Jako Inspektora Ochrony Danych temat RODO interesuje mnie zawodowo. W tym wątku po trochu będę się dzielił wiedzą w zakresie stosowania RODO na stronach internetowych... by nie dać się zwariować RODOmanii

1. Sklep internetowy a RODO

Prowadząc sklep internetowy NIE potrzeba umieszczać pola wyrażania zgody podczas rejestracji. Przetwarzanie danych osobowych w sklepie internetowym odbywa się na podstawie art. 6 ust. 1 lit. b:


przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;

Dane te są niezbędne do realizacji umowy zakupu której stroną jest osoba fizyczna. Dane te są również przetwarzane (i przekazywane) w celu wysyłki zakupionego towaru. Dlatego też zgoda nie jest wymagana. Należy jednak użytkownika poinformować o podstawie prawnej przetwarzania danych osobowych w Polityce Prywatności.

Jeśli jednak dane zebrane podczas rejestracji w sklepie wykorzystywane są również do innego celu np. wysyłka ofert, newsletter, wtedy należy umieścić w formularzu pole wyrażenia zgody. Bowiem nawet gdy zaistnieje przesłanka wynikająca z art 6. ust. 1 lit. f:


przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora

która to pozwala na wysyłanie informacji handlowej, mają zastosowanie inne przepisy który wymagają by wysyłanie oferty handlowej do osoby fizycznej obyło się na podstawie wyrażonej zgody (art. 10 ust. 1 ustawy o świadczeniu usług drogą elektroniczną).

Zatem kluczowa w sklepie internetowym powinna być Polityka Prywatności która wyjaśnia kto jest administratorem danych osobowych, w jaki sposób zbierane są dane osobowe, jakie dane, w jakim celu, na jakiej podstawie prawnej, czy sa przekazywane innym podmiotom lub do innych krajów, jak długo są przetwarzane oraz informować o prawach przysługującym osobom których dane dotyczą.

Ważne też będzie posiadanie umowy powierzenia przetwarzania danych osobowych z firmą hostingową.

mają zastosowanie inne przepisy który wymagają by wysyłanie oferty handlowej do osoby fizycznej obyło się na podstawie wyrażonej zgody (art. 10 ust. 1 ustawy o świadczeniu usług drogą elektroniczną)
Wysyłanie oferty handlowej - zgoda że wymaga zgody (moim zdaniem nawet więcej, jest to oczywisty interes firmy, ale nie jest to prawnie uzasadniony interes; prawnie uzasadnionym interesem jest np. przetwarzanie danych do czasu aż minie czas, w którym klient może wystąpić z roszczeniami. Ale może nie rozumiem najlepiej pojęcia prawnie uzasadnionego interesu
Ale czy wysyłanie newslettera związanego dokładnie z realizacją zamówionej usługi wymaga na pewno specjalnej zgody? Na przykład w przypadku wykupionego udziału w konferencji - jeśli wysyłam newsletter, w którym informuję o stanie przygotowań do konferencji i udzielam dodatkowych informacji o konferencji, to - moim zdaniem - czynię to, by w pełni wywiązać się z umowy. Nie potrzebuję do tego zgody. Newsletter jest tylko formą powiadomienia, jaką przesyłam do wielu osób, które wykupiły bilety lub zgłosiły swój udział, np. jako prelegenci (przykład nam bliski - JoomlaDay).
Inny przykład z newsletterem - jeśli ktoś na witrynie zapisał się na newsletter, to - moim zdaniem - nie potrzebuję specjalnej zgody na przetwarzanie danych niezbędnych do wysyłki newslettera, np. nazwy subskrybenta i jego adresu e-mail. Bo on zawarł ze mną umowę na wysyłanie mu newslettera. Oczywiscie, mam obowiązek informacyjny, ale przetwarzanie danych jest niezbędne do wykonania umowy, a więc zgody nie potrzebuję.
Ba, wspomniany przez Ciebei art. 10 ust. 1 ustawy o świadczeniu usług drogą elektroniczną mówi:

2.
Informację handlową uważa się za zamówioną, jeżeli odbiorca wyraził zgodę na otrzymywanie takiej informacji, w szczególności udostępnił w tym celu identyfikujący go adres elektroniczny. (podkreślenie moje).

Znów - mogę się mylić w tej interpretacji, ale nie widzę różnicy między umową na sprzedaż produktu a umową na dostarczanie na skrzynkę mejlową elektronicznej gazetki.

Co sądzisz? Co sądzicie?

Co do interpretacji "prawnie uzasadnionego interesu administratora" to GIODO wypowiedziało się w przewodniku RODO następująco:


Prawnie uzasadnionym interesem realizowanym przez administratora danych jest także marketing jego produktów i usług. Przetwarzanie danych w takim celu – marketingowym w stosunku do produktów i usług administratora danych – nie wymaga zgody na przetwarzanie danych osobowych.

http://prntscr.com/jmfjv8


Co do newslettera to zależy jak rozumiemy to czym jest. Semantec podaje następującą definicję:


Newsletter – forma elektronicznego biuletynu, rozsyłanego za pośrednictwem Internetu do prenumeratorów. Jest to informacja o charakterze językowo – graficznym, wysyłana do zadeklarowanych użytkowników, zazwyczaj w celu prezentowania nowości: nowych produktów, usług, promocji, publikowanych materiałów (np. w przypadku blogów). Korespondencja ta ma charakter cykliczny. Newslettery najczęściej przybierają krótkie formy, zachęcające klientów do zapoznania się z szerszymi informacjami na stronie internetowej firmy. Rzadziej można spotkać się z formą obszerniejszą, prezentującą informacje w sposób holistyczny. Celem marketingowym newsletterów jest podtrzymywanie relacji z aktualnymi klientami, jak również nawiązywanie tej relacji z klientami potencjalnymi, którzy dopiero interesują się ofertą.

Przeczytaj więcej na: https://www.semtec.pl/slownik-seo/newsletter/

Kluczowe będzie stwierdzenie "ma charakter cykliczny". W przypadku konferencji jest to raczej charakter epizodyczny.

Jeśli zbierasz dane osobowe w formularzu zapisywania się na konferencję - musisz poprosić o zgodę na przetwarzanie danych osobowych w celu organizacji konferencji (czy wzięcie udział w konferencji odbywa się na podstawie umowy cywilno-prawnej?). Jeśli wysyłasz zarejestrowanym użytkownikom informacje o stopniu organizacji konferencji w postaci "newslettera" - to mim zdaniem nie potrzebujesz osobnej zgody gdyż wysyłasz informacje chciane przez użytkownika, jest to sposób kontaktowania się z użytkownikiem. To tak jakbyś napisał do niego pojedynczego maila z informacją, kontakt. Raczej nie jest to prawdziwy newsletter z uwagi na jego epizodyczność. Zatem zgadzam się, że w takim przypadku zgoda na przetwarzanie danych w celu wysyłania "newslettera" nie jest konieczna a jako, że nie jest to informacja handlowa, nie jest konieczna również zgoda na przesyłanie informacji handlowej.

Generalnie należy zwrócić uwagę na dwie sprawy w kwestii wysyłanie newslettera:

1. Przetwarzanie danych osobowych
2. Przesyłanie informacji handlowych

Ad1: Przetwarzanie danych osobowych

Przetwarzanie danych osobowych może odbywać się zgodnie z przepisami prawa, czyli musimy mieć przesłankę legalności zgodną z art. 6 RODO. W przypadku newslettera kiedy nie jest to usługa płatna trudno mówić o umowie. Umowa wymagała by podania szczegółowych danych osoby fizycznej. Newsletter jest zatem usługą ale nie wiążącą się z umową w takim samym rozumieniu jak w przypadku sklepu bo faktycznie jest tylko JEDNA strona takiej "umowy" - wysyłający newslettera. Odbiorca nie ma żadnych obowiązków.

Do wysyłki newslettera potrzeby jest adres email i co do zasady NIE jest on daną osobową... ALE jeśli email zawiera dane osobowe w postaci imienia i nazwiska już się taką daną staje. Dlatego wyrażenie zgody jest niejako zabezpieczeniem "bo a nuż się dane osobowe trafią". Lepiej bezpiecznie założyć, że zbieramy dane niż popełnić w tej sprawie błąd.

Tak też wysyłanie newslettera będzie wiązać się z przetwarzaniem danych osobowych na który użytkownik wyraża zgodę.

Co innego gdy taki newsletter jest płatny, wtedy to jest usługa zawarta na podstawie umowy. Zgoda nie będzie potrzebna.

Ad2. Przesyłanie informacji handlowych

Przesyłanie informacji handlowych, zgodnie z definicją zawartą w ustawie o świadczeniu usług drogą elektroniczną, należy rozumieć:


każdą informację przeznaczoną bezpośrednio lub pośrednio do promowania towarów, usług lub wizerunku przedsiębiorcy

Nacisk położony jest tu na osiągnięcie efektu handlowego, w postaci określonej decyzji lub postawy odbiorcy informacji. Granica między newsletterem a informacją handlową jest bardzo płynna, stąd dla bezpieczeństwa warto pozyskać zgodę także na przetwarzanie danych dla celów handlowych.

Podsumowując, może okazać się, że nasz newsletter będzie potrzebował wyrażenia DWÓCH zgód.

---

W tym kontekście warto również zapoznać się z szerokim wyjaśnieniem pojęcia "Usług społeczeństwa informacyjnego" w świetle prawa wspólnotowego:
http://www.bibliotekacyfrowa.pl/Content/22509/Pojecie_uslugi_spoleczenstwa_informacyjnego.pdf
Chociaż tutaj znaczenie ma raczej obniżenie wieku granicznego do 16 lat, od którego użytkownik może zawierać umowy w ramach usług społeczeństwa informacyjnego czyli np. kupować rzeczy w sklepie online.

Wielki szum z RODO a tak naprawdę jak ktoś odrobił lekcję jak wchodziły przepisy GIODO to teraz miał dużo mniej pracy. Wówczas przejście na RODO jest wręcz banalne.

@siristru zastanawia mnie jedna kwestia odnośnie polityki prywatności i regulaminu. Czy te dwa dokumenty muszą być osobne czy dobrze skonstruowany regulamin jest też polityką prywatności? Jesteś w stanie nakreślić jak to wygląda z Twojej perspektywy?

Zgadzam się, krajowa ustawa została przyjęta w 1997 roku... jednak wiele firm i instytucji ją zignorowały. Kto wdrożył ochronę jeszcze na podstawie krajowych przepisów ten faktycznie dzisiaj nie miał dużo pracy.

Szum w postaci maili to tylko czubek góry lodowej :) Trzęsienie ziemi to zakładanie zamków i szafek... czas realizacji zamówienia w Szczecinie to nawet miesiąc :) I dotyczy to tylko zakładania drzwiczek... projektowanie nowych mebli to znacznie dłuższy okres.

Polityka Prywatności i regulamin powinny być osobnymi dokumentami/stronami. Powinno być tak dlatego, że Administrator Danych powinien dołożyć wszelkich starań by dopełnić obowiązek informacyjny wobec osoby której dane dotyczą. Polityka Prywatności powinna być napisana zwięźle i być łatwo dostępna. Połączona z regulaminem stanowi tylko jego część tj. jest częścią dłuższej treści a użytkownik może nie domyślić się, że regulamin zawiera także Politykę Prywatności. Dlatego dobrą praktyką będzie rozdzielenie tych dwóch.

Jasnym jest, że większość osób nawet nie przeczyta Polityki - nie mają takiego obowiązku, kiedy obowiązek informacyjny ciąży na Administratorze Danych.

Tutaj uwaga: użytkownicy nie muszą potwierdzać, że zapoznali się z Polityką Prywatności. To, że taka opcja jest powszechnie stosowana to tylko rodzaj "zabezpieczenia się" usługodawców kiedy użytkownik wypowie kardynalne "nie wiedziałem". Zresztą takie zaznaczenie pudełka nie ma mocy prawnej. Użytkownicy nie muszą też wyrażać zgody na Politykę Prywatności bo jest ona jedynie informacją i sama w sobie o niczym nie stanowi.

1. Co do umowy: gdy składam propozycję wysyłania biuletynu, a ktoś tę propozycję przyjmuje, zawieramy ze sobą umowę cywilno-prawną. Jest to umowa nienazwana. Nie ma tu żadnego znaczenia kwestia żadnych innych świadczeń związanych z realizacją umowy. Umową jest także zakup biletu na konferencję (umawiamy się tu na warunki określone w regulaminie konferencji czy innych zasadach). Umowę zawieram także z każdym użytkownikiem, który wchodzi na moją stronę internetową. Warunki tej umowy precyzuje regulamin witryny czy inaczej nazwany dokument. Cżesto jest to wprost wyrażane w takich regulaminach
2. Jeśli zbieram dane w formularzu zapisywania się na konferencję, nie muszę specjalnie prosić o wyrażenie zgody na przetwarzanie danych osobowych niezbędnych do organizacji konferencji. Mam tylko obowiązek informacyjny wyjasnienia, w jakim celu zbieram niektore z tych danych (np. jeśli potrzebuję adres zamieszkania do listy uczestników dla celów ubezpieczeniowych). Generalnie zgłaszając udział w konferencji na formularzu zgłoszeniowym, zgłaszający "podpisuje się pod", czyli przyjmuje zaproponowaną mu umowę określoną w regulaminie konferencji (co już zresztą napisałem ogólnie powyżej.
3. Bez znaczenia jest czas wydawania Biuletynu informacyjnego. Wydawnictwem cyklicznym jest także wydawnictwo, które ukaże się 5 razy w okresie 3-5 miesięcy.
4. Moja wypowiedź dotyczy właśnie owego NADMIAROWEGO zabezpieczania się na wszelki wypadek. Każda niepotrzebna nadmiarowa informacja jest z zasady zła, wprowadza szum informacyjny, zaciemnia istotę rzeczy, nie mówiąc już o tym, że bywa nie tylko okazją, ale i sposobem na obchodzenie prawa. Nadmiarowe zbieranie niepotrzebnych zgód jest żądaniem wykonania zbędnej czynności. Nawet, jeśli jest to tylko kliknięcie jednego 'checkboxa'. Ale - oczywiście - każdy ma prawo do swojej oceny ryzyka i bezpieczeństwa. Osobiście sprzeciwiam się jednak poradom "prawnym", czasem nawet formułowanym przez doświadczonych zdawałoby się prawników, które wynikają ze swobodnej interpretacji zapisów prawnych a nie z tych zapisów.
5. Dzięki za ten link dojaśniający, że "prawnie uzasadnionym interesem realizowanym przez administratora danych jest także marketing jego produktów i usług. Przetwarzanie danych w takim celu - marketingowym w stosunku do produktów i usług administratora - nie wymaga zgody na przetwarzanie danych osobowych." Oczywiście przy uwzględnieniu, że są pewne formy kontaktu z osobami, ktore takiej zgody wymagają. Co prawda osobiście mam pewną wątpliwość, czy rzeczywiście jest to prawnie uzasadniony interes, ale skoro tak mówi GIODO, te pewno wie, co mówi, a na pewno będzie się na co powołać w razie, gdyby następca GIODO chciał nam zrobić z tego tytułu psikusa :)
6. Z tą mniejszą ilością pracą tych, co wdrożyli wcześniej przepisy ustawy o ochronie danych osobowych, to nie do końca tak. Owszem, jest jej mniej w stosunku do pracy, którą trzeba było wykonać, gdy się rozpoczynało wdrażanie ustawy (u nas w Fundacji skutkowało to opracowaniem dokumentacji liczącej w 2012 roku 42 strony w Wordzie, nie licząc konkretnych regulaminów. Dziś te 42 strony trzeba tylko zaktualizować. Ale owo "tylko zaktualizować" oznacza więcej pracy, niż gdybyśmy mieli zabrać się za wdrażanie RODO od podstaw. Bo jako niewieka organizacja - jak się okazuje - nie musimy posiadać wielu z tych "elementów" dokumentacji stworzonej przed laty, a skoro już jest, to szkoda jej wyrzucać - lepiej dostosować.
Natomiast pełna zgoda co do oceny - jeśli ktoś solidnie się przykładał do ochrony danych osobowych na podstawie przepisów ustawy, to RODO nie przynosi wielkich zmian, poza... odciążeniem od pewnych obowiązków, zracjonalizowaniem całego procesu (podstawą włąsna diagnoza i analiza ryzyka, a nie sztywne wymyślone przez kogoś wykazy tego, co być musi, bez względu na siły i środki, jakimi dysponuje ADO z jednej strony, a faktycznymi potrzebami bezpieczeństwa danych osobowych. No i poza np. prawem do bycia zapomnianym. W sumie szczegóły, retusze, choć - oczywiście - często ważne. I generalnie - zmiana filozofii.
7. Byłbym ostrożny w formułowaniu stwierdzeń, że "Polityka prywatności i regulamin" powinny być odrębnymi dokumentami. To naprawdę kwestia decyzji ADO i kwestia sposobu wypełniania obowiązku informacyjnego. W przypadku naszej Fundacji stosujemy zasadę, że polityka prywatności jest załącznikiem do Warunków korzystania z witryn PCJ. Efekt - mamy formalnie jeden dokument, a faktycznie dwa. Są to rzeczy wzajemnie ze sobą powiązane, mogą być formalnie uregulowane w jednym dużym dokumencie (Polityce bezpieczeństwa...") złożonym z wielu różnych dokumentów.

Na koniec: @siristru: zachęcam do kontynuowania zamiaru wyrażonego w otwierajacym poście. Przy okazji podyskutujemy (może) i coś dobrego z tego na pewno wyniknie.

