Xevin Consulting - Blog Blog

Tak naprawdę ciężko jest sprawdzić czy z danej firmy wyciekły dane osobowe. Najczęściej informacje o wycieku ogłasza albo sama firma albo dowiadujemy się o tym z mediów. Jeżeli firma przykłada wagę do kwestii związanych z prywatnością to dobrą praktyką byłoby niewątpliwie poinformowanie osób, których dane wyciekły o takim fakcie, a także wskazaniu co taka osoba powinna zrobić np. zmienić hasło dostępowe, zastrzec kartę kredytową etc.

W przypadku wycieku danych osobowych (ale też w ogóle w zakresie ochrony dotyczących nas danych osobowych) zawsze możemy skorzystać z praw wskazanych w art. 32 ust. 1 ustawy o ochronie danych osobowych, wśród których znajdują się m.in. takie uprawnienia jak: możliwość uzyskania informacji o celu, zakresie i sposobie przetwarzania danych zawartych w zbiorze danych, możliwość żądania uzupełnienia, uaktualnienia, sprostowania danych osobowych, czasowego lub stałego wstrzymania ich przetwarzania lub ich usunięcia, jeżeli są one niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem ustawy albo są już zbędne do realizacji celu, dla którego zostały zebrane. Zawsze też istnieje możliwość złożenia skargi do Generalnego Inspektora Ochrony Danych Osobowych. Szczegóły w tym zakresie można znaleźć na stronie GIODO.

Ponadto, jeżeli będziemy w stanie wykazać, że wyciek danych przełożył się na naruszenie naszych dóbr osobistych, zawsze też postaje możliwość dochodzenia odszkodowania na drodze cywilnoprawnej.

Z punktu widzenia internauty ciężko obronić się przed wyciekiem danych osobowych. Kwestie związane z bezpieczeństwem danych to domena firmy, która te dane pozyskiwała (jest w stosunku do nich administratorem danych). Na pewno jednak można stosować się do jednej prostej zasady – stosować różne hasła do różnych serwisów www, gdzie tworzymy sobie profil lub zakładamy konto. Hasło takie nie powinno być łatwe do złamania, dobrze by było, żeby składało się ono z min. 8 znaków (kombinacja wielkich i małych liter, znaków specjalnych lub cyfr).

Tak naprawdę ciężko jest sprawdzić czy z danej firmy wyciekły dane osobowe. Najczęściej informacje o wycieku ogłasza albo sama firma albo dowiadujemy się o tym z mediów. Jeżeli firma przykłada wagę do kwestii związanych z prywatnością to dobrą praktyką byłoby niewątpliwie poinformowanie osób, których dane wyciekły o takim fakcie, a także wskazaniu co taka osoba powinna zrobić np. zmienić hasło dostępowe, zastrzec kartę kredytową etc.

W przypadku wycieku danych osobowych (ale też w ogóle w zakresie ochrony dotyczących nas danych osobowych) zawsze możemy skorzystać z praw wskazanych w art. 32 ust. 1 ustawy o ochronie danych osobowych, wśród których znajdują się m.in. takie uprawnienia jak: możliwość uzyskania informacji o celu, zakresie i sposobie przetwarzania danych zawartych w zbiorze danych, możliwość żądania uzupełnienia, uaktualnienia, sprostowania danych osobowych, czasowego lub stałego wstrzymania ich przetwarzania lub ich usunięcia, jeżeli są one niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem ustawy albo są już zbędne do realizacji celu, dla którego zostały zebrane. Zawsze też istnieje możliwość złożenia skargi do Generalnego Inspektora Ochrony Danych Osobowych (GIODO). Szczegóły w tym zakresie można znaleźć na stronie GIODO.

Ponadto, jeżeli będziemy w stanie wykazać, że wyciek danych przełożył się na naruszenie naszych dóbr osobistych, zawsze też postaje możliwość dochodzenia odszkodowania na drodze cywilnoprawnej.

Z punktu widzenia internauty ciężko obronić się przed wyciekiem danych osobowych. Kwestie związane z bezpieczeństwem danych to domena firmy, która te dane pozyskiwała (jest w stosunku do nich administratorem danych). Na pewno jednak można stosować się do jednej prostej zasady – stosować różne hasła do różnych serwisów www, gdzie tworzymy sobie profil lub zakładamy konto. Hasło takie nie powinno być łatwe do złamania, dobrze by było, żeby składało się ono z min. 8 znaków (kombinacja wielkich i małych liter, znaków specjalnych lub cyfr).

