News – CompNet

RODO: 2,8 mln zł. kary! Największa kara w Polsce...

Prezes Urzędu Ochrony Danych Osobowych (Prezes UODO) nałożył na spółkę Morele.net karę w wysokości ponad 2,8 mln zł.

Zastosowane przez spółkę środki organizacyjne i techniczne ochrony danych osobowych nie były odpowiednie do istniejącego ryzyka związanego z ich przetwarzaniem, przez co dane około 2 mln 200 tys. osób dostały się w niepowołane ręce. Zabrakło odpowiednich procedur reagowania na wypadek pojawiania się nietypowego ruchu w sieci – uznał Prezes UODO.

Więcej informacji i oryginalny tekst tutaj…

Źródło: https://uodo.gov.pl/pl

Przetwarzanie danych osobowych ławnika przez Sąd – na jakich warunkach?

We wzorze „Karty zgłoszenia kandydata na ławnika”, stanowiącej załącznik do rozporządzenia Ministra Sprawiedliwości z 9 czerwca 2011 r. w sprawie sposobu postępowania z dokumentami złożonymi radom gmin przy zgłaszaniu kandydatów na ławników oraz wzoru karty zgłoszenia (Dz.U. Nr 121, poz. 693), została zawarta klauzula zgody na podstawie poprzednio obowiązującej ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych o treści: „Stosownie do art. 7 pkt 5 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926, z późn. zm.) oświadczam, że wyrażam zgodę na przetwarzanie moich danych osobowych zamieszczonych w niniejszej karcie zgłoszenia w zakresie niezbędnym do przeprowadzenia procedury wyboru ławników przez radę gminy oraz do czynności administracyjnych sądu związanych z organizacją pracy ławników.”. Czy wobec tego klauzula zgody nie powinna być również pobierana na podstawie obecnie obowiązujących przepisów Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U.UE.L.2016.119.1 z późn. zm.)?

Nie. Istnieje bowiem inna podstawa prawna przetwarzania danych osobowych, najpierw kandydatów na ławników, a po wyborze – ławników, wskazana w art. 6 ust. 1 oraz w art. 9 ust. 2 RODO.

Dlaczego nie powinniśmy pobierać zgody na przetwarzanie danych osobowych?

Art. 4 pkt 11 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U.UE.L.2016.119.1 z późn. zm.), dalej RODO, stanowi, że „zgoda osoby, której dane dotyczą, oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych”.

Art. 7 ust. 3 RODO wskazuje na podstawową cechę zgody: „Osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem. Osoba, której dane dotyczą, jest o tym informowana, zanim wyrazi zgodę. Wycofanie zgody musi być równie łatwe jak jej wyrażenie.”

Z ww. przepisu jasno wynika, że osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę na przetwarzanie danych osobowych. Skoro przesłance zgody osoby, której dane dotyczą, na przetwarzanie danych osobowych w jednym lub większej liczbie określonych celów, przypisuje się możliwość decydowania o swoich danych osobowych, to wycofanie zgody, o którym mowa w art. 7 ust. 3 RODO zapewnia możliwość skorzystania z tego uprawnienia w każdej chwili. Możliwość wycofania zgody przez podmiot danych, powinna zapobiegać zbieraniu zgód “na zapas”, szczególnie w przypadku, gdy administrator dysponuje inną przesłanką legalizującą przetwarzanie danych w określonym celu.

Skutkiem cofnięcia zgody na przetwarzanie danych osobowych przez osobę, której dane dotyczą, będzie brak możliwości powoływania się na tę przesłankę legalizującą przetwarzanie danych osobowych przez administratora. Jeżeli administrator danych osobowych, zebrał dane osobowe na podstawie zgody, to po wycofaniu zgody przez podmiot danych, nie powinien dalej przetwarzać tych danych z powołaniem się na inną podstawę prawną ich przetwarzania, wskazaną w art. 6 ust. 1
lub art. 9 ust. 2 RODO.

