aby ta informacja była w pełni spersonalizowana lub w całości przekazywana do MEN. Co istotne, te dane będą przetwarzane tylko przez rok od zakończenia okresu rozliczania subwencji oświatowej
- Większość danych zgromadzonych w systemie informacji oświatowej jest przetwarzana przez 5 lat, a następnie anonimizowana. Natomiast dane dotyczące m.in. orzeczeń o niepełnosprawności jedynie przez rok od zakończenia okresu rozliczania subwencji oświatowej - mówił dr Wojciech Rafał Wiewiórowski. - Nie mamy więc do czynienia z sytuacją, w której w systemie pozostaje generalny obraz danego ucznia z całego okresu jego edukacji - dodał.
źródło: www.giodo.gov.plZmieniając przepisy dotyczące ochrony danych osobowych, trzeba wybiegać w przyszłość.Zmieniając przepisy dotyczące ochrony danych osobowych, trzeba wybiegać w przyszłość.
Dzięki temu będzie można uniknąć ciągłego poprawiania prawa. Warto o tym pamiętać, przygotowując się do zapowiadanej przez Komisje Europejską zmiany przepisów w zakresie prawa do prywatności i ochrony danych osobowych.
- Aktualizacja jest nieunikniona, ale nie powinna ona polegać na tym, że opisujemy w prawie obecnie rozwijające się technologie informacyjne, bo prawo, które opisuje cloud computing, czyli przetwarzanie danych w chmurach obliczeniowych, będzie pewnie nieaktualne za pięć lat, kiedy okaże się, że cloud computing to już jest przeszłość, ponieważ wprowadzono nowe rozwiązania - mówił dr Wojciech Rafał Wiewiórowski, Generalny Inspektor Ochrony Danych Osobowych (GIODO) goszczący 30 września 2011 r. w TV Biznes w programie "Z ręką na pulsie" prowadzonym przez redaktor Beatę Piechowską-Olszewską.
GIODO wskazywał m.in., że dla zapewnienia bezpieczeństwa w sieci istotne będzie ustalenie, kto odpowiada za treści zamieszczane w Internecie. Mówił, że kwestie te powinny zostać uregulowane nie tylko w ustawie o ochronie danych osobowych czy w ustawie o świadczeniu usług drogą elektroniczną, ale także w przepisach odnoszących się do e-commerce, a nawet w aktach prawnych regulujących działalność służb specjalnych czy policji.
źródło: www.giodo.gov.plŻaden organ państwowy nie powinien mieć dostępu do takich danych, na podstawie których można by stworzyć profil każdego obywatela.Żaden organ państwowy nie powinien mieć dostępu do takich danych, na podstawie których można by stworzyć profil każdego obywatela.
Coraz większa utrata prywatności to cena, jaką płacimy za postęp cywilizacyjny i zapewnienie bezpieczeństwa. Do pewnego stopnia jest to zrozumiałe, ale nie powinno być równoznaczne z tym, że każdy, nawet państwo, może wiedzieć o nas wszystko.
Takie konkluzje płyną z rozmowy dra Wojciecha Rafała Wiewiórowskiego, Generalnego Inspektora Ochrony Danych Osobowych (GIODO) z redaktor Marzeną Nykiel z tygodnika "Uważam Rze".
- Tak naprawdę zakres i techniki przetwarzania danych rozwijają się na tyle dynamicznie, że istnieje techniczna możliwość stworzenia gdzieś w państwie ośrodka, który byłby w stanie sprofilować każdego obywatela - mówił dr Wojciech Rafał Wiewiórowski. Zaznaczył jednak, że byłby temu zdecydowanie przeciwny, nie tylko jako Generalny Inspektor Ochrony Danych Osobowych, ale także jako naukowiec i obywatel. Jak dodał, wciąż pozostaje przy naiwnej wierze, że nie ma w Polsce organu, który mógłby przy pomocy "jednego kliknięcia", bez żadnej kontroli, uzyskać tego typu dane.
Wskazywał jednak na pojawiające się zagrożenia w tym zakresie, wskazując m.in. na zbyt szeroki i łatwy dostęp do informacji o nas, jaki mają służby specjalne, czy na konsekwencje uchwalonej niedawno nowelizacji ustawy o dostępie do informacji publicznej, wdrażającej dyrektywę o ponownym wykorzystaniu informacji sektora publicznego. Przyjęte w niej rozwiązania mogą spowodować, że informacja, która została zgromadzona przez państwo za pieniądze publiczne, będzie mogła być dostępna publicznie i możliwa do ponownego gospodarczego wykorzystania - wyjaśniał. - Spotykamy się tu z bardzo poważnym problemem: duża część informacji zbieranych przez szeroko rozumiane państwo jest informacją jawną (np. treść ksiąg wieczystych), która może stanowić informację publiczną, może być przekazana do ponownego wykorzystania i może być przetwarzana gospodarczo w dowolny sposób przez podmioty pozapaństwowe. Mówiliśmy przed chwilą, że należałoby zapobiec stworzeniu jednego podmiotu, który miałby dostęp do danych administracji publicznej, a tymczasem państwo, chcąc być otwarte i transparentne, przekazuje te dane do wykorzystania gospodarczego. Wiele podmiotów gospodarczych będzie zainteresowanych przetwarzaniem takich danych i będzie miało do tego prawo - powiedział dr Wojciech Rafał Wiewiórowski.
źródło: www.giodo.gov.plGIODO wyjaśnia, iż administratorem danych przetwarzanych w związku z działalnością zespołu interdyscyplinarnego jest ośrodek pomocy społecznej ...GIODO wyjaśnia, iż administratorem danych przetwarzanych w związku z działalnością zespołu interdyscyplinarnego jest ośrodek pomocy społecznej i to na tym podmiocie spoczywa obowiązek zgłoszenia do rejestracji zbioru danych dotyczących osób dotkniętych przemocą i stosujących przemoc w rodzinie.
źródło: www.giodo.gov.plDo marketingu politycznego trzeba stosować takie same zasady, jak do promocji innych produktów i usług.Do marketingu politycznego trzeba stosować takie same zasady, jak do promocji innych produktów i usług.
O podstawowych zasadach, jakich politycy muszą przestrzegać w czasie prowadzenia kampanii wyborczej, dr Wojciech Rafał Wiewiórowski, Generalny Inspektor Ochrony Danych Osobowych (GIODO), goszczący 25 sierpnia 2011 r. w programie "Kawa czy herbata?", mówił w wywiadzie przeprowadzonym przez redaktor Małgorzatę Rakowiec. Przypominał, że marketing polityczny niczym nie różni się od innych działań tego typu prowadzonych przez firmy. Wszystkim zaś polecał zapoznanie się z opracowanym przez GIODO i zamieszczonym na jego stronie internetowej poradnikiem "Ochrona danych osobowych w trakcie prowadzenia kampanii wyborczej", zawierającym wskazówki, jak zorganizować kampanię wyborczą z poszanowaniem przepisów o ochronie danych osobowych i prawa do prywatności wyborców. Jak mówił, publikacja ta może być pomocna zarówno podmiotom zaangażowanym w kampanię, jak i nam, wyborcom.
O tym, że nie zawsze musimy podawać wszystkie swoje dane osobowe, dr Wojciech Rafał Wiewiórowski przypominał także w kontekście działalności klubów piłkarskich, w których trwa kontrola GIODO i wykazuje częste nieprawidłowości w tym zakresie.
źródło: www.giodo.gov.plUchwalenie ustawy dotyczącej stosowania monitoringu wizyjnego powinny poprzedzić szerokie konsultacje społeczne.Uchwalenie ustawy dotyczącej stosowania monitoringu wizyjnego powinny poprzedzić szerokie konsultacje społeczne.
Na ich podstawie parlamentarzyści powinni przesądzić o kształcie konkretnych rozwiązań. Ostatnie badania Eurobarometru dowodzą bowiem, że opinie obywateli poszczególnych państw dotyczące ochrony danych osobowych bywają odmienne, o czym dr Wojciech Rafał Wiewiórowski, Generalny Inspektor Ochrony Danych Osobowych (GIODO) mówił w czasie wywiadu udzielonego redaktorowi Markowi Henzlerowi z "Polityki".
Na konieczność uregulowania kwestii stosowania monitoringu wizyjnego w odrębnym akcie prawnym GIODO wskazuje od dłuższego czasu. Z zadowoleniem przyjął też inicjatywę pani prof. Ireny Lipowicz, Rzecznika Praw Obywatelskich, która z wnioskiem w tej sprawie wystąpiła do ministra spraw wewnętrznych i administracji. Wkładem GIODO jest przygotowanie opracowania wskazującego wymagania w zakresie regulacji monitoringu.
- W dokumencie tym nie dajemy odpowiedzi na wszystkie pytania, pokazując, że w różnych krajach bywają stosowane różne rozwiązania - mówił dr Wojciech Rafał Wiewiórowski. - O ich wyborze powinni przesądzić parlamentarzyści, biorąc pod uwagę oczekiwania społeczne, m.in. to, że część obywateli czuje się bezpieczniej, widząc kamery - dodał.
Zdaniem GIODO, istotne jest przede wszystkim to, aby w osobnej ustawie określić miejsca i okoliczności, w jakich stosowanie monitoringu jest dopuszczalne, prawa i obowiązki podmiotu prowadzącego monitoring, prawa osób objętych monitoringiem, jak również zasady dotyczące wykorzystywania zebranych w ten sposób danych. Przy czym przepisy powinny być skonstruowane tak, by zapewnić równowagę między uzasadnionymi potrzebami podmiotów stosujących monitoring i prawem do prywatności osób, które zostały nim objęte.
- Są oczywiście szczególne miejsca, w których monitoring może być nakazany przez państwo, czego klasycznym przykładem są stadiony czy kasyna - tłumaczył dr Wojciech Rafał Wiewiorowski
Dodał jednak, że kwestię nowej regulacji należy dobrze przemyśleć. - Nie chcę, żeby ta ustawa została uchwalona szybko, kosztem poprawnie przeprowadzonych konsultacji - powiedział.
źródło: www.giodo.gov.plKibice muszą przekazywać klubom piłkarskim tylko te dane osobowe, które służą ich identyfikacji niezbędnej dla zapewnienia bezpieczeństwa.Kibice muszą przekazywać klubom piłkarskim tylko te dane osobowe, które służą ich identyfikacji niezbędnej dla zapewnienia bezpieczeństwa.
Pozostałe dane osobowe kluby mogą zbierać jedynie za zgodą kibiców i to wyrażoną świadomie i dobrowolnie.
Tymczasem napływające do Generalnego Inspektora Ochrony Danych Osobowych (GIODO) skargi i inne sygnały świadczą o naruszeniach w tym zakresie, co było jedną z przyczyn podjęcia przez GIODO decyzji o przeprowadzeniu kontroli sektorowej w klubach piłkarskich.
Kontrola GIODO potwierdza nieprawidłowości
Jej pierwsze wyniki potwierdzają nieprawidłowości w wykorzystywaniu danych osobowych kibiców, o czym dr Wojciech Rafał Wiewiórowski, GIODO mówił podczas konferencji prasowej 17 sierpnia 2011 r.
Do najczęstszych naruszeń należą:
pozyskiwanie podczas wyrabiania karty kibica zbyt wielu danych osobowych, uniemożliwianie swobodnego wyrażenia zgody na przetwarzanie danych osobowych w celach innych niż identyfikacja prowadzona na potrzeby zapewnienia bezpieczeństwa, nieinformowanie kibiców o tym, komu i w jakim celu będą przekazywane ich dane osobowe, kserowanie lub skanowanie dowodów oso lub innych dokumentów potwierdzających tożsamość, co prowadzi do pozyskiwania zbyt wielu danych osobowych, nieprzestrzeganie przepisów dotyczących zabezpieczania danych osobowych - m.in. poprzez nieopracowanie polityki bezpieczeństwa, nienadanie upoważnień do przetwarzania danych osobowych.
Decyzje GIODO
Stwierdzenie przez inspektorów GIODO naruszeń w przetwarzaniu danych osobowych przez kluby piłkarskie zaowocowało już wydaniem pierwszych decyzji mających na celu przywrócenie stanu zgodnego z prawem, m.in. poprzez usunięcie danych osobowych pozyskanych bez podstawy prawnej. W niektórych przypadkach konieczne może być jednak ponowne wyrabianie kart kibica, zwłaszcza gdy uwidoczniono na nich zbyt wiele informacji o ich posiadaczach.
- Pragnę przeprosić wszystkich kibiców, ale jeżeli taka sytuacja nastąpi, to bardzo możliwe, że jest ona spowodowana tym, iż dane osobowe były przetwarzane w nieprawidłowy sposób - mówił dr Wojciech Rafał Wiewiórowski.
Nowe przepisy
Podczas konferencji GIODO odniósł się również do kończących się prac parlamentarnych nad nowelizacją ustawy o bezpieczeństwie imprez masowych.
- Senat wniósł do niej znaczące poprawki, które wyeliminowały wiele uwag, które zgłaszał do niej GIODO - powiedział dr Wojciech Rafał Wiewiórowski. Dopiero w tym kształcie rozwiązania przewidziane w projekcie GIODO uznał za akceptowalne.
- Najważniejszą zmianą, na którą chciałbym zwrócić uwagę i poprosić państwa dziennikarzy, żebyście byli kolejną instytucją kontrolną, która będzie czuwała nad jej wdrażaniem, jest tworzenie centralnych baz kibiców - mówił dr Wojciech Rafał Wiewiórowski. W jego ocenie, mogą one spełnić bardzo istotną rolę przy zapewnieniu bezpieczeństwa na stadionach. - Jako Generalny Inspektor Ochrony Danych Osobowych nie jestem przeciwny istnieniu centralnych baz kibiców - powiedział. - One rzeczywiście mogą spełnić bardzo istotną rolę - przede wszystkim w jednym zakresie, tzn. umożliwiając każdemu organizatorowi meczów piłkarskich dostęp do informacji o zakazach stadionowych, zarówno wydanych przez sądy czy kluby piłkarskie, jak i o zakazach zagranicznych. Natomiast musimy dbać o to, aby w centralnej bazie kibiców były przechowywane tylko te dane, które są niezbędne dla bezpieczeństwa imprez masowych - dodał.
Jak wyjaśniał, zgodnie ze zmianami, które Senat wprowadził do ustawy o bezpieczeństwie imprez masowych, w centralnej bazie kibiców będą mogły być przechowywane tylko takie dane identyfikacyjne, jak:
imię i nazwisko, wizerunek twarzy, numer PESEL (a w razie gdy nie został on nadany - rodzaj, seria i numer dokumentu potwierdzającego tożsamość), numer identyfikacyjny kibica, informacje o podmiocie, który nadał numer identyfikacyjny.
