05 Sty

Czy po wejściu RODO dotychczasowa dokumentacja bezpieczeństwa pójdzie do kosza?

Dostaję bardzo dużo pytań o to, czy po wejściu w życie RODO dotychczasowe polityki bezpieczeństwa  oraz instrukcje zarządzania systemami informatycznymi będą miały sens i czy w ogóle będą potrzebne. Krajowa ustawa z dnia 29 sierpnia 1997 roku o ochronie danych osobowych wskazywała wprost w art. 36 ust. 2 obowiązek prowadzenia dokumentacji, co więcej w przepisach wykonawczych do ustawy były szczegółowe wytyczne co powinna (minimum) zawierać dokumentacja, a po nowelizacji ustawy w 2015 roku pojawiły się także zasady prowadzenia rejestrów zbiorów danych osobowych oraz sposób realizowania nadzoru nad procesami przetwarzania przez ABI (które stanowiły także wytyczne dla administratorów danych, którzy nie powołali ABI).

Natomiast RODO w odróżnieniu od dotychczasowej ustawy nie daje jasnych wytycznych, a jedynie „wskazówki”. Wynika to z faktu, że lata stosowania sztywnych reguł, udowodniły że są one nieadekwatne do rzeczywistości (najczęściej za nią w ogóle nie nadążają), która wymaga bardzo kompleksowego i szerokiego podejścia do zagadnienia bezpieczeństwa informacji. Read More

21 Gru

Wesołych Świąt!

collage

Z okazji świąt Bożego Narodzenia życzę Wam dużo zdrowia, radości z dnia codziennego, awansu w życiu zawodowym oraz powodzenia w życiu prywatnym.
Wesołych Świąt!

11 Gru

Wykorzystywanie danych osobowych do celów marketingowych a RODO

Tradycyjne metody marketingowe stają się coraz mniej skuteczne, generują ogromne koszty i nie należą do lubianych przez odbiorców. Nie wystarczy rozsyłać reklam na masową skalę, przekazywać newslettera pod każdy możliwy, pozyskany adres i dzwonić na „losowe” numery. Dlatego powstają coraz bardziej wymyśle metody dotarcia do potencjalnych klientów. Działom marketingu wychodzą naprzeciw nowe technologie, które zbierają informacje o tym, jakie strony odwiedził użytkownik, ile czasu na nich spędził, z jakiego adresu wszedł, jakie hasło go przekierowało, jakie strony odwiedził potem, jaka jest geolokalizacja jego urządzenia, itd. Na podstawie dokonanych wyborów, użytkownicy są profilowani (po lokalizacji, płci, zainteresowaniach, wieku, itd.). Z moich doświadczeń wynika, że wszystkie te działania odbywają się bez wiedzy i zgody użytkownika. Zazwyczaj zgoda jest dorozumiana (ktoś przekazał wizytówkę albo klikną w link „chcę wiedzieć więcej / proszę o kontakt” i z marszu został zapisany do bazy marketingowej).

Tworzenie bazy marketingowej w oparciu o otrzymane wizytówki jest nielegalne

Naprawdę. To że ktoś przekazuje Ci wizytówkę, nie oznacza, że zgdsza się na dodanie jego danych do bazy marketingowej. Jest to dorozumienie zgody, czyli działanie niezgodne z przepisami o ochronie danych osobowych. Zaraz ktoś się oburzy – przecież ta osoba dała wizytówkę, bo chce otrzymać ofertę marketingową. Mogę się tylko zgodzić, że rzeczywiście tak było, jednakże istnieje bardzo duża różnica pomiędzy wysłaniem konkretnej, zamówionej oferty, a przekazywaniem ciągłym ofert marketingowych. Read More

