Temat: przetwarzanie danych osobowych

witam,

Czy przechowywanie danych w celach wystwiania faktur jest w rozumieniu ustawy o ochronie danych oobowych przetwarzaniem danych, na które nalezy posiadac zgodę klienta, na którego zostaje wystawiona faktura? Czytając ustawę znalazłem jasną odpowiedź, iż nie ma obowiązku rejestracji zbioru danych przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia
sprawozdawczości finansowej. Ale czy przechoując, a tym samym przetwarzając dane w powyższym celu, nalezy otrzymać zgodę klienta?

dopiero zaczynam edukowac się w kwestii bezpieczeństwa informacji, dlatego prosze o wyrozumiałosc :)

Temat: przetwarzanie danych osobowych

Nie jest wykluczone, że doświadczeni koledzy mnie poprawią, ale moja opinia jest następująca.

"Art.23 1. Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:
[...] 3. Jest konieczne do realizacji umowy, gdy osoba, której dane dotyczą jest jej stroną..."

spyta kolega...co dalej z danymi, po realizacji umowy (a faktura jest do jej realizacji NIEZBĘDNA) moim zdaniem ma tu także zastosowanie Art. 23.2. (dotyczy on bowiem całego art. 23) "Zgoda o której mowa w ustępie 1 punkt 1, może obejmować również przetwarzanie danych w przyszłości, JEŻELI NIE ZMIENIA SIĘ CEL PRZETWARZANIA (dalsze umowy kupna- sprzedaży produktu lub usług skutkujących wystawieniem faktury)

Wniosek: niezbędne co do ZAKRESU (nazwa i adres firmy, NIP, REGON lub imię nazwisko i adres w przypadku osoby fizycznej prowadzącej działalność) dane osobowe mogą być przetwarzane bez zgody klienta :)

ciekawi mnie stanowisko kolegów... :) pozdrawiam :)

Temat: przetwarzanie danych osobowych

Myślę, że spraw jest prostsza.
Podstawę do przetwarzania danych zawartych na fakturze daje nam ustawa o podatku od towaru i usług oraz wydane na jej podstawie rozporządzenie.
Ustawa ta, jako przepis szczegółowy, ma tutaj pierwszeństwo stosowania.

Temat: przetwarzanie danych osobowych

Witek W.:
"Art.23 1. Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:
[...] 3. Jest konieczne do realizacji umowy, gdy osoba, której dane dotyczą jest jej stroną..."

spyta kolega...co dalej z danymi, po realizacji umowy (a faktura jest do jej realizacji NIEZBĘDNA) moim zdaniem ma tu także zastosowanie Art. 23.2. (dotyczy on bowiem całego art. 23) "Zgoda o której mowa w ustępie 1 punkt 1, może obejmować również przetwarzanie danych w przyszłości, JEŻELI NIE ZMIENIA SIĘ CEL PRZETWARZANIA (dalsze umowy kupna- sprzedaży produktu lub usług skutkujących wystawieniem faktury)

Moment, moment.
Ustawa wyraźnie mówi, że zezwolenie na dalsze przetwarzanie dotyczy tylko ust. 1, pkt 1, a nie całego ustępu pierwszego, więc nie można domniemywać, iż dozwolone jest dalsze przetwarzanie danych uzyskanych tylko i wyłącznie dla celów realizacji umowy (zwłaszcza, iż na to przetwarzanie nie potrzebujemy zgody).
Chyba, że mamy umowę ciągłą, za którą wystawiamy faktury okresowo.

Wobec powyższego, niestety, po realizacji umowy powinno się usunąć dane (chyba, że uzyska się zgodę na ich dalsze przetwarzanie).

Witek W.:
Wniosek: niezbędne co do ZAKRESU (nazwa i adres firmy, NIP, REGON

Mała uwaga - dane firmy nie są danymi osobowymi.

PS.
I to, że nie musimy zbioru rejestrować, nie oznacza, że nie musimy ich chronić zgodnie z Ustawą.Michał M. edytował(a) ten post dnia 29.04.08 o godzinie 09:02

Temat: przetwarzanie danych osobowych

Michał M.:

Witek W.:
"Art.23 1. Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:
[...] 3. Jest konieczne do realizacji umowy, gdy osoba, której dane dotyczą jest jej stroną..."

spyta kolega...co dalej z danymi, po realizacji umowy (a faktura jest do jej realizacji NIEZBĘDNA) moim zdaniem ma tu także zastosowanie Art. 23.2. (dotyczy on bowiem całego art. 23) "Zgoda o której mowa w ustępie 1 punkt 1, może obejmować również przetwarzanie danych w przyszłości, JEŻELI NIE ZMIENIA SIĘ CEL PRZETWARZANIA (dalsze umowy kupna- sprzedaży produktu lub usług skutkujących wystawieniem faktury)

Moment, moment.
Ustawa wyraźnie mówi, że zezwolenie na dalsze przetwarzanie dotyczy tylko ust. 1, pkt 1, a nie całego ustępu pierwszego, więc nie można domniemywać, iż dozwolone jest dalsze przetwarzanie danych uzyskanych tylko i wyłącznie dla celów realizacji umowy (zwłaszcza, iż na to przetwarzanie nie potrzebujemy zgody).
Chyba, że mamy umowę ciągłą, za którą wystawiamy faktury okresowo.