1. Co do umowy: gdy składam propozycję wysyłania biuletynu, a ktoś tę propozycję przyjmuje, zawieramy ze sobą umowę cywilno-prawną. Jest to umowa nienazwana. Nie ma tu żadnego znaczenia kwestia żadnych innych świadczeń związanych z realizacją umowy. Umową jest także zakup biletu na konferencję (umawiamy się tu na warunki określone w regulaminie konferencji czy innych zasadach). Umowę zawieram także z każdym użytkownikiem, który wchodzi na moją stronę internetową. Warunki tej umowy precyzuje regulamin witryny czy inaczej nazwany dokument. Cżesto jest to wprost wyrażane w takich regulaminach

Nie mogę się zgodzić. By zawrzeć umowę cywilno-prawną musisz jasno określić strony. Nie możesz zawrzeć umowy z osobą anonimową którą znasz z imienia lub maila.


By umowa doszła do skutku konieczne jest również określenie stron umowy. Umowa jest czynnością prawną dwustronną, co oznacza, że do jej zawarcia konieczne jest złożenia oświadczenia woli przez obie strony umowy.
https://mfiles.pl/pl/index.php/Umowa_cywilno-prawna


Umowa nie może być też zawarta automatycznie przez wejście na stronę bo brakuje w niej oświadczenia woli.


Umowa dochodzi do skutku jeżeli strony złożą ważne (nieobciążone wadami) zgodne oświadczenie woli (czyli osiągną konsensus).
https://mfiles.pl/pl/index.php/Umowa_cywilno-prawna

Czym innym natomiast jest umowa zawarta przy kupnie biletu na konferencję.

Czyli na przetwarzanie danych osobowych mogących być w mailu oraz na wysyłanie informacji handlowych - potrzebna jest zgoda.


2. Jeśli zbieram dane w formularzu zapisywania się na konferencję, nie muszę specjalnie prosić o wyrażenie zgody na przetwarzanie danych osobowych niezbędnych do organizacji konferencji. Mam tylko obowiązek informacyjny wyjasnienia, w jakim celu zbieram niektore z tych danych (np. jeśli potrzebuję adres zamieszkania do listy uczestników dla celów ubezpieczeniowych). Generalnie zgłaszając udział w konferencji na formularzu zgłoszeniowym, zgłaszający "podpisuje się pod", czyli przyjmuje zaproponowaną mu umowę określoną w regulaminie konferencji (co już zresztą napisałem ogólnie powyżej.

Zgoda, przeanalizowawszy zagadnienie - zgadzam się. Ważne by formularz zgłoszeniowy oznaczyć np. Formularz - Umowa uczestnictwa. Wtedy zgłaszający się faktycznie będzie zawierał umowę na uczestnictwo a Administratorowi Danych pozostanie jedynie obowiązek informacyjny.


3. Bez znaczenia jest czas wydawania Biuletynu informacyjnego. Wydawnictwem cyklicznym jest także wydawnictwo, które ukaże się 5 razy w okresie 3-5 miesięcy.

Jednak ma. Definicja słowa "cykliczny" to jasno określa:


cykliczny «szereg czynności, procesów lub zjawisk powtarzających się w takich samych odstępach czasu i w tej samej kolejności»
https://sjp.pwn.pl/slowniki/cykliczny.html


4. Moja wypowiedź dotyczy właśnie owego NADMIAROWEGO zabezpieczania się na wszelki wypadek. Każda niepotrzebna nadmiarowa informacja jest z zasady zła, wprowadza szum informacyjny, zaciemnia istotę rzeczy, nie mówiąc już o tym, że bywa nie tylko okazją, ale i sposobem na obchodzenie prawa. Nadmiarowe zbieranie niepotrzebnych zgód jest żądaniem wykonania zbędnej czynności. Nawet, jeśli jest to tylko kliknięcie jednego 'checkboxa'. Ale - oczywiście - każdy ma prawo do swojej oceny ryzyka i bezpieczeństwa. Osobiście sprzeciwiam się jednak poradom "prawnym", czasem nawet formułowanym przez doświadczonych zdawałoby się prawników, które wynikają ze swobodnej interpretacji zapisów prawnych a nie z tych zapisów.

Zgadzam się co do zasady. Przepisy podlegają interpretacji, zwłaszcza sformułowania nieostre. Dlatego tak ważna jest opinia odpowiednich organów - w przypadku RODO - UODO.


7. Byłbym ostrożny w formułowaniu stwierdzeń, że "Polityka prywatności i regulamin" powinny być odrębnymi dokumentami. To naprawdę kwestia decyzji ADO i kwestia sposobu wypełniania obowiązku informacyjnego. W przypadku naszej Fundacji stosujemy zasadę, że polityka prywatności jest załącznikiem do Warunków korzystania z witryn PCJ. Efekt - mamy formalnie jeden dokument, a faktycznie dwa. Są to rzeczy wzajemnie ze sobą powiązane, mogą być formalnie uregulowane w jednym dużym dokumencie (Polityce bezpieczeństwa...") złożonym z wielu różnych dokumentów.

Przepisy nie formułuję tego wprost, jednak motyw 58 RODO mówi co następuje:


Zasada przejrzystości wymaga, by wszelkie informacje kierowane do ogółu społeczeństwa lub osoby, której dane dotyczą, były zwięzłe, łatwo dostępne i zrozumiałe, by były formułowane jasnym i prostym językiem, a w stosownych przypadkach, dodatkowo wizualizowane. Informacje te mogą być przekazywane w formie elektronicznej, na przykład za pomocą strony internetowej, gdy są kierowane do ogółu społeczeństwa. Dotyczy to w szczególności sytuacji, gdy duża liczba podmiotów i złożoność technologiczna działań sprawiają, że osobie, której dane dotyczą, trudno jest dowiedzieć się i zrozumieć, czy dotyczące jej dane osobowe są zbierane, przez kogo oraz w jakim celu, na przykład w przypadku reklamy w internecie. Zważywszy że dzieci zasługują na szczególną ochronę, wszelkie informacje i komunikaty – gdy przetwarzanie dotyczy dziecka – powinny być sformułowane tak jasnym i prostym językiem, by dziecko mogło je bez trudu zrozumieć.

Mając to na uwadze, dostępność wydzielonej Polityki Prywatności, jako osobny link, pozycja menu a ostatecznie jako strona/dokument spełni zasadę przejrzystości. Zasadę przejrzystości wspomina art. 14 ust. 2 , który dotyczy "Informacje podawane w przypadku zbierania danych od osoby, której dane dotyczą", czyli spełnienia obowiązku informacyjnego.

Czy połączenie obszernego regulaminu z polityką będzie bardziej przejrzyste niż wydzielenie polityki? Czy dla użytkownika przejrzyste będzie domyślać się, ze polityka jest w regulaminie kiedy nie znajdzie pozycji menu czy linka do polityki?

1. W sprawie umowy - strony są określone - wydawca i osoba, która się rejestruje, bo podaje swoje DANE OSOBOWE, które ją jakoś identyfikują. Mówie o tej sytuacji, bo abstra***ę zupełnie od sytuacji: wszedłeś na stronę i zawarliśmy umowę.
2. Z tą cyklicznością naprawdę nie ma co dyskutować. Jest mnostwo biuletynów informacyjnych, które tak ostro definiowanego warunku cykliczności nie spełniają, a są biuletynami. Zostawmy to, wdalibyśmy się w akademicką dyskusję.
3. Ta przejrzystość i zrozumialy język, o której piszesz jest bardzo daleko idącym wymogiem. To, że coś zodstanie zaprezentowane w odrębnych mniejszych dawkach informacyjnych to zaledwie jeden ze środków prowadzących do przejrzystości i zrozumialego prezentowania informacji. Najogólniej - rzadko który regulamin, rzadko która polityka, zapisana typowym dla takich dokumentów językiem jest przejrzysta i zrozumialą. Najczęściej nie jest :). Ale to też na inną rozmowę :)

1. W sprawie umowy - strony są określone - wydawca i osoba, która się rejestruje, bo podaje swoje DANE OSOBOWE, które ją jakoś identyfikują. Mówie o tej sytuacji, bo abstra***ę zupełnie od sytuacji: wszedłeś na stronę i zawarliśmy umowę.

Zgodnie z ograniczeniem celu, możemy zbierać tylko takie dane które umożliwią nam realizację celu. Do realizacji wysyłania biuletynu potrzebujemy jedynie emaila - imię jest kwestią drugorzędną i grzecznościową. Email sam w sobie nie jest daną osobową ale może je zawierać (i tylko dlatego ta zgoda). Zatem zapisując się na newsletter podajemy dane albo i nie :)

Ale widzę o co chodzi. Bardzo wielu usługodawców określa newsletter jako usługę a rejestracja jest zawarciem umowy:

https://mijo24.pl/webpage/regulamin-newslettera.html
http://www.chmax.com.pl/regulamin-newslettera

Nie wiem czy taka umowa z podaniem tylko maila jest umową skuteczną bo umowa z osobą fizyczną wymaga podania danych osobowych:
http://e-prawnik.pl/artykuly/zawarcie-umowy/zawieranie-umowy-z-osoba-fizyczna.html
Email zawiera je niejako przypadkiem.
To coś dla specjalisty w dziedzinie Kodeksu Cywilnego.

---

Czy rozstrzygające będzie, że zapisując się na newsletter GIODO, pytają o wyrażenie zgody na przetwarzanie danych osobowych? :)
http://prntscr.com/jmlwzp
https://news.giodo.gov.pl/

Jeśli GIODO nazywa to usługą i pyta o zgodę na przetwarzanie danych... to wiedzą co robią :D LOL

spełnienia obowiązku informacyjnego.

@siristru Nie bierz tego do siebie co poniżej napiszę jedynie cytat jest wzięty z twojej wypowiedzi.

Nie wiem czy zauważacie pewnego absurdu, który miał miejsce w ostatnich godzinach i dniach. Każda z firm chce spełnić obowiązek informacyjny zarzucając skrzynki mailowe. Ja uważam że to jest w czystej postaci spam. Ponieważ z mojego punktu widzenia mogę uznać, że wiele firm się skrzyknęło w danej chwili i chciały mi zablokować skrzynkę mailową. Wiem że to brzmi absurdalnie, ja nic nie mogę zrobić w tej sprawie bo firmy muszą spełnić obowiązek informacyjny a ja za ten zapis muszę płacić spamem który jest na mojej skrzynce. To jest skrajne podejście więc proszę go nie komentować jedynie spojrzeć z innej perspektywy.

Dodatkowo jak się ma sytuacja obowiązku informacyjnego w takiej sytuacji:
Mamy e-sklep operujemy danymi osobowymi czy zamiast sklepu może być jakaś usługa w postaci szkoleń. Zgodnie z ustawą nie mamy obowiązku zbierać dodatkowej zgody ponieważ mamy podstawę prawną. Z drugiej strony mamy RODO które od nas wymaga spełnienia obowiązku informacyjnego. Czyli co w takiej sytuacji? Mamy zarzucić klienta spamem jak ma to miejsce ostatnio czy powinniśmy mieć miejsce w formularzu aby klient nam potwierdził że go poinformowaliśmy? Gdy spojrzymy na to bardzo restrykcyjnie to jak powinniśmy postępować?

LOL ale ja mam takie samo zdanie - masowe teraz wysyłanie informacji ma faktycznie znamiona spamu.
W niektórych sytuacjach musiałem nawet kontaktować się z nadawcami by zrozumieć o co im chodzi - ostatecznie przepraszali bo albo źle wysłali albo nie potrzebnie :)

Inną rzeczą jest poinformowanie o zmianie w Polityce Prywatności :)

Ja nie wysłałem ani jednego listu i klientom też nie polecałem. Ludzie mają dość "uświadamiania" RODO LOL :)
Tylko ja jako Inspektor to czytam :)

W takiej sytuacji radzę przejrzeć swoją Politykę Prywatności jeśli ją miałeś, uzupełnić. Czy wysyłać maila? Nie koniecznie bo można poinformować klienta w inny sposób - dać bannerek na pierwszej stronie, napisać w aktualnościach.
Poinformować na stronie gdzie znajduje się Polityka Prywatności.

Pytasz o podejście restrykcyjne? Wysyłanie emaila jest właśnie podejściem restrykcyjnym. Podczas kontroli nikt nie zapyta czy 25 maja wysłałeś maila ale czy masz Politykę Prywatności dostępną na stronie :)

Nie dajmy się zwariować. Problemem nie jest samo informowanie ale forma i czas... jak zwykle na ostatnią chwilę :)

Drogi @siristru. Kupiłem od babci na targu marchewkę. Marchewka była celowa nafaszerowana arszenikiem. Swiadkiem kupowania była moja znajoma. Po mojej śmierci niewątpliwej złożyła doniesienie gdzie trzeba i babuszka-sprzedawczyni zakończyła swoją zbożną działalność.
Najpierw pytanie, czy miała miejsce umowa kupna-sprzedaży? Czy mimo, że ani ja, ani babuszka nie podawaliśmy danych osobowych, umowa została skutecznie zawarta (babauszka sprzedała i marchewkę dała, ja zapłaciłem i marchewkę wziąłem)? Dalej już rozwijać nie będę.
Niestety, nie masz absolutnie racji co do twierdzeń odnośnie umowy, nawet gdy podpierasz się jakimś prawnym autorytetem. Konsekwencja jest taka, że pochodne twierdzenia, gdy podstawowe jest nieprawdziwe, też się nie są w stanie obronić.

Swoją drogą wartość prawniczego autorytetu e-prawnika.pl pkazuje pół zaczernionej strony oświadczenia wymuszającego w bezczelny sposób zgodę na ciasteczka. Kompromitacja.

Jeśli GIODO nazywa "to" (newsletter) usługą i pyta o zgodę na przetwarzanie danych osobowych, a w innym miejscu pisze to, co przytaczałeś wcześniej, to świadczy jedynie o tym, że nie wie lewica co robi prawica. Piszą jedno, robią drugie. Logiki w tym nie ma. Albo jest. Pokrętna logika prawnicza.

Usługi świadczone drogą elektroniczną to szerokie pojęcie obejmujące przeróżne zdarzenia. Usługą jest udostępnianie treści do przejrzenia. Usługą jest udostępnianie plików. Usługą jest udostępnienie możliwości komentowania, itd. itd. Korzystamy z tych usług na podstawie "wielkiej" umowy w sprawie tego, czym jest Internet, do czego służy, na jakich baaardzo ogólnych zasadach z niego korzystamy. I korzystamy na podstawie wielu "mniejszych" umów. Ot takiej - ktoś coś oferuje, daje, pokazuje, a ktoś inny z tego korzysta, ogląda, pobiera, itd. Umawiamy się przy tym w róznych kwestiach mniej i bardziej precyzyjnie. I to, że się umawiamy, nie podlega żadnej dyskusji. Co najwyżej tych umów często nie dochowujemy, co nie oznacza końca świata, bo te umowy mają taki właśnie charakter, obarczone są dużym ryzykiem niedochowania przez każdą ze stron. Ale mimo tego np. zastrzegamy w regulaminach, że nie odpowiadamy za takie czy inne możliwe szkody, które może spowodować np. skorzystanie z naszych idiotycznych porad udzielonych pół żartem pół serio.

Gdy na swojej stronie mam obszar tylko dla zarejestrowanych i zalogowanych użytkowników, to umawiam się z nimi, że ja oferuję im taką możliwość, a oni z tej możliwośći mogą skorzystać. Tyle, że do realizacji tej umowy konieczne jest zarejestrowanie się na stronie i podanie jakichś swoich danych osobowych. Nawet jeśli to jest tylko sam e-mail, który podobno nie jest daną osobową, dopóki nie jest to np. mejl typu s.wajda@joomla.pl. Ale że ja się u Ciebie zarejestruje na takiego mejla, to wpadłeś, bo masz moją daną osobową.
Nie musisz jednak mnie prosić o zgodę na przetwarzanie, bo masz prawo ją przetwarzać w celu wykonania naszej umowy. Żebym ja sobie mógł pooglądac te Twoje strony tylko dla zalogowanych. Owszem masz obowiązek informacyjny. Gdzieś tam w standardowym miejscu, np. regulaminie czy polityce prywatności przekazać pewien zestaw informacji. I czynisz to (jeśli oczywiście czynisz) w chwili pozyskiwania mojej danej osobowej. Nie musisz mi na formularzu rejestarcyjnym umieszczać ani 15, ani nawet jednego checkboxa czy oświadczenia, żeby zadośćuczynić jakimś domniemanym wymaganiom RODO. Oczywiście, możesz mnie poprosić o akceptację regulaminu. Ale - powtarzam - nie musisz.

O co więc chodzi w tym RODO (i chodziło także we wcześniejszych uregulowaniach, np. naszej ustawie o ochronie danych osobowych)? To naprawdę dobre pytanie. I warto na nie sobie odpowiadać, żeby to prawo było tym, czym rzeczywiście ma być, żeby służyło temu, czemu rzeczywiście ma służyć.

Maluczcy zajmą się produkowaniem checkboksów i klikaniem w nie, albo nie, a wielcy jak naruszali nasze podlegające ochronie prawa, tak dalej je będą naruszać, śmiejąc się w głos. Jak Ci, którzy od paru dni zalewaja nas falą bezsensownego spamu. Oczywiście, jeśli poddamy się różnym bzdurom upowszechnianym o RODO, a nie skupimy się na tym, czym faktycznie jest i jak nas wszyscy oszuści i cwaniacy będą chcieli zbałamucić.

