Uwaga na fałszywe wiadomości o kontroli GIODO!

Uwaga na fałszywe wiadomości o kontroli GIODO!

Na stronie GIODO: http://www.giodo.gov.pl/pl/259/10050 została umieszczona informacja o podejrzanych fałszywych wiadomościach/mailach:

„Dzisiaj wiele kancelarii prawnych otrzymało informację o planowanej kontroli Generalnego Inspektora Ochrony Danych Osobowych. UWAGA – wiadomość nie pochodzi od GIODO! Maile nie zostały wysłane z serwera GIODO. Ostrzegamy przed otwieraniem podejrzanej korespondencji podszywającej się pod GIODO. Niebezpieczna wiadomość zawiera złośliwe oprogramowanie szyfrujące dane na komputerze i żądające opłaty za klucz pozwalający na ich odkodowanie (ransomware). Prosimy więc o zachowanie szczególnej ostrożności w sytuacji, kiedy otrzymacie Państwo taką podejrzaną wiadomość wysłaną z adresu przypominającego adres kancelarii GIODO – nadawcą wiadomości jest bowiem adres kanelaria@giodo.gov.pl. Jednocześnie zaleca się zwiększenie ostrożności w trakcie korzystania z poczty elektronicznej oraz otwierania przesłanych załączników np. z dokumentami MS Office, które mogą zawierać makra JavaScript lub PowerShell, za pomocą których złośliwe oprogramowanie może zostać pobrane.”

w dniu 26-06-2017:

Pragniemy poinformować, że nie tylko kancelarie prawne ale i inne firmy otrzymały takie maile. Chcemy przypomnieć o środkach bezpieczeństwa i o zachowaniu szczególnej ostrożności przy otwieraniu wszelakich załączników oraz przy uruchamiani linków zawartych w mailach z „podejrzanego pochodzenia” nie tylko w wiadomościach służbowych, ale i w prywatnej korespondencji też.

Niepotwierdzone źródła podają, że po uruchomieniu złośliwego oprogramowania z maila, dane na komputerze zostają zaszyfrowane. Sprawcy żądają za kod/hasło do odszyfrowania 200 $.

Rozporządzenie o ochronie danych – wybrane zagadnienia

W związku z planowanymi zmianami w zakresie ochrony danych osobowych chciałabym omówić podstawowe zmiany jakie przyniesie ogólne rozporządzenie o ochronie danych osobowych. Wskaże dodatkowo na różnice i podobieństwa jakie będzie można zaobserwować w kontekście obecnych przepisów związanych z ochroną danych osobowych, a planowanym i zmianami w tym zakresie.

Nowe rozporządzenie unijne zastąpi Dyrektywę 95/46/WE[1] ,która zostaje uchylona z dniem określonym w przepisach ww. rozporządzenia. Jak czytamy dalej z chwilą wejścia w życie rozporządzenia dyrektywa 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002r. w sprawie przetwarzania danych osobowych oraz ochrony prywatności w sektorze komunikacji elektronicznej powinna zostać poddana gruntownemu przeglądowi.

Bazując na tekście rozporządzenia wskaże na podstawowe zmiany. Na wstępie warto jednak zaznaczyć, że nie sposób opisać wszystkich nowości w dzisiejszym wpisie dlatego też postaram się w najbliższym czasie sukcesywnie omawiać kolejne instytucje, które ulegną zmianie w związku z nowymi przepisami.

Poniżej lista zagadnień, które po krótce omówię:

  1. Cechy charakterystyczne zgody
  2. Status i kompetencje inspektora ochrony danych
  3. Współadministratorzy- kiedy można ich powołać?
  4. Rejestr przetwarzania danych osobowych
  5. Problem przetwarzania fotografii
  6. Europejska Rada Ochrony Danych
  7. Ogólne warunki nakładania grzywien administracyjnych- procedura nakładania grzywien administracyjnych, wysokość, podmiot upoważniony do ich nakładania

Jak pisałam już wcześniej w artykule „Reforma ochrony danych osobowych – najważniejsze zagadnienia” rozporządzenie precyzuje warunki jakimi powinna charakteryzować się zgoda jako jedna z przesłanek przetwarzania danych osobowych. Precyzując. Do najważniejszych cech zgody zgodnie z przedmiotowym rozporządzeniem należy zakwalifikować:

  • zgoda powinna być udzielona za pomocą klarownej, potwierdzającej czynności, która wyraża dobrowolne, konkretne, świadome i jednoznaczne przyzwolenie podmiotu danych na przetwarzanie dotyczących go danych osobowych i która ma np. formę pisemnego (w tym elektronicznego) lub ustnego oświadczenia
  • jeśli chodzi o milczenie (dorozumianą zgodę) czy też okienka domyślnie zaznaczone lub niepodjęcie czy też zaniechanie działania nie powinny oznaczać zgody
  • zgoda powinna dotyczyć wszystkich czynności przetwarzania dokonywanych w tym samym celu lub w tych samych celach. Jeżeli przetwarzanie służy różnym celom, potrzebna jest zgoda na wszystkie te cele
  • jeżeli natomiast podmiot danych ma udzielić zgody w odpowiedzi na elektroniczne zapytanie, zapytanie takie musi być jasne, zwięzłe i nie zakłócać niepotrzebnie korzystania z usługi, której dotyczy.

Kolejne zagadnienie, które chciałabym omówić to status i kompetencje inspektora ochrony danych. Będzie on odpowiednikiem dotychczas funkcjonującego Administratora Bezpieczeństwa Informacji.

Obok pojęcia inspektora ochrony danych rozporządzenie wskazuje na definicję legalną podmiotu przetwarzającego (odpowiednika procesora z art. 31 ustawy o ochronie danych).

„Jeżeli przetwarzanie ma być dokonywane w imieniu administratora, administrator korzysta z usług wyłącznie takich podmiotów przetwarzających, które dają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie odpowiadało wymogom niniejszego rozporządzenia i chroniło prawa podmiotów danych”

I tak jak wskazano w dalszych przepisach rozporządzenia administrator oraz podmiot przetwarzający dopilnują by inspektor był właściwie i terminowo angażowany we wszystkie sprawy z zakresu ochrony danych osobowych. Warto dodać, że inspektor danych nie może otrzymywać żadnych instrukcji od pracodawcy co do wykonywania tych zadań. Nie może on być odwołany ani też penalizowany przez administratora danych lub podmiot przetwarzający za wypełnianie swoich zadań. Ograniczenie to nie dotyczy natomiast sytuacji kiedy inspektor ochrony danych naruszy przepisy rozporządzenie. Co więcej jak wskazano w przedmiotowym rozporządzeniu inspektor ochrony danych zobowiązany jest to zachowania danych w tajemnicy i poufności co do zakresu wykonywania swoich zadań.

Zadania inspektora ochrony danych

Do zadań inspektora należy w szczególności:

  • informowanie pracowników o zasadach przetwarzania danych osobowych
  • przeprowadzanie szkoleń personelu uczestniczącego w przetwarzaniu danych osobowych
  • prowadzenie konsultacji w sprawach związanych z przetwarzaniem danych osobowych
  • monitorowanie przestrzegania przepisów rozporządzenia
  • współpraca z organem nadzorczym, a także udzielanie porad na żądanie co do oceny skutków pod kątem ochrony danych osobowych.

Obowiązek wyznaczenia inspektora ochrony danych

Kolejne zagadnienie wymagające dłuższej refleksji dotyczy obowiązku wyznaczenia inspektora ochrony danych. I tak jak na gruncie ustawy o ochronie danych osobowych wyznaczenie administratora bezpieczeństwa informacji jest dobrowolne tak i rozporządzenie unijne nie nakłada obowiązku powołania takiej osoby. Niemniej rozporządzenie wskazuje na przypadki, w których powołanie inspektora ochrony danych jest obligatoryjne.

 

  • Pierwsza sytuacja dotyczy przetwarzania dokonywanego przez organ lub podmiot publiczny, z wyjątkiem sądów w ramach sprawowania przez nie wymiaru sprawiedliwości
  • główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania podmiotów danych na dużą skalę. W grę wchodzą tu takie podmioty jak banki, instytucje finansowe, zakłady ubezpieczeń, firmy marketingowe.
  • główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę danych osobowych szczególnych kategorii oraz danych o wyrokach skazujących za przestępstwa. Dobrym przykładem będą tu szpitale czy służby takie jak policja.

