RODO – Agnieszka Madej

11 grudnia, 201928 września, 2022

Zadbaj o silne hasło!

Urząd Ochrony Danych Osobowych udostępnił nagranie wideo z poradami dotyczącymi silnego hasła, by uniknąć kradzieży tożsamości.

W poradniku możemy dowiedzieć się m.in.:

jakich informacji nie powinniśmy używać do budowy haseł;
jak budować hasło, które jest trudne do złamania;
w jaki sposób przechowywać hasła.

Dobre praktyki wskazane w filmie:

Nie używaj w haśle danych o Tobie, ponieważ można w łatwy sposób je pozyskać;
Nie używaj też rozpoznawalnych słów, które mogą być złamane przez programy komputerowe odwołujące się do słowników;
Stosuj hasła łatwe do zapamiętania, a jednocześnie silne i trudne do złamania; buduj je odwołując się do np. ulubionego cytatu, tytułu piosenki;
Używaj cyfr, znaków specjalnych, małych i dużych liter;
Stosuj uwierzytelniania dwuetapowe np. hasło + kod z wiadomości sms – coraz więcej kont użytkownika daje taką możliwość;
Zapamiętaj hasło, a jeżeli musisz je gdzieś zapisać to zadbaj o bezpieczeństwo i użyj np. programów do przechowywania haseł;
Nigdy nikomu nie udostępniaj swojego hasła;
Nie stosuj tych samych haseł do różnych kont;
Ostrożnie korzystaj ze sprzętu dostępnego publicznie lub należącego do osób trzecich i pamiętaj o wylogowaniu.

Ja dodałabym do tego jeszcze:

Gdy zmieniasz hasło nie ograniczaj się do zmiany kilku znaków, lecz zmień całe hasło;
Jeżeli jest taka możliwość korzystaj z czytników linii papilarnych czy innych nowoczesnych technologii do zabezpieczania dostępu.

W poradniku tylko wspomniano o programach do przechowywania haseł. Chciałabym zachęcić Was do korzystania z takich programów, ponieważ nie tylko przechowują, ale także pomagają nam zarządzać naszymi kontami.

Korzystając z menedżera haseł możesz:

sporządzić wykaz wszystkich kont, do których się logujesz, a zatem panujesz nad tym gdzie udostępniłeś swoje dane;
wygenerować automatycznie i przechowywać długie, trudne do złamania hasło, którego nie musisz zapamiętywać – jedyne hasło do zapamiętania to hasło do menedżera;
szybko przejść do konta użytkownika zapisując w menedżerze lokalizację konta – jednym kliknięciem przechodzisz do strony logowania, drugim automatycznie uruchomisz login i hasło i uzyskasz dostęp do zasobów…

Ważne jest, by wybrać odpowiedni menedżer haseł. Przeglądarki internetowe mają zintegrowane menedżery haseł. Logując się na wybraną stronę, przeglądarka pyta nas czy zapisać login i hasło. Należy podchodzić ostrożnie do takiego wbudowanego menedżera haseł, ponieważ większość przeglądarek przechowuje hasła na dysku komputera, w katalogu, który nie jest zaszyfrowany. Można zatem bez trudu odszukać nasze hasła.
Do menedżera logujemy się za pomocą hasła głównego. Haker może zdobyć nasze hasło, jeśli zainfekuje komputer oprogramowaniem, które pozwala dowiedzieć się, jakie znaki wpisujemy na klawiaturze. Dlatego warto zastosować dwuetapowe uwierzytelnianie tj. hasła głównego i hasła dodatkowego wysłanego np. sms na telefon.

4 grudnia, 201911 grudnia, 2019

Przetwarzanie danych osobowych na podstawie art. 6 ust. 1 lit b RODO w usługach społeczeństwa informacyjnego

Europejska Rada Ochrony Danych Osobowych wydała Wytyczne 2/2019 dotyczące przetwarzania danych osobowych zgodnie z art. 6 ust. 1 lit. b RODO w kontekście świadczenia usług internetowych osobom, których dane dotyczą.