Ja, Jaś Kowalski, co to sobie jednoosobową działalność gospodarczą uruchomiłem, rachunki za swoje usługi imienne wystawiam na akcydensowych drukach, przetwarzam dane osobowe swoich klientów, gdy o taki rachunek proszą, i:
- nie mam na rachunku żadnego checkboxa, że klient zgadza się na przetwarzanie jego danych osobowych (no bo formalnie w ogóle takiej zgody mieć nie muszę),
- nie mam tam oświadczenia, że jestem administratorem danych osobowych, które mnie ten klient do rachunku podał,
- nie mam tam żadnego odsyłania do Polityki prywatności czy jakiejkowlek innej,
- nie informuję moich klientów, że mają prawa do wglądu w ich dane osobowe, które ja od tego momentu będę jakoś tam przetwarzał.
Czy ja Jaś Kowalski muszę czytać Rozporządzenie o Ochronie Danych Osobowych? Czy ja muszę pisać jakąś politykę bezpieczeństwa informacji w moim grajdołku? Czy ja naruszam RODO, jeśli działam tak, jak to opisałem?
Otóż, moim skromnym zdaniem, ja Jaś Kowalski w niczym nie uchybiam żadnemu RODO. Ba, na dodatek nic nie mówiąc o RODO, wypełniłem wszystkie obowiązki informacyjne. Moje dane - ADO są na rachunku. Informacja, jakie dane przetwarzam, jest na rachunku. Informacja, po co je przetwarzam, jest oczywista dla klienta, który chciał rachunek. Bez zbędnej gadaniny czy pisaniny, mój klient zakłada też, że przekazane mi dane osobowe nie znajdą się jutro na śmietniku czy na giełdzie, bo powędrują pewno do dokumentacji rachunkowej, bo tam właśnie powędrować muszą. I będą wystarczająco chronione, bo przeciez muszę trzymać papiery w jakimś porządku i jakoś je zabezpieczyć, żeby nie zginęły. Na dodatek to wszystko zostalo przekazane mojemu klientowi w prostym, zrozumiałym dla niego języku. Obaj wiemy doskonale, co jest między nami grane. A jak, nie daj Przypadku, przypadkowo się te dane zawieruszą, to pozostaje kwestia oceny tego, co się wydarzyło, kwestia poniesionej szkody w wyniku wycieku danych, itd. Raczej nikt wielkiego rabanu robił nie będzie, a nawet jak zrobi, niczego w żadnym sądzie raczej nie uzyska.

Oczywiście, to nie oznacza, że w związku z RODO nikt nic nie musi. Wręcz przeciwnie. Generalnie RODO jest niezłą regulacją, a nawet bardzo dobrą. Z tą filozofią rzeczywistej odpowiedzialności za przetwarzanie danych osobowych, w takim zakresie, w takim wymairze, w taki sposób, w jaki tego przetwarzane dane wymagają. Z filozofią pełnego i rzeczywistego poszanowania praw osób, których dane osobowe są przetwarzane. Owszem, dostrzegam jakieś niewielkie braki w tej regulacji. Na przykład moim zdaniem prawo do żądania informacji o tym, jakie dane osobowe przetwarzam, powinno być prawem do uzasadnionego żądania, np. w sytuacji, gdy ktoś powziął wiadomość, że jego dane osobowe są przetwarzane bezprawnie - ale to na inną dyskusję, czy na późniejszą.

Tę chciałbym, abyśmy potoczyli w takim kierunku: Czego faktycznie wymaga RODO od nas - Jasiów Kowalskich i Janów Kowalskich, czyli mikro i maleńkich przedsiębiorców, bo takimi albo sami jesteśmy, albo takich najczęściej tak czy inaczej obsługujemy, a oni oczekują od nas czasem pomocy w poradzeniu sobie z RODO. Wielcy mają armię prawników, mali mają - niestety armię naciągaczy, którzy zwęszyli kapitalną okazję na kasę. Czy naprawdę trzeba kupić ten dodatek za 39€, żeby go zainstalować na witrynie, bo inaczej to nie spełnię wymogów RODO? Oto jest pytanie. czy naprawdę muszę wyłączyć Google Analitics albo zainstalować jakieś rozszerzenie, w którym będzie 10 checkoboksów do zaznaczenia/odznaczenia? To też ważne pytanie.

Dobrze Zwiastunie, może być faktycznie tak, że GIODO w jednym miejscu pisze tak a gdzieś indziej robi inaczej. Oznacza to jedynie chaos totalny bo instytucja która ma wskazywać dobre praktyki, wyjaśniać i interpretować przepisy... sama nie wie jak to ma być? Ale czy tylko oni? Tutaj dobry przykład: https://prakreacja.pl/swiadczenie-uslug-droga-elektroniczna/
Artykuł dowodzi to co mówisz - faktycznie Internet to jedna wielka usługa a użytkownik zawiera umowę.
Ale nawet tam autor daje checkboxy :)

Komu zatem ufać? W co wierzyć? Jak żyć panie? :)


Maluczcy zajmą się produkowaniem checkboksów i klikaniem w nie, albo nie, a wielcy jak naruszali nasze podlegające ochronie prawa, tak dalej je będa naruszać, śmiejąc się w głos. Jak Ci, którzy od paru dni zalewaja nas falą bezsensownego spamu.

Tak, jest :) oto Polityka Prywatności nazwa.pl: http://prntscr.com/jmqz4z
LOL


Ja, Jaś Kowalski, co to sobie jednososbową działalność gospodarczą uruchomiłem, rachunki za swoje usługi imienne wystawiam na akcydensowych drukach, przetwarzam dane osobowe swoich klientów, gdy o taki rachunek proszą, i:
- nie mam na rachunku żadnego checkboxa, że klient zgadza się na przetwarzanie jego danych osobowych (no bo formalnie w ogóle takiej zgody mieć nie muszę),
- nie mam tam oświadczenia, że jestem administratorem danych osobowych, które mnie ten klient do rachunku podał,
- nie mam tam żadnego odsyłania do Polityki prywatności czy jakiejkowlek innej,
- nie informuję moich klientów, że mają prawa do wglądu w ich dane osobowe, które ja od tego momentu będę jakoś tam przetwarzał.
Czy ja Jaś Kowalski muszę czytać Rozporządzenie o Ochronie Danych Osobowych? Czy ja muszę pisać jakąś politykę bezpieczeństwa informacji w moim grajdołku? Czy ja naruszam RODO, jeśli działam tak, jak to opisałem?
Otóż, moim skromnym zdaniem, ja Jaś Kowalski w niczym nie uchybiam żadnemu RODO. Ba, na dodatek nic nie mówiąc o RODO, wypełniłem wszystkie obowiązki informacyjne. Moje dane - ADO są na rachunku. Informacja, jakie dane przetwarzam, jest na rachunku. Informacja, po co je przetwarzam, jest oczywista dla klienta, który chciał rachunek. Be zbędnej gadaniny czy pisaniny, mój klient zakłada też, że przekazane mi dane osobowe nie znajdą się jutro na śmietniku czy na giełdzie, bo powędrują pewno do dokumentacji rachunkowej, bo tam właśnie powędrowac muszą. I będą wystarczająco bezpieczne, bo przeciez muszę trzymać papiery w jakimś porządku i jakoś je zabezpieczyć, żeby nie zginęły. Na dodatek to wsdzysko zostalo przekazane mojemuy klientowi w prostym, zrozumiałym dla niego języku. Obaj wiemy doskonale, co jest między nami grane. A jak, nie daj Przypadku, przypadkowo się te dane zawieruszą, to pozostaje kwestia oceny tego, co się wydarzyło, kwestia poniesionej szkody w wyniku wycieku danych, itd.

Eh, znasz opresyjny charakter prawa a raczej jego interpretacji w Polsce? Myślę, że kontrolerzy z UODO nie przychylili by się do twojej interpretacji i zapewne za jakiś czas usłyszymy o jakichś nawet może i karach.
Ale nie rzecz w tym. W twojej historii opisujesz świat idealny. Pracuję w instytucji kulturalnej... nawet nie wyobrażasz sobie beztroski pracowników jeśli chodzi - nawet nie o dane osobowe - ale dane finansowe. I zadrżały się wypadki, że dane wyciekały. Przepisy o ochronie danych Polska miała od 1997 roku. I co? I nic. Dane osobowe, furda :)


Czy naprawdę trzeba kupić ten dodatek za 39€, żeby go zainstalowac na witrynie, bo inaczej to nie spełnię wymogów RODO? Oto jest pytanie. czy naprawdę muszę wyłączyć Google Analitics albo zainstalować jakieś rozszerzenie, w którym będzie 10 checkoboksów do zaznaczenia/odznaczenia?

Tak, to są istotne kwestie istotne. Na razie mamy opinie (czasem sprzeczne) prawników. Jak czytałeś moje wcześniejsze wypowiedzi to znasz moje zdanie - nie panikować, czekać na jasne informacje, najlepiej z GIODO. Sama strona GIODO obrazuje stan przygotowań w Polsce :D

Eh, Zwiastunie, faktycznie muszę przyznać ci rację - jest tak jak piszesz: strona internetowa de facto składa się z wielu małych usług.
Reguluje to Ustawa z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną.
http://prawo.sejm.gov.pl/isap.nsf/DocDetails.xsp?id=wdu20021441204

Oznacza to, że jeśli świadczymy usługi to zawieramy umowę.
Jeśli zawieramy umowę i wykorzystujemy do tego dane osobowe to zgodnie z art. 6 ust. 1 lib. b nie potrzebujemy zgody.

Ale rozumiesz co mnie w tym niepokoi? Nie to, że większość adminów na stronie zbiera zgody w tym zakresie... raczej nie podążam za tłumem i staram się sam analizować.
Albo wzorować na tych co powinni wyznaczać standardy vide GIODO.
Ale jeśli oni sami zbierają zgody?

Może to oznaczać, że albo sami jeszcze nie dostosowali swojej strony (w co chcę wierzyć) albo... sami nie wiedzą. A to już dobrze nie wróży i żyjemy we śnie wariata :/

Ja, Jaś Kowalski, co to sobie jednoosobową działalność gospodarczą uruchomiłem, rachunki za swoje usługi imienne wystawiam na akcydensowych drukach, przetwarzam dane osobowe swoich klientów, gdy o taki rachunek proszą, i:
- nie mam na rachunku żadnego checkboxa, że klient zgadza się na przetwarzanie jego danych osobowych (no bo formalnie w ogóle takiej zgody mieć nie muszę),
- nie mam tam oświadczenia, że jestem administratorem danych osobowych, które mnie ten klient do rachunku podał,
- nie mam tam żadnego odsyłania do Polityki prywatności czy jakiejkowlek innej,.....................



Eh, znasz opresyjny charakter prawa a raczej jego interpretacji w Polsce? Myślę, że kontrolerzy z UODO nie przychylili by się do twojej interpretacji i zapewne za jakiś czas usłyszymy o jakichś nawet może i karach.
Ale nie rzecz w tym. W twojej historii opisujesz świat idealny. Pracuję w instytucji kulturalnej... nawet nie wyobrażasz sobie beztroski pracowników jeśli chodzi - nawet nie o dane osobowe - ale dane finansowe. I zadrżały się wypadki, że dane wyciekały. Przepisy o ochronie danych Polska miała od 1997 roku. I co? I nic. Dane osobowe, furda

Akurat ja się nie zgodzę że to opis świata idealnego. A raczej wielkiej rozbieżności pomiędzy światem Jasia a rzeczywistością przepisów RODO. Ja dołożył bym do tej historii miejsce prowadzenia działalności niech to będzie targ czy jak kto woli bazar.
Fakty są takie że każdy podlega przepisom RODO i tego nie zmienimy. W sytuacji kiedy od Jasia ktoś chce dokument w postaci rachunku to naprawdę zaczyna się problem. Powiedzmy że Krysia chce rachunek i informuje o tym Jasia.
W tej sytuacji Jaś w teorii został poinformowany i zaczyna odgrywać rolę administratora danych. Pomijam fakt zgód bo dane są w celu realizacji usługi.
Skoro Jaś już wie że będzie administratorem tych danych powinien zapewnić bezpieczeństwo tych danych. Jak na targu zapewnić takie bezpieczeństwo. Wszyscy wkoło słyszą co nam przekazuje Krysia i widzą. Więc już na samym wstępie nie możemy spełnić warunków RODO. I teraz ten Biedny Jaś który na wstępie nie jest w stanie zapewnić bezpiecznego pozyskania danych i przetworzenia danych musi te dane przekazać dalej np księgowa. Co gorsza dane które przekazała nam Krysia są na dokumencie papierowym. Czyli nie są należycie zabezpieczone abyśmy mogli je przekazać itd. Nie musimy mieć żadnej zgody od klienta a musimy spełnić warunki RODO pod kontem bezpieczeństwa ich przetwarzania bo to są dane osobowe. Nie zapominajmy że przetwarzanie to zapisywanie, przenoszenie, usuwanie czy edycja.
To nie koniec skrajnych sytuacji. Idźmy dalej za 3lata Krysia sobie przypomniała że Jaś ma jej dane ponieważ Jaś ma inne zobowiązania prawne względem Urzędu Skarbowego i musi trzymać ten rachunek przez jakieś 5lat (nie jestem księgowym więc nie łapać mnie za słowa) I teraz Krysia chce wglądu do tych danych bo ma takie prawo. Co w takiej sytuacji ma zrobić biedny Jaś? Spędzić tydzień na odnalezieniu rachunku i powiązanych z nim dokumentami?
Dlatego to nie jest idealny świat a rzeczywistość. Dla tak małego przedsiębiorcy przepisy RODO mogą stać się koszmarem jak tylko urzędnicy zaczną rygorystycznie traktować te przepisy.

@zwiastun dobrze piszesz mówiąc o tym że to co robią firmy spamując nas jest odejściem od prawdziwego zagadnienia bezpieczeństwa danych. Słyszałem o kilku przypadkach firm że traktują bezpieczeństwo danych bardzo surowo a rzeczywistość pokazuje że do serwerowni można wejść przez tylne drzwi pożarowe bo nas ochroniarz wpuści. Pomijają w ten sposób cały system kontroli dostępu.(to tak na marginesie)

Dlatego też jeżeli ktoś tylko wysyła nam maile z informacją o tym że zmieniły się przepisy to dla mnie osobiście to jest zwykły spamer. Jest tu brak mowy o bezpieczeństwie.
Nie należy szukać daleko podpisując umowę z jakąś firmą telekomunikacyjną czy bankiem itd. Zgadzamy się że nasze dane są wykorzystywane do realizacji usługi. A rzeczywistość pokazuje że te wielkie kolosy przekazują nasze dane mniejszym podmiotom które później nas nękają telefonami. Mimo naszego wyraźnego sprzeciwu nawet pisemnego proceder trwa. Problem jest traktowany marginalnie bo duża część osób się już przyzwyczaiła i tego nie zgłasza.
Liczę na to że dzięki RODO a w zasadzie dzięki karom które mogą urzędnicy nałożyć odstraszy to te wielkie kolosy od takich procederów a nie będą się pastwić jak zwykle nad tym biednym Jasiem.

Niestety, świetnie to ująłeś: żyjemy w śnie wariata. Dlatego nie dajmy się zwariować.
Oczywiście, ze swej strony mamy dołożyć należytych starań. Jeśli nie dokładaliśmy do tej pory, to najwyższy czas. Jeśli dokładaliśmy, to być może coś należy w naszej praktyce poprawić, zmodyfikować, udoskonalić. Zawsze może być lepiej.
Wrcając na przyklad do poruszanego tu już wiele razy Biuletynu. Prosta dobra praktyka nakazuje, by opatrzyć taki biuletyn formułką: Nie chcesz otrzymywać naszego Biuletynu, wypisz się z listy (i link, by się wypisać). Otrzymujący za każdym razem ma możliwość decydowania. Nawet jeśli nie miał takiej świadomości, gdy zamawiał Biuletyn po raz pierwszy. I także wtedy, gdy mu go wysłaliśmy niechcący po raz pierwszy bez jego zgody. Może zdecydować, może usunąć swój adres z naszej bazy, wie, kto te jego dane ma i do czego je wykorzystuje. Tu naprawdę nie potrzeba więcej, niż zwykłej rzetelności i szacunku. I nie sądzę, że ktokolwiek do takiej praktyki będzie miał zastrzeżenia, że ktokolwiek uzna, iż jego prawa zostały w jakikolwiek sposób naruszone.
Bo problem nie leży w tych, co szanują prawa innych, co nie przekraczają granic, których przekraczać nie wypada czy nie należy. Problem leży w tych, co owe granice przekraczają bez żadnych skrupułów, w imię tylko i wyłącznie swoich interesów. Oni wszyscy dostarczą regułek prawnych, polityk bezpieczeństwa i prywatności, regulaminów, checkoboksów, po to, by dalej robić swoje i stosowac coraz bardziej wymyślne metody ignorowanai naszych praw. Dla nich im więcej regułek, polityk, ble ble ble, tym lepiej, bo nikt się w tym wyznać nie będzie w stanie, bo zanim ktokolwiek im cokolwiek udowodni, to lata miną. Mam nadzieję, że pod rządami RODO będzie łatwiej i skuteczniej.