Biorąc pod uwagę powyższe, należy wysnuć wniosek, że jeżeli ławnik, w związku z pełnieniem funkcji ławnika i umieszczeniem jego danych osobowych na liście ławników, najpierw złożyłby oświadczenie o wyrażeniu zgody na przetwarzanie danych osobowych, to po jej wycofaniu administrator (prezes sądu) nie miałby możliwości powoływania się na tę przesłankę legalizującą przetwarzanie danych osobowych oraz nie mógłby dalej przetwarzać tych danych z powołaniem się na inną podstawę prawną ich przetwarzania, wskazaną w art. 6 ust. 1 lub art. 9 ust. 2 RODO.

Biorąc pod uwagę powyższe rozważania, klauzula zgody nie powinna być pobierana na podstawie obecnie obowiązujących przepisów Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U.UE.L.2016.119.1 z późn. zm.).

Jaka zatem istnieje inna podstawa prawna przetwarzania danych osobowych, najpierw kandydatów na ławników, a po wyborze – ławników?

Przesłanką przetwarzania danych osobowych, najpierw kandydatów na ławników, a po wyborze – ławników, jest art. 6 ust. 1 lit. c RODO (przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze), art. 6 ust. 1 lit. e RODO (przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi) oraz art. 9 ust. 2 lit. g RODO (przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie i konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą).

Przetwarzanie tzw. zwykłych danych osobowych oraz szczególnej kategorii danych kandydatów na ławników/ławników wynika z następujących przepisów prawa:

Ustawy z dnia 27 lipca 2001 r. Prawo o ustroju sądów powszechnych (tekst jednolity: Dz.U. z 2019 r. poz. 52 z późn. zm.)
Rozporządzenia Ministra Sprawiedliwości z 9 czerwca 2011 r. w sprawie sposobu postępowania z dokumentami złożonymi radom gmin przy zgłaszaniu kandydatów na ławników oraz wzoru karty zgłoszenia (Dz.U. Nr 121, poz. 693).

Zgodnie z art. 164 § 1 ustawy z dnia 27 lipca 2001 r. Prawo o ustroju sądów powszechnych
„Listę wybranych ławników wraz z dokumentami, o których mowa w art. 162 § 2-4[1], rady gmin, które dokonały ich wyboru, przesyłają prezesom właściwych sądów, najpóźniej do końca października. Spośród ławników znajdujących się na liście wybranych ławników rady gmin wskazują ławników do orzekania w sprawach z zakresu prawa pracy.”

Na podstawie § 4 rozporządzenia Ministra Sprawiedliwości z 9 czerwca 2011 r. w sprawie sposobu postępowania z dokumentami złożonymi radom gmin przy zgłaszaniu kandydatów na ławników oraz wzoru karty zgłoszenia, przekazują również informacje uzyskane od komendantów policji w trybie art. 162 § 9[2].

Załącznik do powyższego rozporządzenia wskazuje również, że informacje zawarte w karcie zgłoszenia kandydata na ławnika, są jednocześnie wykorzystywane przez administrację sądu, a w razie zaistnienia jakichkolwiek zmian, ławnik powinien je zgłosić do oddziału administracyjnego właściwego sądu.

Praktyczne przypomnienia i wskazówki:

Nie należy odbierać od ławników klauzuli zgody na przetwarzanie danych osobowych, gdyż przesłanką przetwarzania danych osobowych, najpierw kandydatów na ławników, a po wyborze – ławników, jest art. 6 ust. 1 lit. c RODO, art. 6 ust. 1 lit. e RODO oraz art. 9 ust. 2 lit. g RODO.
Nie należy zbierać zgód “na zapas”, szczególnie w przypadku, gdy administrator dysponuje inną przesłanką legalizującą przetwarzanie danych w określonym celu.
Należy pamiętać, że osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę na przetwarzanie danych osobowych. Wycofanie zgody skutkuje obowiązkiem zaprzestania przetwarzania danych osobowych od momentu wycofania zgody. W przypadku wycofania zgody na przetwarzanie danych osobowych przez ławnika, administrator (prezes sądu) nie ma możliwości realnej realizacji tego prawa, gdyż jest zobowiązany do przetwarzania danych osobowych ławnika przepisem prawa.
W związku z tym, iż zgodnie z art. 175a Ustawy z dnia 27 lipca 2001 r. Prawo o ustroju sądów powszechnych, administratorem danych osobowych ławników jest prezes sądu, w celu spełnienia obowiązku poinformowania ławników o przetwarzaniu ich danych osobowych, w związku z pełnieniem funkcji ławnika, można w „Karcie ewidencyjnej ławnika” (urzędowym dokumencie sporządzanym i prowadzonym na potrzeby sądu) zawrzeć klauzulę informacyjną. Aby zapewnić większą przejrzystość warto skorzystać z warstwowych sposobów informowania. W Karcie zamieszczamy klauzulę, zawierającą najważniejsze, podstawowe informacje – wskazanie administratora, celu i podstawy przetwarzania oraz miejsca, gdzie można uzyskać pełną informację, czyli adres strony internetowej, na której znajduje się pełna treść klauzuli informacyjnej o przetwarzaniu danych osobowych lub informujemy o możliwości uzyskania tych informacji w siedzibie administratora. Poniżej przykładowa treść klauzuli:

Administratorem danych osobowych, przetwarzanych w związku z pełnieniem funkcji ławnika Sądu Rejonowego w ……………….. , jest Prezes Sądu …………….. z siedzibą w ………… Państwa dane osobowe, będą przetwarzane wyłącznie w związku z pełnieniem funkcji ławnika, na podstawie art. 6 ust. 1 lit. c, e oraz art. 9 ust. 2 lit. g Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U.UE.L.2016.119.1 z późn. zm.). Szczegółowe informacje na temat przetwarzania danych osobowych oraz opis przysługujących Państwu praw z tego tytułu, znajduje się na stronie internetowej ………………………. oraz w siedzibie Administratora. W sprawach związanych z przetwarzaniem Państwa danych osobowych, można skontaktować się z Inspektorem Ochrony Danych pod adresem e-mail: ………………………………….

Autor: Monika Kowalik, Inspektor Ochrony Danych w sądach,
Kierownik Projektu w CompNet Sp. z o.o.

Przypisy:

§ 2. Do zgłoszenia kandydata na ławnika dokonanego na karcie zgłoszenia dołącza się następujące dokumenty:
1) informację z Krajowego Rejestru Karnego dotyczącą zgłaszanej osoby;
2) oświadczenie kandydata, że nie jest prowadzone przeciwko niemu postępowanie o przestępstwo ścigane z oskarżenia publicznego lub przestępstwo skarbowe;
3) oświadczenie kandydata, że nie jest lub nie był pozbawiony władzy rodzicielskiej, a także, że władza rodzicielska nie została mu ograniczona ani zawieszona;
4) zaświadczenie lekarskie o stanie zdrowia, wystawione przez lekarza podstawowej opieki zdrowotnej, w rozumieniu przepisów ustawy z dnia 27 października 2017 r. o podstawowej opiece zdrowotnej (Dz.U. poz. 2217 oraz z 2018 r. poz. 1000 i 1544), stwierdzające brak przeciwwskazań do wykonywania funkcji ławnika;
5) dwa zdjęcia zgodne z wymogami stosowanymi przy składaniu wniosku o wydanie dowodu osobistego
§ 3. Do zgłoszenia kandydata na ławnika dokonanego na karcie zgłoszenia przez stowarzyszenie, inną organizację społeczną lub zawodową, zarejestrowaną na podstawie przepisów prawa, dołącza się również aktualny odpis z Krajowego Rejestru Sądowego albo odpis lub zaświadczenie potwierdzające wpis do innego właściwego rejestru lub ewidencji dotyczące tej organizacji.
§ 4. Do zgłoszenia kandydata na ławnika dokonanego na karcie zgłoszenia przez obywateli dołącza się również listę osób zawierającą imię (imiona), nazwisko, numer ewidencyjny PESEL, miejsce stałego zamieszkania i własnoręczny podpis każdej z pięćdziesięciu osób zgłaszających kandydata
§ 9. Rady gmin zasięgają od komendanta wojewódzkiego Policji albo Komendanta Stołecznego Policji informacji o kandydatach na ławników. Informacje o kandydacie na ławnika uzyskuje się i sporządza na zasadach określonych dla informacji o kandydacie do objęcia stanowiska sędziowskiego.

