Marcus

Chciałbym jak najmniejszym kosztem załatwić sprawę ochrony danych osobowych. Moja firma to zaledwie 4 osoby, zajmujemy się tworzeniem stron internetowych. Ale rzeczywiście, na własną rękę nie będę ryzykował żeby pracownik się dokształcał (bo jeszcze coś źle zrozumienie, czegoś nie doczyta) i będzie klops. Mógłbyś jakieś szkolenia polecić? Nie mam w tym doświadczenia, a ciągle lepiej mi raz przeszkolić pracownika w zakresie obowiązków z UODO, aniżeli zatrudniać jeszcze ABI w firmie do ogarniania tego wszystkiego

Często po prostu pracownika powołuje się jako ABI-ego, płaci mu tam trochę więcej i przerzuca wszystkie obowiązki o których pisał Artur. Wiele firm tak robi i z tego co widzę to dobrze im to wychodzi Ponadto, powołanie ABI-ego może nas kosztować 200-300 zł za miesiąc, podczas gdy dosłownie nic nie będzie robił .. Na początku jest tylko dużo roboty, a potem nic. No chyba że są duże zmiany w firmie, to wtedy ABI się przydaje

A co to znaczy, że ma "2) posiada odpowiednią wiedzę w zakresie ochrony danych osobowych" ? Piszesz KlaKu, że musi przejść odpowiednie szkolenia, a nie wystarczy, że sam się dokształci w tym zakresie? Ustaw o ochronie danych osobowych ma zaledwie 23 strony, do tego przeczytać kilka materiałów z strony GIODO i taka osoba nie będzie mogła być twoim zdaniem ABI-im? Nie chcę znów płacić za kolejną funkcję na papierze, wolę aby zajął się tym co najważniejsze i czego wymaga ustawa

Artur ma rację, miałem kiedyś taką sprawę i inspektorzy z PiP stwierdzili, że aby był to wypadek w drodze z pracy to nie musiałem jechać do domu, tylko mogłem jechać do znajomego. Ważne aby nie był to odległy cel, bo jak jedziesz na drugi koniec polski, to raczej nie jest to powrót najkrótszą droga do domu

Możesz za to skopiować (przerobić/edytować/dostosować) politykę bezpieczeństwa często szkół/uczelni, czy też innych organów państwowych, które wprost wskazują, że opierają się na tej normie. Jest to taki lifehack, na którym możemy się oprzeć. I tak, i tak taka norma będzie musiała być dostosowana, więc będziemy mieli 2 w jednym

Przy formularzu rejestracyjnym nie trzeba o niczym dodatkowym informować, wszelkie informacje masz mieć w regulaminie/polityce prywatności. Art. 23 ust. 5 ustawy o ochronie danych osobowych jest podstawą do przetwarzania adresu e-mail w twoich celach marketingowych, związanych z określonym forum. Nie trzeba z tego też powodu mieć dodatkowej zgody, która jest zaznaczona za pomocą odpowiedniego checkbox-a. Wiele osób daje te checkboxy, ale najczęściej w ślepo kopiujące inne fora

Jednak zapominacie, że art. 32 wymienia prawa związane z danymi osobowymi w sposób ogólny. To inne przepisy wyznaczają obowiązek informacyjny tj. art. 24 oraz art. 25 24 ustawy o ochronie danych osobowych "1. W przypadku zbierania danych osobowych od osoby, której one dotyczą, administrator danych jest obowiązany poinformować tę osobę o: 1) adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna - o miejscu swojego zamieszkania oraz imieniu i nazwisku; 2) celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informac

Dzięki artur, zastanawiałem się też nad tym .. bo trochę tych danych rozsyłam po urzędach, a chciałem mieć już zapiętą na ostatni guzik sprawę związaną z ochroną danych osobowych.

Trochę tych przepisów jest, ciekawe czy są w użyciu w ogóle: "Art. 49. 1. Kto przetwarza w zbiorze dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do których przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. 2" "1. Kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. 2" "Kto administrując danymi narusza choćby nieumyśln

Cześć, słyszałem że nie każdy może być ABI. W związku z tym mam pytanie, jakie wymagania musi spełnić taka osoba. Czy są to jakieś szczególne wymagania? Chciałbym jednego z pracowników mianować ABI-im, aby załatwiał dla nas wszystkie sprawy, które są bezpośrednio związane z danymi osobowymi. Tylko się zastanawiam, czy musiałby przejść jakieś szkolenie etc., które są przeprowadzane dla ABI-ich.

Na rynku jest wiele ofert, które pomagają w przeprowadzeniu szkolenia z zakresu ochrony danych osobowych. Zastanawiam się, czy nie skorzystać z takiego szkolenia, chociaż w internecie jest wiele opinii, że lepiej samemu przeprowadzić takie szkolenie na podstawie materiałów, które posiadamy w firmie. A gdybym jednego z pracowników chciał mianować ABI-im, aby łatwiej się rozliczać, to czy musiałbym wysłać go na jakieś szkolenie? Czy taki pracowników musiałby mieć jakiś ceryfikat aby prowadzić dla nas szkolenie i wykonywać inne obowiązki z uodo?

