Zaznacz stronę

XV Europejski Dzień Ochrony Danych Osobowych

2021-01-28 | Prawo Cywilne

Dziś (28 stycznia) świętujemy XV Europejski Dzień Ochrony Danych Osobowych. To niewątpliwa okazja, aby przypomnieć kilka najważniejszych informacji dotyczących tego, kto, na jakiej podstawie, i w jaki sposób powinien chronić dane osobowe!

Jaki akt prawny reguluje w Polsce problematykę danych osobowych?

Od ponad dwóch lat  obowiązuje Rozporządzenie Ogólne Parlamentu Europejskiego w sprawie ochrony danych osobowych (dalej: RODO), które ujednoliciło zasady ochrony danych osobowych w całej Unii Europejskiej.

W celu jego pełnej transpozycji, w Polsce została przyjęta Ustawa o ochronie danych osobowych (z 10 maja 2018 roku). To na jej podstawie na określonych podmiotach ciążą pewne obowiązki, i to na jej podstawie mogą być wymierzone kary za ich nieprzestrzeganie.

Kto bada w Polsce zgodność procedur z RODO?

Wraz z nową ustawą o ochronie danych osobowych powołano nowy urząd – Urząd Ochrony Danych Osobowych. W zakresie jego kompetencji jest dokonywanie kontroli zgodności wszystkich czynności z RODO i polską ustawą, wskazywanie wadliwych elementów takich procesów czy nakładanie kar za ich nieprzestrzeganie.

Jakie kary grożą za naruszenie RODO?

Prezes UODO może nałożyć karę finansową w wysokości nawet do 20 milionów euro lub 4% obrotu w przypadku najpoważniejszych naruszeń (m.in. zasad przetwarzania danych, praw osób, których dane dotyczą, lub niestosowania się do nakazów organu nadzorczego).

Za pozostałe, mniej rażące naruszenia kara może sięgnąć nawet kwoty 10 milionów euro lub 2% obrotu (w zależności od tego, która kwota jest wyższa).

Oprócz kar pieniężnych Prezes UODO może wydawać nakazy dotyczące przywrócenia zgodności z RODO, a nawet nakazać ograniczenie przetwarzania danych wyłącznie do ich przechowywania, co może bezsprzecznie zahamować rozwój przedsiębiorstwa i być bardziej dotkliwe w skutkach niż jakakolwiek kara pieniężna.

Wśród najsłynniejszych kar nałożonych przez UODO warto wskazać karę nałożoną na Morele.net sp. z o.o., które w związku z wyciekiem danych klientów oraz niepoinformowania w terminie o tym zdarzeniu zostały ukarane karą w wysokości prawie 3 milionów złotych, czy prawie 2 miliony kary dla Virgin Mobile Polska sp. z o.o., u której na skutek przeprowadzonej kontroli po wycieku danych ustalono naruszenie licznych przepisów RODO, w tym w zakresie odpowiednich zabezpieczeń czy regularności ich weryfikowania.

Kto ma obowiązek stosować RODO?

Unijne zasady ochrony danych osobowych obowiązują prawie wszystkie podmioty, które mają jakikolwiek związek z działalnością na terenie Państw Członkowskich UE. RODO muszą stosować:

  • przedsiębiorstwa lub podmioty, przetwarzające dane osobowe w ramach działalności swojego oddziału mającego siedzibę na terenie UE, niezależnie od tego, gdzie (w jakim miejscu) dochodzi do przetwarzania danych lub
  • przedsiębiorstwa posiadające siedzibę poza UE, jeżeli oferują towary lub usługi (odpłatnie bądź nieodpłatnie) lub zajmuje się monitorowaniem zachowania osób fizycznych w Unii Europejskiej

Jacy przedsiębiorcy nie muszą stosować RODO?

Jeżeli przedsiębiorca ma swoją siedzibę (główny oddział) poza UE oraz nie kieruje swojej oferty konkretnie do osób fizycznych w UE, nie podlega on regulacjom zawartym w RODO. Jeżeli jednak którykolwiek z tych elementów istnieje (albo siedziba, albo oferta skierowana do obywateli UE), wówczas ma on obowiązek stosowania unijnych zasad ochrony danych osobowych.

Nie będzie kierowaniem oferty do obywateli UE sytuacja, gdy klienci przedsiębiorcy spoza UE będą korzystali z jego usług na terenie UE (przykład: Obywatel Argentyny korzysta z usług świadczonych przez argentyński podmiot – np. operatora telefonii komórkowej – na terenie UE. Ten operator nie ma w tym przypadku obowiązku stosowania RODO).

