18 Lut

Ci od RODO: Jak rozmawiać z ADO i pracownikami?

Odcinek zaczynamy od zagadnień związanych z cyberbezpieczeństwem i postępowaniem w przypadku przejęcia konta na Facebooku, po to aby przejść do roli IOD w organizacji. Jak rozmawiać z pracownikami, szczególnie gdy są naszymi współpracownikami? Jak rozmawiać i przekonać ADO do swoich racji? Czy nieśmiały IOD w ogóle ma szansę skutecznie działać? Read More

17 Lut

Kodeks RODO do bibliotek

W ostatni piątek, doczekaliśmy się publikacji ofjcalnego projektu Kodeksu RODO dla bibliotek. Czemu projektu? Ponieważ, dopiero po przejściu certyfikacji u Prezesa UODO, będzie można oficjalnie mowić o kodeksie postępowania. Nie zmienia to jednak faktu, że sam proces certyfikacji trwa bardzo długo (obawiam się, że zaczekam nie kilka miesięc, ale lat), a porządne wytyczne są potrzebne już dziś i teraz. Poza tym z moich doświadczeń (a brałam udział w certyfikacji innego rodzaju wewnętrznego kodeksu), zanim uda się otrzymać certyfikat, kodeks trzeba będzie jeszcze kilkukrotnie aktualizować i ponownie omawiać ze środowiskiem bibliotekarzy.

Właśnie, w zasadzie powinnam od tego zacząć. Kodeks zrodził się w głowach mojej i Łukasza Wojciechowskiego, z którym każdy wspólny projekt jest prawdziwą torpedą (jeśli chcecie się przekonać, zapraszam do słuchania naszych podcastów CI od RODO).  Zresztą Łukasz prowadzi też świetnego bloga o ochronie danych, cyberbezpieczeństwie i kontroli zarządczej (statuo.pl). Do projektu udało się zaangażować SBP, które pomogło w kwestiach organzacyjnych i znalazło ekspertów, na co dzień pracujących w bibliotekach, którzy pomogli nam w spornych i trudnych kwestiach.

Uważam, że stworzenie i publikacja kodeksu to coś naprawdę wielkiego. Jestem dumna z tego projektu i zadowolona z efektu, za każdym razem, gdy sięgam do kodekus. Mam poczucie, że powstał naprawdę porządny podręcznik, którego rola wspierająca będzie nieoceniona, nie ważne, kiedy zostanie certyfikowany. Mam też poczucie, że kodeks może pomogać nie tylko branży bibliotecznej, bo zostało tam omówionych także sporo ogólnych zagadnien.

Chciałabym bardzo podziękować Łukaszowi Wojciechowskiemu, który jest współredaktorem oraz autorem bardzo wielu podrozdziałów w kodeksie. We dwoje wzięliśmy na siebie najcięższą pracę i mogliśmy na siebie liczyć na każdym etapie. Bardzo dziękuję wszystkim autorom, bez ich bezinteresowanego zaangażowania, kodek nie byłby tak wartościowy. Szczególnie Dorota Mika i Piotr Kaczmarek zasługują na ogromnego całusa, bo wzięli na swoje barki dodatkowe podrozdziały, po autorach, którzy w ostatniej chwili zrezygnowali. Serdeczne uściski także dla nieocenionych ekspertów, którzy bardzo sprawnie pomagali nam przebrnąć przez meandry praktycznego podejścia do RODO w bibliotekach i znaleźć właściwy kierunek, dla naszych prac nad kodeksem, gdy trafialiśmy na ślepą uliczkę!

Kodeks RODO dla bibliotek jest dostępny na stronie SBP, ale można go pobrać także bezpośrednio >>tutaj<<

11 Lut

O upoważnianiu słów kilka

Uważam, że upoważnianie ma fundamentalne znaczenie dla zapewniania zgodności przetwarzania z RODO. Jednakże większość przeprowadzanych przeze mnie audytów oraz moje doświadczenia we współpracy z różnymi administratorami, prowadzą do wniosku, że nie przykłada się zbyt dużej wagi do upoważnień. Bardzo często są one nadawane hurtem, tzn. wszystkim do wszystkiego, nie są odwoływane, nie są aktualizowane. Jest to błąd, bo w przypadku naruszenia przez pracownika wewnętrznych procedur, w szczególności kradzież lub udostępnienie danych, nienadane, niewłaściwie nadane lub nieodwołane upoważnienie może utrudnić lub uniemożliwić, że pracownik działał niezgodnie z wolą administratora.