Niewiele osób w UE ma poczucie, że w pełni kontroluje swoje dane w Internecie. Komisja Europejska przedstawiła 13 czerwca 2019 r. wyniki specjalnego badania Eurobarometru pod nazwą „Special Eurobarometer487a – The General Data Protection Regulation”, które dotyczyło ochrony danych. Badanie przeprowadzono w 28 krajach UE. Wynika z nich, że ok. 14% obywateli UE jest przekonanych, że posiada pełną kontrolę nad swoimi danymi w Internecie, a 51% , że częściowo może kontrolować swoje dane. Według badania 30% osób uważa, że nie ma żadnej kontroli nad danymi, jakie przekazują online.

Rozpowszechnianie mobilnego Internetu i powszechna dostępność urządzeń podłączonych do Internetu umożliwiły rozwój usług online w szczególności w takich dziedzinach, jak media społecznościowe, handel elektroniczny, wyszukiwanie w Internecie, komunikacja. Niektóre z usług są świadczone bez opłat, ale zamiast tego finansowane ze sprzedaży internetowych usług reklamowych umożliwiających dotarcie do osób, których dane dotyczą. Śledzenie zachowań użytkowników jest często przeprowadzane w sposób, którego użytkownik nie jest świadomy.

Wytyczne ERODO dotyczą zastosowania art. 6 ust. 1 lit. b) do przetwarzania danych osobowych w kontekście umów o usługi online, niezależnie od sposobu finansowania usług.

Link do Wytycznych

22 sierpnia, 201922 sierpnia, 2019

Dane osobowe na fakturze a RODO

RODO wciągnęło mnie na dobre i tak intensywnie, że zaniedbałam prowadzenie bloga… no cóż czasami tak się zdarza. Obiecuję poprawę i dziękuję tym, którzy zmobilizowali mnie bym powróciła do zarzuconych tematów.

Dziś odpowiemy sobie na pytanie, czy wszystkie dane osobowe zawarte na fakturze podlegają przepisom ochrony danych osobowych?

Jakie dane powinna zawierać faktura zostało określone w art. 106e ust. 1 ustawy o podatku VAT. Mamy tam wskazane m.in. imiona i nazwiska lub nazwy podatnika i nabywcy towarów lub usług oraz ich adresy, numer, za pomocą którego podatnik jest zidentyfikowany na potrzeby podatku, a więc dane identyfikujące osoby, które są stronami transakcji. Mogą to być osoby fizyczne, spółki cywilne, osoby prawne lub tzw. ułomne osoby prawne, jeżeli mamy do czynienia z jednostkami nieposiadającymi osobowości prawnej, którym przyznaje się zdolność prawną, czyli zdolność do bycia podmiotem praw i obowiązków. Do ułomnych osób prawnych zalicza się przede wszystkim wszystkie handlowe spółki osobowe, tj. spółkę jawną, spółkę partnerską, spółkę komandytową i spółkę komandytowo-akcyjną. Przykładami innych podmiotów będą wspólnoty mieszkaniowe, czy stowarzyszenia.

Tutaj mamy sytuację dość prostą z punktu widzenia RODO. Jeżeli podatnikiem lub nabywcą jest osoba fizyczna prowadząca działalność, spółka cywilna osób fizycznych lub nabywcą jest osobowa fizyczna to mamy do czynienia z przetwarzaniem danych osobowych osób fizycznych, które podlega przepisom RODO.

Nie podlegają RODO dane osób prawnych lub posiadających osobowość prawną, będą to zatem dane na fakturze, gdzie podatnikiem i nabywcą towarów są osoby prawne i ułomne osoby prawne (wszystkie spółki prawa handlowego).

