14 lut

Czy w jednostce wojskowej obowiązuje ochrona danych osobowych?

Ustawa o obronie ojczyzny wyłącza stosowanie przepisów RODO, w zakresie odnoszącym się do działań na rzecz obronności. W praktyce często słyszę, że w wojsku ochrona danych osobowych nie obowiązuje, skoro jest wyłączone spod przepisów RODO. I jest to całkowicie mylne stwierdzenie, które prowadzi jedynie do wniosku, że osoby, które tak twierdzą, kompletnie nie znają przepisów pod rygorami, których muszą działać.

Oczywiście, że mamy przepisy szczególne, które wyłączają stosowanie RODO. Odnosi się to w szczególności do przetwarzania danych osobowych na potrzeby zapobiegania i zwalczania przestępczości, ochrony informacji niejawnych, czy przetwarzania danych przez sądy. W każdym z tych przypadków wyłączenie stosowania przepisów RODO, oznacza jedynie, że zasady ochrony tych danych regulują przepisy szczególne. Świetnym przykładem są informacje niejawne, które z oczywistych względów nie mogą podlegać przepisom RODO, ale jednocześnie można stwierdzić, że ich ochrona jest o wiele bardziej rygorystyczna, niż danych osobowych. A zasady tej ochrony wynikają z ustawy o ochronie informacji niejawnych. Czyli przepis szczególny w tym wypadku wyłączył stosowanie RODO, ustanawiając własne zasady ochrony danych osobowych.

Read More
30 sty

Kiedy otrzymam odpowiedź na zgłoszenie naruszenia ochrony danych do PUODO?

Odpowiedź jest bardzo prosta: nigdy. Zgłoszenie naruszenia jest czynnością techniczną, na którą Prezes UODO nie ma obowiązku odpowiadać. Jedyną informacją zwrotną może być urzędowe poświadczenie odbioru, jeśli przekazałeś zgłoszenie drogą elektroniczną. Wynika to z faktu, że zgłoszenie naruszenia nie odbywa się w trybie Kodeksu Postępowania Administracyjnego [KPA], tzn. nie powoduje wszczęcia postępowania z urzędu. Jest to bardzo ważne, bo postępowania wiążą się z określonym formalizmem, także w zakresie dotrzymania przez strony postępowania określonych terminów. Szczerze mówiąc – przy aktualnych zasobach i braku automatyzacji procesu analizy naruszeń, konieczność wszczynania postępowań administracyjnych doprowadziłaby do totalnego paraliżu Urzędu Ochrony Danych Osobowych.

Read More
30 gru

Czy przekazanie danych do zniszczenia, wymaga ich powierzenia?

Na początku uspokoję wszystkich, którzy pytają się, czy u mnie wszystko w porządku. Tak, po prostu listopad był jak armagedon, a w grudniu poszłam na urlop. Prawdziwy urlop, bez komputera oraz telefonu. W efekcie zniknęłam na prawie dwa miesiące z Internetu (bloga, mediów społecznościowcy).

A wracając do kwestii niszczenia dokumentów – jest to coraz popularniejsza usługa. Firmy niszczące dokumenty zazwyczaj pracują w oparciu o proste zlecenie na jednostronnym formularzu, w którym określa się ilość (masę, liczbę stron, rodzaje nośników, itp.) do zniszczenia, a także sposób potwierdzenia zniszczenia dokumentów. Po wykonaniu usługi, klient otrzymuje certyfikat zniszczenia dokumentów. Czasami usługa jest świadczona w biurze klienta – dla odpowiedzi na pytanie, jak mają się przepisy RODO do procesu niszczenia dokumentacji, miejsce wykonania usługi nie ma znaczenia.

Niszczenie danych osobowych jest przetwarzaniem danych, w rozumieniu definicji przetwarzania z art. 4 RODO. Tym samym jeżeli administrator niszczy dokumenty, dokonuje ich przetwarzania. Jeżeli przetwarzanie danych (niszczenie) będzie wykonywać inny podmiot, będzie to przetwarzanie danych na polecenie administratora w rozumieniu art. 28 RODO. Oznacza to, że jak najbardziej, zlecenie niszczenia dokumentów, wymaga zawarcia umowy powierzenia danych. Czasami w ramach świadczenia usług, firma niszcząca dokumenty zapewnia też, tzw. bezpieczne pojemniki, w których są gromadzone dokumenty, przekazywane następnie do zniszczenia. W takim wypadku powierzenie danych powinno obejmować także przechowywanie tych danych.

Read More
16 paź

Kiedy sąd powinien zgłosić do PUODO naruszenie ochrony danych osobowych?

Ustawa o sądach powszechnych wprowadziła sporo zamieszania poprzez wyróżnienie w sądach kilku administratorów. Dodatkową trudność stanowią przepisy o ochronie danych osobowych, które wyłączają spod nadzoru przetwarznie realizowane przez sądy w ramach sprawowania wymiaru sprawiedliwości. W efekcie pojawia się słuszne pytanie – kiedy i komu sąd powinien zgłaszać naruszenie?