© Copyright by CompNet Sp. z o. o.

CompNet Sp. z o.o.– prelegentem podczas Kongresu Zarządzania Administracją Samorządową we Wrocławiu w dniu 4-5.06.19 r.

Mieliśmy zaszczyt i przyjemność wziąć udział w debacie dotyczącej ochrony danych osobowych w kontekście dostępu do informacji publicznej. Swoją obecnością zaszczyciła nas min. Pani Monika Krasińska – Dyrektor UODO, z którą wspólnie staraliśmy się podzielić swoją wiedzą i doświadczeniem z uczestnikami. Temat spotkał się z dużym zainteresowaniem i dyskusją uczestników. To uświadomiło wszystkim jak wiele obszarów ochrony danych osobowych wymaga jeszcze doprecyzowaniu oraz jak wiele wyzwań stoi jeszcze przed Inspektorami Ochrony Danych oraz Administratorami Danych.

http://www.kongresadministracji.pl/

Zapraszamy na webinarium - Cyberbezpieczeństwo jednostek publicznych

Jeżeli nie byłeś z nami na webinarium 29.05 możesz uzyskać dostęp do materiału poprzez rejestrację.

Mamy rok jak RODO weszło w życie, z tej okazji CompNet Sp. z o.o. we współpracy z firmą Microsoft ma przyjemność zaprosić na webinarium poświęcone tematyce cyberbezpieczeństwa w jednostkach publicznych w świetle obowiązujących przepisów prawa.

Na spotkaniu dowiedzą się Państwo jakie obowiązują przepisy prawa w instytucjach publicznych
w kontekście cyberbezpieczeństwa, jak szacować incydenty i wdrażać odpowiednie praktyki.

Szczegółowa agenda:

Incydenty w administracji publicznej.
Incydenty a wymogi prawne:
1. RODO: Rozporządzenie o Ochronie Danych Osobowych.
2. RKRI: Rozporządzenie w sprawie Krajowych Ram Interoperacyjności.
3. UKSC: Ustawa o Krajowym Systemie Cyberbezpieczeństwa.
Rozwiązania minimalizujące ryzyko wystąpienia incydentu.
Zgodność z przepisami i standardami rozwiązań chmury publicznej.

Serdecznie zapraszamy do rejestracji!

RODO. Jest pierwsza kara i od razu na milion zł...

Jak podaje portal money.pl, milion złotych kary za złamanie przepisów o ochronie danych osobowych otrzymała firma, która przetwarza ogólnodostępne w internecie dane. To pierwsza kara w związku z RODO.

Firma z Warszawy dostała milion zł kary za złamanie RODO. Nie poinformowała o przetwarzaniu danych. “Rzeczpospolita” dotarła do szczegółów postępowania. Z decyji wydanej 15 marca wynika, że warszawska spółka gromadząca ogólnodostępne w internecie dane osób prowadzących działalność (podane przez nich w CEiDG KRS, GUS, CEPiK, Monitorze Sądowym i Gospodarczym) tworzyła z tego bazy danych, pozwalające na weryfikację wiarygodności tych podmiotów.

więcej informacji i teks oryginalny tutaj...

źródło: money.pl

O czym należy pamiętać przy udostępnianiu Danych Osobowych...

Często otrzymujemy pytanie od klientów dotyczące udostępnienia danych osobowych „Czy można udostępnić dane?”. Pytania te równie często zaczynają się od słów „Do tej pory udostępnialiśmy dane ale teraz jest RODO i nie wiemy”.

W związku z tym spróbuje przedstawić kilka najważniejszych zasad, którymi powinny się kierować jednostki udostępniające dane. Jednak zanim przedstawię zasady, wrócę do samego początku, czyli do tego czym jest udostępnienie danych.

Udostępnianie danych jest jednym
z elementów przetwarzania danych. Mówiąc wprost udostępnianie to przetwarzanie danych osobowych. Zapis taki został zawarty w art. 4 pkt 2 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku
z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie
o ochronie danych – dalej RODO) „przetwarzanie” oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.

W związku z tym, mając na uwadze powyższą definicję, odpowiedź na pytanie, czy mogę udostępnić dane jest bardzo prosta – możesz, kiedy masz przesłanki przetwarzania danych osobowych.

