Author: Piotr Siejka

Obowiązkiem administratorów danych jest zgłaszanie w ciągu 72 godzin od wykrycia do organu nadzoru oraz do osób, których incydent dotyczy informacji o naruszeniu, które mogą skutkować zagrożeniem dla praw i wolności osób. Administrator powinien prowadzić wewnętrzny rejestr naruszeń, w którym ma obowiązek dokumentować:
• okoliczności naruszenia,
• jego skutki,
• podjęte działania zaradcze.
Przepisy przewidują poważne sankcje za niesprostanie ww. wymogom:
• kara administracyjna do 10 mln EUR,
• albo do 2% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, w zależności od tego, która kwota jest wyższa.

Powyższy wpis nie jest poradą prawną tylko informacją wynikającą z przepisów prawa.

Zgodnie z definicją RODO ochronie podlegają wszystkie informacje pozwalające zarówno na bezpośrednią jak i pośrednią identyfikację danej osoby.Oprócz imienia i nazwiska, numeru identyfikacyjnego (PESEL) danymi podlegającymi ochronie są:

1. Adres IP.
Adres nadawany komputerom lub innym urządzeniom korzystającym z interfejsu sieciowego służącego do komunikacji minimum dwóch urządzeń.

2. Adres MAC.
Pierwsze 24 bity oznaczają producenta karty sieciowej, pozostałe 24 bity są unikatowym identyfikatorem danego egzemplarza karty. Np. 00:0A:E6:3E:FD:E1 oznacza, że karta została wyprodukowana przez Elitegroup Computer System Co. (ECS) i producent nadał jej numer 3E:FD:E1.

3. Identyfikator internetowy.
Niepowtarzalny na danym serwerze ciąg znaków jednoznacznie identyfikujący konkretną osobę.

4. Zmienne przechowywane w formie ciasteczek (ang. „Cookies”).
To niewielkie informacje, nazywane ciasteczkami (z ang. cookie – ciastko), wysyłane przez serwis internetowy, który odwiedzamy i zapisywane na urządzeniu końcowym (komputerze, laptopie, smartfonie), z którego korzystamy podczas przeglądania stron internetowych. Cookies umożliwiają zapamiętywanie naszych odwiedzin na stronie i naszych preferencji dotyczących tej strony.

5. Metadane profilujące zachowania i preferencje użytkowników.
To najprościej mówiąc „dane o danych”. W szerokim znaczeniu możemy powiedzieć, że są to streszczenia, opisujące określone źródła informacji, natomiast w odniesieniu do Internetu będziemy je rozumieć jako usystematyzowanie treści obiektów, które znajdują się w sieci.

6. Dane lokalizacyjne pozwalające określić miejsce przebywania danej osoby lub śledzić jej przemieszczanie się.
7. Informacje powiązane z wizerunkiem (np. zdjęcia)
8. Numery telefonów, adres mailowy, adres zamieszkania.

Ochronie podlegają również dane wrażliwe określające:
1. Pochodzenie rasowe lub etniczne.
2. Poglądy polityczne.
3. Przekonania religijne lub światopoglądowe.
4. Przynależność do związków zawodowych.
5. Dane dotyczące zdrowia, seksualności i orientacji seksualnej.
6. Dane dotyczące kodu genetycznego (nowe! – kategoria dodana przez RODO).
7. Dane biometryczne, jeżeli są one przetwarzane w celu zidentyfikowania osoby

Niniejszy wpis nie jest porada prawną tylko informacją wynikającą z przepisów prawa.

Zgodnie z przepisami RODO osobie, której dane osobowe są przetwarzane przysługują w szczególności następujące uprawnienia:

1. Prawo dostępu do danych.
Umożliwienie łatwego dostępu do danych na żądanie osoby uprawnionej.
2. Prawo do żądania sprostowania  danych.
Zapewnienie możliwości szybkiego uzupełnienia lub sprostowania danych osobowych.
3. Prawo do bycia zapomnianym.
Niezwłoczne i trwałe usuniecie danych osobowych z sytemu administratora danych.
4. Prawo żądania ograniczenia przetwarzania danych.
W sytuacji gdy administrator nie potrzebuje już danych osobowych do celów przetwarzania, ale są one potrzebne osobie, której dane dotyczą, do ustalenia, dochodzenia lub obrony roszczeń.
5. Prawo do przenoszenia danych.
Przekazanie danych przez administratora  bezpośrednio innemu administratorowi.
6. Prawo wniesienia sprzeciwu wobec przetwarzania danych osobowych.
Jeżeli dane osobowe są przetwarzane na potrzeby marketingu bezpośredniego, osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść sprzeciw wobec przetwarzania dotyczących jej danych osobowych na potrzeby takiego marketingu, w tym profilowania, w zakresie, w jakim przetwarzanie jest związane z takim marketingiem bezpośrednim.
7. Prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.
Każda osoba, której dane dotyczą, ma prawo wnieść skargę do organu nadzorczego jeżeli sądzi, że przetwarzanie danych osobowych jej dotyczące narusza przepisy RODO.
8. Prawo do odszkodowania.
Osoba która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia przepisów RODO, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę.

