Kontakt

Jak możesz się z nami skontaktować?

Od poniedziałku do piątku, od 8:00 do 16:00 czekamy na wszelkie propozycje, uwagi, pytania i sugestie:

Michał Geilke

GSM: +48 783 384 378

e-mail: m.geilke@orleccy.pl

58 Comments

  1. Szymon

    Dzień dobry. czy prowadząc spółkę z o.o. – zatrudniając pracowników na umowę o pracę, wystawiając faktury VAT jestem zwolniony z rejestracji danych czy też nie? Z góry dziękuję za odpowiedź

    Reply
    1. Michał (Post author)

      Dzień dobry,

      W przypadku danych Pracowników- zbioru takiego nie rejestruje się jeżeli to są pracownicy spółki. Odnośnie klientów i faktur Vat, odpowiedz nie jest jednoznaczna i opisana sytuacja wymaga doprecyzowania.
      Podstawowym pytaniem będzie, kto otrzymuje Fakturę- osoba fizyczna? osoba fizyczna prowadząca działalność gospodarczą? Tylko spółki posiadające osobowość prawną?

      Pozdrawiam,

      Reply
  2. Agnieszka

    Dzień dobry,
    pracuje w Starostwie Powiatowym, w którym wyznaczony jest ADO (Starosta) oraz ABI. W starostwie znajdują się również jednostki organizacyjne m.in. PODGIK (Powiatowy Ośrodek Dokumentacji Geodezyjnej i Kartograficznej). PODGIK prowadzi zbiór danych jakim jest EGIB (ewidencja gruntów i budynków). Wiem już, że ADO tego zbioru jest starosta. Zastanawiam się teraz nad tym czy PODGIK może wyznaczyć swojego ADO i ABI, którzy będą prowadzić pozostałe zbiory. Czy raczej będzie to tylko np. lokalny ABI starosty, który będzie prowadził wszystkie zbiory PODGIK razem z EGIB? Rozumiem, że lokalny ABI nie będzie w tym wypadku zgłoszony do GIODO.

    Z poważaniem,
    Agnieszka

    Reply
    1. Michał (Post author)

      Dzień dobry,

      zanim odpowiem na Pani pytanie muszę wskazać tutaj jeden błąd – nie można wyznaczyć ADO. Organ, jednostka organizacyjna, podmiot lub osoba, o której mowa w art. 3 UODO decydująca o celach i środkach przetwarzania danych osobowych staje się automatycznie ADO jeżeli przetwarza dane osobowe w innym celu niż osobisty, domowy i jest to związane z jej działalnością zarobkową, zawodową lub służy do realizacji celów statutowych.

      Wyznaczenie ABI natomiast może wyglądać w sposób jaki Pani opisuje, np. lokalny ABI może być jego zastępcą w rozumieniu art. 36 a ust 6 UODO – „Administrator danych może powołać zastępców administratora bezpieczeństwa
      informacji, którzy spełniają warunki określone w ust. 5.”

      Pozdrawiam,

      Reply
  3. Agnieszka

    Dzień dobry,

    Jestem w trakcie pisania polityki bezpieczeństwa. Jednym z jej elementów jest wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych.

    Czy ma to być wykaz zawierający wszystkie zbiory danych jakie są w firmie?
    Myli mnie „ze wskazaniem programów zastosowanych do przetwarzania tych danych”. Tak jakby była mowa tylko o zbiorach danych prowadzonych na komputerze.

    Czy mają być to tylko zbiory danych, które należałoby zgłosić do GIODO (ale np. nie zgłosi się ich bo wyznaczy się ABI i będą wpisane w jawnym rejestrze)

    Reply
    1. Michał (Post author)

      Dzień dobry,

      Tak, musi Pani zidentyfikować wszystkie zbiory danych i posiadać ich wykaz. Proszę pamiętać, że zgodnie z definicją zbioru danych może on być w kilku miejscach i rożnych formach przetwarzania- liczą się kryteria wyboru.

      Przykładowo- „Zbiór danych przetwarzanych w związku z zatrudnienie”- składa się np. z Akt Osobowych (wersja papierowa) i np. z systemu informatycznego „Kadry Płace”, a jest to jeden zbiór w rozumieniu UODO.

