Temat: Obowiązek informacyjny

W jaki sposób wypełniacie obowiązek informacyjny w odniesieniu do takich zbiorów jak rejestr/ewidencja korespondencji gdzie przetwarzane są dane z korespondencji pocztowej bądź mailowej?
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Obowiązek informacyjny

Przecież te dane nie są przetwarzane tylko w rejestrze/ewidencji korespondencji, lecz w całym procesie wymiany korespondencji. Sam system poczty elektronicznej, teczki spraw, EZD, ePUAP - przede wszystkim tam są dane, nie tylko w rejestrach.

Moim zdaniem obowiązek informacyjny powinien być spełniony w pierwszej korespondencji zwrotnej do tej osoby.
Jan S.

Jan S. Trener biznesu / ODO
/ ABI

Temat: Obowiązek informacyjny

Chyba kłopot dotyczy korespondencji samej w sobie.

Nie każda skierowana do urzędu, a w szczególności firmy, korespondencja staje się "sprawą".

W kontekście UODO zawsze stosowaliśmy zwolnienie dot. posiadania już wiedzy. W większości sytuacji strony korespondencji mają wiedzę w zakresie celu i danych podmiotu, który przetwarza dane.

RODO w Art. 13.4 i Art. 14.5 posiada analogiczne zwolenienia.

Natomiast w przypadku jeśli mail lub dane z maila są zamieniane i sprawę i procedowane zgodnie z wybranym przepisem to faktycznie rozważyłbym wprowadzenie zasad przesyłania w odpowiedzi odpowiedniego O.I.
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Obowiązek informacyjny

Jan S.:
W kontekście UODO zawsze stosowaliśmy zwolnienie dot. posiadania już wiedzy. W większości sytuacji strony korespondencji mają wiedzę w zakresie celu i danych podmiotu, który przetwarza dane.
Pozostaje wiedza np. o odbiorcach, o okresie retencji danych...
Jan S.

Jan S. Trener biznesu / ODO
/ ABI

Temat: Obowiązek informacyjny

Trochę tak jak w UODO pozostawała wiedza w zakresie przysługujących praw.
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Obowiązek informacyjny

Nie, bo waga problemu inna. Niedostarczenie osobie, której dane dotyczą, informacji o odbiorcach danych i okresie ich retencji ma bardzo duży ciężar gatunkowy - to naruszenie praw podstawowych, bo podmiot danych traci kontrolę nad swoimi danymi.

Patrz. art. 83 ust. piąty RODO.
Maciej Mazurek

Maciej Mazurek specjalista ds.
bezpieczeństwa
informacji

Temat: Obowiązek informacyjny

Giodo na swoich stronach kiedyś tłumaczył w poniższym linku
[url=https://edugiodo.giodo.gov.pl/file.php/1/ODO/ODO_R03_02...[/url

Tam jest napisane :
Jeżeli osoba przychodzi do urzędu, np. w sprawie wydania dowodu osobistego, wydania decyzji o warunkach zabudowy, przyznania dodatku mieszkaniowego, to urzędnik może uznać, że posiada ona informacje, o których mowa w art. 24 ust. 1 ustawy, jeśli wie, że osoba ta ma świadomość, kto jest administratorem danych, orientuje się co do celu ich zbierania, wie o tym, czy podanie danych jest dobrowolne, czy też obowiązkowe. Osoba ta może bowiem pozostawać w kontakcie z urzędem, np. być w nim już wcześniej w tej samej sprawie. Wtedy, gdy dochodzi do ponownego zbierania danych (przez tego samego administratora, do tych samych celów), można powołać się na spełniony już wcześniej obowiązek poinformowania.

Oczywiście teraz transponować to trzeba na RODO, ale w RODO też jest zapis że można pominąć obowiązek jak osoba dysponuje już określonymi informacjami.

Pewnie podobne wywody można snuć w odniesieniu do wpływającej korespondencji ( typu...czy były inne kontakty , sprawy itp. ). No i korespondencyjnie trudno określić świadomość.

Poza tym wykonanie obowiązku w takiej "domyślanej" formie od strony dowodowej zdecydowanie gorzej wygląda niż poczciwe pismo.
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Obowiązek informacyjny

Maciej M.:
w RODO też jest zapis że można pominąć obowiązek jak osoba dysponuje już określonymi informacjami.
Zostaje kwestia dowodowa. Art. 5 ust. 2 RODO.
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Obowiązek informacyjny

Ja go uwielbiam. Znaczy się art 5 ust 2.

Ot tak.. jakby deja vu? Przypominają mi się dyskusje nawet na tym forum w kontekście art 36 UODO. Skoro nie ma analizy zagrożeń, to jak WYKAZAĆ, że ochrona danych jest odpowiednia do nich...

Jak widać czasem mam dobre pomysły. Klienci którzy pracują na tej filozofii od lat na dziś mają naprawdę mało roboty. ;-)



Wyślij zaproszenie do