Dodatkowo w bazie przechowywane będą dane dotyczące zakazów stadionowych. Co do zakazów wydanych przez sąd, to - zdaniem GIODO - jest to przydatne rozwiązanie. Wątpliwości budzi natomiast gromadzenie informacji o zakazach klubowych. - Czy jesteśmy pewni, że klub, wydając taki zakaz w stosunku do swojego obiektu, miał również na celu wydanie takiego zakazu w stosunku do obiektu innego klubu? - pytał dr Wojciech Rafał Wiewiórowski. Jak wskazywał, powstaje wątpliwość co do konstytucyjności tych rozwiązań, bowiem decyzja komercyjnego podmiotu, w dodatku niepoddana żadnej kontroli, ogranicza prawa obywatela na terenie całego kraju.
Rady dla kibiców
Podczas konferencji prasowej GIODO zaapelował do kibiców, by walczyli o swoją prywatność, zgłaszając przypadki naruszeń dotyczących ochrony danych osobowych.
- Chciałbym poprosić wszystkich kibiców, którzy spotkają się ze zbieraniem danych osobowych w związku z uczestnictwem w meczach piłkarskich o to, aby wykazali czujność i nie bali się pytać, na jakiej podstawie prawnej ich dane osobowe są pozyskiwane - mówił dr Wojciech Rafał Wiewiórowski.
Zachęcał, by o wszelkich naruszeniach informować albo GIODO, albo organy ścigania.
Po zakończeniu konferencji prasowej, zainteresowanym dziennikarzom GIODO udzielał indywidualnych wywiadów. Kwestie omawiane podczas konferencji były także tematem przewodnim wywiadów, których dr Wojciech Rafał Wiewiórowski udzielił także redaktorowi Rafałowi Ziemkiewiczowi z TVP INFO, redartorowi Jakubowi Majewskiemu z legionisci.com oraz redaktorowi Markowi Kacprzakowi z Polsat News.
źródło: www.giodo.gov.plWielu internautów nie ma świadomości, że używanie określonych funkcji, np. "Lubię to!", powoduje gromadzenie wielu danych przez inne podmioty.Wielu internautów nie ma świadomości, że używanie określonych funkcji, np. "Lubię to!", powoduje gromadzenie wielu danych przez inne podmioty.
W ocenie dra Wojciecha Rafała Wiewiórowskiego, Generalnego Inspektora Ochrony Danych Osobowych (GIODO), który 23 sierpnia 2011 r. był gościem w "Poranku TVN 24", zamieszczanie na stronach internetowych różnych podmiotów funkcji typu "Lubię to", z których korzystanie prowadzi do pozyskiwania dodatkowych informacji o internautach, będzie poważnym tematem do dyskusji w Unii Europejskiej.
Kwestią tą zajął się ostatnio odpowiednik GIODO w niemieckim landzie Szlezwik-Holsztyn, który wezwał wszystkie tamtejsze instytucje do zamknięcia swoich fanpage'ów oraz usunięcia ze stron wspomnianych przycisków.
-Jest to szerszy problem nazywany analityką sieciową. Polega ona na tym, że użycie pewnego rodzaju przycisków czy funkcji dostępnych na stronach internetowych różnych podmiotów powoduje, że cała gama danych dotyczących m.in. naszego zachowania czy sprzętu, którego używamy, odkłada się w zasobach informatycznych tych podmiotów i powoduje, że później wciąż jesteśmy śledzeni - mówił dr Wojciech Rafał Wiewiórowski.
Wyjaśniał, że w tym przypadku głównym problemem jest to, iż osoba, która korzysta z takich funkcji nie jest świadoma konsekwencji z tym związanych. Wskazywał, że podobnie bywa w innych przypadkach korzystania z sieci, podczas którego dochodzi do pozyskiwania wielu informacji o internautach bez ich wiedzy i zgody.
Drugim wątkiem rozmowy z GIODO prowadzonej przez redaktora Jarosława Kuźniara była kwestia wykorzystywania danych osobowych wyborców na potrzeby marketingu politycznego. Dr Wojciech Rafał Wiewiórowski wyjaśniał, że politycy - prowadząc kampanię wyborczą - muszą przestrzegać nie tylko przepisów Kodeksu wyborczego, ale także innych przepisów prawa, w tym ustawy o ochronie danych osobowych.
źródło: www.giodo.gov.plPrzepisy ustawowe przesądzają, jakie dane osobowe kibiców mogą zbierać kluby piłkarskie. Dodatkowe informacje o nich mogą pozyskiwać tylko za ich zgodą.Przepisy ustawowe przesądzają, jakie dane osobowe kibiców mogą zbierać kluby piłkarskie. Dodatkowe informacje o nich mogą pozyskiwać tylko za ich zgodą.
- Absolutnie niedopuszczalne są sytuacje, w których aby wejść na stadion musimy, poza naszymi danymi identyfikacyjnymi, podać również swój adres zamieszkania, adres e-mail czy numer telefonu komórkowego - mówił dr Wojciech Rafał Wiewiórowski, Generalny Inspektor Ochrony Danych Osobowych (GIODO) w czasie rozmowy z redaktorem Andrzejem Żakiem i redaktorem Wiesławem Molakiem w Programie I Polskiego Radia.
Zdaniem GIODO, względy bezpieczeństwa powodują, że pozyskiwanie i wykorzystywanie informacji o tym, kto przebywa na stadionie, gdzie powinien siedzieć i w jakim obszarze może się poruszać jest uzasadnione.
Kluby niejednokrotnie żądają jednak od kibica podania informacji, których zgodnie z prawem pozyskiwać nie mogą. - Problem polega przede wszystkim na tym, że poza identyfikacją osoby, która chce wejść na mecz, kluby chętnie zbierałyby inne informacje dotyczące kibica, który znajdzie się na stadionie - tłumaczył dr Wojciech Rafał Wiewiórowski. - To samo w sobie nie jest zakazane, ale tylko pod warunkiem, że kibic godzi się na przekazanie dodatkowych informacji - dodał.
Tymczasem z praktyki GIODO wynika, że kluby bardzo często bezprawnie pozyskują od kibiców takie dane, które powinny być zbierane, tylko za ich zgodą, a w dodatku wykorzystują je bez ich wiedzy, często też w celach innych niż zapewnienie bezpieczeństwa na meczu, np. w celach marketingowych.
W uchwalanej właśnie nowelizacji ustawy o bezpieczeństwie imprez masowych przesądzono, że do pozyskiwania danych osobowych kibiców uprawnione będą jedynie kluby piłkarskie, które od swoich kibiców będą mogły żądać podania wyłącznie imienia i nazwiska oraz numeru PESEL. Dodatkowe dane będą mogły być zbierane jedynie za zgodą zainteresowanych. Ponadto każdej osobie przyporządkowany będzie jakiś numer identyfikacyjny. Część informacji kluby przekazywać będą do dwóch centralnych baz kibiców. Tam też trafiać będą informacje o osobach objętych zakazem klubowym lub stadionowym. Danymi zgromadzonymi w tych współpracujących ze sobą bazach będą administrować dwa podmioty - Ekstraklasa SA oraz PZPN - tłumaczył dr Wojciech Rafał Wiewiórowski, dodając, że to rozwiązanie z punktu widzenia GIODO jest akceptowalne. Z pewnością zaś poprawi bezpieczeństwo na stadionach bez nadmiernej ingerencji w prawo do prywatności.
źródło: www.giodo.gov.plGIODO przypomina o obowiązku zabezpieczenia serwisów internetowych przed wyciekiem przetwarzanych w nich danych osobowych.GIODO przypomina o obowiązku zabezpieczenia serwisów internetowych przed wyciekiem przetwarzanych w nich danych osobowych.
W związku z napływającymi w ostatnim czasie zgłoszeniami związanymi z upublicznieniem na serwerach Google danych osobowych osób, które nie wyraziły na to zgody Generalny Inspektor Ochrony Danych Osobowych apeluje do administratorów i specjalistów odpowiedzialnych za tworzenie i administrowanie stron internetowych, o stosowanie właściwych narzędzi zabezpieczających je przed niekontrolowanym upublicznieniem objętych ochroną informacji. Do zdarzeń takich dochodzi często w serwisach, które oprócz powszechnie dostępnych informacji oferują różnorodne usługi osobom indywidualnym, takie jak np. pośrednictwo w poszukiwaniu pracy, których realizacja wymaga najczęściej kontrolowanej wymiany danych osobowych typu CV, tj. udostępniania ich tylko osobom upoważnionym. Z analizy zgłaszanych przypadków wynika, że jedną z przyczyn zaistniałych zdarzeń jest brak zabezpieczenia serwisów informacyjnych przed ingerencją robotów internetowych określanych często agentami programowymi, które działając autonomicznie mogą indeksować i kopiować zawarte serwisach internetowych informacje. W szczególności wielu administratorów nie blokuje robotom internetowym dostępu do danych, które powinny być udostępniane jedynie zalogowanym i uprawnionym osobom. Brak takiej blokady powoduje indeksowanie i kopiowanie wszystkich zamieszczonych informacji do wewnętrznych zasobów wyszukiwarek i w konsekwencji ich udostępniania osobom postronnym. Tylko w czerwcu 2011 r. do Biura GIODO zgłoszone zostały 2 przypadki wycieku danych spowodowane brakiem wspomnianych zabezpieczeń, tj. niewłaściwą konfiguracją serwisów, co spowodowało ich zaindeksowanie i skopiowanie na serwery wyszukiwarki Google.
źródło: www.giodo.gov.plTylko osoby o odpowiedniej wiedzy i przygotowaniu powinny ustalać tożsamość nadawcy wiadomości e-mail.Tylko osoby o odpowiedniej wiedzy i przygotowaniu powinny ustalać tożsamość nadawcy wiadomości e-mail.
Każdy, kto sądzi, że doszło do popełnienia przestępstwa ściganego z urzędu, przede wszystkim powinien poinformować o tym policję. To jej funkcjonariusze są powołani do podejmowania odpowiednich działań i mają wiedzę pozwalającą np. ustalić tożsamość osoby korzystającej z Internetu czy poczty e-mail, o ile jest to konieczne na potrzeby prowadzenia postępowania w danej sprawie.
Nie ma też przeszkód, by instytucja publiczna korzystała z informacji, które są umieszczone w Internecie, szczególnie w ogólnie dostępnych serwisach, czyli miejscach, z których może je pozyskać każdy, czego osoba je tam zamieszczająca powinna mieć świadomość. Trzeba jednak pamiętać, że pozyskiwanie takich danych i ich gromadzenie przez instytucję publiczną może następować jedynie w sytuacjach wskazanych w ustawie o ochronie danych osobowych.
W ten sposób dr Wojciech Rafał Wiewiórowski, Generalny Inspektor Ochrony Danych Osobowych (GIODO) skomentował postępowanie jednego z ośrodków pomocy społecznej, który samodzielnie, korzystając z informacji dostępnych w serwisie aukcyjnym, próbował ustalić tożsamość osoby, która wysłała do niego anonimowy e-mail mogący świadczyć o istnieniu patologii w rodzinie. Poświęcony temu przypadkowi reportaż dla magazynu "Interwencja" nadawanego w Telewizji Polsat realizowała redaktor Aneta Kaziuk.
- Sam zapis adresu nadawcy poczty e-mailowej nie daje pewności co do tożsamości osoby wysyłającej konkretną wiadomość - mówił dr Wojciech Rafał Wiewiórowski. - Żeby uzyskać uprawdopodobnienie, kto dokonał takiego działania, należałoby ustalić, spod jakiego numeru IP została ona wysłana, do kogo był on przypisany, kto korzystał w tym momencie z tego dostępu do Internetu - to są kolejne czynności, o przeprowadzeniu których uczy się policjantów w ramach podstawowego kursu informatyki śledczej - wyjaśniał.
Wskazywał też, jakie obowiązki określone ustawą o ochronie danych osobowych ciążą na instytucji, która pozyskuje dane osobowe ze źródeł powszechnie dostępnych.
- Mam nadzieję, że w tym przypadku, choć zastrzegam, że nie znam szczegółów sprawy, mamy do czynienia jedynie z brakiem rozwagi - dodał.
źródło: www.giodo.gov.plPracodawca ma prawo przetwarzać jedynie te dane osobowe pracowników i kandydatów do pracy, które wymienione zostały w przepisach Kodeksu pracy.Pracodawca ma prawo przetwarzać jedynie te dane osobowe pracowników i kandydatów do pracy, które wymienione zostały w przepisach Kodeksu pracy.
Może więc np. żądać, by kandydaci do pracy przekazali mu informacje dotyczące wykształcenia i dotychczasowego przebiegu zatrudnienia, ale nie może domagać się, by przedłożyli referencje, a tym bardziej od ich niedostarczenia uzależniać wyników naboru. Pracodawcy nie wolno też np. pozyskiwać informacji o powiązaniach rodzinnych pracowników, chyba że przewidują to szczególne przepisy prawa, np. odnoszące się do ochrony konkurencji.
Dr Wojciech Rafał Wiewiórowski, Generalny Inspektor Ochrony Danych Osobowych (GIODO) te podstawowe zasady przypomniał podczas wywiadu udzielonego redaktor Beacie Piechowskiej-Olszewskiej z TV Biznes. Dziennikarkę interesowała bowiem sprawa szeroko rozumianego przetwarzania danych osobowych w firmie.
I choć GIODO wskazywał, że jest to bardzo obszerny temat, to omówił ogólne zasady w tym zakresie oraz udzielił wyjaśnień związanych z najczęstszymi wątpliwościami dotyczącymi tej tematyki.
- Kodeks pracy zawiera ściśle określoną listę danych, które można pozyskiwać od kandydatów do pracy i pracowników - mówił. Tłumaczył, że przetwarzanie przez pracodawcę danych osobowych dotyczących członków rodziny pracownika jest dopuszczalne, ale tylko w zakresie określonym w przepisach ogólnych, a niekiedy wewnątrzzakładowych, które odnoszą się do korzystania przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy czy z określonych świadczeń wprowadzanych przez samych pracodawców.
- Zdaję sobie sprawę, że są to bardzo rygorystyczne przepisy, bardzo często poddawane krytyce - mówił dr Wojciech Rafał Wiewiórowski. - Być może katalog ten powinien ulec pewnemu rozszerzeniu, ale Generalny Inspektor Ochrony Danych Osobowych nie powinien iść ze sztandarem zliberalizowania przepisów Kodeksu pracy - tłumaczył.GIODO, by mieć pewność, że dane osobowe przetwarzane na potrzeby spisu powszechnego są bezpieczne, przeprowadził kontrolę w GUSGIODO, by mieć pewność, że dane osobowe przetwarzane na potrzeby spisu powszechnego są bezpieczne, przeprowadził kontrolę w GUS
Dotyczyła ona m.in. zabezpieczenia danych osobowych, które są gromadzone na potrzeby spisu, zarówno w czasie wypełniania internetowego formularza, jak i pozyskiwania przez ankieterów czy rachmistrzów, a także pobierania z rejestrów publicznych.