Może jeszcze, krótkie wyjaśnienie dlaczego dane osobowe spółki cywilnej osób fizycznych podlegają przepisom RODO. Spółka cywilna jest bardzo specyficznym rodzajem prowadzenia działalności gospodarczej. Spółka cywilna nie posiada osobowości prawnej ani zdolności prawnej. Jest to jedynie umowa wspólników (art. 860 Kodeksu cywilnego), zatem administratorami danych są wspólnicy tej spółki. Jeżeli wspólnikami są osoby fizyczne, to mają tutaj zastosowanie przepisy RODO.

Czy na fakturze znajdują się również inne dane niż dane wynikające z art. 106e ust. 1 ustawy o podatku VAT?

Tak może się zdarzyć i chodzi tu o dane osoby upoważnionej do wystawienia faktury. Przepis określony przez art. 106e ustawy o VAT, który wskazuje na obowiązkowe elementy faktury, nie zawiera wymogu podpisania faktury przez podatnika, który ją wystawił. Wyjątkiem jest faktura VAT RR (art. 116 ust. 2 pkt 13 ustawy o VAT), która wymaga czytelnego podpisu osoby uprawnionej do jej wystawienia lub podania imienia i nazwiska tej osoby wraz z podpisem. Prawo do wystawiania faktur ma podatnik, ale w imieniu podatnika faktury może wystawiać upoważniona przez podatnika osoba. Wskazanie danych osoby wystawiającej fakturę stanowi duże ułatwienie w identyfikacji osób zaangażowanych w proces sprzedaży i fakturowania, szczególnie w dużych firmach i stanowi pewne zabezpieczenie w przypadku konieczności ustalenia osoby odpowiedzialnej za nieprawidłowości, czy też nadużycia związane z wystawianiem faktur.

Tutaj się zaczyna się dylemat. Na pewno imię i nazwisko to dane osobowe, ale by odpowiedzieć na pytanie, czy dane te podlegają ochronie, należy rozważyć kontekst ich przetwarzania. Wiemy już, że nie podlegają ochronie RODO dane osób reprezentujących osoby prawne, w tym ułomne osoby prawne (np. członków zarządu, wspólników spółek), które są traktowane na równi z danymi osób prawnych. Osoba upoważniona do wystawienia faktury działa w imieniu podatnika, w rozważanym przypadku osoby prawnej. Można zatem przyjąć, że jej dane należy traktować podobnie jak dane osób reprezentujących osobę prawną. Zatem dane te nie będą podlegały ochronie na mocy przepisów RODO.

Można jeszcze spojrzeć na to zagadnienie z punktu widzenia zakresu danych osobowych tj.: informacji jakie niesie za sobą umieszczenie danych osoby wystawiającej fakturę – jest to tylko potwierdzenie czynność, która została wykonana, natomiast z informacje o transakcji zawarte na fakturze nie dotyczą takiej osoby. Istotą przetwarzania nie jest tutaj przetwarzanie danych osoby wystawiającej fakturę i dane te nie mają związku z celem przetwarzania.

Jeżeli spodobał Ci się mój artykuł i uznasz, że warto się nim podzielić, udostępnij go w mediach społecznościowych lub wyślij znajomemu. Wystarczy, że klikniesz przyciski poniżej. Jeżeli chcesz zostawić komentarz pod artykułem jest to równoznaczne z wyrażeniem zgody na przetwarzanie przeze mnie Twoich danych zawartych w formularzy komentarza. Więcej przeczytasz w polityce prywatności.

20 stycznia, 201922 sierpnia, 2019

Obowiązek informacyjny RODO – jak go realizować?

Dziś postanowiłam uporządkować temat obowiązku informacyjnego wynikającego z RODO, tak żeby nic nie umknęło. Temat wydaje się prosty, ale w niektórych momentach jest kontrowersyjny, warto zatem nim się zająć.

KIEDY NALEŻY PRZEKAZAĆ INFORMACJĘ I KOMU?

Administrator ma obowiązek informować osobę o przetwarzaniu jej danych w następujących sytuacjach:

podczas pozyskiwania danych bezpośrednio od tej osoby (art. 13 RODO);
zbierając dane o osobie z innych źródeł niż ta osoba (art. 14 RODO);
zmieniając cel przetwarzania danych lub dodając nowy cel przetwarzania;
na żądanie osoby, których dane są przetwarzane.