Natomiast przesłanki przetwarzania danych osobowych znajdują się w art. 6, 9 i 10 RODO. Gdy mowa o danych „zwykłych” należy odnieść się do przetwarzanie przetwarzania (udostępnienia) danych z art. 6 ust. 1 RODO i są nimi:

zgoda osoby, której dane dotyczą – osoba wyraża zgodę na udostępnienie danych;
umowa lub dane niezbędne przed zawarciem umowy – w związku z realizacją umowy będzie wymagane udostępnienie danych;
przepis prawa – szczegółowy przepis prawa zezwala, nakazuje udostępnienia danych;
żywotne interesy osoby – dane osoby są udostępniane w związku z żywotnym interesem osoby;
zadanie realizowane w interesie publicznym – dane osoby są udostępniane w związku
z interesem publicznym;
prawnie uzasadniony interes administratora – administrator wykaże prawnie uzasadniony interes by udostępnić dane.

Natomiast w przypadku udostępnienia szczególnej kategorii danych, przesłanki do tego udostępnienia znajdują się w art. 9 ust. 2 RODO i są nimi m.in.:

zgoda osoby;
udostępnienie jest niezbędne do wypełnienia szczególnych praw w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone prawem;
udostępnienie jest niezbędne ze względów związanych z ważnym interesem publicznym,
na podstawie prawa;
udostępnienie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy.

W przypadku udostępnienia danych dotyczących wyroków skazujących i czynów zabronionych przesłankami przetwarzania danych będą przesłanki
z art. 6 ust. 1, czyli przesłanki udostępnienia danych „zwykłych”.

Gdy już wiemy, kiedy udostępniać dane warto przejść do zasad, którymi należy kierować się przy ich udostępnianiu:

1. Posiadaj wniosek o udostępnienie danych.

Zawsze posiadaj dowód na to, że jakaś jednostka chce od Ciebie dane osobowe.

Mogą pojawić się sytuacje, gdy należy udostępnić dane ad hoc (są to sytuacje nieciepiące zwłoki), wtedy należy sporządzić notatkę służbową, która będzie zawiera informacje o udostępnieniu.

2. Sprawdź podstawę udostępnienia.

Zawsze sprawdź, czy we wniosku jest podstawa prawna i czy jest ona prawidłowa. Bardzo częstą praktyką jest przesyłanie wniosków o udostępnienie danych bez podstawy prawnej. Tak jak już wcześniej zostało przedstawione, by móc udostępnić dane musi zostać przedstawiona przesłanka przetwarzania. Jeżeli przesłanką przetwarzania jest przepis prawa, we wniosku musi także być powołanie na szczegółowy przepis prawa. Takim szczegółowym przepisem prawa może być:

Art. 15 § 2 Kodeksu Postępowania Karnego – Wszystkie instytucje państwowe i samorządowe są obowiązane w zakresie swego działania
do udzielania pomocy organom prowadzącym postępowanie karne w terminie wyznaczonym przez te organy;
Art. 105 ust. 1 Ustawy o pomocy społecznej – Jednostki sektora finansów publicznych, w tym sądy, Policja, Zakład Ubezpieczeń Społecznych, Kasa Rolniczego Ubezpieczenia Społecznego
i organy administracji publicznej, a także kuratorzy sądowi, pracodawcy, podmioty wykonujące działalność leczniczą, przedszkola, szkoły, placówki, poradnie i ośrodki, o których mowa w art. 2 pkt 1-8 ustawy z dnia 14 grudnia 2016 r. – Prawo oświatowe (Dz.U. z 2018 r. poz. 996, 1000 i 1290), szkoły wyższe, organizacje pozarządowe, o których mowa w art. 3 ust. 2 ustawy z dnia 24 kwietnia 2003 r. o działalności pożytku publicznego i o wolontariacie oraz podmioty wymienione w art. 3 ust. 3 tej ustawy są obowiązani niezwłocznie, nie później jednak niż w terminie 7 dni od dnia otrzymania wniosku kierownika ośrodka pomocy społecznej lub pracownika socjalnego udostępnić informacje, które mają znaczenie dla rozstrzygnięcia
o przyznaniu lub wysokości świadczeń z pomocy społecznej, dla ustalenia wysokości odpłatności za świadczenia z pomocy społecznej lub
dla weryfikacji uprawnień do świadczeń z pomocy społecznej, wysokości tych świadczeń
lub odpłatności za te świadczenia.