"Znaleźliśmy pewne drobne uchybienia, które polegały na możliwości podszycia się pod inną osobę przy wypełnianiu formularza internetowego na potrzeby spisu powszechnego. Nie doszło jednak do wycieku danych i dostępu do nich osób nieupoważnionych. GIODO zwrócił jednocześnie uwagę na zbyt małe zabezpieczenie danych przed atakami hakerskimi i zobowiązał GUS do wprowadzenia takiego systemu, by im zapobiec. Z uwagi na zakres przetwarzanych danych i środowisko, w którym to następuje (wykorzystanie sieci Internet) niezbędne jest zastosowanie wszelkich środków zmniejszających ryzyko nieautoryzowanego dostępu do danych" - mówił dr Wojciech Rafał Wiewiórowski podczas wywiadu dla TVP Info.Potwierdziły się doniesienia medialne, że doszło do wycieku CV z serwisu terazpraca.pl i upublicznienia ich w sieci, w efekcie czego do zawartych w nich danych osobowych miały dostęp osoby nieuprawnione.Potwierdziły się doniesienia medialne, że doszło do wycieku CV z serwisu terazpraca.pl i upublicznienia ich w sieci, w efekcie czego do zawartych w nich danych osobowych miały dostęp osoby nieuprawnione.
W związku z tym GIODO po przeanalizowaniu dostępnych w Internecie dodatkowych informacji o tym wycieku podjął decyzję o przeprowadzeniu kontroli w serwisie terazpraca.pl.
Jednocześnie GIODO zwraca uwagę na bezprawne działania niektórych podmiotów, które oferują kupno nielegalnie pozyskanych CV i ostrzega przed korzystaniem z tego typu ofert. Są to bowiem działania niezgodne z prawem. Generalny Inspektor przypomina, że wykorzystywanie danych osobowych przez osobę do tego nieuprawnioną jest naruszeniem ustawy o ochronie danych osobowych i grozi za to kara grzywny, ograniczenia wolności lub pozbawienia wolności do lat dwóch (art. 49 ustawy o ochronie danych osobowych).
Jednocześnie przypominamy, że osoby, które zostały pokrzywdzone w wyniku opisywanego zdarzenia mogą indywidualnie zgłaszać ujawnienie ich danych na policję lub do prokuratury - organów powołanych do ścigania przestępstw.Przeprowadzona przez GIODO kontrola działań związanych z uruchomieniem przez firmę Google Inc. usługi Street View w Polsce wykazała uchybienia.Przeprowadzona przez GIODO kontrola działań związanych z uruchomieniem przez firmę Google Inc. usługi Street View w Polsce wykazała uchybienia.
Dr Wojciech Rafał Wiewiórowski, Generalny Inspektor Ochrony Danych Osobowych (GIODO) ocenia je jako formalne i raczej drobne.
Kontrola GIODO rozpoczęła się w maju i miała na celu ustalenie zgodności przetwarzania danych przy użyciu urządzeń i systemów informatycznych służących do rejestracji obrazu widoku ulicy w ramach usługi Google Street View z przepisami o ochronie danych osobowych, tj. ustawą o ochronie danych osobowych oraz rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.
Poczynione w jej toku ustalenia wykazały, że doszło do uchybień. Inspektorzy GIODO stwierdzili m.in., że wbrew przepisom ustawy o ochronie danych osobowych, Google nie wyznaczył administratora bezpieczeństwa informacji, nadzorującego przestrzeganie zasad związanych z właściwym zabezpieczaniem danych osobowych. Ustalili także, że kierowcom samochodów należących do Google'a, na których zamontowane zostały urządzenia służące do rejestracji obrazu widoku ulicy w ramach usługi Street View nie zostały nadane - wymagane przez prawo - upoważnienia do przetwarzania danych osobowych, a przecież mają oni dostęp do danych gromadzonych w związku z tą usługą. Widzą oni bowiem obraz kontrolny składający się z 15 obrazów w rozdzielczości umożliwiającej dokonanie oceny jakości i poprawności wykonywanych zdjęć, a ponadto są odpowiedzialni za bezpieczeństwo dysków twardych, na których zapisywane są wykonane zdjęcia. Należy zatem uznać, że kierowcy uczestniczą w procesie przetwarzania danych osobowych i dlatego administrator danych powinien nadać im upoważnienia do ich przetwarzania.
Konsekwencją tego niedociągnięcia jest kolejne uchybienie polegające na niewpisaniu kierowców do ewidencji osób upoważnionych do przetwarzania danych osobowych.
Ponadto podczas kontroli stwierdzono, że Google opracował wprawdzie politykę bezpieczeństwa i instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, jednak w dokumentach tych nie został zawarty wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe oraz sposób przepływu danych pomiędzy poszczególnymi systemami.
W ocenie GIODO, opisane nieprawidłowości nie są duże.
- Oceniłbym je jako drobne, dotyczące raczej formalnej strony przygotowania do zbierania zdjęć na terenie Polski, niedotyczące ewentualnego wycieku danych czy też przekazywania danych nieuprawnionym podmiotom. Raczej chodziło o uzupełnienie formalnych procedur, które były wymagane, niż o coś, co moglibyśmy potraktować jako poważny zarzut - wyjaśnia dr Wojciech Rafał Wiewiórowski.Przedsiębiorstwom o zasięgu międzynarodowym, które wdrożą europejskie normy ochrony danych osobowych, trzeba ułatwić przesyłanie danych wewnątrz korporacji.Przedsiębiorstwom o zasięgu międzynarodowym, które wdrożą europejskie normy ochrony danych osobowych, trzeba ułatwić przesyłanie danych wewnątrz korporacji.
Nad tym, jakie udogodnienia w tym zakresie można wprowadzić, zastanawiali się uczestnicy międzynarodowego seminarium "Wiążące reguły korporacyjne - pojęcie, stosowanie, doświadczenia praktyczne" zorganizowanego 14 czerwca 2011 r. w Warszawie przez dra Wojciecha Rafała Wiewiórowskiego, Generalnego Inspektora Ochrony Danych Osobowych (GIODO).
Podczas konferencji prasowej, która odbyła się w przerwie tego wydarzenia (pełny jej zapis dostępny poniżej), dr Wojciech Rafał Wiewiórowski wyjaśniał, że przesyłanie danych, w tym danych osobowych, jest niezbędne przy prowadzeniu działalności gospodarczej o zasięgu międzynarodowym. Widać to szczególnie w przypadku dużych korporacji, które często korzystają z usług centrów przetwarzania danych zlokalizowanych np. w Indiach czy RPA, gdzie gromadzą dane wszystkich swoich klientów lub pracowników. Z punktu widzenia ochrony danych osobowych, taka sytuacja może zagrażać pełnej kontroli nad tym, kto ma dostęp do danych i w jaki sposób są one zabezpieczone.
Jednym ze sposobów umożliwiających bezpieczny transfer danych osobowych poza Europejski Obszar Gospodarczy (EOG) jest zastosowanie tzw. wiążących reguł korporacyjnych (ang. Binding Corporate Rulet, BCR). Reguły te, przyjmowane przez korporacje i akceptowane przez organy ochrony danych, umożliwiają potraktowanie korporacji jako bezpiecznego obszaru przetwarzania, w którym dane osobowe chronione są na poziomie wymaganym przez Unię Europejską.
Zaletą BCR jest możliwość ich narzucenia przez spółkę-matkę pozostałym spółkom z grupy kapitałowej, co gwarantuje jednolity, wysoki poziom ochrony, ale też usprawnia proces jej wdrażania.
Są już korporacje, które opracowują i wdrażają wiążące reguły korporacyjne. W pewnym stopniu ułatwiają one rzecznikom ochrony danych osobowych wydawanie decyzji zezwalających na transfer danych do państwa trzeciego. Jednak żeby w Polsce można było wydać decyzję opartą o wiążące reguły korporacyjne, to polski generalny inspektor ochrony danych osobowych musi uczestniczyć przynajmniej w procedurze ich uznawania, a czasami nawet w ich tworzeniu.
- Obecnie, jeśli wiążące reguły korporacyjne zostaną uznane nawet przez kilkunastu inspektorów ochrony danych osobowych z krajów UE, przekazanie danych z Polski wymaga decyzji polskiego GIODO. To rozwiązanie mało praktyczne dla firmy, która musi powtarzać tę samą operację w 27 krajach członkowskich. Pamiętajmy też, że GIODO musi przeprowadzić tę samą procedurę, jaka została przeprowadzona w innych krajach na podstawie tych samych przepisów - mówił dr Wojciech Rafał Wiewiórowski. Wskazywał, że w przyszłości można byłoby z takiego obowiązku zrezygnować, jeżeli wiążące reguły korporacyjne zostałyby uznane za wystarczające przez co najmniej trzech innych inspektorów ochrony danych osobowych z państw UE.
- Rozwój idei BCR jest, z jednej strony, wyjściem naprzeciw biznesowi, który chciałby, aby istniał rzeczywiście wolny rynek przekazywania danych osobowych do bezpiecznych centów przetwarzania i jednocześnie chciałaby oderwać się od konieczności każdorazowego uzyskiwania decyzji organów ochrony danych osobowych o możliwości przekazania jakiegoś zestawu danych osobowych do kraju trzeciego. Z drugiej zaś strony jest o tyle interesujący dla samych organów ochrony danych osobowych, że umożliwia zastosowanie tych rozwiązań, które Unia Europejska uznaje za bezpieczne, również w krajach, które znajdują się poza Europą - mówił dr Wojciech Rafał Wiewiórowski.
Jego zdaniem, wiążące reguły korporacyjne mogą być również odpowiedzią na wyzwania techniczne związane ochroną danych osobowych, m.in. przetwarzanych w tzw. chmurach. Wystarczyłoby, aby dostarczyciel chmury stworzył takie wiążące reguły korporacyjne dla siebie. wówczas przestaje mieć znaczenie to, gdzie znajduje się centrum przetwarzania danych. - Jeżeli będą tam stosowane zasady ochrony danych osobowych takie, jakie uznalibyśmy za wystarczające dla Unii Europejskiej, to wówczas takie przekazanie będzie się mogło odbywać. Tym samym więc rozwiązanie o charakterze prawnym i organizacyjnym, rozwiąże również problem techniczny - wyjaśniał.Rozwój Internetu rodzi nowe wyzwania dla ochrony danych osobowych i prywatności.Rozwój Internetu rodzi nowe wyzwania dla ochrony danych osobowych i prywatności.
Sprawia między innymi to, że informacje o nas, w tym nasze dane osobowe, są łatwo dostępne i przetwarzane na wiele sposobów, których nie uwzględniają obowiązujące przepisy. Były one bowiem tworzone w czasach, kiedy Internet nie był powszechnie wykorzystywany. Do przetwarzania danych nie stosowano też automatycznych systemów.
O tym, jak w dobie powszechnego wykorzystywania nowoczesnych rozwiązań technologicznych zapewnić naszym danym osobowym należytą ochronę, debatowali uczestnicy konferencji naukowej "Bezpieczeństwo w Internecie" odbywającej się 8 i 9 czerwca 2011 r. na Uniwersytet Kardynała Stefana Wyszyńskiego w Warszawie.
Zastanawiali się oni m.in. nad tym, czy obecne przepisy stwarzają wystarczającą gwarancją naszej prywatności, czy trzeba je zmienić. Dyskutowali, jakie rozwiązania wprowadzić, by korzystanie z sieci telekomunikacyjnych, portali internetowych i publicznych systemów informacyjnych było bezpieczne.
Tematy te wzbudziły także zainteresowanie mediów, którym prof. Grażyna Szpor z UKSW oraz dr Wojciech Rafał Wiewiórowski, Generalny Inspektor Ochrony Danych Osobowych udzielali indywidualnych wywiadów.Zdaniem GIODO, nie ma powodu, aby w zamieszczanych w Internecie sprawozdaniach z działalności fundacji widniały prywatne adresy zamieszkania członków ich zarządów.Zdaniem GIODO, nie ma powodu, aby w zamieszczanych w Internecie sprawozdaniach z działalności fundacji widniały prywatne adresy zamieszkania członków ich zarządów.
Co prawda, przewiduje to rozporządzenie Ministra Sprawiedliwości z dnia 8 maja 2001 r. w sprawie ramowego zakresu sprawozdania z działalności fundacji, ale w opinii dra Wojciecha Rafała Wiewiórowskiego, Generalnego Inspektora Ochrony Danych Osobowych (GIODO), takie postępowanie jest nieuzasadnione, a ponadto narusza gwarantowane Konstytucją RP prawo do prywatności.
Na te kwestie GIODO zwrócił uwagę ministrowi sprawiedliwości, Krzysztofowi Kwiatkowskiemu, do którego skierował specjalne wystąpienie. Wysyłając je, dr Wojciech Rafał Wiewiórowski skorzystał z nowego uprawnienia, jakie od 7 marca 2011 r., daje mu art. 19a ustawy o ochronie danych osobowych. Na jego podstawie GIODO może do określonych podmiotów kierować wystąpienia zawierające wnioski o uchwalenie bądź zmianę aktów prawnych w sprawach dotyczących ochrony danych osobowych, a ich adresaci są zobowiązani udzielić GIODO pisemnej odpowiedzi w ciągu 30 dni od daty ich otrzymania.
- Można powiedzieć, że GIODO został wyposażony w formalną inspirację prawodawczą, czyli możliwość wskazywania organom państwowym zakresu zagadnień, które albo powinny zostać uregulowane w odmienny sposób niż dzisiaj, albo w ogóle powinny zostać uregulowane, gdyż istnieje jakaś luka prawna - wyjaśniał dr Wojciech Rafał Wiewiórowski podczas spotkania prasowego, które odbyło się 24 maja 2011 r.
Wskazywał, że dotąd GIODO wykorzystywał podobnego rodzaju możliwość poprzez sygnalizacje, które były wysyłane do różnego rodzaju podmiotów. Jednak, jak mówił, obecnie organy, do których GIODO skieruje wystąpienie w sprawie podjęcia inicjatywy ustawodawczej albo wydanie bądź zmianę aktu prawnego w sprawie dotyczącej ochrony danych osobowych, muszą na to wystąpienie zareagować. - To znaczy muszą przysłać odpowiedź, w której poinformują, że podejmą działania we wskazanym przez GIODO zakresie albo jeśli uznają, że zainspirowana przez GIODO zmiana nie jest potrzebna, muszą wyjaśnić, dlaczego tak sądzą - mówił dr Wojciech Rafał Wiewiórowski. -Wówczas będziemy wiedzieli, jakie jest podejście określonych organów publicznych do danego zagadnienia - tłumaczył.
W tym przypadku odpowiedź ministra sprawiedliwości była pozytywna. - Minister sprawiedliwości podzielił stanowisko GIODO, uznając, że wymóg publikowania w Internecie sprawozdań z działalności fundacji wraz z prywatnymi adresami zamieszkania członków zarządu tych fundacji budzi zastrzeżenia co do zgodności z przepisami dotyczącymi ochrony danych osobowych - mówił GIODO.