Zastanówmy się zatem jakich kategorii osób pozyskujemy dane przy prowadzeniu działalności gospodarczej. Na pewno będą to:

kandydaci do pracy, współpracy – w procesie rekrutacyjnym;
pracownicy (szeroko rozumiani tzn. gdzie będzie obowiązywała umowa o pracę, umowa cywilno-prawna) oraz współpracowników (umowa B2B z osobą fizyczną prowadzącą działalność gospodarczą);
praktykanci, stażyści;
potencjalni klienci i klienci będący osobami fizycznymi, w tym również prowadzący działalność gospodarczą;
kontrahenci będący osobami fizycznymi prowadzący działalność gospodarczą;
użytkownicy aplikacji mobilnych;
osoby komentujące artykuły i wpisy w mediach społecznościowych;
osoby korzystające w newslettera;
uczestnicy organizowanych przez nas konferencji itp… itd….

Możemy wciąż uzupełniać tę listę i zastanawiać się czy i jak spełniać obowiązek informacyjny. Dziś bardzo ogólnie rozwiniemy temat i w kolejnych wpisach postaramy się znaleźć złote środki ;). Mam nadzieję, że mi w tym pomożecie…

Jak widzimy, w przypadku niektórych tych kategorii będziemy pozyskiwać dane bezpośrednio od tych osób, więc będzie interesował nas obowiązek wynikający z art. 13 RODO. W innych przypadkach te dane będą udostępniane nam przez inne podmioty np. pracodawców osób. Inne przypadki związane z zakupem baz danych, czy też poleceniami zadowolonych klientów pozostawmy sobie na później.

CO POWINNO ZNALEŹĆ SIĘ W TAKIEJ INFORMACJI?

Tutaj powinniśmy przeanalizować art. 13 i 14 RODO. Mamy cały katalog informacji dla osoby, której dane dotyczą, a mianowicie:

