23 lip

Udostępnienie danych pracownikowi, nieupoważnionemu do ich przetwarzania – jak ocenić ryzyko naruszenia?

Wpis jest efektem wielu przemyśleń oraz doświadczeń moich i znajomych IOD, wynikających ze zgłaszania naruszeń do Prezesa UODO. Zacznę od najprostszego – tak jest to naruszenie ochrony danych. Wynika to bezpośrednio z definicji z art. 4 RODO. Pracownik, który nie jest upoważniony do przetwarzania określonych danych, staje się nieuprawnionym odbiorcą danych, w momencie ich udostępnienia. Zatem rozważania skupię na ocenie tego, jak wysokie ryzyko dla osób fizycznych, generuje takie naruszenie. Na ile ma znaczenie, że nieuprawnionym (zazwyczaj przypadkowym) odbiorcą danych jest pracownik?

Fakty: administrator zapewnia przeszkolenie swojego personelu z ochrony danych osobowych. Ponadto powinien zobligować pracowników do zachowania poufności. Poza tym często dochodzą dodatkowe okoliczności: znajomość zachowań pracownika, wieloletnia współpraca i zaufanie. Czy pracownik będzie w takim wypadku „zaufanym odbiorcą”?

W przepisach RODO nie ma definicji zaufanego odbiorcy. Takie określenie pojawia się w aplikacjach bankowych, w odniesieniu do osób lub podmiotów, do których klietn chce wykonywać przelewy bez konieczności podawania dodatkowych poświadczeń. To klient, a nie bank określa, kto jest zaufany, a kto nie. O zaufanym odbiorcy wspomniała także EROD w wytycznych 1/2021, dotyczących naruszeń. Pojęcie to pojawia się w przykładzie naruszenia, polegającego na udostępnieniu danych osobowych agentowi ubezpieczeniowemu. Co istotne, agent został uznany za zaufanego odbiorcę ze względu na fakt ustawowego zobligowania do zachowania w poufności danych przetwarzanych w związku z wykonywaniem zawodu (mail z danymi od klienta, więc zaliczał się do tej kwalifikacji), sam zgłosił naruszenie i pracował z klientem na tyle długo, że jest etyka nie wzbudzała wątpliwości. Logiczne? Raczej problematyczne, bo okazuje się, że jest to uznanowia definicja, gdzie administrator może mieć odmienne zdanie od organu nadzorczego.

Jak jest w praktyce?

Read More
14 cze

Postępowanie spadkowe, a tajemnica bankowa i RODO

Jest to jeden z tych przykładów, gdzie „diabeł tkwi w szczegółach”. Bezpośrednio z przepisów prawa wynika obowiązek udostępnienia danych chronionych tajemnicą bankową na potrzeby prowadzenia przez sąd potępowania spadkowego (art. 105 ust. 1 pkt 2 lit. d prawa bankowego). Gdzie tajemnica bankowa obejmuje wszystkie informacje dotyczące czynności bankowej, uzyskane w czasie negocjacji, w trakcie zawierania i realizacji umowy, na podstawie której bank tę czynność wykonuje (art. 104 ust. 1 prawa bankowego). Przepis dotyczący obowiązku ujawnienia danych objętych tajemnicą bankową, nie precyzuje zakresu tych danych. Zatem banko w tym wypadku ujawnia dane w zakresie, który wynika z wniosku otrzymanego od sądu. Najczęściej sąd żąda historii rachunku, lokat, inwestycji. Pojawia się problem, żeby rachunek należy do dwóch współwłaścicieli – wniosek i postępowanie spadkowe nie dotyczą współwłaściciela, zatem jego dane, ani jego transakcje nie powinny podlegać udostępnieniu – naruszałoby to zasady przetwarzania danych z RODO. Jednocześnie, biorąc pod uwagę cel udostępnienia, czyli ustalenie wartości masy spadkowej, zasadne wydaje się powiadomienie sądu o fakcie istnienia współposiadacza rachunku. I uważam, że w tym wypadku jego dane mogą być udostępnione dopiero na podstawie konkretnego wniosku, który go dotyczy, a nie w ramach wcześniej wskazanego zakresu informacji.

Read More
23 maj

Audyt SZBI zgodnie z ISO27001 – jak to zrobić?