Poinformował, iż resort sprawiedliwości rozpoczął prace nad nowelizacją rozporządzenia Ministra Sprawiedliwości w sprawie ramowego zakresu sprawozdania z działalności fundacji. Zniesiony ma zostać wymóg podawania w nim prywatnych adresów zamieszkania członków zarządu, wprowadzony ma zaś - obowiązek podawania adresu do korespondencji oraz adresu poczty elektronicznej, jeżeli fundacja taki adres posiada.
GIODO z zadowoleniem przyjął tę zapowiedź. Jednak omawiany problem przedstawił też w szerszym kontekście, a mianowicie transparentności, czyli przejrzystości działania określonych organów lub instytucji.
- Nie kwestionując tego, że fundacje powinny działać transparentnie, a kontroli powinny podlegać pozyskiwane przez nie fundusze oraz to, kto w owych fundacjach podejmuje decyzje władcze, to nie widzimy powodu, dla którego ta identyfikacja osób miałaby posuwać się tak daleko, że ogólnie dostępny staje się również prywatny adres zamieszkania osoby należącej do władz fundacji - mówił dr Wojciech Rafał Wiewiórowski. - Zidentyfikowanie osób jest wskazane, aczkolwiek nie ma powodu, aby sprawozdanie z działalności fundacji przekształcać w listę adresową z prywatnymi adresami zamieszkania osób, które w fundacjach podejmują decyzje władcze - wyjaśniał.
Wskazywał przy tym, że problem ten należy rozpatrywać w szerszym kontekście.
- Dokonując przeglądu polskich przepisów pod kątem zapewnienia prywatności, chcielibyśmy rozróżnić dwa działania, które są podejmowane w kwestiach związanych z transparentnością przebiegu różnego rodzaju zdarzeń w naszym kraju - zapowiedział. - Pierwszą jest transparentność instytucji, o której mowa w konkretnych przepisach, a drugą, zupełnie inną - transparentność osób, które w tej instytucji działają - wyjaśniał.
Jako przykład przepisów zapewniających transparentność określonych podmiotów wskazał te, które zobowiązują niektóre osoby zajmujące stanowiska publiczne do składania oświadczeń majątkowych. Podkreślał, że czym innym jest jednak upublicznienie informacji o majątku, jaki taka osoba posiada, a czym innym wskazanie np. adresu należących do niej nieruchomości.
Podczas spotkania z dziennikarzami GIODO zapowiedział też, że będzie korzystał z uprawnień, jakie daje mu art. 19a ustawy o ochronie danych osobowych.
- Coraz częściej GIODO będzie zwracał się w trybie wystąpień z art. 19a o uregulowanie konkretnych kwestii - mówił. - Nie ukrywam, że przepisy dotyczące wystąpień będą sposobem informowania o tym, jak GIODO podchodzi do jakiegoś zagadnienia, które w danym momencie nie jest odpowiednio regulowane - tłumaczył, informując, że treść wystąpień oraz udzielonych na nie odpowiedzi publikowana będzie na stronie internetowej GIODO.
W najbliższym czasie spodziewać się można wystąpień dotyczących wykorzystywania biometrii, zwłaszcza w stosunkach pracy, oraz wideomonitoringu, o czym więcej GIODO mówił podczas indywidualnych rozmów z dziennikarzami.Przedsiębiorca nie ma prawa uzależniać zawarcia umowy od wyrażenia przez nas zgody na wykorzystywanie danych w celach marketingowych.Przedsiębiorca nie ma prawa uzależniać zawarcia umowy od wyrażenia przez nas zgody na wykorzystywanie danych w celach marketingowych.
Takie prawo przysługuje nam zarówno wówczas, gdy zawieramy umowę w siedzibie przedsiębiorcy czy listownie, jak i za pośrednictwem Internetu. Gdy przedsiębiorca, z którym zawieramy umowę przez Internet, nie umożliwia nam swobodnego wyrażenia zgody na przetwarzanie naszych danych osobowych w celach marketingowych, lepiej zrezygnować z jego usług. Zwłaszcza gdy mamy możliwość wyboru dostawcy towaru czy usługi na konkurencyjnym rynku.
Warto też pamiętać, że od 7 marca 2011 r. - o czym dr Wojciech Rafał Wiewiórowski, Generalny Inspektor Ochrony Danych Osobowych (GIODO) mówił podczas rozmowy z redaktor Beatą Piechowską-Olszewską z TV Biznes - zgodę na wykorzystywanie naszych danych osobowych w celach marketingowych w każdej chwili możemy odwołać.Ostateczne rozwiązania przyjęte w ustawie o systemie informacji oświatowej zapewniają znacznie większą ochronę prywatności niż początkowo proponował MEN.Ostateczne rozwiązania przyjęte w ustawie o systemie informacji oświatowej zapewniają znacznie większą ochronę prywatności niż początkowo proponował MEN.
Z punktu widzenia Generalnego Inspektora Ochrony Danych Osobowych (GIODO) uchwalone przepisy są zadowalające. W czasie prac parlamentarnych usunięto bowiem większość zapisów budzących wątpliwości GIODO. Dr Wojciech Rafał Wiewiórowski, Generalny Inspektor Ochrony Danych Osobowych mówił o tym w czasie wywiadu udzielonego Annie Rękawek, redaktor naczelnej "Dyrektora Szkoły".
Wyjaśniał, że obecnie tworzony system nie jest do końca systemem centralnym, ponieważ dane nie będą przechowywane w jednym miejscu, na jednym twardym dysku, choć będzie systemem scentralizowanym - to znaczy, że z poziomu centralnego będzie można mieć dostęp do dużego zestawu danych. GIODO przypominał jednak o tym, że większość danych, która trafi do tego systemu, będzie tzw. metainformacjami, czyli informacjami o informacjach. Istnieje na przykład powszechne przekonanie, że w systemie przechowywane będą informacje o niepełnosprawności dziecka, podczas gdy w systemie informacji oświatowej przetwarzana będzie jedynie informacja o tym, że orzeczenie w takiej sprawie istnieje. Jego treść nie będzie zamieszczana w systemie - tłumaczył.
Zdaniem GIODO, rozwiązania przyjęte w ustawie są uzasadnione konkretnymi potrzebami i zbliżone do obecnych realiów: dyrektor ma dostęp do danych dotyczących własnej szkoły, a ministerstwo do tych, które są istotne ze względu na liczenie subwencji oświatowej, potrzeby statystyczne czy tworzenie założeń polityki oświatowej. Istotne jest to, żeby do tego zestawu danych nie miały dostępu osoby nieuprawnione.
GIODO zapewnia, że będzie monitorował sposób wdrażania SIO.Unia Europejska zapowiada zmianę przepisów dyrektywy retencyjnej. Jest to konieczne, gdyż część państw członkowskich uznała je za niekonstytucjne.Unia Europejska zapowiada zmianę przepisów dyrektywy retencyjnej. Jest to konieczne, gdyż część państw członkowskich uznała je za niekonstytucjne.
Niezgodność dyrektywy retencyjnej z konstytucjami swoich państw stwierdziły m.in. Węgry, Rumunia, Czechy i Niemcy. Przy czym przedstawiciele tego ostatniego państwa zapowiedzieli, że nie będą wdrażać jej przepisów do swojego porządku prawnego. To spowodowało, że Unia Europejska postanowiła dokonać przeglądu tego aktu prawnego i poprawić go tak, by państwa członkowskie nie miały problemu z niekonstytucjonalnością zawartych w nim rozwiązań.
- Zmiany polegać mają na bardziej szczegółowym określeniu, jakie informacje są zbierane, na jakie potrzeby i przez jaki okres dane mogą być przechowywane - mówił Wojciech Rafał Wiewiórowski, Generalny Inspektor Ochrony Danych Osobowych (GIODO) w rozmowie z redaktor Agnieszką Witkowicz z Radia RMF FM.
Wyjaśniał, że choć cel wprowadzenia tych przepisów, czyli ułatwienie walki z terroryzmem, jest szczytny, to dane retencyjne bywają wykorzystywane także w innych celach. Wskazywał też, że jego zdaniem, sposób wdrożenia dyrektywy w Polsce nie jest poprawny. Mówił, iż opowiada się za tym, by europejskie przepisy w zakresie retencji danych były jak najbardziej precyzyjne, tzn. dokładnie określały, jak daleko można się posunąć przy korzystaniu z danych dotyczących połączeń telekomunikacyjnych. - Poprawnie stworzone przepisy dotyczące retencji danych chronią obywateli, ponieważ uniemożliwiają służbom specjalnym czy sądom wykorzystywanie danych w sposób naruszający tajemnicę telekomunikacyjną - stwierdził.
Jak mówił, bardzo często stawiany jest zarzut, że osoba "porządna" nie powinna się bać wykorzystywania dotyczących jej danych retencyjnych. - Do tego sposobu myślenia mamy dwa bardzo poważne zarzuty - tłumaczył Wojciech Rafał Wiewiórowski. - Pierwszy jest taki, że to, iż ktoś jest porządny nie oznacza, że musi być permanentnie nadzorowany co do tego, w jaki sposób komunikuje się z innymi osobami. Drugi zarzut jest taki, że obecne wykorzystywanie danych z bilingów jest zdecydowanie zbyt szerokie w stosunku do ekonomicznej potrzeby - powiedział.GIODO 10 maja 2011 r. rozpoczął kontrolę działań Google Inc. w zakresie planowanego uruchomienia usługi Google Street View w Polsce.GIODO 10 maja 2011 r. rozpoczął kontrolę działań Google Inc. w zakresie planowanego uruchomienia usługi Google Street View w Polsce.
Google zamierza jeszcze przed Euro 2012 umieścić w Internecie panoramiczne zdjęcia ulic największych miast Polski, w których odbędą się mecze mistrzostw w piłce nożnej - Warszawy, Gdańska, Krakowa, Poznania i Wrocławia. Tego typu usługę znaną pod nazwą Google Street View koncern uruchomił w wielu państwach świata. Umożliwia ona obejrzenie rzeczywistego wyglądu określonych miejsc.
Jej świadczenie nie może jednak naruszać naszej prywatności i prawa do ochrony danych osobowych, co jest przedmiotem zainteresowania i troski Generalnego Inspektora Ochrony Danych Osobowych (GIODO)
Przed rozpoczęciem działań Google Poland Sp. z o.o. zapoznał GIODO z planami dotyczącymi rozszerzenia internetowych map Polski o funkcję Street View. Po trwających dwa miesiące dwustronnych uzgodnieniach i analizach, GIODO określił podstawowe warunki, jakie muszą być spełnione na potrzeby świadczenia tej usługi. To, czy będą dochowane, sprawdzać mają inspektorzy GIODO.
W tym celu 10 maja 2011 r. rozpoczęli w Google kontrolę. O tym, jak będzie przebiegała i jaki będzie jej zakres, dr Wojciech Rafał Wiewiórowski, Generalny Inspektor Ochrony Danych Osobowych (GIODO) mówił m.in. w czasie wywiadu udzielonego redaktorowi Kamilowi Sikorze z redakcji "Wydarzeń" Telewizji POLSAT. Wskazywał, że inspektorzy badać będą np. zakres danych zbieranych poprzez wykonywanie zdjęć fotograficznych, a także sprawdzą, czy pojazdy Street View nie gromadzą informacji o wewnętrznej strukturze budynków oraz danych dotyczących sieci bezprzewodowych Wi-Fi przesyłanych przy ich użyciu.
Dodatkowo, zgodnie ze wskazaniami GIODO, Google zobowiązało się do takiego informowania o fotografowaniu miast, aby każdy mógł skorzystać z prawa do ochrony swej prywatności, a zatem informacja o rozpoczęciu dokonywania zdjęć musi być przekazana z odpowiednim wyprzedzeniem. Twarze osób i numery rejestracyjne pojazdów ujawnionych na zdjęciach muszą zostać zamazane przed publikacją zdjęć w sieci. Ponadto GIODO wymaga, aby zdjęcia z samochodu były robione z wysokości nie wyższej niż 3 metry od poziomu ulicy. Jednocześnie pojazdy Google muszą być też dokładnie oznakowane, tak by przechodnie mogli je rozróżnić.Audyt GIODO wykazał, że Gminne Ośrodki Pomocy Społecznej mają obowiązek zgłaszać do rejestracji zbiory zawierające dane osobowe wolontariuszyAudyt GIODO wykazał, że Gminne Ośrodki Pomocy Społecznej mają obowiązek zgłaszać do rejestracji zbiory zawierające dane osobowe wolontariuszy Dr Wojciech Rafał Wiewiórowski, Generalny Inspektor Ochrony Danych Osobowych (GIODO) przypomniał o tym podczas wywiadu, jakiego udzielił redaktorowi Piotrowi Gnypowi z portalu gazeta.pl w związku z sygnałami o wycieku danych użytkowników sieci PlayStation Network należącej do firmy Sony.
Zgodnie z art. 40 ustawy o ochronie danych osobowych, administrator danych jest obowiązany zgłosić zbiór danych do rejestracji GIODO. Wyjątki od tej zasady określone zostały w art. 43 ust. 1 tej ustawy. Co prawda pkt 4 tego przepisu stanowi, że z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się, ale nie może on stanowić zwolnienia z obowiązku rejestracji zbioru danych wolontariuszy.
Z treści tego przepisu wynika, iż obowiązkowi rejestracji nie podlegają zbiory danych osób zatrudnionych u administratora na podstawie stosunku pracy, o którym mowa w ustawie z dnia 26 czerwca 1974 r. Kodeks pracy, a także dane osób świadczących na rzecz administratora usługi na podstawie umów cywilnoprawnych (umowa zlecenia, umowa o dzieło).
Wolontariusze zaś nie są zatrudniani na podstawie umów o pracę ani umów zlecenia czy umów o dzieło. Ideą wolonatriatu - uregulowanego w ustawie z 24 kwietnia 2003 r. o działalności pożytku publicznego i o wolontariacie - jest bowiem dobrowolne i bezpłatne wykonywanie określonych czynności przez wolontariusza na rzecz określonych podmiotów (tzw. korzystających). Ponadto podstawą podjęcia przez wolontariusza na rzecz korzystającego jakichkolwiek świadczeń jest porozumienie między tymi podmiotami. Powinno ono określać zakres prac, sposób i czas ich wykonania. Analizując przepisy ustawy o działalności pożytku publicznego i o wolontariacie oraz przepisy Kodeksu pracy dotyczące stosunku pracy należy uznać, iż świadczenia wykonywane przez wolontariuszy nie powodują powstania stosunku pracy. Niewątpliwym elementem umowy o pracę jest wynagrodzenie, natomiast czynności wykonywane przez wolontariusza są bezpłatne. Ponadto umowa o pracę, co do zasady jest umową zawartą na piśmie, porozumienie zaś z wolontariuszem może być potwierdzone w formie pisemnej jeżeli zawarte jest na okres dłuższy niż 30 dni (art. 44 ust. 4 tej ustawy) na jego żądanie (art. 44 ust. 2 ustawy o działalności pożytku publicznego i o wolontariacie).