Czy informacja o przetwarzaniu danych osobowych (obowiązek informacyjny) musi być przetłumaczona?

Przepisy RODO nie wprowadzają nakazu przetłumaczenia strony zawierającej „obowiązek informacyjny” na języki obce (w tym na języki krajów UE, z których mogą pochodzić ewentualni kupujący).

Należy jednak zwrócić uwagę chociażby na Motyw 39. Rozporządzenia oraz na jego art. 12 ust. 1. Zgodnie z nimi administrator danych (najczęściej: przedsiębiorca) powinien udzielić osobie, której dane są przetwarzane, informacji o przetwarzaniu w formie przejrzystej, zrozumiałej, łatwo dostępnej oraz napisanej jasnym i prostym językiem.

W przypadku braku tłumaczenia takiej strony, jeśli osoba, do której skierowana jest oferta nie posługuje się określonym językiem, to może nie być w stanie się zapoznać z taką informacją, co z kolei oznaczałoby, że nie został wobec niej spełniony obowiązek informacyjny.

Takie uzasadnienie mogłoby oznaczać, że należałoby tłumaczyć obowiązki informacyjne na wszystkie języki świata (biorąc pod uwagę globalny zasięg Internetu). To niesie za sobą dwie podstawowe wady. Po pierwsze – byłoby to rozwiązanie na tyle kosztowne, że mogłyby sobie na to pozwolić wyłącznie największe podmioty. Po drugie oznaczałoby to setki tysięcy dodatkowych zakładek, o wątpliwej ilości odsłon. Jak więc z tego wybrnąć?

Przyjmuje się, że ten problem jest rozwiązywany w dość prosty sposób: Obowiązek informacyjny powinien być przetłumaczony na tyle języków, w ilu językach dostępna jest zasadnicza strona internetowa. Przykładowo – jeśli strona posiada tłumaczenie na j. niemiecki, to polityka prywatności również powinna zostać przetłumaczona na ten język.

Wychodzi się bowiem z (dość rozsądnego) założenia, że decydując się na korzystanie ze strony internetowej w określonym języku, użytkownik powinien robić to odpowiedzialnie, czyli znając i uwzględniając własne umiejętności językowe. A skoro umie korzystać ze strony internetowej w określonym języku, to powinien umieć ze zrozumieniem przeczytać obowiązek informacyjny.

Warto dodać, że obowiązek informacyjny powinien być przetłumaczony w sposób profesjonalny, gwarantujący wewnętrzną spójność, poprawność językową, odpowiedni styl językowy i powiązanie z siatką pojęciową RODO.

Wyciek danych osobowych – co dalej!?

Pomimo podjętych środków ochronnych może dojść do sytuacji, w których dane osobowe dostaną się w ręce osób niepowołanych. Co musi wtedy uczynić przedsiębiorca? Co może zrobić użytkownik, którego dane skradziono?

W sytuacji, gdy dojdzie do naruszenia ochrony danych osobowych, administrator musi niezwłocznie (nie później niż w ciągu 72h po stwierdzeniu naruszenia) zawiadomić Prezesa UODO. Dodatkowo, jeżeli zaistniałe zdarzenie niesie wysokie ryzyko naruszenia praw i wolności osób, których dane są przetwarzane, (np. kradzieży tożsamości), informacja taka powinna trafić do tych osób z jednoczesnymi informacjami, co mogą w tej sytuacji zrobić.

Jednocześnie osoby, których dane są przetwarzane, będąc poinformowanymi jakie dane wyciekły, mają możliwość podjąć jak najszybciej odpowiednie działania – przykładowo zmienić hasła logowania do różnych portali (w tym skrzynki mailowej i bankowości elektronicznej), zastrzec swoje karty płatnicze czy dowód osobisty (aby uniknąć kradzieży tożsamości i ewentualnego zaciągnięcia zobowiązań, od wykonania których będą później musieli się uwolnić).

Podsumowując, przepisy RODO chronić mają niedostępne powszechnie dane osobowe, których wyciek mógłby narazić osoby fizyczne na poważne konsekwencje.  Nawet w przypadku wycieku tych danych szybka reakcja podmiotu przetwarzającego dane i informacja do klientów może zapobiec jego negatywnym konsekwencjom.  Dlatego znacznie surowiej karane jest niezgłoszenie naruszenia danych osobowych niż sam fakt, że do wycieku doszło.

adwokat Jaskułowska logo
Polityka prywatności

POLITYKA PRYWATNOŚCI NA STRONIE INTERNETOWEJ ADWOKAT.JASKULOWSKA.PL

 

POSTANOWIENIA WSTĘPNE

  1. Niniejsza Polityka Prywatności określa zasady przetwarzania danych osobowych pozyskanych za pośrednictwem strony internetowej funkcjonującej pod adresem: www.adwokat.jaskulowska.pl (zwanej dalej stroną internetową).

