GoldenLine
Zaloguj się
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Obowiązek informacyjny - prawo do zapomnienia a...

Monika K.:
W takim razie pracownik mnie zapyta dlaczego był infomowany że ma prawo żądać usunięcia skoro od początku wiedzieliśmy że nie możemy usunąć tych danych?
Nie wiedzieliśmy od początku. Wpłynęło żądanie, przeanalizowaliśmy tę konkretną sytuację.

Może tak:
"Masz prawo żądać usunięcia swoich danych osobowych. Każde takie żądanie rozpatrzymy na podstawie kryteriów, o których mowa w art. 17 RODO."
?
poinformowania o prawie do sprzeciwu - ale prawo to przysługuje ( art. 21 ) w przypadku przetwarzania opartego na art. 6 ust.1 lit e lub f - czyli w przypadku przetwarzania na pozostałych podstawach nie przysługuje.
Należałoby więc poinformować - osobę że nie przysługuje jej prawo wniesienia sprzeciwu ( w przypadkach przetwarzania na innych podstawach niż ww.)
Tu się zgadzam, ale w przypadku sprzeciwu przepis mówi o informowaniu o prawie do wniesienia sprzeciwu, a nie o prawie do żądania. Czyli jeśli sprzeciw nie przysługuje, to nie przysługuje.

Z punktu widzenia analizy ryzyka, drobne nieścisłości w klauzulach informacyjnych, które nie wypaczają sedna i nie naruszają istoty podstawowych praw i wolności osoby, której dane dotyczą, oceniam jako niskie ryzyko, jeśli tylko w praktyce zapewnimy osobie realizację jej praw.

edit://
Mam opory przed napisaniem osobie, że jakieś prawo jej na pewno nie przysługuje. Za duże ryzyko. A co jeśli zajdzie jakaś wyjątkowa sytuacja, kiedy podmiot danych udowodni mi, że jednak przysługuje, że czegoś nie przewidziałem? To jest dopiero wprowadzenie w błąd!Ten post został edytowany przez Autora dnia 18.04.18 o godzinie 20:30
Link do wypowiedziLink
Monika K.

Monika K. Radca prawny, xx

Temat: Obowiązek informacyjny - prawo do zapomnienia a...


edit://
Mam opory przed napisaniem osobie, że jakieś prawo jej na pewno nie przysługuje. Za duże ryzyko. A co jeśli zajdzie jakaś wyjątkowa sytuacja, kiedy podmiot danych udowodni mi, że jednak przysługuje, że czegoś nie przewidziałem? To jest dopiero wprowadzenie w błąd!
A ja nie. Trzeba informować zgodnie z prawem a nie hipotetycznie.
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Obowiązek informacyjny - prawo do zapomnienia a...

Ale co zrobisz, jeśli jednak podmiot danych znajdzie sytuację, gdy to prawo mu przysługuje, a nie został o nim poinformowany?
Link do wypowiedziLink
Szymon S.

Szymon S. IOD / IBTI

Temat: Obowiązek informacyjny - prawo do zapomnienia a...

Faktycznie lepiej stanowczo nie twierdzić, że coś przysługuje lub też nie... jest tutaj ktoś kto zna "od dechy do dechy" wszystkie sektorowe rozwiązania prawne? Gdzieś może być przepis szczególny, który robi wyłom w naszym myśleniu.
Link do wypowiedziLink
Radosław Zieliński

Radosław Zieliński

Temat: Obowiązek informacyjny - prawo do zapomnienia a...

Szymon S.:
Faktycznie lepiej stanowczo nie twierdzić, że coś przysługuje lub też nie... jest tutaj ktoś kto zna "od dechy do dechy" wszystkie sektorowe rozwiązania prawne? Gdzieś może być przepis szczególny, który robi wyłom w naszym myśleniu.
Wówczas sięgasz do art. 91 ust 3 Konstytucji RP.
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Obowiązek informacyjny - prawo do zapomnienia a...

Radosław Z.:
Wówczas sięgasz do art. 91 ust 3 Konstytucji RP.
Odpowiedź nawet nie dotyka istoty dyskutowanego problemu.
Link do wypowiedziLink
Monika K.

Monika K. Radca prawny, xx

Temat: Obowiązek informacyjny - prawo do zapomnienia a...

Szymon S.:
Faktycznie lepiej stanowczo nie twierdzić, że coś przysługuje lub też nie... jest tutaj ktoś kto zna "od dechy do dechy" wszystkie sektorowe rozwiązania prawne? Gdzieś może być przepis szczególny, który robi wyłom w naszym myśleniu.