Z kolei treść umów cywilnoprawnych dotyczących świadczenia usług (umowa zlecenia, umowa o dzieło) regulują przepisy ustawy z dnia 23 kwietnia 1964 r. Kodeks cywilny. Cechą charakterystyczną umów cywilnoprawnych jest też ekwiwalentność świadczeń, której nie ma w przypadku pracy wolontariuszy.
Zatem skoro działalność wolontariuszy regulują przepisy ustawy o działalności pożytku publicznego i o wolontariacie, a między korzystającym a wolontariuszem nie jest nawiązywany stosunek pracy, Ośrodek Pomocy Społecznej, na rzecz której wolontariusze świadczą określoną pracę, ma obowiązek zgłoszenia zbioru danych wolontariuszy do rejestracji GIODO.Osoby, które w związku z korzystaniem z gier komputerowych za pośrednictwem sieci, przekazują dostawcom usług swoje dane osobowe, robią to poniekąd na własne ryzyko.Osoby, które w związku z korzystaniem z gier komputerowych za pośrednictwem sieci, przekazują dostawcom usług swoje dane osobowe, robią to poniekąd na własne ryzyko.
Dr Wojciech Rafał Wiewiórowski, Generalny Inspektor Ochrony Danych Osobowych (GIODO) przypomniał o tym podczas wywiadu, jakiego udzielił redaktorowi Piotrowi Gnypowi z portalu gazeta.pl w związku z sygnałami o wycieku danych użytkowników sieci PlayStation Network należącej do firmy Sony.
Z doniesień medialnych wynika, że z firmy Sony wyciekły dane 77 mln użytkowników sieci PlayStation Network na całym świecie.
Za pomocą konsoli PlayStation 3 użytkownicy grają w gry, oglądają filmy na Blu-ray. Natomiast robiąc zakupy w sklepie PlayStation, podawali numer karty kredytowej. Ci, którzy chcieli grać w sieci z innymi - musieli się zalogować do specjalnej usługi - PlayStation Network, a więc podać swoje dane osobowe i adres e-mail. I właśnie te dane - dane osobowe i prawdopodobnie numery kart kredytowych - straciło Sony. Media szacują, że w Polsce poszkodowanych może być 375 tys. użytkowników.
GIODO przestrzega, że osoby korzystające z tego typu usług i przekazujące ich dostawcom swoje dane osobowe, robią to poniekąd na własne ryzyko. Radzi, by w przypadku zauważenia podejrzanych transakcji finansowych na własnym koncie skontaktować się z policją, a w przypadku naruszenia praw konsumenckich z UOKiK. Natomiast w razie jakichkolwiek innych wątpliwości dotyczących ochrony danych osobowych z prośbą o pomoc można zwrócić się do GIODO. Dla zminimalizowania zagrożeń w tym zakresie warto, by użytkownicy sieci PlayStation Network, zmienili swoje hasła dostępu, zwłaszcza do kont bankowych.
W związku z tym, iż do zdarzenia doszło poza terenem Polski, a serwery firmy Sony są zlokalizowane poza Unią Europejską, możliwość podjęcia działań przez GIODO, w tym wydania decyzji administracyjnej, jest w znacznym stopniu ograniczona.Ustawa o systemie informacji w ochronie zdrowia po poprawkach Senatu zyskała kształt zgodny z sugestiami GIODO.Ustawa o systemie informacji w ochronie zdrowia po poprawkach Senatu zyskała kształt zgodny z sugestiami GIODO.
Wprowadzenie zmian poprzedzone było długą i zaciętą debatą. W jej wyniku o opinię dotyczącą projektowanych przepisów poproszeni zostali eksperci zewnętrzni, którzy uznali, że zgłaszane przez Generalnego Inspektora Ochrony Danych Osobowych (GIODO) zastrzeżenia co do niezgodności omawianych regulacji z Konstytucją i przepisami dotyczącymi ochrony danych osobowych są zasadne. Dr Wojciech Rafał Wiewiórowski, Generalny Inspektor Ochrony Danych Osobowych mówił o tym podczas rozmowy z redaktorem Mirosławem Stańczykiem z "Medical Tribune".
- Mogę z czystym sumieniem stwierdzić, że nie ma obecnie podstaw, aby ustawę w takim kształcie, w jakim została przegłosowana w Senacie, blokować. Ustawa zyskała bowiem kształt umożliwiający właściwą ochronę danych osobowych nie tylko pacjentów, ale także lekarzy - powiedział.
Jednym z sukcesów jest wprowadzenie przepisów gwarantujących, że dane osobowe zawarte w poszczególnych rejestrach medycznych nie będą ze sobą łączone, co umożliwiałoby np. niedozwolone profilowanie osób. Przejęte ostatecznie rozwiązania zapewniają też m.in. to, iż dostęp do określonych informacji będą miały tylko uprawnione osoby i tylko w uzasadnionych przypadkach.
Dla ochrony danych osobowych zawartych w SIO istotne jest m.in. właściwe określenie osób, które są upoważnione, by mieć do nich dostęp.Dla ochrony danych osobowych zawartych w SIO istotne jest m.in. właściwe określenie osób, które są upoważnione, by mieć do nich dostęp.
Dla prawidłowego działania systemu informacji oświatowej (SIO) niezbędne jest gromadzenie danych osobowych. Jednak powinno mieć ono miejsce tylko do pewnego poziomu. Potem dane powinny być anonimizowane - uważa dr Wojciech Rafał Wiewiórowski, Generalny Inspektor Ochrony Danych Osobowych (GIODO). Taką opinię wyraził w rozmowie z redaktor Bogną Mendroch z Telewizji POLSAT, która interesowała się kwestią zabezpieczenia danych osobowych gromadzonych w tym systemie.
Pytany, czy jest on bezpieczny, GIODO wyjaśniał, że na włamania i kradzieże narażona jest każda baza danych. - Z tego typu zagrożeniami bardzo trudni jest walczyć, ale ustawa o systemie informacji oświatowej jako akt prawny nie służy do tego celu - dowodził.
Dla zabezpieczenia danych osobowych gromadzonych w systemie informacji oświatowej istotne jest zapewnienie, by dostęp do nich miały wyłącznie te osoby, które faktycznie powinny go mieć oraz by dane te nie były wykorzystywane w innych celach niż te, które zostały określone w ustawie o systemie informacji oświatowej. Na tym polega m.in. rola GIODO, który jest odpowiedzialny za właściwe przetwarzanie danych osobowych.
Zdaniem dra Wojciecha Rafała Wiewiórowskiego, ustawa o systemie informacji oświatowej gwarantuje właściwe zabezpieczenie gromadzonych w nim danych osobowych. Istotne jest jednak to, by zapewniał je także system informatyczny, który będzie stworzony na potrzeby obsługi tego systemu. Tym bardziej że SIO będzie jedną z największych baz danych.
- Pamiętajmy, że istnieje możliwość jego połączenia z systemem tworzonym obecnie przez Ministerstwo Nauki i Szkolnictwa Wyższego - mówił dr Wojciech Rafał Wiewiórowski. - To - przy braku odpowiednich gwarancji bezpieczeństwa i nieanonimizowaniu danych - mogłoby prowadzić do śledzenia każdej osoby od momentu rozpoczęcia nauki, czyli praktycznie od przedszkola, do jej zakończenia, a więc niemal przez całe życie, bo tyle obecnie trwa edukacja - dowodził. Jednak jego zdaniem, obecna ustawa o systemie informacji oświatowej w skuteczny sposób zabezpiecza przed tworzeniem tego typu profili osobowościowych.
Z okazji Świąt Wielkiej Nocy, dużo radości, ciepła i pogody ducha, życzy Zespół Lex Artist.Z okazji Świąt Wielkiej Nocy, dużo radości, ciepła i pogody ducha, życzy Zespół Lex Artist.Rozwój nowych technologii spowodował istotne zmiany w podejściu instytucji samorządowych do danych zawartych w rejestrach publicznych.Rozwój nowych technologii spowodował istotne zmiany w podejściu instytucji samorządowych do danych zawartych w rejestrach publicznych.
Do tej pory rejestry kojarzyły się z papierowymi księgami albo bazami danych, w których gromadzone były dokumenty, zawierające różnego rodzaju informacje, w tym dane osobowe. Tymczasem dzisiaj, kiedy rejestry prowadzone są w formie relacyjnych baz danych, tak naprawdę są one miejscem przechowywania bardzo różnych rodzajów danych, które niosą informacje przywiązane nie do dokumentu, ale np. do danej osoby, przedmiotu czy nieruchomości. To powoduje, że realizując zadanie publiczne, np. wydając jakąś decyzję, urzędnik korzysta z pojedynczych danych zawartych w różnych rejestrach. Na przykład z rejestru PESEL pobiera jakiś fragment informacji, z ewidencji gruntów i budynków inny, a z rejestru związanego z podatkami lokalnymi jeszcze inny. - Nie mamy więc do czynienia z transportem dokumentu w znaczeniu tradycyjnym, ale z wykorzystaniem danych przy pomocy środków elektronicznych. To zaś powoduje, że ochrona danych, w tym danych osobowych, to nie jest tylko ochrona dokumentu, ale również ochrona procesu przetwarzania - wyjaśniał dr Wojciech Rafał Wiewiórowski, Generalny Inspektor Ochrony Danych Osobowych (GIODO) w czasie rozmowy z redaktorem Łukaszem Sobiechem z "Dziennika Gazety Prawnej".
GIODO wskazywał także na inny aspekt związany z prowadzeniem rejestrów w formie relacyjnych baz danych, jakim jest jawność. - Dzisiaj, kiedy dane gromadzone są w połączonych ze sobą rejestrach, umożliwiających równocześnie automatyczne przesyłanie danych, istnieje konieczność udzielenia odpowiedzi na pytanie, czy zawsze, jawność rejestru oznacza to, że jest on dostępny dla każdego - mówił. - Nie upieram się co do tego, że ta jawność powinna być zawsze ograniczana. Problemem jest to, że w Polsce rejestrów jest około 180 rodzajów. Nie widzę jednak możliwości jego rozwiązania poprzez wprowadzenie jednej wspólnej zasady odnoszącej się do wszystkich rejestrów, bo bardzo się one między sobą różnią. Niezbędne jest zatem przeanalizowanie każdego przypadku osobno i zadecydowanie, czy dane zawarte w konkretnym rejestrze powinny być dostępne online - stwierdził dr Wojciech Rafał Wiewiórowski.W projekcie ustawy o systemie informacji w ochronie zdrowia zapisano, że zakres i rodzaj danych przetwarzanych w rejestrach medycznych musi być proporcjonalny do celów ich utworzenia.Brak jednoznacznej W projekcie ustawy o systemie informacji w ochronie zdrowia zapisano, że zakres i rodzaj danych przetwarzanych w rejestrach medycznych musi być proporcjonalny do celów ich utworzenia.
To gwarancja wywodząca się wprost z Konstytucji RP, a jej wprowadzenie do projektu ustawy dr Wojciech Rafał Wiewiórowski, Generalny Inspektor Ochrony Danych Osobowych (GIODO) uznał za satysfakcjonujące. Mówił o tym podczas rozmowy z redaktor Beatą Piechowską-Olszewską z TV Biznes, w czasie której wyjaśniał, że na etapie prac senackich zaproponowano poprawki, które - co prawda - nie realizują wprost postulatów GIODO, ale przewidują alternatywny, również dobry sposób zabezpieczenia interesów osób fizycznych, których dane są przetwarzane w systemie informacji w ochronie zdrowia.
GIODO z zadowoleniem przyjął także te zmiany w projekcie, które przesądzają, że to minister zdrowia będzie administratorem danych zawartych w rejestrach medycznych. Będzie zatem musiał realizować obowiązki przewidziane w ustawie o ochronie danych osobowych, a także ponosił odpowiedzialność za zgodne z prawem przetwarzanie danych osobowych w tych rejestrach.
Te ostateczne rozwiązania były konsultowane z Ministerstwem Zdrowia, które zasięgało w ich sprawie opinii zewnętrznej. Potwierdziła ona niepokój GIODO co do właściwej ochrony danych osobowych.
Wprowadzone po konsultacjach zmiany zyskały aprobatę GIODO, stanowią bowiem odpowiedź na wiele zgłaszanych przez niego zastrzeżeń i mogą być potraktowane jako dopuszczalny kompromis pomiędzy oczekiwaniami organu do spraw ochrony danych osobowych a możliwościami resortu zdrowia.Brak jednoznacznej odpowiedzi na pytanie, czy pracodawcy poprawnie wykorzystują nowoczesne metody nadzoru nad pracownikami.Brak jednoznacznej odpowiedzi na pytanie, czy pracodawcy poprawnie wykorzystują nowoczesne metody nadzoru nad pracownikami.
Wiadomo, że chętnie je wykorzystują, zarówno na potrzeby zapewnienia ochrony danych znajdujących się w dyspozycji zakładu pracy, jak i w celu sprawdzania czasu pracy pracowników czy poziomu ich zaangażowania w wykonywaną pracę. Jednak ze względu na to, że przepisy prawa albo w ogóle nie regulują tych zagadnień, albo są nieprecyzyjne, istnieje wiele wątpliwości co do tego, czy używane przez pracodawcę formy nadzoru nad pracownikami są odpowiednio stosowane. Dr Wojciech Rafał Wiewiórowski, Generalny Inspektor Ochrony Danych Osobowych (GIODO) mówił o tym podczas wywiadu udzielonego redaktor Karolinie Olech z "Serwisu Prawno-Pracowniczego", którego przedmiotem było m.in. przedstawienie wniosków ze śniadania naukowego, jakie odbyła się 17 lutego 2011 r. na Akademii Leona Koźmińskiego.
GIODO wskazywał, że analizując dopuszczalność stosowania nowoczesnych form nadzoru nad zatrudnionymi, stara się wyważać interesy obu stron stosunku pracy, tak by pracownikom zapewnić właściwą ochronę danych osobowych i prawo do prywatności, przy jednoczesnym zrozumieniu argumentów przemawiających za przetwarzaniem określonych informacji przez pracodawców. - Oceniając dopuszczalność określonych działań, pod uwagę bierzemy przede wszystkim ich celowość - mówił dr Wojciech Rafał Wiewiórowski. - W przypadku potrzeby zapewnienia bezpieczeństwa zakładu pracy, GIODO godzi się na to, by np. niektóre pomieszczenia były poddane szczególnemu rodzajowi nadzoru, chociażby z tego powodu, że są w nich składowane materiały niebezpieczne, wybuchowe czy radioaktywne, czy też dlatego, że są tam przechowywane dokumenty zawierające tajemnicę przedsiębiorcy czy jego know-how. Wyciek takiej wiedzy z zakładu pracy z ekonomicznego punktu widzenia może być dla pracodawcy niebezpieczny. Dlatego zabezpieczenie wstępu do takich miejsc z wykorzystaniem biometrii może być uzasadniony, w przeciwieństwie do wykorzystywania jej wyłącznie w celu nieustannego, niczym nieuzasadnionego monitorowania pracowników - wyjaśniał.
