Rafał Osajda

Specjalista, administrator bezpieczeństwa informacji, informatyzacja administracji ublicznej, freelancer

Wypowiedzi

  • Rafał Osajda
    Wpis na grupie Ochrona Danych Osobowych w temacie Zgłaszanie do GIODO zbiorów szkoły.
    11.11.2014, 10:19

    Polecam lekturę art 40 i 43 odo. Jest zasada, że zgłasza się wszystkie zbiory, chyba że wystąpił któryś wyjątek z art 43 odo. Polecam w szczególności analizę art 43 ust 1 pkt 4

  • Rafał Osajda
    Wpis na grupie Wrocław w temacie targowiska we Wrocławiu
    26.08.2013, 18:47

    no 16 to większość sprzedawców znika praktycznie o 17 już nikogo nie ma

  • Rafał Osajda
    Wpis na grupie ABI w temacie Zgoda na przetwarzanie danych osób -które należy...
    1.03.2013, 16:27

    A ktoś miesza? - pytanie dotyczyło uzyskania zgody czyli art. 23.1 odo :)

  • Rafał Osajda
    Wpis na grupie ABI w temacie Zgoda na przetwarzanie danych osób -które należy...
    27.02.2013, 21:51

    Według mnie przesłanka art 23.2 - jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa,

    Dlaczego?


    załącznik 1a pkt 6 wzoru "KWESTIONARIUSZ OSOBOWY DLA PRACOWNIKA" (na podstawie paragraf. 1.4) - Rozporządzenia Ministra Pracy i Polityki Socjalnej z dnia 28 maja 1996 r. w sprawie zakresu prowadzenia przez pracodawców dokumentacji w sprawach związanych ze stosunkiem pracy oraz sposobu prowadzenia akt osobowych pracownika (Dz.U. z 1996 r. Nr 62, poz. 286 z późn. zm.)


    i to może być przesłanką przetwarzania tych danych osobowych. Nie wymagałaby wtedy zgody.

    Swoją drogą jestem ciekaw interpretacji innych co do tego pomysłu.

  • Rafał Osajda
    Wpis na grupie ABI w temacie obowiązek informacyjny wobec osób upoważnionych
    18.12.2012, 09:49

    Na pewno? par. 8 wskazuje wprost że takie dane mają być w dokumentacji przetwarzane. Rozporządzenie określa kto ma je prowadzić (nakłada obowiązek prowadzenie takiej dokumentacji) itd.

    Wiec mamy spełnioną przesłankę: że jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa.


    "Komentowany przepis dopuszcza przetwarzanie danych, przewidując dwa istotne wymogi:
    1) istnienie odpowiedniego przepisu prawa, który przyznaje podmiotowi uprawnienie lub nakłada na niego obowiązek, oraz
    2) niezbędność przetwarzania danych do zrealizowania tego uprawnienia lub spełnienia obowiązku wynikającego z tego przepisu.
    Wymogi te powinny być spełnione łącznie".

    Źródło: Ochrona danych osobowych - komentarz - art 23 aut. Janusz Barta, Paweł Fajgielski, Ryszard Markiewicz - LEX 2011


    co do art 3 odo:


    art. 3. 1. Ustawę stosuje się do organów państwowych, organów samorządu terytorialnego oraz do państwowych i komunalnych jednostek organizacyjnych.
    2. Ustawę stosuje się również do:
    1) podmiotów niepublicznych realizujących zadania publiczne,


    Struktura placówek służby zdrowia jest taka, że zawsze podpadną pod którąś z tych definicji. Bo albo np samorządy są jej założycielami albo funkcjonują jako prywatne zakłady opieki zdrowotnej i realizują zadania publiczne. Ciekawa jest literatura art. 4 Ustawy z dnia 15 kwietnia 2011 r. o działalności leczniczej - co należy uznać za podmiot leczniczy.

    wiec po prostu zastosowałbym ten wyjątek do obowiązku art. 25.Rafał Osajda edytował(a) ten post dnia 18.12.12 o godzinie 10:30

