iSecure logo
Strona główna

Baza wiedzy

RODO – warunki wyrażenia zgody

Na administratorze danych spoczywa obowiązek kontrolowania warunków wyrażenia zgody. Administrator danych musi być w stanie wykazać, że osoba której dane dotyczą wyraziła zgodę na przetwarzanie danych osobowych (jeżeli to zgoda jest podstawą przetwarzania). Musi także być w stanie wykazać, że osoba, która wyraziła zgodę na przetwarzanie danych osobowych, była wcześniej poinformowana o prawie do cofnięcia zgody.

Dodatkowo w sytuacji, gdy administrator przetwarza w ramach usług społeczeństwa informacyjnego dane osoby poniżej 16 roku życia na podstawie zgody, zgoda ta musi być wyrażona lub zaaprobowana przez rodzica lub opiekuna prawnego. W związku z tym administrator musi wprowadzić procedurę działania, poprzez którą wykaże, że uzyskał zgodę na przetwarzanie danych dziecka przez rodziców lub opiekunów.

Warto pamiętać, że w naszym kraju granica wieku, co do wyrażenia zgody jest taka sama, jak w RODO, czyli dotyczy 16 roku życia.

RODO – klauzula zawierająca tzw. „obowiązek informacyjny”

Administrator danych musi podać osobie, której dane będą przetwarzane informację, która zrealizuje obwiązek informacyjny wynikający z art. 13 lub 14 RODO. Zgodnie z motywem 60 preambuły RODO:

Administrator powinien podać osobie, której dane dotyczą, wszelkie inne informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania, uwzględniając konkretne okoliczności i konkretny kontekst przetwarzania danych osobowych. Ponadto należy poinformować osobę, której dane dotyczą, o fakcie profilowania oraz o konsekwencjach takiego profilowania. Jeżeli gromadzi się dane osobowe od osoby, której dane dotyczą, należy ją też poinformować, czy ma ona obowiązek je podać, oraz o konsekwencjach ich niepodania.

RODO w przypadku zbierania danych od osoby, której one dotyczą (art. 13 RODO), wymaga, aby administrator podał m.in.:

  • Swoją nazwę, adres siedziby, dane kontaktowe;
  • Cele przetwarzania danych;
  • Informacje o przysługujących uprawnieniach
  • Dane kontaktowe Inspektora Ochrony Danych (jeżeli jest powołany);
  • Nazwę, dane kontaktowe przedstawiciela na terenie UE (jeżeli jest);
  • Podstawę prawną przetwarzania;
  • Uzasadnione interesy administratora, tj. interesy wynikające np. z powiązań pomiędzy administratorem, a podmiotem danych, który jest jego klientem, jak np. marketing bezpośredni;
  • Uzasadnione interesy osoby trzeciej, tj. innej niż sam administrator i osoba, której dane dotyczą;
  • Okres przechowywania danych (albo kryteria ustalenia tego okresu). Dotyczy to np. ustawowych terminów archiwizacji danych lub gdy przewidujemy przetwarzanie danych do czasu korzystania z usługi czy odwołania zgody;
  • Informacje o prawie wniesienia skargi do organu nadzorczego;
  • Informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, oraz informacji o zasadach podejmowania tych decyzji, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

Zwolnienie z obowiązku informacyjnego, gdy dane zbiera się osoby bezpośrednio możliwe jest, gdy osoba, której dane dotyczą, dysponuje już wszystkimi powyższymi informacjami. 

 Natomiast zwolnienie z obowiązku informowania o przetwarzaniu danych, gdy zbiera się je ze źródeł trzecich (nie bezpośrednio od osoby), możliwe jest w czterech przypadkach:

  1. Jeżeli osoba już tymi informacjami dysponuje;
  2. W sytuacji gdy przetwarzanie danych jest przewidziane prawem;
  3. Jeżeli poinformowanie tych osób jest niemożliwe lub jeżeli jest to nadmiernie utrudnione (wówczas administrator podaje dane publicznie);
  4. Gdy istnieje ustawowy obowiązek zachowania tajemnicy (np. tajemnicy zawodowej).
RODO – profilowanie

Na administratorze danych będzie ciążył obowiązek poinformowania osoby, której dane dotyczą o profilowaniu oraz o jego skutkach, jak też o możliwości wniesienia sprzeciwu (motyw 60 i 70 preambuły RODO, art. 13 ust. 2 lit. f RODO, art. 14 ust. 2 lit. g RODO).