Wobec powyższego, niestety, po realizacji umowy powinno się usunąć dane (chyba, że uzyska się zgodę na ich dalsze przetwarzanie).

Witek W.:
Wniosek: niezbędne co do ZAKRESU (nazwa i adres firmy, NIP, REGON

Mała uwaga - dane firmy nie są danymi osobowymi.

PS.
I to, że nie musimy zbioru rejestrować, nie oznacza, że nie musimy ich chronić zgodnie z Ustawą.Michał M. edytował(a) ten post dnia 29.04.08 o godzinie 09:02

Nie można się podpierać wyrwanymi przepisami ustawy - trzeba ją analizować w całości:
Po pierwsze - pojęcie przetwarzania:
Jest ono bardzo szerokie i obejmuje czynności od momentu zbierania - a więc uzyskiwania danych do ich usunięcia. Dla ciekawostki - jedno z moich zadań dla studentów - znajdź czasownik określający czynność, który nie byłby synonimem do użytych przez ustawodawcę a wskazywałby inną czynność z danymi. Od kilku lat mimo wielu prób nie udało się.
Po drugie - podstawy prawne przetwarzania:
Art. 23 ust. 1 przedstawia 5 podstaw prawnych przetwarzania. Są one niezależne od siebie, a więc wystąpienie chociażby jednego z nich daje administratorowi podstawę do przetwarzania danych osobowych.

Jeżeli je bardzo dokładnie przeanalizujecie w kontekście zapisów całej ustawy to powinniście zwrócić uwagę na kilka bardzo istotnych różnic dla osoby której dane są przetwarzane i jej praw w zależności od podstawy prawnej przetwarzania. Zwróćcie szczególną uwagę na fakt, że osoba która daje zgodę na przetwarzanie danych osobowych, traci szereg uprawnień (patrz art. 32) To że, swego czasu Pani Minister Kulesza bardzo medialnie upierała się, że na wszystko powinna wyrażać zgodę osoba, której dane są przetwarzane, zrobiło wodę z mózgu wielu osób i nie znajduje wogóle odbicia w treści ustawy. Co więcej z punktu widzenia administratora danych to uzyskanie zgody na przetwarzanie danych jest dla mnie najbardziej optymalne - klient nie może żądać zaprzestania przetwarzania ani też zgłaszać sprzeciwu. Jeśli więc wyraził zgodę na przetwarzanie marketingowe - mogę nawet sprzedawać jego dane innym podmiotom - jeśli w zakresie działania mam zarejestrowaną taką działalność. (niech ktoś mi udowodni, że taka działalność to nie działalność marketingowa - pojęcie bardzo szerokie, tylko ja jako prowadzący działalność mogę je interpretować).

Ale wracając do meritum wątku:

Podstawą prawną przetwarzania danych w celu wystawienia faktury jest art. 23 ust. 1 pkt. 2 i 3 UODO. Po pierwsze jest to niezbędne w związku z umową jaką zawiera osoba, której dane dotyczą (pamiętajmy, że jest grupa umów cywilno-prawnych, które nie wymagają formy pisemnej - chociażby nasze zakupy w sklepie). Po drugie - przepisy prawa nakazują jakie dane muszą się znaleźć w określonych dokumentach (tu faktura). Co więcej ustawa o rachunkowości nakazuje przechowywać te dane (a więc przetwarzać w rozumieniu UODO) przez okres 5 lat od ostatniego dnia roku w którym operacja finansowa wystąpiła.

Zwracam jedynie uwagę, że danych pozyskanych w celu wystawienia faktury nie można wykorzystywać do jakichkolwiek innych działań (np. wysyłanie reklam własnej działalności gospodarczej.

Trochę długi wywód - za co przepraszam, ale mam nadzieję, że wyjaśniłem wątpliwości.

