20 Mar

Czy w związku z pracą zdalną można zabierać dokumenty do domu?

Od tygodnia żyjemy w nowej rzeczywistości, wymagającej od nas dostosowania się do nowych warunków pracy. W wielu firmach z branży usług elektronicznych, zmiany są niewielkie, jednaże takich firm jest obecnie mniejszość na naszym rynku. Wystarczy zauwżyć, że dotychczas większość urzędów i innych podmiotów publicznych pracowała w trybie stacjonarnym, w dodatku głównie z wykorzystaniem dokumentów, tzn. systemy miały charakter wspierający. Podobnie funkcjonowała praca w wielu prywatnych firmach. Stają one przed wyzwaniami zapewnienia pracownikom możliwości samoizolacji, w szczególności poprzez pracę zdalną.

Ponieważ na temat zabezpieczenia komputerów i systemów, a także samego trybu pracy, pojawiło się już wiele opracowań (głos zabrał nawet Prezes UODO), ja skupię się na często pomijanym aspekcie, czyli pracy z dokumentami w formie papierowej. Dylematy przed jakimi stają pracodawcy, to czy pozwalać na zabieranie tych dokumentów do domu, a jeżeli tak, to na jakich zasadach. Read More

02 Mar

Ci od RODO: Kulisy tworzenia Kodeksu RODO dla bibliotek

Wraz z Łukaszem podjęliśmy się w zeszłym roku zadania stworzenia Kodeksu RODO dla bibliotek. W tym podcaście opowiadamy o tym, jak wyglądała współpraca z SBP, konsultacje społeczne, pozyskiwanie autorów i prace redakcyjne nad kodeksem. Wyjaśniamy czemu trwało to tak długo, na jakie natrafiliśmy problemy, a także czym nasz kodeks różni się od innych, których jest w tym momencie prawie 30.

Treść Kodeksu RODO dla bibliotek.

Zestawienie Kodeksów RODO przygotowane przez p. Adama Klimowskiego.

Read More

26 Lut

Czy CUW jest odrębnym administratorem danych?

Wydawać by się mogło że o powierzaniu danych osobowych wiemy już wszystko. Od początku stosowania RODO omówiono i rozstrzygnięto wiele niejasności w tym zakresie, kiedy powierzamy (serwis systemów informatycznych, zewnętrzna obsługa BHP), a kiedy jest to oddzielny ADO (pielęgniarka szkolna). Nadal jednak w rzeczywistości polskich urzędów mamy konstrukcje organizacyjne, które są tematem sporów. Takim przykładem może być obsługa kadrowo-płacowa jednostek organizacyjnych gminy, powiatu czy miasta przez centrum usług wspólnych [CUW] lub też przez specjalnie w tym celu stworzony wydział w urzędzie.

Podstawą takiego przetwarzania są ustawy o samorządzie gminnym i powiatowym. Na podstawie uchwały dany samorząd może odgórnie narzucić jednostkom wspólną obsługę: kadrową, finansową, czy informatyczną. Ustawy te (art. 10d U. o samorządzie gminnym i art. 6d U. o samorządzie powiatowym) uprawniają jednostkę obsługującą do przetwarzania danych osobowych przetwarzanych przez jednostkę obsługiwaną w zakresie i celu niezbędnym do wykonywania zadań w ramach wspólnej obsługi tej jednostki, ale nie wskazują jej w tym zakresie jako odrębnego administratora. Nadal dla danych przekazywanych do CUW administratorami są jednostki organizacyjne. Takie stanowisko można znaleźć także w Poradnikach i wytycznych Prezesa UODO, np. w odpowiedzi na pytanie „Czy po wejściu stosowania RODO CUW może powołać jednego IOD dla wszystkich obsługiwanych jednostek?” wskazuje, że CUW nie jest administratorem danych przekazanych przez jednostki obsługiwane, a w Poradniku dla szkół określa, że jest to powierzenie danych i należy spełnić wymogi art. 28 aby było ono skuteczne, a jednocześnie zabezpieczało interesy ADO oraz zapewniało odpowiedni poziom bezpieczeństwa danych osobowych: „Jeżeli organ prowadzący szkołę zapewnia jej obsługę administracyjną, prawną, czy finansową, to szkoła, jako administrator danych, udostępnia dane w ramach powierzenia przetwarzania danych tylko w zakresie niezbędnym do realizacji tego celu oraz po spełnieniu wymogów określonych w art. 28 RODO.” 