28 Lis

RODO: czy trzeba będzie upoważniać do przetwarzania danych

Chciałabym częściej dla Was pisać, ale niestety doba ma tylko 24 godziny. Bycie popularnym blogerem ma swoją cenę, spędzam nawet kilka godzin dziennie (głownie wieczorami) odpisując na pytania z Waszych maili. Jednakże wiele z nich bardzo pozytywnie mnie nastraja, bo tworzą obraz naprawdę dużego i fajnego zaangażowania w tematykę ochrony prywatności. Ale pora wrócić do zagadnienia rozliczalności procesów przetwarzania. Zodnie z art. 38. UODO: Administrator danych jest obowiązany zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane, czyli jednym z najważniejszych obowiązków administratora danych jest posiadanie wiedzy nad tym kto, kiedy i w jakim zakresie ma dostęp do jego zasobów chronionych. Dlatego powinien nadawać uprawnienia do systemów informatycznych oraz zasobów papierowych (np. akta pracownicze, umowy z podwykonawcami). Często mówimy: zakres uprawnień powinien być zgodny z zakresem obowiązków pracownika. Jednakże żyjemy w ciekawych czasach, gdy zakresy obowiązków z upływem przepracowanych lat zaczynają rozmijać się z faktycznym zakresem wykonywanych czynności, a większość osób mających dostęp do danych to wykonawcy usług, na podstawie umów zleceń, dzieł, czy umów na usługi. W dotychczasowym stanie prawnym, odpowiedzią na taki stan rzeczy, było wprowadzenie przez ustawodawcę dodatkowego obowiązku nadawania upoważnień do przetwarzania danych osobowych. Upoważnienie nadaje się każdej osobie, która wykonuje czynności na danych osobowych (także osobom, które robią to w imieniu podmiotu przetwarzającego, o ile umowa powierzenia nie stanowi inaczej). Jest to dość żmudny i czasochłonny obowiązek. Dodatkowo z czasem upoważnień robi się bardzo dużo i ciężko byłoby się w nich odnaleźć, gdyby nie prowadzona dodatkowo ewidencja upoważnień. W praktyce jest to główne źródło wiedzy osoby, która nadzoruje procesy przetwarzania danych, nad tym kto i w jakim zakresie ma dostęp do danych. Jest to także bardzo przydatne narzędzie, gdy trzeba sięgnąć do wiedzy historycznej. Read More

13 Lis

Tworzenie i prowadzenie rejestru czynności przetwarzania według RODO

Zapewnienie poufności informacji chronionych (nie tylko danych osobowych) wymaga kontroli nad procesami ich przetwarzania, w szczególności komu zostały udostępnione lub powierzone. Jednakże punktem wyjścia jest identyfikacja zasobów chronionych (w szczególności inwentaryzacja zbiorów, o której pisałam tutaj). Jest to proces bardzo trudny dla osoby nie mającej wiedzy w zakresie przepisów o ochronie danych osobowych i/lub tworzenia systemów zarządzania bezpieczeństwem informacji. Nadzór nad procesami przetwarzania informacji chronionych wymaga identyfikacji rodzajów zasobów chronionych (zbiory danych, informacje chronione umownie, dane powierzone, informacje poufne wewnątrz organizacji, informacje biznesowe), procesów przetwarzania (gdzie i jak są gromadzone, jak są przesyłane, jakie czynności są na nich wykonywane, czy są udostępniane), osób dokonujących przetwarzania (nadawanie upoważnień i uprawnień do konkretnych zasobów i procesów), miejsc przetwarzania (pomieszczeń lub części pomieszczeń). W tym momencie wiele osób uświadamia sobie, jak wiele pracy ma do wykonania ABI/IOD i jak specjalistyczną wiedzę musi posiadać. Osoby, które tworzyły polityki bezpieczeństwa oraz instrukcje zarządzania systemami informatycznymi, zidentyfikowały opisane przeze mnie czynności i są w stanie wykazać, że wiedzą, w jaki sposób te procesy funkcjonują w organizacji. To naprawdę ma sens. Wykazy zbiorów w polityce, przepływy danych, służą kontroli nad procesami przetwarzania. Nie jest to sztuka dla sztuki.