@rkonik: w opisie sytuacji Jasia, według mnie, wszystko jest w jak najlepszym porządku i w pełnej zgodzie z RODO. W stosunku do wagi zdarzenia, wagi zagrożeń wynikających z ewentualnego "wycieku" danych, itd. stosowane są odpowiednie środki zabezpieczające (Jaś dokłada wszelkich starań, żeby rachunek nie znalazł się w niewłaściwym miejscu, nie dostał w niepowołane ręce, itd.), klient może swoje dane przekazać Jasiowi na ucho, jeśli nie chce, żeby je ktos jeszcze usłyszał.
Moją intencją było pokazać, że Jaś Kowalski zachowuje się w kwestiach RODO adekwatnie do rzeczywistej odpowiedzialności, jaka wynika dlań z RODO, choć nic, dokładnie nic specjalnego w związku z RODO nie robił (i robić nie musi), a na pewno nie musi czytać żadnych w tej mierze rozporządzeń, korzystać z żadnych prawników, doradców wszelkiej maści, i w ogóle na tym poziomie nie musi sobie zawracać głowy jakimś RODO. Wystarczy, że nie będzie się zachowywał zupełnie beztrosko - ale zachowa się, tak, jak wymaga tego rola małego i uczciwego geszefciarza.

a na pewno nie musi czytać żadnych w tej mierze rozporządzeń
Nie mam nic do przykładu który podałeś jest bardzo fajny i ciekawy. Ja dołożyłem do tego skrajną wersję wręcz bardzo skrajną. Co do rozporządzeń mam inne zdanie. W tej konkretnej sytuacji Jaś nie musi od klienta pozyskiwać zgód ponieważ ma podstawę prawną. Mimo tej podstawy otrzymuje dane osobowe i powinien zachowywać się zgodnie z RODO. To że ma podstawę prawną pozyskiwania i przetwarzania danych (dane niezbędne do wystawienia rachunku) nie zwalnia go z obowiązku stosowania się do rozporządzenia. Czyli musi zapoznać się z rozporządzeniem.

Nie zgadzam się w sprawie tego "musi zapoznać się z rozporządzeniem". Oczywiście, byłoby może i bardzo dobrze, gdyby każdy zapoznal sie ze wszystkimi przepisami, które go dotyczą, ale nic z tego. Nie ma takiej szansy. :)
Generalny przekaz RODO jest prosty: masz chronić dane osobowe Twoich klientów, kontrahentów, interesariuszy, beneficjentów, itd. Masz dołożyć wszelkich starań, by chronić je odpowiednio. Masz je uzyskiwać legalnie i wykorzystywac tylko w celu, do jakiego zostały Ci udostępnione.
Żeby się do tego przekazu stosować, nie musisz czytać RODO czy Kodeksu Cywilnego (swoją drogą czytałeś go? zamierzasz czytać? bo przecież Cię dotyczy :) ).
Oczywiście, w miarę, gdy Twój biznes się rozrasta, a wraz z nim zmienia się sposób przetwarzania danych osobowych, zakres przetwarzania, zakres danych, itd., to musisz podejmować odpowiednie dzialania, bardziej złożone, bardziej sformalizowane. Przyda się znajomość RODO, na przykład wśród Twoich prawników czy doradców prawnych.
Ale generalny przekaz RODO nadal jest taki sam, a Ty - już teraz Jan Kowalski - rekin sukcesu (nawet z pierwszej setki najbogatszych) nadal nie musisz się zagłębiać w te przepisy. No dobra, ... zagłębią się Twoi prawnicy.
Ale jak pisałem wcześniej, mnie chodzi o setki, tysiące, dziesiątki tysięcy Jankow Kowalskich, którzy rekinami sukcesu może będą w przyszłości, ale póki co są zwykłymi drobnymi przedsiębiorcami, którzy całą swoją energię w rozwój swojego biznesu mają pakować a nie w studia prawnicze.
RODO w daleko większym zakresie niż nam się wydaje można i trzeba stosować bez prawniczych formułek, checkboksów i całego tego pajacowania, z jakim mamy do czynienia od niedawna.

PS Też strawiłem niemało czasu nad studiami, żeby dostosować do RODO politykę bezpieczeństwa Fundacji. Sam wykaz zmian w podstawowym dokumencie liczy 6 bitych stron. A mówię tylko o dokumencie podstawowym. Efekt całej pracy: Owszem, coś tam możemy w praktyce postępowania z danymi osobowymi w Fundacji poprawić, ale generalnie dla zainteresowanych, a więc wszystkich, którzy nam powierzyli jakieś dane osobowe, zmienia się tylko tyle, że przybyło im formalne prawo do "bycia zapomnianym", a nam formalne uzasadnienie dla niezapominania danych osób, którym np. zablokowaliśmy konta użytkowników, bo spamowały forum bądź naruszały podstawowe jego zasady.
Krótko mówiąc RODO dołożyło nam pracy BEZPRODUKTYWNEJ, która dla praktyki NIC NIE ZNACZY, nie przyniosła NICZEGO - ŻADNEJ WARTOSCI. Owszem, znów się sporo nauczyłem, ale przyznam, że mógłbym dożyć reszty życia bez tej wiedzy.

Super konwersacje, dużo wiadomości. Sporo się dowiedziałem. Ale jako ten Jaś Kowalski mam kilka pytań ;)
1. Na stronie umieszczam formularz kontaktowy dzieki któremu klient może się skontaktować z moją firmą. W formularzu wymagany jest adres email , imię oraz oczywiście wiadomość do mnie. Oprócz tego jest dobrowolne pole na telefon. I to wszystko. Pytanie - czy jesli ktoś zechce skorzystać z tego formularza i się ze mną skontaktować to już muszę prosić o zgodę na przetwarzane danych i informować go o tym wszystkim co i jak i gdzie związanym z Rodo ? 99% firm posiadających zwykłą stronę firmową nierzadko wykonaną po znajomości w domowych warunkach z takim formularzem dla swoich klientów łapie się za głowę i nie wie co ma teraz robić!?

2. Teraz pytanie dotyczące mnie osobiście. Prowadzę stronę dla państwowego przedszkola. Strona jak i adres internetowy(domena) jest moją prywatną własnością. Udostępniam to przedszkolu gratis bez zadnych opłat, umów itp. Nie ma możliwości logowania i zakładania kont czyli nie zbieram danych, ale... Stronę prowadzi 6 pań, nauczycielek i to one dodają wpisy do strony czyli są zarejestrowanymi użytkownikami witryny(ja utworzylem im konta) . czyli znam ich imiona oraz adresy email. Czy i w jaki sposób obowiązuje mnie RODO? Adresy mailowe oraz imiona przechowywane są wiadomo w bazie danych Joomla czy zatem dostawca serwera firma hostingowa i ja musimy mieć umowę na powierzanie danych?


Mysle ze takie i podobne sprawy to kłopot sporej części zwykłych Jasiów Kowalskich.
Jeśli to nie problem dla Was to prosiłbym o wypowiedzenie się w tym kierunku.

Pozdrawiam.

1. Nie musisz prosić o zgodę - ktoś wykazuje wolę by się z tobą skontaktować i oczekuje, że mu odpowiesz. Zatem nie ma sensu prosić go o pozwolenie skorzystania z danych które sam podał by mu odpowiedzieć :) Ten same dane by podał wysyłając maila ze swojej skrzynki pocztowej. Jeśli wykorzystujesz te dane jedynie do kontaktu albo jest to prośba o przesłanie oferty - nie potrzebujesz żadnej dodatkowej zgody czy checkboxa.

2. Nie potrzebujesz zgód pań na przetwarzanie danych bo ty jesteś usługodawcą, one korzystają z usługi czyli zawarliście umowę. Co do zasady dane użytkowników mogą być danymi osobowymi... a zatem umowa powierzenia powinna być. Ale można to rozwiązać dość prosto - nie używać loginów z imieniem i nazwiskiem, sprawdzić maile by nie zawierały danych osobowych typu misiaczek200@buzi.pl. Bez sensu zawierać umowę powierzenia przetwarzania danych z powodu tych 6 kont.

W przypadku strony dla przedszkola jest inne ważne zagadnienie - czy pojawiają się dane dzieci? Dane dzieci są danymi szczególnie chronionymi. Pozostaje kwestia wizerunków itp.


Żeby się do tego przekazu stosować, nie musisz czytać RODO czy Kodeksu Cywilnego (swoją drogą czytałeś go? zamierzasz czytać? bo przecież Cię dotyczy ).

Masz rację, nie musi. Może jeśli chce wdrożyć to w firmie sam - ale może to zlecić i ktoś może mu wyjaśnić.


Moją intencją było pokazać, że Jaś Kowalski zachowuje się w kwestiach RODO adekwatnie do rzeczywistej odpowiedzialności, jaka wynika dlań z RODO, choć nic, dokładnie nic specjalnego w związku z RODO nie robił (i robić nie musi), a na pewno nie musi czytać żadnych w tej mierze rozporządzeń, korzystać z żadnych prawników, doradców wszelkiej maści, i w ogóle na tym poziomie nie musi sobie zawracać głowy jakimś RODO. Wystarczy, że nie będzie się zachowywał zupełnie beztrosko - ale zachowa się, tak, jak wymaga tego rola małego i uczciwego geszefciarza.

Nie do końca tak jest, Zwiastunie. RODO jednak nakłada pewne obowiązki a mianowicie:

- prowadzenie rejestru czynności przetwarzania
- prowadzenie (gdy ma to zastosowanie) rejestru kategorii czynności przetwarzania
- jeśli Jan Kowalski ma pracowników którzy mają dostęp do danych - musi ich upoważnić
- jednoosobowa firma z reguły nie ma własnej księgowości... trzeba podpisać umowę powierzenia przetwarzania...

Generalnie poza wspomnianymi rejestrami, RODO nie wspomina o innych dokumentach. Ale nie możliwe jest działać be dokumentacji papierowej bo czy Jan będzie pamiętał wszystkie procedury jakie sobie ustalił w związku z przetwarzaniem, kto jest odpowiedzialny itp. itd.

Oczywiście w firmie jednoosobowej to jest możliwe... problemem będzie udowodnienie podczas kontroli, że podjęło się odpowiednie działania. Gros czynności jakie podejmujemy w związku z RODO jest po to by mieć spokój w czasie kontroli. Tworzymy pewną fikcję dokumentacyjną... trochę jak ze szkoleniami BHP - wiesz jak jest. Ale papier musi być.

Czyli nawet jak Jan nie uchybia RODO swoimi działaniami... musi sporządzić kilka dokumentów by nie narazić się kontrolerom.

To jest pakiet dokumentów jakie szykuję dla małej lub jednoosobowej firmy:

Polityka bezpieczeństwa w zakresie ochrony danych osobowych w firmie...
Załącznik 1 - Instrukcja postępowania w sytuacji naruszenia ochrony danych osobowych
Załącznik 2 - Rejestr czynności przetwarzania
Załącznik 3 - Ewidencja osób upoważnionych do przetwarzania danych osobowych
Załącznik 4 - Oświadczenie zapoznania się z polityką bezpieczeństwa
Załącznik 5 - Lista osób które zapoznały się z polityką bezpieczeństwa
Załącznik 6 - Upoważnienie do przetwarzanie danych
Załącznik 7 - Odwołanie upoważnienia do przetwarzania danych
Załącznik 8 - Raport z naruszenia ochrony danych osobowych
Załącznik 9 - Umowa powierzenia przetwarzania danych osobowych

Czasami jest to na wyrost dlatego, że warto przewidzieć niektóre zdarzenia - a nuż jednoosobowa firma zatrudni kogoś (wiemy jak to bywa ;) ).

Nie do końca tak jest, Zwiastunie. RODO jednak nakłada pewne obowiązki a mianowicie:

- prowadzenie rejestru czynności przetwarzania
- prowadzenie (gdy ma to zastosowanie) rejestru kategorii czynności przetwarzania
- jeśli Jan Kowalski ma pracowników którzy mają dostęp do danych - musi ich upoważnić
- jednoosobowa firma z reguły nie ma własnej księgowości... trzeba podpisać umowę powierzenia przetwarzania...

Miałbyś rację, gdyby te obowiązki dotyczyły bezwzględnie wszystkich. Nie dotyczą.
Z RODO

5.Obowiązki, o których mowa w ust. 1 i 2, nie mają zastosowania do przedsiębiorcy lub podmiotu zatrudniającego mniej niż 250 osób, chyba że przetwarzanie, którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1, lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa, o czym mowa w art. 10.

Wspomniane ustępy 1 i 2 dotyczą prowadzenia rejestrów, które wymieniasz w pierwszym i drugim tire.

Tak więc, nasz Jaś Kowalski nie ma obowiązku prowadzenia rejestru czynności przetwarzania. Nie ma obowiązku obowiązku prowadzenia rejestru kategorii czynności przetwarzania. Akurat nasz Jaś Kowalski, o czym wspominałem, pracowników nie ma, więc nie w ogóle problemu upoważniania kogoś do przetwarzania danych osobowych. Pozostaje umowa powierzenia przetwarzania, jeśli nie sam prowadzi swoją księgowość. Ale w takim przypadku umowę powierzenia na pewno dostanie od swojego biura rachunkowego.

Na marginesie, osobiście sądzę, że też za bardzo się tym problemem przejmować nie musi, ponieważ bez podpisywania z biurem rachunkowym umowy o powierzeniu przetwarzania danych osobowych, bBiuro rachunkowe umową na usługę księgową z Jasiem Kowalskim zobowiązuje się do starannego, rzetelnego, bezpiecznego wykonania usługi, odpowiedniego zabezpieczenia wszystkich danych, jakie otrzymuje i wszystkich dokumentów. Ale tu nie upieram przy swoim widzimisię, bo rzeczywiscie, RODO takiej umowy wymaga.

Podsumowując. Prawo do ochrony danych osobowych staje się lub już się stało jednym z fundamentalnych praw człowieka. W związku z tym dorosły Jaś Kowalski pewną świadomość obywatelską tego prawa, jego znaczenia i konsekwencji mieć, oczywiście, musi. I pewną wiedzę też. I oczywiście, pewne obowiązki. Wyszczególniliśmy je tutaj chyba wszystkie. Dwa bardzo formalne, to udzielenie upoważnienia do przetwarzania danych osobowych pracownikowi, jeśli Jaś takiego posiada i powierzy mu przetwarzanie danych. I drugie - podpisanie z biurem rachunkowym (jeśli obsługuje go biuro rachunkowe) umowy powierzenia danych osobowych. Ale to nie Jaś tę umowę przygotowuje.

I wracając teraz do kwestii podniesionych przez @danieladrianka
1. Jak napisał @siristru. Pamiętaj jednak, że masz obowiązki informacyjne. Powinny się znaleźć na stronie pod odnośnikiem Polityka prywatności czy Regulamin korzystania z witryny. Ma to być łatwo dostępne, napisane jasno, zrozumiale, prostym językiem.
2. Witryna przedszkola
Rozumiem, że domena może być Twoja. Ale witryna Twoją być raczej nie może i nie powinna. Nie możesz wydawać we własnym prywatnym imieniu ani w imieniu swojej firmy serwisu internetowego instytucji publicznej. To Twoje "udostępnianie" to jest albo umowa użyczenia, albo umowa darowizny, którą powinniście zawrzeć na piśmie. Nie Ty odpowiadasz za tę witrynę. I nie możesz odpowiadać, chyba że szkoła zaangażuje Cię na zasadach wolontariatu lub innej umowy jako redaktora naczelnego czy odpowiedzialnego, czego nie jestem sobie w stanie wyobrazić, bo nadal i tak pozostanie kwestia odpowiedzialności instytucji za to, co się na stronie publikuje.
Oczywiście, teoretycznie możesz sobie jako rodzic prowadzić "nieoficjalną" stronę przedszkola, ale w tym przypadku tak nie jest. Stronę, jak piszesz, prowadzi 6 pań nauczycielek, występują one na stronie oficjalnie jako funkcjonariusze publiczni. A strona zapewne i przez dyrekcję przedszkola, i przez rodziców traktowana jest jako oficjalna strona przedszkola.
Jak się już pewno domyślasz, konsekwencje tegoż są daleko idące. Także, jeśli chodzi o RODO.
Nie zgodzę się znów z @siristru.
Ponieważ strona jest na Twoim serwerze, w Twojej domenie, jesteś procesorem, więc powinieneś przygotować i przedstawić do podpisania umowę przetwarzania danych osobowych. O tym, jakie dane osobowe zostaną Ci powierzone w tym konkretnym przypadku, musi zadecydować dyrekcja przedszkola w sposób formalny, uzgadniając konkretne zapisy w umowie albo - to lepsze rozwiązanie - redagując samodzielnie załącznik, w którym wyszczególnia, jakie dane osobowe mogą się w serwisie znaleźć (wbrew pozorom może być ich więcej niż tylko dane tych kilku pań nauczycielek, które stronę prowadzą).
A że strona jest stroną instytucji publicznej i jakieś dane osobowe są i będą na niej przetwarzane, więc dyrekcja przedszkola musi uwzględnić ten fakt w swojej polityce bezpieczeństwa danych osobowych w zakresie, jaki wynika z analizy ryzyka.

Czasami jest to na wyrost dlatego, że warto przewidzieć niektóre zdarzenia - a nuż jednoosobowa firma zatrudni kogoś (wiemy jak to bywa ;) ).
Jeśli mogę coś zasugerować... Ponieważ takie opracowania, jakie zamieszasz stworzyć, już są (np. autorstwa W. Wawrzaka z prakreacja.pl), proponowałbym Ci skupić się na przygotowaniu materiału dedykowanego rzeczywiście jednoosobowej firmie Jasia Kowalskiego, który - nawet jeśli zatrudnia pracowników - to sam ogarnia dokumentację firmy lub korzysta z usług biura rachunkowego (to lepiej, zwłaszcza, ze biuro zrobi mu także obsługę kadry). Możesz dodać jeszcze do tego, że Jas Kowalski prowadzi jakąś stronę internetową z promocją swoich usług i być może czymś jeszcze. Ma tam formularz kontaktowy. Ot, taki typowy przypadek Jasia-Zosi Samosi. Jest ci ich u nas niemało. I potrzebują rozwiązań nawet rozwojowych, ale przede wszystkim na swoją miarę.

