Temat: Ochrona Danych Osobowych

Ale na ankiecie masz nazwisko nieszczesnika?
bardzo jestes dyskretna w rozwijaniu tematu.

Temat: Ochrona Danych Osobowych

mam, ale skąd mam mieć pewność, że on to on? :P
ehhh czepiam się, ale nie ma klauzuli nie wolno wykorzystać - jak tak to odbieram.

Temat: Ochrona Danych Osobowych

Czlowiek byl uczestnikiem szkolenia i jezeli ADO jest B, to mozesz zadzwonic do uczestnika zgodnie z art 23 ust 5. Obojetnie czy wypelnil ankiete, czy nie :)
Koniec i kropka, a poza wszytskim to dzwonisz do niego jako do pracowniak firmy, wiec nie podlaga on ochronei danych osobowych.

Koniec i kropka.
Takie jest moje zdanie. Howk

Bez lampy wyglada fajnie.Rafał "NOMAD" S. edytował(a) ten post dnia 22.09.08 o godzinie 22:48

Temat: Ochrona Danych Osobowych

Jeśli przetwarzamy dane osobowe to z mocy prawa podlegają one ochronie.

Dane osobowe mogą (jak w tym przypadku) nie podlegać rejestracji, tzn. nie składamy w GIODO wniosku zgłoszenia zbioru danych do rejestracji.

Temat: Ochrona Danych Osobowych

Trochę minęło od ostatniego postu.

A jak wygląda kwestia szkolenia? Czy w ramach tego określonego zdarzenia szkoleniowego, owa ankieta i jej wynik są integralne, czy są działaniem dodatkowym?

Temat: Ochrona Danych Osobowych

Zaciekawił mnie prowadzony tutaj wątek. Pozwolę sobie przedstawić ten temat w sposób, w jaki ja to widzę. Być może jeszcze komuś się to przyda lub zachęci do dyskusji.

A więc zaczynając od początku:

1) organizacja samego szkolenia i w związku z tym zbieranie danych osobowych uczestników na cele związane ze szkoleniem (np. w celu dajmy na to sprawdzenia "listy obecności" uczestników)
- tu zastosowanie znajduje art. 2 ust. 3 ustawy o ochronie danych osobowych, który wyłącza spod reżimu ustawy zbiory danych osobowych sporządzane doraźnie, wyłącznie ze względów technicznych, szkoleniowych lub w związku z dydaktyką w szkołach wyższych. W takim wypadku zastosowanie znajduje tylko rozdział 5 ustawy, a dotyczący wymogów związanych z zabezpieczeniem tak przetwarzanych danych. Tak więc rejestracja zbioru danych w tym wypadku nie jest wymagana.
W takim wypadku trzeba szczególną uwagę zwrócić na: cel użycia zebranych danych (szkolenie) oraz ustawowe określenie sporządzania "doraźnie" tego typu zbiorów. Jest to dosyć problematyczne sformułowanie, które przysparza problemy interpretacyjne najlepszych nawet znawców tematu - włącznie z profesorami Bartą i Markiewiczem (proszę przeanalizować komentarz ich autorstwa str. 315-316).
Ważne jest by tak użyte dane po ich wykorzystaniu (a więc w zasadzie po zakończeniu szkolenia) poddać anonimizacji lub usunąć. W przeciwnym wypadku, nie znajdzie zastosowania ten przepis.

2) co w przypadku gdy chcemy wykorzystać te dane po szkoleniu?
Na początku chciałem zwrócić uwagę na określenie danych „służbowych”. Ustawa nie rozróżnia danych "prywatnych" i "służbowych". Jej zadaniem jest ochrona danych osobowych osób fizycznych - a bez wątpienia imię i nazwisko, numer telefonu pod którym jest taka osoba dostępna, czy też adres są danymi osobowymi tej osoby. Proszę zwrócić uwagę, że za dane osobowe ustawodawca uznaje również takie, które nawet w sposób pośredni pozwalają zidentyfikować konkretną osobę, chyba że taka identyfikacja pociągałaby za sobą nadmierne nakłady finansowe, czasowe lub powiedzmy organizacyjne (ustawa mówi dokładnie o nadmiernych działaniach). W moim przekonaniu również poprzez dane służbowe jest możliwa identyfikacja konkretnych osób, np. poprzez mail jan.kowalski@firma.pl można z łatwością dowiedzieć się jak ów delikwent się nazywa. Tak więc wydaje mi się, że nie chodzi tutaj o to, że pewnego rodzaju dane są związane z wykonywaną pracą. Natomiast zgadzam się, iż tego typu dane można wykorzystywać, a to z jednego ważnego powodu - ponieważ tego typu dane są bardzo często publikowane i powszechnie dostępne. I tu się zgadzam, jednakże z pewnymi zastrzeżeniami. Ale o tym później.