Temat: przetwarzanie danych osobowych

Michał M.:

Moment, moment.
Ustawa wyraźnie mówi, że zezwolenie na dalsze przetwarzanie dotyczy tylko ust. 1, pkt 1, a nie całego ustępu pierwszego, więc nie można domniemywać, iż dozwolone jest dalsze przetwarzanie danych uzyskanych tylko i wyłącznie dla celów realizacji umowy (zwłaszcza, iż na to przetwarzanie nie potrzebujemy zgody).

i tu jest pytanie- co jest dalej idące- bo jeśli zgoda (TYLKO co do zakresu i celu przetwarzania, bo dotyczy ona KONKRETNEJ sytuacji) jest dalej idącym przekazaniem uprawnień niż przetwarzanie wynikające z przepisów prawa i pozostałych w art. 23 (a tak wnioskuję z postu Krzysztofa) to skłaniałbym się do interpretacji, że jednak można... poza tym ustawa nie mówi, że zgoda (bo nie zezwalamy na przetwarzanie, ale zgadzamy się by dane co do ZAKRESU i przedstawionego nam CELU ICH WYKORZYSTANIA mogły być poddane procesowi ich PRZETWARZANIA) odnosi się do ust 1, pkt 1, tylko, że w przypadku ust 1, pkt 1, można poszerzyć tę zgodę o przetwarzanie w czasie nieokreślonym, a w pozostałych można to zrobić BEZ ZGODY jeśli nie zmienia się CEL przetwarzania.

Chyba, że mamy umowę ciągłą, za którą wystawiamy faktury okresowo.

czy tak robią np. apteki, zbierając dane przy wystawianiu rachunku? Taki "przykład z życia" mi się właśnie nasunął...

Wobec powyższego, niestety, po realizacji umowy powinno się usunąć dane (chyba, że uzyska się zgodę na ich dalsze przetwarzanie).

nie widziałem sytuacji by ktoś w "przysłowiowej aptece" składał oświadczenie woli o wyrażeniu zgody na przetwarzanie- mogę się zgodzić co najwyżej, że w regulaminie wydawania jakiejś tam "karty stałego klienta" jest to zawarte, a zakładam, że klient podpisując ją, wyrażą zgodę- ale taka zgoda może być jednak dorozumiana...nie podpisywałem, więc nie wiem jakie podobny regulamin zawiera treści ... zresztą mam "zdanie odrębne"...uważam, że nie musi usuwać, choć oczywiście musi chronić

Witek W.:
Wniosek: niezbędne co do ZAKRESU (nazwa i adres firmy, NIP, REGON

Mała uwaga - dane firmy nie są danymi osobowymi.

no fakt, się zagalopowałem z wrażenia...

PS.
I to, że nie musimy zbioru rejestrować, nie oznacza, że nie musimy ich chronić zgodnie z Ustawą.Michał M. edytował(a) ten post dnia 29.04.08 o godzinie 09:02

też tak myślę ;)

Temat: przetwarzanie danych osobowych

Krzysztof Jan Jakubski:

Nie można się podpierać wyrwanymi przepisami ustawy - trzeba ją analizować w całości:
Po pierwsze - pojęcie przetwarzania:
Jest ono bardzo szerokie i obejmuje czynności od momentu zbierania - a więc uzyskiwania danych do ich usunięcia. Dla ciekawostki - jedno z moich zadań dla studentów - znajdź czasownik określający czynność, który nie byłby synonimem do użytych przez ustawodawcę a wskazywałby inną czynność z danymi. Od kilku lat mimo wielu prób nie udało się.

inną niż katalog czynności wymieniony w ustawie? skoro inną to z pewnością nie synonim, bo ma odnosić się do innej operacji na danych...ale masz Krzysztof na myśli coś wykraczającego poza zakres przetwarzania? niełatwe...wszak tworzenie rekordu to już utrwalanie...ale moim zdaniem wszystko to wynika z definicji informacji, ustawa ustawą, ale mnie prof. Ciborowski uczył, że informacja wygenerowana poza czysty ludzki umysł zawsze wiąże sie z nośnikiem... a to oznacza jej UTRWALENIE...chyba, że wypowiedź werbalna...
http://www.bryk.pl/teksty/studia/pozosta%C5%82e/pedago...

ale zaraz zaczniemy rozmawiać czysto teoretycznie...i kto to zniesie :))

Po drugie - podstawy prawne przetwarzania:
Art. 23 ust. 1 przedstawia 5 podstaw prawnych przetwarzania. Są one niezależne od siebie, a więc wystąpienie chociażby jednego z nich daje administratorowi podstawę do przetwarzania danych osobowych.

zgadzam się... i można to robić także w przyszłości, a TYLKO w ust 1, pkt 1, potrzebna jest do tego zgoda.