  • Rafał Osajda
    Wpis na grupie ABI w temacie obowiązek informacyjny wobec osób upoważnionych
    18.12.2012, 09:06

    a może zastosować wyjątek z art 25 ust. 2 pkt 5?:

    Art. 25. 1. W przypadku zbierania danych osobowych nie od osoby, której one dotyczą, administrator danych jest obowiązany poinformować tę osobę, bezpośrednio po utrwaleniu zebranych danych, o:
    1) adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna - o miejscu swojego zamieszkania oraz imieniu i nazwisku,
    2) celu i zakresie zbierania danych, a w szczególności o odbiorcach lub kategoriach odbiorców danych,
    3) źródle danych,
    4) prawie dostępu do treści swoich danych oraz ich poprawiania,
    5) o uprawnieniach wynikających z art. 32 ust. 1 pkt 7 i 8.
    2. Przepisu ust. 1 nie stosuje się, jeżeli:
    1) przepis innej ustawy przewiduje lub dopuszcza zbieranie danych osobowych bez wiedzy osoby, której dane dotyczą,
    2) (uchylony),
    3) dane te są niezbędne do badań naukowych, dydaktycznych, historycznych, statystycznych lub badania opinii publicznej, ich przetwarzanie nie narusza praw lub wolności osoby, której dane dotyczą, a spełnienie wymagań określonych w ust. 1 wymagałoby nadmiernych nakładów lub zagrażałoby realizacji celu badania,
    4) (uchylony),
    5) dane są przetwarzane przez administratora, o którym mowa w art. 3 ust. 1 i ust. 2 pkt 1, na podstawie przepisów prawa,
    6) osoba, której dane dotyczą, posiada informacje, o których mowa w ust. 1.

    Wydaje mi się że są przetwarzane na mocy prawa wiec, można go zastosować.


    § 8. W dokumentacji indywidualnej wewnętrznej zamieszcza się lub dołącza do niej:
    1) oświadczenie pacjenta o upoważnieniu osoby bliskiej do uzyskiwania informacji o jego stanie zdrowia i udzielonych świadczeniach zdrowotnych, ze wskazaniem imienia i nazwiska osoby upoważnionej oraz danych umożliwiających kontakt z tą osobą, albo oświadczenie o braku takiego upoważnienia;
    Rafał Osajda edytował(a) ten post dnia 18.12.12 o godzinie 09:07

  • Rafał Osajda
    Wpis na grupie Fani WordPressa w temacie Strony zrobione w Wordpress'ie
    23.09.2012, 21:12

    mój blog o e-administracji: http://blog.informatyzacja.org

  • Rafał Osajda
    Wpis na grupie Ochrona danych w temacie Minimalna ilość rekordów?
    15.09.2012, 17:22

    Daniel Wieszczycki:
    Do tego nie potrzeba nawet opinii wyjaśniającej GIODO. To wynika właśnie wprost z zacytowanych przepisów UODO:


    Art. 46.
    1. Administrator danych może, z zastrzeżeniem ust. 2, rozpocząć ich przetwarzanie w zbiorze danych po zgłoszeniu tego zbioru Generalnemu Inspektorowi, chyba że ustawa zwalnia go z tego obowiązku.
    2. Administrator danych, o których mowa w art. 27 ust. 1, może rozpocząć ich przetwarzanie w zbiorze danych po zarejestrowaniu zbioru, chyba że ustawa zwalnia go z obowiązku zgłoszenia zbioru do rejestracji.

    No temat nie jest taki prosty, dlatego stanowisko GIODO lepiej przytoczyć. Co jeśli pytanie dotyczyłoby już gotowego a pustego zbioru?


    Obowiązek rejestracji nie istnieje jeszcze - można przyjąć - wówczas, gdy dopiero planuje się lub rozpoczyna zbieranie danych, czego efektem ma być dopiero stworzenie odpowiedniego zbioru. Brak także podstaw do dokonania zgłoszenia, gdy zestawienie danych (określone np. w art. 2 ust. 2 u.o.d.o.) nie nabyło jeszcze statusu zbioru danych w rozumieniu art. 7 pkt 1 u.o.d.o. Z tego punktu widzenia zestawienie, które w przypadku rozproszenia lub podziału funkcjonalnego traci walor dostępności danych według określonych kryteriów, nie jest zbiorem danych i nie podlega obowiązkowi rejestracji.