A teraz przejdźmy do meritum.
Po pierwsze, znajdźmy najpierw podstawę prawną do tego typu działań. Wypadki kiedy można przetwarzać dane osobowe wskazuje w sposób wyczerpujący art. 23. I w tym zakresie tylko ten przepis nas interesuje.

Wiadomo już, że wyraźnej zgody na przetwarzanie danych osobowych uczestnicy szkolenia nie wyrazili. Co w takim wypadku można zrobić? Czy bez wyraźnie udzielonej zgody można te dane przetwarzać?
Otóż w omawianym wypadku zastosowanie może znaleźć jedynie art. 23 ust. 1 pkt 5 w związku z ust. 4. I tu należy zwrócić uwagę na to KOMU wolno przetwarzać dane i w JAKIM celu.
Ktoś z Państwa wcześniej zwrócił uwagę, że jeżeli dzwonić do uczestników będzie Administrator (ADO), to może to robić w celach marketingu bezpośredniego. Tu nie do końca się z tym zgadzam. Musimy bowiem brać pod uwagę nie tylko przepisy ustawy o ochronie danych osobowych. W tym konkretnym przypadku (działań marketingowych) zastosowanie znajduje też ustawa o ochronie niektórych praw konsumentów oraz odpowiedzialności za szkodę wyrządzoną przez produkt niebezpieczny, a tam art. 6 ust. 3 mówi: "Posłużenie się telefonem, wizjofonem, telefaksem, pocztą elektroniczną, automatycznym urządzeniem wywołującym lub innym środkiem komunikacji elektronicznej w celu złożenia propozycji zawarcia umowy może nastąpić wyłącznie ZA UPRZEDNIĄ ZGODĄ konsumenta". Tak więc tego typu działania marketingowe (prowadzone w celu złożenia propozycji zawarcia umowy) wymagają uzyskania wcześniejszej zgody przez klienta. Poza tym wypadkiem, owszem, wobec innych działań marketingu bezpośredniego zgoda nie jest wymagana.

Z tego co się zorientowałem Pani firma szkoleniowa nie jest Administratorem a jedynie tzw. "osobą przetwarzającą dane osobowe na zlecenie administratora". Więc powstaje pytanie co Pani może zrobić?

Proszę zwrócić uwagę, że przytaczany przepis (art. 23 ust. 1 pkt 5) nie dotyczy jedynie Administratora ale: "administratorów danych ALBO odbiorców danych". Ponadto przetwarzanie danych musi następować dla wypełnienia prawnie usprawiedliwionych celów realizowanych ALBO przez administratora ALBO przez odbiorcę danych.
Tak więc, moim zdaniem istnieje możliwość by Pani firma wystąpiła w roli odbiorcy danych. Należałoby jednak wykazać jeszcze "usprawiedliwiony cel", tyle tylko, że wystarczy by wykazał to przynajmniej jeden podmiot: administrator lub odbiorca danych. Możliwa więc moim zdaniem byłaby sytuacja, w której Pani firma dokonuje badań telefonicznych, na umowne zlecenie administratora, który wykorzystuje wyniki badań do swojej działalności gospodarczej, a tym samym wykazuje "prawnie usprawiedliwiony cel".