Zdaniem GIODO, kwestia stosowania przez pracodawców nowych technologii w celu nadzorowania pracowników wymaga przedyskutowania, zarówno z przedstawicielami środowiska naukowego, jak i reprezentantami rynku pracy. Zapowiedział, że w kwietniu 2011 r. odbędzie się całodniowa konferencja poświęcona tym zagadnieniom. - W czasie jej trwania będziemy się starali udzielić odpowiedzi na pytania w zakresie stosowania nowoczesnych form nadzoru nad pracownikami - dodał dr Wojciech Rafał Wiewiórowski.
Wszystkie rejestry publiczne w ochronie zdrowia zawierające dane osobowe, powinny być tworzone na podstawie przepisów rangi ustawowej.Wszystkie rejestry publiczne w ochronie zdrowia zawierające dane osobowe, powinny być tworzone na podstawie przepisów rangi ustawowej.
Nie negując potrzeby tworzenia systemu, który możliwi kontrolę sposobu funkcjonowania finansów w ochronie zdrowia, GIODO zgłosił szereg zastrzeżeń i tylko niektóre z nich zostały uwzględnione. W opinii dra Wojciecha Rafała Wiewiórowskiego projekt ustawy nie zapewnia odpowiedniego poziomu ochrony prywatności pacjentów, bowiem nie precyzuje jaki zakres danych będzie przechowywany w rejestrach medycznych i komu będą one udostępniane. "Nie podobają mi się niektóre przepisy tej ustawy (artykuły 19 i art. 20), które moim zdaniem są niezgodne z Konstytucją RP, która mówi wprost w artykule 51, że nikt nie może być obowiązany inaczej niż na podstawie ustawy do ujawniania informacji dotyczących jego osoby" - mówił GIODO w rozmowie z Red. Jarosławem Kuźniarem 29 marca 2011r., w programie Poranek TVN 24. Wszystkie rejestry publiczne w ochronie zdrowia zawierające dane osobowe, powinny być tworzone na podstawie przepisów rangi ustawowej. To nie jest zarzut złej woli ze strony Ministerstwa Zdrowia. To zarzut wobec aktu prawnego, który jest niedopracowany i wymaga szeregu zmian, wskazywanych przez Generalnego Inspektora zarówno na etapie uzgodnień międzyresortowych jak i na etapie prac komisji sejmowych. "Mam jednak nadzieję, że parlamentarzyści na etapie wciąż trwających prac przychylą się do naszych uwag"- mówił GIODO. Zapowiedział również, że jeśli zgłoszone przez niego uwagi do projektu nie zostaną uwzględnione, to wyśle je do Prezydenta RP i Rzecznika Praw Obywatelskich. Nie ma bowiem uprawnień pozwalających na zaskarżeniu ustawy do Trybunału Konstytucyjnego.Jednostki samorządu terytorialnego mają trudności z właściwą ochroną danych osobowych przy udostępnianiu informacji publicznej.Jednostki samorządu terytorialnego mają trudności z właściwą ochroną danych osobowych przy udostępnianiu informacji publicznej.
Jest to związane z tym, że każdy urzędnik samodzielnie musi podejmować decyzję o tym, jaki zakres informacji zalicza się do informacji publicznej, która powinna być przekazana każdemu, kto się o nią zwraca, a jakie informacje są objęte ochroną ze względu na ochronę interesów osób, których dane występują np. w publicznych dokumentach czy podejmowanych przez samorządy uchwałach. Nie oznacza to, że urzędnik ma w tym zakresie swobodę. Nie sposób jednak w przepisach regulujących działalność jednostek samorządu terytorialnego zawrzeć szczegółowych wytycznych odnoszących się do przetwarzania danych osobowych, biorąc pod uwagę, że samorząd realizuje kilkaset zadań publicznych. Dr Wojciech Rafał Wiewiórowski, Generalny Inspektor Ochrony Danych Osobowych (GIODO) mówił o tym w czasie wywiadu udzielonego redaktorowi Danielowi Pawluczukowi z Serwisu Samorządowego PAP. Wskazywał przy tym, że podejmowania decyzji o udostępnianiu informacji publicznej urzędnikom nie ułatwiają także sądy, które oceniają tego typu zdarzenia. Pytany o dobre rady dla urzędników przy wyznaczaniu granicy między ochroną danych osobowych a prawem do informacji publicznej dr Wojciech Rafał Wiewiórowski powiedział: - Przede wszystkim urzędnik powinien ocenić, czy dane zagadnienie jest zagadnieniem związanym z wykonywaniem przez jednostkę samorządu terytorialnego zadania publicznego albo z dysponowaniem majątkiem samorządu bądź Skarbu Państwa. Jeśli zadecyduje, że sprawa należy do tego zakresu, to powinien zastanowić się, które z informacji dotyczących osoby fizycznej, które występują w dokumencie, są informacjami publicznymi, a które należą do jego sfery życia prywatnego. Jednym z przykładów może być załączanie do informacji dotyczących planu zagospodarowania przestrzennego listy uwag wniesionych do tego planu przez obywateli. O ile podanie imienia i nazwiska osoby, która zgłosiła jakąś uwagę, wydaje się być wskazane, o tyle podanie jej adresu zamieszkania nie wydaje się potrzebne dla celów, dla których plan zagospodarowania przestrzennego jest tworzony.
Podobna analiza powinna być przeprowadzona przed upublicznieniem decyzji organów jednostek samorządu terytorialnego. - W takich przypadkach powinniśmy zadecydować, co jest potrzebne do tego, aby pokazać, w jaki sposób jest realizowane zadanie publiczne, a co już znajduje się w grupie informacji prywatnych obywatela - radził dr Wojciech Rafał Wiewiórowski.Tworzenie profili osobowościowych na podstawie ogólno dostępnych danych jest dopuszczalne, ale muszą być przy tym spełnione określone warunki.Tworzenie profili osobowościowych na podstawie ogólno dostępnych danych jest dopuszczalne, ale muszą być przy tym spełnione określone warunki.
Przede wszystkim nie wolno naruszać podstawowych praw i wolności obywateli. Na te kwestie wskazał m.in. Komitet Ministrów Rady Europy w przyjętej 23 listopada 2010 r. rekomendacji w sprawie ochrony osób w związku z automatycznym przetwarzaniem danych osobowych podczas tworzenia profili. Podkreślono w niej także, że każdy powinien znać zasady obowiązujące przy profilowaniu.
Dr Wojciech Rafał Wiewiórowski, Generalny Inspektor Ochrony Danych Osobowych (GIODO) mówił o tym w czasie wywiadu udzielonego redaktorowi Adamowi Makoszowi z "Dziennika Gazety Prawnej". Podkreślał w nim również, że zgodnie z ogólnymi zasadami ochrony danych osobowych, zbieranie i wykorzystywanie danych osobowych internautów powinno odbywać się w sposób rzetelny, zgodny z prawem, proporcjonalny i w określonym, uzasadnionym celu.
- Podczas zbierania danych osobowych w związku z tworzeniem profili, administrator powinien podać osobom, których dane dotyczą, informacje dotyczące wykorzystania ich danych w związku z tworzeniem profili. Internauta powinien znać również cele, dla których prowadzone jest profilowanie oraz tożsamość administratora zbioru danych umożliwiającą jego lokalizację. Musi także uzyskać informacje ma temat istnienia odpowiednich zabezpieczeń - wyjaśniał Wojciech Rafał Wiewiórowski. - Zbieranie i wykorzystywanie danych osobowych w związku z tworzeniem profili osób, które nie są w stanie samodzielnie wyrazić dobrowolnej i świadomej zgody powinno być z zasady zakazane. Dopuszczalne jest to jednak, gdy odbywa się to w uzasadnionym interesie osoby, której dane dotyczą, lub w interesie publicznym, pod warunkiem istnienia odpowiednich zabezpieczeń prawnych - dodał.Najlepszą podstawą przetwarzania danych medycznych jest wyrażona dobrowolnie, w pełni świadomie i na piśmie zgoda pacjenta. Tyle w teorii.Najlepszą podstawą przetwarzania danych medycznych jest wyrażona dobrowolnie, w pełni świadomie i na piśmie zgoda pacjenta. Tyle w teorii.
W przypadku przyjęcia innych rozwiązań, zasady przetwarzania danych medycznych powinny zostać szczegółowo uregulowane w ustawie, a nie w aktach prawnych niższej rangi.
Tę swoją opinię dr Wojciech Rafał Wiewiórowski, Generalny Inspektor Ochrony Danych Osobowych (GIODO) przypomniał w czasie rozmowy z redaktor Ewą Paciorek z "Serwisu Kadry Zarządzającej ZOZ", która interesowała się zarówno projektem ustawy o systemie informacji w ochronie zdrowia, jak i praktycznymi aspektami zabezpieczania oraz udostępniania dokumentacji medycznej.
GIODO pytany o to, jak, jego zdaniem, powinien przebiegać proces rejestracji pacjentów i administrowania ich danymi, stwierdził, że w idealnym świecie najlepszą podstawą przetwarzania danych medycznych byłaby wyrażona dobrowolnie i w pełni świadomie zgoda pacjenta.
- Jednak zdaję sobie sprawę, że wielu klientów służby zdrowia niejednokrotnie nie jest w stanie w pełni świadomie podjąć decyzji o wyrażeniu zgody na przetwarzanie danych o ich stanie zdrowia - powiedział. - Natomiast jeśli mielibyśmy zmuszać pacjentów, by ujawniali pewne informacje na temat swojego stanu zdrowia, to chciałbym, aby decyzja w tej sprawie była podjęta na poziomie ustawowym, a nie wynikała z rozporządzenia Ministra Zdrowia czy, tym bardziej, postanowień informatyków pracujących w Centrum Systemów Informacyjnych Ochrony Zdrowia - dodał.Nowelizacja ustawy o ochronie danych osobowych, która weszła w życie 7 marca 2011 r. umożliwi GIODO nakładanie grzywny na podmioty niewykonujące jego wcześniejszych decyzji.Nowelizacja ustawy o ochronie danych osobowych, która weszła w życie 7 marca 2011 r. umożliwi GIODO nakładanie grzywny na podmioty niewykonujące jego wcześniejszych decyzji. Na mocy tej uchwalonej 29 października 2010 r. nowelizacji ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych Generalnemu Inspektorowi Ochrony Danych Osobowych (GIODO) przyznano uprawnienia organu egzekucyjnego w zakresie egzekucji administracyjnej obowiązków o charakterze niepieniężnym (art. 12 pkt. 3). Oznacza to, że od 7 marca 2011 r. GIODO na podmioty, które nie będą wykonywały jego decyzji administracyjnych, będzie mógł nałożyć grzywnę w celu przymuszenia. Wysokość takiej grzywny w stosunku do osoby fizycznej będzie mogła wynosić maksymalnie 10 000 zł, zaś w stosunku do osoby prawnej oraz jednostki organizacyjnej nieposiadającej osobowości prawnej 50 000 zł, jednak w przypadku wielokrotnego nakładania grzywien w jednym postępowaniu egzekucyjnym ich łączna kwota nie będzie mogła przekraczać: 50 000 zł w odniesieniu do osób fizycznych oraz 200 000 zł w odniesieniu do osób prawnych i jednostek organizacyjnych nieposiadających osobowości prawnej.
Grzywny w celu przymuszenia GIODO będzie nakładał w trybie przewidzianym ustawą z dnia 17 czerwca 1966 r. o postępowaniu egzekucyjnym w administracji, w której również wprowadzono odpowiednie zmiany.
Omawiane rozwiązanie powinno przyczynić się do lepszej wykonalności decyzji wydawanych przez GIODO.Od 7 marca, kiedy to weszła w życie nowelizacja ustawy o ochronie danych osobowych, zgoda na przetwarzanie danych osobowych może być odwołana w każdej chwili, a przedsiębiorca musi taką decyzję klienta uwzględnić.Od 7 marca, kiedy to weszła w życie nowelizacja ustawy o ochronie danych osobowych, zgoda na przetwarzanie danych osobowych może być odwołana w każdej chwili, a przedsiębiorca musi taką decyzję klienta uwzględnić.
Po odwołaniu zgody nie wolno mu więc będzie wykorzystywać danych osobowych, chyba że zezwala mu na to konkretny przepis prawa albo gdy np. przetwarzanie danych jest niezbędne do rozliczenia umowy łączącej go z klientem. W przeciwnym razie dane osobowe będzie musiał usunąć.
Te podstawowe zasady dr Wojciech Rafał Wiewiórowski, Generalny Inspektor Ochrony Danych Osobowych (GIODO) przypomniał w czasie rozmowy z redaktorem Pawłem Blajerem z TVN CNBC Biznes, która poświęcona była wchodzącej w życie 7 marca 2011 r. nowelizacji ustawy o ochronie danych osobowych. Jedną z wprowadzonych nią zmian jest doprecyzowanie przepisu dotyczącego zgody na przetwarzanie danych osobowych poprzez dodanie sformułowania "zgoda może być odwołana w każdym czasie". Do tej pory zgodę na przetwarzanie danych osobowych też można było w każdej chwili wycofać, ale nie wynikało to wprost z przepisów ustawy o ochronie danych osobowych. - Wszyscy komentatorzy tych przepisów oraz przedstawiciele doktryny nie mieli wątpliwości, że jeżeli jedyną podstawą do przetwarzania danych osobowych jest zgoda ze strony osoby fizycznej, to można ją odwołać, tak jak każdą inną zgodę - wyjaśniał Wojciech Rafał Wiewiórowski. - Natomiast pojawiały się co do tego wątpliwości u tych, którzy byli zobowiązani do respektowania wycofania zgody. Stąd ten nowy przepis - mówił. Wskazywał przy tym, że nie jest to równoznaczne z tym, iż w każdej sytuacji klient może cofnąć zgodę na przetwarzanie swoich danych, a przedsiębiorca musi się do tego dostosować. - Podstawą do przetwarzania danych osobowych nie jest bowiem jedynie zgoda klienta - tłumaczył Wojciech Rafał Wiewiórowski. - Może nią być albo przepis ustawy, który na to zezwala, albo np. konieczność realizacji umowy, którą z tym klientem podpisaliśmy. Jeżeli jest to umowa czasowa, która nadal obowiązuje, to cały czas mamy prawo do identyfikowania osoby, z którą ją zawarliśmy. To dotyczy również sytuacji, kiedy umowa już, co prawda, nie obowiązuje, ale istnieje konieczność np. jej rozliczenia. Wówczas do czasu zakończenia tej operacji mamy możliwość przetwarzania tych danych, które są nam do tego potrzebne - dodał.GIODO będzie zabiegał o zagwarantowanie, by zawartość rejestrów medycznych i sposób dostępu do nich określone były w ustawach.GIODO będzie zabiegał o zagwarantowanie, by zawartość rejestrów medycznych i sposób dostępu do nich określone były w ustawach.