Korzystanie z usług CUW wymaga powierzenia pomiędzy obsługiwaną jednostką a CUW.

Należy podkreślić, że uchwała na podstawie, której jest tworzony CUW można byłoby uznać za „inny instrument prawny” w rozumieniu artykułu 28 ust. 3 RODO i w jej treści (lub aneksie) zamieścić wszelkie wymagane w RODO zasady obowiązujące przy powierzaniu danych osobowych. Przeglądając uchwały samorządów, w żadnej nie spotkałam się z zapisami powierzenia. Zwykle są w nich elementy wskazane ustawami o samorządzie, czyli kto kogo obsługuje i w jakim zakresie. W związku z tym potrzebny jest inny formalny dokument, który te uchwały uzupełni. Jeżeli uregulowanie zasad przekazania danych do CUW będzie następowało w ramach umów powierzenia pomiędzy CUW a jednostkami, dobrze byłoby, aby wszystkie jednostki korzystały ze wspólnego, uzgodnionego wzoru powierzenia (minimalizacja kosztów i czasu). Gdyby takie rozwiązanie było niemożliwe to każdy administrator, dbając o własny interes powinien sporządzić dokument zawierający elementy wskazane w art. 28 RODO i doprowadzić do jego podpisania. Read More

18 Lut

Ci od RODO: Jak rozmawiać z ADO i pracownikami?

Odcinek zaczynamy od zagadnień związanych z cyberbezpieczeństwem i postępowaniem w przypadku przejęcia konta na Facebooku, po to aby przejść do roli IOD w organizacji. Jak rozmawiać z pracownikami, szczególnie gdy są naszymi współpracownikami? Jak rozmawiać i przekonać ADO do swoich racji? Czy nieśmiały IOD w ogóle ma szansę skutecznie działać? Read More

17 Lut

Kodeks RODO do bibliotek

W ostatni piątek, doczekaliśmy się publikacji ofjcalnego projektu Kodeksu RODO dla bibliotek. Czemu projektu? Ponieważ, dopiero po przejściu certyfikacji u Prezesa UODO, będzie można oficjalnie mowić o kodeksie postępowania. Nie zmienia to jednak faktu, że sam proces certyfikacji trwa bardzo długo (obawiam się, że zaczekam nie kilka miesięc, ale lat), a porządne wytyczne są potrzebne już dziś i teraz. Poza tym z moich doświadczeń (a brałam udział w certyfikacji innego rodzaju wewnętrznego kodeksu), zanim uda się otrzymać certyfikat, kodeks trzeba będzie jeszcze kilkukrotnie aktualizować i ponownie omawiać ze środowiskiem bibliotekarzy.

Właśnie, w zasadzie powinnam od tego zacząć. Kodeks zrodził się w głowach mojej i Łukasza Wojciechowskiego, z którym każdy wspólny projekt jest prawdziwą torpedą (jeśli chcecie się przekonać, zapraszam do słuchania naszych podcastów CI od RODO).  Zresztą Łukasz prowadzi też świetnego bloga o ochronie danych, cyberbezpieczeństwie i kontroli zarządczej (statuo.pl). Do projektu udało się zaangażować SBP, które pomogło w kwestiach organzacyjnych i znalazło ekspertów, na co dzień pracujących w bibliotekach, którzy pomogli nam w spornych i trudnych kwestiach.

Uważam, że stworzenie i publikacja kodeksu to coś naprawdę wielkiego. Jestem dumna z tego projektu i zadowolona z efektu, za każdym razem, gdy sięgam do kodekus. Mam poczucie, że powstał naprawdę porządny podręcznik, którego rola wspierająca będzie nieoceniona, nie ważne, kiedy zostanie certyfikowany. Mam też poczucie, że kodeks może pomogać nie tylko branży bibliotecznej, bo zostało tam omówionych także sporo ogólnych zagadnien.

