Odpowiedzi eksperta na najczęściej zadawane pytania związane z tematyką RODO.
Nasza firma realizuje usługi na podstawie przepisów prawa, czy powinienem uzyskać zgodę na przetwarzanie danych osobowych od naszych klientów?
Nie.
W takim przypadku firma powinna spełnić obowiązek informacyjny zgodnie z Artykułem 24 ust. 1 ustawy stanowiącym, iż w przypadku zbierania danych osobowych od osoby, której one dotyczą, administrator danych jest obowiązany poinformować tę osobę o:
- adresie swojej siedziby i pełnej nazwie, a w przypadku, gdy administratorem danych jest osoba fizyczna – o miejscu swojego zamieszkania oraz imieniu i nazwisku,
- celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych,
- prawie dostępu do treści swoich danych oraz ich poprawiania,
- dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej.
Poczta elektroniczna utrzymywana jest u zewnętrznego dostawcy. Zasady nakazują przekazywanie danych osobowych w zaszyfrowanych załącznikach, ale klienci czasami przesyłają dane osobowe w treści wiadomości pocztowej. Czy powinniśmy podpisać z firmą hostingową usługi poczty elektronicznej umowę powierzenia danych osobowych?
Tak.
Firma biorąca udział w zapewnieniu działania poczty elektronicznej przetwarza wasze dane osobowe w zakresie: przesyłania, składowania, archiwizowania, serwisowania i naprawy.
Co powinno się znaleźć w umowie powierzenia?
To zależy od typu zadań jakie ma realizować odbiorca danych. Typowy zakres umowy powinien zawierać:
– określenie stron administratora danych oraz firmy realizującej przetwarzanie,
– zasady dalszego powierzania,
– cel przetwarzania,
– miejsce przetwarzania (gospodarczy obszar UE),
– obowiązki firmy w zakresie ochrony danych,
– zasady zwrotu danych osobowych,
– informacje o typach danych przetwarzanych przez firmę,
– określenie czasu trwania umowy,
– zasady komunikacji,
– zasady zgłaszania incydentów,
– zasady realizacji kontroli i audytów,
– zasady przyznawania dostępu pracownikom firmy hostingującej,
– kary umowne.
Czy na publikacje wizerunku potrzebna jest zgoda jego właściciela?
Tak, ale nie zawsze.
Ustawa o ochronie danych osobowych ogólnie reguluje zasady legalności przetwarzania danych osobowych. Wskazanych jest pięć przypadków:
- zgoda właściciela,
- przepis prawa,
- umowa,
- przetwarzanie dla dobra publicznego,
- prawnie usprawiedliwiony cel.
Biorąc pod uwagę wyłącznie ustawę o ochronie danych osobowych potrzebujemy zgody właściciela.
Zwracając uwagę na inne przepisy uzyskujemy możliwość publikacji wizerunku, jeżeli przedstawiona osoba uzyskała zapłatę za pozowanie. (Art. 81 pkt 1 Ustawy o prawie autorskim) Nie musimy uzyskiwać zgody jeżeli fotografia przedstawia osobę powszechnie znaną, zdjęcie/film wykonano w związku z pełnieniem przez nią funkcji publicznej w szczególności politycznej, społecznej czy zawodowej. A także osoby stanowiące szczegół całości takiej jak zgromadzenie, krajobraz czy impreza publiczna.
Czy można przekazywać dane osobowe faxem?
Nie.
Korzystanie z FAXu niesie za sobą ryzyko wycieku danych osobowych poprzez podsłuchanie transmisji, brak możliwości rozliczalności źródła wiadomości oraz brak kontroli nad automatyczne wydrukowanym dokumentem.
Czy pracownicy firmy powinni podpisać zgodę na przetwarzanie danych osobowych?
Nie.
Legalność przetwarzania danych pracowników oraz osób, które starają się o pracę określona została w Art. 23. ( 3). Jest to konieczne do realizacji umowy gdy osoba, której dane dotyczą jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą. Ponieważ z pracownikami została podpisana umowa o pracę nie jest wymagane, aby dodatkowo zbierać zgody na przetwarzanie danych osobowych.
Czy na wezwanie jednostki nadrzędnej powinniśmy udostępnić dane osobowe?
Tak w przypadku, gdy jednostka nadrzędna posiada podstawę prawną dostępu do danych osobowych.
Czy wolno przekazywać dane osobowe przez telefon?
Oczywiście, jeżeli jesteśmy pewni kto jest przy drugiej słuchawce, oraz że jest do tej wiadomości uprawniony.
Czy mogę skorzystać z hostingu w Kanadzie? Na stronie ma być sklep internetowy.
Nie. Kanada nie należy do Europejskiego Obszaru Gospodarczego i korzystanie z takiego hostingu może być realizowane po uzyskaniu zgody GIODO (Art. 48.).
Czy Szwajcaria jest krajem trzecim w rozumieniu Art. 45 ?
Tak. Szwajcaria nie należy do Europejskiego Obszaru Gospodarczego i nie jest państwem członkowskim Unii Europejskiej.
Komisja stwierdziła jednak, że Szwajcaria zapewnia odpowiedni stopień ochrony danych osobowych: Decyzja Komisji 2000/518/WE z dnia 26 lipca 2000 r. na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady w sprawie właściwej ochrony danych osobowych w Szwajcarii (Dz.U. L 215 z 25.8.2000, s. 1.
Ale decyzja ta obowiązuje do 24 maja 2018. Po tej dacie przekazywanie danych osobowych do Szwajcarii musi się odbywać na podstawie RODO.
Czy kopie danych osobowych wynoszone do skrytki bankowej powinny być zaszyfrowane?
Tak. Dane w postaci elektronicznej opuszczające obszar przetwarzania powinny zostać zabezpieczone przed nieuprawnionym dostępem. Stosuje się w tym celu szyfrowanie danych.
Czy wygaszacz powinien być chroniony hasłem?
Nie jest to prawnie wymagane zabezpieczenie, ale biorąc pod uwagę ryzyko nieuprawnionego dostępu zalecamy stosowanie tego mechanizmu.
Czy dane firmy (podmiotu gospodarczego) to dane osobowe?
Nie, jeżeli zakres danych, który przetwarzamy jest taki sam jak w publicznym rejestrze CEiDG. W przypadku, gdy w firmie znajdują się dodatkowe dane takie jak: nazwiska pracowników, adresy do wysyłki, telefony pracowników, wzory podpisów, numery kont bankowych, adresy mailowe, informacje o zobowiązaniach, traktujemy takie informacje jak dane osobowe.