„Profilowanie” według zasad ustanowionych przez RODO:

  • To pojęcie zdefiniowane w art. 4 pkt 4 RODO: oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.
  • Tworzenie profili to: (1) zbieranie danych z różnych źródeł: dane przekazane administratorowi + dane przekazane innym administratorom (np. portale społecznościowe) lub (2) profile tworzone w sposób statystyczny tj. z cechy 1 wnioskujemy, iż posiada również cechę 2, 3 itd.
  • Nie zawsze RODO znajdzie zastosowanie do profilowania. Wymagane jest spełnienie łącznie przesłanek: (a) sposób przetwarzania – dowolna forma zautomatyzowanego przetwarzania danych oraz (b) cel - analiza lub prognoza aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.
  • RODO ustanawia w zasadzie dwa rodzaje profilowania. Kryterium, które rozróżnia te dwa rodzaje jest automatyczne podejmowanie decyzji i konsekwencja tych decyzji. Gdy mamy do czynienia z podejmowaniem decyzji opartej wyłącznie na zautomatyzowanym przetwarzaniu (w tym właśnie profilowaniu) i wywołuje ona skutki prawne lub podobnie wpływa na osobę, to stosuje się art. 21 RODO. Natomiast, gdy kryterium to nie zaistnieje, stosuje się przepisy dotyczące każdej innej formy "standardowego" przetwarzania danych osobowych, tj. w szczególności: art. 13, 14, 15, 22 oraz 35 ust 3 pkt c RODO.
  • Dopuszczalność automatycznego podejmowania decyzji wystąpi gdy: jest to dopuszczone przez prawo UE lub prawo krajowe i które przewiduje właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osób, które dane dotyczą; gdy jest to niezbędne do zawarcia lub wykonania umowy między administratorem, a osobą której dane są zbierane oraz w sytuacji, gdy opiera się na wyraźnej zgodzie osoby, której dane dotyczą.
  • W przypadku profilowania z automatycznym podejmowaniem decyzji niezbędne jest dokonanie przez administratora danych oceny skutków planowanych operacji przetwarzania dla ochrony danych (data processing impact assessment).
RODO – obowiązek prowadzenia rejestru przetwarzania:

RODO co do zasady wprowadza obowiązek prowadzenia rejestru przetwarzania. Wynika to z art. 30 RODO, przy czym istnieją pewne wyjątki dla poszczególnych grup administratorów danych. Co do zawartości takiego rejestru to można wyróżnić ich dwa typy: rejestry czynności przetwarzania, prowadzone przez administratorów danych i rejestry kategorii czynności przetwarzania, prowadzone przez podmioty przetwarzające.

RODO – obowiązek zgłaszania naruszenia ochrony danych osobowych organowi nadzorczemu

W sytuacji stwierdzenia przez administratora naruszenia ochrony danych osobowych występuje obowiązek zgłoszenia tego faktu organowi nadzorczemu w terminie:

  • co do zasady - bez zbędnej zwłoki;
  • w miarę możliwości w terminie 72 godzin po stwierdzeniu naruszenia;
  • po powyższym terminie – wraz z dołączonym wyjaśnieniem przyczyn opóźnienia.

Administrator może być zwolniony z obowiązku, gdy istnieje małe prawdopodobieństwo, by naruszenie ochrony danych osobowych skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.

Zgłoszenie musi zawierać co najmniej (art. 33 ust. 3 RODO): charakter naruszenia, dane Inspektora Ochrony Danych, konsekwencje naruszenia, środki podjęte w celu zaradzenia naruszeniu ochrony danych.

Podmiot przetwarzający zobligowany jest również do tego, aby po stwierdzeniu naruszenia ochrony danych osobowych bez zbędnej zwłoki zgłosić ten fakt administratorowi.

RODO – obowiązek zawiadomienia osoby, której dane dotyczą o naruszeniu ochrony danych osobowych

Istnieją dwie przesłanki do zawiadomienia osoby, której dane dotyczą o naruszeniu ochrony jej danych osobowych (spełnione łącznie):

  1. Naruszenie ochrony danych osobowych, które
  2. Może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych.

W przypadku zaistnienia powyższych przesłanek administrator danych zobowiązany jest  w terminie bez zbędnej zwłoki do zawiadomienia osoby, której dane dotyczą o takim naruszeniu.

Jakie warunki musi spełniać zawiadomienie?

