Temat: Ochrona Danych Osobowych
No dobra - wiec powinnas miec podpisana umowe na powierzenie przetwarzania danych z firma B. To jest podstawa (art. 31).
Bardzo zaciekawila mnie Twoja wypowiedz, ze GIODO na szkoleniach powiedzial. Czy bylas na szkoleniu prowadzonym przez GIODO?
A teraz zaczynamy analizowac ustawe. :)
Zajmijmy sie zgoda na przetwarzanie danych.
Art 23
1. Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:
1) osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych,
2) jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa,
3) jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą,
4) jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego,
5) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.
(...)
4. Za prawnie usprawiedliwiony cel, o którym mowa w ust. 1 pkt 5, uważa się w szczególności:
1) marketing bezpośredni własnych produktów lub usług administratora danych,
2) dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej.
Nie dyskutujemy, czy sa to dane osobowe, czy nie (a tylko kontaktowe w firmie).
pkt 3 mowi o koniecznosci realizacji umowy - czyli badanie poziomu zadowolenia, telefon sprawdzajacy moze byc uznany za realizajce umowy
pkt 5 a potem ust 4 pkt 1 mowi o marketingu bezposrednim, czyli masz prawo zadzonic i zaproponowac usluge administratora danych, czyli firmy dla ktorej pracujesz przy szkoleniu.
Ciekawy jest tez art. 26
1. Administrator danych przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były:
1) przetwarzane zgodnie z prawem,
2) zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami, z zastrzeżeniem ust. 2,
3) merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane,
4) przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania.
2. Przetwarzanie danych w celu innym niż ten, dla którego zostały zebrane, jest dopuszczalne, jeżeli nie narusza praw i wolności osoby, której dane dotyczą, oraz następuje:
1) w celach badań naukowych, dydaktycznych, historycznych lub statystycznych,
2) z zachowaniem przepisów art. 23 i 25.
Czyli, mozesz przetwarzac w celach statystycznych, ale podczas tej statystyki nie mozesz miec mozliwosci polaczenia danych z konkretna osoba.
Dodatkowo poruszony zostal problem adekwatnosci zbierania danych.
I wlasnie o tym poczytaj tu:
http://www.rp.pl/artykul/68861,189682_Organizator_szko...
A tak na marginesie: wiekszosc klauzul jest o kant tylka potluc. Brakuje administratora, brakuje celu.