Jeżeli je bardzo dokładnie przeanalizujecie w kontekście zapisów całej ustawy to powinniście zwrócić uwagę na kilka bardzo istotnych różnic dla osoby której dane są przetwarzane i jej praw w zależności od podstawy prawnej przetwarzania. Zwróćcie szczególną uwagę na fakt, że osoba która daje zgodę na przetwarzanie danych osobowych, traci szereg uprawnień (patrz art. 32) To że, swego czasu Pani Minister Kulesza bardzo medialnie upierała się, że na wszystko powinna wyrażać zgodę osoba, której dane są przetwarzane, zrobiło wodę z mózgu wielu osób i nie znajduje wogóle odbicia w treści ustawy. Co więcej z punktu widzenia administratora danych to uzyskanie zgody
na przetwarzanie danych jest dla mnie najbardziej optymalne - klient nie może żądać zaprzestania przetwarzania ani też zgłaszać sprzeciwu.

Jeśli więc wyraził zgodę na przetwarzanie marketingowe - mogę
nawet sprzedawać jego dane innym podmiotom - jeśli w zakresie działania mam zarejestrowaną taką działalność. (niech ktoś mi udowodni, że taka działalność to nie działalność marketingowa - pojęcie bardzo szerokie, tylko ja jako prowadzący działalność mogę je interpretować).

to jest prawnie usprawiedliwiony cel przetwarzania??? nie zgadzam się... marketing bezpośredni WŁASNYCH produktów i usług administratora polega na oferowaniu WŁASNYCH produktów lub usług ( baza jest własna, ale dane NIE) to tak jak z dokumentacją lekarską, karta jest własnością szpitala, ale dane własnością pacjenta (można je na karcie przechowywać i to wszystko)

Ale wracając do meritum wątku:

Podstawą prawną przetwarzania danych w celu wystawienia faktury jest art. 23 ust. 1 pkt. 2 i 3 UODO. Po pierwsze jest to niezbędne w związku z umową jaką zawiera osoba, której dane dotyczą (pamiętajmy, że jest grupa umów cywilno-prawnych, które nie wymagają formy pisemnej - chociażby nasze zakupy w sklepie). Po drugie - przepisy prawa nakazują jakie dane muszą się znaleźć w określonych dokumentach (tu faktura). Co więcej ustawa o rachunkowości nakazuje przechowywać te dane (a więc przetwarzać w rozumieniu UODO) przez okres 5 lat od ostatniego dnia roku w którym operacja finansowa wystąpiła.

Zwracam jedynie uwagę, że danych pozyskanych w celu wystawienia faktury nie można wykorzystywać do jakichkolwiek innych działań (np. wysyłanie reklam własnej działalności gospodarczej.

Trochę długi wywód - za co przepraszam, ale mam nadzieję, że wyjaśniłem wątpliwości.

moim zdaniem mamy podobne stanowisko...i też uważam, że analiza całości ustawy i podejmowanych czynności związanych z przetwarzaniem stanowi istotę rozumienia ustawy :) pozdrawiam :)

Temat: przetwarzanie danych osobowych

stawiam na wypowiedź werbalną jako spełniającą założone kryteria...ciekawi mnie Krzysztof Twoja opinia...wypowiedź werbalna , czyli odczytanie danych osobowych zawartych na nośniku...moim zdaniem to NIE JEST przetwarzanie...a najlepsze, że ludzi potrafią je czytać na głos, np.z dowodu osobistego...

Temat: przetwarzanie danych osobowych

Witek W.:
stawiam na wypowiedź werbalną jako spełniającą założone kryteria...ciekawi mnie Krzysztof Twoja opinia...wypowiedź werbalna , czyli odczytanie danych osobowych zawartych na nośniku...moim zdaniem to NIE JEST przetwarzanie...a najlepsze, że ludzi potrafią je czytać na głos, np.z dowodu osobistego...

Wchodzimy tu w rozważania bardzo teoretyczne i filozoficzne :)
Bo najpierw musielibyśmy długo zastanawiać się czym jest "informacja" i czym jest sposób jej utrwalenia. Bo czyż nie można słów przedstawić gestem - to czym by był alfabet głuchoniemych. Czy obraz jest informacją, a jeśli tak (wg mnie z całą pewnością i nawet daną osobową w rozumieniu UODO) to przecież zapis na taśmie magnetowidowej lub płycie CD jest tylko zbiorem impulsów z postaci zero jedynkowej, która może być przełożona w obraz rozumiany przez człowieka wyłącznie za pomocą specjalistycznego urządzenia (co więcej czytającego określony nośnik i format zapisu jakim ten zapis zerojedynkowy został naniesiony).
Wg mnie forma utrwalenia informacji jest drugorzędna - nie znam jez. chińskiego czy japońskiego - i jeśli ktoś mi powie, że dokument napisany w takich jeżykach zawiera informację podlegającą ochronie (np. z uwagi na dane osobowe), to będę go chronił. Ustawodawca określił proces przetwarzania jako "jakiekolwiek operacje wykonywane na danych osobowych". W języku legislacyjnym następna część definicji "takie jak" jest wyliczeniem przykładowym, niezamkniętym. Jednakże użyte tam czasowniki wyliczające praktycznie nie pozostawiają nawet możliwości dopatrywania się jakiejś innej czynności (to miałem na myśli w swoim pierwszym poście).