tożsamość i dane osobowe administratora, a jeżeli dane osobowe będą współadministrowane przez dodatkowe podmioty, w informacji należy podać również dane współadministratorów;
dane kontaktowe inspektora ochrony danych, przy czym dane te nie muszą obejmować tożsamości Inspektora; Administrator podaje preferowany sposób komunikacji, może to być przykładowo: telefon, e-mail, formularz na stronie internetowej; Jeżeli podmiot nie wyznaczył IOD, to możne wskazać osobę do kontaktu np.koordynatora w zakresie ochrony danych osobowych;
cele przetwarzania danych oraz podstawy przetwarzania dla każdego celu:
- jeżeli podstawą przetwarzania jest prawo (art. 6 ust.1 lit. c oraz e, art. 9 ust.2 lit. b, g-j RODO), należy podać konkretny przepis;
- w przypadku podania podstawy prawnej odnoszącej się do prawnie uzasadnionych interesów realizowanych przez administratora lub osoby trzecie, należy wskazać jakie to są interesy; i tak np.:
  - dla monitoringu wizyjnego celami przetwarzania mogą być: zapewnienie bezpieczeństwa pracowników, ochrona mienia, kontrola produkcji, zachowanie w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę;
  - dla monitoringu poczty elektronicznej, ruchu sieciowego, kopiowania, drukowania danych celami przetwarzania mogą być: kontrola czasu pracy pracowników, monitorowania właściwego użytkowania udostępnionych pracownikowi narzędzi pracy, ujawnienie naruszenia tajemnicy informacji, wykrycie działań mających negatywny wpływ na wizerunek i reputację organizacji itp.;
informacje o odbiorcach danych osobowych lub kategoriach odbiorców, przy czym jako odbiorcę danych należy traktować również podmiot przetwarzający. Tutaj warto przystanąć. Definicja odbiorcy danych jest znacznie szersza niż w poprzednich przepisach i obejmuje również podmioty przetwarzające. Przykładowymi odbiorcami danych mogą być:
- ZUS, urzędy skarbowe, banki,
- podmioty w związku z wykonywaniem obowiązków pracowniczych np.: zewnętrzni przedstawiciele, usługodawcy, dostawcy, partnerzy, dystrybutorzy, podwykonawcy;
- podmioty trzecie oferujące dodatkowe świadczenia dla pracowników takie jak grupowe ubezpieczenia oraz podmioty uczestniczące w organizacji podróży służbowych;
- wykonawcy usług pocztowych i operacyjnych;
- biegli rewidenci oraz audytorzy zewnętrzni;
- podmioty świadczące usługi na rzecz administratora, w szczególności usługi informatyczne, marketingowe i telekomunikacyjne, księgowe, windykacyjne, faktoringowe, wydruku faktur, archiwizacji i niszczenia dokumentów, którym administrator powierza do przetwarzania dane osobowe;
- podmioty współpracujące w zakresie ochrony ubezpieczeniowej;
- podmioty lub organy uprawnione na podstawie przepisów prawa (w tym sądy, prokuratorzy, komornicy, organy regulacyjne i nadzorcze);
informacje o przekazywaniu danych do krajów trzecich, jeżeli dotyczy; jeżeli dane nie są przekazywane warto zamieścić taką informację;
okres przechowywania danych lub kryteria jego wyznaczenia;
informacje o prawach osoby, której dane dotyczą, tj. o prawie do:
- dostępu do danych;
- sprostowania danych;
- usunięcia danych – warto wskazać, że skorzystać z tego prawa można jeżeli osoba, której dane dotyczą uważa, że nie ma podstaw do ich przetwarzania;
- ograniczenia przetwarzania – warto wskazać, że można z prawa skorzystać, gdy podmiot danych uważa, że dane są nieprawidłowe lub nie ma podstaw do ich przetwarzania lub podmiot danych nie chce usunąć danych w związku z dochodzeniem lub obroną roszczeń, lub na czas wniesionego sprzeciwu względem przetwarzania danych; występując z tym żądaniem przetwarzanie zostanie ograniczone wyłącznie do przechowywania lub uzgodnionych z osobą działań;
- sprzeciwu – warto wskazać, że z prawa tego można skorzystać w przypadku sprzeciwu wobec przetwarzania danych w celu prowadzenia marketingu bezpośredniego, bądź z uwagi na szczególną sytuację;
- przenoszenia danych – warto uwzględnić, że prawo to nie ma charakteru generalnego, więc podmiot danych może z niego skorzystać, gdy do przetwarzania dochodzi na podstawie zgody lub umowy, a dodatkowo przetwarzanie musi odbywać się w sposób zautomatyzowany; można również poinformować, że prawo dotyczy żądania wydania danych w ustrukturyzowanym, powszechnie używanym formacie, bądź przesłania ich bezpośrednio innemu administratorowi;
- skargi do organu nadzorczego, w przypadku zastrzeżeń co do zgodności z prawem przetwarzania;
- cofnięcia zgody, jeżeli przetwarzanie oparto o zgodę;
- UWAGA: Nie w każdym procesie przetwarzania osoba będzie dysponowała całym katalogiem praw, dlatego należy zwrócić uwagę na charakter procesu przetwarzania w naszej organizacji i wskazać tylko te, które rzeczywiście w danym przypadku przysługują podmiotowi praw. Przykładowo nie będziemy zatem informować o prawie do przenoszenia danych, jeżeli są one przetwarzane wyłącznie w formie papierowej, albo o prawie osunięcia danych pracownika, gdy jesteśmy zobligowani przepisami praca gromadzić i przechowywać akta pracownicze;
informacje o wymogu lub dobrowolności podania danych oraz jakie są konsekwencje niepodania danych. Tutaj powinniśmy podać informację o tym, czy podanie danych jest wymogiem ustawowym, a może wymogiem związanym z zawarciem umowy lub też całkowicie dobrowolne;
gdy administrator opiera swoje decyzje na zautomatyzowanym podejmowaniu decyzji lub na profilowaniu i decyzje te wywierają skutki prawne lub podobne na osobę, której dane dotyczą, należy podać:
- informacje o rodzajach zautomatyzowanego przetwarzania danych i podejmowanych decyzjach;
- istotne informacje o zasadach podejmowania zautomatyzowanych decyzji;
- informacje o konsekwencjach dla osoby, której dotyczą;
gdy obowiązek informacyjny jest realizowany przez współadministatorów należy dodatkowo podać informacje odnośnie wspólnych uzgodnień pomiędzy współadministratorami;
w przypadku danych pozyskanych z innych źródeł niż osoba, której dane dotyczą oprócz informacji, o których mowa powyżej administrator dodatkowo informuję osobę o:
- kategoriach danych, które pozyskał – zaleca się kategoryzować dane przetwarzane przez administratora np.: proste dane identyfikacyjne, dane finansowe, dane o stanie zdrowia, dane osobiste, dane biometryczne, dane dotyczące umów i transakcji, dane dotyczące historii zatrudnienia, wykształcenia itp.
- źródle danych, w tym źródłach publicznych, jeżeli z nich korzystał. Dane osobowe nie posłużą do podejmowania zautomatyzowanej decyzji, w tym profilowania czyli zautomatyzowanego przetwarzania danych;
jeżeli informacja jest związana ze zmianą celu lub nowym celem przetwarzania, administrator podaje informacje spośród ww. katalogu, których osoba jeszcze nie posiada;
ponadto motyw 60 RODO nakazuje administratorowi podać wszelkie inne informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania, uwzględniając konkretne okoliczności i kontekst przetwarzania danych osobowych.

