Do pobrania – Sylwia Czub bloguje o danych osobowych

14 lut

Zawiadomienie o naruszeniu – najczęstsze błędy i jak to zrobić prawidłowo

Naruszenie ochrony danych w pewnych okolicznościach wymaga zawiadomienia osoby, której dane dotyczą. Zgodnie z art. 34 RODO, administrator musi przekazać zawiadomienie, jeżeli naruszenie może powodować wysokie ryzyko negatywnych skutków dla osoby, której ono dotyczy. Natomiast ja przy większości naruszeń, niezależnie od oceny ryzyka, rekomenduję dokonać zawiadomienia. Uważam, że rzetelna informacja o tym co się stało, jest ważna. Pozwala zrozumieć na czym polegało zdarzenie, jakie mogą być jego konsekwencje i zapewnić lepszą kontrolę nad danymi. Często też zwracam moim klientom uwagę na to, że przekazanie takiej informacji jest po prostu profesjonalne, tym bardziej, gdy osoba, której dane dotyczą wie o naruszeniu jej danych osobowych (a często tak jest). Po kilku latach doświadczeń w zgłaszaniu naruszeń do Prezesa UODO oraz zawiadamianiu osób, których dane dotyczą, nauczałam się jak to robić prawidłowo (hej, nie udawajcie, że Wy od razu wszystko potraficie i wiedzieliście jak to zrobić).

Zawiadomienie nie jest konieczne, gdy osoba, której dotycz już o nim wie

FAŁSZ. To chyba najczęściej przekazywany mi argument przez różnych administratorów oraz IOD. Osoba, której dotyczy naruszenie wie o nim (najczęściej w nim uczestniczyła), zatem jaki jest sens przekazywania jej zawiadomienia? Sama wiedza o tym, że doszło do naruszenia nie oznacza, że ta osoba, wie jakie mogą być jego negatywne konsekwencje i co może zrobić, aby zminimalizować ryzyko. Zatem nawet w tej sytuacji, trzeba przekazać informacje wymagane art. 34 RODO.

Zawiadomienie nie jest konieczne, gdy naruszenie dotyczy jednej osoby

FAŁSZ. Nie wiem skąd wzięło się przekonanie, że naruszenie musi dotyczyć większej liczby osób, żeby wiązało się z wysokim ryzykiem, a tym samym wymagało zawiadomienia. Nie ma znaczenia, czy naruszenie dotyczy 1 czy 1000 osób. Jeżeli zdarzenie może nieść wysokie ryzyko negatywynych skutków, nawet jeżeli dotyczy tylko jednej osoby, należy poinformować ją o naruszeniu ochrony jej danych.

Wzór skargi do Prezesa UODO

W ostatim czasie coraz częściej zgłaszacie się do mnie w związku z nieprawidłowym przetwrzaniem Waszych danych. Głównie dotyczy to niezgodnego z prawem upublicznienia danych, gdzie administrator uważa, że miał do tego prawo i odmawia podjęcia działań mających na celu przywrócenie stanu zgodnego z przepisami prawa. W związku z tym pytacie jak i kiedy można złożyć skargę na takiego administratora do Prezesa UODO.

W związku z tym postanowiłam udostępnić Wam przykładowy Wzór skargi do Prezesa UODO wraz z omówieniem.

Poniżej też kilka istotnych informacji w formie Q&A:

Kiedy mogę złożyć skargę?

Jeżeli administrator przetwarza Twoje dane niezgodnie z prawem, np. udostępnił je publicznie lub nieuprawnionej osobie, nie zniszczył, nie respektuje Twojego sprzeciwu na przetwarzanie, itp. Istotne jest to, abyś przed złożeniem skargi skontaktował się z administratorem i zażądał od niego przywrócenia stanu zgodnego z prawem, np. poprzez usunięcie Twoich danych. Jeżeli administrator nie odpowiada na żądanie lub odmawia jego realizacji, zgłoś skargę do UODO. Skargę możesz zgłosić także wtedy, gdy na skutek niewystarczających zabezpieczeń wdrożonych przez administratora Twoje dane zostały usunięte, są niedostępne lub zostały wykradzione. Szczególnie jeżeli w wyniku tego działania poniosłeś negatywne skutki.

Co musi zawierać skarga, aby Prezes UODO jej nie odrzucił?

Twoje dane (imię, nazwisko, adres do korespondencji, może też być jakiś kontakt), dane administratora, na którego składasz skargę (nazwa, adres), jak najbardziej szczegółowy opis nieprawidłowości (jeśli możesz dołącz kopię korespondencji, wskaż daty i treści rozmów), informację jakich działań oczekujesz od Prezesa UODO (o tym więcej poniżej). W przypadku wersji wysyłanej pocztą tradycyjną, skarga musi zawierać własnoręczny podpis. Skargę elektroniczną podpisuje się podpisem kwalifikowanym lub ePUAP.

Czego mogę zażądać w skardze?

Większość skarżących prosi o nałożenie kary pieniężnej na administratora 🙂 Jednak UODO niestety nie będzie mogło zrealizować tego żądania – to leży w jego gestii i jest ostatecznym działaniem, podejmowanym po przeprowadzeniu postępowania. Jeżeli nie wskażesz innego żądania, organ może wezwać Cię do uzupełnienia wniosku. Możesz zażądać nakazania przez Prezesa UODO: Read More →

05 wrz

Zgoda na publikację wizerunku na Facebooku i Instagramie

To już trzecia aktualizacja tego wpisu! Jak widać temat jest mocno gorący, a jednocześnie świadomość wzrasta, skoro coraz więcej osób poszukuje wzoru zgody na publikację zdjęcia na Facebooku.