Temat: przetwarzanie danych osobowych

Witek W.:
... poza tym ustawa nie mówi, że zgoda (bo nie zezwalamy na przetwarzanie, ale zgadzamy się by dane co do ZAKRESU i przedstawionego nam CELU ICH WYKORZYSTANIA mogły być poddane procesowi ich PRZETWARZANIA) odnosi się do ust 1, pkt 1, tylko, że w przypadku ust 1, pkt 1, można poszerzyć tę zgodę o przetwarzanie w czasie nieokreślonym, a w pozostałych można to zrobić BEZ ZGODY jeśli nie zmienia się CEL przetwarzania.

Zgoda jest tylko jedną z podstaw, ale nie jedyną i nie najważniejszą.
Rozważ taki przypadek. Zakładam własną działalność gospodarczą w postaci agencji reklamowo-marketingowej.
Mam więc pytanie:
Czy jako właścicielowi takiej agencji, usprawiedliwionym celem w rozumieniu art. 23 ust. 1 pkt. 5 UODO, byłoby posiadania zbioru danych osobowych potencjalnych (podkreślam słowo potencjalnych} odbiorców bez ich zgody na takie przetwarzanie?
Moja odpowiedź brzmi tak, pod warunkiem że "przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą". A teraz popatrzmy na prawa i obowiązki administratora oraz tej osoby.
Po stronie administratora:
- przetwarzanie zgodnie z prawem (a więc zgodnie z ustawą)
- rejestracja zbioru,
- zabezpieczenie zbioru,
- wypełnienie obowiązku informacyjnego,
- spełnienie żądań osoby której dane dotyczą (art. 32).
Katalog uprawnień osoby wymieniony jest właśnie w art. 32.
I teraz dalsza część tego wywodu. Jako administrator spełniłem obowiązek informacyjny (wysłałem osobie, której dane posiadam stosowne informacje), nie otrzymałem żadnej odpowiedzi - mam prawo przetwarzania danych tej osoby czy nie?
Moja odpowiedź brzmi tak.
Tak więc jeszcze raz podkreślam - zgoda to tylko jedna z wielu podstaw, a jednocześnie bardzo ograniczająca uprawnienia osoby w przypadku, gdy cel i zakres przetwarzania nie ulega zmianie po jej daniu. A że najczęściej - tak zresztą zalecam wszystkim - cel taki powinno sie określać pojęciem jak najszerszym - znowu wrócę do wskazywanego przeze mnie pojęcia "przetwarzanie w celach marketingowych" (kto mi nie wierzy niech spojrzy w słownik języka angielskiego i spróbuje zawęzić pojęcie "marketing") - to próba zablokowania takiego przetwarzania przez osobę, której dane dotyczą wcale nie jest łatwe.

Temat: przetwarzanie danych osobowych

wow.

Temat: przetwarzanie danych osobowych

Krzysztof Jan Jakubski:

klient nie może żądać zaprzestania przetwarzania ani też zgłaszać sprzeciwu. Jeśli więc wyraził zgodę na przetwarzanie marketingowe - mogę nawet sprzedawać jego dane innym podmiotom - jeśli w zakresie działania mam zarejestrowaną taką działalność. (niech ktoś mi udowodni, że taka działalność to nie działalność marketingowa - pojęcie bardzo szerokie, tylko ja jako prowadzący działalność mogę je interpretować).

Ale wracając do meritum wątku:

Podstawą prawną przetwarzania danych w celu wystawienia faktury jest art. 23 ust. 1 pkt. 2 i 3 UODO. Po pierwsze jest to niezbędne w związku z umową jaką zawiera osoba, której dane dotyczą (pamiętajmy, że jest grupa umów cywilno-prawnych, które nie wymagają formy pisemnej - chociażby nasze zakupy w sklepie). Po drugie - przepisy prawa nakazują jakie dane muszą się znaleźć w określonych dokumentach (tu faktura). Co więcej ustawa o rachunkowości nakazuje przechowywać te dane (a więc przetwarzać w rozumieniu UODO) przez okres 5 lat od ostatniego dnia roku w którym operacja finansowa wystąpiła.

Zwracam jedynie uwagę, że danych pozyskanych w celu wystawienia faktury nie można wykorzystywać do jakichkolwiek innych działań (np. wysyłanie reklam własnej działalności gospodarczej.