Cześć, ktoś z Was ogarnął w jaki sposób wyznaczyć powiązania strukturalne pomiędzy różnymi zbiorami danych osobowych? Mam z tym poważnym problem, ponieważ nie wiem w jaki sposób wyznaczyć/stworzyć takie powiązania w moich zbiorach danych osobowych (pracownicze, klientów, do celów marketingowych, kandydatów do pracy). Na stronie GIODO są jakieś dziwne tabelki, ale nie rozumiem o co mu chodzi dokładnie. Prosiłbym o jakieś logiczne wyjaśnienie

Przy uważnym przeczytania ustawy o świadczeniu usług droga elektroniczną oraz ustawy o ochronie danych osobowych będzie to łatwe do zrobienia, o ile nie posiadasz jakiś płatnych funkcji. Wtedy będziesz musiał wziąć pod uwagę jeszcze ustawy o ochronie praw konsumentów, która może mieć decydujące znaczenie w tym zakresie. Niestety, ale w projektach na które wydajemy nie małe pieniądze nie warto oszczędzać na tych dokumentów, w razie sporu z użytkownikami będą podstawą. Regulamin można potraktować jako ogólny wzór umowy, który będzie możliwy do pobrania w wersji pdf - ale to przy większych projek

Ten wzór z gofin dobry, o ile ktoś jest w stanie precyzyjnie określić zbiór danych osobowych, które taka osoba będzie przetwarzać i do których ma dostęp. Często po biurach walają się wszystkie papiery i to dosłownie z wszystkich zbiorów danych osobowych .. Dlatego czasem trzeba by było takiego pracownika upoważnić wręcz do wszystkiego, aby mógł przetwarzać tego typu dane osobowe. Ponadto trzeba wiedzieć, kto jest upoważniony do podpisania takiego upoważnienia. Jest to problem w szczególności w spółkach, gdzie nie zna się do końca zasad reprezentacji.

Nazwę zbioru najlepiej wskazuje ze względu na podstawę prawną, którą posiadasz do jego przetwarzania. Każda nowa podstawa prawna będzie stwarzała nowy zbiór danych. Dla przykładu, z pewnością masz dane klientów - jednakże część to będą dane, które są niezbędne ze względu na prowadzenie z nimi transakcji (a więc art. 23 ust. 3), a z drugiej strony artykuł ten nie jest wystarczającą podstawą do tego, aby wysyłać do nich tych klientów maile z wiadomościami marketingowymi twojej firmy (tutaj masz art. 23 ust. 5). A więc będziesz miał 2 zbiory - zbiór danych klientów do wykonania umowy i zbiór adre

U nas stosowane są proste środki tj. zabezpieczenie serwerów i komputerów za pomocą oprogramowania antywirusowego, sprzętowy firewall, zmiana haseł. Oprócz tego dokumenty papierowe trzymamy za zamkniętymi drzwiami. Ważna jest też polityka upoważniania osób do tego, aby mogli korzystać z określonego zbioru danych. Dostęp do pomieszczeń z określonymi zbiorami danych mają tylko wskazane osoby w ewidencji, w ten sposób udaje się utrzymywać ład i porządek, a w razie czego wiadomo kto będzie ponosił odpowiedzialność.

Duże firmy mają swoje własne procedury, a jak są związane z spółkami z innych państw to już w ogóle kopiują wszelkie postanowienia. W przypadku UE prawo jest mniej-więcej takie samo w wielu dziedzinach życia, ale już w porównaniu do USA to nasze prawo jest zupełnie inne. Dlatego GIODO powinien kontrolować większe podmioty, który obracają licznymi danymi i to na swoich własnych, w ogóle nie dostosowanych do naszego prawa zasadach ... Jak opowiadałem znajomym pracującym w korpo jakie są zasady przetwarzania danych osobowych to opowiadali o własnych procedurach - gdzie terminy zmiany haseł były c

Ja rozliczałem się w ten sposób, że płaciłem za dokumentację (600zł), przeszkolenie (100zł) oraz w razie, gdy coś się zmieni w firmie to mogę skorzystać z audytu (w zależności od potrzebnego nakładu pracy 50-200zł). Na co dzień właśnie nie ma nic do roboty, ważne jest to, aby przestrzegać to, co jest napisane w polityce bezpieczeństwa informacji, upoważnieniach oraz instrukcji zarządzania. Z tym są największe problemy, aby to w ogóle przestrzegać

Przyjmuje się, że samo podanie adresu e-mail wystarcza do tego, aby można było przesyłać mu materiały reklamowe od administratora danych (a nie osób trzecich). Tą kwestię reguluje art. 23 ust. 1 pkt ustawy o ochronie danych osobowych tj. "1. Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy: 5) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą." A zgodnie z art 23 ust 4 ". Za prawnie usprawiedliwiony cel, o którym mowa w ust. 1 pkt 5, u

Dzięki za artykuł, rzeczywiście dał odpowiedź na stawiane pytanie: "Należy bowiem podkreślić, że zgodnie z definicją legalną określoną w art. 7 pkt 7 ustawy o ochronie danych osobowych, przez państwo trzecie rozumie się państwo nienależące do Europejskiego Obszaru Gospodarczego. Jednocześnie ustawodawca wprowadził jedynie dodatkowe wymogi dotyczące przekazywania danych osobowych do państw trzecich. Oznacza to, że przepływ danych w obrębie Europejskiego Obszaru Gospodarczego jest traktowany tak samo, jak transfer danych na terytorium Polski. Zasada ta dotyczy wszystkich państw członkowskic