 

  1. Właścicielem strony internetowej jest Marta Jaskułowska, prowadząca działalność gospodarczą pod firmą „Adwokat Marta Jaskułowska Kancelaria Adwokacka”, ul. Bazylijska 39L, 95-100 Zgierz, NIP: 7321970556, adres e-mail: [email protected] (zwana dalej: ,,Kancelarią’’).

 

ZASADY OGÓLNE OCHRONY DANYCH OSOBOWYCH

  1. Strona internetowa umożliwia osobom ją odwiedzającym (zwanymi dalej Użytkownikami):
  2. skontaktowanie się z Kancelarią za pośrednictwem formularza kontaktowego;
  3. Umówienie porady prawnej za pośrednictwem formularza rezerwacyjnego.

 

  1. Administratorem danych osobowych przekazywanych przez Użytkowników za pośrednictwem wyżej wymienionych formularzy jest Kancelaria.

 

  1. Kancelaria stosuje odpowiednie środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych.

 

  1. Użytkownikowi, którego dotyczą dane osobowe, przysługują następujące prawa:

 

  1. prawo dostępu do danych;
  2. prawo do sprostowania danych;
  3. prawo do usunięcia danych („prawo do bycia zapomnianym”);
  4. prawo do ograniczenia przetwarzania danych;
  5. prawo do przeniesienia danych;

 

  1. Użytkownik ma również prawo do wniesienia skargi do organu nadzorczego – Prezesa Urzędu Ochrony Danych Osobowych, jeśli sądzi, że przetwarzanie jego danych osobowych narusza obowiązujące przepisy dot. ochrony danych osobowych.

 

 

OCHRONA DANYCH OSOBOWYCH PRZY KORZYSTANIU
Z FORMULARZA KONTAKTOWEGO

 

  1. Nawiązanie kontaktu z Kancelarią za pośrednictwem formularza kontaktowego wymaga podania przez Użytkownika danych osobowych w postaci imienia oraz adresu e-mail.
  2. Kancelaria przetwarza dane osobowe zawarte w formularzu kontaktowym, w przypadku gdy Użytkownik zdecyduje się na ich podanie. Podanie danych wymaganych w formularzu jest dobrowolne, lecz jednocześnie konieczne w celu skutecznego przesłania formularza do Kancelarii oraz umożliwienia udzielenia odpowiedzi (wiadomości zwrotnej). Są to czynności niezbędne do podjęcia działań na żądanie osoby, której dane dotyczą (Użytkownika) przed zawarciem umowy oraz stanowiące prawnie uzasadniony interes Kancelarii (art. 6 ust. 1 lit. b oraz lit. f RODO).

 

  1. Wypełnienie formularza kontaktowego ma na celu przekazanie Kancelarii informacji dotyczących sprawy w celu przedstawienia problemu prawnego i umówienia porady prawnej lub w innym celu wskazanym w treści formularza przez Użytkownika.

 

  1. Wypełnienie i przesłanie formularza kontaktowego jest dobrowolne oraz niezobowiązujące, w szczególności sam fakt wypełnienia i przesłania formularza kontaktowego nie rodzi po stronie Użytkownika ani Kancelarii żadnych zobowiązań (w tym finansowych lub innego rodzaju). Warunki uzyskania porady prawnej dotyczącej sprawy ustalane są bezpośrednio między Użytkownikiem a Kancelarią.

 

  1. Dane osobowe podane przez Użytkowników będą przetwarzane przez Kancelarię do czasu ustania celu ich przetwarzania. Niektóre z informacji podanych za pośrednictwem formularza kontaktowego mogą zostać zarchiwizowane, m.in. z uwagi na możliwość dochodzenia, obrony lub ustalania roszczeń, co stanowi prawnie uzasadniony interes Kancelarii zgodnie z art. 6 ust. 1 lit. f RODO.

 

  1. Dane osobowe zawarte w korespondencji pochodzącej z formularza kontaktowego oraz dalszej korespondencji między Użytkownikiem a Kancelarią, przechowywane są na serwerach zapewnianych przez dostawców usługi poczty elektronicznej oraz usług generowania formularza kontaktowego, z których korzysta Kancelaria. Ze wskazanymi usługodawcami zostały zawarte umowy powierzenia przetwarzania danych osobowych, a ponadto gwarantują oni właściwy poziom ochrony i bezpieczeństwa danych.