 

Z uwagi na liczne pytania jakie trafiają do redakcji naszego bloga warto zauważyć, że rozporządzenie precyzuje również kwestie związane z przetwarzaniem fotografii. Jak wskazano przetwarzanie fotografii nie będzie zawsze newralgiczne, gdyż fotografie będą podlegać definicji „danych biometrycznych” i tylko wtedy, gdy będą przetwarzane specjalnymi metodami technicznymi, umożliwiającymi jednoznaczną identyfikację osoby fizycznej lub potwierdzenie jej tożsamości. Poniżej przedstawię definicję legalną danych biometrycznej przyjętą na gruncie rozporządzenia:

Dane biometryczne oznaczają wszelkie dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych, lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikacją tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne”

Pewnym novum na gruncie ogólnego rozporządzenia jest instytucja współadministratorów. Jak czytamy w pierwszych słowach rozporządzenia za współadministratorów uważa się tych administratorów danych, którzy wspólnie ustalają cele i sposoby przetwarzania danych osobowych. W drodze wspólnych uzgodnień w przejrzysty sposób określają podział zadań w zakresie wypełniania obowiązków wynikających z niniejszego rozporządzenia. Muszę przyznać, że nie do końca jestem przekonana co do tego rozwiązania. W praktyce mogą pojawić się problemy np. do kogo osoba, której dane dotyczą, ma zwrócić się w związku z prawem do skorzystania z szeroko rozumianym prawem do informacji.

Jeśli jesteśmy już przy omawianiu zmian w kontekście administratorów danych to warto zauważyć, że za jakiś czas każdy administrator danych będzie zobowiązany do prowadzenia rejestru przetwarzania danych osobowych. W rejestrze tym znajdować się będą takie informacje jak: imię, nazwisko, nazwa, dane kontaktowe administratora oraz wszystkich współadministratorów, cele przetwarzania, opis kategorii podmiotów danych oraz kategorii danych osobowych, kategorię odbiorców w stosownym przypadku informacji o przekazaniu danych do państwa trzeciego lub organizacji międzynarodowej, w miarę możliwości planowane terminu usunięcia poszczególnych kategorii danych, w miarę możliwości ogólny opis technicznych i organizacyjnych środków bezpieczeństwa. Jak widać pewne tożsame elementy możemy znaleźć w jawnym rejestrze zbiorów danych osobowych prowadzonym przez ABI.

Po pierwsze rejestr przetwarzania danych osobowych zobowiązane będą prowadzić podmioty zatrudniające więcej niż 250 osób. Bez względu na liczbę zatrudnionych podmiot przetwarzający dane zobowiązany będzie do prowadzenia rejestru kiedy może to nieść zagrożenia dla praw i wolności podmiotu danych, przetwarzanie nie ma charakteru sporadycznego i nie obejmuje przetwarzania danych szczególnych kategorii. Dodatkowo na wniosek organu nadzorczego administrator lub podmiot przetwarzający zobowiązani są udostępnić mu taki rejestr. Co warto dodać rejestr taki będzie mógł być prowadzony zarówno w wersji papierowej jak i elektronicznej.

Skupmy się teraz na nowym organie jakim będzie Europejska Rada Ochrony Danych. Zgodnie z przepisami rozporządzenia podmiot ten posiadać będzie osobowość prawną. Powinien być także niezależnym organem Unii. Do głównych zadań Europejskiej Rady Ochrony Danych należeć będzie w szczególności zapewnienie spójnego stosowania rozporządzenia poprzez szereg działań określonych w art. 66 rozporządzenia (doradztwo Komisji w sprawach związanych z ochroną danych osobowych, opracowywanie wytycznych, zaleceń, opinii co do tego jak z ogólnodostępnych usług łączności usuwać łącza do danych osobowych, opracowuje kryteria profilowania czy wskazuje na wytyczne w kontekście wymierzania grzywien administracyjnych). Europejską Radę Ochrony Danych powinien reprezentować jej przewodniczący. Zastąpi ona  Grupę Roboczą ds. Ochrony Osób Fizycznych w zakresie Przetwarzania Danych Osobowych, powołaną na mocy dyrektywy 95/46/WE. W jej skład powinni wchodzić szefowie organów nadzorczych wszystkich państw członkowskich oraz Europejski Inspektor Ochrony Danych lub ich przedstawiciele. W jej działaniach Komisja powinna uczestniczyć bez prawa głosu, a Europejski Inspektor Ochrony Danych – bez prawa głosu w niektórych sprawach. Co warto zauważyć, Europejska Rada Ochrony Danych sporządzać będzie roczne sprawozdania na temat ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w Unii , w jeśli zajdzie taka potrzeba również w przypadku państw trzecich czy też organizacji międzynarodowych.