      Dopiero następnym krokiem powinna być ocena (w zależności posiadam ABI/nie posiadam ABI) które zbiory się rejestruje które ewentualnie wpisuje się do wykazu jawnego prowadzonego przez ABI.

      Pozdrawiam,

      Reply
      1. Agnieszka

        Bardzo dziękuję za wszystkie odpowiedzi jakie udzielacie, nie tylko na moje pytania.

        Reply
  4. Marlena Galas

    Lena,
    Witam
    W związku z wykonanym sprawdzeniem sporządziłam notatkę, zebrałam wyjąśnienia od osób u których były nieprawidłowości związane np. z polityką czystych biurek i nie jestem pewna co dalej?
    1.Czy przekazuje te wszystkie dokumenty do ADO i co dalej on powinien zrobić?

    2. Czy ABI powinien w sprawozdaniu ując podjęte działania np:
    że pouczono osoby o zapisach które powinny przestrzegać wynikające z Polityki Bezpieczeństwa, czy taka informacja powinna być w formie pisemnej dla każdej osoby podpisana przez ABI dołączona do sprawdzenia i przekazana do ADO?
    Bardzo proszę o podpowiedz co po sprawdzeniu należy zrobić. Jakie działania powinien wykonać ABI, a co ADO ?

    Reply
    1. Michał (Post author)

      Dzień dobry,

      w tym przypadku należy oprzeć się w szczególności o ROZPORZĄDZENIE MINISTRA ADMINISTRACJI I CYFRYZACJI z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji.

      Zgodnie z § 6 ust. 1 po zakończeniu sprawdzenia administrator bezpieczeństwa informacji przygotowuje sprawozdanie i zgodnie z § 6 ust. 3 Administrator bezpieczeństwa informacji przekazuje administratorowi danych sprawozdanie w odpowiednim terminie. Materiały są sporządzane w postaci papierowej lub w postaci elektronicznej.

      Sprawozdanie dla ADO powinno być kompletne i w przypadku naruszeń zgodnie z § 8 powinno zawierać wskazanie osoby odpowiedzialnej za naruszenie zasad ochrony danych oraz jego zakres.

      Działania jakie należy wykonać są jasne- mają doprowadzić do stanu zgodnego z przepisami UODO (np. przedstawienie ADO do wdrożenia projektów dokumentów usuwających niezgodności) i innymi szczegółowymi odnoszącymi się do danej kategorii danych osobowych- np. Kodeks Pracy.

      Pozdrawiam,

      Michał Geilke

      Reply
  5. G

    Dzień dobry,

    Mam pytanie odnośnie jednego ze zbioru danych. W jednostce (ośrodku dokumentacji geodezyjnej i kartograficznej), w której jestem geodeci składają zgłoszenia robót geodezyjnych, na których wpisują swoje dane i m.in. swój numer telefonu, albo e-mail do kontaktu. Składanie tych zgłoszeń wiąże się z realizacją zadań wynikających z ustawy (prawo geodezyjne i kartograficzne). Gdy wynikają pewne niezgodności w trakcie sprawdzania dokumentacji będącej później przy zgłoszeniu informujemy geodetę za pomocą sms (przez skype) o usterce. Te działanie nie wynika z ustawy prawo geodezyjne i kartograficzne. Jest to wygodne dla geodetów, których dokumenty nie leżą, mogą być jak najszybciej przez nich poprawione.
    Czy zbiór danych jaki mamy w programie skype (numery telefonu z imionami i nazwiskami lub nazwą firmy), jest zbiorem, który powinien znaleźć się w wykazie zbiorów do polityki bezpieczeństwa. Czy powinniśmy mieć od geodetów upoważnienia, aby móc kontaktować się z nimi w taki sposób? Przypominam, że numery telefonów pozyskujemy z ich zgłoszeń, które sami składają. Sprawa, o której informujemy w sms również jest z tym zgłoszeniem związana.
    Z góry dziękuje za odpowiedź.