>

Każdy ma prawo do złożenia sprzeciwu wobec przetwarzania jego danych osobowych gwarantuje to cytowana ustawa (art 32 ust.1 pkt 8 oraz art. 1 ust.1). Klient może żądać zaprzestania przetwarzania danych osobowych w każdym dowolnym momencie, niezależenie od podstawy prawnej (np. raz udzielonej zgody na przetwarzanie danych).

Temat: przetwarzanie danych osobowych

Jarosław Malec:

Każdy ma prawo do złożenia sprzeciwu wobec przetwarzania jego danych osobowych gwarantuje to cytowana ustawa (art 32 ust.1 pkt 8 oraz art. 1 ust.1). Klient może żądać zaprzestania przetwarzania danych osobowych w każdym dowolnym momencie, niezależenie od podstawy prawnej (np. raz udzielonej zgody na przetwarzanie danych).

Przeczytaj dokładnie obowiązującą ustawę i jej art. 32
"7) wniesienia, w przypadkach wymienionych w art. 23 ust. 1 pkt 4 i 5, pisemnego, umotywowanego żądania zaprzestania przetwarzania jej danych ze względu na jej szczególną sytuację,
8) wniesienia sprzeciwu wobec przetwarzania jej danych w przypadkach, wymienionych w art. 23 ust. 1 pkt 4 i 5, gdy administrator danych zamierza je przetwarzać w celach marketingowych lub wobec przekazywania jej danych osobowych innemu administratorowi danych,"

przypadek wymieniony w art. 23 ust. 1 pkt. 4 i 5 -
Art. 23. 1. Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy
4) jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego,
5) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.

Zgoda to przypadek określony w art. 23 ust. 1 pkt. 1

Temat: przetwarzanie danych osobowych

Krzysztof Jan Jakubski:

Jarosław Malec:

Każdy ma prawo do złożenia sprzeciwu wobec przetwarzania jego danych osobowych gwarantuje to cytowana ustawa (art 32 ust.1 pkt 8 oraz art. 1 ust.1). Klient może żądać zaprzestania przetwarzania danych osobowych w każdym dowolnym momencie, niezależenie od podstawy prawnej (np. raz udzielonej zgody na przetwarzanie danych).

Przeczytaj dokładnie obowiązującą ustawę i jej art. 32
"7) wniesienia, w przypadkach wymienionych w art. 23 ust. 1 pkt 4 i 5, pisemnego, umotywowanego żądania zaprzestania przetwarzania jej danych ze względu na jej szczególną sytuację,
8) wniesienia sprzeciwu wobec przetwarzania jej danych w przypadkach, wymienionych w art. 23 ust. 1 pkt 4 i 5, gdy administrator danych zamierza je przetwarzać w celach marketingowych lub wobec przekazywania jej danych osobowych innemu administratorowi danych,"

przypadek wymieniony w art. 23 ust. 1 pkt. 4 i 5 -
Art. 23. 1. Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy
4) jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego,
5) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i
wolności osoby, której dane dotyczą.

Cytując zapis art. 32 ust. 1 pkt. 8 potwierdziłeś to co napisałem
wcześniej, każdy ma prawo do żłożenia sprzeciwu.

8) wniesienia sprzeciwu wobec przetwarzania jej danych w

przypadkach, wymienionych w art. 23 ust. 1 pkt 4 i 5, gdy administrator danych zamierza je przetwarzać w celach marketingowych lub wobec przekazywania jej danych osobowych innemu > administratorowi danych,"

Zgoda wynikująca art. 23 ust. 1 pkt z nie jest "wieczna", także w przypadku przetwarzania danycb w związku z usprawiedliwionym celem administratora art. 23 ust. 1 pkt 5.Jarosław Malec edytował(a) ten post dnia 05.05.08 o godzinie 08:00

Temat: przetwarzanie danych osobowych

Jarosław Malec:

Cytując zapis art. 32 ust. 1 pkt. 8 potwierdziłeś to co napisałem
wcześniej, każdy ma prawo do żłożenia sprzeciwu.

8) wniesienia sprzeciwu wobec przetwarzania jej danych w

przypadkach, wymienionych w art. 23 ust. 1 pkt 4 i 5, gdy administrator danych zamierza je przetwarzać w celach marketingowych lub wobec przekazywania jej danych osobowych innemu > administratorowi danych,"

Zgoda wynikująca art. 23 ust. 1 pkt z nie jest "wieczna", także w przypadku przetwarzania danycb w związku z usprawiedliwionym celem administratora art. 23 ust. 1 pkt 5.Jarosław Malec edytował(a) ten post dnia 05.05.08 o godzinie 08:00