Rozdział VII zatytułowany „Środki ochrony prawnej, odpowiedzialność prawna i sankcje” wskazuje, że grzywny administracyjne stosowane przez organy nadzorcze muszą spełniać kilka warunków. Po pierwsze muszą być skuteczne, proporcjonalne i odstraszające. Rozporządzenie wskazuje inne kwoty dla przedsiębiorstw, a także inne z uwagi na charakter popełnionego czynu. I tak:

Za naruszenie:

  • obowiązku administratora i podmiotu przetwarzającego w kwestii praw osób, których dane dotyczą, przetwarzania danych wrażliwych, rejestrowania czynności przetwarzania danych osobowych- grozi grzywna administracyjna sięgająca 10 000 000 EURO, a w przypadku przedsiębiorstw- sięgającej 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego

Za naruszenie:

  • podstawowych zasad przetwarzania danych osobowych w tym warunków zgody
  • nieprzestrzeganie nakazu, tymczasowego lub ostatecznego ograniczenia przetwarzania lub zawieszenia przepływu danych
  • przekazywanie danych osobowych odbiorcy w państwie trzecim lub organizacji międzynarodowe

– grozi grzywna administracyjna sięgająca 20 000 000 EURO, a w przypadku przedsiębiorstwa- sięgającej 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego

 

Należy podkreślić, że grzywny administracyjne zastąpią odpowiedzialność karną. Jak widać kary administracyjne są bardzo wysokie i z pewnością zmobilizują podmioty przetwarzające dane osobowe do większej dyscypliny w zakresie ochrony danych osobowych. Jak wskazano kary administracyjne będą nakładane oprócz lub zamiast środków szczegółowo określonych w przepisach rozporządzenia. Kary te będą nakładane za wykryte w kontrolowanym podmiocie uchybienia, a nie jak dotychczas jedynie w celu zapewnienia wykonania decyzji administracyjnej (grzywna w celu przymuszenia).

 

Jak widać rozporządzenie ogólne w sprawie ochrony danych przyniesie dużo istotnych zmian. Wskazałam tylko część z nich. Co prawda data wejścia w życie rozporządzenia jest jeszcze odległa, ale skala zmian jakie pojawią się w przyszłości już wywołuje lawinę pytań i wątpliwości nie tylko wśród firm specjalizujących się w ochronie danych osobowych. Do ożywionej dyskusji włączyli się nie tylko praktycy, ale również teoretycy prawa. Organizacje pozarządowe również nie pozostają obojętne na proponowaną treść rozporządzenia. Główne wątpliwości odnoszą się do zagrożeń prywatności.

[1] Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych, Dziennik Urzędowy L 281 , 23/11/1995 P. 0031 – 0050

Reforma ochrony danych osobowych – najważniejsze zagadnienia

Reforma ochrony danych osobowych staje się coraz bardziej aktualnym tematem. W dniu 18 września bieżącego roku odbyła się konferencja pod patronatem Generalnego Inspektora Ochrony Danych Osobowych „Nowe ramy ochrony danych w UE. Wyzwania dla Polski”. Podczas spotkania debatowano nad wpływem nowego unijnego rozporządzenia na porządek prawny funkcjonujący w Polsce. Wiele czynników wpłynęło na konieczność stworzenia nowej regulacji w zakresie ochrony danych osobowych. Przed szereg wysuwa się postulat dostosowania przepisów do obecnych sposobów przetwarzania danych, a w szczególności nowych technologii i ujednolicenia norm prawnych w krajach członkowskich Unii Europejskiej.