No tak, ale co masz na myśli pisząc - stanowczo twierdzić- przecież informacja to informacja - albo napiszesz że przysługuje albo że nie przysługuje - każda z nich o ile okazałaby się nieprawidłowa - bedzie uznawana za błędne poinformowanie. Mi raczej chodzi o to że skoro i tak przygotowujemy te informacje to trzeba dobrze przemyśleć i mieć przygotowane różne na różne - zdiagnozowane sytuacje.
Np jeśli dane są przetważane ze zgodą to sprzeciw nie przysługuje zgodnie z art. 21 , jest wtedy inna informacja - o prawie do cofnięcia zgody - ale już nie do sprzeciwu, itp.
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Obowiązek informacyjny - prawo do zapomnienia a...

Monika K.:
przecież informacja to informacja - albo napiszesz że przysługuje albo że nie przysługuje - każda z nich o ile okazałaby się nieprawidłowa - bedzie uznawana za błędne poinformowanie.
A który błąd bardziej godzi w prawa osoby, której dane dotyczą, hm?
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Obowiązek informacyjny - prawo do zapomnienia a...

Ja to bym raczej uznał, że takie przetwarzanie na zasadzie "nie do końca wiem co robię i na jakiej podstawie" to raczej wpada w brak rozliczalności. ;-) Z 5.1.a RODO na przykład?

Albo z obowiązku informacyjnego... fajnie kręcimy się, czy możemy zapomnieć, czy nie, ale tak mi się jakoś kojarzy, że podać też musimy jeśli przetwarzanie jest z obowiązku prawnego. Zdaje się to takie jakby powiązane kwestie. ;-)

To może tak wziąć excelka (mój już ma kilkanaście kolumn) i wpisać proces kadrowy m(każy etap i działanie w odrębnym wierszu) i zastanowić się. Co i kiedy i na jakiej podstawie? Bo mi już wyszło po drodze kilka różnych podstaw, retencji, zapomnienia w ramach procesu kadrowego, który "rozkminiamy" aktualnie na szkoleniu.

Krok działania - np. rekrutacja. Cel (po ludzku, bo do obowiązku idzie, że do celu zatrudnienia w firmie), Dane - zakres i kategorie (kontaktowe, o uprawnieniach, wykształceniu). Podstawa prawna.. (np. 6.1.b) I kolumna do odhaczenia - podlega zapomnieniu czy nie... ;-)
A potem krok -np. zatrudnienie. I znów tak samo - w prawo rozwijając w kolumnach pojawią się dodatkowe informacje, których na rekrutacji nie było. Ale i pojawi się nowy cel. Też z konkret podstawą prawną. I tu w odhaczeniu o zapomnieniu - NIE. I konkret przepis z Ustaw.

I na podstawie Excelka w obowiązku informacyjnym. Ma pan(i) prawo do zapomnienia polegające na ... (ładny ludzki opis - bo RODO - 5.1.a, przejrzyście...) . Z tego prawa są jednak wyłączone dane:
1. takie i owakie (z konkret kroku procesu - np. wprowadzenie do pracy i dopełnienie obowiązku zgłoszeń do ZUS), dlatego, że jako pracodawca musimy je przechowywać przez XXlat. Obowiązek wynika z przepisu...
2. Inne takie, bo jako pracodawca musimy je przechowywać przez yy lat

Miałem palnąć sloganem, ale na razie daruję sobie. ;-)
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Obowiązek informacyjny - prawo do zapomnienia a...

Grzegorz K.:
podlega zapomnieniu czy nie...
Pomysł z tabelką oczywisty i fajny, ale co do tego, czy podlega zapomnieniu... Jeśli nie podlega, to nie podlega do końca świata, czy jednak kiedyś trzeba będzie zapomnieć?
Link do wypowiedziLink
Szymon S.

Szymon S. IOD / IBTI

Temat: Obowiązek informacyjny - prawo do zapomnienia a...

Ok.. z empatią postawmy się w sytuacji osoby, którą informujemy o przysługujących prawach. Administrator stwierdza na piktogramie z niesamowitą pewnością, że dane prawo mi nie przysługuje ponieważ artykuł taki i taki. Świetnie! Zrobił to pewnie na podstawie swojej wiedzy. Może częściowo próbując odepchnąć petentów. Whatever. Jest pewien tego co napisał, ponieważ robił to już tysiąc razy i nie było nigdy problemu. Raz nawet w Sądzie bronił swojej racji i wygrał. Ale powiedzmy, że jestem kadrowcem od miliona lat i znam każdy kruczek dotyczących zatrudnienia i zwracam się włąśnie w tej sprawie do administratora. I teraz... czy jeśli administrator mnie okłamuje takim stanowczym stwierdzeniem, że coś mi nie przysługuje bo jakieś tam jego przepisy o tym mówią, a ja wiem, że jest np. specustawa czy cokolwiek, która robi wyjątek to czy nie jestem jako osoba domagająca się określonej czynności od administratora wściekły? Jestem! Pewnie dochodzi przy okazji do utarczek słownych lub mailowych i prawdopodobnie idziemy do sądu. Po co?