Chciałabym bardzo podziękować Łukaszowi Wojciechowskiemu, który jest współredaktorem oraz autorem bardzo wielu podrozdziałów w kodeksie. We dwoje wzięliśmy na siebie najcięższą pracę i mogliśmy na siebie liczyć na każdym etapie. Bardzo dziękuję wszystkim autorom, bez ich bezinteresowanego zaangażowania, kodek nie byłby tak wartościowy. Szczególnie Dorota Mika i Piotr Kaczmarek zasługują na ogromnego całusa, bo wzięli na swoje barki dodatkowe podrozdziały, po autorach, którzy w ostatniej chwili zrezygnowali. Serdeczne uściski także dla nieocenionych ekspertów, którzy bardzo sprawnie pomagali nam przebrnąć przez meandry praktycznego podejścia do RODO w bibliotekach i znaleźć właściwy kierunek, dla naszych prac nad kodeksem, gdy trafialiśmy na ślepą uliczkę!

Kodeks RODO dla bibliotek jest dostępny na stronie SBP, ale można go pobrać także bezpośrednio >>tutaj<<

11 Lut

O upoważnianiu słów kilka

Uważam, że upoważnianie ma fundamentalne znaczenie dla zapewniania zgodności przetwarzania z RODO. Jednakże większość przeprowadzanych przeze mnie audytów oraz moje doświadczenia we współpracy z różnymi administratorami, prowadzą do wniosku, że nie przykłada się zbyt dużej wagi do upoważnień. Bardzo często są one nadawane hurtem, tzn. wszystkim do wszystkiego, nie są odwoływane, nie są aktualizowane. Jest to błąd, bo w przypadku naruszenia przez pracownika wewnętrznych procedur, w szczególności kradzież lub udostępnienie danych, nienadane, niewłaściwie nadane lub nieodwołane upoważnienie może utrudnić lub uniemożliwić, że pracownik działał niezgodnie z wolą administratora.

Upoważnienie do wszystkiego lub w zbyt szerokim zakresie

Tak jest najłatwiej, szczególnie gdy firma jest mała, praktyką jest nadawanie upoważnienień do „przetwarzania danych osobowych”. Czasami określa się, że zakres upoważnienia jest „bez ograniczeń”. Bywa że upoważnienie jest trochę bardziej szczegółowe i zapisano w nim, że jest to przetwarzanie danych związanych z zatrudnieniem. W takim wypadku osoba upoważniona może uzurpować, że jest uprawniona także do dostępu do danych płacowych, czy bazy marketingowej, pomimo że jej obowiązki nie są z tym związane. Nie ograniczając uprawnień osoby upoważnionej administrator podcina gałąź, na której siedzi, dając wyraźny sygnał „ufam Ci, w mojej firmie możesz robić wszystko”. Czy pracownicy faktycznie tak do tego podchodzą? Zdecydowanie tak, szczególnie jeżeli otrzymają dostęp do danych związanych z zatrudnieniem lub klientami firmy. Na przykład osoby biorące udział w procesach rekrutacji (np. pracownicy HR, czy kierownicy działów) otrzymując upoważnienie do „przetwarzania danych związanych z zatrudnieniem”, dość często powołując się na to upoważnienie żądają od kadr informacji o umowach innych pracowników, w szczególności na podobnych stanowiskach. Czasami chcą też dostęp do historii umów zawartych z klientami, których znają (czytaj znajomych, których lubią lub nie), by zaspokoić swoją ciekawość. Ich żądania i oczekiwania są spowodowane tym, że otrzymali upoważnienie w zbyt szerokim zakresie. Read More

15 Sty

Czy należy informować o usunięciu danych osobowych

Przepisy RODO wskazują jedynie na konieczność zapewnienia rozliczalności danych, czyli administrator musi posiadać wiedzę o tym jakie dane zostały usunięte, a także kto,  kiedy i dlaczego je usunął. W praktyce stosuje się albo przyjęte procedury niszczenia na bieżąco dokumentów i usuwania plików, a także danych z systemów, dla których cel przetwarzania już ustał. Takie zasady niszczenia na bieżąco, a także obowiązku pracowników w tym zakresie powinny wynikać z oficjalnie przyjętej proceduy.  W przypadku dokonywania przeglądów danych osobowych, na skutek których usuwa się większe ilości danych, stosuje się protokoły zniszczenia dokumentów.

Powstaje jednak pytanie, czy jeżeli usuwamy dane osobowe, powinniśmy poinformować osobę której dane dotyczą o tym fakcie. Czy powinna mieć wiedzę, że od tego momentu nie mamy już jej danych (czyli na przykład nie będziemy w stanie zrealizować jej prawa z art. 15 RODO do uzyskania kopii danych). Read More