    Reply
    1. Michał (Post author)

      Dzień dobry,

      dzień dobry jeśli są to dane kontaktowe służbowe, co do zasady przepisy UODO nie mają do nich zastosowania. Raczej na pewno jest to element zbioru związanego z geodetami, np. roboty geodezyjne. Nie jest to osobny zbiór.

      „Czy powinniśmy mieć od geodetów upoważnienia, aby móc kontaktować się z nimi w taki sposób?” -Moim zdaniem nie ma podstaw do żadnych upoważnień – podstawą przetwarzania są przepisy dotyczące zgłoszeń robót geodezyjnych.

      Pozdrawiam,

      Reply
  6. Agnieszka

    Dzień dobry,

    Wiem, że nie jest problemem udostępnianie danych własnych pracowników (imię, nazwisko, telefon i mail służbowy) na stronie internetowej firmy, w której oni pracują. Jeżeli jednak sytuacja wygląda inaczej.

    Czy jakaś instytucja może umieszczać dane na własnej stronie (imię, nazwisko, adres e-mail i telefon służbowy)pracowników pracujących w innych instytucjach?

    Urząd realizując swoje zadania musi przeprowadzać konsultacje z różnymi instytucjami. Instytucje wyznaczają swoich pracowników do tego celu(dając im upoważnienia, do reprezentowania ich w Urzędzie podczas konsultacji.

    Urząd dodatkowo udostępnia dane tych pracowników (imię, nazwisko, telefon i mail służbowy) na swojej stronie internetowej. Dzięki temu dodatkowa osoba zewnętrzna zainteresowana może wiedzieć dokładnie z kim kontaktować się w danej sprawie. Mogłaby znaleźć dane tej osoby na stronie instytucji, w której pracuje jednak ta sytuacja ułatwia sprawę. I zainteresowany trafia bezpośrednio do kompetentnej osoby.
    Czy konieczne jest w takim wypadku upoważnienie od osoby, której dane dotyczą?
    Z poważaniem,
    Agnieszka

    Reply
    1. Michał (Post author)

      Dzień dobry,

      Co do zasady listy kontaktów osobistych traktowane są jako zbiory danych prowadzone w celach osobistych lub domowych. Przepisy ustawy o ochronie danych osobowych nie mają do nich zastosowania. W przypadku służbowych danych liczy się głównie fakt czy ujawnienie przez pracodawcę nazwiska (imienia i danych służbowych kontaktowych) pracownika bez jego zgody/wiedzy jest usprawiedliwione zadaniami i obowiązkami pracodawcy związanymi z prowadzeniem zakładu i nie narusza praw oraz wolności pracownika.

      Pozdrawiam,

      Reply
  7. Grażyna

    Dzień dobry.
    Biuro rachunkowe przetwarza dane osobowe powierzone. Są to -nie swoje – zbiory kontrahentów, pracowników. Czy biuro ma je zamieścić szczegółowo w swoim rejestrze zbiorów z adnotacją, ze są powierzone? Czy wystarczy, że są umowy powierzenia zgodne z Ustawą odo, a powinien wyszczególnić je tylko ich Administrator-klient biura rachunkowego?

    Reply
    1. Michał (Post author)

      Dzień dobry,

      Politykę która ma zawierać wykaz zbiorów danych osobowych wdraża administrator danych. Jednak posiadanie dokumentacji Polityki Bezpieczeństwa dotyczy również Państwa biura -art. 31 ust 3:

      „3. Podmiot, o którym mowa w ust. 1, jest obowiązany przed rozpoczęciem przetwarzania danych
      podjąć środki zabezpieczające zbiór danych, o których mowa w art. 36-39, oraz spełnić wymagania
      określone w przepisach, o których mowa w art. 39a.
      W zakresie przestrzegania tych przepisów
      podmiot ponosi odpowiedzialność jak administrator danych.”

      Zapis o zbiorach brzmi – „Polityka bezpieczeństwa, o której mowa w § 3 ust. 1, zawiera w szczególności: 2) wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych;”

      Nie jest wskazane których zbiorów, czy moich czy powierzonych. Ja osobiście wskazuje zbiory powierzone przez inne podmioty z adnotacją że nie jestem ich ADO, a jedynie podmiotem przetwarzającym na podstawie umowy powierzenia.