W przypadku braku podstawy lub przywołanie niewłaściwej podstawy należy skierować pismo
z prośbą o uzupełnienie wniosku.

3. Przygotuj tylko niezbędne dane.

Udostępniając dane sprawdź, czy podmiot ma prawo do wszystkich danych, o które prosi. Zakres danych powinien być zgody z przepisem, który podmiot przywołuje w celu udostępnienia danych. Udostępnij tylko te dane, do których podmiot ma prawo i tylko te, o które prosi.

4. Zabezpiecz udostępniane dane.

Udostępniając dane musisz pamiętać o ich odpowiednim zabezpieczeniu. Należy zminimalizować możliwość dostępu do danych osobom nieuprawnionym.

Dane udostępniane w formie elektronicznej powinny być zaszyfrowane a hasło dostępu powinno być przekazywane za pomocą innych środków. Dane udostępniane w formie papierowej powinny być przesyłane za potwierdzeniem odbioru lub dostarczone bezpośrednio do podmiotu wnioskującego. Sposób udostępnienia
i zabezpieczenia zawsze zależy od zakresu udostępnianych danych.

5. Prowadź ewidencję.

Odnotuj udostępnienie danych. Bardzo dobrą praktyką jest prowadzenie ewidencji udostępnionych danych. Taka ewidencja powinna zawierać
w szczególności:

Dane osoby, której dane były udostępniane;
Dane podmiotu wnioskującego;
Podstawę udostępnienia;
Datę udostępnienia;
Zakres udostępnienia.

Taka ewidencja może okazać się przydatna przy spełnieniu praw przysługujących osobom, których dane są przetwarzane.

Wracają do przytoczonego na początku pytania „Czy można udostępnić dane?”, odpowiedź nasuwa się sama. Postępując zgodnie z powyższymi zasadami, przejście ich krok po kroku, zapewni właściwe podjęcie decyzji. Podstawowym pytaniem, które powinno paść, jest tutaj pytanie o podstawę udostępnienia danych i od tego powinno się zacząć.

Autor: Krzysztof Juszczak, Ekspert Ochrony Danych Osobowych
i Bezpieczeństwa Informacji w CompNet Sp. z o.o.

Już prawie 60 operatorów usług kluczowych...

Trwają intensywne prace ministerstw i KNF dotyczące wyznaczania operatorów usług kluczowych. W ramach prowadzonych postępowań administracyjnych zostało wydanych 57 decyzji uznających podmioty za operatorów w najważniejszych sektorach gospodarki.

Ustawa o krajowym systemie cyberbezpieczeństwa określa najistotniejsze dla funkcjonowania Państwa sektory gospodarki: energetyczny, transportowy, bankowy i infrastruktury rynków finansowych, ochrony zdrowia, zaopatrzenia w wodę pitną (wraz z dystrybucją) i infrastruktury cyfrowej.

Jednym z najważniejszych obowiązków spoczywających na 6 ministerstwach i KNF będących organami właściwymi do spraw cyberbezpieczeństwa jest wyznaczenie operatorów usług kluczowych. Dotychczas wszczęto łącznie 327 postępowań administracyjnych, w wyniku których już 57 podmiotów otrzymało decyzję.

Poniżej przedstawiamy aktualną liczbę operatorów w poszczególnych sektorach:
– Sektor Energii – 13 operatorów,
– Sektor Transportu – 6 operatorów,
– Sektor Bankowości i infrastruktury rynków finansowych – 19 operatorów,
– Sektor Ochrony zdrowia – 12 operatorów,
– Sektorze Infrastruktury cyfrowej – 7 operatorów.

Jednocześnie należy zaznaczyć, że nadal trwają analizy w poszczególnych sektorach, w związku z czym ostateczna liczba operatorów może się zmienić.

źródło: Ministerstwo Cyfryzacji