Przed nami długi majowy weekend, a to oznacza być może nieco więcej czasu. Dlatego też zapraszam do trochę dłuższej notki poświęconej wnioskom rejestracyjnym do GIODO.

Wypełniając nowy wniosek, na początek musimy zdecydować czy rejestrujemy nowy zbiór, w którym przetwarzane są dane zwykłe (zgłoszenie na podstawie art. 40 UODO) czy też wrażliwe (zgłoszenie danych przetwarzanych na podstawie jednej z przesłanek wskazanych w art. 27 UODO). Natomiast jeżeli nasze zgłoszenie ma na celu dokonanie aktualizacji istniejącego już zbioru, wówczas zaznaczamy opcję nr 2, gdzie mowa jest o aktualizacji z art. 41 ust. 2 UODO.

Kolejnym krokiem będzie nazwanie zgłaszanego zbioru np. newsletter, baza marketingowa etc. Następnie wskazujemy administratora danych, a więc firmę, która dokonuje zgłoszenia, określając jej nazwę i adres siedziby oraz podając nr REGON.

Część B (pytanie nr 2) wypełniana jest tylko wtedy, gdy mamy do czynienia z przedstawicielstwem firmy mającej siedzibę za granicą, a ściślej w tzw. państwie trzecim, czyli państwie, które nie należy do Europejskiego Obszaru Gospodarczego.

Następnym zagadnieniem, do którego musimy ustosunkować się we wniosku jest określenie, czy nasza firma powierza dane z rejestrowanego zbioru innym podmiotom np. firmie hostingowej, call center. Jeśli powierza, wpisujemy ich nazwy i adresy siedzib.

Ostatnie pytanie z części B jest jednym z najważniejszych w całym wniosku rejestracyjnym, ponieważ to właśnie tutaj wskazujemy przesłankę, na podstawie której przetwarzamy dane osobowe z rejestrowanego zbioru. Omówienie tego tematu stanowi materiał na zupełnie nową notkę, w tym miejscu nadmienię jednak, że warto pamiętać o tym, że każda z przesłanek ma charakter w pełni autonomiczny i samodzielny. Wystarczy więc, że firma legitymuje się chociaż jedną z nich, by móc zgodnie z prawem przetwarzać dane osobowe.

W pierwszym pytaniu części C musimy określić cel, dla którego przetwarzane są dane osobowe. Takim celem może być np. wysyłka newslettera czy obsługa reklamacji.

Gdy poradzimy sobie ze wskazaniem celu, musimy określić kategorię osób, których dane przetwarzamy. Wystarczy jak w tym miejscu napiszemy np. klienci, dłużnicy, osoby składające reklamacje etc.

W następnej sekcji określamy jakie dane są przetwarzane w ramach zgłaszanego zbioru. Część danych zostało zasugerowanych w formularzu, a jeśli ich tam nie ma np. adresu e-mail (który może być uznany za daną osobową), to możemy to ręcznie dopisać w kolejnej części.

Dwa ostatnie pytania w części C dotyczą danych wrażliwych. W pierwszym z nich wskazujemy jakie dane będą przetwarzane w ramach zgłaszanego zbioru np. informacje o nałogach albo o stanie zdrowia. Jeżeli takich danych firma nie przetwarza, zostawia te pola puste (podobnie jak następne, w którym wskazuje się przesłankę legalizującą przetwarzanie danych wrażliwych).

Część D wniosku zaczyna się od pytania, w jaki sposób dane są zbierane. Przewidziane są tylko dwie odpowiedzi: albo bezpośrednio od osoby, której dane dotyczą (np. osoba taka wypełnia formularz rejestracyjny umożliwiający korzystanie z portalu społecznościowego) albo z innego źródła (np. z zakupionej legalnie bazy danych).

Po wskazaniu sposobu pozyskiwania danych jesteśmy pytani o to, czy udostępniamy dane osobowe innym podmiotom niż tzw. podmioty uprawnione (przykładowo urzędom skarbowym, komornikom). Innym podmiotem może być firma, z którą administrator danych współpracuje, przy czym należy pamiętać o tym, by takie udostępnianie odbywało się w sposób legalny. Jeżeli udostępniamy, to w kolejnym pytaniu jesteśmy proszeni o to, by wskazać te podmioty (nazwa i siedziba bądź przynajmniej określenie kategorii takiego podmiotu).

