Komisja Statutowa PZK.
    SP6OUJ. pisze:


    Jeszcze jedno, czy w PZK została wprowadzona procedura ochrony danych osobowych, rejestracji zbiorów danych w GIODO, bo skoro zbiera się dane osób, np. członków, osoby aplikujace o dyplomy, itp. to obowiązek rejestracji zbiorów istnieje. Na stronie PZK nie wyczytałem, czy jest powołany np. ADO.


Chodzi zapewne o ABI i sprawdza się to raczej tu: https://egiodo.giodo.gov.pl/search_advanced_abi.dhtml
Skoro nie ma powołanego formalnie ABI (który w takim przypadku samodzielnie prowadzi rejestr w danym podmiocie) to zbiory ADO powinien rejestrować w GIODO bezpośrednio.
Gdyby były zarejestrowane to należało by ich szukać tu: https://egiodo.giodo.gov.pl/search_basic.dhtml

Status ADO ma każdy podmiot przetwarzający DO zatem w szczególności również te OT, które maja osobowość prawną i działają we własnym imieniu.

Obowiązek rejestracji znika w maju 2018 wraz z wejściem w życie rozporządzenia RODO.
http://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX%3A32016R0679
Zastępuje go tzw. "Rejestr czynności przetwarzania" ale wymagań do spełnienia jest całkiem sporo a obawy i niepewność znacznie większe z uwagi na brak konkretnych rozporządzeń wykonawczych, sporą dowolność interpretacji i przewidywane wysokie maksymalne sankcje.

Zwolnieni z prowadzenia rejestru są przedsiębiorcy lub podmioty zatrudniające mniej niż 250 osób, chyba że przetwarzanie, którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1, lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa, o czym mowa w art. 10.

warto zwrócić uwagę na motyw 78 (zdolność do wykazania należytej staranności i doboru adekwatnych zabezpieczeń) i motyw 83 (analiza ryzyka i środki zabezpieczeń)

(78)Ochrona praw i wolności osób fizycznych w związku z przetwarzaniem danych osobowych wymaga wdrożenia odpowiednich środków technicznych i organizacyjnych, by zapewnić spełnienie wymogów niniejszego rozporządzenia. Aby móc wykazać przestrzeganie niniejszego rozporządzenia, administrator powinien przyjąć wewnętrzne polityki i wdrożyć środki, które są zgodne w szczególności z zasadą uwzględniania ochrony danych w fazie projektowania oraz z zasadą domyślnej ochrony danych. Takie środki mogą polegać m.in. na minimalizacji przetwarzania danych osobowych, jak najszybszej pseudonimizacji danych osobowych, przejrzystości co do funkcji i przetwarzania danych osobowych, umożliwieniu osobie, której dane dotyczą, monitorowania przetwarzania danych, umożliwieniu administratorowi tworzenia i doskonalenia zabezpieczeń. Jeżeli opracowywane, projektowane, wybierane i użytkowane są aplikacje, usługi i produkty, które opierają się na przetwarzaniu danych osobowych albo przetwarzają dane osobowe w celu realizacji swojego zadania, należy zachęcać wytwórców tych produktów, usług i aplikacji, by podczas opracowywania i projektowania takich produktów, usług i aplikacji wzięli pod uwagę prawo do ochrony danych osobowych i z należytym uwzględnieniem stanu wiedzy technicznej zapewnili administratorom i podmiotom przetwarzającym możliwość wywiązania się ze spoczywających na nich obowiązków ochrony danych. Zasadę uwzględniania ochrony danych w fazie projektowania i zasadę domyślnej ochrony danych należy też brać pod uwagę w przetargach publicznych.

(83)W celu zachowania bezpieczeństwa i zapobiegania przetwarzaniu niezgodnemu z niniejszym rozporządzeniem administrator lub podmiot przetwarzający powinni oszacować ryzyko właściwe dla przetwarzania oraz wdrożyć środki – takie jak szyfrowanie – minimalizujące to ryzyko. Środki takie powinny zapewnić odpowiedni poziom bezpieczeństwa, w tym poufność, oraz uwzględniać stan wiedzy technicznej oraz koszty ich wdrożenia w stosunku do ryzyka i charakteru danych osobowych podlegających ochronie. Oceniając ryzyko w zakresie bezpieczeństwa danych, należy wziąć pod uwagę ryzyko związane z przetwarzaniem danych osobowych – takie jak przypadkowe lub niezgodne z prawem zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dostęp do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych – i mogące w szczególności prowadzić do uszczerbku fizycznego, szkód majątkowych lub niemajątkowych.


  PRZEJDŹ NA FORUM