31 paź

Ochrona wizerunku osoby zmarłej

Narzędzia sztucznej inteligencji umożliwiają ożywianie znanych osób. Dzięki temu znany pisarz może przeczytać fragment swojej książki, a gwiazda kina sprzed 50 lat, reklamować kosmetyki. Branża filmowa także zaczyna ożywiać zmarłych aktorów, żeby móc kontynuować wątki z serii filmowych, w których grali za życia. Możliwości jest bardzo wiele, a efekty naprawdę zdumiewające. Co ważne, osoby zmarłe nie podlegają ochronie przewidzianej w przepisach RODO, więc nie trzeba martwić się o legalność przetwarzania ich danych. I to jest logiczne. Ale jak mawiał mój znajomy, z wykształcenia prawnik „jeśli coś jest logiczne, to pewnie jest nielegalne”. Od dwudziestu lat przypominam sobie jego słowa, gdy trafiam na trudne zagadnienia, których rozwiązanie wydaje się logiczne. I niestety najczęściej (prawie zawsze!) ma rację.

Read More
30 wrz

Pytanie: gdzie znajdę inforamcję dotyczącą zgłoszonego do UODO naruszenia ochrony danych?


Przepisy nie określają sposobu postępowania ze zgłoszeniami naruszeń. Zgodnie z art. 33 ust. 1 RODO Prezes UODO musi zostać niezwłocznie zawiadomiony o naruszeniu. Następnie prowadzi postępowanie, o którym mowa w art. 60 ustawy o ochronie danych osobowych. Jest to „postępowanie wyjaśniające”, a nie administracyjne. Na tym etapie przepisy nie określają żądnych ram czasowych dla takiego postępowania. Na swojej stronie Prezes UODO wskazuje „Wszystkie napływające zgłoszenia naruszenia ochrony danych są skrupulatnie analizowane, a kiedy zachodzi potrzeba uzyskania dalszych informacji – UODO nawiązuje szybki, często też telefoniczny, kontakt z administratorami i wyznaczonymi przez nich inspektorami ochrony danych.” (https://archiwum.uodo.gov.pl/pl/134/1029, dostęp 30.09.2024 r.).

Read More
26 sie

Czy inspektor może obsługiwać zgłoszenia sygnalistów?

Doczekaliśmy się ustawy o sygnalistach, więc rozpoczęło się procesowanie regulaminu obsługi zgłoszeń, której ten przepis wymaga. Bardzo ważne w całym procesie jest zapewnienie skutecznej ochrony tożsamości sygnalisty oraz osób, których dane będą przetwarzane w związku z działaniami następczymi. Jest to ważne nie tylko ze względu na przepisy o ochronie danych osobowych, ale uchronienie sygnalisty przed działaniami odwetowymi. A w przypadku fałszywych oskarżeń, uchronienie osoby pomówionej przez „sygnalistę” przed negatywnymi skutkami tego pomówienia.

Przepisy wymagają wprowadzenia kanału zgłoszeń naruszeń prawa, ale także wyznaczenia osoby lub osób, które będą odpowiedzialne za przyjmowanie i analizę zgłoszeń oraz przeprowadzających działania, wynikające z tego zgłoszenia (w ustawie zwane działaniami następczymi). I wiele organizacji stwierdza, że ma „idealnego kandydata” do obsługi zgłoszeń. Inspektor ochrony danych wydaje się idealny – jest niezależny w swoich działaniach, obiektywny, wie w jaki sposób zapewnić skuteczną ochronę tożsamości sygnalisty. Przepisy pozwalają na wykonywanie przez niego dodatkowych obowiązków… Moim zdaniem te zalety są jedynie pozorne. Jeżeli inspektor będzie rozpatrywać zgłoszenia sygnalistów, będzie brać aktywny udział w istotnym procesie przetwarzania u administratora. W tym będzie podejmować działania i decyzje, wynikające ze zgłoszenia. Zatem będzie zaangażowany w istotny z perspektywy przepisów o ochronie danych osobowych obszar, którego nie będzie już mógł obiektywnie audytować. I nastąpi konflikt interesów przy wykonywaniu przez niego zadań. Na początku zaangażowanie IOD może nie być bardzo widoczne. Jednak przy pierwszym, poważnym zgłoszeniu, okaże się, że problem wymaga na tyle dużego udziału inspektora, że będzie to ograniczać możliwość wykonywania przez niego zadań z art. 39 RODO. Poza tym ktoś powinien odpowiadać za monitorowanie tak bardzo newralgicznego pod względem zapewnienia ochrony danych osobowych obszaru. Nie będzie mógł już tego robić inspektor, jako osoba odpowiadająca za ten proces.