Czy będzie rejestr GIODO?

Dotychczas istniał dodatkowy obowiązek polegający na informowaniu organu nadzorującego (GIODO) o procesach przetwarzania, które mają miejsce w organizacji. Wyjątek stanowiły procesy zwolnione na podstawie art. 43 ust. 1 i 1a. GIODO na podstawie otrzymanych zgłoszeń prowadził jawny rejestr przetwarzania danych osobowych. Liczba zgłoszeń przerosła najśmielsze oczekiwania, a po wielu latach dokonywania zgłoszeń, można dojść do wniosku, że właściwie nie wiadomo czemu służy rejestr zbiorów. Read More

29 Paź

Jak robić szkolenia okresowe z ochrony danych

Uważam, że każda nowa osoba w firmie powinna od razu, pierwszego dnia pracy poznać Administratora Bezpieczeństwa Informacji, który zapozna ją z obowiązkami wynikającymi z przepisów oraz zasadami zachowania poufności ustanowionymi przez Administratora Danych. Spotkanie, rozmowa, budowa relacji to podstawa. Bardzo staram się, współpracować z działami kadr u moich klientów, w taki sposób, aby zapewnić sobie przeszkolenie nowej osoby w jej pierwszym dniu pracy. Prawie zawsze jestem pierwszą osobą, z którą spotyka się nowy pracownik swojego pierwszego dnia pracy. To genialnie buduje przyszłe relacje, a jednocześnie daje tej osobie wyraźny sygnał w tej firmie bezpieczeństwo informacji jest traktowane naprawdę poważnie. W dużych firmach bardzo trudno jest przeprowadzać okresowe szkolenia z ochrony danych (zwłaszcza, jeżeli pracownicy większość czasu pracy spędzają poza stacjonarnym biurem). Wtedy najlepszym rozwiązaniem są szkolenia online. Read More

17 Paź

Wniosek o usunięcie danych osobowych według RODO

Zgodnie z przepisami o ochronie danych osobowych, osoba której dane dotyczą (a w przypadku małoletnich jej rodzic lub opiekun prawny) może zażądać usunięcia jej danych osobowych. W praktyce okazuje się, że wielu administratorów danych nie ma pojęcia w jaki sposób zrealizować to uprawnienie podmiotu danych.

Jaką formę musi mieć wniosek, czy wystarczy, że ktoś przyjdzie i poprosi o usunięcie jego danych?

Administrator danych ma obowiązek zapewnić pełną rozliczalność przetwarzanych danych, czyli mieć wiedzę o tym kto, w którym momencie, co robi na danych osobowych. Usunięcie danych na wniosek podmiotu danych, wymaga przede wszystkim potwierdzenia jego tożsamości. Administrator powinien także być w stanie udowodnić (w przyszłości), na jakiej podstawie (dlaczego) dokonał usunięcia tych szczególnych danych. Często zdarza się, że po jakimś czasie podmiot danych zmienia zdanie i prosi o jakieś informacje go dotyczące. Mimo, że przepisy nie zalecają formy, w jakiej powinien być złożony wniosek o usunięcie, zdecydowanie zalecam, aby była to forma umożliwiająca weryfikację tożsamości tej osoby. Może to być e-mail wysłany z konkretnego, znanego obu stornom adresu, odznaczenie okienka w systemie informatycznym (po zalogowaniu do systemu), nagrywana rozmowa telefoniczna, wniosek na piśmie. W przypadku ustnego wniosku, zalecam podpisanie protokołu usunięcia danych, z oświadczeniem podmiotu danych, że zniszczenie było na jego wniosek. Polecam stworzenie procedury usuwania danych na żądanie podmiotu danych, zdecydowanie ułatwi to pracę, jeżeli tego typu wnioski pojawiają się cyklicznie. Administrator danych powinien przy usuwaniu uświadomić podmiotowi danych, jakie są konsekwencje usunięcia danych (np. utrata historycznych danych).