Jest wynikiem zmian, które zaszły w związku z bezwzględnym stosowaniem RODO oraz przystąpieniem przez Facebook oraz Google do Tarczy Prywatności UE-USA. Obie spółki musiały przejść certyfikację, potwierdzającą, że spełniają wymagania RODO. Jest to duże ułatwienie dla podmiotów, które promują się za pośrednictwem tych serwisów.

Publikowanie danych osobowych w postaci wizerunku, imienia, nazwiska, itp. na stronie www, w portalu społecznościowym Facebook, Instagram (analogicznie Google+, YouTube) wymaga zgody osoby, której dane chcemy zamieścić. Zgoda musi być pozyskana w sposób świadomy i pozwalający faktycznie udowodnić, że ktoś ją wyraził.

Wzór sprawozdania ze sprawdzenia zgodności przetwarzania danych z przepisami

Piszecie do mnie ostatnio z prośbą o wzór sprawozdania ze sprawdzenia zgodności z przepisami o ochronie danych osobowych. Prawda jest taka, że jest on już od bardzo dawna na moim blogu, ale po prostu chyba za bardzo ukryty, bo nie możecie do niego dotrzeć.

Przypomnę tylko krótko, że przeprowadzanie regularnych sprawdzeń ze zgodności przetwarzania danych z przepisami, jest obowiązkiem każdego administratora danych osobowych. Jest to podstawa do kontroli zgodności przetwarzania i stosowania odpowiednich środków. Może to być także forma analizy ryzyka i zagrożeń (a konkretne szacowania ryzyka). Gdy został powołany administrator bezpieczeństwa informacji, to jego obowiązkiem jest przeprowadzanie sprawdzeń. Jeżeli ABI nie ma, to sprawdzenia przeprowadza dyrektor/prezes/wojewoda itd. lub wyznaczona do tego przez niego osoba. Z takiego sprawdzenia przeprowadzonego w jednostce, która nie ma ABI wystarczy przygotować notatkę służbową (nie ma w ogóle obowiązku dokumentowania sprawdzenia, jednakże wydaje się to bardzo zasadne). Read More →

25 sie

Jak przygotować plan sprawdzeń

Otrzymuję ostatnio dużo pytań o sposób przygotowania planu sprawdzeń, co powinien zawierać i na jaki okres ma być przygotowany. Read More →

16 cze

Jak przeprowadzić sprawdzenie z zakresu ochrony danych osobowych

Niedawno otrzymałam wiadomość od Pani Barbary, z prośbą o opisanie schematu przeprowadzania audytu wewnętrznego z ochrony danych osobowych w bibliotece. Jak zaplanować, przeprowadzić, a następnie napisać protokół z kontroli.

Mam nadzieję, że moje wskazówki będą pomocne. Read More →

12 sty

Zgoda na publikację wizerunku na stronie biblioteki

Wizerunek jest daną osobową szczególnie chronioną przez przepisy prawa. Z jednej strony jest daną osobową (pozwala zidentyfikować osobę), z drugiej zaliczany jest do dóbr osobistych człowieka (art. 23 Kodeksu Cywilnego). Postępowanie ze zdjęciami określa także ustawa o prawie autorskim i prawach pokrewnych, w rozumieniu, której zdjęcie, jest dziełem, do którego prawa ma twórca.

Wobec tego publikowanie zdjęć na stronie internetowej biblioteki wymaga zgody autora tych zdjęć (art. 81 ustawy o prawie autorskim i prawach pokrewnych – wyjątki omówię w jednym z kolejnych wpisów). A publikowanie zdjęć zawierających wizerunki wymaga dodatkowo zgód wszystkich osób, które zostały utrwalone na zdjęciach. Read More →

03 sty

Powołanie ABI-ego i jego zastępców

Administratora Bezpieczeństwa Informacji oraz jego zastępców powołuje się zarządzeniem dyrektora biblioteki publicznej. Poniżej załączam wzór przykładowego zarządzenia do pobrania i wykorzystywania.

Zarządzenie w sprawie powołanie abi

13 paź

Wzór oświadczenia

Zgodnie z art. 36.2. UODO: Administrator danych prowadzi dokumentację opisującą sposób przetwarzania danych oraz środki, o których mowa w ust. 1 (niniejszej ustawy).

Ustawodawca ma na myśli konieczność wprowadzenia w bibliotece polityki bezpieczeństwa oraz instrukcji zarządzania systemami informatycznymi. Każdy z pracowników powinien zapoznać się z obowiązującymi w bibliotece regulaminami, w tym tymi z zasad przetwarzania i zabezpieczania danych osobowych.

Niektóre biblioteki stosują, jako dokument potwierdzający zapoznanie się z wyżej wymienionymi dokumentami listy, na których muszą podpisać się wszyscy pracownicy. Jest to rozwiązanie, którego nie polecam. Po pierwsze, każdy nowy pracownik będzie musiał podpisać dodatkowe oświadczenie (nie będzie mógł dopisać się do listy, bo istotna jest data złożenia podpisu), co stwarza rozbieżność w dokumentacji. Powstaje też pytanie, gdzie przechowywać listę, a gdzie oświadczenie. Read More →

13 paź

Wzór upoważnienia

Zgodnie z przepisami RODO do przetwarzania danych osobowych mogą być dopuszczone wyłącznie osoby działające z polecenia administratora, a zatem posiadające upoważnienie nadane przez administratora danych.

Upoważnienie musi zawierać dane osoby upoważnionej oraz zakres upoważnienia. Powinno zostać nadane przez administratora danych, czyli w praktyce na upoważnieniu powinien podpisać się dyrektor/kierownik lub osoba wyznaczona przez niego (przez odrębne zarządzenie lub określenie tego zadania w polityce bezpieczeństwa).