 

  1. Dane osobowe zawarte w powyższej korespondencji mogą być przetwarzane przez osoby zatrudnione w Kancelarii, które biorą udział w obsłudze korespondencji oraz osoby realizujące czynności merytoryczne związane z daną sprawą.

 

OCHRONA DANYCH OSOBOWYCH
PRZY UMAWIANIU ZA POŚREDNICTWEM STRONY INTERNETOWEJ
PORADY PRAWNEJ

 

  1. Umówienie porady prawnej za pośrednictwem strony internetowej Kancelarii wymaga podania przez użytkownika danych osobowych w postaci imienia i nazwiska, numeru telefonu oraz adresu e-mail.

 

  1. W przypadku dokonywania płatności za umówioną poradę prawną za pośrednictwem operatora usług płatniczych, niezbędne może okazać się podanie dodatkowych danych niezbędnych dla realizacji płatności. W przypadku skutecznego dokonania płatności za pośrednictwem operatora usług płatniczych, Kancelaria oraz Użytkownik mogą zostać powiadomieni o zrealizowanej transakcji, w tym o numerze rachunku bankowego, z którego dokonano płatności oraz o imieniu i nazwisku wpłacającego. Zasady przetwarzania danych osobowych przez operatora usług płatniczych, w tym rodzaj informacji przekazywanych Kancelarii jako akceptantowi płatności dostępne są na stronie operatora i nie są uregulowane niniejszym dokumentem.

 

  1. Kancelaria przetwarza dane osobowe podane podczas umawiania porady prawnej, w przypadku gdy Użytkownik zdecyduje się na ich podanie. Podanie danych wymaganych w formularzu jest dobrowolne, lecz jednocześnie niezbędne w celu skutecznego dokonania rezerwacji (umówienia wizyty), przesłania linku do komunikatora, za pośrednictwem którego będzie odbywało się spotkanie jak również przesłania wiadomości zwrotnej ze szczegółami dotyczącymi płatności za poradę. Są to czynności niezbędne do podjęcia działań na żądanie osoby, której dane dotyczą (Użytkownika) przed zawarciem umowy oraz stanowiące prawnie uzasadniony interes Kancelarii (art. 6 ust. 1 lit. b oraz lit. f RODO).

 

  1. Wypełnienie formularza kontaktowego ma na celu umówienie porady prawnej ze wskazaniem dnia, godziny i formy jej realizacji, oraz ewentualne przekazanie Kancelarii informacji dotyczących sprawy lub przedstawienia problemu prawnego lub w innym celu wskazanym w treści formularza przez Użytkownika.

 

  1. Warunki realizacji usługi w postaci porady prawnej jak również szczegółowe warunki dotyczące sposobu umawiania porady prawnej dostępne są na stronie internetowej Kancelarii.

 

  1. Dane osobowe podane przez Użytkowników będą przetwarzane przez Kancelarię do czasu ustania celu ich przetwarzania. Niektóre z informacji podanych za pośrednictwem formularza służącego umawianiu porady prawnej mogą zostać zarchiwizowane, m.in. z uwagi na możliwość dochodzenia, obrony lub ustalania roszczeń, co stanowi prawnie uzasadniony interes Kancelarii zgodnie z art. 6 ust. 1 lit. f RODO.

 

  1. Dane osobowe pochodzące z formularza służącego umawianiu porady prawnej oraz dalsza korespondencja między Użytkownikiem a Kancelarią związana z zamówioną usługą, są przechowywane na serwerach zapewnianych przez dostawców usługi poczty elektronicznej oraz usług generowania formularza rezerwacyjnego, z których korzysta Kancelaria. Ze wskazanymi usługodawcami zostały zawarte umowy powierzenia przetwarzania danych osobowych, a ponadto gwarantują oni właściwy poziom ochrony i bezpieczeństwa danych.

 

  1. Dane osobowe zawarte w powyższej korespondencji mogą być przetwarzane przez osoby zatrudnione w Kancelarii, które biorą udział w obsłudze korespondencji oraz osoby realizujące czynności merytoryczne związane z daną sprawą.

 

POSTANOWIENIA KOŃCOWE

  1. Kancelaria zastrzega sobie prawo do stałej weryfikacji Polityki Prywatności oraz jej zmiany w każdym czasie. Zmiany wchodzą w życie z chwilą opublikowania ich na stronie internetowej Kancelarii lub w określonym w Polityce Prywatności terminie.

 

  1. Aktualna wersja Polityki Prywatności obowiązuje od 14 grudnia 2020 r.