"Art. 23 ust.2. Zgoda, o której mowa w ust. 1 pkt 1, może obejmować również przetwarzanie danych w przyszłości, jeżeli nie zmienia się cel przetwarzania".
To o czym myślisz - czyli możliwość wycofania zgody znajduje się dopiero w projekcie zmian Ustawy jaka aktualnie znajduje się w Sejmie

Temat: przetwarzanie danych osobowych

Jarosław Malec:

Zgoda wynikująca art. 23 ust. 1 pkt z nie jest "wieczna", także w przypadku przetwarzania danycb w związku z usprawiedliwionym celem administratora art. 23 ust. 1 pkt 5.[edited]

I jeszcze jedno Jarku - nie łącz dwóch różnych podstaw prawnych przetwarzania. Zwracałem uwagę na to wcześniej.
Przypadek pierwszy (podstawa prawna art. 23 ust. 1 pkt 1) - zgoda osoby (nie ważne w jakim celu dane są przetwarzane)
Przypadek drugi (podstawa prawna art.23 ust. 1 pkt 5) - przetwarzania danycb w związku z usprawiedliwionym celem administratora (można przetwarzać bez zgody osoby, której dane dotyczą po spełnieniu obowiązków administratora).
To dwie różne sytuacje prawne, odmiennie uregulowane.
Na ten aspekt zwracam cały czas uwagę w tej dyskusji.

Temat: przetwarzanie danych osobowych

Krzysztof Jan Jakubski:

Jarosław Malec:

Zgoda wynikująca art. 23 ust. 1 pkt z nie jest "wieczna", także w przypadku przetwarzania danycb w związku z usprawiedliwionym celem administratora art. 23 ust. 1 pkt 5.[edited]

I jeszcze jedno Jarku - nie łącz dwóch różnych podstaw prawnych przetwarzania. Zwracałem uwagę na to wcześniej.
Przypadek pierwszy (podstawa prawna art. 23 ust. 1 pkt 1) - zgoda osoby (nie ważne w jakim celu dane są przetwarzane)
Przypadek drugi (podstawa prawna art.23 ust. 1 pkt 5) - przetwarzania danycb w związku z usprawiedliwionym celem administratora (można przetwarzać bez zgody osoby, której dane dotyczą po spełnieniu obowiązków administratora).
To dwie różne sytuacje prawne, odmiennie uregulowane.
Na ten aspekt zwracam cały czas uwagę w tej dyskusji.

Krzysztofie, doskonale rozumiem różnice podstaw prawnych przetwarzania danych, ale w tym przypadku chodzi o możliwość składania sprzeciu wobec przetwarzania danych osobowych. Sprzeciw możne złożyć zawsze, żadna z podstaw pranych (art. 23 ust. 1, pkt. 1 oraz pkt.4 i 5) nie "blokuje" obywatelowi takiej możliwości

Temat: przetwarzanie danych osobowych

Jarosław Malec:

Krzysztofie, doskonale rozumiem różnice podstaw prawnych przetwarzania danych, ale w tym przypadku chodzi o możliwość składania sprzeciu wobec przetwarzania danych osobowych. Sprzeciw możne złożyć zawsze, żadna z podstaw pranych (art. 23 ust. 1, pkt. 1 oraz pkt.4 i 5) nie "blokuje" obywatelowi takiej możliwości

Jarku jeżeli mówimy o pojęciach prawnych to określenie "sprzeciw" jest ściśle określone w ustawie, jeśli chodzi o sytuację i skutki prawne.
Jeżeli masz na myśli pojęcie "sprzeciwu" w rozumieniu powszechnym to zgodzę się na to, że nic "nie "blokuje" obywatelowi takiej możliwości" - ale skutki takiego sprzeciwu są niepewne, jeśli nie powiedzieć żadne.
Ustawodawca zostawił tu furtkę, ale decyzyjność w tym zakresie pozostawił administratorowi danych.

Okoliczności złożenia sprzeciwu i żądania zaprzestania przetwarzania w sensie prawnym są ściśle określone w art. 32Krzysztof Jan Jakubski edytował(a) ten post dnia 05.05.08 o godzinie 11:00

Temat: przetwarzanie danych osobowych

Krzysztof Jan Jakubski:

Jarosław Malec:

Krzysztofie, doskonale rozumiem różnice podstaw prawnych przetwarzania danych, ale w tym przypadku chodzi o możliwość składania sprzeciu wobec przetwarzania danych osobowych. Sprzeciw możne złożyć zawsze, żadna z podstaw pranych (art. 23 ust. 1, pkt. 1 oraz pkt.4 i 5) nie "blokuje" obywatelowi takiej możliwości

Jarku jeżeli mówimy o pojęciach prawnych to określenie "sprzeciw" jest ściśle określone w ustawie, jeśli chodzi o sytuację i skutki prawne.
Jeżeli masz na myśli pojęcie "sprzeciwu" w rozumieniu powszechnym to zgodzę się na to, że nic "nie "blokuje" obywatelowi takiej możliwości" - ale skutki takiego sprzeciwu są niepewne, jeśli nie powiedzieć żadne.
Ustawodawca zostawił tu furtkę, ale decyzyjność w tym zakresie pozostawił administratorowi danych.