Drugie możliwe rozwiązanie:
I tu wracamy do kwestii danych "służbowych" i "prywatnych". W wypadku danych ogólnie dostępnych, ten przepis (art. 23 ust. 1 pkt 5)również może znaleźć zastosowanie. I tu również trzeba zwrócić uwagę na przesłankę usprawiedliwionych celów. W tym miejscu pozwolę sobie zacytować pewne ważne orzeczenie, które pomoże uzmysłowić sobie ten problem. Sąd Apelacyjny w Gdańsku, w orzeczeniu z dnia 15 marca 1996 r. stwierdził: "Nie można przyjąć, iżby posłużenie się danymi osobowymi osoby fizycznej w ofercie handlowej do niej skierowanej było bezprawnym działaniem oferenta. Podstawowe dane osobowe człowieka (nazwisko i imię) są jego dobrem osobistym, ale jednocześnie są dobrem powszechnym w tym znaczeniu, iż istnieje publiczna zgoda na posługiwanie się nimi w życiu społecznym (towarzyskim, urzędowym, handlowym etc.) Dopóki więc dane osobowe człowieka używane są zgodnie z REGUŁAMI SPOŁECZNYMI, nie można mówić o bezprawności działań innych osób ani o zagrożeniu dóbr osobistych tymi działaniami". Stanowisko to aprobuje między innymi E. Łętowska i R. Hauser jak również J. Barta i R. Markiewicz. W kontekście tego orzeczenia i omawianej sprawy należy się zastanowić co jest zgodne z REGUŁAMI SPOŁECZNYMI. Jak wskazują R. Markiewicz i J. Barta w swoim komentarzu, pozyskiwanie danych osobowych ze spisów ogólnie dostępnych czy też np. książek telefonicznych może być uznane za zgodne z regułami społecznymi. Tak więc również w ten sposób pozyskane dane mogą być wykorzystane bez zgody osób, których dotyczą, oczywiście za wyjątkiem działań marketingowych związanych z propozycją zawarcia umowy.

Należy jednak pamiętać, iż w przypadku przetwarzania danych osobowych w oparciu o art. 23 ust. 1 pkt 5 osobie której dane dotyczą ZAWSZE przysługuje roszczenie o zaprzestanie wykorzystywania (przetwarzania) tych danych. Ponadto zastosowanie znajdują inne przepisy ustawy, w szczególności te dotyczące obowiązku informacyjnego o zakresie i celu przetwarzania danych jak również ich właściwego zabezpieczenia. Odrębnym problemem jest kwestia rejestracji tak powstałego zbioru. W pierwszym z omawianych wypadków moim zdaniem zbiór podlega rejestracji, w drugim (dane pozyskiwane ze źródeł powszechnie dostępnych) - nie (art. 43 ust. 1 pkt 9).

Pozdrawiam serdecznieJakub Wezgraj edytował(a) ten post dnia 31.10.08 o godzinie 17:51

Temat: Ochrona Danych Osobowych

Pozwolę sobie zmienić temat, jednak w zakresie ochrony danych osobowych. Chciałam podzielić się z Wami moimi wątpliwościami, co do zapisu w regulaminie ogólnym Serwisu Społecznościowego. A mianowicie, czy przy zapewnieniu o zachowaniu należytej staranności w ochronie danych osobowych zgodnie z ustawą o ochronie danych osobowych, administrator tychże danych może uwzględnić takie oto zastrzeżenie:
"Administracja Serwisu zastrzega sobie prawo, pomimo zachowanej szczególnej staranności, do ograniczenia swojej odpowiedzialności przed Użytkownikiem Serwisu. Ograniczenie to dotyczy jedynie działań o charakterze hakerskich włamań do baz danych Użytkowników Serwisu, które nie wynikają z bezpośredniej winy Serwisodawcy."

Czy jest ono zgodne z obowiązującą ustawą, np. z par. 36, pkt 1.?
Byłabym bardzo wdzięczna za rozwianie moich wątpliwości.
Pozdrawiam :)

Temat: Ochrona Danych Osobowych

Moim skromnym zdaniem, jest to belkot, ktory jest bo jest...

Właściciel ma obowiazek dolozyc nalezytej starannosci w ochronie danych, wedlug swoich mozliwosci, wiedzy i innych czynnikow.
Jezeli wlamanie nastapilo z powodu nieuaktualnieniania systemu od 2 lat, jest to rownoznczne z tym, ze nie dolozyl on nalezytej starannosci w ochronie danych. I obojetne jest to czy zrobil to hacker czy ktos inny (to tylko kwestia nazwania sprawcy).
Tworcy systemow publikuja poprawki do swoich systemow, a obowiazkiem adminsitratora jest je uaktualniac. Wlamania "hakerskie" wykorzystuja znane lubi w systemach. Jezeli znal je hacker, to znac je musial tez administrator.

