Piątek, 15 lutego 2019
Strona główna
Masz pytania? Infolinia RODO:
22 487 86 70 lub +48 724 570 436

Promocje Pokaż/ukryj

PAKIET UE (RODO): DOKUMENTACJA + E-SZKOLENIE Z CERTYFIKACJĄ 5 OSÓB + CONSULTING PRAWNY - 199 zł + 23% VAT
199 PLN 799 PLN

Biura rachunkowe - Pakiet RODO: Dokumentacja + E-szkolenie z Certyfikacją 5 osób + Rejestry Czynności + Consulting Prawny - 189 zł +23% VAT
189 PLN 750 PLN

Szkolenie RODO VIP - 25 lutego 2019 r. Warszawa - z pakietem dokumentacji + konsulting + e-szkolenie 10 osób - 399 zł +23% VAT
399 PLN 1190 PLN





Business Woman in Office

Jeśli mają Państwo pytania dotyczące oferty zapraszamy na infolinię, pon.- pt. w godz. 9 -17, tel.: 22 487-86-70 lub +48 724 570 436

Dział Sprzedaży:

zapytanie@rbdo.pl

Dział Prawny:
faq@rbdo.pl

Biuro RBDO
ul. Kopalniana 22a/7
01-321 Warszawa
NIP: 118-165-16-57
Regon: 140741937



Ochrona Danych Osobowych UE: (3) Nowe definicje wprowadzone przez Rozporządzenie UE z 27 kwietnia 2016 roku

ebookNietrudno zauważyć, że w roku 1995, gdy została przyjęta dyrektywa 95/46/WE ówczesny stan rozwoju technologicznego wiązał się z zupełnie innym kształtem prowadzenia działalności gospodarczej,  naturalnym wynikiem postępującego rozwoju technologicznego jest pojawienie się w zawartym w artykule 4 rozporządzenia słowniku pojęć definicji nieznanych dyrektywie z 95 roku.

a) Profilowanie – dotyczy to np. coraz powszechniejszych sytuacji, w których serwisy zajmujące się sprzedażą internetową zbierają informacje o preferencjach konsumenta na podstawie których „przewidują” jego dalsze wybory (proponując mu przedmioty korelujące z jego preferencjami).

Rozporządzenie definiuje profilowanie jako „dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się”

Do profilowania odnoszą się także ustęp 60 preambuły, w którym wyrażone jest zobowiązanie administratora danych do poinformowania osoby, której dane dotyczą o fakcie profilowania, oraz konsekwencjach tego profilowania.

b) Pseudonimizacja – spseudonimizowane (do których odnoszą się także ust. 28 i 29 preambuły) dane osobowe to takie dane, które dopiero po posłużeniu się dodatkowymi informacjami (które muszą być przechowywane osobno) można przypisać konkretnej osobie fizycznej, inaczej mówiąc – są to takie dane, które po wstępnym ich zaprezentowaniu nie pozwalają ich przypisać konkretnej osobie fizycznej, ale po użyciu dodatkowych informacji jest to możliwe. Biorąc pod uwagę, że sama definicja danych osobowych posługuje się sformułowaniem „informacje o możliwej do zidentyfikowania osobie fizycznej”, należy uznać, że dane osobowe poddane pseudonimizacji dalej pozostają danymi osobowymi, jest to jednak środek który pozwala zwiększyć bezpieczeństwo ich przetwarzania. Głównym założeniem pseudonimizacji (do której rozporządzenie w preambule „zachęca”) jest wyodrębnienie dodatkowych informacji których celem jest jedynie umożliwienie przypisania konkretnych danych konkretnej osobie.

c) oraz d) Wprowadzenie odrębnych definicji „danych dotyczących zdrowia”, oraz „danych genetycznych” – wcześniej, zarówno polska ustawa z 1997 roku jak i dyrektywa z 95 roku używały pojęcia „dane o stanie zdrowia” jako określenia jednej ze „szczególnych” kategorii danych osobowych (art. 8 ust. 1 dyrektywy z 1995 roku), w Polsce określanych jako tzw. „danych wrażliwych”. Definicja zawarta rozporządzeniu jest znacznie bardziej szczegółowa – ale, co ciekawe, bardziej wyczerpująco została ona określona w ustępie 35 preambuły, niż w samym słowniku pojęć zawartym w artykule 4. Jako dane dotyczące zdrowia określono:

„(…) wszystkie dane o stanie zdrowia osoby, której dane dotyczą, ujawniające informacje o przeszłym, obecnym lub przyszłym stanie fizycznego lub psychicznego zdrowia osoby, której dane dotyczą.