Uważam natomiast, że dopuszczalne jest, przy spełnieniu pewnych warunków (tzn. gdy nie będzie to zbytnio angażujące, a sam IOD nie będzie zaangażowany w inne procesy przetwarzania), aby inspektor przyjmował, rejestrował i anonimizował zgłoszenia, przed przekazaniem do komisji, która będzie je weryfikować. Jego rola mogłaby ograniczyć się do przyjmowania zgłoszeń, doradzania komisji i przekazywania informacji zwrotnej sygnaliście. W takim wypadku inspektor byłby jedynie punktem kontaktowym, natomiast nie brałby czynnego udziału w działaniach następczych. Co ważne, jeżeli zgłoszeń byłoby dużo, moim zdaniem powinna zostać wyznaczona odrębna osoba, gdyż nadmiernie angażowałoby ty inspektora.


Nazywam się Sylwia Czub-Kiełczewska, jestem ekspertką ds. ochrony danych osobowych oraz certyfikowaną audytorką wewnętrzną ISO 27001 /TISAX. Pomagam organizacjom wdrożyć skuteczne systemy bezpieczeństwa informacji, przeprowadzam audyty zgodności z RODO / ISO27001. Jestem skuteczna, bo stosuję indywidualne podejście, oparte na zrozumieniu klienta oraz jego działalności. Potrzebujesz wsparcia? Napisz do mnie



Zapraszam na moje (bardzo praktyczne i konkretne) szkolenia!

We wpisie wykorzystano zdjęcie z serwisu Pixabay.com.


23 lip

Udostępnienie danych pracownikowi, nieupoważnionemu do ich przetwarzania – jak ocenić ryzyko naruszenia?

Wpis jest efektem wielu przemyśleń oraz doświadczeń moich i znajomych IOD, wynikających ze zgłaszania naruszeń do Prezesa UODO. Zacznę od najprostszego – tak jest to naruszenie ochrony danych. Wynika to bezpośrednio z definicji z art. 4 RODO. Pracownik, który nie jest upoważniony do przetwarzania określonych danych, staje się nieuprawnionym odbiorcą danych, w momencie ich udostępnienia. Zatem rozważania skupię na ocenie tego, jak wysokie ryzyko dla osób fizycznych, generuje takie naruszenie. Na ile ma znaczenie, że nieuprawnionym (zazwyczaj przypadkowym) odbiorcą danych jest pracownik?

Fakty: administrator zapewnia przeszkolenie swojego personelu z ochrony danych osobowych. Ponadto powinien zobligować pracowników do zachowania poufności. Poza tym często dochodzą dodatkowe okoliczności: znajomość zachowań pracownika, wieloletnia współpraca i zaufanie. Czy pracownik będzie w takim wypadku „zaufanym odbiorcą”?

W przepisach RODO nie ma definicji zaufanego odbiorcy. Takie określenie pojawia się w aplikacjach bankowych, w odniesieniu do osób lub podmiotów, do których klietn chce wykonywać przelewy bez konieczności podawania dodatkowych poświadczeń. To klient, a nie bank określa, kto jest zaufany, a kto nie. O zaufanym odbiorcy wspomniała także EROD w wytycznych 1/2021, dotyczących naruszeń. Pojęcie to pojawia się w przykładzie naruszenia, polegającego na udostępnieniu danych osobowych agentowi ubezpieczeniowemu. Co istotne, agent został uznany za zaufanego odbiorcę ze względu na fakt ustawowego zobligowania do zachowania w poufności danych przetwarzanych w związku z wykonywaniem zawodu (mail z danymi od klienta, więc zaliczał się do tej kwalifikacji), sam zgłosił naruszenie i pracował z klientem na tyle długo, że jest etyka nie wzbudzała wątpliwości. Logiczne? Raczej problematyczne, bo okazuje się, że jest to uznanowia definicja, gdzie administrator może mieć odmienne zdanie od organu nadzorczego.