      Pozdrawiam,

      Reply
  8. M

    Dzień dobry,
    Prowadzę agencję pracy i przeprowadzam testy psychologiczne pod kątem kompetencji i predyspozycji do wykonywania danego zawodu (np. kierowca, operator wózka, pilot, etc.). Czy informacje dotyczące cech osobowości i posiadanych kompetencji – są przesłanką do informacji o stanie zdrowia? Czy powinny być zarejestrowane jako zbiór danych wrażliwych?

    Reply
    1. Michał (Post author)

      Dzień dobry,

      To czy zbiór zawiera dane wrażliwe czy nie jest tylko JEDNĄ z 12 przesłanek do nie rejestrowania zbioru danych (+ art. 1a dotyczący podmiotów które wyznaczyły ABI). Zbiór Państwa agencji należy zarejestrować, nawet jeśli by nie zawierał danych wrażliwych ( w przepadku braku ABI).
      Niestety mam za mało informacji aby ocenić czy przetwarza Pani stan zdrowia kandydatów do pracy, ale obawiam się że raczej na pewno „przewinie się” jakiś dokument który będzie stanowił dane wrażliwe.

      Pozdrawiam,

      Reply
  9. Mirosław

    Witam

    Świadczę usługi jako firma zewnętrzna dla jednej ze Spółek, będącej oddziałem dużej firmy (Centrali).
    W Centrali powołano ABI a w spółkach zastępców ABI.
    Nie będąc pracownikiem ani Centrali ani Spółki czy mogę pełnić funkcję zastępcy ABI w Spółce ?
    Nadmieniam, że nie mam żadnego przygotowania aby pełnić tą funkcję.
    Otrzymałem jedynie wytyczne związane z tą funkcją do realizacji.

    Pozdrawiam.

    Reply
    1. Michał (Post author)

      Dzień dobry,

      Tak naprawdę zgodnie z UODO zastępca ABI-ego w rozumieniu art. 36a ust. 6 UODO musi spełniać jedynie warunki opisane w ust. 5 tego samego art.:
      „5. Administratorem bezpieczeństwa informacji może być osoba, która:
      1) ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych;
      2) posiada odpowiednią wiedzę w zakresie ochrony danych osobowych;
      3) nie była karana za umyślne przestępstwo.”

      Musi więc Pan mieć „…odpowiednią wiedzę w zakresie ochrony danych osobowych;” do bycia zastępcą.

      Pozdrawiam,
      Michał Geilke

      Reply
  10. Grażyna

    Zbliża się dzień 18.05.2016, kiedy to wchodzi w życie nowelizacja Ustawy o swobodzie działalności gospodarczej i art. 39b:
    „Art. 39b. Do jawnych danych i informacji udostępnianych przez CEIDG nie stosuje się przepisów ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych z wyjątkiem przepisów art. 14–19a i art. 21–22a oraz rozdziału 5 tej ustawy.”
    Trzeba będzie w firmie zmienić dokumentację, wykreślić z rejestru zbiorów zbiór z kontrahentami-osobami fizycznymi, zlikwidować klauzulę informacyjną wobec tych osób fizycznych, zlikwidować upoważnienia do zbiorów z tego rodzaju danymi.
    O czym jeszcze trzeba będzie pomyśleć ?

    Reply
    1. Michał (Post author)

      Dzień dobry,

      Zmiany w ustawie o swobodzie działalności gospodarczej powinny skutkować jedynie rezygnacją z dopełnienia obowiązków innych niż określone w rozdziale 5 ustawy (art. 36 – 39a), np. zbiory nie będą podlegały rejestracji. Należy także pamiętać, że dotyczy to tylko takich dnaych przedsiębiorców, które są dostępne w jawnym CEIDG.