Upoważnienie do wszystkiego lub w zbyt szerokim zakresie

Tak jest najłatwiej, szczególnie gdy firma jest mała, praktyką jest nadawanie upoważnienień do „przetwarzania danych osobowych”. Czasami określa się, że zakres upoważnienia jest „bez ograniczeń”. Bywa że upoważnienie jest trochę bardziej szczegółowe i zapisano w nim, że jest to przetwarzanie danych związanych z zatrudnieniem. W takim wypadku osoba upoważniona może uzurpować, że jest uprawniona także do dostępu do danych płacowych, czy bazy marketingowej, pomimo że jej obowiązki nie są z tym związane. Nie ograniczając uprawnień osoby upoważnionej administrator podcina gałąź, na której siedzi, dając wyraźny sygnał „ufam Ci, w mojej firmie możesz robić wszystko”. Czy pracownicy faktycznie tak do tego podchodzą? Zdecydowanie tak, szczególnie jeżeli otrzymają dostęp do danych związanych z zatrudnieniem lub klientami firmy. Na przykład osoby biorące udział w procesach rekrutacji (np. pracownicy HR, czy kierownicy działów) otrzymując upoważnienie do „przetwarzania danych związanych z zatrudnieniem”, dość często powołując się na to upoważnienie żądają od kadr informacji o umowach innych pracowników, w szczególności na podobnych stanowiskach. Czasami chcą też dostęp do historii umów zawartych z klientami, których znają (czytaj znajomych, których lubią lub nie), by zaspokoić swoją ciekawość. Ich żądania i oczekiwania są spowodowane tym, że otrzymali upoważnienie w zbyt szerokim zakresie. Read More

15 Sty

Czy należy informować o usunięciu danych osobowych

Przepisy RODO wskazują jedynie na konieczność zapewnienia rozliczalności danych, czyli administrator musi posiadać wiedzę o tym jakie dane zostały usunięte, a także kto,  kiedy i dlaczego je usunął. W praktyce stosuje się albo przyjęte procedury niszczenia na bieżąco dokumentów i usuwania plików, a także danych z systemów, dla których cel przetwarzania już ustał. Takie zasady niszczenia na bieżąco, a także obowiązku pracowników w tym zakresie powinny wynikać z oficjalnie przyjętej proceduy.  W przypadku dokonywania przeglądów danych osobowych, na skutek których usuwa się większe ilości danych, stosuje się protokoły zniszczenia dokumentów.

Powstaje jednak pytanie, czy jeżeli usuwamy dane osobowe, powinniśmy poinformować osobę której dane dotyczą o tym fakcie. Czy powinna mieć wiedzę, że od tego momentu nie mamy już jej danych (czyli na przykład nie będziemy w stanie zrealizować jej prawa z art. 15 RODO do uzyskania kopii danych). Read More

08 Sty

Inspektor ochrony danych na rynku pracy (podcast)

CI OD RODO, czyli podcast o RODO z przymrużeniem oka, prowadzony przez znanych i cenionych ekspertów od ochrony danych: Sylwię Czub-Kiełczewską (sylwiaczub.pl) i Łukasza Wojciechowskiego (statuo.pl).
Podcast dotyczący zatrudniania IOD – jak są oni wybierani, czy według kompetencji, czy dostępnego budżetu? Czy lepszy zewnętrzny specjalista, czy znający specyfikę podmiotu pracownik? Czy są miejsca pracy dla IOD? Jakie kompetencje i doświadczenie powinien mieć inspektor? Ile podmiotów można jednocześnie obsługiwać?
Read More

31 Gru

Czy można aktualizować politykę ochrony danych osobowych?

Nowy rok to czas na zmiany, może więc przyszła pora na aktualizację polityki bezpieczeństwa? Przepisy RODO nie dają nam wytycznych dotyczących tworzenia i aktualizowania dokumentacji ochrony danych osobowych. Nie wskazują nawet na to, czy administrator powinien posiadać sformalizowaną politykę, jednakże trudno sobie wyobrazić skuteczny system ochrony danych bez dobrego systemu zarządzania bezpieczeństwem informacji. Właśnie dlatego wszystkie audyty czy kontrole rozpoczynają się od analizy wdrożonych w firmie, czy podmiocie publicznym polityk ochrony danych.

Zauważyłam, że wielu administratorów, którzy mają takie polityki boi się dokonywać zmian w nich, czy aktualizacji. Czasami nawet zakazują wprowadzanie zmian swoim inspektorom ochrony danych (co może powodować oczywiste frustracje). Jednym z najczęstszych argumentów za nieaktualizowaniem polityk jest to, że zostały one stworzone przez profesjonalny podmiotom lub kupione od profesjonalnego podmiotu. Administrator uważa, że po pierwsze nikt nie zna się lepiej na swojej pracy, niż ktoś kto zawodowo zajmuje się ochroną danych, po drugie jeśli stworzył taką dokumentację, to bierze za nią odpowiedzialność. I tu pies pogrzebany.

Read More

09 Gru

Pakiet RODO na 2020 rok!

Po półtora roku stosowania przepisów RODO jesteśmy już odrobinę bardziej pewni tego co powinniśmy mieć i jakie procedury należy wdrożyć w swojej firmie. Wytyczne Prezesa UODO, a także moje doświadczenia związane z wdrażaniem RODO w firmach, dały nowy pakiet RODO.

Jest to zestaw dokumentów i procedur do samodzielnego zapewnienia zgodności z RODO w Twojej firmie. Jest to zestaw bardzo kompleksowy, uwzględniający nie tylko wzory dokumentów, ale także wyjaśnienia, jak postępować. Nie każdego stać na kompleksową usługę, nie każdy chce też korzystać z usługi wdrożenia RODO (ja sama jestem trochę „Zosią samosią”), pakiet RODO daje możliwość indywidualnego i samodzielnego podejścia do zagadnienia. Read More