18 Sie

Co zrobić, gdy jesteśmy proszeni o wysłanie danych osobowych przez e-mail

Korzystając z urlopu załatwiam różne sprawy bankowe i urzędowe. I poraża mnie niewiedza pracowników instytucji przetwarzających dane osobowe na dużą skalę. Prawie każda sprawa kończyła się prośbą proszę przysłać brakujące dane e-mailem. Gdy poprosiłam o zapewnienie środka komunikacji, który gwarantuje bezpieczeństwo moich danych, spotykałam się z niezrozumieniem i konsternacją. Jak to? Przecież bezpiecznie, przecież przez e-mail. Jako wisienkę na torcie, dodam że jedna z próśb dotyczyła wysłania wniosku zawierającego bardzo szeroki zakres moich danych w formie podpisanego skanu, na ogólny adres e-mail, w stylu „biuro”. Drogi czytelniku mojego bloga, czy Ty też się z tym spotkałeś? Mówimy o zmianach w przepisach, konieczności ochrony danych osobowych, wyższych karach w związku z RODO, a jednocześnie nikomu nie przyszło do głowy, że przyjęte i stosowane przez szeregowych pracowników rozwiązania łamią wszystkie podstawowe zasady bezpieczeństwa. Jak niska musi być świadomość tych ludzi (pewnie swoje dane także przesyłają w taki sposób). Read More

02 Sie

Pozyskiwanie zgody na przetwarzanie danych osobowych – najczęstsze błędy

Kto chociaż raz zetknął się z zagadnieniem pozyskiwania zgody wie, że temat jest tylko pozornie łatwy. W praktyce ten proces budzi wiele wątpliwości zaczynając od formy pozyskania, na treści zgody kończąc.

Definicja zgody na przetwarzanie danych osobowych

Ustawa o ochronie danych osobowych: Zgoda osoby, której dane dotyczą (podmiotu danych), to oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści; zgoda może być odwołana w każdym czasie.

Ogólne rozporządzenie o ochronie danych osobowych:  zgoda osoby, której dane dotyczą oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych

Zgodnie z motywem 40 preambuły RODO:  Aby przetwarzanie danych było zgodne z prawem, powinno się odbywać na podstawie zgody osoby, której dane dotyczą, lub na innej uzasadnionej podstawie przewidzianej prawem: albo w niniejszym rozporządzeniu, albo w innym akcie prawnym Unii lub w prawie państwa członkowskiego, o których mowa w niniejszym rozporządzeniu, w tym musi się ono odbywać z poszanowaniem obowiązku prawnego, któremu podlega administrator, lub z poszanowaniem umowy, której stroną jest osoba, której dane dotyczą, lub w celu podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy.

Mówiąc krótko, zgoda nie zawsze jest konieczna. Pisałam o tym szerzej tutaj. http://sylwiaczub.pl/pytanie-czy-zawsze-konieczna-jest-zgoda/

Brak dowodu pozyskania zgody

Zgoda jest oświadczeniem woli, może być wyrażona w dowolny sposób. Jednakże to na administratorze danych spoczywa obowiązek udowodnienia, że uzyskał zgodę. Read More

15 Maj

RODO: nowe obowiązki informacyjne wobec podmiotu danych

Wraz z wejściem unijnych przepisów rozszerza się katalog praw osób, których dane dotyczą (podmiotów danych). Przede wszystkim RODO podkreśla prawo do przejrzystego i jasnego komunikowania o zasadach przetwarzania danych. Poza tym podmiot danych może w każdej chwili żądać wyczerpujących informacji na temat przetwarzania swoich danych, ich sprostowania, usunięcia (o ile nie stoi to w sprzeczności z przepisami prawa), zaprzestania przetwarzania (jeżeli jest to uzasadnione), przeniesienia lub ograniczenia przetwarzania. Administrator danych ma obowiązek w momencie pozyskiwania danych wypełnić obowiązek informacyjny wynikający z przepisów o ochronie danych osobowych wobec każdej osoby, której dane pozyskał.

Oznacza to, że obowiązek informacyjny należy wykonać zarówno wtedy, gdy pozyskujemy zgodę na przetwarzanie danych, ale także gdy dane są przetwarzane na podstawie innych przesłanek, np. przepisów prawa, dla dobra publicznego, czy zostały udostępnione ADO. Obowiązek informacyjny można wypełnić poprzez umieszczenie odpowiednich informacji bezpośrednio w treści zgody na przetwarzanie danych, w regulaminie usługi, czy poprzez wysłanie maila. Należy to zrobić tak, aby być w stanie udowodnić, że faktycznie został wypełniony. Read More

10 Maj

RODO: rozszerzona zgoda na przetwarzanie danych osobowych

Ogólne rozporządzenie o ochronie danych osobowych (RODO) kładzie duży nacisk na prawa osób, których dane dotyczą (podmiotów danych). Przede wszystkim wymaga rozszerzenia obowiązku informacyjnego, w taki sposób, aby było od razu wiadomo jak długo będą przetwarzane dane, komu przekazywane i jakie prawa przysługują podmiotowi danych. Obowiązek informacyjny omówię w kolejnym wpisie, na razie skupię się na samym obowiązku i sposobie pozyskiwania zgody na przetwarzanie danych osobowych.