Bye, wracam do roboty :)

Temat: Ochrona Danych Osobowych

Rafale, bardzo dziękuję za ten głos i próbę rozwiania moich wątpliwości. Właśnie w podobnym tonie Twojej wypowiedzi, odczytuję ten zapis.

Pozdrawiam :)

Temat: Ochrona Danych Osobowych

bry Państwu :)

mam takie proste pytanko:
montuję serwis www, w tórym każdy będzie mógł zamieścić ogłoszenie o sobie i o tym, że chętnie podjemie się wybranej pracy. Po postu ogłoszenia w stylu "szuakm pracy".
W tym miejscu pytanie: czy mam rejestrować ten serwis/dane itp. skoro będą one od razu widocze w sieci (użytkownik ma pełną dowolność co do zawartości ogłoszenia i ilości informacji jakie zamieści, np. może podac sam e-mail jeśli chce).

Pytam znawców :)
Osobiście uważam, że nie muszę tego robić, ponieważ będą to dane podane świadomie, dobrowolnie i do publicznej wiadomości przez uzytkownika.

Temat: Ochrona Danych Osobowych

Szanowni Państwo,

Firma Global Information Security Sp. z o.o. zaprasza Państwa do wzięcia udziału
26-27 października 2010r w konferencji
„Rola kadr w zarządzaniu danymi osobowymi” w czasie której zostaną omówione wszystkie aspekty, ryzyka i niuanse ochrony danych osobowych w tym obszarze.
Zwrócimy dużą uwagę na dane osobowe kadrowe takie jak:
1. dane pracowników (akta osobowe, BHP, Zakładowy Fundusz Świadczeń Socjalnych, ubezpieczenia itd.),
2. dane kandydatów do pracy, byłych pracowników, pracowników tymczasowych, praktykantów, stażystów, osób pracujących na umowę o dzieło czy umowę zlecenie
3. konsultantów (outsourcing kadr),
4. dane tele-pracowników, bilingi,
5. dane z szeroko rozumianego monitoringu pracowniczego
Problem właściwej ochrony danych kadrowych dotyczy wszystkich organizacji bez względu na to czy przetwarzają dane we własnych komórkach kadrowych, czy też powierzają obsługę kadr firmom zewnętrznym. Za niedopełnienie obowiązków ochrony tych danych grozi odpowiedzialność karna, zarówno osobom zarządzającym organizacją jak i osobom, które kierują lub pracują w dziale kadr.
W czasie Konferencji zaprosimy Państwa ponadto na prezentację:
1. naszego innowacyjnego systemu HPMS umożliwiającego zarządzanie, nadzór i monitoring informacji dotyczącej przetwarzania danych osobowych oraz generowanie aktualnej dokumentacji ochrony danych osobowych wymaganej prawem,
2. Oprogramowania pozwalającego w szczególności, zabezpieczyć małe bazy przechowywane w plikach Excel i zmienić ich funkcjonalność tak, aby spełniały wymogi rozporządzenia MSWiA z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.

Koszt dwu dniowej Konferencji wraz z materiałami szkoleniowymi, pełnym wyżywieniem jak również certyfikatami które zostaną wręczone uczestnikom na koniec pobytu wynosi:
1.250,00 PLN+22 % VAT dla zgłoszeń do 30 września 2010r
1.410,00 PLN+22 % VAT dla zgłoszeń po 30 września 2010r

Więcej informacji znajdziecie Państwo na naszej stronie internetowej:
http://globinfosec.pl
Serdecznie zapraszamy do wzięcia udziału w naszej Konferencji.Anna Nagraba edytował(a) ten post dnia 24.08.10 o godzinie 10:57

Temat: Ochrona Danych Osobowych

My dane przechowujemy https://www.maryandalan.pl/ochrona-danych-firmy/ wysokiej jakości zabezpieczenia.