Okoliczności złożenia sprzeciwu i żądania zaprzestania przetwarzania w sensie prawnym są ściśle określone w art. 32Krzysztof Jan Jakubski edytował(a) ten post dnia 05.05.08 o godzinie 11:00

Nie zgadzam się z Tobą, złożenie sprzeciwu (mówimy o przypadkach art. 23 ust. 1, pkt.1, 4, 5)zgodnie z procedurami i prawidłową podstawą prawną jest skuteczne. Nie uwzględnienie sprzeciwu, czyli żądania zaprzestania przetwarzania danych osobowych przez administratora można zaskarżyć do GIODO (np. Deczyzja GI-DEC-DS-106/06). Wystarczy spojrzeć na liczne decyzje GIODO http://www.giodo.gov.pl/151/ by się o tym przekonać.

Nowelizacja ustawy o ochronie danych osobowych przewiduje wprowadzenie kar finansowych, które z pewnością zdyscyplinują administratorów, także w kwestii respektowania sprzeciwów obywateli wobec przetwarzania ich danych.

Temat: przetwarzanie danych osobowych

Jarosław Malec:

Nie zgadzam się z Tobą, złożenie sprzeciwu (mówimy o przypadkach art. 23 ust. 1, pkt.1, 4, 5)zgodnie z procedurami i prawidłową podstawą prawną jest skuteczne. Nie uwzględnienie sprzeciwu, czyli żądania zaprzestania przetwarzania danych osobowych przez administratora można zaskarżyć do GIODO (np. Deczyzja GI-DEC-DS-106/06). Wystarczy spojrzeć na liczne decyzje GIODO http://www.giodo.gov.pl/151/ by się o tym przekonać.

Jarku - znajdź mi podstawę prawną do sprzeciwu w przypadku przetwarzania danych zgodnie z art. 23 ust. 1 pkt. 1 ustawy. Ja jej w ustawie nie znajduję.
Czytając decyzję GIODO winno się dokładnie przeanalizować uzsadnienie. W Decyzji GI-DEC-DS-106/06 zwraca uwagę na uchybienia w oświadczeniu woli (brak wyraźnego zakresu przetwarzania) oraz nie spełnienie pełnego zakresu obowiązku informacyjnego). Co więcej jest kilka ciekawych wyroków sądowych - nie umieszczonych na stronach GIODO
Przykładowo:
OSK 336/05
Warunkiem koniecznym przy stosowaniu art. 23 ustawy o ochronie danych osobowych jest wyważenie interesu osoby, która ma prawo do ochrony swoich danych osobowych oraz interesu administratora tych danych, który ma prawo przetwarzać te dane.
OSK 727/05
Banki, inne instytucje ustawowo upoważnione do udzielania kredytów oraz instytucje utworzone na podstawie art. 105 ust. 4 ustawy Prawo bankowe, mogą przetwarzać informacje stanowiące tajemnicę bankową oraz informacje, o których mowa w art. 105 ust. 4 pkt 2 tej ustawy w zakresie dotyczącym osób fizycznych (konsumentów) po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów, bez zgody osoby, której informacje dotyczą, jeśli spełnione są określone w tej ustawie warunki.
II SA/Wa 1366/07
Naczelną zasadą ustawy nie jest zakaz przetwarzania danych osobowych, lecz przestrzeganie zakresu i trybu ich przetwarzania.
II SA/Wa 1212/07
Naczelną zasadą ustawy o ochronie danych osobowych nie jest zakaz przetwarzania danych osobowych, lecz przestrzeganie zakresu i trybu ich przetwarzania.
itd. itp.
Zbyt wiele spraw GIODO przegrało w sądach, aby dla mnie jako prawnika, decyzje tego organu były wykładnią UODO

Nowelizacja ustawy o ochronie danych osobowych przewiduje wprowadzenie kar finansowych, które z pewnością zdyscyplinują administratorów, także w kwestii respektowania sprzeciwów obywateli wobec przetwarzania ich danych.

Nie tylko. Dla większości osób nie zwracających uwagi na niuanse i ewentualne następstwa zmian - projekt ten wiąże się głownie z dodawanym rozdziałem 7a (czyli karami). Ja zwracam uwagę na nową treść art. 7 pkt 5, który ma otrzymać brzmienie:
„5) zgodzie osoby, której dane dotyczą – rozumie się przez to oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści; zgoda może być odwołana w każdym czasie,”;