„Dana osobowa” to błąd językowy!

  

Dzisiaj po raz kolejny usłyszałem od osoby zawodowo zajmującej się prawem ochrony danych  osobowych określenie „dana osobowa”. Ponieważ ten zwrot mocno kaleczy moje uszy, w tym krótkim wpisie postaram wyjaśnić, dlaczego nie należy go używać.

Mój blog nie jest poświęcony kwestiom językowym, ale uważam, że poprawna polszczyzna to dobro wspólne, o które powinniśmy dbać. Tym bardziej, że w erze globalizacji oraz szybkiej i płytkiej komunikacji jest ona zagrożona jak nigdy przedtem.

Otóż słowo „dane” w języku polskim występuje tylko w liczbie mnogiej! Co za tym idzie, poprawny jest wyłącznie zwrot „dane osobowe”. W języku polskim nie ma żadnej pojedynczej „dany / danej osobowej”. Jak źle to brzmi, chyba każdy słyszy,

Czytaj dalej

Ustawa zapewniająca stosowanie RODO podpisana przez Prezydenta RP.

  

Dnia 3 kwietnia 2019 r. Prezydent RP, Andrzej Duda, podpisał ustawę wprowadzającą zmiany do szeregu ustaw w związku z zapewnieniem stosowania przepisów unijnego rozporządzenia o ochronie danych osobowych (RODO).

Celem ustawy jest harmonizacja przepisów krajowych ustaw z przepisami rozporządzenia i usunięcie stwierdzonych niezgodności. Zmianie ulega blisko 170 ustaw, regulujących działalność podmiotów z sektora publicznego i prywatnego.

Ustawa wejdzie w życie po upływie 14 dni od dnia ogłoszenia.

Dlaczego milion złotych kary? Mój komentarz.

  

W dniu 26 marca 2019 r. Prezes UODO poinformowała o nałożeniu pierwszej kary pieniężnej z RODO. Wysokość kary (220 tys. euro, czyli blisko 1 mln złotych) wzbudziła duże emocje i rozpoczęła ożywioną dyskusję, nie tylko wśród prawników od ochrony danych osobowych.

Za co spółka została ukarana?

Spółka pozyskała dane osobowe ponad 6 mln osób fizycznych ze źródeł publicznie dostępnych, m.in. z CEiDG, w celu ich przetwarzania dla celów komercyjnych. Wiadomość e-mail z klauzulą informacyjną RODO została przesłana tylko do tych osób, które ujawniły swój adres poczty elektronicznej. W odniesieniu do pozostałych osób (zdecydowanej większości), spółka uznała, że wystarczające będzie umieszczenie informacji na swojej stronie internetowej.

Część ekspertów wskazała na surowość orzeczonej przez Prezes UODO kary i niejednoznaczność w zakresie wykładni pojęcia „niewspółmiernie dużego wysiłku”. W konkretnych okolicznościach może on uzasadniać brak bezpośredniego przekazania klauzuli informacyjnej z RODO. Spółka uznała, że koszty wysyłki kilku milionów listów poleconych byłyby nieadekwatnie wysokie do spodziewanych korzyści biznesowych.

Nie jest moim celem opowiadanie się po którejkolwiek ze stron, ale próba wyjaśnienia, jakie okoliczności wpłynęły na orzeczenie kary w tej, a nie innej wysokości.

Czytaj dalej

Jak długo firma farmaceutyczna może przetwarzać dane osobowe ze zgłoszeń działań niepożądanych kosmetyków?

  

W kontekście RODO branża farmaceutyczna staje w obliczu ustalenia właściwych okresów przechowywania poszczególnych kategorii danych osobowych.

Specyficzną kategorią są dane pochodzące ze zgłoszeń działań niepożądanych. Obowiązek przyjmowania i weryfikacji takich zgłoszeń nie dotyczy wyłącznie produktów leczniczych, ale także wyrobów medycznych i produktów kosmetycznych.

Wraz z początkiem roku weszła w życie nowa ustawa z dnia 4 października 2018 r. o produktach kosmetycznych, która bardziej szczegółowo uregulowała kwestie związane z wykonywaniem przez firmy farmaceutyczne, producentów i dystrybutorów kosmetyków, obowiązków dot. działań niepożądanych tej właśnie kategorii produktów.

Czytaj dalej

Pierwsze kary pieniężne za naruszenia RODO

  

Kary pieniężne za przetwarzanie danych osobowych niezgodnie z przepisami RODO to już nie tylko teoria. Niektóre unijne organy nadzorcze wydały pierwsze decyzje skierowane przeciwko podmiotom, które uchybiły nowym standardom. I nie są to wcale niskie kwoty.

Portugalski organ nadzorczy nałożył niedawno karę na szpital w wysokości 400.000 EUR, czyli około 1,7 mln złotych za brak właściwej ochrony danych pacjentów. Uchybienia polegały m.in. na niestosowaniu odpowiednich środków organizacyjnych i technicznych w celu ograniczenia dostępu do tych danych wśród personelu szpitala. W efekcie tych zaniedbań, dostęp do danych pacjentów mogły uzyskiwać osoby nieuprawnione.

Organ ustalił również, że szpital nie dokonywał weryfikacji, czy konta byłych pracowników zostały usunięte z systemu informatycznego. Argument w postaci ograniczeń funkcjonalnych stosowanego oprogramowania został przez kontrolerów odrzucony.