Wiem doskonale z własnego doświadczenia, że szkolenie to nie wszystko. Po intensywnych kilku dniach szkoleń, wraca się do szarej rzeczywistości i nie wiadomo od czego zacząć. Świadomie odwołuję się do audytu zgodności z normą ISO, a nie RODO, ponieważ jest to temat, który zyskuje na popularności i coraz częściej inspektorzy, szukając skutecznych metod audytu, sięgają właśnie po normy ISO.

Od czego zacząć? Na pewno wiedza. Nie da się weryfikować zgodności z jakimkolwiek standardem, jeżeli się go nie zna. Jeśli weryfikujemy zgodność z RODO, musimy znać przepisy RODO, ale także umieć stosować je w praktyce i rozumieć. Podobnie z ISO27001, należy zapoznać się ze standardem. Dobrym punktem wyjścia jest szkolenie, najlepiej w firmie, która na co dzień przeprowadza audyty zgodności z ISO27001 i certyfikację zgodności.

Kolejnym krokiem jest zakup normy. Podczas szkolenia pewnie w sposób pośredni zapoznamy się z treścią normy, ale nie można weryfikować zgodności ze standardem, którego się nie posiada. Dodatkowo na plus jest to, że sama norma zawiera tabelkę, która wprost może posłużyć nie tylko do przeprowadzenia audytu, ale także za sprawozdanie.

Read More
22 kwi

Kiedy muszę podawać w klauzuli odbiorców danych z nazwy?

Zapewnienie przejrzystości w klauzuli informacyjnej jest bardzo trudne. Z jednej strony przepisy RODO wymagają, aby każda informacja była przekazywana prostym i jasnym językiem, z drugiej te same przepisy wymagają przekazania tak wielu informacji, że na sam widok klauzuli informacyjnej, większości osób „odechciewa się” ją czytać.

Mam poza tym wrażenie, że jest tendencja robienia coraz bardziej rozbudowanych klauzul, gdzie wszystko dzieli się na bloki i powtarza po 3 razy. Ostatnio konsultowałam wzór klauzuli dla kandydatów do pracy, który miał 5 (pięć!) stron. Połowę treści nazwałabym „laniem wody”, żeby zrobić wrażenie, że zabezpiecza się dobrze dane osobowe. Ciekawie robi się także, gdy w klauzulach pojawiają się informacje o odbiorcach danych. Okazuje się, że mimo wielu lat obowiązywania RODO, w dalszym ciągu jest problem z definicją odbiorcy (np. jako odbiorców danych, wielu administratorów wskazuje swoich pracowników oraz inne upoważnione do przetwarzania osoby), a także ze sposobem wskazania tych odbiorców w klauzuli.

Zgodnie z art. 13/14 ust. 1 lit. e RODO w klauzuli wskazuje się „informację o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją”. Odbiorcami będą wszystkie podmioty przetwarzające, współadministratorzy, a także administratorzy (z wyłączeniem podmiotów publicznym, którym udostępnia się dane w celu wykonywania przez nie zadań).

Mimo tego wyjątku, katalog odbiorców jest zazwyczaj bardzo obszerny i zawiera w szczególności:

Read More
02 kwi

Jak długo jest ważna zgoda na przetwarzanie danych osobowych?

W teorii odpowiedź na to pytanie jest prosta, ale w praktyce okazuje się, że warto jednak zastanowić się nad tym zagadnieniem. W przepisach RODO odpowiedzi należy szukać w artykule 7, zgodnie z którym zgoda jest wyrażona poprzez dobrowolne i świadome działanie (oświadczenie woli). Natomiast nie określono w nim ograniczenia czasowego zgody, a jedynie warunki jej wycofania. W praktyce można zatem przyjąć, że zgoda jest ważna aż do momentu jej wycofania, czyli bezterminowo. Tym samym osoba, której dane dotyczą nie musi „odświeżać” swojej zgody, jeżeli przetwarzanie danych w oparciu o zgodę jest długotrwałe i stałe. Można w oparciu o raz wyrażoną zgodę przetwarzać dane latami. Dopiero jej wycofanie zastopuje proces.

Przetwarzanie może zakończyć się także z powodu ustania celu przetwarzania, np. administrator postanawia przestać wysyłać informacje marketingowe lub kończy swoją działalność.

Stąd w klauzulach informacyjnych pojawia się określenie, że dane będą przetwarzane do czasu wycofania zgody lub jej wyrażenia.

Takie podejście zazwyczaj będzie poprawne. Jednak warto zwrócić uwagę, że nie uwzględnia bardzo ważnego czynnika, jakim jest „świadomość” wyrażania zgody, a także przetwarzanie przez czas niezbędny do osiągnięcia celu, w jakim zgoda została wyrażona.