Forma wyrażenia zgody

Sama definicja zgody nie uległa dużej zmianie:  jest to dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych (art. 4 ust. 11 RODO). Pozostawiono możliwość pozyskania ustnej zgody, dodatkowo podkreślono, że może być ona uzyskiwana elektronicznie (np. poprzez zaznaczenie odpowiednich okienek). Należy pamiętać, że w przypadku pozyskiwania zgody w innej formie niż pisemna, to na administratorze danych osobowych będzie ciążył obowiązek udowodnienia, że została ona pozyskana, a nie dorozumiana. RODO określa wprost: Milczenie, okienka domyślnie zaznaczone lub niepodjęcie działania nie powinny oznaczać zgody (ust. 32 preambuły).Takim dowodem może być na przykład film z wydarzenia, przed którym uczestnicy zostaną zapytani o zgodę na przetwarzanie ich danych. Read More

29 Mar

Komentarz: Projekt MAiC ustawy o ochronie danych osobowych

Ministerstwo Administracji i Cyfryzacji po przeprowadzeniu konsultacji z GIODO, związkami przedsiębiorców oraz Stowarzyszeniem ABI postanowiło opublikować bardzo wstępny projekt nowej ustawy o ochronie danych osobowych. Warto podkreślić, że nowa ustawa ma na celu doprecyzowanie tych elementów RODO, w których unijny ustawodawca pozostawił swobodę krajom członkowskim. Mówiąc krótko nie jest to transpozycja unijnego przepisu, który obowiązuje nas w opublikowanej treści, a zapewnienie skuteczności normom przewidzianym w RODO. Projekt może jeszcze ulec wielu zmianom, więc nie należy traktować jego treści jako wiążącej, jednakże na pewno ujawnia kierunek, w którym zmierza ustawodawca i pozwala lepiej przygotować się na jego wprowadzenie i późniejsze stosowanie.

Przed przeczytaniem treści ustawy, warto najpierw sięgnąć po bardzo przystępnie napisane wprowadzenie do projektu ustawy. Moim zdaniem po jego przeczytaniu bardzo łatwo przyjdzie przyswojenie treści samego projektu. Jakie zmiany? Read More

08 Mar

Kto musi powołać ABI/IOD?

Aktualna ustawa o ochronie danych osobowych określa, że powołanie ABI (administratora bezpieczeństwa informacji) jest przywilejem administratora danych. Oznacza to, że ma on możliwość, a nie obowiązek powołania ABI. Warto podkreślić, że w podmiotach, które przetwarzają dane na dużą skalę lub przetwarzają dane wrażliwe, ABI zdecydowanie powinien być powołany, bo pomimo że nie ma tego obowiązku, trudno jest wyobrazić sobie, jak taki podmiot będzie w stanie wywiązać się z obowiązku zapewnienia poufności danych bez osoby odpowiedzialnej za nadzór nad procesami przetwarzania.

Powołanie ABI przez podmioty publiczne (urzędy, szpitale, ośrodki pomocy społecznej, itd), banki, operatorów telekomunikacyjnych, agencje badawcze oraz inne podmioty, które przetwarzają dane w szerokim zakresie i na dużą skalę powinno być obligatoryjne już dzisiaj. Jest to kwestia chociażby zaufania do tych podmiotów oraz dawania przez nie gwarancji należytej świadomości i stosowanych środków w celu ochrony danych. Przekazywanie im danych wiąże się z kwestią zaufania w złożone deklaracje. Pomimo, że nie ma obowiązku powołania ABI, zdecydowanie jest to zalecane w tego typu podmiotach.

Nowelizacja przepisów o ochronie danych osobowych wprowadza w miejsce ABI inspektora ochrony danych osobowych (IOD). Jest to rola rozszerzona w stosunku do obecnych obowiązków ABI. Szerzej omówię to w oddzielnym artykule.  Read More

02 Mar

Jak „ugryźć” RODO?

Świadomie od pewnego czasu unikałam szerszego omawiania zagadnienia tematu RODO (unijnego rozporządzenia o ochronie danych osobowych, które od maja 2018 roku zastąpi naszą ustawę o ochronie danych osobowych). Po pierwsze byłam odrobinę ciekawa „jakie szaleństwo narośnie dookoła tego tematu”, po drugie naprawdę liczyłam na to, że przeczytacie RODO. Rzeczywistość wygląda tak, że jesteście na każdym kroku straszeni przez różne firmy wysokimi karami oraz nieobliczalnymi kontrolami, które rozpoczną się już za niecały rok. W efekcie… zasypujecie mnie pytaniami. W większości z nich pytacie co robić? jak się nie dać? oraz co powinien zrobić człowiek, którego właśnie powołano na ABI?

Bardzo staram Wam się pomóc i skrupulatnie, chociaż z ogromnym opóźnieniem odpowiadam na Wasze wiadomości. Jednakże nawet najlepsze rady nie zdadzą się na nic, jeżeli osoba, która jest odpowiedzialna za nadzór nad przestrzeganiem przepisów i za zapewnienie ciągłości działania systemów bezpieczeństwa nie zapoznała się z przepisami. Prawda jest taka, że najlepsze szkolenie nie nauczy Was tego co jest konieczne, jeżeli nie przeczytacie:

Read More