Taką obietnicę dr Wojciech Rafał Wiewiórowski, Generalny Inspektor Ochrony Danych Osobowych (GIODO) złożył na antenie Radia TOK FM podczas rozmowy z redaktor Anną Laszuk. Odbyła się ona w sejmowym studiu w dniu posiedzenia Komisji Zdrowia, w porządku obrad której znalazło się m.in. rozpatrzenie sprawozdania podkomisji nadzwyczajnej o rządowym projekcie ustawy o systemie informacji w ochronie zdrowia. Zdaniem dra Wojciecha Rafała Wiewiórowskiego, projektowane w tym zakresie rozwiązania są sprzeczne z Konstytucją RP, gdyż zakładają, że decyzje o tym, jakie dane są gromadzone, w którym rejestrze i w jaki sposób są one współdzielone pomiędzy różnymi podmiotami, które z tych rejestrów korzystają, będzie podejmował minister zdrowia poprzez wydanie odpowiednich rozporządzeń. GIODO zwraca zaś uwagę na to, że stanowi to naruszenie norm ustanowionych w art. 31 i art. 51 ustawy zasadniczej. Zgodnie bowiem z art. 31 Konstytucji RP, prawa i wolności obywatelskie mogą podlegać ograniczeniom tylko na drodze ustawowej, zaś art. 51 przesądza, że nikt nie może być zmuszony inaczej niż na podstawie ustawy do ujawnienia informacji o sobie, a zasady i tryb gromadzenia i udostępniania informacji może określać tylko ustawa. Tak powinno być również w przypadku centralnego systemu informacji w ochronie zdrowia, który będzie gromadził dane dotyczące m.in.: pacjentów, lekarzy, pielęgniarek, położnych, farmaceutów.
- Centralny system zbierający dane i umożliwiający dostęp do nich jest przydatny i Ministerstwu Zdrowia, i lekarzom, i pacjentom, gdyż usprawnia obsługę oraz umożliwia efektywniejszą kontrolę wydatkowania środków przeznaczonych na ochronę zdrowia - mówił dr Wojciech Rafał Wiewiórowski. Podkreślał, że są to cele, które zasługują na poparcie, natomiast powinny być zrealizowane w sposób zgodny z Konstytucją i zapewniający, że dane zgromadzone w takim systemie będą właściwie zabezpieczone.Obowiązek zgłoszenia zbioru do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (GIODO) ciąży na administratorze danych, czyli podmiocie decydującym o celach i środkach przetwarzania danych osobowych.Obowiązek zgłoszenia zbioru do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (GIODO) ciąży na administratorze danych, czyli podmiocie decydującym o celach i środkach przetwarzania danych osobowych..
Status administratora danych może przysługiwać zarówno podmiotom publicznym, jak i prywatnym. Administratorem danych może być organ państwowy, organ samorządu terytorialnego, państwowa i komunalna jednostka organizacyjna, a także podmiot niepubliczny realizujący zadania publiczne, osoba fizyczna, osoba prawna oraz jednostka organizacyjna niebędąca osobą prawną, jeżeli przetwarza dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych. Nie ma przy tym znaczenia fakt, czy podmiot ten samodzielnie przetwarza dane, czy też zlecił ich przetwarzanie innemu podmiotowi, w drodze umowy na podstawie art. 31 ustawy o ochronie danych osobowych.
Administratorem w sferze niepublicznej jest co do zasady podmiot (np. spółka prawa handlowego, spółdzielnia, przedsiębiorca prowadzący działalność gospodarczą jednoosobowo, stowarzyszenie, fundacja), a nie osoba lub osoby zarządzające tym podmiotem (np. dyrektor przedsiębiorstwa, prezes spółdzielni, zarząd spółki) lub też pracownik wykonujący czynności związane z ochroną danych osobowych (np. pełnomocnik zarządu ds. ochrony danych osobowych, administrator bezpieczeństwa informacji). Niemniej to osoby zarządzające danym podmiotem ponoszą odpowiedzialność za naruszenie przepisów o ochronie danych osobowych. Osoby te mogą być bowiem pociągnięte do odpowiedzialności karnej za przestępstwa określone w rozdziale ósmym ustawy o ochronie danych osobowych, jeżeli ich działaniom naruszającym przepisy ustawy, podejmowanym w związku z reprezentowaniem administratora danych można przypisać winę. Ponadto należy wskazać, że administratorem danych przetwarzanych w jednostce organizacyjnej osoby prawnej (np. oddziale spółki) jest co do zasady dana osoba prawna, a nie jej jednostka organizacyjna (oddział spółki).Generalny Inspektor Ochrony Danych Osobowych w swojej najnowszej sygnalizacji podkreslił, że na bankach - jako na administratorach danych - spoczywają określone obowiązki informacyjne.Generalny Inspektor Ochrony Danych Osobowych w swojej najnowszej sygnalizacji podkreslił, że na bankach - jako na administratorach danych - spoczywają określone obowiązki informacyjne.
Wynikają one z art. 33 ustawy, a ich niedopełnienie narusza przepisy ustawy. Stosownie bowiem do art. 33 ust. 1 ustawy, na wniosek osoby, której dane dotyczą, administrator danych jest obowiązany, w terminie 30 dni, poinformować o przysługujących jej prawach oraz udzielić, odnośnie jej danych osobowych, informacji, o których 2 mowa w art. 32 ust. 1 pkt 1 - 5a, a w szczególności podać w formie zrozumiałej: 1) jakie dane osobowe zawiera zbiór, 2) w jaki sposób zebrano dane, 3) w jakim celu i zakresie dane są przetwarzane, 4) w jakim zakresie oraz komu dane zostały udostępnione. Stosownie do ust. 2 ww. artykułu na wniosek osoby, której dane dotyczą, informacji, o których mowa w ust. 1, udziela się na piśmie. Komentowany przepis pozostaje w związku z art. 32 ustawy, który przewiduje, iż osoba, której dane dotyczą może ubiegać się u administratora jej danych osobowych o udzielenie określonych informacji. Zgodnie z ust. 1 wymienionego artykułu każdej osobie przysługuje prawo do kontroli przetwarzania danych, które jej dotyczą, zawartych w zbiorach danych, a zwłaszcza prawo do: 1) uzyskania wyczerpującej informacji, czy taki zbiór istnieje, oraz do ustalenia administratora danych, adresu jego siedziby i pełnej nazwy, a w przypadku gdy administratorem danych jest osoba fizyczna - jej miejsca zamieszkania oraz imienia i nazwiska, 2) uzyskania informacji o celu, zakresie i sposobie przetwarzania danych zawartych w takim zbiorze, 3) uzyskania informacji, od kiedy przetwarza się w zbiorze dane jej dotyczące, oraz podania w powszechnie zrozumiałej formie treści tych danych, 4) uzyskania informacji o źródle, z którego pochodzą dane jej dotyczące, chyba że administrator danych jest zobowiązany do zachowania w tym zakresie tajemnicy państwowej, służbowej lub zawodowej, 5) uzyskania informacji o sposobie udostępniania danych, a w szczególności informacji o odbiorcach lub kategoriach odbiorców, którym dane te są udostępniane.
Konsekwencją niewywiązania się z tych obowiązków może być odpowiedzialność karna na podstawie przepisów ustawy o ochronie danych osobowych, w tym w szczególności art. 54 ustawy. Zgodnie z cytowanymi przepisami, kto administrując zbiorem danych nie dopełnia obowiązku poinformowania osoby, której dane dotyczą, o jej prawach lub przekazania tej osobie informacji umożliwiających korzystanie z praw przyznanych jej w niniejszej ustawie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.Tylko popełnienie najcięższych przestępstw powinno uzasadniać wykorzystywanie tzw. danych retencyjnychTylko popełnienie najcięższych przestępstw powinno uzasadniać wykorzystywanie tzw. danych retencyjnych.
Taką opinię dr Wojciech Rafał Wiewiórowski, Generalny Inspektor Ochrony Danych Osobowych (GIODO) wyraził podczas konferencji prasowej, która z okazji obchodów Europejskiego Dnia Ochrony Danych Osobowych odbyła się 31 stycznia 2011 r. w Warszawie.
Retencja danych została wybrana jako temat przewodni polskich obchodów. Intencją GIODO było bowiem zainicjowanie dyskusji na temat sposobu wdrożenia do polskiego prawa tzw. dyrektywy retencyjnej, czyli dyrektywy 2006/24/WE Parlamentu Europejskiego i Rady z dnia 15 marca z 2006 r. w sprawie zatrzymywania przetwarzanych danych w związku ze świadczeniem publicznych usług łączności elektronicznej.
GIODO wyjaśniał, że dyrektywa ta powstała w związku z zamachami terrorystycznymi. Miała uporządkować kwestię gromadzenia i wykorzystywania danych na temat ruchu w sieci i doprowadzić do tego, by we wszystkich krajach unijnych obowiązywały zbliżone przepisy umożliwiające korzystanie z tych danych przez uprawnione służby na potrzeby zwalczania poważnych przestępstw.
- Nie mam jednak wątpliwości, że Polska wdrożyła dyrektywę retencyjną w sposób niezgodny z założeniem jej projektodawców. Regulacja, która w zamyśle miała ułatwić ściganie poważnych przestępstw, poprzez błędną implementację do polskiego porządku prawnego, umożliwia stałe śledzenie każdego z nas - mówił dr Wojciech Rafał Wiewiórowski.Dzień Ochrony Danych Osobowych został ustanowiony na dzień 28 stycznia przez Komitet Ministrów Rady Europy. Obchodzony jest w rocznicę sporządzenia Konwencji 108 Rady Europy z dnia 28 stycznia 1981 r. w sprawie ochrony osób w zakresie zautomatyzowanego przetwarzania danych osobowych.Dzień Ochrony Danych Osobowych został ustanowiony na dzień 28 stycznia przez Komitet Ministrów Rady Europy. Obchodzony jest w rocznicę sporządzenia Konwencji 108 Rady Europy z dnia 28 stycznia 1981 r. w sprawie ochrony osób w zakresie zautomatyzowanego przetwarzania danych osobowych. Konwencja ta, jest najstarszym aktem prawnym o zasięgu międzynarodowym, który reguluje zagadnienia związane z ochroną danych osobowych.
Uznając konieczność pogodzenia podstawowych wartości, takich jak poszanowanie prawa do prywatności i swobody przepływu informacji między ludźmi, Dzień Ochrony Danych Osobowych został ustanowiony dla podkreślenia wagi odpowiedniej ochrony danych zarówno w życiu prywatnym, jak i zawodowym każdego obywatela. Zamiarem Rady Europy było ponadto uwrażliwienie obywateli na ochronę danych, a także poinformowanie ich o przysługujących im prawach oraz o dobrych praktykach.
Dzień Ochrony Danych Osobowych ma zwrócić uwagę wszystkich obywateli państw Europy na kwestie związane z ochroną danych i przyczynić się do podniesienia poziomu wiedzy w tym zakresie. W tym dniu, w całej Europie odbywają się różnorodne spotkania, konferencje, warsztaty oraz inne imprezy towarzyszące, które są okazją do zdobycia wiedzy na temat ochrony danych osobowych, jak również umożliwiają wymianę poglądów między osobami zawodowo zajmującymi się ochroną danych.
Rada Europy promuje inicjatywy i zapewnia spójność działań organizowanych w ramach tego Dnia. Każde państwo i/lub instytucja krajowa lub międzynarodowa może uczestniczyć w obchodach. Polska włączyła się w organizację Dnia Ochrony Danych Osobowych w roku 2007 r. Podejmowane działania nie są finansowane ze środków Rady Europy.Politycy zbyt chętnie wykorzystują wszelkie zbiory danych osobowych, do których mają dostęp, na potrzeby agitacji wyborczej - alarmuje GIODOPolitycy zbyt chętnie wykorzystują wszelkie zbiory danych osobowych, do których mają dostęp, na potrzeby agitacji wyborczej - alarmuje GIODO
Dowiodła tego ostatnia samorządowa kampania wyborcza. Na jej potrzeby bez wiedzy i zgody zainteresowanych wykorzystano zbiory danych osobowych tworzone w zupełnie innych celach, takich jak np. wystawienie elektronicznej karty miejskiej czy edukacja dzieci i młodzieży. Pokusą były też listy kontaktów, które można pozyskać za pośrednictwem kont na portalach społecznościowych.
O nieprawidłowościach tych dr Wojciech Rafał Wiewiórowski, Generalny Inspektor Ochrony Danych Osobowych (GIODO) mówił podczas konferencji prasowej zorganizowanej 13 grudnia 2010 r. w Warszawie.
Zdaniem GIODO, najbardziej niepokojące jest to, że podczas samorządowej kampanii wyborczej zdarzały się przypadki wykorzystywania danych osobowych zebranych na potrzeby realizacji konkretnego zadania publicznego. Oznacza to, że takie dane nie powinny być przetwarzane w innych celach bez wiedzy i zgody osób, których one dotyczą. Może to natomiast świadczyć o zbyt słabych procedurach bezpieczeństwa stosowanych w przypadku tych zbiorów. Gdyby były one właściwe, nie powinno dojść do bezprawnego wykorzystania zgromadzonych danych. Dlatego dr Wojciech Rafał Wiewiórowski zapowiedział, że jego działania będą się skupiały na kwestii bezpieczeństwa danych, które zostały zebrane na potrzeby realizacji zadań publicznych.
Konferencja prasowa GIODO była ponadto okazją do przypomnienia obowiązków związanych z rejestracją zbiorów danych osobowych.
- Trzeba pamiętać, że znajdujące się w polskich przepisach prawa generalne wyłączenie mówiące o tym, że zbiory danych tworzone na podstawie przepisów dotyczących wyborów parlamentarnych czy samorządowych nie podlegają rejestracji przez GIODO. Dotyczy dokładnie tych zbiorów, które przygotowywane są dla samego procesu wyborczego, czyli list kandydatów, list wyborców i dokumentów dotyczących poszczególnych komitetów wyborczych - mówił dr Wojciech Rafał Wiewiórowski.
Zatem dane dotyczące wyborców powinny być pozyskiwane za ich wiedzą i zgodą, a zbiory tych danych powinny być zgłoszone do rejestracji GIODO. Tymczasem ostatnio do rejestracji GIODO zgłoszono zaledwie kilka zbiorów, które można uznać za zbiory danych wyborców. - To dowód na to, że politycy nie zdają sobie sprawy z tego, iż przy przygotowywaniu swoich kampanii wyborczych powinni stosować przepisy ustawy o ochronie danych osobowych - podsumował dr Wojciech Rafał Wiewiórowski.
Tematem konferencji zainteresowani byli liczni dziennikarze, którzy poprosili GIODO o szersze skomentowanie sprawy na potrzeby poszczególnych audycji.