Read More
01 mar

Naruszenie, incydent, zdarzenie – jak z nimi postępować

Przepisy RODO odnoszą się jedynie do naruszeń ochrony danych. Są to takie zdarzenia, w wyniku których dochodzi do utraty poufności, dostępności lub integralności danych osobowych. Czyli mogą mieć negatywny wpływ na osobę, której dane dotyczą.

W praktyce notyfikujemy naruszenia i dzielimy je na te, które wymagają zgłoszenia do PUODO oraz takie, które notujemy w wewnętrznych rejestrach (np. na potrzeby doskonalenia systemu bezpieczeństwa, czy analizy ryzyka). Jednak nie każde zdarzenie spełnia definicję naruszenia. W codziennej pracy spotykamy się bardzo często z sytuacjami, gdy dochodzi jedynie do naruszenia procedur wewnętrznych albo sytuacji, która mogłaby eskalować do incydentu. Podobnie naruszenie przepisów RODO (np. nieprzekazanie klauzuli informacyjnej, czy nie wyznaczenie IOD) nie stanowi naruszenia ochrony danych.

W związku z tym pojawia się potrzeba operowania dodatkowym określeniem na tego typu sytuacje. Najczęściej spotykam się z rozróżnieniem „incydent” oraz „naruszenie”. Gdzie incydent to każde zdarzenie mające negatywny wpływ na system ochrony danych, ale nie jest naruszeniem. Takie rozróżnienie jest bardzo pomocne, ale muszę przyznać, że na początku swojej pracy nie rozumiałam, jak bardzo.

Read More
17 sty

Korzystanie z ChatGPT a RODO

Czy wiesz, że korzystasz z AI już od bardzo dawna? Algorytmy sztucznej inteligencji były tworzone i rozwijane przez lata, dla różnych aplikacji. Dzięki nim możliwe było otwarcie sklepów Amazon Fresh, w których bierze się produkty z półek i po prostu z nimi wychodzi, a system sam podliczy wartość zakupów i obciąży nasz rachunek. Testowaliśmy skuteczność algorytmu podczas ostatniej wizyty w USA, gdzie autonomiczne sklepy są naprawdę duże, więc naliczanie zakupów stanowi niezłe wyzwanie. W praktyce algorytm radził sobie świetnie, gdy wchodziła jedna osoba i brała pierwszy produkt z półki. Natomiast miał problemy, gdy wybieraliśmy produkt, który był głębiej na półce lub rozdzielaliśmy się i każde z nas wrzucało produkty do swojego koszyka (weszliśmy i wyszliśmy razem). W takich wypadkach ewidentnie była potrzebna ingerencja człowieka, który sprawdził nagrania i poprawnie naliczył należności. Jednak ani razu nie zostaliśmy błędnie obciążeni. Naprawdę genialne, jeśli ktoś nie lubi stać w kolejkach. Warto w tym miejscu wskazać, że w polskich Żabkach wdrażaliśmy podobne rozwiązania i że ich autorami były polskie firmy technologiczne. Myślę, że autonomiczne sklepy to przyszłość, bo nikt nie lubi stać w kolejkach.

Jeśli korzystasz ze smartfona, to są na nim aplikacje, które od dawna czerpią z AI garściami. Chociażby nawigacje (np. Google Maps). Przecież „coś” musi analizować Twoją trasę, natężenie ruchu, preferencje dotyczące drogi, aby dobrze pokierować do celu. Warto zauważyć jak ciekawy jest chociażby sposób obliczania czasu, który pozostał do celu. Jeśli się nad tym zastanowić, to nie jest proste i bez AI, pewnie byłoby niemożliwe. Podobnie działają wszelkiego rodzaju elektroniczni asystenci (np. smartwach, który może oceniać jakość snu lub aktywność fizyczną).