Ostatnie pytanie z części D dotyczy sytuacji, w której administrator danych przekazuje dane z rejestrowanego zbioru do państw trzecich. Jeżeli takie przekazywanie ma miejsce, to wpisujemy tu nazwy tych państw. Należy jednak pamiętać o tym, że ustawa o ochronie danych osobowych przewiduje szereg obostrzeń związanych z takim transferem danych za granicę.

Część E wniosku rejestracyjnego poświęcona jest zabezpieczeniom stosowanym przez administratora danych osobowych. Na początek należy wskazać czy dane przetwarzane są centralnie (upraszczając trochę: w jednym miejscu np. w siedzibie firmy) czy w tzw. architekturze rozproszonej (np. firma ma kilka lokalizacji, a dodatkowo dane są powierzone do przetwarzania innym podmiotom). Następnie musimy zaznaczyć, czy dane przetwarzane są wyłącznie w wersji papierowej, czy też przy wykorzystaniu systemów informatycznych. Pierwsza sekcja z części E kończy się pytaniem czy komputer służący do przetwarzania danych połączony jest z Internetem. Po odznaczeniu powyższych informacji przechodzimy do wskazania konkretnych zabezpieczeń jakie stosuje firma zgłaszająca zbiór. Zabezpieczenia podzielone są na kilka rodzajów – od typowo fizycznych (np. monitoring, ochrona, zamykane szafy), poprzez środki sprzętowe (np. niszczarki), narzędzia służące do ochrony baz danych (np. stosowanie różnych poziomów uprawnień, kwestie związane z uwierzytelnianiem), a skończywszy na opisie środków organizacyjnych (np. przeszkolony personel, obowiązek zachowania danych osobowych w tajemnicy). Jeszcze przed wypełnieniem tej części należy również wskazać, czy został powołany administrator bezpieczeństwa informacji (funkcję tę może pełnić osobiście administrator danych), a także czy wdrożono dokumenty – m.in. politykę bezpieczeństwa oraz instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych.

Część F to ostatnia część wniosku rejestracyjnego. Znajduje się tam tylko jedno pytanie, a mianowicie administrator danych proszony jest o wskazanie poziomu stosowanych zabezpieczeń. Zgodnie z wcześniej przywoływanym rozporządzeniem istnieją trzy poziomy: podstawowy, podwyższony i wysoki. Tym co decyduje o tym, jakie zabezpieczenia musi zastosować firma, wynika właśnie z ww. poziomów, które z kolei powiązane są m.in. z tym jakie dane przetwarza administrator danych, a także czy system informatyczny połączony jest np. z Internetem.

Po wypełnieniu wniosku należy go wysłać do GIODO. Co do zasady należy zrobić to w sposób tradycyjny (za pośrednictwem poczty albo osobiście w Biurze GIODO). Natomiast jeśli przedsiębiorca posiada kwalifikowany podpis elektroniczny, może to również uczynić przez Internet.

Przypominamy, że już od najbliższego poniedziałku wchodzi w życie nowelizacja ustawy o ochronie danych osobowych. Przy tej okazji na łamach Gazety Prawnej pojawiła się krótka wypowiedź Michała na temat środków egzekucyjnych, którymi będzie mógł dysponować teraz GIODO. Zapraszamy serdecznie do lektury.

Troszkę nas tu nie było ostatnimi czasy, nadszedł jednak moment by to nadrobić. Dzisiaj chciałbym poinformować o ciekawych spotkaniach, które odbywają się w Warszawie, a dotyczą tematyki ochrony danych osobowych. Mowa tu o spotkaniach w ramach goldenline’owej grupy ABI, które skierowane są do osób zainteresowanych tym zagadnieniem.

Spotkania mają formułę otwartą, odbywają się (przynajmniej na razie) w siedzibie Grupy Allianz i każdy zainteresowany ma możliwość przyjść, wymienić doświadczenia, podpytać o istotne dla niego kwestie. Dodatkowym atutem jest też obecność dr Wojciecha Wiewiórowskiego, czyli Generalnego Inspektora Ochrony Danych Osobowych (był obecny na pierwszym spotkaniu).

Za nami jest drugie spotkanie, gdzie dyskutowano m.in. o roli administratora bezpieczeństwa informacji (ABI) w kontekście ewentualnych zmian w ustawie o ochronie danych osobowych, a także o retencji danych historycznych (np. historia zmian na koncie użytkownika), zwłaszcza w kontekście portali społecznościowych.

