13 Gru

Jak skutecznie szkolić pracowników z przestrzegania zasad RODO?

Szkolenia pracowników to najtańszy i najprostszy sposób dbania o zapewnienie ochrony danych osobowych przetwarzanych w organizacji. Wielu administratorów danych tłumaczy brak wdrożenia odpowiednich zabezpieczeń, w szczególności informatycznych, niewystarczającym budżetem. Trudno jest mi przyjąć ten argument, biorąc pod uwagę, że dobre szkolenie dla pracowników można zrobić wewnętrznie, bez angażowania dodatkowych środków.

Właśnie. Dobre szkolenie.

Dobre szkolenia dla pracowników nie polegają na czytaniu slajdów. Dobre szkolenie nie może być nudne. Dobre szkolenie musi opierać się na praktycznych przykładach, powinno być połączone z częścią warsztatową, wywoływać pozytywne emocje, pozostawiać pozytywne wrażenia.

Niektórzy czytając moje wywody, śmieją się pod nosem. Jak można zrobić zabawne i ciekawe szkolenie z RODO? Przecież to taki nudny temat??? Oczywiście, że można, ale o tym jak to zrobić, napiszę za chwilę. Read More

02 Gru

Czy zgodnie z RODO potrzebna jest zgoda na przetwarzanie danych uczestnika konkursu?

Tematami konkursów zajmowałam się już kilkukrotnie, m.in. we wpisach:

Jednakże problem wrócił do mnie ze zdwojoną siłą ze względu na opublikowany w zeszłym tygodniu RODOporadnik dla sektora nowych technologii. Autorzy poradnika podeszli do zagadnienia w bardzo praktyczny sposób, odpowiadając na najczęstsze pytania, z jakimi mierzą się firmy prowadzące działalność marketingową. Szczególnie polecam omówienie tematu zgody na wysyłanie newsletteru.

Nie mogę jednak zgodzić się z wytycznymi w zakresie organizowania konkursów. Szczerze mówiąc mam duże wątpliwości, czy autorzy rzeczywiście mieli na myśli to co ostatecznie zostało opublikowane w poradniku, biorąc pod uwagę ich wcześniejsze wytyczne, które stoją w sprzeczności z poradami w zakresie konkursów.

Ale od początku. Ostatnie pytanie zadane w poradniku odnosi się do kwestii legalności przetwarzania danych osobowych uczestników konkursów. Czy niezbędna jest zgoda, czy można uznać, że przetwarzanie ich danych wpisuje się w prawnie usprawiedliwiony interes administratora danych, jakim jest marketing produktów własnych (art. 6 ust. 1 lit. f RODO)? Zdaniem autorów poradnika, Administrator danych, organizując konkurs, będący  przyrzeczeniem publicznym w rozumieniu art. 919 Kodeksu cywilnego i nast., może przetwarzać dane osobowe uczestnika konkursu na podstawie prawnie uzasadnionego
interesu, m.in. w celu: organizacji konkursów, w tym obsługi zgłoszeń, w zakresie pomocy
technicznej, informowania o wynikach i wyłaniania zwycięzców oraz przyznawania i wysyłania nagród konkursowych.

W mojej opinii do przeprowadzenia konkursu niezbędna jest zgoda uczestnika. Wywodzę ją nie tylko z przepisów RODO, ale także dotychczasowej praktyki oraz wytycznych Urzędu Ochrony Danych Osobowych w tym zakresie. Ale po kolei.

Read More

18 Lis

Zawiadomienie osób, których dane dotyczą o naruszeniu ochrony ich danych

Designed by Freepik.com

Informowanie osób, że z ich danymi stało się „coś złego” (to może być nie tylko kradzież, ale także nieuprawniona modyfikacja, nieuprawniony dostęp, niewłaściwe zniszczenie, utrata dostępu do danych), jest jednym z nowych i bardzo, bardzo ważnych obowiązków, wynikających z RODO. Nie oszukujmy się, administrator danych najchętniej ukryłby każde zdarzenie, które mogłoby postawić go w złym świetle. Dotychczas administratorzy nie mieli obowiązku poinformowania osób, których dane dotyczą, nawet gdy mieli 100% pewność, że ktoś może wykorzystać dane do kradzieży tożsamości. Mogli to zrobić, ale nie musieli, co oznacza, że zazwyczaj tego nie robili.