  • Jasny i prosty język
  • Opis charakteru naruszenia
  • Informacje o Inspektorze Ochrony Danych
  • Opis możliwych konsekwencji naruszenia
  • Opis środków zastosowanych lub proponowanych w celu zaradzenia naruszeniu ochrony danych.

Zwolnienie z obowiązku zawiadomienia możliwe jest w poniższych sytuacjach (art. 34 ust. 3 RODO):

  • Administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie. Chodzi w szczególności o takie środki jak szyfrowanie, które uniemożliwia odczyt osobom nieuprawnionym.
  • Administrator zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą.
  • Zawiadomienie o naruszeniu praw lub wolności osoby, które dane dotyczą wymagałoby niewspółmiernie dużego wysiłku. W takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób.

W przypadku niezawiadomienia osoby, której dane dotyczą:

  • Organ nadzorczy może żądać od administratora spełnienia takiego obowiązku;
  • Organ nadzorczy stwierdza spełnienie przypadku zwolnienia z obowiązku zawiadomienia (z katalogu art. 34 ust. 3 RODO)
RODO – kary pieniężne i odpowiedzialność administratora danych

Administrator danych ponosi odpowiedzialność cywilnoprawną. Co warto wiedzieć o prawie do odszkodowania?

  • Domagać się go może każda osoba, która poniosła szkodę (majątkową lub niemajątkową) poprzez naruszenie przepisów Rozporządzenia;
  • Podmiotem odpowiedzialnym będzie: administrator lub podmiot przetwarzający;
  • Powyższa odpowiedzialność jest co do zasady solidarna;
  • Podmiot przetwarzający odpowiada za szkody spowodowane przetwarzaniem wyłącznie, gdy nie dopełnił obowiązków, które nakłada RODO na podmioty przetwarzające lub gdy działał poza zgodnymi z prawem instrukcjami administratora lub wbrew tym instrukcjom;
  • Zwolnienie z odpowiedzialności występuje, gdy brak winy.

RODO przewiduje administracyjne kary pieniężne. Według przepisów kara ma być skuteczna, proporcjonalna i odstraszająca. Karę pieniężną nakłada się w zależności od okoliczności każdego indywidualnego przypadku, biorąc pod uwagę:

  • Charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą oraz rozmiaru poniesionej przez nie szkody;
  • Umyślny lub nieumyślny charakter naruszenia;
  • Działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą;
  • Stopień odpowiedzialności administratora lub podmiotu przetwarzającego;
  • Wcześniejsze naruszenia;
  • Stopień współpracy z organem nadzorczym w celu uniknięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków;
  • Kategorie danych osobowych, których dotyczyło naruszenie;
  • Sposób w jaki organ nadzorczy dowiedział się o naruszeniu;
  • Przestrzeganie uprawnień naprawczych nałożonych przez organ nadzorczy;
  • Stosowanie zatwierdzonych kodeksów postępowania lub mechanizmów certyfikacji;
  • Inne czynniki obciążające lub łagodzące.

Wysokość kary obliczana jest na trzy różne sposoby.

  1. Jeżeli administrator lub podmiot przetwarzający narusza umyślnie lub nieumyślnie w ramach tych samych lub powiązanych operacji przetwarzania kilka przepisów rozporządzenia, całkowita wysokość administracyjnej kary pieniężnej nie przekracza wysokości kary za najpoważniejsze naruszenie.
  2. Kara w wysokości do 10 000 000 EUR lub w przypadku przedsiębiorstwa w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa. Taka kara może zostać wymierzona w wypadku naruszenia przepisów dotyczących:
    1. Obowiązków administratora i podmiotu przetwarzającego wynikających z art. 8 RODO (warunki wyrażenia zgody przez dziecko w przypadku usług społeczeństwa informacyjnego), art. 11 RODO (przetwarzanie niewymagające identyfikacji), art. 25-39 (z sekcji I RODO obowiązki ogólne, z sekcji II RODO bezpieczeństwo danych osobowych, z sekcji III RODO ocena skutków dla ochrony danych i uprzednie konsultacje, z sekcji IV RODO Inspektor Ochrony Danych), art. 42 RODO (certyfikacja), art. 43 RODO (podmiot certyfikujący);
    2. Obowiązków podmiotu certyfikującego;
    3. Obowiązków podmiotu monitorującego.
  3. Kara w wysokości do 20 000 000 EUR lub w przypadku przedsiębiorstwa w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa. Może zostać wymierzona w przypadku naruszenia przepisów:
    1. Podstawowych zasad przetwarzania, w tym warunków zgody (art. 5, 6, 7, 9 RODO);
    2. Praw osób które dane dotyczą (12-22 RODO);
    3. Przekazywania danych osobowych odbiorcy w państwie trzecim lub organizacji międzynarodowej;
    4. Wszelkich obowiązków wynikających z prawa państwa członkowskiego przyjętego na podstawie rozdziału IX RODO;
    5. Nieprzestrzegania nakazu, tymczasowego lub ostatecznego ograniczenia przetwarzania lub zawieszenia przepływu danych orzeczonego przez organ nadzorczy lub niezapewnienia dostępu skutkującego naruszeniem art. 58 ust. 1 RODO