CZY ZAWSZE MUSIMY SPEŁNIĆ OBOWIĄZEK INFORMACYJNY?

Otóż nie! Obowiązek informacyjny nie musi być realizowany, jeżeli:

osoba, której dane dotyczą dysponuje już tymi informacjami,
poinformowanie osoby, której dane dotyczą, okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku. Sytuacja braku możliwości lub niewspółmiernie dużego wysiłku może zachodzić w szczególności przypadku, gdy przetwarzanie służy celom archiwalnym w interesie publicznym, celom badań naukowych lub historycznych lub celom statystycznym.
podanie informacji uniemożliwiłoby osiągnięcie celów przetwarzania lub poważnie je utrudniło. Przykładem takich sytuacji może być gromadzenie danych z innych źródeł w związku z obowiązkami prawnymi, gdzie przedstawienie podmiotowi informacji o procesach przetwarzania jego danych mogłoby uniemożliwić realizację tych obowiązków (np. pozyskiwanie danych w związku z realizacją obowiązków związanych z przeciwdziałaniem praniu pieniędzy i finansowaniu terroryzmu);
przepisy szczegółowo określają warunki pozyskania lub ujawnienia informacji,
dane są objęte tajemnica ustawową lub zawodową przewidzianą prawem krajowym lub unijnym.

KIEDY I W JAKI SPOSÓB POWINNYŚMY UDZIELIĆ INFORMACJI?

Może zanim przejdziemy do odpowiedzi na to pytanie, zadamy sobie pytanie „jak”. Jak można się zorientować mamy wiele informacji do przekazania. Jeżeli chcemy zrobić to na telefon, to przekazanie informacji może być dłuższe niż dalsza rozmowa. Zatem jak wyważyć prawo do informacji z szanowaniem czasu osób, którym chcemy przekazać informację?

Grupa Robocza art. 29 uznała za zasadne dokonanie selekcji i przekazanie w pierwszej kolejności najistotniejszych wiadomości, a zetem obowiązek informacyjny może być spełniany warstwowo. Pierwsza warstwa powinna zawierać informacje o tożsamości administratora, celach przetwarzania oraz o istnieniu praw osób, których dane dotyczą. W drugiej warstwie należy podać wszystkie pozostałe informacje, o których mowa w art. 13 oraz 14.