Przedsiębiorcy, przedstawiciele nauki, instytucji publicznych zastanawiali się czy Polska jest gotowa na przyjęcie tak istotnych zmian. Jakie działania musi podjąć aby reforma ochrony danych osobowych została wprowadzona. Kluczowe zagadnienia jakie poruszono podczas debaty to:

  1. Możliwość nakładania kar finansowych przez organy ds. ochrony danych osobowych
  2. Kompetencje nowego organu jakim będzie Europejska Rada Ochrony Danych
  3. Koncepcja zgody na gruncie nowego rozporządzenia :
  • Zgoda w dalszym ciągu będzie równorzędną przesłanką przetwarzania danych w odniesieniu do innych podstaw przetwarzania,
  • Zgoda na gruncie nowego rozporządzenia dla swojej ważności powinna być wyrażona w sposób swobodny, świadomy i wyraźny
  • Nie jest jednoznaczne czy zgoda będzie mogła obejmować wiele celów
  • Zgoda w każdej chwili może być odwołana
  • Zgoda nie może być uznana za swobodnie wyrażoną, jeśli pomiędzy stronami istniała znacząca nierównowaga
  1. Mechanizm one-stop-shop. Procedura one-stop-shop stosowana przez państwa członkowskie wskazywana była i jest jako możliwość przedstawiania wniosków/skarg do lokalnych organów ds. ochrony danych osobowych przez obywateli w ojczystym języku.
  2. Kwestia profilowania. Z profilowaniem wiąże się poważne zagrożenie – ryzyko związane z marginesem błędu tzn. przygotowany profil określonej osoby w oparciu o pozyskane informacje może być niezgodny ze stanem faktycznym. Jako przykład takiej sytuacji można wskazać sytuacje kiedy zamieścimy w Internecie zdjęcie z papierosem to może powstać już profil naszej osoby jako palacza, co oczywiście nie zawsze będzie zgodne z prawdą. Próbą zdefiniowania pojęcia profilowania zajął się Parlament Europejski. Wskazał on, że profilowanie to automatyczny proces, który ma na celu ochronę, analizę lub przewidzenie zachowania lub cechy danej osoby.
  3. Rola Inspektora Ochrony Danych – odpowiednik Administratora Bezpieczeństwa Informacji, zwany także oficerem ochrony danych. W pewnych okolicznościach organizacja będzie miało obowiązek wyznaczenia takiej osoby np. w sytuacji jeżeli będzie zatrudniała określoną ilość osób. Dodatkowo, rozporządzenie zakłada między innymi niezależność takiej osoby oraz kadencyjność.
  4. Pozycja GIODO w świetle nowego rozporządzenia – GIODO powinien mieć zapewnioną możliwość selekcji skarg. Powinien efektywnie kontrolować stosowanie nowych przepisów w zakresie ochrony danych osobowych. Nie jest jednak jednoznaczne czy rozporządzenie wprowadzi kadencyjność inspektora ochrony danych. Obecnie są jeszcze negocjowane inne obowiązki inspektora ochrony danych np. możliwość wykonywania dodatkowych obowiązków, takich jak aktywnie uczestniczenie w dokonywaniu Privacy Impact Assesment (ocena skutków przedsięwzięcia dla prywatności).
  5. Risk Based Approach – to zasada przetwarzania danych związana dokonaniem samooceny w zakresie ochrony danych osobowych. Administrator danych dokonuje każdorazowo samodzielnie oceny, jakie dane przetwarza. Klasyfikacje są różne. Podstawowa klasyfikacja odnosi się do tego czy przetwarzane są dane zwykłe czy wrażliwe. Art. 33 projektu rozporządzenia dookreśla, jakiego rodzaju przetwarzanie danych może nieść duże zagrożenie (np. dyskryminacja, kradzież tożsamości). Administrator danych powinien każdorazowo ocenić, jak duże jest zagrożenie przy przetwarzaniu danych.
  6. Kwestia egzekwowania prawa opiera się na trzech kluczowych elementach:
  • Możliwości nakładania kar finansowych
  • Wzmożonej współpracy między organami kontrolnymi
  • Zwiększenia odpowiedzialności administratorów danych

Fundacje i organizacje pozarządowe również przedstawiły swoje opinie w kontekście nowego unijnego rozporządzenia. Fundacja Panoptykon we współpracy z European Digital Rights, Access Now i Privacy International przygotowała zestawienie najważniejszych zagadnień, które powinny znaleźć się w nowym europejskim prawie.