Trzecie spotkanie ma odbyć się w kwietniu. Szczegółów wypatrujcie na stronie GoldenLine, w grupie ABI.

Od jakiegoś czasu wiadomo już, że nowelizacja ustawy o ochronie danych osobowych wejdzie w życie 7 marca 2011 r. Trochę o tym już pisaliśmy, niemniej jako, że temat jest cały czas aktualny, warto o nim jeszcze troszkę podyskutować. Poniżej zebrałam parę informacji, by usystematyzować to wszystko co powinniśmy wiedzieć o nadchodzącej zmianie w prawie.

Propozycja nowelizacji ustawy o ochronie danych osobowych (UODO) została złożona w Sejmie już dosyć dawno bo 3 lata temu. Dnia 18 listopada 2010 r. została podpisana przez Prezydenta i wejdzie w życie na początku przyszłego roku (7 marca). UODO była zmieniana już kilkanaście razy. Obecna jej nowelizacja jest, zaraz po nowelizacji z 2004r. związanej z przystąpieniem Polski do Unii Europejskiej, jedną z większych i ważniejszych.

Kwestią, która budziła duże wątpliwości była definicja zgody na przetwarzanie danych, ponieważ nie było w niej jasno powiedziane, że taka zgoda może zostać odwołana. Tę kwestię regulowały inne ustawy (np. ustawa o świadczeniu usług drogą elektroniczną). Nowelizacja UODO dodaje do definicji zamieszczonej w art. 7 pkt. 5 informację o tym, że „zgoda może być odwołana w każdym czasie”.

Wartościową zmianą jest również dodanie do art. 13 nowego ust. 1a umożliwiającego tworzenie jednostek zamiejscowych Biura Generalnego Inspektora Ochrony Danych Osobowych, co dałoby możliwość częstszych kontroli u podmiotów bardziej oddalonych od centralnej Polski (w ostatnim wywiadzie w Gazecie Prawnej dr Wojciech Wiewiórowski wspominał, że takie biuro bardzo by się przydało na Górnym Śląsku). Niestety sam artykuł w UODO nie wystarczy, aby takie jednostki terenowe powstały, ponieważ bardzo ważnym elementem w tym przypadku jest przede wszystkim budżet na stworzenie takich jednostek.

Ku zdziwieniu wielu specjalistów w zakresie ochrony danych osobowych, zostały uchylone dwa artykuły (29 i 30) UODO regulujące kwestię udostępniania danych osobowych. Powodem ich uchylenia było dostosowanie UODO do Dyrektywy 95/46/WE Parlamentu Europejskiego i Rady. Uchylenie ich nie oznacza wprowadzenia zakazu udostępniania danych osobowych, jednak do momentu wyjaśnienia tego w stosownym komentarzu lub wydaniu decyzji przez GIODO, wiele podmiotów może odmawiać udostępniania jakichkolwiek danych osobowych, co w wielu przypadkach będzie niezgodne z prawem. W Dyrektywie potraktowano udostępnianie danych osobowych, jako jedną z form przetwarzania danych i właśnie tak powinniśmy to traktować uwzględniając tzw. podstawy dopuszczalności przetwarzania danych (Art. 23 i 27 UODO) przy ich udostępnianiu.

Ważną zmianą, o której musimy pamiętać, to dodanie dodatkowego przepisu karnego, który jest skutkiem nieprzyjętej propozycji umożliwienia GIODO nakładania kar finansowych. Nowy artykuł (Art. 54a) przewiduje dodatkowe sankcje karne w przypadku udaremniania lub utrudniania kontroli GIODO.

Serdecznie zapraszam do zapoznania się z krótkim artykułem Michała na temat GIODO i Facebook’a, który został opublikowany na stronach serwisu wyborcza.biz. Miłej lektury.

W połowie września Sejm RP niemal jednogłośnie przyjął projekt nowelizacji ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Zanim zmiany wejdą w życie, projekt musi przejść jeszcze przez głosowanie w Senacie, a na koniec swój podpis musi złożyć Prezydent RP. Nowelizacja, o której tu mowa czekała, by ujrzeć światło dzienne od ponad 3 lat. W swym pierwotnym brzmieniu zakładała m.in. możliwość nakładania kar finansowych przez GIODO. Ostatecznie zapisy te nie pojawią się w nowelizacji, natomiast z ciekawszych zmian warto wspomnieć o tej, która wiąże się z nowym uprawnieniem GIODO, a mianowicie możliwością tworzenia jednostek zamiejscowych. Zmiana ta może oznaczać częstsze kontrole wykonywane przez inspektorów tego urzędu.