Czy trzeba w jakiś sposób potwierdzić usunięcie danych? Read More

09 Paź

Udostępnianie i współadministrowanie danych według RODO

Najłatwiej wytłumaczyć czym jest udostępnienie danych, jeżeli określi się, że do udostępnienia  dochodzi, gdy nie następuje ono w drodze powierzenia. Podmiot, któremu dane są udostępniane staje się ich administratorem, czyli wykorzystuje je do własnych celów. Są dwa rodzaje udostępnienia: nielegalne, gdy dane są udostępniane osobie (podmiotowi) nieupoważnionej oraz legalne, gdy następuje na zasadach określonych w przepisach. Dotychczasowa ustawa o ochronie danych osobowych przewiduje udostępnienie danych, gdy jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą (art. 23 ust. 1 pkt 5 UODO). Prawnie usprawiedliwiony cel, czyli taki, który wynika z przepisów prawa lub na mocy UODO dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej lub marketing bezpośredni (nieelektroniczny) produktów własnych (art. 23 ust. 4). Dawniej ustawa wymagała, aby udostępnienie następowało na pisemny wniosek, jednakże rozwój technologii wymusił aktualizację tego zapisu. Istotne jest to, że to administrator danych, jako odpowiedzialny za legalność udostępnienia, podejmuje decyzję o formie wnioskowania oraz czy wniosek jest formalnie poprawny, czyli ma prawo wymagać wskazania przesłanki legalizującej. Read More

03 Paź

Powierzenie danych według RODO

Każde przekazanie danych osobowych innemu podmiotowi musi być uzasadnione prawnie, w przeciwnym wypadku dojdzie do udostępnienia osobie nieupoważnionej, co może skutkować niebotyczną karą. Jest to także ogromne ryzyko biznesowe i wizerunkowe, dla podmiotu, który dokonał takiego udostępnienia.

Powierzenie danych – o co chodzi?

Do powierzenia dochodzi wtedy, gdy na zlecenie administratora danych, inny podmiot dokonuje operacji na danych osobowych. Podmiot, któremu dane są powierzane, nie staje się ich administratorem (chociaż ponosi odpowiedzialność tak samo, jak administrator), jedynie wykonuje operacje na danych, należących do administratora danych, w sposób i w celu ściśle przez niego określonym. Podmiot, któremu dane powierzono nie ma prawa ich wykorzystywać, do własnych celów (w szczególności dodawać ich do własnej bazy klientów/marketingowej oraz dalej udostępniać/sprzedawać). Powierzyć można dowolną czynność na danych od gromadzenia, przez edycję, przechowywanie, usunięcie.

Read More

25 Wrz

Czy warto dostosowywać się do RODO skoro jeszcze nie ma nowelizacji krajowej ustawy?

Takie pytanie padło na moim ostatnim szkoleniu. Trudno odmówić mu racji bytu oraz zasadności. Właściwie jak to powinno być: czy należy jak najszybciej wdrażać RODO nie znając właściwego kształtu nowej ustawy o ochronie danych osobowych, czy to w ogóle ma sens? Dla przypomnienia, nowelizacja ustawy jest przygotowywana przez Ministerstwo Cyfryzacji. Aktualna wersja ustawy wraz z uzasadnieniem (szczególnie polecam uzasadnienie, bo wskazuje na intencje ustawodawcy, tzn. co autor miał na myśli) jest dostępna na stronie Ministerstwa Cyfryzacji. Obecnie obowiązuje kilkukrotnie nowelizowana ustawa z dnia 29 sierpnia 1997 roku o ochronie danych osobowych, która jest implementacją dyrektywy unijnej z 1995 roku. Ogólne rozporządzenie o ochronie danych osobowych, w odróżnieniu od dyrektywy, zgodnie z prawem unijnym ma bezpośrednie zastosowanie, tzn. jest stosowane wprost, we wszystkich krajach UE. Read More