Wspomniane ustępy 1 i 2 dotyczą prowadzenia rejestrów, które wymieniasz w pierwszym i drugim tire.

Wybacz ale się mylisz. Pominąłeś jeden ale niezmiernie ważny element:


5.Obowiązki, o których mowa w ust. 1 i 2, nie mają zastosowania do przedsiębiorcy lub podmiotu zatrudniającego mniej niż 250 osób, chyba że przetwarzanie, którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1, lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa, o czym mowa w art. 10.

W przewodniku RODO autorstwa GIODO jest nawet taki przykład:

http://prntscr.com/jnd9gf

Dane kadrowe są tylko przykładem. A jak jest z fakturami? Tworzą zbiór a przedsiębiorca co i rusz wystawia faktury lub sam otrzymuje. Przetwarzanie danych w tch zbiorach nie maja charakteru sporadycznego.

Zobacz ten artykuł: https://giodo.gov.pl/pl/1520281/10449


Tak więc, nasz Jaś Kowalski nie ma obowiązku prowadzenia rejestru czynności przetwarzania.

Niestety ale ma. http://www.wszystkoorodo.pl/rejestr-czynnosci-przetwarzania-cz-ii/


Nie ma obowiązku obowiązku prowadzenia rejestru kategorii czynności przetwarzania

W tym wypadku nie ma bo nikt mu danych nie powierza... tak.


Akurat nasz Jaś Kowalski, o czym wspominałem, pracowników nie ma, więc nie w ogóle problemu upoważniania kogoś do przetwarzania danych osobowych.

Teraz nie ma a co w sytuacji kiedy będzie miał? Dokumentacja od nowa bo się zmieniła sytuacja w firmie? :) Nie lepiej zrobić dokumentację przewidując sytuację pracowników niż później ją dodawać.


Pozostaje umowa powierzenia przetwarzania, jeśli nie sam prowadzi swoją księgowość. Ale w takim przypadku umowę powierzenia na pewno dostanie od swojego biura rachunkowego.

Nie wiem czy dostanie... dostanie albo nie. Lepiej czekać aż dostanie czy mieć gotową i uderzyć do biura rachunkowości. Znam sytuację w której biuro księgowe potraktowało taką umowę jako okazje do podniesienia ceny usługi :/


Na marginesie, osobiście sądzę, że też za bardzo się tym problemem przejmować nie musi, ponieważ bez podpisywania z biurem rachunkowym umowy o powierzeniu przetwarzania danych osobowych, bBiuro rachunkowe umową na usługę księgową z Jasiem Kowalskim zobowiązuje się do starannego, rzetelnego, bezpiecznego wykonania usługi, odpowiedniego zabezpieczenia wszystkich danych, jakie otrzymuje i wszystkich dokumentów. Ale tu nie upieram przy swoim widzimisię, bo rzeczywiscie, RODO takiej umowy wymaga.

To dość ryzykowne tym bardziej, że pociąga ze sobą lawinę zdarzeń. To o czym piszesz to uogólnienia i pomijasz fakt, że biuro księgowe przetwarza już dane na dużą skalę jeśli mają choćby kilku klientów. Jak uporządkują u siebie zbiory? Jak udowodnią jakie dane i na podstawie czego im przekazano?

Zobacz proszę: https://odo24.pl/blog-post.wzor-umowy-powierzenia-przetwarzania-danych-zgodny-z-rodo


Podsumowując. Prawo do ochrony danych osobowych staje się lub już się stało jednym z fundamentalnych praw człowieka. W związku z tym dorosły Jaś Kowalski pewną świadomość obywatelską tego prawa, jego znaczenia i konsekwencji mieć, oczywiście, musi. I pewną wiedzę też. I oczywiście, pewne obowiązki.

LOL, Zwiastunie, nie dalej jak wczoraj czytałem komentarze pod artykułami dotyczącymi RODO na Interii. Wiesz jaka jest świadomość? Ludzie myślą, że to jakiś wymysł Unii do inwigilacji obywateli: http://prntscr.com/jnde5f
Daj spokój z tą świadomością. Kto wycyna swoje (nie mówić o danych nadawcy) z listów jakie dostaje... przesyłek? Ludzie nie maja świadomości.


I drugie - podpisanie z biurem rachunkowym (jeśli obsługuje go biuro rachunkowe) umowy powierzenia danych osobowych. Ale to nie Jaś tę umowę przygotowuje.

Nie zgadzam się. Jaś jest Powierzającym gdy biuro księgowe jest Przetwarzającym. To jaś powierza dane i on określa co przekazuje i w jakim celu jako Administrator Danych. Przetwarzający nie staje sie ich administratorem i możne je przetwarzać tylko w celu określonym przez ich administratora. Może i biuro przekaże mu formularz, wyjaśni i pomoże wypełnić. Ale ostatecznie w czyim interesie jest ta umowa zawierana i kto określa ja warunki? Trudno by warunki określała strona wykonująca.


Ponieważ strona jest na Twoim serwerze, w Twojej domenie, jesteś procesorem, więc powinieneś przygotować i przedstawić do podpisania umowę przetwarzania danych osobowych. O tym, jakie dane osobowe zostaną Ci powierzone w tym konkretnym przypadku, musi zadecydować dyrekcja przedszkola w sposób formalny, uzgadniając konkretne zapisy w umowie albo - to lepsze rozwiązanie - redagując samodzielnie załącznik, w którym wyszczególnia, jakie dane osobowe mogą się w serwisie znaleźć (wbrew pozorom może być ich więcej niż tylko dane tych kilku pań nauczycielek, które stronę prowadzą).

Nie zgadzasz się :) Na smarthost.pl jak to wygląda? Pobierasz umowę (oni wstawiają dane) ale to TY (Administrator danych) ją wypełnia i wysyła. Nie wypełnia jej przecież Przetwarzający. On może co najwyżej poinformować o konieczności zawarcia takiej umowy, dać formularz. Ale stroną inicjującą jest Administrator danych.

Przygotowuje na miarę jednak z perspektywą rozwoju. Uważam, że nie ma co zakładać, że firma zostanie jednoosobowa. Znam przypadki gdzie firma jednoosobowa zatrudniała osobę by ta mogła pójść na macierzyńskie. Wiesz, jest umowa, jest pracownik, jest zakres obowiązków - a nuż trzeba będzie sięgnąć po upoważnienia. I jak znalazł, jest w pakiecie :D

1. Trudno mi dyskutować. Według tych interpretacji, które przytaczasz, przytoczony przepis (chodzi o ów pkt.5) nie dotyczy nikogo albo prawie nikogo. Wedle tych interpretacji pisał go idiota. Bo tylko idiota może założyć, że firma zatrudnia 1-250 pracowników i nie przetwarza ich danych osobowych. A jeśli przetwarza, to nie robi tego przecież SPORADYCZNIE. I przetwarza także dane szczególne, np. informacje dotyczące chorób pacowników (nr choroby na L4).

Zarówno interpretacja GIODO, jak i interpretacja pani prawnik jest, niestety, taka właśnie - zakłada, że ten przepis został sformułowany przez idiotę. Ja tak nie zakładam. Wręcz przeciwnie.

2. To, że świadomośc jest, jaka jest, to zupełnie inna kwestia. Ja jestem z zupełnie innych niż Ty czasów i zapewniam Cię, w porównaniu z tamtymi czasami to świadomość, czym są dane osobowe i prawa z nimi związane jest ogromna, choć ciągle daleka od idealnej.

3. Jak się sytuacja zmieni, bo Jas Kowalski zatrudni pacownika, to Jaś Kowalski będzie się musiał w zwiazku z tym co nieco dokształcić (zorientować przynajmniej) i dostosować do zmienionych warunków. Póki pracownika nie ma, nie musi mu ani szkoleń BHP robić, ani o reguly przetwarzania jego danych martwić. A znawca propozycję dokumentacji dla Jasia Kowalsksiego może pzygotować tak, żeby jej Jaś - gdy się sytuacja zmieni - nie musiał zmieniać, a tylko uzupełnić :)

4. Co do biura rachunkowego - chyba mnie nie zrozumiałeś. Napisałem wyraźnie, że nie upieram się przy swoim widzimisię, bo RODO rzeczywiście takiej umowy przetwarzania wymaga.
Ale, proszę o życiowe i praktyczne podejście do rzeczy. Naprawdę sądzisz, że umowę powierzenia ma przygotowywać Jaś Kowalski, a nie biuro rachunkowe?
Jak mi biuro rachunkowe powie, że oni nie mają umowy powierzenia przetwarzania, to mam ewidentny dowód, ze trafiłem do nikompetentnej nierzetelnej firmy i natychmiast zmieniam biuro.

Żeby było ciekawie, nie dalej jak dwa dni temu przesiedzialem z właścicielem biura rachunkowego (syn) nad umową powierzenia przetwarzania. Wcześniej już też taką podpisywał w oparciu o poprzednie przepisy - liczyła 2 strony. I w zupełności wystarczała. Teraz zrobiliśmy nową. Liczy 11 stron. W oparciu o bardzo dobre konretne wzorce przygotowane przez dobry zespół prawników dla konkretnej dużej firmy z branży. Po pierwsze, nic a nic ta 11-stronicowa zamiast 2-stronicowej umowy nie zmieni w dotychczasowej praktyce biura. Po drugie, klienci, podobnie jak poprzednio, podpiszą tę umowę bez wypisywania jakichkolwiek załączników, bo zarówno kategorie danych osobowych, jak i kategorie czynności przetwarzania, gdy powierzane są dane osobowe pracowników (a w stosunku do nich biur występuje jako procesor) są u wszystkich (prawie wszystkich) takie same. Różnice dotyczą konkretów. A biura rachunkowe jako procesorzy przetwarzają te dane, oczywiście, każdorazowo na polecenie ADO, ale udokumentowanym poleceniem ADO jest zawarta z biurem umowa (główna) o świadczenie usługi. Owszem, sporadycznie zdarzają się dodatkowe polecenia wykraczające poza standard, ale te umowa powierzenia uwzględnia ogólnymi sformułowaniami.
Z hostingiem jest inaczej. I to jest właśnie to: umowę trzeba dostosowac do konkretnego przypadku, a nie w oderwaniu od konkretu. Smarthostowi podaję tylko informację o kategorii danych, bo ich nie zna. Biuro rachunkowe kategorie danych, jakie przyjmuje do przetwarzania, zna. Nie formularz otrzymujesz od Smarthostu (czy innego hostingu), czy biura rachunkowego - ale gotową umowę z ewentualnym prostym załącznikiem do wypełnienia, jeśli trzeba.

4. Co do biura rachunkowego - chyba mnie nie zrozumiałeś. Napisałem wyraźnie, że nie upieram się przy swoim widzimisię, bo RODO rzeczywiście takiej umowy przetwarzania wymaga.
Ale, proszę o życiowe i praktyczne podejście do rzeczy. Naprawdę sądzisz, że umowę powierzenia ma przygotowywać Jaś Kowalski, a nie biuro rachunkowe?
Jak mi biuro rachunkowe powie, że oni nie mają umowy powierzenia przetwarzania, to mam ewidentny dowód, ze trafiłem do nikompetentnej nierzetelnej firmy i natychmiast zmieniam biuro.

LOL, moim klientom to ja przygotowałem umowę i z nią się zgłosili do biura rachunkowego bo ich biuro tego nie zrobiło... może po prostu byliśmy szybsi? :). Ale mam też dobry przykład, biuro rachunkowe chce by im taki szablon przygotowac by informowali klientów o potrzebie zawarcia takiej umowy. Po prostu bywa różnie.

Ale, ta kwestia nie dotyczy tylko biur księgowych bo także doradztwa prawnego. W mojej instytucji współpracujemy z kancelarią prawną. Myślisz, że zgłosili się z taką umową lub chociaż by sugestią? :) Nie mówiąc już o sytuacji gdzie kancelaria zewnętrzna wchodzi w projekt realizowany przez moją instytucję.


Zarówno interpretacja GIODO, jak i interpretacja pani prawnik jest, niestety, taka właśnie - zakłada, że ten przepis został sformułowany przez idiotę. Ja tak nie zakładam. Wręcz przeciwnie.

Eh, też kiedy czytałem przepisy to się ucieszyłem bo moja instytucja zatrudnia 130 osób. Ale tworzy mnóstwo zbiorów gdzie dane są mielone niesporadycznie :/ Ten zapis jest strasznie słaby.


Smarthostowi podaję tylko informację o kategorii danych, bo ich nie zna. Biuro rachunkowe kategorie danych, jakie przyjmuje do przetwarzania, zna. Nie formularz otrzymujesz od Smarthostu (czy innego hostingu), czy biura rachunkowego - ale gotową umowę z ewentualnym prostym załącznikiem do wypełnienia, jeśli trzeba.

Zwiastunie, ja się zgadzam z Tobą co do zasady. Tak powinno być - biuro rachunkowe powinno się w tej kwestii orientować i wychodzić z inicjatywą. To jest także w ich interesie i dobrze o nich świadczy jako o zawodowcach. Wyszło na to, że zabawiłem się nieco w adwokata diabła :) Chodziło mi raczej, że realia odbiegają od dobrych praktyk.

Ale mamy raptem kilka dni "rzeczywistości RODO". Strona GIODO nie pozwala zgłaszać jeszcze IOD mimo, że Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych już to nakazuje.
BA! Ustawa została ogłoszona w Dzienniku Ustaw 24 maja 2018 :)

My się tutaj podniecamy, palce zdzieramy na klawiaturze a ustawodawca sobie dał na luz... a było tyle czasu od 27 kwietnia 2016 roku :)

Tak czy inaczej dobrze, że sobie tutaj porozmawialiśmy bo dzięki temu ogarnąłem więcej tematu. Jak będzie? Zobaczymy - na bieżąco śledzę informacje na GIODO. Mam nadzieję, że czarny scenariusz z ciasteczkami się nie sprawdzi.

Zgoda powinna być wyrażona w drodze jednoznacznej, potwierdzającej czynności, która wyraża odnoszące się do określonej sytuacji dobrowolne, świadome i jednoznaczne przyzwolenie osoby, których dane dotyczą, na przetwarzanie dotyczących jej danych osobowych i która ma na przykład formę pisemnego (w tym elektronicznego) lub ustnego oświadczenia. Może to polegać na zaznaczeniu okienka wyboru podczas przeglądania strony internetowej, na wyborze ustawień technicznych do korzystania z usług społeczeństwa informacyjnego lub też na innym oświadczeniu bądź zachowaniu, które w danym kontekście jasno wskazuje, że osoba, której dane dotyczą, zaakceptowała proponowane przetwarzanie jej danych osobowych. Milczenie, okienka domyślnie zaznaczone lub niepodjęcie działania nie powinny zatem oznaczać zgody. Zgoda powinna dotyczyć wszystkich czynności przetwarzania dokonywanych w tym samym celu lub w tych samych celach. Jeżeli przetwarzanie służy różnym celom, potrzebna jest zgoda na wszystkie te cele. Jeżeli osoba, której dane dotyczą, ma wyrazić zgodę w odpowiedzi na elektroniczne zapytanie, zapytanie takie musi być jasne, zwięzłe i nie zakłócać niepotrzebnie korzystania z usługi, której dotyczy.

I jeszcze raz dla podkreślenia:

Może to polegać na zaznaczeniu okienka wyboru podczas przeglądania strony internetowej, na wyborze ustawień technicznych do korzystania z usług społeczeństwa informacyjnego lub też na innym oświadczeniu bądź zachowaniu, które w danym kontekście jasno wskazuje, że osoba, której dane dotyczą, zaakceptowała proponowane przetwarzanie jej danych osobowych.
Co to oznacza?
Ano oznacza, że jeżeli podaję w formularzu swoje dane osobowe celem wykonania celu, któremu służy formularz, np. rejestracji na witrynie, wypełnieniu formularza kontaktowego, gdzie podaję dane do kontaktu, zamawienie newslettera, to wykonuję czynność, która w danym kontekście jasno wskazuje, że akceptuję proponowane mi przetwarzanie danych osobowych.
Okienko wyboru (checkobox) jest tylko JEDNYM ZE środków, a nie jedynym, jak usiłują nam wmawiac różni interpretatorzy.
Przywołany cytat wyraźnie też wskazuje, że "zapytanie takie musi być jasne, zwięzłe i nie zakłócać niepotrzebnie korzystania z usługi, której dotyczy". Zanzaczenie dodatkowego pola wyboru, czytanie dodatkowych objasnień, jest niczym innym, jak niepotrzebnym zakłócaniem korzystania z usługi.
Mamy tu jeszcze wyraźne dojaśnienie, że:
[quote]Milczenie, okienka domyślnie zaznaczone lub niepodjęcie działania nie powinny zatem oznaczać zgody.[quote]
I to jest to, o co chodzi. Nie o to, że musimy obowiązkowo gdzieś wstawiać okienka wyboru, ale to, że musimy szanować prawo do decyzji tego, któremu coś oferujemy.
Czy dobrze myślę?

Warto poczytać motywy, jakie zdecydowały o takiej a nie innej zawartości RODO. Oto czytam w motywie 47:

Za działanie wykonywane w prawnie uzasadnionym interesie można uznać przetwarzanie danych osobowych do celów marketingu bezpośredniego.
Jest to więc napisane wprost w treści całego dokumentu. Nie trzeba się wiec odwoływać do jakich interpetacji GIODO. Oczywiście, trzeba czytać w kontekście. Ten "prawnie uzasadniony interes" podlega pewnym regułom i ograniczeniom.

Ano oznacza, że jeżeli podaję w formularzu swoje dane osobowe celem wykonania celu, któremu służy formularz, np. rejestracji na witrynie, wypełnieniu formularza kontaktowego, gdzie podaję dane do kontaktu, zamawienie newslettera, to wykonuję czynność, która w danym kontekście jasno wskazuje, że akceptuję proponowane mi przetwarzanie danych osobowych.
Okienko wyboru (checkobox) jest tylko JEDNYM ZE środków, a nie jedynym, jak usiłują nam wmawiac różni interpretatorzy.

Zgadza się, z jednym wyjątkiem kiedy dane będą wykorzystywane w celach innych niż zakłada sam formularz. Np. formularz rejestracji nie określa celu jakim jest np. przetwarzanie tych danych w celach marketingowych.
Zatem jeśli dane z rejestracji wykorzystujemy w kilku celach to musimy pozyskiwać zgodę osobno na każdy cel.
Oczywiście nie ma to zastosowania jeśli rejestracja jest wykonywana jako zawarcie umowy na usługi.

Faktycznie zapis mówi o kilku formach uzyskania takiej zgody. Wydaje mi się, że checboxy stały się formą netykiety... pewnej tradycji niekoniecznie wynikającej z obowiązków prawnych. Ale co do zasady zgadzam się, że to nie jest jedyna forma.


Czy dobrze myślę?

Tak :) Faktycznie, przytaczanie całej klauzuli informacyjnej zakłóca taką usługę. Nie trzeba też potwierdzać, że się przeczytało i akceptuje Politykę czy Regulamin, bo samo podjęcie czynności jest taką akceptacją.

Warto krótko wspomnieć pod takim formularzem: "Sprawdź jak chronimy Twoje dane, przeczytaj Politykę Prywatności i Regulamin" z linkami. Ale to też oczywiście do decyzji Administratora.

Motyw 47 dotyczy art. 6 ust 1 lit. f :) Motyw 47 podaje jedynie przykład i (co ważne) nie rozróżnia czy jest to marketing własny czy "obcy". Fakt - powołując się na art. 6 ust 1 lit. f należy wyjaśnić czym jest w naszym przypadku "prawnie uzasadnionym interesie". Samo powołanie się na artykuł nie wystarczy.

Sporo informacji ale to dobrze, lepiej znać sprawę nawet ogólnikowo niż pisać bzdruty tak jak to zostało przytoczone z interii :)


Teraz nie ma a co w sytuacji kiedy będzie miał? Dokumentacja od nowa bo się zmieniła sytuacja w firmie? Nie lepiej zrobić dokumentację przewidując sytuację pracowników niż później ją dodawać.
Nie zakładaj że ktoś coś będzie robił. W tej sytuacji nie ma pewności że ktoś chce rozwijać firmę. Może został zmuszony do założenia działalności po to aby mógł podjąć pracę (współpracę). Może ten Jaś to 65letni Jaś i tylko chce dorobić. Tworzenie dokumentacji która kiedyś może będzie wykorzystana to moim zdaniem marnowanie zasobów. To jest skrajny przypadek bo mówimy w takiej sytuacji o wąskim gronie przedsiębiorców którzy chcą jeszcze coś dorobić lub zwyczajnie mieć pracę.
To tak jakbyśmy kupowali do domu 2 ekspresy do kawy może ten drugi się kiedyś przydadzą jak się pierwszy zepsuje albo przyjdzie więcej gości i pierwszy nie będzie nadążał z robieniem kawy.

Owszem gdy ktoś tworzy firmę to wyobraża sobie jak będzie ona wyglądała w przyszłości i wówczas jak przewidział że zatrudni w przyszłości osoby itp to warto pomyśleć tej dokumentacji i zrobić to za jednym razem. Natomiast nie zgodzę się z takim podejściem że zrób bo może kiedyś Ci się przyda. Jeżeli nie ma konkretnego wymiaru czasowego to to kiedyś może trwać wiecznie.

Moim zdaniem, generalnie podejście @siristru jest słuszne w takiej kwestii: tworzyć dokumentację otwartą na zmiany w przyszłości. Chodzi o to, by zmiany w przyszłości nie wymagały tworzenia dokumentacji na nowo, ale żeby ją w razie potrzeby móc bezproblemowo uzupełniać, rozwijać.

Prosty przykład: w Polityce bezpieczeństwa Fundacji odwoływaliśmy się do przepisów obowiązującej wówczas ustawy o ochronie danych osobowych. Efekt, trzeba było zmieniać ileś zapisów. A gdyby było odwołanie do "obowiązujących przepisów", to nic by nie trzeba było w tej mierze zmieniać i dokumentacja byłaby wciąż aktualna.

Drobne, ale istotne.

To ja znowu się dopytam ;)

Czyli generalnie to ja powinienem jako osoba prywatna pójść do dyrektorki przedszkola i zanieść do podpisania 2 (dwie) umowy ;)?

Jedna to umowa użyczenia gotowej strony internetowej (oraz domeny) w której zapiszę informację że użyczam nieodpłatnie do korzystania ze strony i domeny przez dyrekcję i nauczycieli oraz że nieodpłatnie będę jej administratorem. Czy tak?

Druga umowa to umowa przetwarzania danych osobowych. ( w witrynie jest 6 nauczycielek, każda ma własny mail i login w postaci Imię N.(czyli imię i pierwsza litera nazwiska) Dodatkowo nauczycielki oczywiście wrzucają zdjęcia dzieci, czasami z podpisami (np. dziś świętujemy urodziny Patrycji), na stronie dyrekcja udostępnia także spis dzieci nowo przyjętych do przedszkola.
Rozumiem że ta umowa musi to wszystko zawierać (szczegółowo?) ?
Jako nie będący w temacie nawet nie wiem jak taka umowa ma wyglądać, może są jakieś szablony, pomoce?

Tu rodzi się jeszcze pytanie w kwestii , a co z rodzicami? Oni też muszą wyrazić zgodę na umieszczenie zdjęć (imion, nazwisk) ich dzieci na stronie internetowej przedszkola? Ta zgoda musi być dla mnie (administratora strony) czy dla przedszkola?

Do tej pory nikt nigdy nic nie miał do tego, strona działa ponad 5 lat i można powiedzieć że wszystko jest ok. Czy przez RODO naprawdę trzeba wprowadzać tyle "problemów" do czegoś co dobrze funkcjonuje ?

Dodam że za pomocą strony rodzice mogą się skontaktować z dyrekcją szkoły poprzez zwykły formularz kontaktowy, nie ma możliwości rejestracji, ani ja ani nauczycielki nie wysyłają za pomocą strony żadnych maili czy newsletterów do rodziców.
Strona posiada informację o ciasteczkach oraz stronę z warunkami korzystania.

Pewnie od @siristru dostaniesz dokładniejszą odpowiedź niż moja.

Ja na twoim miejscu zacząłbym w ogóle od jakiejkolwiek umowy i to najlepiej na papierze. Dogadanie się z przedszkolem czy jakąkolwiek instytucją jest proste i nie wymaga jakiegoś wielkiego wysiłku tym bardziej jeżeli sporo pracy jak nie wszystkie wykonasz dla nich nieodpłatnie. Musisz jednak pomyśleć o sytuacji złej której CI osobiście nie życzę ale się może zawsze wydarzyć.
Przykładowo zostanie opublikowane zdjęcie dziecka które nie powinno być publikowane. Lub któraś z tych 6 pracownic zdenerwuje się na dyrektorkę i coś namiesza na stronie.
Jak myślisz kto za to odpowie?
Ja zacząłbym od właściciela domeny i namiaru na niego. Jeżeli właściciel świadczy usługi na rzecz przedszkola i ma papier na to wówczas wiem do kogo się zwracać w przypadku nieprzyjemnej sytuacji. Na początek unormowałbym tą sytuację aby było wiadomo kto jest kim i jakie ma obowiązki i prawa. Po unormowaniu tego zająłbym się unormowanie RODO.
Będziesz spał spokojniej.

1. Tak, dobrze myślisz - zawierasz dwie umowy tak jak opisałeś.
2. Umowa powierzenia przetwarzania danych osobowych - wzór znajdziesz tutaj: https://odo24.pl/blog-post.wzor-umowy-powierzenia-przetwarzania-danych-zgodny-z-rodo
3. AAAA! Wizerunek to nie dość, że dana osobowa ale też dobro osobiste. Tym bardziej wizerunki (dane) dzieci są szczególnie chronione. Faktycznie rodzice powinni wyrazić zgodę na umieszczanie wizerunków ich dzieci na stronie internetowej. Zgoda musi być dla przedszkola.

Ochrona danych osobowych w Polsce jest uregulowana od 1997 roku :) To, że nikt z tym nic nie robił to inna historia. Dobrze, że RODO nareszcie takie rzeczy uświadamia. W szkole mojego syna co roku na rozpoczęciu są zbierane takie zgody - i to od lat!

Na wysyłanie maile ze strony (formularz kontaktowy) nie potrzebujesz zgody. Tutaj zgoda jest wyrażona przez jasno określone działanie - "piszę do ciebie i oczekuję odpowiedzi, pisz na podany adres".

Co do ciasteczek to informujemy, że używamy. Szczegóły na temat przetwarzania danych osobowych powinny być zawarte w Polityce Prywatności strony. Tam rodzic dowie się jakie strona może zawierać dane, kto nimi administruje, na jakiej podstawie i jakie przysługują im prawa.

ok. Dzięki. Jak na razie nie widzę problemów by zastosować się do Waszych porad.
Na pewno to ogarnę w najbliższych dniach.

Przypomniało mi się trzecie pytanie ;)

Co z usługodawcą hostingu od którego wykupuję serwer ?
Czy z nim powinienem zawierać jakieś dodatkowe umowy? ( w panelu hostingu jest opcja a nawet dwie ;)):
1. Jestem administratorem Danych osobowych i powierzam ich przetwarzanie umową przetwarzania
2. jestem podmiotem przetwarzającym dane osobowe na zlecenie innych podmiotów i powierzam ich przetwarzanie umową przetwarzania


czy powinienem po uregulowaniu tych umów z przedszkolem zawrzeć którąś z tych dwóch w moim hostingu? Jeśli tak to którą?

Co Ty masz do uregulowania?
- kwestia własności witryny
- kwestia domeny
- kwestia hostingu
1. Własność witryny
Czy i jakie istnieje uzasadnienie, żebyś Ty był właściciwlem witryny?
Żadne.
Czy możesz być właścicielem tej witryny?
Teoretycznie - możesz, jak ktoś kto jest właścicielem budynku wynajmowanego na przedszkole.
Czy ma jakiś sens to, żebyś był właścicielem tej witryny?
Nie ma żadnego sensu. Co więcej, jako właściciel ponosisz odpowiedzialność za wszystko, co się na tej witrynie dzieje. A przecież nie możesz ponosić takiej odpowiedzialności. Póki co nic się nie stało. Ale wyobrazić sobie można różne zdarzenia, za które mógłbyś poniesć odpowiedzialność.
Co z tym zrobić? Oddać witrynę jej faktycznemu dysponentowi - przedszkolu i jego prawnemu przedstawicielowi.
Jak to zrobić: prosta umowa przekazania na własność bez wynagrodzenia. Nawet nie użyczenia, a przekazania, darowizny - nazwać można różnie.

2. Domena
Jeśli zakupileś domenę i jest to domena typu przedszkolepanakleksa.pl, to tak, jak przekazuzjesz witrynę, możesz przekazać i domenę. Oczywiście, trzeba to załatwić od strony formalnej (wpis u rejestratora domen). Konsekwencja dla przedszkola - ponoszenie corocznej odpłatności za domenę. Oczywiście, możedsz co roku dokonać opląty, a dokładniej przekazać przedszkolu darowiznę na ten cel.

3. Hosting
Jeśli na wynajmowanym przez siebie hostingu udostępniasz trochę miejsca dla witryny, możesz to robić dalej na podstawie umowy z przedszkolem (umowy hostingowej) ze wszystkimi konsekwencjami takiej umowy. Poniewaz w grę wchodzi ewentualna odpłatność, gdyby przedszkole samo zawarło z hostingiem umowę, umowa z Tobą będzie korzystniejsza.

Po załatwieniu tych spraw pozostanie rozwiązanie problemów związanych z RODO i w ogóle wydawaniem witryny przez przedszkole. Możesz tu posłużyć pomocą, doradztwem, ale - na Wszystkich Swiętych - by nie powoływać się na imię Najwyższego. Toż to nie Twój problem, tylko problem dyrekcji przedszkola. Jak się pan/i dyrekcja nie zna, to niech się pozna ze swoimi w tej mierze obowiązkami. Za to bierze pieniądze!

Oczywiście, mogę dalej opowiadac tutaj, co należy, żeby pomóc Ci wyjść z tego ambarasu :), ale to raczej nie jest miejsce na korepetycje dla dyrektora tej placówki.
Uzmysłowię Ci tylko (i p. dyrektor/owi), że za opublikowane dziś bezprawnie na stronie przedszkola zdjęcie, będzie można być pozwanym także i za 10-15 lat, gdy mały Jaś będzie dorosły i strzeli mu do głowy, że wykorzystano jego wizerunek bez zgody jego albo jego rodziców.

1. Jestem administratorem Danych osobowych i powierzam ich przetwarzanie umową przetwarzania
2. jestem podmiotem przetwarzającym dane osobowe na zlecenie innych podmiotów i powierzam ich przetwarzanie umową przetwarzania

Administratorem Danych jest przedszkole.

Jeśli zrobisz jak radzi Zwiastun - będziesz udostępniał kawałek swojego hostingu - to jesteś przetwarzającym a przedszkole powierzyło ci dane.
Sytuacja jest o tyle ciekawa, że ty powierzasz je firmie hostingowej.

Czyli przedszkole zawiera umowę na powierzenie tobie, w umowie zgadza się na dalsze powierzenie a ty zawierasz umowę powierzenia z usługodawca hostingu.

Przedszkole (publiczne?) powinno mieć powołanego swojego Inspektora Ochrony Danych. On powinien ogarnąć te rzeczy w przedszkolu.

@zwiastun
1,2,3 Ok to jest do zrobienia, nawet lepiej dla przedszkola bo to będzie ich i nie będzie zależało od innych losowych przypadków u mnie że tak powiem.
ad.3 co do hostingu - zapewne lepiej dla przedszkola (może nie taniej ;) będzie wykupienie własnego a mi udzielenie tylko pełnego dostępu do niego, w razie czego zawsze to ich a nie moje i mogą sobie zmienić administratora.

pozostaje kwestia RODO...

Zapewne formalności 1,2,3 uda się przeprowadzić szybko i bez problemu, ale jeśli dalej będę administratorem ( a raczej będę ) nadal będę przetwarzał ich dane osobowe ;) czyli umowa musi być. ( co z umową powierzania danych hostingu wtedy? oni - "przedszkole" podpisuje z hostingodawcą ?)

Ogólnie nieco się już zakręcam w tym ;)

Podsumowując:
Niebawem:
1. hosting, domena oraz działająca strona przeniesiona na nowy hosting jest formalnie własnością przedszkola. (np. umowa darowizny)
2. ja nadal jestem administratorem tej strony z pełnym dostępem do Joomla jak i nowego hostingu (np. umowa o administrowanie stroną i hostingiem)
3. strona działa dalej tak jak do tej pory
4. co muszę jeszcze zrobić ja? a co musi zrobić przedszkole ? :
- umowa między mną a przedszkolem o przetwarzaniu czy powierzaniu danych ?
- umowa między hostingiem a przedszkolem o powierzaniu danych ?
- uzyskanie przez przedszkole od każdego rodzica zgody na przetwarzanie danych ich dzieci (zdjęcia , nazwiska i imiona)? (być może takie już mają - nie wiem)
- oczywiście przeredagowanie Polityki Prywatności i Warunków korzystania

I dalej to śmiga tak jak powinno być ;)

Wszystko ?

edit po opublikowaniu przeczytałem @siristru (http://forum.joomla.pl/member.php?20049-siristru)

dzięki za dodatkowe informacje

Jak już "przepiszesz" wszystko na przedszkole to możesz podpisać z nimi umowę na czynności administracyjne strony i w niej zawrzeć jakie czynności wykonujesz i w jakim zakresie odpowiadasz za nie.
W takiej sytuacji przedszkole stanie się administratorem danych Ty nawet nie będziesz procesorem. Przedszkole jako administrator danych ma pewne obowiązki które musi spełnić wobec Ciebie jako administratora witryny i wobec rodziców jeżeli będzie chciało publikować wizerunek dzieci.
Te obowiązki to umowa między tobą a przedszkolem, zgody rodziców, umowa powierzenia danych z hostingiem. Oczywiście jeżeli nie ma polityki prywatności lub jest niezgodna z obecnymi przepisami to też powinna zostać zmieniona.

Poza tym to tak trochę niepoważne podejście ze strony przedszkola i rodziców że zdjęcia dzieci bez żadnej zgody mogą być publikowane. Mam nadzieję że tak nie jest.
Dodatkowo nie wiem czy nie będzie jeszcze potrzebna umowa z autorem zdjęć (fotografem). Ponieważ zdjęcie jest w pewnym sensie dziełem a do tego przychodzą na z pomocą przepisy o prawach autorskich.

Dodatkowo nie wiem czy nie będzie jeszcze potrzebna umowa z autorem zdjęć (fotografem). Ponieważ zdjęcie jest w pewnym sensie dziełem a do tego przychodzą na z pomocą przepisy o prawach autorskich.

Ogólnie można by chyba dodać w regulaminie albo poprostu pobrać zgodę od każdej pani która pisze artykuły że wszystkie zdjecia i teksty udostępniane są na wolnej licencji coś ala JEDL na wiki joomla.

Wysłane z mojego LG-M200 przy użyciu Tapatalka

@danieladrianka

0. Przedszkole jest Administratorem Danych
1. Musi wystąpić do rodziców o zgodę na upublicznianie wizerunków dzieci. Imiona można używać, jednak lista nazwisk dzieci - moim zdaniem nie powinna być umieszczana. Rodzicie powinni być powiadamiani o przyjęciu dziecka do przedszkola ale publikowanie listy? Ostatecznie taka lista może być wywieszona w przedszkolu. Nie wiem czemu ma służyć upublicznianie ich na stronie. O tym niech decyduje ich Inspektor Ochrony Danych.
2. Domena i hosting stają się własnością przedszkola. Zatem zawierają umowę powierzenia przetwarzania danych usługodawcy hostingu.
3. Jeśli jesteś adminem strony, powinni podpisać z tobą upoważnienie do przetwarzania danych osobowych (jesteś tak jakby ich pracownikiem, działasz na zlecenie Administratora Danych).
4. Przedszkole powinno mieć na stronie Politykę Prywatności.


Dodatkowo nie wiem czy nie będzie jeszcze potrzebna umowa z autorem zdjęć (fotografem). Ponieważ zdjęcie jest w pewnym sensie dziełem a do tego przychodzą na z pomocą przepisy o prawach autorskich.

Ale zdjęcia pewnie robią pracownicy przedszkola zatem przysługują im prawa autorskie ale prawa własności należą do przedszkola (wykonali je w czasie pracy na zlecenie pracodawcy).

Jeśli zrobisz jak radzi Zwiastun - będziesz udostępniał kawałek swojego hostingu - to jesteś przetwarzającym a przedszkole powierzyło ci dane.
Sytuacja jest o tyle ciekawa, że ty powierzasz je firmie hostingowej.

To jest bardzo ciekawe. W umowie pomiędzy procesorem a Administratorem danych może być zawarta klauzula że procesor może przekazać dane dalej w celu wykonania należycie usługi. Czy kolejna umowa pomiędzy procesorem i defakto procesorem jest niezbędna? Są sytuacje na rynku gdzie można powiedzieć że taki łańcuszek procesorów może być długi. Jak ma się do tego rozporządzenie?


Ogólnie można by chyba dodać w regulaminie albo po prostu pobrać zgodę od każdej pani która pisze artykuły że wszystkie zdjecia i teksty udostępniane są na wolnej licencji coś ala JEDL na wiki joomla.

Tu jest kilka kwesti.
- Jeżeli fotograf jest pracownikiem przedszkola to wykonuje pracę na rzecz przedszkola i wówczas nie bedzie musiał mieć praw autorskich od fotografa bo przedszkole ma wszelkie prawa do zdjęć
- Jeżeli fotografem jest rodzic lub po prostu fotograf to najprościej uzyskać od niego przekazanie praw majątkowych, bo praw autorskich się nie da przekazać. Mając pełne prawa majątkowe możesz ze zdjęciem robić co chcesz.

Natomiast ty mówisz na jakiej licencji są na stronie to jest inna kwestia. Najpierw musisz mieć zgodę autora fotografa i on określi na jakich prawach możesz rozporządzać jego dziełem. Wówczas jak uzyskasz np wszystkie prawa majątkowe do dzieła możesz je udostępniać na licencji jakiej chcesz. Ale jeżeli fotograf nie przekaże Ci wszystkich praw majątkowych do dzieła to tylko możesz rozporządzać dziełem w zakresie jakie masz w umowie.

Dlatego najlepszym rozwiązaniem w takiej sytuacji jest aby pracownik przedszkola robił zdjęcia wówczas to przedszkole jest właścicielem wszystkich praw do dzieła i znikają zbędne umowy.

Jak ma się do tego rozporządzenie?

Rozporządzenie nic o tym nie wspomina. To kwestia umowy. W umowie którą się posługuję mam:


Dalsze powierzenie danych do przetwarzania
1. Podmiot przetwarzający może powierzyć dane osobowe objęte niniejszą umową do dalszego przetwarzania podwykonawcom jedynie w celu wykonania umowy po uzyskaniu uprzedniej pisemnej zgody Administratora danych.
2. Przekazanie powierzonych danych do państwa trzeciego może nastąpić jedynie na pisemne polecenie Administratora danych chyba, że obowiązek taki nakłada na Podmiot przetwarzający prawo Unii lub prawo państwa członkowskiego, któremu podlega Podmiot przetwarzający. W takim przypadku przed rozpoczęciem przetwarzania Podmiot przetwarzający informuje Administratora danych o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny.
3. Podwykonawca, o którym mowa w §3 ust. 2 Umowy winien spełniać te same gwarancje i obowiązki jakie zostały nałożone na Podmiot przetwarzający
w niniejszej Umowie.
4. Podmiot przetwarzający ponosi pełną odpowiedzialność wobec Administratora za nie wywiązanie się ze spoczywających na podwykonawcy obowiązków ochrony danych.


Dlatego najlepszym rozwiązaniem w takiej sytuacji jest aby pracownik przedszkola robił zdjęcia wówczas to przedszkole jest właścicielem wszystkich praw do dzieła i znikają zbędne umowy.

Dokładnie. Umieszczając zdjęcia na stronie, nie musisz pisać na jakiej licencji je tam zamieściłeś chyba, że jest to istotne i pozwalasz na ich pobieranie/wykorzystywanie.

Podnoszone problemy i dyskusja pokazują, jak wiele jest rzeczywistych i poważnych kwestii z wydawaniem stron internetowych instytucji publicznych i jak one są zwykle i nieodpowiedzialnie ignorowane.

Pewno powinniśmy zainicjować nowy wątek, aby dojaśnić kwestie owych zdjęć dzieciaków. Ale że dotyczy on jednak także danych osobowych, pokontynuujmy tutaj (bo wizerunek jest własnością osoby i poniekąd jej daną osobową służącą identyfikacji i dlatego m.in. wykorzystywany jest np. na legitymacji, w dowodzie osobistym).

Proszę mi podać chociażby jeden powód, dla którego na stronie internetowej przedszkola czy szkoły mają być publikowane zdjęcia dzieci? O co chodzi w tych wszelkiego typu "galeriach"? Komu to służy i do czego? Tylko spróbujmy na tę kwestię spojrzeć odważnie, z punktu widzenia celów takiej witryny szkoły czy przedszkola. Odważnie, aż do bólu.

Kogo i o czym takie zdjęcia informują? Czy przekazywanie tej informacji temu komuś na stronie internetowej jest rzeczywiście uzasadnione? Czym jest uzasadnione? Jakim i czyim interesem?

Strona szkoły czy przedszkoła ma cele informacyjne - informować tych, dla których jest tworzona - rodzice, uczniowie, dzieci przedszkolne (na pewno?), ale także obserwatorów - przedstawicieli władz sprawujących nadzór, przedstawicieli mediów, społeczność lokalną, która łoży na utrzymanie szkoły czy przedszkola ze swojego budżetu. Ma informoać o zadaniach publicznych przedszkola czy szkoły, o tym, jak je realizuje, itd., itd. Całkiem sporo jest tych rzeczowych informacji do przekazania.
Czy do wypełnienia tej funkcji potrzebne sa zdjęcia dzieci? uczniów? Absolutnie nie!

Strona szkoły czy przedszkola ma także i cele promocyjne. Ma czy też może pokazywać, czemu warto akurat w tej szkole czy przedszkolu umieścić swoje dziecko, czemu warto pójść do tego porzedszkola czy szkoły (jeśli adresatem działań promocyjnych są bezpośrednio dzieci czy uczniowie).
Czy do wykonania tego celu potrzebne są zdjęcia dzieci? Nie, nie - nie o to chodzi, czy strona ładnie wygląda ze zdjęciami dzieci. Chodzi o to, czy do realizacji tego celu potrzebne są zdjęcia dzieci, uczniów?
A może zamiast ich wizerunkow wizerunki ich dzieł plastycznych? rysunków, obrazków, robótek ręcznych, itd? Może audycje dźwiękowe z czytania, recytowania, śpiewania, dyskusji?

Wiem, takie żywe, prawdziwe, uśmiechnięte dziecko ożywia komunikat czy stronę. Ale, ale ... czy celem jest promocja tego dziecka? Dobro tego dziecka? Czy może jest ono tu wykorzystywane przedmiotowo, żeby zadośćuczynić niezbyt zdrowym aspiracjom dyrekcji, nauczycieli, a nawet - czasami i rodziców (jakież to niecodzienne wydarzenie, bo zdjęcie mojego syna czy córki zamieścili na stronie internetowej!)

Dyrektorowi szpitala czy lekarzom, jakoś nie przychodzi nawet do głowy, żeby na stronach internetowych szpitali czy ośrodków zdrowia publikować zdjęcia pacjentów, galerie obrazów z operacji czy innych czynności z pacjentami. A nauczycielom do głowy przychodzi. I nikt się nawet nie dziwi.

A teraz sobie nałóżmy na to jeszcze całą kwestię wyrażania zgody na publikację, praw majątkowych, licencji, na jakich te fotografie są publikowane. Owszem, polskie prawo pozwala (mam nadzieję, że już niedługo) na dysponowanie przez rodziców wizerunkiem swoich dzieci. Ale czy rzeczywiscie to jest prawo przynależne rodzicom, a jeśli tak, to w jakim zakresie, w jakich granicach. Dobra, niech będzie - na razie rodzicie mają takie prawo. Czy można wyrazić zgodę raz w roku, na przykład na poczatku roku? A na jakiej podstawie? Jak można się zgodzić na publikację zdjęcia, które dopiero zostanie wykonane, którego się nie widziało? A jeśli dziecko będzie na nim zaprezentowane w sposób niechciany?
Dalej - jakim prawem szkola czy przedszkole może oczekiwać od rodziców wyrażenia takiej zgody na przyszłość, a nie dla konkretnego wykonanego i obejrzanego zdjęcia czy filmu.
Czy nie mamy tu do czynienia z nadużyciem władzy? Ilu rodziców odważy się powiedzieć nauczycielom, że nie wyrażają zgody, zwłaszcza w szkole, w której wiadomo, jak dyrektorowi szkoły na tej stronie internetowej zależy (jego oczko w głowie)?

Nie będę dalej tego rozwijać. Zakończę prostym pytaniem: proszę mi powiedzieć, jakiego WIELKIEGO MÓZGU nauczycielskiego (w tym dyrektorskiego) potrzeba, żeby zdawać sobie sprawę, że moje nauczycielskie prawa i interesy tudzież prawa i interesy mojej szkoły czy mojego przedszkola kończą się tam, gdzie zaczynają się prawa powierzanych mi dzieci, gdzie zaczyna się dobro powierzanych mi dzieci, gdzie zaczyna się ich interes? Jakiego nuczycielskiego geniuszu potrzeba? Kiedy wreszcie dziecko będzie miało nie tylko konwencjami zagwarantowane prawo do szacunku, ale jego prawo do szacunku będzie realizowane w praktyce przede wszystkim przez tych, którym w wielkim zaufaniu, z wielką wiarą i nadzieją te dzieci powierzamy?

Pracuję w instytucji publicznej i z doświadczenia wiem, że odpowiedzią jednak jest tak. W ten sposób instytucje dokumentują co i jak robią by a) wykazać się b) by pokazać jak jest fajnie, dołączcie zatem do nas. Tutaj jak rozumiem są zdjęcia dzieci w czasie takich wydarzeń. Przekaz jest jasny "zobaczcie jak u nas jest fajnie". Zresztą to właśnie piszesz dalej.

W mojej instytucji jest Dział Edukacji który organizuje warsztaty, lekcje czy też tzw. akademie - słowem wydarzenia dla dzieci. Zdjęcia z tych wydarzeń nie pojawiają się na stronie instytucji ale na profilu FB. Wiem od pracowników, że to rodzice chcą zobaczyć te zdjęcia i sami proszą o to by je zamieszczać. W ten sposób otrzymują zdjęcia zamiast rozsyłać je do uczestników. I faktycznie z jednej strony realizowany jest interes instytucji ("ale fajnie robimy", "patrzcie ile robimy") i interes rodzica ("fajnie zobaczyć te foty", "pobiorę sobie").

Pozostaje jeszcze kwestia swoistej "kroniki z życia szkoły/przedszkola".

Ale faktycznie tutaj zaczynamy mówić o kwestiach czyichś interesów. Jak długo te fotki są będą na stronie? Chociaż jak się jest dorosłym to chętnie by się takie foty zobaczyło (pamiętacie sukces Naszej Klasy?)

W szkole mojego dziecka sprawa była postawiona uczciwie: wyrażenie zgody - lub jej brak i szkoła to faktycznie respektowała. Nie dotyczyło to oczywiście zdjęć klasowych i na wycieczkach ale te były zawsze prywatne lub klasowe, nie trafiały na stronę.

Zatem dlaczego tak jest jak piszesz? Bo ludzie tego chcą :) Z tego samego powodu leci chłam w TV - ludzie tego chcą.

Ale to faktycznie OFF Topic :D

Rozporządzenie nic o tym nie wspomina. To kwestia umowy. W umowie którą się posługuję mam:
Bardzo mnie to Ciekawi to zagadnienie tego łańcuszka procesorów. Wygląda na to że Administrator podpisze umowę z pierwszym procesorem a ten może przekazywać dane do kolejnych procesorów? W teorii pierwszy procesor powinien już zabezpieczyć przed jakimś wyciekiem itd. Jednak te dane tam są i są przekazywane do kolejnego procesora.
Zdaję sobie sprawę że firmy hostingowe robią wszystko aby chronić dane na serwerach i to bez znaczenia czy to są dane osobowe. Chronią wszystko co jest w ich infrastrukturze.

Z tego co napisałeś to nie jest wymagana umowa powierzenia danych pomiędzy procesorami? Jedynie inne umowy które zawierają procesory między sobą na wykonywanie usługi?

Właściwie nie powinienem, bo rzeczywiście zrobi się offtop, dlatego bardzo krótko.
Mój post miał uzmysłowić, że:
- publikowanie zdjęć dzieci, uczniów na stronach szkół, przedszkoli, a szerzej, zdjęć osób uczestniczących w statutowych działaniach instytucji publicznych (od domów kultury, przez ośrodki pomocy spolecznej po szpitale, ośrodki zdrowia) nie służy celom informacyjnym, a cele promocyjne są co najmniej wątpliwe
- w przypadku zdjęć dzieci i uczniów w szkołach te publikacje mają miejsce zwykle z naruszeniem praw dzieci do ochrony ich wizerunku i prawa dysponowania swoim wizerunkiem. I robią to ludzie powołani do tego, by pieczołowicie dbać o dobro dzieci, kierować się ich, a nie swoim interesem.
Argument "Bo ludzie tego chcą" jest nie do przyjęcia.

Naprawdę musiałem :)

Nie, kwestią umowy jest zgoda na przekazanie innemu podmiotowi do przetwarzania. Warunkiem jest wiedza Administratora Danych o kolejnym powierzeniu.

Dziękuję, (http://kinohd24.pl/) bardzo pomocne informacje!

Pracuję w szkole i zajmuję się stroną tej szkoły, tworzę też czasem strony dla szkół i nie wyobrażam sobie szkolnej strony bez fotografii i uczniowie także.
Robię też od wielu lata portal o moim mieście gdzie jest ok 50 tys zdjęć i szczerze mówiąc mocna zastanawiam się w tym momencie nad jego usunięciem - a jest to największy portal o jednym z bardziej znanych polskich uzdrowisk. Kasy z tego nie ma a kłopoty mogą być.
Moi klienci - małe firmy w większości raczej nie przejęli się RODO, większe firmy już tak

nie wyobrażam sobie szkolnej strony bez fotografii i uczniowie także.

Tak czy inaczej, rodzice muszą wyrazić zgodę na publikację wizerunku ucznia na stronie internetowej... co jak mi się wydaje jest już standardem (przynajmniej w szkole mojego dziecka).


Robię też od wielu lata portal o moim mieście gdzie jest ok 50 tys zdjęć i szczerze mówiąc mocna zastanawiam się w tym momencie nad jego usunięciem - a jest to największy portal o jednym z bardziej znanych polskich uzdrowisk. Kasy z tego nie ma a kłopoty mogą być.

Ależ skąd! W ten sposób zniknęłyby wszystkie zdjęcia z wydarzeń masowych - a tak się przecież nie dzieje.
W kwestii zdjęć wciąż posługujemy się obecną praktyką czyli:

- jeśli wizerunek osoby jest tylko częścią całości
- wykonany w miejscu publicznym

to nie zapytasz o zgodę. Sprawa jest prosta - jeśli zasłonisz twarze osób na zdjęciach to czy zdjęcie zachowa sens tj. czy wciąż będzie widać kontekst zdjęcia. Zatem robisz zdjęcie wydarzeniu a nie KTO był na wydarzeniu lub miejscu.
Osoba nie może stanowić centrum fotografii, nie może szczególnie na nim pozować by nie sprawiać wrażenia, że zdjęcie wykonane jest danej osobie. Oczywiście nie dotyczy to osób pełniących w danej chwili funkcje publiczne. Nie można też kadrować takich zdjęć by wyławiać z nich konkretne osoby.

Tak przynajmniej orzekał Sąd Najwyższy. Czy jest to sprzeczne z RODO? Literalnie jest. Brakuje dodatkowej regulacji prawnej w tym zakresie. Trzeba pamiętać, że RODO jest OGÓLNYM rozporządzeniem, pełnym sformułowań nieostrych. Co oznacza, ze kwestie sporne powinien rozstrzygać ustawodawca w danym kraju.

