18 Sie

Co zrobić, gdy jesteśmy proszeni o wysłanie danych osobowych przez e-mail

Korzystając z urlopu załatwiam różne sprawy bankowe i urzędowe. I poraża mnie niewiedza pracowników instytucji przetwarzających dane osobowe na dużą skalę. Prawie każda sprawa kończyła się prośbą proszę przysłać brakujące dane e-mailem. Gdy poprosiłam o zapewnienie środka komunikacji, który gwarantuje bezpieczeństwo moich danych, spotykałam się z niezrozumieniem i konsternacją. Jak to? Przecież bezpiecznie, przecież przez e-mail. Jako wisienkę na torcie, dodam że jedna z próśb dotyczyła wysłania wniosku zawierającego bardzo szeroki zakres moich danych w formie podpisanego skanu, na ogólny adres e-mail, w stylu „biuro”. Drogi czytelniku mojego bloga, czy Ty też się z tym spotkałeś? Mówimy o zmianach w przepisach, konieczności ochrony danych osobowych, wyższych karach w związku z RODO, a jednocześnie nikomu nie przyszło do głowy, że przyjęte i stosowane przez szeregowych pracowników rozwiązania łamią wszystkie podstawowe zasady bezpieczeństwa. Jak niska musi być świadomość tych ludzi (pewnie swoje dane także przesyłają w taki sposób). Read More

02 Sie

Pozyskiwanie zgody na przetwarzanie danych osobowych – najczęstsze błędy

Kto chociaż raz zetknął się z zagadnieniem pozyskiwania zgody wie, że temat jest tylko pozornie łatwy. W praktyce ten proces budzi wiele wątpliwości zaczynając od formy pozyskania, na treści zgody kończąc.

Definicja zgody na przetwarzanie danych osobowych

Ustawa o ochronie danych osobowych: Zgoda osoby, której dane dotyczą (podmiotu danych), to oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści; zgoda może być odwołana w każdym czasie.

Ogólne rozporządzenie o ochronie danych osobowych:  zgoda osoby, której dane dotyczą oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych

Zgodnie z motywem 40 preambuły RODO:  Aby przetwarzanie danych było zgodne z prawem, powinno się odbywać na podstawie zgody osoby, której dane dotyczą, lub na innej uzasadnionej podstawie przewidzianej prawem: albo w niniejszym rozporządzeniu, albo w innym akcie prawnym Unii lub w prawie państwa członkowskiego, o których mowa w niniejszym rozporządzeniu, w tym musi się ono odbywać z poszanowaniem obowiązku prawnego, któremu podlega administrator, lub z poszanowaniem umowy, której stroną jest osoba, której dane dotyczą, lub w celu podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy.

Mówiąc krótko, zgoda nie zawsze jest konieczna. Pisałam o tym szerzej tutaj. http://sylwiaczub.pl/pytanie-czy-zawsze-konieczna-jest-zgoda/

Brak dowodu pozyskania zgody

Zgoda jest oświadczeniem woli, może być wyrażona w dowolny sposób. Jednakże to na administratorze danych spoczywa obowiązek udowodnienia, że uzyskał zgodę. Read More

26 Lip

Czy do pełnomocnictwa dla kuriera w celu odbioru zagranicznej paczki trzeba dołączyć kopię dowodu osobistego?

Ostatnio kilka osób zwróciło się do mnie z pytaniem, czy żądanie przez firmy kurierskie kopii dowodu osobistego, aby odebrać paczkę zatrzymaną przez urząd celny, jest zasadne. Co pozytywne, nie przekonało ich, że w oficjalnych procedurach oraz formularzach pełnomocnictwa dla kurierów, jest napisane, że kopia dowodu jest konieczna. Gdy zwracali się do firmy kurierskiej z prośbą o uzasadnienie, dowiadywali się że taka jest procedura po stronie urzędu celnego. Postanowiłam sprawdzić, jak jest i jak być powinno, bo jestem ogromną przeciwniczką nagminnego kopiowania dowodów osobistych przez różne podmioty.

Samo pełnomocnictwo jest oświadczeniem woli osoby, która umocowuję inną osobę do wykonywania w jej imieniu określonych czynności. W niektórych sytuacjach dopuszczalne jest pełnomocnictwo ustne, jednakże zazwyczaj wymagane jest pisemne. Pełnomocnictwo powinno określać strony, tzn. tego kto je nadaje oraz tego kto je otrzymuje, w szczególności ich imiona, nazwiska, adresy, PESEL i/lub numer i serię dowodu osobistego. Dokument, na którym złożony jest odręczny podpis nadającego oświadczenie jest ważny bez żadnych dodatkowych dokumentów.  Wobec tego skąd żądanie firm kurierskich w zakresie kopii dowodu? Na początku myślałam, że to ich własny wymysł (kopiowanie dowodów jest modne), jednakże po konsultacji z jedną z firm, dowiedziałam się, że taką otrzymali informację bezpośrednio z urzędów celnych. Read More

13 Lip

Inspektor Ochrony Danych – czy będzie praca?