Dlatego osobiście "Jeżeli nie jest to sprzeczne z innymi przepisami, osobie, której dane dotyczą, przysługuje prawo..." bardzo się mi podoba. Informuje, ale nie zamyka się na petenta. Czy można powiedzieć, że nie do końca wiem co robię? Być może nie, ale w którymś wątku ustaliliśmy, że nie ma na tym świecie osoby, która wie wszystko ;-)
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Obowiązek informacyjny - prawo do zapomnienia a...

Ja uważam, ze prawo do zapomnienia przysługuje zawsze. Dzisiaj akta osobowe mamy przechowywać 50 lat, a przykładowo od 3 czerwca może się przepis zmienić i skróci ten okres do dwunastu lat i trzech miesięcy. To trzeba kiedyś zapomnieć, czy nie?
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Obowiązek informacyjny - prawo do zapomnienia a...

Paweł G.:
Grzegorz K.:
podlega zapomnieniu czy nie...
Pomysł z tabelką oczywisty i fajny, ale co do tego, czy podlega zapomnieniu... Jeśli nie podlega, to nie podlega do końca świata, czy jednak kiedyś trzeba będzie zapomnieć?

Przy tickboxie masz okres i podstawę. Do monitorowania przepis. A to z kolei procedura utrzymania zgodności z przepisem. A to z kolei zabezpieczenie o charakterze organizacyjnym, w celu spełnienia wymagania z art 5.1.e i f (w deklaracji stosowania, dla RODO).
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Obowiązek informacyjny - prawo do zapomnienia a...

Szymon S.:
Faktycznie lepiej stanowczo nie twierdzić, że coś przysługuje lub też nie... jest tutaj ktoś kto zna "od dechy do dechy" wszystkie sektorowe rozwiązania prawne? Gdzieś może być przepis szczególny, który robi wyłom w naszym myśleniu.
Szymonie!!! i ty przeciw mnie???? Kawę rozlałem ;-)

Czy naprawdę ma to być jeden wymiatacz, albo dwóch? Sytuacja wcale nie hipotetyczna. Pracownik utrzymania ruchu, spawacz. Dane o jego kwalifikacjach (to może chodzić jako kategoria, przynajmniej u mnie tak chodzi) mówią o tym, ze ma uprawnienia do gazowego, elektrycznego i migomatu.

Naprawdę TY chcesz ustawić np. proces dopuszczenia prac niebezpiecznych pożarowo np w atmosferze wybuchowej? Bo dane muszą przepłynąć do zlecającego prace, na konkretnym druku (najczęściej zezwolenie i protokół). Mało tego, te dane muszą być "prawidłowe" (5.1.d.) a naruszenie w tym przypadku integralności spowodować może, że do zlecającego prace nie dotrze informacja, że Mieczysław, wyznaczony do prac nie jest szkolony z obsługi detektora par wybuchowych i radośnie rozpocznie prace jak DGW będzie wyżej niż 10%, czym spowoduje, że wyleci zarówno on sam jak i pół fabryki w powietrze (można to chyba uznać za naruszenie praw... do życia i zdrowia ;-) ).

Jak ustawisz zabezpieczenie na integralność i w którym miejscu? Bo ja w kadrach, w trakcie pozyskiwania potwierdzeń ze szkoleń (uprawnień - dane o kwalifikacjach i uprawnieniach). I czy te dane będą objęte prawem do zapomnienia czy nie?

EDIT edukacyjny
Zajrzyjcie do Instrukcji Bezpieczeństwa Pożarowego. Znajdziecie zasady wykonywania PPN. A potem kopnijcie się w miejsce składowania protokołów i zezwoleń. Może trafić przysłowiowe i wręcz klasyczne "zdziwko" bo w biurowcach PPN wykonywane są nocami i w dni wolne. Więc nawet możecie nie wiedzieć. Ten post został edytowany przez Autora dnia 21.04.18 o godzinie 06:44
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Obowiązek informacyjny - prawo do zapomnienia a...

Grzegorz K.:
Jak ustawisz zabezpieczenie na integralność i w którym miejscu? Bo ja w kadrach, w trakcie pozyskiwania potwierdzeń ze szkoleń (uprawnień - dane o kwalifikacjach i uprawnieniach). I czy te dane będą objęte prawem do zapomnienia czy nie?
Będą.
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy





Wyślij zaproszenie do
Anuluj