Z innych interesujących zmian, warto odnotować nową sankcję karną, która pojawi się w ustawie, w myśl której, kto udaremnia lub utrudnia inspektorowi wykonanie kontroli, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch. Zmiana ta podyktowana była tym, że do tej pory kierownicy kontrolowanych jednostek na dobrą sprawę mogli dość skutecznie utrudniać pracę inspektorom, ponieważ ustawa o ochronie danych nie przewidywała w tym zakresie żadnych sankcji.

Oprócz wyżej wymienionych nowości, warto również wspomnieć o tym, że w myśl nowelizacji do kompetencji GIODO należeć teraz będzie egzekucja administracyjna (dążenie do doprowadzenia przez osobę, dysponującą danymi osobowymi do stanu zgodnego z prawem), prowadzenie zbiorów danych oraz udzielanie informacji o tych zbiorach, opiniowanie projektów ustaw i rozporządzeń, dotyczących ochrony danych osobowych, a także inicjowanie i podejmowanie działań w zakresie ochrony danych osobowych.

Pisząc o serwisach społecznościowych pod kątem ich bezpieczeństwa dla prywatności i ochrony danych osobowych, warto na początek spróbować zdefiniować sobie, czym są takie serwisy. W tym miejscu pozwolę sobie sięgnąć po definicję zawartą na stronach Wikipedii, zgodnie z którą serwisem społecznościowym będzie rodzaj interaktywnych stron www, które są współtworzone przez sieci społeczne osób podzielających wspólne zainteresowania lub chcących poznać zainteresowania innych. Większość portali społecznościowych dostarcza użytkownikom wiele sposobów komunikacji, np. poprzez listy dyskusyjne, fora etc. Aktualnie jednym z najpopularniejszych portali na świecie (ale także w Polsce) jest Facebook. Do tego typu portali zalicza się również takie serwisy jak MySpace, Linkedin, a na naszym krajowym podwórku będą to np. Nasza-klasa, GoldenLine czy nowy portal stworzony przez GG Network S.A. GG.pl.

Wraz z pojawieniem się mody na serwisy społecznościowe bardzo popularnym tematem stała się kwestia związana z bezpieczeństwem danych osobowych, które użytkownicy takich serwisów wpisują podczas rejestracji, ale także tych, które podają podczas bieżącego korzystania z funkcjonalności udostępnianych przez portal.

I właśnie, gdy myślimy o bezpieczeństwie i prywatności naszych danych osobowych, to jednym z elementów, któremu warto bliżej się przyjrzeć zanim klikniemy sakramentalne „Wyślij” lub „Zarejestruj się”, jest formularz rejestracyjny. Na początek należy sprawdzić, czy przesyłanie danych zawartych w formularzu jest zabezpieczone poprzez protokół SSL. Można to zweryfikować zerkając na adres strony internetowej (nazwa domeny powinna być poprzedzona „https” a w prawym dolnym rogu przeglądarki powinna być kłódka). Jeżeli właściciel strony stosuje tego typu zabezpieczenie to na pewno jest to dobry sygnał dla bezpieczeństwa naszych danych osobowych.

Kolejną rzeczą, na którą należy zwrócić uwagę, jest zakres danych osobowych, jakie musimy podawać podczas rejestracji. Nie ma tu jednej uniwersalnej wskazówki, którą można się kierować, ale co do zasady trzeba założyć, że im więcej danych wymaga się od nas, tym większe zagrożenie dla naszej prywatności. Właściciel portalu zawsze powinien stosować się do tzw. zasady adekwatności, o której mowa w art. 26 ustawy o ochronie danych osobowych, w myśl której dane osobowe przetwarzane przez administratora danych (właściciela serwisu) powinny być adekwatne do celu dla jakiego mają być wykorzystane.

Formularz rejestracyjny to dokument elektroniczny, za pomocą którego internauta przekazuje swe dane do właściciela serwisu, a więc mamy tu do czynienia z przetwarzaniem (zbieraniem) danych osobowych. A zatem czynność ta powinna być poprzedzona przekazaniem internaucie kilku podstawowych informacji na temat administratora danych. Zgodnie z obowiązującymi przepisami o ochronie danych osobowych, właściciel firmy powinien wskazać pełną nazwę swego przedsiębiorstwa, a także podać adres siedziby. Oprócz tego powinien zostać określony cel, dla jakiego zbierane są dane osobowe, a dodatkowo internauta musi zostać poinformowany o przysługujących mu prawach tj. możliwości wglądu w swoje dane osobowe wraz z możliwością ich poprawiania. Jeżeli brak jest takich zapisów, może to świadczyć o słabej znajomości przepisów prawa przez właściciela serwisu (a nawet o naruszeniu tych przepisów), ale też pokazywać, że temat prywatności traktowany jest przez niego w sposób daleko niewystarczalny.