Przepisy szczególne i unormowania zawarte w art. 23 i art. 27 ustawy o ochronie danych osobowych są wystarczającą podstawą umożliwiającą uzyskanie dostępu do danych osobowych.Przepisy szczególne i unormowania zawarte w art. 23 i art. 27 ustawy o ochronie danych osobowych są wystarczającą podstawą umożliwiającą uzyskanie dostępu do danych osobowych. Taką opinię dr Wojciech Rafał Wiewiórowski, Generalny Inspektor Ochrony Danych Osobowych (GIODO) wyraził w wywiadzie udzielonym redaktor Katarzynie Bielińskiej-Kuniszewskiej z czasopisma "IT w Administracji". Jak powiedział, po dokładnej analizie wszystkich uwarunkowań uznał, że art. 29 ustawy o ochronie danych osobowych regulujący udostępnianie danych osobowych w celach innych niż włączenie do zbioru to rozwiązanie zbędne, obowiązujące jedynie w Polsce. Jego usunięcie na mocy najnowszej nowelizacji wspomnianej ustawy jest zatem słuszne.
Podczas wywiadu GIODO wyjaśniał też, na jakich zasadach powinno odbywać się przetwarzanie danych osobowych w chmurze obliczeniowej, czy tzw. cloud computing. Jak podkreślał: - Sam cloud computing jest jedynie swoistym modelem biznesowym czy też zbiorem technik, który nie modyfikuje generalnych zasad przetwarzania danych osobowych, a najwyżej skłania do postawienia nowych pytań dotyczących interpretacji przepisów, które już istnieją. Przetwarzanie danych w chmurze jest, oczywiście, dopuszczalne. Istotne przy tym jest jednak to, jakie działania trzeba podjąć, żeby zachować wszystkie zasady ochrony danych osobowych, które wynikają z ustawy.
Wśród nich dr Wojciech Rafał Wiewiórowski wymienił rejestrację zbioru danych osobowych w GIODO i zawarcie z dostarczycielem chmury umowy powierzenia przetwarzania danych osobowych.Przepisy prawa umożliwiają bankom pozyskiwanie bardzo wielu informacji o swoich klientach i wymienianie się nimi. Zezwalają im na to m.in. przepisy szczególne wobec ustawy o ochronie danych osobowych, m.in. Prawa bankowego i wydanych na jego podstawie rozporządzeń czy ustawy o udostępnianiu informacji gospodarczych i wymianie danych gospodarczych...Przepisy prawa umożliwiają bankom pozyskiwanie bardzo wielu informacji o swoich klientach i wymienianie się nimi. Zezwalają im na to m.in. przepisy szczególne wobec ustawy o ochronie danych osobowych, m.in. Prawa bankowego i wydanych na jego podstawie rozporządzeń czy ustawy o udostępnianiu informacji gospodarczych i wymianie danych gospodarczych. Dzięki temu banki zbierają określone dane osobowe swoich klientów lub udostępniają je np. Biuru Informacji Kredytowej czy biurom informacji gospodarczych.
O tych podstawowych zasadach dotyczących przetwarzania danych osobowych przez banki dr Wojciech Rafał Wiewiórowski, Generalny Inspektor Ochrony Danych Osobowych (GIODO) mówił podczas wywiadu udzielonego redaktorowi Jakubowi Olszewskiemu realizującemu cykl audycji edukacyjnych "Ekonomia z ludzką twarzą", który jest emitowany w TVP INFO. Odcinek z udziałem GIODO był poświęcony, jak głosił jego tytuł, temu "Ile wiedzą o nas instytucje finansowe".
Pytany o to, jakie dane o swoich klientach mogą wykorzystywać banki, dr Wojciech Rafał Wiewiorowski mówił: - Tak jak w przypadku każdej innej operacji, która jest operacją rynkową, podmioty mają prawo identyfikować osobę, z którą zawierają umowę, jednak zakres danych, które mogą być gromadzone przez instytucje bankowe czy instytucje finansowe, za każdym razem musi być oceniany pod kątem adekwatności tych danych do celów, które mają być osiągnięte. Oznacza to, że bank, udzielając nam kredytu, nie może od nas żądać podania większej liczby danych niż ta, która jest niezbędna dla zawarcia umowy kredytowej. Ponadto GIODO wyjaśniał, jakie zasady obowiązują przy przekazywaniu posiadanych przez banki informacji o klientach i ich zobowiązaniach m.in. do BIK, BIG czy Systemu Bankowy Rejestr prowadzonego przez Związek Banków Polskich, który umożliwia wymianę informacji o klientach niewywiązujących się ze swych zobowiązań wobec banków.
W czasie wywiadu GIODO przypomniał, że zgodnie z przepisami Prawa bankowego, zarówno bank, jak i osoby w nim zatrudnione oraz osoby, za których pośrednictwem bank wykonuje czynności bankowe, są obowiązane zachować tajemnicę bankową, która obejmuje wszystkie informacje dotyczące czynności bankowej uzyskane w czasie negocjacji, zawierania i realizacji umowy. Także przypadki, w których bank jest z tej tajemnicy zwolniony zostały szczegółowo wskazane w powołanej ustawie.Komitet Ministrów Rady Europy przyjął nową rekomendację w sprawie tworzenia profili i ochrony danych, pierwszy dokument określający uzgodnione na forum międzynarodowym minimalne standardy ochrony prywatności, które mają być wdrożone poprzez ustawodawstwo krajowe i mechanizmy samoregulacji.Komitet Ministrów Rady Europy przyjął nową rekomendację w sprawie tworzenia profili i ochrony danych, pierwszy dokument określający uzgodnione na forum międzynarodowym minimalne standardy ochrony prywatności, które mają być wdrożone poprzez ustawodawstwo krajowe i mechanizmy samoregulacji. Tworzenie profili to technika polegająca na obserwowaniu, gromadzeniu i łączeniu danych osób w Internecie, co może być obecnie łatwo, szybko i niezauważalnie dokonywane przy wykorzystaniu nowych technologii komunikacyjnych. Techniki tworzenia profili mogą przynieść korzyści zarówno osobom fizycznym, jak i gospodarce i społeczeństwu, na przykład prowadząc do lepszej segmentacji rynku lub pozwalając na przeprowadzanie analiz zagrożeń i oszustw. Jednakże ich wykorzystanie bez podjęcia środków ostrożności i określonych zabezpieczeń mogłoby poważnie naruszyć godność ludzką poprzez nieuzasadnione pozbawienie osób fizycznych dostępu do określonych dóbr i usług.
Rekomendacja skierowana do wszystkich 47 państw członkowskich Rady Europy ma na celu:
. zapewnienie spójnych ram regulacyjnych, zapewniających właściwą równowagę między przedmiotowymi interesami, na przykład interesem banku w zakresie oceny zagrożeń kredytowych oraz interesem klienta w zakresie bycia poinformowanym o mającym miejsce tworzeniu profili, o jego celu i kryjącą się za nim logiką;
. zapewnienie skutecznej ochrony praw osób, których dane dotyczą, oraz rzetelnych procedur w sytuacjach, gdy przetwarzane są duże ilości danych, np. w przypadku wyszukiwań internetowych, wykorzystywania telefonów komórkowych czy też zapisywania zwyczajów konsumenta. Na przykład obserwowanie sekwencji stron odwiedzanych przez użytkownika w celu zwiększenia skuteczności kampanii reklamowej musi wiązać się z właściwym poinformowaniem danego użytkownika;
. unikanie podejmowania decyzji, dyskryminacji czy też napiętnowania w sposób zautomatyzowany, na podstawie profili. Co do zasady, osoby fizyczne powinny mieć możliwość wyrażenia sprzeciwu wobec każdej decyzji podjętej jedynie na podstawie tworzenia profili.
Poprzez tę rekomendację Rada Europy wzmacnia ochronę danych osobowych, co będzie także miało miejsce w związku z planowaną aktualizacją Konwencji o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych (Konwencji nr 108). Ministrowie Sprawiedliwości spotykający się dziś w Istambule podczas 30 Międzynarodowej Konferencji Ministrów Sprawiedliwości Rady Europy przyjmą rezolucję w sprawie ochrony danych i prywatności w trzecim tysiącleciu. Rezolucja ta ma na celu wsparcie prac nad uaktualnieniem Konwencji zainicjowanych przez Radę Europy.W dniu 26 listopada 2010 r. podczas 30 Konferencji Ministrów Sprawiedliwości Rady Europy, która miała miejsce w dniach 24-26 listopada w Turcji, przyjęto Rezolucję nr 3 w sprawie ochrony danych i prywatności w trzecim tysiącleciu.W dniu 26 listopada 2010 r. podczas 30 Konferencji Ministrów Sprawiedliwości Rady Europy, która miała miejsce w dniach 24-26 listopada w Turcji, przyjęto Rezolucję nr 3 w sprawie ochrony danych i prywatności w trzecim tysiącleciu. W Rezolucji Ministrowie m.in. wspierają uaktualnienie Konwencji 108 mające na celu znalezienie odpowiedzi na nowe wyzwania stawiane przez technologię i globalizację informacji, zagwarantowanie skutecznej ochrony praw człowieka i podstawowych wolności oraz możliwości wykonywania tych praw, w szczególności prawa do poszanowania życia prywatnego i rodzinnego podczas przetwarzania danych osobowych, a także egzekwowanie podstawowych zasad ochrony danych, w szczególności rozwiązanie problemów przejrzystości, naruszeń bezpieczeństwa danych, prawa właściwego i odpowiedzialności za wykorzystanie ICT.Zaufali nam
Kontakt
Kancelaria Prawnicza Lex Artist
Al. Jerozolimskie 42 lok. 32
00-024 Warszawa
Godziny otwarcia: pon-pt: 9-18
Telefon: (22) 253 28 18
Faks: (22) 244 27 49
Tel. kom: +48 604 774 754
e-mail: kancelaria@lex-artist.pl
gadu-gadu:32699349
skype:
lex.artist
Referencje
MB Motors Sp. z o.o.
Kancelaria Lex Artist przeprowadziła kompleksową usługę doradczo wdrożeniową z zakresu ochrony danych osobowych w MB Motors sp. z o.o. Jesteśmy zadowoleni z poziomu wykonania usługi, polecamy Lex Artist wszystkim administratorom danych osobowych!
MSWiA
Usługa została wykonana należycie, zarówno poziom merytoryczny i zaangażowanie trenera, jak i współpraca w zakresie organizacyjnym została oceniona wysoko. Przeprowadzone szkolenie pozwoliło na podniesienie kompetencji pracowaników MSWiA w zakresie stosowania przepisów o ochronie danych osobowych i zrealizowane zostało zgodnie z oczekiwaniami Zamawiającego...
Mindchili
Na decyzję o podjęciu stałej współpracy wpłynął wysoki poziom usług i profesjonalizm (...). Polecamy usługi świadczone przez Przemysława Zegarka także ze względu na bardzo dobry poziom obsługi klineta.
ORLEN Asfalt Sp. z o.o.
Cenimy sobie współpracę z Panem Przemysławem Zegarkiem i zamierzamy ją kontynuować.
SEAT Iberia Motor Company S.A
Pan Przemysław Zegarek, reprezentujący kancelarię prawnicza Lex Artist współpracował z naszą firmą, prowadząc szkolenie dla Administratora Bezpieczeństwa Informacji. Polecamy usługi świadczone przez kancelarię LA
Axperia business & private clients Sp. z o.o.
Oferta Lex Artist była atrakcyjna cenowo oraz gwarantowała równocześnie bardzo wysoki poziom świadczonych usług. Polecam firmę Lex Artist jako rzetelnego partnera, który za cel stawia sobie przede wszystkim dobro klienta
Urząd Gminy i Miasta Grójec
Szkolenia zostały przeprowadzone profesjonalnie, sprawnie i zgodnie z ustalonym terminem. Pan Przemysław Zegarek wykazał się wiedzą praktyczną oraz umiejętnością prostego przedstawiania zagadnień prawniczych co umożliwiło zrozumienie tematyki szkolenia
K2 Internet S.A.
Polecamy usługi świadczone przez Lex Artist także ze względu na umiejętność prostego i jasnego przedstawienia skomplikowanych zagadnień prawnych, co jest wśród prawników szczególnie cenne
Urząd Miasta i Gminy Lądek Zdrój
Szkolenie zostało przeprowadzone profesjonalnie i sprawnie, mimo dużej liczby uczestników (ok. 40 osób). Współpraca układała się pomyślnie, posiadane przez trenerów LA uprawnienia i wiedza zarówno teoretyczna, jak i praktyczna pozwoliły na skuteczne realizowanie zleconej usługi. Polecamy LA jako dobrego i sprawdzonego wykonawcę usług szkoleniowych z zakresu danych osobowych
Softex Data S.A.
Dzięki współpracy z Lex-Artist wprowadzono do produkowanych systemów informatycznych funkcjonalności, które zapewniają zgodność z postanowieniami ustawy o ochronie danych osobowych. Jesteśmy zadowoleni z poziomu usług świadczonych przez Lex Artist. Polecamy tę firmę!
Urząd Gminy Stara Błotnica
Pan Przemysław Zegarek dal się poznać jako profesjonalnie przygotowany wykładowca, każdy z uczestników szkolenia otrzymał bardzo dobrze przygotowane materiały szkoleniowe, jak również szeroko omówiony materiał szkoleniowy przedstawiany w formie pokazu slajdów. Pracownicy tut. Urzędu są zadowoleni z formy i treści prowadzenia szkolenia.
Polska Unia Właścicieli Nieruchomości
Polecamy usługi świadczone przez Pana Przemysława Zegarka, reprezentującego kancelarię Lex Artist, ze względu na szeroką wiedzę z zakresu uregulowań prawnych dotyczących ochrony danych osobowych, związanych z obsługą prawną nieruchomości oraz przystępny sposób przekazania wiedzy.
WorkWonders
Pan Przemysław Zegarek, reprezentujący kancelarię prawniczą Lex Artist, wykonał dla WorkWonders pełen audyt oraz wdrożył wymaganą przez ustawę o ochronie danych osobowych dokumentację. Do dnia dzisiejszego współpracujemy z Lex Artist, konsultując sprawy związane z ochroną danych osobowych...
Urząd Miejski w Ząbkowicach Śląskich
Kancelaria prawnicza "Lex Artist" współpracowała w okresie grudzień 2009 - marzec 2010 z Urzędem Miejskim w Ząbkowicach Śląskich w zakresie organizacji szkoleń dla pracowników administracji samorządowej. Doświadczenie wynikające ze współpracy z Kancelarią prawniczą "Lex Artist" pozwala nam stwierdzić, że jest firmą solidną i rzetelną...
1234567891011121314
Zobacz nasz blog
Zapraszamy do zapoznania się z artykułami tematycznymi z zakresu prawa ochrony danych osobowych, które publikujemy na łamach naszego firmowego bloga.
zobaczCopyright (c) 2010 Lex Artist