Przekazanie danych osobowych do tzw. chmury (zapewnianej przez zewnętrznego usługodawcę) jest niczym innym jak powierzeniem ich przetwarzania. Nie można niestety wykluczyć wycieku tych danych lub innego naruszenia ich ochrony. W takiej sytuacji za naruszenie może odpowiadać zarówno administrator, który przekazał te dane, jak i podmiot przetwarzający, czy dostawca usługi chmurowej. Kiedy i w jakim zakresie? Wyjaśniamy to w temacie tygodnia.

Pytanie:  W jednym z marketów została na monitoringu została zarejestrowana kradzież? Właściciel sklepu chce zlecić emisję spotu z wizerunkiem złodzieja. Czy będzie to zgodne z przepisami?

Pytanie:  Czy administrator danych osobowych powinien podpisać oświadczenie o zapoznaniu się z przepisami ochrony danych i polityką bezpieczeństwa?

Nie każdy zwrócił na to uwagę, ale od ponad 2 miesięcy obowiązuje nowa ustawa o krajowym systemie cyberbezpieczeństwa. W przypadku niektórych podmiotów ustawa ta zwiększa i tak szeroki zakres obowiązków, jaki ciąży na administratorach danych osobowych i podmiotach przetwarzających. Sprawdź, czy spoczywają na Tobie dodatkowe obowiązki w związku z cyberbezpieczeństwem.

Korzystając z poczty elektronicznej można bardzo łatwo popełnić błąd polegający na ujawnieniu adresów e-mail albo wysłaniu zawartości wiadomości osobom nieupoważnionym. W takim przypadku dochodzi do omyłkowego udostępnienia danych, które może być kwalifikowane jako naruszenie RODO. Już bowiem sam adres e-mail może stanowić dane osobowe. Dostęp do danych uzyskują wówczas osoby nieuprawnione. Zobacz, jak postąpić w tej trudnej sytuacji.

Uchwalona w ostatnim czasie ustawa z dnia 10 maja 2018 roku o ochronie danych osobowych w art. 107 i 108 przewiduje odpowiedzialność karną za popełnienie opisanych w nich przestępstw. Stosownie do art. 107 ust. 1 Ustawy o ochronie danych osobowych, kto przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do ich przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch. Natomiast w ust. 2 stwierdzono, że jeżeli czyn określony w ust. 1 dotyczy danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, danych genetycznych, danych biometrycznych przetwarzanych w celu jednoznacznego zidentyfikowania osoby fizycznej, danych dotyczących zdrowia, seksualności lub orientacji seksualnej, sprawca podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat trzech. Ponadto w art. 108 ustawy została przewidziana odpowiedzialność karna za udaremnienie lub utrudnienie kontrolującemu prowadzenie kontroli przestrzegania przepisów o ochronie danych osobowych.

Administrator tzw. fanpage’a na portalu społecznościowym Facebook jest administratorem danych osobowych osób, które odwiedzają ten fanpage. Tak orzekł Trybunał Sprawiedliwości Unii Europejskiej z 5 czerwca 2018 r. Wyrok ten, choć wprost dotyczy poprzednio obowiązujących przepisów, to jednak ma kluczowe znaczenie w interpretowaniu RODO.

Pytanie:  Czy powiat powinien zawrzeć umowę powierzenia przetwarzania danych z biurem podatkowym, w związku ze świadczeniem usług doradztwa podatkowego? Doradca twierdzi, że na podstawie ustawy o doradztwie podatkowym ma samodzielne obowiązki, realizuje zadania zgodnie z przepisami i w ramach podpisanej umowy nie jest podmiotem przetwarzającym a administratorem więc podpisanie umowy powierzenia nie może nastąpić między dwoma administratorami. Zgodnie z umową usługi doradztwa podatkowego mają być świadczone w zakresie VAT.

Pytanie:  W trakcie współpracy z jednym klientów nastąpił wyciek danych osobowych (karty medyczne zawierające imię, nazwisko i numer ewidencyjny przez pomyłkę trafiły w niepowołane ręce). Karty zostały natychmiast dostarczone do działu personalnego i przesłane do klienta z prośbą o wyjaśnienie. W ramach działań zaradczych karty plastikowe zostały zastąpione kartami elektronicznymi, aby wyeliminować zaistniałą sytuację w przyszłości. Czy administrator postąpi prawidłowo, ewidencjonując to zdarzenie w rejestrze naruszeń, jednak ze względu na natychmiastowe wprowadzenie środków zaradczych nie informując organu nadzorczego?

Obowiązek informacyjny, który należy spełnić wobec podmiotów danych, nie jest nowością. Był on znany również na gruncie polskich przepisów obowiązujących do 25 maja 2018 r. RODO rozszerza jednak zakres informacji, jakie trzeba przekazać osobom, których dane się pozyskuje. Dowiedz się, jak możesz zrealizować ten obowiązek zgodnie z RODO.