      Pozdrawiam,

      Reply
  11. Renata

    Witam.
    Będę otwierała sklep internetowy i sama go prowadziła. Klienci będą podawali dane , które bedą wykorzystane do wysyłania towaru i podawania kurierowi do wysyłki , do wystawienia faktury czy rachunku. Ale w takich sklepach jest możliwość reklamacji i zwrotu towaru.
    Czy w tym przypadku muszę zgłaszać dane do GIODO?
    Renata

    Reply
    1. Michał (Post author)

      Dzień dobry,

      Tak, należy taki zbiór zgłosić. Jest to podyktowane faktem wykorzystywania danych osobowych klientów nie tylko w celu wystawienia faktury. Można by było tego uniknąć powołując ABI (jeśli klienci nie zostawiają danych wrażliwych), ale osobiście (jeśli Pani działalność jest mała) nie widziałbym w tym sensu.

      Rejestracja zbioru to „nic strasznego” i trudnego.

      Pozdrawia,
      Michał Geilke

      Reply
      1. Renata

        Odnośnie sklepu internetowego. W ustawie zwolnienie z obowiązku rejestracji danych osobowych jeśli wystawiamy faktury czy rachunki lub do prowadzenia sprawozdawczości finansowej. Jak to sie odnosi do takiej działalności.
        Renata

        Reply
  12. Renata

    Witam. Jak ochrona danych odnosi się w przypadku sklepu internetowego , jeśli dane te potrzebne nam są do wystawienia faktury,rachunku czy prowadzenia sprawozdawczości internetowej. Czy w tym wypadku nie musze być zwolniona z rejestracji ?

    Reply
    1. Michał (Post author)

      Dzień dobry,

      proszę zwrócić uwagę na słowo WYŁĄCZNIE w podstawie zwolnienia. Dane klientów sklepów internetowych bardzo często są wykorzystywane w innych celach- informowanie klientów o działaniach marketingowych i ofertach oraz aktualnościach, zwroty, umożliwienie dokonywania sprzedaży wysyłkowej na wskazane przez klientów adresy (które nie zawsze są tymi samymi co do wystawienia faktury).

      Pozdrawiam,
      Michał Geilke

      Reply
  13. Teresa

    Witam, prowadzę sklep internetowy co wiąże się z powierzeniem danych osobowych moich klientów firmie która obsługuje serwer na którym jest umiejscowiony sklep. Wysłałam do tej firmy projekt umowy powierzenia przetwarzania danych
    ( formularz, który znalazłam na internecie ) ale już na początku tej umowy sie różnimy co do Dzienników Ustaw:
    1. Ja – Dz. U. 2016 poz.922 / firma – Dz. U. 2002 poz. 926 nr.101
    2.czy jako administrator danych mam prawo ustalić miejsce jeśli chodzi i rozpatrywanie sporów to – sąd właściwy zw względu na siedzibę zleceniodawcy / firma – miejsce , siedziba ich firmy. ( inna miejscowość )
    Prosze o pomoc w ustaleniu warunków umowy pod względem ustawy oraz prawidłowości jej zapisów.
    Pozdrawiam
    Teresa

    Reply
    1. Tomasz Cygan

      dzień dobry,

      1. aktualny Dziennik Ustaw to 2016.922.

      2. tak.

      z poważaniem,

      Tomasz Cygan

      Reply
  14. Ewa

    Dzień dobry,
    Mam pytanie związane z wypełnieniem formularza zgłoszenia zbiorów danych osobowych do GIODO. Fundacja, w której pracuję ma dwie siedziby. Jedną, na która Fundacja jest zarejestrowana, i drugą gdzie są prowadzone działania statutowe i gdzie są przetwarzane dane osobowe. Dodam, że w pierwszej siedzibie żadne dane nie są przetwarzane ( Fundator użyczył kawałek swojego mieszkania na siedzibę Fundacji). W formularzu zgłoszenia danych do GIODO trzeba podać adres. Pytanie jaki adres powinnam wpisać w formularz ? Oficjalnej siedziby Fundacji wedle tego co widnieje w KRS czy siedziby Fundacji gdzie prowadzone są działania statutowe ( i przetwarza się dane)? Będę bardzo wdzięczna za podpowiedź w tej sprawie. Pozdrawiam.

    Reply
    1. Michał (Post author)

      Dzień dobry,

      należy wpisać dane Fundacji (nazwa administratora danych i adres jego siedziby). Następnie w części E 15 należy zaznaczyć, że zbiory danych są przewietrzane w architekturze rozproszonej.