Przepisy RODO wprowadziły nowe zasady udzielania zgód na przetwarzania danych osobowych przez osoby, których dane dotyczą. Prawidłowo udzielona zgoda powinna spełniać sześć podstawowych kryteriów.
1. Zgoda poprzez wyraźne działanie.
Powinna mieć formę nie tylko oświadczenia, ale również wyraźnego działania potwierdzającego. Milczenie, okienka domyślnie zaznaczone lub niepodjęcie działania nie powinny być interpretowane jako zgoda.

2. Wyrażona oddzielnie od innych oświadczeń woli.
Nie powinna być „wpleciona” w treść umowy lub regulaminu

3.Możliwa do cofnięcia w tak samo prosty sposób, w jaki została wyrażona.
Jeśli zgoda wyrażana jest na stronie internetowej poprzez tzw. checkboxy,
to na stronie powinna pojawić się również dodatkowa zakładka umożliwiająca wycofanie zgody.

4.Jasno sformułowana, łatwa do odróżnienia.
Wyrażający zgodę musi zrozumieć istotę zgody, jej cel i skutki oraz posiadać pełne rozeznanie, przez kogo i w jakim celu jej dane będą przetwarzane.

5.Osobna dla odrębnych operacji przetwarzania.
Oddzielenie  zgody na różne operacje przetwarzania danych osobowych
np. kandydat do pracy w spółce A musi obligatoryjnie wyrazić dodatkową zgodę
na udostępnienie jego danych osobowych spółce B

6. Nie może determinować świadczenia usługi jeśli nie jest niezbędna do wykonania tejże usługi.  Nie może uzależniać wykonania umowy od wyrażenia zgody na przetwarzanie danych osobowych w celach marketingowych.

Jeżeli podczas rozmowy z przedstawicielem firmy świadczącej usługi finansowe masz wątpliwości co do wiarygodności podmiotu oferującego daną usługę, możesz sprawdzić czy podmiot w imieniu, którego działa przedstawiciel został wpisany na listę ostrzeżeń. Możesz również sprawdzić  czy podmiot ten posiada stosowne  uprawnienia do świadczenia usług finansowych. Komisja Nadzoru Finansowego na swojej stronie https://www.knf.gov.pl/dla_konsumenta/ostrzezenia_publiczne
podaje do publicznej wiadomości informacje o złożonych przez siebie zawiadomieniach o podejrzeniu popełnienia przestępstwa w związku z łamaniem ustaw:

• o organizacji i funkcjonowaniu funduszy emerytalnych
• o giełdach towarowych
• o działalności ubezpieczeniowej i reasekuracyjnej
• o dystrybucji ubezpieczeń
• o pracowniczych programach emerytalnych indywidualnych kontach emerytalnych oraz indywidualnych kontach zabezpieczenia emerytalnego
• o funduszach inwestycyjnych
• o obrocie instrumentami finansowymi
• o ofercie publicznej i warunkach wprowadzania instrumentów finansowych do zorganizowanego systemu obrotu oraz o spółkach publicznych
• o usługach płatniczych                                                                                                                                    KNF informuje także o postępowaniach karnych prowadzonych z urzędu lub w wyniku zawiadomienia złożonego przez podmiot inny niż Komisja.
  Na stronie internetowej KNF pod adresem https://www.knf.gov.pl/podmioty/wyszukiwarka_podmiotow możesz sprawdzić, czy podmiot w imieniu, którego działa Twój rozmówca, posiada uprawnienia do świadczenia usług finansowych na terytorium Polski.
  Natomiast informacje na temat pośrednika ubezpieczeniowego znajdziesz na stronie https://rpu.knf.gov.pl/.