Skąd zatem to zamieszanie wokół AI, skoro jest ono z nami już od dawna? To nie jest kwestia tego, że „w końcu udało się wymyślić sztuczną inteligencję”, tylko nowych aplikacji, które dzięki AI mają „niesamowite” możliwości. Umożliwiają nie tylko wyszukiwanie (tak – wyszukiwarki też od dawana korzystają z AI), ale są w stanie generować gotowe odpowiedzi. Tu do oceny, na ile to dobrze – wyszukiwarka daje możliwość porównania wielu źródeł, podczas gdy AI generuje konkretne rozwiązanie (subiektywne). Potrafi „tworzyć” wypracowania, artykuły, sentencje orzeczeń sądowych. Należy jednak uważać na efekty pracy algorytmu, gdyż mogą być bardzo odtwórcze i naruszać prawa autorskie. Pod koniec 2023 r. wydawca New York Times pozwał OpenAI oraz Microsoft, ponieważ uważa, że naruszono prawa autorskie, ucząc algorytm na jego treściach. Ponadto jego zdaniem, AI zapytany o aktualne wydarzenia, zamiast generować nowe treści, przetwarza te już gotowe, naruszając prawa autorskie NYT. Bardziej obrazowo, praca magisterska wytworzona przez AI może nie przejść pozytywnie przez algorytmy weryfikujące plagiat, bo zbyt wyraźnie bazuje na cudzych treściach.

Read More
10 lis

Test ze znajomości RODO

W 2018 roku na blogu ukazał się test wiedzy, dzięki któremu można było weryfikować znajomość przepisów o ochronie danych osobowych swoją lub swoich pracowników.

Test jest prosty i skupia się na podstawowych zagadnieniach, jednak co jakiś czas do niego wracacie. Uznałam zatem, że jest potrzeba odświeżenia tego materiału i zaktualizowałam jego treść.

Test do pobrania dostępny jest tutaj.

Odpowiedzi są tutaj:

Dobrej zabawy!

31 paź

Jak sprawdzić, czy skutecznie zgłoszono IOD do Prezesa UODO?

Sygnalizujecie mi, że nie otrzymujecie UPO, po wysłaniu zgłoszenia / zmiany / odwołania inspektora do Prezesa UODO. I nie ma skutecznej i szybkiej ścieżki zweryfikowania, czy wykonaliście to działanie skutecznie. Piszecie, że takich informacji urząd nie udziela telefonicznie, a na odpowiedź pisemną czekacie już od dawna (coż, urząd zapewne jest zawalony skargami i zgłoszeniami naruszeń).

Na szczęście jest kilka trików, aby sprawdzić to od razu.

Nr 1 – poszukać UPO w swojej skrzynce ePUAP lub eDoręczenia. Ostatnio coraz częściej UPO wpadają bezpośrednio tam, a nie na wskazany adres e-mail. Nie pytajcie dlaczego. Jest też inna, bardzo prosta i skuteczna metoda…

Read More
24 paź

Rząd walczy ze spoofingiem, a oszuści wykorzystują już DeepFake

Prawdziwą plagą jest podszywanie się przez oszustów pod cudze numery telefonów (spoofing). Oszuści w tym celu wykorzystują oprogramowanie (trochę jak bramka SMS), gdzie ustawiają z numer, z którego chcą wykonać połączenie. W efekcie mogą dzwonić „z mojego numeru” i grozić innym osobom lub podszywać się pod pracownika banku, aby wyłudzić dane / pieniądze. W ciągu ostatniego roku zgłosiło się do mnie bardzo wiele osób, które padło ofiarą spoofingu. Przy pierwszym scenariuszu, często dowiadywali się o wykorzystaniu ich numeru, w momencie otrzymania od Policji wezwania na przesłuchanie w sprawie gróźb karalnych. Udowodnienie, że to ktoś inny wykonał połączenie jest proste – wystarczy pokazać historię połączeń.

W drugim przypadku, oszustwa „na numer z banku” były bardzo skuteczne i dużo ludzi w ich wyniku utraciło kontrolę nad swoimi danymi i/lub poniosło straty finansowe. Najbardziej oburzające w tym wszystkim jest to, że aktualna technologia pozwala na takie oszustwa. Skala tych działań jest tak duża, że doczekaliśmy się ustawy o zwlaczaniu nadużyć w komunikacji elektronicznej. Popularnie zwalnej ustawą antyspoofingową. Nakłada ona na telekomy obowiązek podjęcia aktywnych działań, żeby wykrywać spoofing i mu przeciwdziałać. Poza tym mają być także działania przeciwko smishingowi (phishing przez SMS). Ustawa wymaga także od dostawców poczty elektronicznej, wprowadzenia rozwiązań, które uniemożliwią podszywanie się pod cudzy adres e-mail. Wszyscy operatorzy mają współpracować z CERT, który będzie na podstawie swoich baz danych, przekazywać im wzorce ataków oraz fałszywych wiadomości, w celu ich blokowania.

Read More