      Pozdrawiam,
      Michał Geilke

      Reply
      1. Ewa

        Bardzo dziękuję za informację.
        Pozdrawiam:)

        Reply
  15. Sławek

    Witam,
    mam pytanie: czy data zatrudnienia konkretnej osoby w firmie podlega ochronie danych osobowych? Jeśli tak, jak wygląda sytuacja, w której osoba pracuje w korpusie służby cywilnej i każdy ma prawo wystąpić z zapytaniem do urzędu z udostępnieniem „pewnych”, nie podlegających ochronie danych osobowych?

    Reply
    1. Tomasz Cygan

      dzień dobry,

      pierwszeństwo przed ustawą o ochronie danych osobowych mają przepisy o dostępie do informacji publicznej, o ile oczywiście chodzi o informację o sprawach publicznych. natomiast prawo do informacji publicznej nie może naruszać prywatności osoby fizycznej.

      z poważaniem,

      Tomasz Cygan

      Reply
  16. marta

    Dzień dobry, mam pytanie:
    W organizacji pozarządowej ABI został powołany w kwietniu, ale:
    1. dotąd nie został zgłoszony do GIODO, bo się uczył w tym temacie
    2. a ponieważ się uczył, to do tej pory od końca tamtego roku nie były zgłaszane bazy. Czy jest możliwe, aby teraz zgłosić ABI i zaległe bazy do GIODO bez ponoszenia kary przez niego i pracodawcę?

    Reply
    1. Tomasz Cygan

      dzień dobry,

      tak, jest możliwe, ale proszę pamiętać, że nie wszystkie zbiory należy zgłosić do GIODO.

      z poważaniem,

      Tomasz Cygan

      Reply
      1. marta

        Dziękuję i pozdrawiam!

        Reply
  17. Ewa

    Dzień dobry,
    Chciałabym poprosić o pomoc w rozstrzygnięciu wątpliwości, która mnie nurtuje.Chodzi o kwestię rekrutacji nowych pracowników/pracowniczek do firmy. Rozumiem,że osoby, które zajmują się rekrutacja kandydatów i kandydatek do pracy powinny mieć do tego upoważnienie. Moje wahanie budzi tymczasowość takiego zbioru. Rozumiem (być może błędnie, więc jeśli tak, to proszę mnie skorygować), że upoważnienie jest do określonego zbioru danych „np. kandydaci/kandydatki do pracy”. Z drugiej strony po skończonej rekrutacji zgłoszenia osób, które nie zostały zatrudnione zostają zniszczone/skasowane, więc de facto taki zbiór danych nie istnieje albo istnieje tylko przez okres rekrutacji. Co z tym w takim razie zrobić? Jak powinien wyglądać zakres upoważnienia do takiego zbioru ? Czy trzeba w jakiś sposób ująć jego tymczasowość? Będę wdzięczna za odpowiedź w tej sprawie.

    Reply
    1. Tomasz Cygan

      dzień dobry,

      jeśli stanowi to oddzielny zbiór, to wystarczy w upoważnieniu wpisać, że obejmuje ono swoim zakresem przetwarzanie danych osobowych w zbiorze „np. kandydaci/kandydatki do pracy”. Samej tymczasowości tego zbioru nie trzeba ujmować w upoważnieniu.

      z poważaniem,
      Tomasz Cygan

      Reply
      1. Ewa

        Dziękuję bardzo za pomoc. Pozdrawiam.

        Reply
  18. Aurelia

    Dzień dobry
    Czy przedszkole musi być zgłoszone do GIODO ? Jeśli tak, proszę o wskazanie danych , które przedszkole musi zgłosić do GIODO

    Reply
    1. Tomasz Cygan

      Dzień dobry,

      Przedszkole nie musi być zgłoszone, ale zbiory danych osobowych, których administratorem danych jest przedszkole już tak. wyjątki od tej zasady określa art. 43 ustawy o ochronie danych osobowych. Proponuję sprawdzić w zakładce e-giodo na stronie http://www.giodo.gov.pl, jakie zbiory zostały zgłoszone przez przedszkola. Proszę także pamiętać, że przede wszystkim przedszkole powinno chronić dane osobowe.

      z poważaniem,

      Tomasz Cygan

      Reply
  19. ela

    Czy spółdzielnie jednobudynkowe mieszkaniowe muszą sporzadząć takie sprawozdanie ?