Na szkoleniach często jestem pytana w tym kontekście o zagubienie danych związanych z postępowaniem sądowym (policyjnym, prokuratorskim). Czy takie zdarzenie podlega zgłoszeniu do Prezesa UODO? Przyznaję, że za pierwszym razem, gdy otrzymałam takie pytanie zgłupiałam. W końcu akta sprawy są wyłączone spod przepisów RODO i DODO. Ale z drugiej strony, przecież zdarzenie nie dotyczy samego postępowania, a czynności technicznych związanych z postępowaniem. Często też zwracam uwagę na to, że w przypadku przepisów DODO, art. 3 nie wyłącza całkowicie jego stosowania, a jedynie ogranicza. Zatem tak, zgubienie akt sprawy należy zgłosić do Prezesa UODO. Podobnie jak udostępnienie danych związanych z postępowaniem nieuprawnionej osobie, w związku z niewłaściwym zabezpieczeniem.

W sprawie zabrał ostatnio też głos sam Prezes UODO, publikując opracowanie „Przetwarzanie danych osobowych przez sądy w kontekście zgłaszania naruszeń ochrony danych osobowych”. Jesto ono niestety napisane bardziej jak opinia prawna, niż poradnik. Na szczęście znalazło się tam kilka przykładów, które pomogą Wam ocenić, czy naruszenie wymaga zgłoszenia do Prezesa UODO, a także co zrobić jeśli naruszenie nie podlega zgłoszeniu.

Read More
10 paź

Konsekwencje wyznaczenia IOD z naruszeniem przepisów RODO

Dostaję naprawdę dużo pytań o to, kiedy dochodzi do konfliktu interesów w wyznaczeniu lub realizowaniu zadań przez IOD, a także czy za coś takiego można dostać karę.

Status inspektora określa art. 38 RODO, zgodnie z którym:

  • należy go wyznaczyć na podstawie wiedzy i kwalifikacji
  • musi podlegać tylko i wyłącznie pod najwyższe kierownictwo
  • musi być niezależny i swobodny w swoich działaniach, za które nie może być karany
  • dodatkowe obowiązki może wykonywać tylko wtedy, gdy nie powodują konfliktu interesów.

To są warunki konieczne, które muszą występować łącznie. Jednak w praktyce dostaję dużo sygnałów, że inspektorzy są wyznaczani z naruszeniem art. 38 RODO, zaczynając od „łapanki” wśród personelu (czyli braku odpowiednich kwalifikacji), poprzez wyznaczanie osoby, która ma pełne ręce swojej własnej roboty (konflikt interesów), kończąc na tym, że jest to często osoba, która ma nad sobą jakiegoś kierownika decydującego o sposobie wykonywania przez nią pracy (brak niezależności). Co więcej, często wskazane przeze mnie naruszenia występują łącznie.

I tak, administrator za którekolwiek z nich może otrzymać w najlepszym razie upomnienie, a w ostateczności pieniężną karę administracyjną. I takie działania są już podejmowane przez organy nadzorcze, nie tylko w Polsce. Zresztą o skali problemu niech świadczy to, że Prezes UODO postanowił przeprowadzić szeroką kontrolę sposobu funkcjonowania inspektorów i wykonywania przez nich obowiązków. I myślę, że można się spodziewać w niedalekiej przyszłości informacji o pierwszych karach, za wyznaczenie IOD z konfliktem interesów. We wrześniu 2022 r. niemiecki organ nadzorczy nałożył ponad 500 tys. euro na spółkę właśnie za takie działanie. Okazało się, że IOD był jednocześnie członkiem personelu administratora oraz członkiem najwyższego kierownictwa dwóch spółek, które pełniły funkcje podmiotów przetwarzających dla firmy, w której był inspektorem. W takim układzie nie mogło być mowy o obiektywnym i skutecznym kontrolowaniu podmiotów przetwarzających.

Kiedy administrator może dostać karę związaną z niewłaściwym funkcjonowaniem IOD w jego organizacji? Omówię to na przykładach, aby można było łatwiej zrozumieć:

Read More
22 wrz

Czy PUODO odrzuca skargi na administratorów? #1 Ta od RODO

Kiedyś miałam przyjemność współtworzyć świetny podcast z Łukaszem Wojciechowskim. Wówczas jako „Ci od RODO” omawialiśmy najważniejsze kwestie dotyczące stosowania RODO. Była to forma zamknięta, ale od dłuższego czasu chodziło mi po głowie, aby wrócić do nagrywania. Próbuję swoich sił w nowej formule. Chcę komentować najważniejsze wydarzenia, zmiany w przepisach, decyzje PUODO, okraszone moimi uwagami i przemyśleniami z codziennej pracy. Jeśli format się przyjmie, będę go kontynować. Zatem czekam na konstruktywną krytkę.

Read More