Wiem, że niecierpliwie czekacie na kolejne wpisy. Dłuższe odstępy między nowymi artykułami to nie efekt mojego lenistwa, tylko lawiny pracy i artykułów (w tym jednego bardzo ciekawego, naukowego, który ukaże się jesienią). Powtarzałam to i będę powtarzać, że w tej branży, dla ludzi pracowitych i zdolny, jest praca i dobre zarobki. Jeżeli interesuje Was ta tematyka ochrony danych osobowych, bezpieczeństwa informacji, ciągłości działania, cyberbezpieczeństwa, naprawdę polecam Wam profesjonalizację w kierunku wykonywania zawodu Inspektora Ochrony Danych. Opierając się na własnych doświadczeniu, mogę Wam powiedzieć, że na rynku jest bardzo mało dobrych specjalistów zajmujących się tematyką ochrony danych osobowych, a znalezienie dobrego administratora bezpieczeństwa informacji, który docelowo będzie ustawowym inspektorem ochrony danych graniczy z cudem. Ja sama współpracuję z trzema specjalistami w tej dziedzinie, gdyż potencjalnych klientów jest tak dużo, że nie jestem w stanie sama zrealizować zleceń, a nie chcę zostawiać ich z niczym. Read More

28 Cze

Oświadczenie dotyczące książki rzekomo mojego autorstwa

Być może powinnam traktować to jako symbol sukcesu mojej książki „Ochrona danych osobowych w bibliotece”, jednakże i tak jest mi niezmiernie przykro, że wydawnictwo Medialex,  wydało bez mojej zgody i wiedzy, książkę „Dane osobowe w ośrodkach pomocy społecznej”, tytułując mnie jej autorką. Po interwencji udało się doprowadzić do usunięcia książki z obrotu, jednakże niesmak pozostał.

Książka stanowi luźną interpretację treści przygotowanej przeze mnie pod kątem obowiązków ochrony danych osobowych w bibliotece, przerobioną w sposób, mający rzekomo odpowiadać wymaganiom przepisów o ochronie danych osobowych, które mają spełnić ośrodki pomocy społecznej. Ponieważ trafił do mnie jeden egzemplarz, mogę stwierdzić, że niestety były to zabiegi nieudane, które sprawiły, że książka pod wieloma względami wprowadza w błąd (po przeróbkach znalazły się tam rozbieżności w definicjach, a treści, które były istotne, ale nie dało się ich „przerobić” po prostu zostały wycięte). W mojej ocenie książka wprowadza w błąd, a administrator danych, który będzie próbował na jej podstawie wdrożyć dokumentację bezpieczeństwa, nie zrobi tego poprawnie, chociażby dlatego, że zabrakło (najważniejszej!) identyfikacji zasobów chronionych, która jest niezbędna do wypełniania obowiązku zapewnienia rozliczalności danych (o rejestrze czynności przetwarzania, powierzaniu, czy udostępnianiu danych już nie wspomnę).

Pragnę podkreślić, że książka „Dane osobowe w ośrodkach pomocy społecznej” jest bezprawnym wykorzystaniem mojego dzieła, stanowi naruszenie moich praw autorskich i nie biorę żadnej odpowiedzialności za jej treść oraz ewentualne negatywne konsekwencje wynikające z jej zastosowania. Cała treść mojego rzekomego autorstwa stanowi plagiat innej książki, w którym wydawca zastosował nieautoryzowane zmiany.

 

25 Cze

Kiedy zwycięzca konkursu musi podać PESEL w celu odbioru nagrody

Wracam do Was po urlopie z typowo wakacyjnym tematem,  w końcu jest to idealny czas na robienie konkursów! Tym razem parę rad dla organizatorów konkursów, w zakresie tego, jakie dane należy zbierać.

Zakres danych zbieranych od uczestnika konkursu powinien być adekwatny i uzasadniony do celu przetwarzania. Co do zasady organizator konkursu nie powinien od razu prosić uczestników o wszystkie dane, niezbędne nie tylko do realizacji konkursu, ale także do wydania nagród. Trudno uzasadnić zbieranie danych adresowych wszystkich uczestników, jeżeli nagrody zostaną wysłane tylko do laureatów. W związku z tym, organizując konkurs, należałoby: Read More

08 Cze

Czym są standardy kontroli zarządczej?