    Reply
    1. Tomasz Cygan

      dzień dobry,

      jeśli przetwarzają dane osobowe i wyznaczyły i zgłosiły do rejestracji ABI-ego, to niestety muszą.

      z poważaniem,

      Tomasz Cygan

      Reply
  20. Tomek K

    Dzień Dobry!

    Chciałem zapytać gdzie można nabyć Panów publikacje… Google ich nie znalazł.
    Pozdrowienia.

    Reply
    1. Tomasz Cygan

      dzień dobry,

      proszę sprawdzić tutaj: http://www.presscom.pl

      z poważaniem,
      Tomasz Cygan

      Reply
  21. Wiesława Rybicka

    Czy w Stacji Pogotowia Ratunkowego, gdzie udzielane są świadczenia zdrowotne i w obliczu danych sensytywnych jest obowiązek wyznaczenia ABI i ASI? Czy wystarczy tylko inspektor ochrony danych osobowych?
    Wiesia

    Reply
    1. Tomasz Cygan

      dzień dobry,

      póki co nie ma obowiązku wyznaczania ABI ani ASI. od 25 maja 2018 roku będzie obowiązek wyznaczenia inspektora ochrony danych w przypadku przetwarzania danych osobowych wrażliwych na wielką skalę.

      z poważaniem,

      Tomasz Cygan

      Reply
  22. Ewa

    Dzień dobry, Nasze stowarzyszenie prowadzi gabinety psychologiczne w ramach projektu z UE dla osób z trudnościami społecznymi. Część beneficjentów przyjmujemy w gabinetach w biurze stowarzyszenia, a część na tzw ” mieście”. Zwykle są to pokoje udostępnione jako gabinet psychologiczny przez instytucje i inne stowarzyszenia z nami współpracujące.Nasi psychologowie przyjmując beneficjentów- zawsze wypełniają tzw „kartę pacjenta” wraz ze zgodą danej osoby na przetwarzanie danych i po skończonym dyżurze „na mieście” w tym samym dniu przywożą oryginały dokumentów do siedziby stowarzyszenia gdzie są odpowiednio zabezpieczone (szafa metalowa zamykana na klucz). Moje pytanie brzmi- w jaki sposób to świadczenie pomocy psychologicznej „na mieście” powinno być opisane w Polityce Bezpieczeństwa? W praktyce to wygląda tak, że oryginały dokumentów zawierających dane osobowe są transportowane w nieprzezroczystych teczkach z zachowaniem odpowiedniej staranności. Czy powinniśmy jakoś uwzględnić te miejsca „na mieście” w rozdziale o obszarze gdzie przetwarzane są dane osobowe ? Jeśli tak, to jak szczegółowo powinny zostać opisane? Czy możemy również jeszcze jakoś dodatkowo zabezpieczyć przewożone do biura dane ? Będę bardzo wdzięczna za podpowiedź w tej sprawie. Szukałam w internecie czy są jakieś rozwiązanie dla takich sytuacji, ale nie udało mi się nic takiego znaleźć. Pozdrawiam.

    Reply
    1. Tomasz Cygan

      dzień dobry,

      najprościej byłoby opisać, obok zasad bezpieczeństwa w obszarze przetwarzania danych, zasady bezpieczeństwa poza obszarem. Można to zrobić w tej części polityki, która dotyczy stosowanych środków albo jako osobną procedurę. co do dodatkowych zabezpieczeń, na pewno postawiłbym na edukacje i budowanie świadomości, bo środki bezpieczeństwa już Państwo macie (choćby nieprzezroczyste teczki).

      z poważaniem,

      Tomasz Cygan

      Reply
      1. Ewa

        Bardzo dziękuję za pomoc.
        Pozdrawiam

        Reply
  23. Grażyna

    Dzień dobry.
    Od 1.01.2017 obowiązuje ustawa „Za życiem”. Będą przetwarzane dane osobowe, wrażliwe. Przewidywana jest działalność różnych podmiotów na rzecz odbiorcy wsparcia, koordynatorem ma być asystent rodziny. Nie chcę tu przepisywać artykułów z ustawy.
    Jaki podmiot-administrator powinien zgłosić zbiór z danymi wrażliwymi do GIODO ? W rejestrze GIODO na dzień dzisiejszy nie ma żadnego zbioru zarejestrowanego.
    Pozdrawiam.