W pierwszych słowach czytamy, że ochrona danych osobowych jest fundamentalną zasadą, która powinna być respektowana przez każdego. Co więcej, każda osoba ma prawo do ochrony danych osobowych oraz powinna mieć zapewnioną możliwość uzyskania informacji kto zbiera dane osobowe, gdzie są gromadzone, dla jakich celów i w jakim czasie. W grę wchodzi zatem rekomendacja obszernego obowiązku informacyjnego.

Fundacja skupiła się także nad problemem profilowania. Istniejąca w polskim prawie regulacja profilowania (w tym zakresie można wskazać art. 26a ustawy o ochronie danych osobowych dotyczący „ostatecznego rozstrzygnięcia indywidualnej sprawy osoby, której dane dotyczą, jeżeli jego treść jest wyłącznie wynikiem operacji na danych osobowych, prowadzonych w systemie informatycznym”) ogranicza się do ostatniego etapu, zakazując w pełni automatycznego podejmowania decyzji w oparciu o analizę danych. Projekt Komisji opiera się na podobnej logice – reguluje jedynie „środki oparte o profilowanie”, czyli ostatni etap podejmowania decyzji. Ważne jest to, że ludzka interwencja nie jest wymagana jeśli profilowanie jest oparte o przepis prawa. Fundacja wskazała, że z procesem profilowania wiąże się nieubłaganie problem dyskryminacji. W jednym z wystąpień Rzecznik Praw Obywatelskich stwierdził, iż profilowanie jednostki w oparciu o dane jej dotyczące jest obecnie uznane za proces, który może wpływać na pojawianie się zjawiska segregacji społecznej i przez to ograniczać prawa niektórych podmiotów biorących udział w życiu społecznym[1].

Fundacja rekomenduje poddanie ponownemu przeglądowi postanowień rozporządzenia odnoszących się do transferu danych w związku z wydaniem wyroku unieważniającego program Safe Harbour. Przed szereg wysunęła postulat zapewniania skutecznej ochrony danych osobowych. Państwa członkowskie Unii Europejskiej muszą na nowo określić warunki współpracy. W grę wchodzą wiec inne sposoby legalizacji transferu danych. Na podstawie polskiej ustawy o ochronie danych osobowych mogą to być standardowe klauzule umowne czy wiążące reguły korporacyjne.

Jak widać reforma ochrony danych wywołuje ogromne zainteresowanie nie tylko wśród środowisk prawniczych. Jest to ważki problem, który w pełni zasługuje na przemyślenia i dogłębną analizę. Nowa, kompleksowa regulacja w zakresie ochrony danych osobowych ma w mojej ocenie dwa główne cele. Po pierwsze w sposób odpowiedni powinna zabezpieczać dane osobowe, nakładając na podmioty przetwarzające dane osobowe niezbędne obowiązki. Po drugie powinna podjąć próbę „nadążenia” nad postępem technologicznym w zakresie przetwarzania danych. Dodatkowo, organy ochrony danych osobowych powinny mieć możliwość skutecznego nadzoru nad podmiotami przetwarzającymi dane osobowe i mieć narzędzia, aby przymusić do stosowania przyjętych regulacji. Z drugiej zaś strony przepisy powinny dać się stosować nie utrudniając nadmiernie biznesowego wykorzystania danych osobowych. Dopiero po spełnieniu powyższych założeń będziemy mogli mówić o stworzeniu skutecznego akty prawnego regulującego przetwarzanie danych osobowych.

[1] Wystąpienie prof. Ireny Lipowicz do Ministra Pracy i Polityki Społecznej w sprawie ochrony danych osobowych podczas profilowania pomocy dla bezrobotnych z dnia 23 marca 2015 r.