Stałym elementem składowym różnego rodzaju formularzy rejestracyjnych są również zgody na przetwarzanie danych osobowych. I tu wielka uwaga – zawsze zwracajmy uwagę, na co się godzimy, żeby w przyszłości uniknąć przykrych niespodzianek. Pamiętajmy o tym, że każda zgoda powinna wskazywać cel, dla którego będą wykorzystywane nasze dane osobowe (klauzula taka nie może być zbyt ogólna, ale też nie może zawierać w sobie kilku różnych celów, do realizacji których właściciel serwisu chciałby wykorzystywać dane osobowe – powinny to być osobne zgody).

Jeśli chcielibyśmy jeszcze dokładniej poznać właściciela portalu i jego podejście do ochrony danych osobowych, zawsze też istnieje możliwość sprawdzenia go na stronie internetowej Generalnego Inspektora Ochrony Danych Osobowych (GIODO). W sekcji zatytułowanej e-GIODO znajduje się wyszukiwarka za pomocą której możemy zobaczyć, czy właściciel serwisu zgłosił zbiór danych osobowych do GIODO.

Ostatnią rzeczą, na którą należy zwrócić uwagę, powinien być regulamin portalu społecznościowego. Jeśli takiego dokumentu brakuje na stronie, lepiej się nie rejestrować. Obowiązek posiadania regulaminu wynika wprost z przepisów ustawy o świadczeniu usług drogą elektroniczną, stąd też poważna firma na pewno taki dokument przygotuje. Ale i tu czasami łatwo o przykre niespodzianki. Krótka analiza treści regulaminu i jego porównania np. z formularzem rejestracyjnym bardzo często pokaże nam, czy regulamin został rzeczywiście napisany pod kątem tego konkretnego portalu społecznościowego, czy też może jego właściciel skopiował dokument z jakiejś innej strony, który z lekkimi modyfikacjami lub bez nich zamieścił u siebie.

Kończąc wątek rejestracji nie zapominajmy o wymyśleniu mocnego hasła, którego podanie będzie niezbędne by móc zalogować się do naszego konta na portalu społecznościowym. Dobre hasło powinno składać się z minimum 8 znaków i zawierać w sobie kombinację wielkich i małych liter, znaków specjalnych lub cyfr.

Nawet, gdy już przebrniemy przez stworzony w zgodzie z obowiązującymi przepisami prawa proces rejestracyjny, nadal musimy być czujni, jeśli chcemy zadbać o naszą prywatność. Zwracajmy zatem uwagę jakie dane pozostawiamy korzystając np. z for dyskusyjnych, a także zwróćmy uwagę na zdjęcia, które dodajemy do swoich profili. Pamiętajmy o tym, że te dane będą widoczne także dla innych użytkowników, a czasami dla wszystkich internautów. Jeżeli portal umożliwia zastosowanie jakiś dodatkowych opcji zapewniających prywatność np. poprzez ograniczenie kręgu osób, które będą miały podgląd w nasz profil i w to co robimy na portalu społecznościowym, korzystajmy z tego.

Zapewne wiele osób w swoich firmach zastanawia się, czy są u nich przetwarzane dane osobowe. Jako że wbrew pozorom temat ten nie jest tak oczywisty jakby się mogło wydawać, postanowiliśmy napisać o tym parę słów. Na stronach Nowoczesnej Firmy Maria Lothamer opisała kiedy firma przetwarza dane osobowe. Myślę, że tekst ten może okazać się bardzo pomocny by wstępnie oszacować z jakimi zbiorami możemy mieć do czynienia.

Natomiast drugi artykuł (mojego autorstwa) dotyczy sytuacji, w której wiemy już co należy zgłosić do Biura Generalnego Inspektora Ochrony Danych Osobowych (GIODO), ale nie wiemy jak poradzić sobie ze sformalizowanym wnioskiem zgłoszeniowym. W krótkim poradniku starałem się zwrócić uwagę na najważniejsze aspekty tego formularza.

Serdecznie zapraszam do zapoznania się z oboma artykułami.