    Reply
    1. Tomasz Cygan

      dzień dobry,

      moim zdaniem ADO jest określony w art. 2 ust. 2 tej ustawy: „Wsparcie, o którym mowa w art. 1, jest realizowane przez świadczeniodawców, o których mowa w art. 5 pkt 41 ustawy z dnia 27 sierpnia 2004 r. o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych, jednostki samorządu terytorialnego oraz jednostki organizacyjne realizujące wspieranie rodziny, o którym mowa w ustawie z dnia 9 czerwca 2011 r. o wspieraniu rodziny i systemie pieczy zastępczej (Dz. U. z 2016 r. poz. 575 i 1583), lub inne jednostki sektora finansów publicznych lub wykonujące zadania zlecone im przez jednostki sektora finansów publicznych, w tym na zasadach, w sposób i w trybie przewidzianym w przepisach odrębnych.”

      ponadto, znajdzie zastosowanie przepis art. 23 ust. 2a oraz art. 31 ust. 2 a ustawy o ochronie danych osobowych.

      z poważaniem,

      Tomasz Cygan

      Reply
  24. Marta

    Dzień Dobry,
    jak prawidłowo krok po kroku przeprowadzić analizę ryzyka w gminie ?

    Reply
    1. Michał Geilke (Post author)

      Dzień dobry,

      tak naprawdę nie ma jednej odpowiedzi na to pytanie. Wszystko zależy od przyjętej metodologi analizy ryzyka i ustanowionego kontekstu tej analizy. Nie bez znaczenia też będzie rodzaj analizy, np. jakościowa lub ilościowa.

      Nie bez znaczenia będzie też fakt czy analiza ma być pod kątem tylko danych osobowych czy całości Urzędu.

      Pozdrawiam,

      Michał Geilke

      Reply
  25. Marek

    Moj były pracodawca uzyskał w sposób nieuparwniony informację moim o wyroku za wykroczemie informację o wyroku przekazał w formie pisemnej kilku instyticjom. Co mam zrobić?

    Reply
    1. Tomasz

      dzień dobry,

      w przypadku naruszenie przepisów o ochronie danych osobowych kązdej osobie, której prawa zostały naruszone przysługuje prawo do złożenia skargi do GIODO lub zawiadomienia o podejrzeniu przestępstwa określonego w rozdziale 8 ustawy o ochronie danych osobowych.

      z poważaniem,

      Tomasz Cygan

      Reply
  26. Ilona

    Dzień dobry,

    Poproszę o wsparcie w następującej kwestii:
    na ekranach monitorów w firmie (umieszczone w jadalni, w intranecie) wyświetlana jest prezentacja, której 1 slajd dotyczy nadchodzących wizyt w firmie przedstawicieli kontrahentów/ dostawców, tzn.:
    – data wizyty,
    – nazwa firmy (gości),
    – imiona i nazwiska gości (w tym zagranicznych),
    – inicjały wewnątrzfirmowe osób-pracowników podejmujących gości w organizacji.

    Czy slajd zapowiadający wizyty, dostępny w wymienionych miejscach i w takiej postaci jak powyżej to dopuszczalna praktyka w takiej sytuacji? Jeśli nie, jakie warunki muszą być spełnione, by było to rozwiązanie dopuszczalne w kontekście ODO?

    Będę wdzięczna za pomoc.
    Pozdrawiam,

    Reply
    1. Tomasz

      dzień dobry,

      w mojej ocenie nie jest to nielgalne, jeśłi służy organizacji pracy w firmie.

      z poważaniem,

      Tomasz Cygan

      Reply

Napisz komentarz/zapytanie

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

five + 17 =