Do danych takich należą informacje o danej osobie fizycznej zbierane podczas jej rejestracji do usług opieki zdrowotnej lub podczas świadczenia jej usług opieki zdrowotnej, jak to określa dyrektywa Parlamentu Europejskiego i Rady 2011/24/UE; numer, symbol lub oznaczenie przypisane danej osobie fizycznej w celu jednoznacznego zidentyfikowania tej osoby fizycznej do celów zdrowotnych; informacje pochodzące z badań laboratoryjnych lub lekarskich części ciała lub płynów ustrojowych, w tym danych genetycznych i próbek biologicznych; oraz wszelkie informacje, na przykład o chorobie, niepełnosprawności, ryzyku choroby, historii medycznej, leczeniu klinicznym lub stanie fizjologicznym lub biomedycznym osoby, której dane dotyczą , niezależnie od ich źródła, którym może być na przykład lekarz lub inny pracownik służby zdrowia, szpital, urządzenie medyczne lub badanie diagnostyczne in vitro.”

e) Na szczególną uwagę zasługuje wprowadzenie definicji „danych biometrycznych” co powinno zwrócić uwagę np. pracodawców planujących wprowadzić zaawansowane technologicznie rozwiązania związane np. z monitorowaniem i regulowaniem dostępu pracowników do obiektów znajdujących się na terenach zakładów pracy, ponieważ rozporządzenie ustanawia generalny zakaz przetwarzania takich danych (chyba, że zajdzie wyjątek, o którym mowa w art. 9 ust. 2 rozporządzenia, np. realizacja szczególnych praw w dziedzinie prawa pracy, a prawo UE lub państwa członkowskiego na to pozwala). Jako dane biometryczne należy rozumieć takie dane osobowe

„(…)które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby takiej jak wizerunek twarzy lub dane daktyloskopijne(…)”

Pomimo istnienia generalnego zakazu przetwarzania danych biometrycznych, można wyobrazić sobie sytuację, w której np. właściciele obiektów rekreacyjnych np. siłowni, klubów fitness itd. Wprowadzą możliwość np. stosowania czytnika linii papilarnych zamiast zewnętrznej karty, karnetu itd.

Jako podstawę prawną wskazując art. 9 ust. 2 lit. a rozporządzenia, który wskazuje że zakaz przetwarzania danych biometrycznych może być uchylony przez wyraźną zgodę osoby, której dane dotyczą do przetwarzania takich danych do konkretnego celu.
Rozporządzenie przewiduje jednak możliwość zablokowania możliwości przetwarzania danych biometrycznych na podstawie zgody przez prawo właściwego państwa członkowskiego.

f) W ustępie 22 preambuły zawarta jest definicja „jednostki organizacyjnej” jako podmiotu charakteryzującego się „skutecznym” i „faktycznym” prowadzeniem działalności przez „stabilne struktury”, przy czym wyraźnie zastrzeżono, że nie musi on charakteryzować się odrębną osobowością prawną – nie musi to być odrębna spółka ani nawet oddział spółki. Z pojęciem jednostki organizacyjnej związana jest zawarta w słowniku z art. 4 definicja „głównej jednostki organizacyjnej” określenie to związane jest z sytuacją, w której dany podmiot posiada więcej niż jedną jednostkę organizacyjną na terenie UE, w takiej sytuacji za główną jednostkę będzie uznawana taka, w której „znajduje się centralna administracja w Unii” tego podmiotu – co do zasady, ponieważ rozporządzenie w dalszej części inaczej definiuje główną jednostkę organizacyjną „administratora” a inaczej „podmiotu przetwarzającego”. Określanie właściwej jednostki organizacyjnej jako głównej będzie miało istotne znaczenie przy ustalaniu właściwości organów nadzorczych konkretnych państw członkowskich (w Polsce GIODO, a w innych państwach jego odpowiedników).