Odpowiedzialność karna – art. 84 RODO

Państwa członkowskie przyjmują przepisy określające inne sankcje za naruszenia niniejszego rozporządzenia, w szczególności za naruszenia niepodlegające administracyjnym karom pieniężnym na mocy art. 83 RODO, oraz podejmują wszelkie środki niezbędne do ich wykonania. Sankcje te muszą być skuteczne, proporcjonalne  i odstraszające.

Tego typu sankcje reguluje ustawa o ochronie danych osobowych.

RODO – nowy status Inspektora Ochrony Danych Osobowych

RODO wprowadza obowiązek wyznaczenia Inspektora Ochrony Danych przez administratora danych w przypadku, gdy:

  • Przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;
  • Główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę;
  • Główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 RODO, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10 RODO.

W pozostałych przypadkach wyznaczenie IOD jest fakultatywne.

RODO przewiduje, że grupa przedsiębiorstw może wyznaczyć jednego inspektora ochrony danych (IOD), o ile można będzie łatwo nawiązać z nim kontakt z każdej jednostki organizacyjnej. Administrator oraz podmiot przetwarzający powinni zapewnić, by IOD był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych.

 IOD współpracuje z organem nadzorczym, jest również punktem kontaktowym dla organu nadzorczego w kwestiach związanych z przetwarzaniem danych, a także dla osób skarżących – w tym sensie może pełnić  swego rodzaju funkcję pośrednika i pierwszy punkt wsparcia w sprawach dotyczących ochrony danych osobowych.

RODO – weryfikacja treści umów zawartych z podmiotami przetwarzającymi dane

Administrator danych zobowiązany jest do zbadania umów w zakresie czy dają one gwarancję wdrożenia odpowiednich środków technicznych oraz organizacyjnych, jakie wymagane są przez RODO. W związku z tym konieczne jest sprawdzenie wszystkich zawieranych umów, w szczególności umów powierzenia, pod kątem  tego, czy spełniają one warunki z art. 28 RODO.

Niezbędne jest także stworzenie odpowiedniej procedury, która będzie zawiera wskazania, kiedy podmiot przetwarzający będzie można uznać za taki, który gwarantuje wdrożenie odpowiednich środków technicznych i organizacyjnych wymaganych przez RODO.

RODO przewiduje m.in. konieczność zapewnienia przez administratora danych uprawnień do przeprowadzenia audytów i/lub inspekcji u podmiotów przetwarzających.

RODO – ocena skutków planowanych operacji przetwarzania danych osobowych (Data Protection Impact Assessment)

Przesłankami do dokonania oceny skutków planowanych operacji przetwarzania danych osobowych są: prawdopodobieństwo spowodowania wysokiego ryzyka naruszenia wolności lub praw osób fizycznych oraz rodzaj przetwarzania danych osobowych, szczególnie użycie w tym celu nowych technologii.

W przypadku wystąpienia powyższych przesłanek administrator danych ma obowiązek przed rozpoczęciem przetwarzania dokonać oceny skutków planowanych operacji przetwarzania danych osobowych. Warto dodać, że jeśli został wyznaczony Inspektor Ochrony Danych, to administrator danych powinien z nim konsultować DPIA. Pewnym ułatwieniem jest to, że RODO pozwala dla podobnych operacji przetwarzania danych wiążących się z podobnym wysokim ryzykiem przeprowadzić pojedynczą ocenę.

Obowiązek dokonania oceny skutków planowanych operacji przetwarzania danych osobowych wystąpi w przypadku wystąpienia w szczególności:

  • systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną;
  • przetwarzania na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 RODO, lub danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10 RODO;
  • systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie.