Jak jest w praktyce?

Read More
14 cze

Postępowanie spadkowe, a tajemnica bankowa i RODO

Jest to jeden z tych przykładów, gdzie „diabeł tkwi w szczegółach”. Bezpośrednio z przepisów prawa wynika obowiązek udostępnienia danych chronionych tajemnicą bankową na potrzeby prowadzenia przez sąd potępowania spadkowego (art. 105 ust. 1 pkt 2 lit. d prawa bankowego). Gdzie tajemnica bankowa obejmuje wszystkie informacje dotyczące czynności bankowej, uzyskane w czasie negocjacji, w trakcie zawierania i realizacji umowy, na podstawie której bank tę czynność wykonuje (art. 104 ust. 1 prawa bankowego). Przepis dotyczący obowiązku ujawnienia danych objętych tajemnicą bankową, nie precyzuje zakresu tych danych. Zatem banko w tym wypadku ujawnia dane w zakresie, który wynika z wniosku otrzymanego od sądu. Najczęściej sąd żąda historii rachunku, lokat, inwestycji. Pojawia się problem, żeby rachunek należy do dwóch współwłaścicieli – wniosek i postępowanie spadkowe nie dotyczą współwłaściciela, zatem jego dane, ani jego transakcje nie powinny podlegać udostępnieniu – naruszałoby to zasady przetwarzania danych z RODO. Jednocześnie, biorąc pod uwagę cel udostępnienia, czyli ustalenie wartości masy spadkowej, zasadne wydaje się powiadomienie sądu o fakcie istnienia współposiadacza rachunku. I uważam, że w tym wypadku jego dane mogą być udostępnione dopiero na podstawie konkretnego wniosku, który go dotyczy, a nie w ramach wcześniej wskazanego zakresu informacji.

Read More
23 maj

Audyt SZBI zgodnie z ISO27001 – jak to zrobić?

Wiem doskonale z własnego doświadczenia, że szkolenie to nie wszystko. Po intensywnych kilku dniach szkoleń, wraca się do szarej rzeczywistości i nie wiadomo od czego zacząć. Świadomie odwołuję się do audytu zgodności z normą ISO, a nie RODO, ponieważ jest to temat, który zyskuje na popularności i coraz częściej inspektorzy, szukając skutecznych metod audytu, sięgają właśnie po normy ISO.

Od czego zacząć? Na pewno wiedza. Nie da się weryfikować zgodności z jakimkolwiek standardem, jeżeli się go nie zna. Jeśli weryfikujemy zgodność z RODO, musimy znać przepisy RODO, ale także umieć stosować je w praktyce i rozumieć. Podobnie z ISO27001, należy zapoznać się ze standardem. Dobrym punktem wyjścia jest szkolenie, najlepiej w firmie, która na co dzień przeprowadza audyty zgodności z ISO27001 i certyfikację zgodności.

Kolejnym krokiem jest zakup normy. Podczas szkolenia pewnie w sposób pośredni zapoznamy się z treścią normy, ale nie można weryfikować zgodności ze standardem, którego się nie posiada. Dodatkowo na plus jest to, że sama norma zawiera tabelkę, która wprost może posłużyć nie tylko do przeprowadzenia audytu, ale także za sprawozdanie.

Read More
22 kwi

Kiedy muszę podawać w klauzuli odbiorców danych z nazwy?

Zapewnienie przejrzystości w klauzuli informacyjnej jest bardzo trudne. Z jednej strony przepisy RODO wymagają, aby każda informacja była przekazywana prostym i jasnym językiem, z drugiej te same przepisy wymagają przekazania tak wielu informacji, że na sam widok klauzuli informacyjnej, większości osób „odechciewa się” ją czytać.