Ponownie gościnie, publikuję artykuł Łukasza Wojciechowskiego (Statuo.pl) na temat kontroli zarządczej. Moim zdaniem tekst bardzo dobry, konkretny i pomocny.  Łukasz jest świetnym wykładowcą i trenerem, z którym miałam przyjemność współpracować, a czytelnikom mojego bloga oferuje 10% zniżki na wszystkie usługi (w tym szkolenia z kontroli zarządczej). Wystarczy podać informację, że poleciłam Wam kontakt 🙂

Autor: Łukasz Wojciechowski

Osoby odpowiedzialne za kontrolę zarządczą często zadają sobie pytanie – czego oni tak naprawdę od nas chcą? Trudno się dziwić. Opisywałem już błędy podczas wprowadzania (narzucania podmiotom) mechanizmów kontroli zarządczej w artykule Kontrola zarządcza – fakty i mity. Nie wszyscy wiedzą, że 16.09.2009 r. Minister Finansów określił w specjalnym komunikacie tzw. standardy kontroli zarządczej. Warto zwrócić uwagę na ten dokument i się z nim zapoznać. W tekście omówię jego najważniejsze elementy. Read More

26 Maj

Organizowanie konkursów – kompleksowe omówienie, nie tylko w kontekście RODO

Konkursy to jedna z najpopularniejszych metod na promocję podmiotu lub marki. Konkursy często robione są „na szybko”, co może pociągać za sobą negatywne konsekwencje dla organizatora, jeżeli nie zabezpieczył właściwie swojego interesu. Omówię organizowanie w kontekście szerszym niż ogólne rozporządzenie o ochronie danych osobowych (RODO), mając nadzieję, że będzie to dla Was bardziej wartościowe i łatwiejsze do wykorzystania, gdyż kompleksowe.

Konkurs czy loteria?

Mówiłam o pułapkach, pierwszą z nich jest organizowanie konkursu, który w praktyce okazuje się loterią. Bardzo ciekawy artykuł na ten temat, szeroko omawiający zagadnienie, jest tutaj. Ja natomiast powiem krótko: Konkurs wyróżnia to, że jego uczestnicy muszą wykazać się obiektywnie ocenionymi umiejętnościami, które można uznać za najlepsze (a tym samym nagrodzić w konkursie). Konkurs, w którym wszyscy wygrywają albo losuje się nagrody z dostępnej puli, nie jest konkursem tylko loterią. Loteria nie jest niczym złym, jednakże wymaga dopełnienia większej liczby formalności (zgłoszenie organom celnym), których niedopełnienie może pociągać nieprzyjemne konsekwencje, w szczególności kary finansowe. Read More

15 Maj

RODO: nowe obowiązki informacyjne wobec podmiotu danych

Wraz z wejściem unijnych przepisów rozszerza się katalog praw osób, których dane dotyczą (podmiotów danych). Przede wszystkim RODO podkreśla prawo do przejrzystego i jasnego komunikowania o zasadach przetwarzania danych. Poza tym podmiot danych może w każdej chwili żądać wyczerpujących informacji na temat przetwarzania swoich danych, ich sprostowania, usunięcia (o ile nie stoi to w sprzeczności z przepisami prawa), zaprzestania przetwarzania (jeżeli jest to uzasadnione), przeniesienia lub ograniczenia przetwarzania. Administrator danych ma obowiązek w momencie pozyskiwania danych wypełnić obowiązek informacyjny wynikający z przepisów o ochronie danych osobowych wobec każdej osoby, której dane pozyskał.

Oznacza to, że obowiązek informacyjny należy wykonać zarówno wtedy, gdy pozyskujemy zgodę na przetwarzanie danych, ale także gdy dane są przetwarzane na podstawie innych przesłanek, np. przepisów prawa, dla dobra publicznego, czy zostały udostępnione ADO. Obowiązek informacyjny można wypełnić poprzez umieszczenie odpowiednich informacji bezpośrednio w treści zgody na przetwarzanie danych, w regulaminie usługi, czy poprzez wysłanie maila. Należy to zrobić tak, aby być w stanie udowodnić, że faktycznie został wypełniony. Read More

10 Maj

RODO: rozszerzona zgoda na przetwarzanie danych osobowych

Ogólne rozporządzenie o ochronie danych osobowych (RODO) kładzie duży nacisk na prawa osób, których dane dotyczą (podmiotów danych). Przede wszystkim wymaga rozszerzenia obowiązku informacyjnego, w taki sposób, aby było od razu wiadomo jak długo będą przetwarzane dane, komu przekazywane i jakie prawa przysługują podmiotowi danych. Obowiązek informacyjny omówię w kolejnym wpisie, na razie skupię się na samym obowiązku i sposobie pozyskiwania zgody na przetwarzanie danych osobowych.

Forma wyrażenia zgody

Sama definicja zgody nie uległa dużej zmianie:  jest to dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych (art. 4 ust. 11 RODO). Pozostawiono możliwość pozyskania ustnej zgody, dodatkowo podkreślono, że może być ona uzyskiwana elektronicznie (np. poprzez zaznaczenie odpowiednich okienek). Należy pamiętać, że w przypadku pozyskiwania zgody w innej formie niż pisemna, to na administratorze danych osobowych będzie ciążył obowiązek udowodnienia, że została ona pozyskana, a nie dorozumiana. RODO określa wprost: Milczenie, okienka domyślnie zaznaczone lub niepodjęcie działania nie powinny oznaczać zgody (ust. 32 preambuły).Takim dowodem może być na przykład film z wydarzenia, przed którym uczestnicy zostaną zapytani o zgodę na przetwarzanie ich danych. Read More