Wyżej wskazany katalog nie jest katalogiem zamkniętym, zawsze będzie trzeba dokonać oceny, jeżeli zajdzie prawdopodobieństwo spowodowania wysokiego ryzyka naruszenia wolności lub praw osób fizycznych.

Co musi zawierać ocena

Przygotowywana ocena obligatoryjnie musi obejmować:

  • Systematyczny opis planowanych operacji przetwarzania i celów przetwarzania, w tym, gdy ma to zastosowanie opis, prawnie uzasadnionych interesów realizowanych przez administratora;
  • Ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów;
  • Ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą;
  • Środki planowane w celu zaradzenia ryzyku, w tym zabezpieczenia oraz środki i mechanizmy bezpieczeństwa mające zapewnić ochronę danych osobowych i wykazać przestrzeganie RODO, z uwzględnieniem praw i prawnie uzasadnionych interesów osób, których dane dotyczą, i innych osób, których sprawa dotyczy.

W razie potrzeby, przynajmniej gdy zmienia się ryzyko wynikające z operacji przetwarzania, administrator dokonuje przeglądu, by stwierdzić, czy przetwarzanie odbywa się zgodnie  z oceną skutków dla ochrony danych.

Prezes Urzędu Ochrony Danych podaje do publicznej wiadomości wykaz operacji, które podlegają wymogowi dokonania DPIA. 

RODO – szacowanie ryzyka

Administrator, jak tez podmiot przetwarzający musi analizować (szacować) ryzyko, czyli możliwość zaistnienia zdarzenia, które będzie miało wpływ na realizację założonych celów. Ryzyko jest mierzone w szczególności wpływem (skutkami) danego zdarzenia na prawa i wolności osoby oraz prawdopodobieństwem wystąpienia.

Wśród środków technicznych i organizacyjnych, jakie RODO wymienia znajdują się w szczególności:

  • Pseudonimizacja i szyfrowanie danych osobowych;
  • Zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
  • Zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
  • Regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania,

dlatego warto jest brać pod uwagę podczas analizy ryzyka potencjalną możliwość braku tego typu zabezpieczeń i wpływu ich braku na ochronę praw osób, których dane przetwarzamy.

Administrator danych analizując ryzyko może tego dokonać na trzech etapach:

  • Etap 1 – definiuje ryzyko, jego źródło, przyczyny oraz hipotetyczne szkody;
  • Etap 2 – ustala możliwość wystąpienia ryzyka (w tym ocenę ryzyka, sposób postępowania z ryzykiem, sposobu informowania o ryzyku);
  • Etap 3 – eliminuje lub zapobiega ryzyku.

Warto odnieść się bezpośrednio do RODO. Jak mówi motyw 75 z preambuły: Ryzyko naruszenia praw lub wolności osób, o różnym prawdopodobieństwie i wadze zagrożeń, może wynikać z przetwarzania danych osobowych mogącego prowadzić do uszczerbku fizycznego lub szkód majątkowych lub niemajątkowych, w szczególności:

  • jeżeli przetwarzanie może poskutkować dyskryminacją, kradzieżą tożsamości lub oszustwem dotyczącym tożsamości, stratą finansową, naruszeniem dobrego imienia, naruszeniem poufności danych osobowych chronionych tajemnicą zawodową, nieuprawnionym odwróceniem pseudonimizacji lub wszelką inną znaczną szkodą gospodarczą lub społeczną;
  • jeżeli osoby, których dane dotyczą, mogą zostać pozbawione przysługujących im praw i wolności lub możliwości sprawowania kontroli nad swoimi danymi osobowymi;
  • jeżeli przetwarzane są dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, wyznanie lub przekonania światopoglądowe, lub przynależność do związków zawodowych oraz jeżeli przetwarzane są dane genetyczne, dane dotyczące zdrowia lub dane dotyczące seksualności lub wyroków skazujących i naruszeń prawa lub związanych z tym środków bezpieczeństwa;
  • jeżeli oceniane są czynniki osobowe, w szczególności analizowane lub prognozowane aspekty dotyczące efektów pracy, sytuacji ekonomicznej, zdrowia, osobistych preferencji lub zainteresowań, wiarygodności lub zachowania, lokalizacji lub przemieszczania się – w celu tworzenia lub wykorzystywania profili osobistych;
  • jeżeli przetwarzane są dane osobowe osób wymagających szczególnej opieki, w szczególności dzieci;
  • jeżeli przetwarzanie dotyczy dużej ilości danych osobowych i wpływa na dużą liczbę osób, których dane dotyczą.
Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki