Pierwszy obowiązek mówi o informowaniu osób, których dane dotyczą, o prawie do wniesienia żądania oraz sprzeciwu. Prawo wniesienia żądania polega na tym, że można zażądać zaprzestania przetwarzania danych osobowych ze względu na szczególną sytuację. Żądanie takie musi być umotywowane, tj. powinno zawierać wskazanie na czym polega ta szczególna sytuacja (np. obawa o wyciek danych, jeżeli do takiego incydentu doszło już wcześniej). Z kolei sprzeciw wobec przetwarzania danych można zgłosić, gdy administrator danych zamierza je przetwarzać w celach marketingowych lub przekazać innemu administratorowi danych (czyli po powzięciu informacji o takim zamiarze).
Są wyjątki od obowiązku zgłoszenia zbioru informacji do rejestracji
Najważniejsze zobowiązania wynikające z przechowywania i przetwarzania danych to obowiązek informacyjny, zgłoszenie zbioru do rejestracji w GIODO oraz utrzymanie wymaganych zabezpieczeń danych objętych ochroną.
Zarówno żądanie zaprzestania przetwarzania, jak i sprzeciw wobec przetwarzania mogą być wniesione tylko gdy przetwarzanie danych odbywa się bez zgody danej osoby.
Zbiór informacji, co do zasady, musi zostać zgłoszony do rejestracji GIODO. W zgłoszeniu należy podać m.in. oznaczenia podmiotu prowadzącego zbiór i administratora danych, cel przetwarzania, sposób zbierania oraz udostępniania czy opis stosowanych środków technicznych i organizacyjnych. Obowiązek rejestracji nie dotyczy zbiorów:
- zawierających informacje niejawne;
- przetwarzanych w związku z zatrudnieniem lub świadczeniem usług na podstawie umów cywilnoprawnych;
- przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej;
- powszechnie dostępnych;
- zbieranych w zakresie drobnych bieżących spraw życia codziennego.
Przepisy wymagają również stosowania określonych zabezpieczeń, w zależności od zagrożeń oraz kategorii danych objętych ochroną. Chodzi o to, aby zabezpieczyć dane przed ich udostępnieniem nieupoważnionym, przetwarzaniem z naruszeniem ustawy oraz zmianą bądź utratą.
Działania z zakresu bezpieczeństwa stosowane u danego administratora danych powinny być dokumentowane. Przetwarzać mogą wyłącznie osoby posiadające upoważnienie udzielone przez administratora, który kontroluje kto i kiedy wprowadza informacje do zbioru. W związku z tym musi on prowadzić ewidencję upoważnionych.
Ogólna zasada mówi: administrator nie jest właścicielem danych osobowych, a zostały mu one jedynie powierzone. Osoba, której dane dotyczą, pozostaje ich dysponentem – tj. ostateczna decyzja co do ich przetwarzania należy do niej. Nie dotyczy to tylko określonych przypadków, np. przetwarzania danych osobowych przez organy ścigania.
Zobacz także:
Tagi: dane osobowe, giodo
Zaloguj się, aby dodać komentarz
Nie masz konta? Zarejestruj się »