Mam poza tym wrażenie, że jest tendencja robienia coraz bardziej rozbudowanych klauzul, gdzie wszystko dzieli się na bloki i powtarza po 3 razy. Ostatnio konsultowałam wzór klauzuli dla kandydatów do pracy, który miał 5 (pięć!) stron. Połowę treści nazwałabym „laniem wody”, żeby zrobić wrażenie, że zabezpiecza się dobrze dane osobowe. Ciekawie robi się także, gdy w klauzulach pojawiają się informacje o odbiorcach danych. Okazuje się, że mimo wielu lat obowiązywania RODO, w dalszym ciągu jest problem z definicją odbiorcy (np. jako odbiorców danych, wielu administratorów wskazuje swoich pracowników oraz inne upoważnione do przetwarzania osoby), a także ze sposobem wskazania tych odbiorców w klauzuli.

Zgodnie z art. 13/14 ust. 1 lit. e RODO w klauzuli wskazuje się „informację o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją”. Odbiorcami będą wszystkie podmioty przetwarzające, współadministratorzy, a także administratorzy (z wyłączeniem podmiotów publicznym, którym udostępnia się dane w celu wykonywania przez nie zadań).

Mimo tego wyjątku, katalog odbiorców jest zazwyczaj bardzo obszerny i zawiera w szczególności:

Read More
02 kwi

Jak długo jest ważna zgoda na przetwarzanie danych osobowych?

W teorii odpowiedź na to pytanie jest prosta, ale w praktyce okazuje się, że warto jednak zastanowić się nad tym zagadnieniem. W przepisach RODO odpowiedzi należy szukać w artykule 7, zgodnie z którym zgoda jest wyrażona poprzez dobrowolne i świadome działanie (oświadczenie woli). Natomiast nie określono w nim ograniczenia czasowego zgody, a jedynie warunki jej wycofania. W praktyce można zatem przyjąć, że zgoda jest ważna aż do momentu jej wycofania, czyli bezterminowo. Tym samym osoba, której dane dotyczą nie musi „odświeżać” swojej zgody, jeżeli przetwarzanie danych w oparciu o zgodę jest długotrwałe i stałe. Można w oparciu o raz wyrażoną zgodę przetwarzać dane latami. Dopiero jej wycofanie zastopuje proces.

Przetwarzanie może zakończyć się także z powodu ustania celu przetwarzania, np. administrator postanawia przestać wysyłać informacje marketingowe lub kończy swoją działalność.

Stąd w klauzulach informacyjnych pojawia się określenie, że dane będą przetwarzane do czasu wycofania zgody lub jej wyrażenia.

Takie podejście zazwyczaj będzie poprawne. Jednak warto zwrócić uwagę, że nie uwzględnia bardzo ważnego czynnika, jakim jest „świadomość” wyrażania zgody, a także przetwarzanie przez czas niezbędny do osiągnięcia celu, w jakim zgoda została wyrażona.

Read More
01 mar

Naruszenie, incydent, zdarzenie – jak z nimi postępować

Przepisy RODO odnoszą się jedynie do naruszeń ochrony danych. Są to takie zdarzenia, w wyniku których dochodzi do utraty poufności, dostępności lub integralności danych osobowych. Czyli mogą mieć negatywny wpływ na osobę, której dane dotyczą.

W praktyce notyfikujemy naruszenia i dzielimy je na te, które wymagają zgłoszenia do PUODO oraz takie, które notujemy w wewnętrznych rejestrach (np. na potrzeby doskonalenia systemu bezpieczeństwa, czy analizy ryzyka). Jednak nie każde zdarzenie spełnia definicję naruszenia. W codziennej pracy spotykamy się bardzo często z sytuacjami, gdy dochodzi jedynie do naruszenia procedur wewnętrznych albo sytuacji, która mogłaby eskalować do incydentu. Podobnie naruszenie przepisów RODO (np. nieprzekazanie klauzuli informacyjnej, czy nie wyznaczenie IOD) nie stanowi naruszenia ochrony danych.