Czytaj dalej

Nie twórz niepotrzebnej dokumentacji

  

W dniu 25 listopada 2018 r. upływa pół roku od rozpoczęcia stosowania przepisów unijnego rozporządzenia o ochronie danych osobowych. Z tej okazji na stronie internetowej Urzędu Ochrony Danych Osobowych, opublikowano oświadczenie Prezes Urzędu, dr Edyty Bielak-Jomaa.

Równolegle z oświadczeniem na stronie urzędu pojawiło się 10 wskazówek dla administratorów – jak stosować RODO, w oparciu o doświadczenia z pierwszego półrocza.

Z powyższymi komunikatami warto się zapoznać. Są one dostępne tutaj:

https://uodo.gov.pl/pl/171/576

https://uodo.gov.pl/pl/171/578

Jeden z punktów wykazu wskazówek dla administratorów nosi tytuł „Nie twórz niepotrzebnej dokumentacji”. Ponieważ w powyższym komunikacie został on omówiony głównie w kontekście zgód na przetwarzanie danych osobowych, warto rozwinąć ten temat.

Czytaj dalej

Zgoda w CV na przetwarzanie danych osobowych – potrzebna czy nie?

  

W dzisiejszym wpisie postaram się rozwiać wątpliwości pracodawców i kandydatów do pracy dotyczące umieszczania na dole CV formuły zgody na przetwarzanie danych osobowych w celu przeprowadzenia rekrutacji.

Osoby, które wysyłają swoje CV w związku z ogłoszeniami o pracę, z reguły zamieszczają pod swoim CV oświadczenie o zgodzie na przetwarzanie ich danych osobowych przez firmę, która prowadzi rekrutację na stanowisko, którym te osoby są zainteresowane.

Pojawia się pytanie, czy w świetle RODO jest to konieczne i jak powinien się zachować pracodawca, który otrzyma CV, w której takiej formułki nie ma. Czy jest on uprawniony przetwarzać dane osobowe kandydata i uwzględnić jego zgłoszenie na dalszych etapach procesu rekrutacji?

Czytaj dalej

Najważniejszy element systemu ochrony danych osobowych w każdej firmie

  

Przepisy RODO obowiązują od kilku miesięcy i wiele firm wprowadziło już zmiany związane z obowiązkiem należytej ochrony danych osobowych. Nawet jeżeli projekt pt. „Wdrożenie RODO”, można uznać za zakończony, to dopiero czas pokaże, czy wśród osób zarządzających firmami dokonała się zmiana mentalnościowa i czy nowe dokumenty oraz procedury sprawdzą się w bieżącej działalności ich biznesów.

Jak często podkreślam, ochrona danych osobowych to ciągły proces, który wymaga znajomości przepisów i sposobów obchodzenia się z danymi osobowymi przez każdą osobę, która ma dostęp do danych w związku z wykonywanymi zadaniami.

Czytaj dalej

Upoważnienie do przetwarzania danych osobowych

  

Zgodnie z RODO, każda osoba uzyskująca dostęp do danych osobowych w firmie powinna posiadać stosowne upoważnienie od administratora danych.

W treści upoważnienia należy określić komu jest udzielane i na jaki okres oraz opisywać zakres przedmiotowy upoważnienia, tj. jakie dane osobowe konkretny pracownik może na jego podstawie przetwarzać. Zakres upoważnienia powinien być adekwatny do zadań i czynności wykonywanych na rzecz pracodawcy, dlatego słuszną praktyką przy udzielaniu upoważnień jest odwołanie się do zakresu obowiązków danego pracownika.

Co istotne, zakresy upoważnień powinny się różnić w zależności od zajmowanego w firmie stanowiska. Przykładowo, księgowa czy pracownik działu kadr potrzebują innego dostępu do danych osobowych niż osoba zatrudniona w dziale marketingowym.

Czytaj dalej

Przetwarzanie danych osobowych ma być przejrzyste – tako „rzecze” RODO

  

W numerze 7-8 (260)/2018 magazynu Polish Market ukazał się mój nowy artykuł pt. „The Transparency of Data Processing in Line with GDPR”.

W artykule wyjaśniam sens zasady przejrzystości, stanowiącej jedną z najważniejszych zasad przetwarzania danych osobowych w świetle RODO. Wskazuję, w jaki sposób zasadę przejrzystości należy zachowywać w przypadku udostępnienia danych osobowych innemu podmiotowi. Ponieważ przetwarzanie danych osobowych w firmie to proces ciągły, sygnalizuję również, jak ważne jest zapewnienie przez administratora, aby aktualizował informacje o przetwarzaniu danych osobowych w przypadku zamiaru wprowadzenia istotnych zmian, np. rozpoczęcia przetwarzania danych w innym celu niż ten, w którym zostały one wcześniej zebrane.

Przypomnijmy, że zasada przejrzystości pozwala firmie zachować większą świadomość i kontrolę w obszarze przetwarzania danych osobowych, a jednym z najważniejszych dokumentów wewnętrznych, który ma służyć jej realizacji jest Rejestr czynności przetwarzania danych osobowych. Począwszy od dnia 25 maja 2018 r. obowiązek prowadzenia tego rejestru dotyczy zdecydowanej większość firm.

Zapraszam do lektury!