W przypadku pozyskania danych osobowych od osoby, której dane dotyczą, wszelkie wskazane wyżej informacje powinny być tej osobie przekazane podczas pozyskiwania danych, w zależności od kanału ich pozyskania:

słownie – jednak z uwagi na objętość informacji, warto przekazać je warstwowo: cześć informacji w rozmowie, pozostała przesłana mailowo (jeżeli przewidziana jest taka forma dalszej komunikacji), odesłanie do strony internetowej, możliwość pobrania informacji w formie papierowej;
mailowo – jeżeli inicjacja kontaktu następuje przez:
- administratora – wraz z wysłaniem pierwszego maila;
- osobę, której dane dotyczą – w odpowiedzi na pierwszego maila;
poprzez stronę internetową – należy odnieść informacje adekwatnie do kategorii osoby, której dane są przetwarzane np. oddzielne informacje dla kandydata do pracy, oddzielne dla klienta, dostawcy czy odwiedzającego stronę internetową itp.
informacja dostępna w widocznym miejscu w punkcie obsługi klienta, jeżeli w takim punkcie dane są pozyskiwane.

W przypadku pozyskiwania danych osobowych nie od osoby, której dane dotyczą, informacje powinny być tej osobie przekazane w zależności od sytuacji:

w rozsądnym terminie po pozyskaniu danych osobowych – najpóźniej w ciągu miesiąca – mając na uwadze konkretne okoliczności przetwarzania danych osobowych;
jeżeli dane osobowe mają być stosowane do komunikacji z osobą, której dane dotyczą – najpóźniej przy pierwszej takiej komunikacji z osobą, której dane dotyczą; lub
jeżeli planuje się ujawnić dane osobowe innemu odbiorcy – najpóźniej przy ich pierwszym ujawnieniu.

CO Z OBOWIĄZKIEM INFORMACYJNYM WOBEC OSÓB WYSTĘPUJĄCYCH Z ŻĄDANIEM?

Właściwie nic innego jak przekazanie informacji ze standardowego obowiązku (art. 13 i 14 RODO), no może trochę bardziej szczegółowo. Przykładowo zamiast podawać kategorie odbiorców informacji wskazać konkretnych odbiorców z nazwy.

W przypadku żądania udzielenia informacji, administrator musi upewnić się co do tożsamości osoby występującej z żądaniem i zasadności jej żądania. Zaleca się, aby udzielać informacji wyłącznie osobom, których dane dotyczą lub które mają upoważnienie do otrzymania tego typu informacji (niebudzące wątpliwości). Potwierdzenie tożsamości może nastąpić poprzez zadanie kilku pytań weryfikujących tożsamość na podstawie katalogu danych podanych przez osobę danych np.:

- przy kontakcie bezpośrednim – weryfikacja na podstawie dowodu tożsamości;
- przy kontakcie telefonicznym – weryfikacja nr telefonu, ustalonych haseł do kontaktu, ewentualnie pytania dotyczące np. szczegółowych danych identyfikujących np. nr dokumentu tożsamości, nr PESEL, danych dotyczących miejsca urodzenia, szczegółów umowy, szczegółów transakcji itp.;
- przy kontakcie mailowym lub za pośrednictwem usług pocztowych – weryfikacja adresu do korespondencji, weryfikacja danych osoby, w tym podpisów.

Na dzisiaj to tyle w tym temacie. Przy następnym spotkaniu przeanalizujemy najbardziej kontrowersyjne przypadki np. informowanie pracowników naszego kontrahenta, wyznaczonych przez niego do realizacji umowy. Informować, czy nie informować? Można tak, można tak… jak to w starym dowcipie o maści na szczury… Dowcipu nie przytoczę, ale Wujek Google szybko go odnajdzie. Do zobaczenia wkrótce!