Na uwagę zasługuje także wprowadzenie definicji „grupy przedsiębiorstw” (składającej z przedsiębiorstwa kontrolującego i przedsiębiorstw kontrolowanych) gdzie jako decydujące kryterium wskazano między innymi kontrolowanie przetwarzania danych przedsiębiorstw przez przedsiębiorstwo kontrolujące.

g) Definicję zgody na przetwarzanie danych osobowych doprecyzowano w rozporządzeniu w ten sposób, że dodano wymaganą formę jej wyrażenia jako „okazanie woli w formie oświadczenia” lub „wyraźnego działania potwierdzającego” – co jest jedynie istotną zmianą w stosunku do dyrektywy, ponieważ w polskiej ustawie z 1997 roku zgoda utożsamiana była z oświadczeniem woli już od początku jej obowiązywania (art. 7 pkt 5 uodo).


Autor materiału:

kcieniakKarol Cieniak – Dyrektor Działu Prawnego RBDO, Specjalizacja ochrona danych, rejestracja zbiorów, audyty systemów przetwarzania danych osobowych

Absolwent prawa Akademii Leona Koźmińskiego w Warszawie. Bogate, kilkuletnie doświadczenie w zakresie doradztwa i wdrożeń z ochrony danych osobowych w spółkach, korporacjach oraz instytucjach.

Kilkaset zrealizowanych wdrożeń, audytów oraz dziesiątki szkoleń gwarantuje najwyższe kompetencje z zakresu ochrony danych osobowych.

 

Źródło:
W przypadku cytowania artykułu prosimy o bezwzględne zamieszczenie poniższych danych:

Wszelkie Prawa zastrzeżone – RBDO.PL
Rejestracja i Bezpieczeństwo Danych Osobowych
www.rbdo.pl

 


Po wejściu w życie rozporządzenia UE – kary za brak procedur przetwarzania danych wzrosną do 4% przychodu za ubiegły rok a ilość kontroli znacznie się zwiększy!

Już teraz warto poznać przegląd zmian jakie czekają na firmy po okresie vacatio legis rozporządzenia:

  • Czy Twoja firma będzie zobligowana do powołania Inspektora Ochrony Danych?
  • Jakie procedury będą obowiązywały –  np. zgłoszenie incydentu do 72 godzin!
  • Jakie nowe terminy i organy powołuje rozporządzenie unijne?

NIE MASZ PEWNOŚCI CZY TWOJA FIRMA SPEŁNIŁA OBOWIĄZKI OCHRONY DANYCH


Rekomendujemy wdrożenie jednego z poniższych wariantów, w zależności od Państwa potrzeb:

CDa) podstawowy element wymagany w niemal każej firmie i jednostce orgaznizacyjnej  – Dokumentacja ochrony danych dla firm, szkół lub organizacji – w ofercie za 99 zł netto + 23% VAT

b) jesli posiadasz dodatkowo zbiory podlegające rejestracji do GIODO  – zamów Dokumentację z Instrukcją zgłoszenia do GIODO – w ofercie za 149 zł netto + 23% VAT

c) jeśli chcesz zlecić audyt i rejestrację zbiorów prawnikowi wówczas zamów audyt z dokumentacją i rejestracją zbiorów do GIODO – 699 zł netto + 23% VAT

d) jeśli szukasz kompleksowej usługi ze szkoleniem wyznaczonej osoby – wówczas zamów kompleksowe wdrożenie ze szkoleniem + 12 m-cy wsparcia prawnego – 2690 z ł netto + 23% VAT


W przypadku pytań zapraszamy do kontaktu pod mailem: biuro@rbdo.pl lub numerem infolinii czynnej od poniedziałku do piątku w odz. 9 – 17.:  (22) 487 86 70

 


OBEJRZYJ VIDEO KANCELARII RBDO Z PREZENTACJĄ OFERTY


Zaufali nam m.in.

Zapytaj o wdrożenie

Infolinia
Jeśli potrzebują Państwo więcej informacji jakie wdrożenie wybrać, prosimy o kontakt na infolinię (czynna 9-17) lub przesłanie wiadomości przez formularz.

Infolinia: 222-905-320
Na Państwa pytanie odpowiemy w ciągu najbliższych godzin.
Zapewniamy Państwu najwyższą jakość usług. Do każdego zamówienia zapewniamy wsparcie prawnika - bez żadanego limitu!

Zaufało nam już ponad 5000 firm, instytucji i jednostek organizacyjnych!
Zapraszamy do współpracy!