Zatem nie przejmowałbym się tym - kłopotów nie będziesz miał na 99% :)
Oczywiście znając opresyjny charakter wykorzystania prawa w Polsce nikt ci tego nie zagwarantuje w myśl zasady - pokaż mi człowieka a znajdę na niego paragraf... :(

Doświadczyłem w jaki sposób pewne ministerstwo przejmuje się ochroną dóbr osobistych podczas realizowania ministerialnego projektu - bez szczegółów - przykład idzie od góry :)

- jeśli wizerunek osoby jest tylko częścią całości
- wykonany w miejscu publicznym
Generalnie tak to działa w Polsce.
Inaczej do tego podchodzą firmy zagraniczne np Google. W tym konkretnym przypadku Google stara się zrobić wszystko aby twarze osób na zdjęciach street view były zamazane.

Generalnie w miejscu publicznym możesz wykonywać swobodnie zdjęcia i je publikować. Jeżeli znajdzie się osoba na zdjęciu i nie jest ona główną częścią zdjęcia to też spokojnie możesz to zdjęcie publikować. Z doświadczenia powiem, że znajdą się osoby które będą chciały od ciebie wyrwać kasę z argumentem że wykorzystujesz ich wizerunek. Prawda jest taka że gdyby sprawa trafiła do sądu to bardzo ciężko będzie wycenić stratę takiej osoby która jest gdzieś w rogu zdjęcia.
W takiej sytuacji najprościej jest usunąć konkretne zdjęcie lub zamazać daną osobę.
Co do RODO samo zdjęcie nie jest do końca daną osobową jeżeli tego nie połączysz z jakąś inną daną aby zidentyfikować osobę na zdjęciu. Granica jest bardzo cienka dlatego warto być ostrożnym i jednocześnie nie wpadać w skrajności.

Inaczej do tego podchodzą firmy zagraniczne np Google. W tym konkretnym przypadku Google stara się zrobić wszystko aby twarze osób na zdjęciach street view były zamazane.

Ale to dotyczy kwestii zbliżonej a mianowicie chodziło o to, że ludzie zgłaszali skargi by usunąć swój wizerunek - mając prawo do prywatności. Skarg było tyle, że Google postanowiło to robić z automatu.
Na tej samej podstawie mozesz wystąpić by zamazano twój dom w Street View :)


Prawda jest taka że gdyby sprawa trafiła do sądu to bardzo ciężko będzie wycenić stratę takiej osoby która jest gdzieś w rogu zdjęcia.

Proces o naruszenie dóbr osobistych tylko z powództwa cywilnego... a to długi i kosztowny proces :)


W takiej sytuacji najprościej jest usunąć konkretne zdjęcie lub zamazać daną osobę.

Nie jest to konieczne bez wyroku sądu ale zawsze można przychylić się do grzecznej prośby :)


Co do RODO samo zdjęcie nie jest do końca daną osobową jeżeli tego nie połączysz z jakąś inną daną aby zidentyfikować osobę na zdjęciu. Granica jest bardzo cienka dlatego warto być ostrożnym i jednocześnie nie wpadać w skrajności.

Niestety jesteś w błędzie. Definicja danych osobowych rozwiewa wątpliwości (art. 4 ust. 1 RODO):


„dane osobowe” oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;

Wizerunek określa fizyczną tożsamość osoby, dzięki niemu można pośrednio lub pośrednio zidentyfikować osobę. Wizerunek = dana osobowa.
I nie musi być z czymkolwiek powiązana, jest daną osobową samą z siebie.

Ba! Nawet wykształcenie w określonych warunkach może stać się daną osobowa bo określa społeczną tożsamość osoby fizycznej i może posłużyć do bezpośredniego lub pośredniego zidentyfikowania.

Pod tym względem RODO jest strasznie represyjne. Poprzednie polskie przepisy z 1997 zostawiały fajne furtki:

- jeśli zidentyfikowanie osoby na podstawie danych wymagało by wiele czasu, kosztów i pracy - to nie są to dane osobowe.
- przepisy UODO nie stosuje się do spraw życia codziennego

Polski ustawodawca musi doprecyzować przepisy bo RODO to tylko ogólne rozporządzenie.

Moja rada w związku ze zdjęciami - trzymać się tego co było do tej pory :) Może p-osłom zechce się nad tym pochylić :)

@siristru zaskoczyłeś mnie tą interpretacją odnośnie zdjęcia jako dana osobowa. Mam na myśli zdjęcie samo w sobie bez dodatkowych danych.

Takie przepisy idą w skrajność. Najgorsza będzie interpretacja tych przepisów.

Teraz tak żartem:
jak ktoś bardzo rygorystycznie zacznie traktować ten zapis:

możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować
To idąc na dwójkę na tron to powinienem podpisać z wodociągami umowę powierzenia danych osobowych. :)

LOL, krąży taki dowcip odnośnie RODO :)
Ale po ekskrementach nie da się zidentyfikować osoby fizycznej ;(
Pytałem eksperta z policji. Zbyt duży śmietnik który szybko się utlenia. Ślina lepsza :)

To nie interpretacja tylko zapis wprost. Polski ustawodawca powinien doregulować wiele kwestii bo inaczej nie idzie żyć.

Już np. wykorzystali RODO by powiedzieć, że monitoring lokali wyborczy będzie nielegalny... co jest nieprawdą chociaż opinię wydał ówczesne GIODO.

Twój wizerunek jest Twoją prywatnością, i do jego filmowania musisz wyrazić zgodę (to akurat nic nowego, ale RODO jako następstwo GIODO tylko to powiela). Zbieranie danych o Tobie i ich przetwarzanie musi mieć szczególne uzasadnienie Twoje dane na liście wyborczej plus zdjęcie z lokalu to już gruba rzecz.

Twój wizerunek jest Twoją prywatnością

Masz na myśli pewnie "dobro osobiste".


i do jego filmowania musisz wyrazić zgodę

Zależy od sytuacji.


ale RODO jako następstwo GIODO

RODO = rozporządzenie o ochronie danych osobowych.
GIODO = Generalny Inspektor Ochrony Danych osobowych (już nie istnieje).

RODO nie może być następstwem GIODO :)


Zbieranie danych o Tobie i ich przetwarzanie musi mieć szczególne uzasadnienie

Może nie szczególne ale faktycznie należy mieć powód by zbierać dane osobowe. Ustawa może taki powód stworzyć.


Twoje dane na liście wyborczej plus zdjęcie z lokalu to już gruba rzecz

W jakim sensie? W sensie transmisji z lokalu wyborczego? Transmisja miała obejmować jedynie nagranie z lokalu. Nie było by na nim widać ani danych na liście "obecności", ani jak zagłosowano. Nagranie mogło by pomóc zweryfikować ilość głosujących kontra ilość wrzuconych kart... jak by się okazało, ze nagle tych drugich jest więcej.

Masz na myśli pewnie "dobro osobiste".

:) staram się nie używać prawniczego języka (to jedna z wytycznych dotyczących nowych regulacji :D) , a jedynie tak żeby było "jaśniej"

RODO = rozporządzenie o ochronie danych osobowych.
GIODO = Generalny Inspektor Ochrony Danych osobowych
oczywiście to z mojej strony uproszczenie myślowe, można również powiedzieć że nie ma RODO tylko jest GDPR ;)

Zależy od sytuacji. sytuacja, kiedy nie masz prawa do ochrony wizerunku, np.jeśli jesteś osobą publiczną lub bierzesz udział w wydarzeniu publicznym (np. zawody sportowe)

Może nie szczególne ale faktycznie należy mieć powód by zbierać dane osobowe. Ustawa może taki powód stworzyć.
szczególne oznacza np. że z ważnego powodu dla ochrony obywatela, ogranicza się jego prawa za obopólną zgodą np. zagrożenie terroryzmem

W jakim sensie? W sensie transmisji z lokalu wyborczego? Transmisja miała obejmować jedynie nagranie z lokalu. Nie było by na nim widać ani danych na liście "obecności", ani jak zagłosowano. Nagranie mogło by pomóc zweryfikować ilość głosujących kontra ilość wrzuconych kart... jak by się okazało, ze nagle tych drugich jest więcej.
1. Transmisja z lokalu narusza prawo do ochrony wizerunku
2. do lokalu przychodzą ludzie z rodziną, więc ilość głosów<>liczbie ludzi którzy pojawiają się w lokalu
3. głosowanie jest tajne

bardziej prawniczo:

nawet sam fakt udziału w wyborach danego wyborcy może być odbierany jako jego działania polityczne. m.in. dlatego nie powinny być upubliczniane spisy wyborców ze wskazaniem, czy ktoś brał udział w głosowaniu a co dopiero transmisja.

OK, ale nie o to chodzi aby tu się rozwijać we dwóch, ale aby inni coś z tego zrozumieli, dlatego polecam ten artykuł RODO sRODO (http://lukaszmiller.pl/prawo/rodo-srodo-swoje-trzeba-wiedziec/) od siebie dodam tylko, że GDPR jest to wartościowe i sensowne rozwiązanie, niestety tak jak ze wszystkim niektórzy potrafią doprowadzić to do absurdu

oczywiście to z mojej strony uproszczenie myślowe, można również powiedzieć że nie ma RODO tylko jest GDPR ;)

No nie, RODO/GDPR to rozporządzenie (prawo, przepis) gdy GIODO to była instytucja odpowiedzialne za wykonanie części przepisów.


1. Transmisja z lokalu narusza prawo do ochrony wizerunku
2. do lokalu przychodzą ludzie z rodziną, więc ilość głosów<>liczbie ludzi którzy pojawiają się w lokalu
3. głosowanie jest tajne

1. Nie narusza gdyż jest wykonaniem przepisów. Podstawą przetwarzania danych osobowych jest legalność - należy mieć podstawę prawną by móc przetwarzać dane osobowe. Przepisy co do monitorowania lokali wyborczych zostały zmienione wprowadzając monitoring - powstała podstawa prawna.

2. To nie ma większego znaczenia gdyż można policzyć osoby wrzucające karty a nie osoby które przyszły do lokalu :P

3. Oczywiście, że jest i pozostaje - po to są budki do głosowania a tam monitoringu miało nie być.


nawet sam fakt udziału w wyborach danego wyborcy może być odbierany jako jego działania polityczne. m.in. dlatego nie powinny być upubliczniane spisy wyborców ze wskazaniem, czy ktoś brał udział w głosowaniu

Takie spisy nie są udostępniane przecież. Sam fakt brania udziału w wyborach odbierany jako działalność polityczna? No to możemy pójść dalej aż ad absurdum i niemal wszystko podciągnąć pod działalność polityczną: np. kupowanie piwa z BRJ. Fakt wzięcia udziału w wyborach nie ujawnia poglądów politycznych osoby. Poza tym branie udziału w wyborach to obowiązek obywatelski - nie działalność polityczna. Transmisja też nie ujawnia poglądów politycznych. Cała ta sprawa miała podłoże polityczne i zapewne finansowe bo to samorządy miały wykonać przepisy o monitoringu... czyli koszty.

tak jak wcześniej napisałem, nasza dyskusja "pożera" ten wątek, więc już nie komentuję i pozostaję przy swoim :)

Wielkość firmy nie ma znaczenia :) Znaczenie ma:

- instytucje publiczne/budżetowe maja obowiązek powołania IOD np. gminy, budżetowe instytucje kultury
- firmy których główna działalność opiera się na przetwarzaniem danych osobowych na dużą skalę, związanym z systematycznym monitorowaniem osób których dane dotyczą np. spółdzielnie, firmy telekomunikacyjne
- podmioty przetwarzające dane osobowe szczególnej kategorii np. szpitale lub doradcy dietetyczni

Czyli mogę mieć firmę jednoosobową i prowadzić porady dietetyczne. Podczas wywiadu pytam o przebyte choroby lub brane leki. W świetle przepisów muszę powołać IOD

Uwaga! Prywatny numer telefonu to również dana osobowa: https://www.money.pl/gospodarka/wiadomosci/artykul/dane-wrazliwe-rodo-dane-osobowe,2,0,2405634.html

Bardzo Ciekawa interpretacja.
Wiem że na mój prywatny numer nie może zadzwonić żaden telemarketer bez mojej wyraźnej zgody tak mówią przepisy ale że nr telefonu dane osobowa? To chyba idzie w złą stronę.

To ma sens. Numer telefonu przypisany jest do jednego abonenta - staje się jego identyfikatorem. Jeśli po identyfikatorze można go zidentyfikować (pośrednio lub bezpośrednio) to jest to dana osobowa. Tak jak numer IP.

Nie do końca się zgodzę z tobą. Ponieważ nr telefonu to nr telefonu a IP to IP. Mam tu na myśli że jeżeli posiadasz nr telefonu to tak naprawdę nie wiesz do kogo należy. Nie mając bliższych informacji możesz domniemywać że należy do osoby fizycznej. Jeżeli ktoś odbierze ten telefon to też nie masz pewności że odebrał właściciel. To samo tyczy się do IP nie masz 100% pewności że na danym IP siedzi tylko jedna osoba tak jak przy telefonie. Masz duże prawdopodobieństwo że to jest zawsze ta sama osoba dlatego nie ma 100% pewności że za każdym razem będzie to ta sama osoba.
Owszem są przepisy które zabraniają dzwonić bez twojej zgody ale to inna sytuacja nie dane osobowe.

Dlatego uważam że ta nagła troska o dane zaczyna iść zbyt mocno w drugim kierunku.

Ostatnio sam osobiście trafiłem na taki absurd interpretacji RODO.
Dzwonię do urzędu z pytaniem o termin wypłat, chodziło mi o ogólną informację których nie znalazłem na stronie. Przemiła pani zapytała o moje imię i nazwisko (nie wiem po co). Po czym usłyszałem że nie udzieli mi żadnej informacji bo jest RODO i nie poda żadnego terminu.

Dlatego uważam że urzędy i niektóre firmy zaczynają przesadzać z nadmierną interpretacją tych przepisów.

No nie, numer przypisany jest do abonenta. Abonent to jedna osoba. Numer ma identyfikować abonenta a nie osobę która używa numeru tj. używa telefonu z tym numerem.
Mam taką sytuację mam 3 numery - jestem jednym abonentem ale jednego numeru używa moja połowica a drugiego syn.
Wszystkie numery pozwalają zidentyfikować mnie jako abonenta.
Jeśli ktoś ma numer i ma możliwości identyfikacji (np. wyrok sądu i usługodawca musi przekazać informację) to numer wskaże kto jest jego właścicielem.

Absurdy gonią absurdy - ludzie lubią wymyślać a przełożeni nie szkolą pracowników.

Jedno mnie niepokoi... bo idąc tym tropem to numer rejestracyjny pojazdu też może być daną osobową bo pozwoli zidentyfikować właściciela pojazdu czyli osobę fizyczną.

No nie, numer przypisany jest do abonenta.
Ale abonent nie równa się użytkownik. Co w sytuacji gdy abonent wyraża zgodę na kontakt a użytkownik nie?


Jedno mnie niepokoi... bo idąc tym tropem to numer rejestracyjny pojazdu też może być daną osobową bo pozwoli zidentyfikować właściciela pojazdu czyli osobę fizyczną.
I takich absurdów będzie coraz więcej.
Uważam że dopóki nie będzie jakiś konkretnych rozporządzeń lub wyroków sądu to w najbliższym czasie będzie wysyp absurdów.

Przecież nikt nie mówi, ze zidentyfikowany ma być użytkownik :) Tylko abonent będący osobą fizyczną. JAKĄŚ osobę zidentyfikujesz - nie ma znaczenia jaką.

Tak będzie. Ja też uważałem, że numer telefonu nie jest daną osobową - z błędu wyprowadził mnie dr Maciej Kawecki :/

Co do RODO to najlepiej przejść krótkie szkolenie online przez internet. Osobiście miałam coś takiego w pracy i daje to ciekawe spojrzenie i sami możemy sobie odpowiedzieć na pytanie czy postępujemy zgodnie z RODO czy nie.

Co do RODO to najlepiej przejść krótkie szkolenie online przez internet.

Zgadzam się - trzeba je jednak przygotować. By je przygotować trzeba mieć wiedzę :)

Dla swojej instytucji wdrożyłem właśnie takie rozwiązanie :) Platforma szkoleniowa oparta na Joomli + nagranie z prezentacji Google z lektorem. Tworzę pracownikom konto, ci sami się logują i przechodzą szkolenie.

Kurcze dzięki Wam za ten wątek. Ja też zostałam IODO w swojej pracy i cały czas się uczę i uczę, a mam wrażenie, że wciąż wiem za mało :P Zaczynam czytać i w razie pytań będę się konsultować :D Serio - ukłony!

Nie ma za co, jedziemy na tym samym wózku :)

Tymczasem dodaje kolejną istotna informację dotyczącą upoważnień. Administrator Danych czy tez w jego imieniu IOD NIE muszą wcale wystawiać upoważnienia do przetwarzania danych osobowych. A przynajmniej nie musi mieć ono formy pisemnego dokumentu. Może mieć formę dowolną - nawet ustną. Jedyne co jest ważne by odnotować, ze dana osoba ma upoważnienie do przetwarzania danych osobowych w danym zbiorze.

https://www.prawo.pl/samorzad/dane-osobowe-wyborcow-czlonkowie-komisji-moga-przetwarzac,310788.html

Przy okazji powiem, że Joomla nadaje się do prowadzenia szkoleń RODO a także do utworzenia elektronicznego rejestru czynności przetwarzania :)
http://forum.joomla.pl/showthread.php?85918-Komponent-poszukiwany-relacyjne-wpisy&highlight=