W związku z tym pojawia się potrzeba operowania dodatkowym określeniem na tego typu sytuacje. Najczęściej spotykam się z rozróżnieniem „incydent” oraz „naruszenie”. Gdzie incydent to każde zdarzenie mające negatywny wpływ na system ochrony danych, ale nie jest naruszeniem. Takie rozróżnienie jest bardzo pomocne, ale muszę przyznać, że na początku swojej pracy nie rozumiałam, jak bardzo.

Read More
17 sty

Korzystanie z ChatGPT a RODO

Czy wiesz, że korzystasz z AI już od bardzo dawna? Algorytmy sztucznej inteligencji były tworzone i rozwijane przez lata, dla różnych aplikacji. Dzięki nim możliwe było otwarcie sklepów Amazon Fresh, w których bierze się produkty z półek i po prostu z nimi wychodzi, a system sam podliczy wartość zakupów i obciąży nasz rachunek. Testowaliśmy skuteczność algorytmu podczas ostatniej wizyty w USA, gdzie autonomiczne sklepy są naprawdę duże, więc naliczanie zakupów stanowi niezłe wyzwanie. W praktyce algorytm radził sobie świetnie, gdy wchodziła jedna osoba i brała pierwszy produkt z półki. Natomiast miał problemy, gdy wybieraliśmy produkt, który był głębiej na półce lub rozdzielaliśmy się i każde z nas wrzucało produkty do swojego koszyka (weszliśmy i wyszliśmy razem). W takich wypadkach ewidentnie była potrzebna ingerencja człowieka, który sprawdził nagrania i poprawnie naliczył należności. Jednak ani razu nie zostaliśmy błędnie obciążeni. Naprawdę genialne, jeśli ktoś nie lubi stać w kolejkach. Warto w tym miejscu wskazać, że w polskich Żabkach wdrażaliśmy podobne rozwiązania i że ich autorami były polskie firmy technologiczne. Myślę, że autonomiczne sklepy to przyszłość, bo nikt nie lubi stać w kolejkach.

Jeśli korzystasz ze smartfona, to są na nim aplikacje, które od dawna czerpią z AI garściami. Chociażby nawigacje (np. Google Maps). Przecież „coś” musi analizować Twoją trasę, natężenie ruchu, preferencje dotyczące drogi, aby dobrze pokierować do celu. Warto zauważyć jak ciekawy jest chociażby sposób obliczania czasu, który pozostał do celu. Jeśli się nad tym zastanowić, to nie jest proste i bez AI, pewnie byłoby niemożliwe. Podobnie działają wszelkiego rodzaju elektroniczni asystenci (np. smartwach, który może oceniać jakość snu lub aktywność fizyczną).

Skąd zatem to zamieszanie wokół AI, skoro jest ono z nami już od dawna? To nie jest kwestia tego, że „w końcu udało się wymyślić sztuczną inteligencję”, tylko nowych aplikacji, które dzięki AI mają „niesamowite” możliwości. Umożliwiają nie tylko wyszukiwanie (tak – wyszukiwarki też od dawana korzystają z AI), ale są w stanie generować gotowe odpowiedzi. Tu do oceny, na ile to dobrze – wyszukiwarka daje możliwość porównania wielu źródeł, podczas gdy AI generuje konkretne rozwiązanie (subiektywne). Potrafi „tworzyć” wypracowania, artykuły, sentencje orzeczeń sądowych. Należy jednak uważać na efekty pracy algorytmu, gdyż mogą być bardzo odtwórcze i naruszać prawa autorskie. Pod koniec 2023 r. wydawca New York Times pozwał OpenAI oraz Microsoft, ponieważ uważa, że naruszono prawa autorskie, ucząc algorytm na jego treściach. Ponadto jego zdaniem, AI zapytany o aktualne wydarzenia, zamiast generować nowe treści, przetwarza te już gotowe, naruszając prawa autorskie NYT. Bardziej obrazowo, praca magisterska wytworzona przez AI może nie przejść pozytywnie przez algorytmy weryfikujące plagiat, bo zbyt wyraźnie bazuje na cudzych treściach.

Read More