    Barta Janusz, Fajgielski Paweł, Markiewicz Ryszard, komentarz do art.40 LEX 2011 - Ochrona danych osobowych.

    Rafał Osajda edytował(a) ten post dnia 15.09.12 o godzinie 17:33

  • Rafał Osajda
    Wpis na grupie Ochrona danych w temacie Minimalna ilość rekordów?
    15.09.2012, 15:27

    Daniel Wieszczycki:
    Zero. Null. Zilch. :) Serio. Zbiór danych zgłasza się do rejestracji przed rozpoczęciem zbierania danych.

    Zgadza się. Zgodnie z opinią GIODO:

    "Zgłoszenia zbioru do rejestracji należy dokonać przed rozpoczęciem przetwarzania danych, czyli przed pierwszą czynnością, jaką administrator może wykonać na danych, tj. przed pozyskaniem pierwszych danych do zbioru. Zgodnie bowiem z art. 46 ust. 1 ustawy administrator danych może rozpocząć ich przetwarzanie w zbiorze po zgłoszeniu tego zbioru do rejestracji Generalnemu Inspektorowi. Jednakże, gdy administrator danych osobowych zamierza przetwarzać tzw. dane „szczególnie chronione”, wskazane w art. 27 ustawy, tj. dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz dane dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym, to zbieranie tego typu danych może rozpocząć dopiero po zarejestrowaniu zbioru (art. 46 ust. 2 ustawy).
    źródło: http://giodo.gov.pl

    - - - -
    | IAP |Rafał Osajda edytował(a) ten post dnia 15.09.12 o godzinie 15:29

  • Rafał Osajda
    Wpis na grupie ABI w temacie In-House Privacy Hiring Boom Shows No Signs Of Fading :)...
    15.09.2012, 09:05

    Daniel Wieszczycki:
    Jako ilustrację przedstawię odpowiedź niedoszłego klienta: "Przepraszamy, nie skorzystamy z Pana usług. Zdecydowała cena. Audyt i dokumentację wykona dla nas zaprzyjaźniona firma kurierska. :) A sprawa dotyczyła między innymi danych wrażliwych z badań klinicznych.

    Najbardziej mi się podoba "zaprzyjaźniona firma ..." czy raczej jakiś "zaprzyjaźniony" kolega?

    A fakt ostatnio "jakość" nie jest w cenie.

  • Rafał Osajda
    Wpis na grupie ABI w temacie Nauczyciel przetwarzający dane osobowe uczniów... w domu...
    6.09.2012, 11:46

    Przepisy ODO zezwalają na przetwarzanie danych osobowych poza obszarami wyznaczonymi w polityce (laptop)

    "Osoba użytkująca komputer przenośny zawierający dane osobowe zachowuje szczególną ostrożność podczas jego transportu, przechowywania i użytkowania poza obszarem, o którym mowa w § 4 pkt 1 rozporządzenia, w tym stosuje środki ochrony kryptograficznej wobec przetwarzanych danych osobowych"

    Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych - ZAŁĄCZNIK - A. Środki bezpieczeństwa na poziomie podstawowym pkt V

    jak widać ustawodawca przewidział możliwośc przetwarzania danych osobowych poza wyznaczonym obszarem. Kwestia tylko opracowania odpowiednich procedury (postępowanie z laptopem).

    Dlatego analogicznie można opracować podobną procedurę dla danych osobowych przetwarzanych w formie papierowej i nie uwarzam ze byłoby to naruszenie przepisów.

    | IAP |Rafał Osajda edytował(a) ten post dnia 06.09.12 o godzinie 12:34

Dołącz do GoldenLine

Oferty pracy

Sprawdź aktualne oferty pracy

Aplikuj w łatwy sposób

Aplikuj jednym kliknięciem

Wyślij zaproszenie do