Warto zwrócić uwagę, że zawiadomienie organu nadzoru o wycieku danych, nie jest niczym nowym. Podobne obowiązki już dawno były wpisane w przepisy o ochronie informacji niejawnych oraz prawo telekomunikacyjne. Jednakże przed RODO przepisy nie regulowały zasad powiadamiania osób, których dane dotyczą o wycieku (lub innym groźnym zdarzeniu) jej danych. Znanych jest kilka historii (polecam poszperać na stronach serwisu Niebezpiecznik.pl) o tym, jak administrator danych “zawiadamiał” w sposób, który nie wnosił żadnej wiedzy, a jedynie zamieszanie i zdenerwowanie. Co nam po informacji, że ktoś ukradł nam dane, a administratorowi jest przykro z tego powodu?

RODO wprowadza nowe zasady. Jeżeli zostanie naruszona ochrona danych w wyniku, której istnieje duże ryzyko dla praw i wolności, osób które dane dotyczą, wówczas administrator ma obowiązek dokonać zawiadomienia tych osób (art. 34 RODO). Jak wspomniałam wcześniej, naruszenie nie dotyczy tylko kradzieży. Naruszeniem będzie zdarzenie, które doprowadzi do utraty, którejkolwiek z fundamentalnych cech danych osobowych, jak integralność, rozliczalność i poufność. Jeżeli za takim zdarzeniem, będzie szło ryzyko dla praw i wolności osoby, której dane dotyczą (np. szantaż tej osoby, kradzież jej danych, niemożliwość skorzystania przez nią z praw przysługujących jej na mocy przepisów prawa, itd), wówczas niezbędne jest zawiadomienie jej, o zaistniałym zdarzeniu. Read More

08 Lis

Rozpoczęcie współpracy z Wolters Kluwer

Korzystacie z systemu LEX? Ja czasami mam wrażenie, że wszyscy go mają. Nie bez powodu, jest to źródło bardzo aktualnej i szerokiej wiedzy. Poza tym w LEX publikują znani i cenieni eksperci. Nie wypada nie pochwalić się, że od kilku dni zaliczam się do tego szacownego grona  i wspieram swoją wiedzą oraz doświadczeniem użytkowników. Na dzień dzisiejszy z systemu korzysta ponad 400 tysięcy użytkowników, a ja zaczęłam już odpowiadać na ich pierwsze pytania dotyczące stosowania RODO w praktyce.

Jeżeli nie macie LEX, możecie znaleźć moje artykuły także w portalu INFOR oraz magazynie Bibliotekarz. A jeżeli macie ochotę ze mną podyskutować i nauczyć się czegoś od mnie, zapraszam na szkolenia oraz moje zajęcia na studiach podyplomowych z ochrony danych osobowych w Politechnice Białostockiej oraz Wyższej Szkole Ekonomii i Innowacji w Lublinie.

 

 

06 Lis

Weryfikacja uprawnień i dyplomów przyszłego pracownika a RODO

Poruszę dzisiaj gorący i trudny temat dotyczący weryfikacji uprawnień oraz dyplomów przyszłych kandydatów do pracy. Moje wnioski i przemyślenia są efektem analizy Poradnika UODO: Ochrona danych osobowych w miejscu pracy. Poradnik dla pracodawców. Nie daje mi spokoju punkt 3.3 Poradnika:

Czy potencjalny pracodawca może zwrócić się do uczelni wyższej z prośbą o potwierdzenie, czy kandydat do pracy uzyskał w niej dyplom?

Nie. Potwierdzanie prawdziwości dyplomu ukończenia studiów wyższych, jak i innych danych zawartych w dokumentach przedkładanych przez kandydata w toku rekrutacji, poprzez kierowanie zapytań do podmiotów, które wydały te dokumenty jest niedopuszczalne. Polski prawodawca co zasady nie przewiduje w przepisach krajowych uprawnienia pracodawcy do występowania do innych podmiotów w celu potwierdzenia lub sprawdzenia prawdziwości dokumentów i danych w nich zawartych przedłożonych przez kandydatów w toku rekrutacji.

Takie działanie nie ma również oparcia w przesłance określonej w art. 6 ust. 1 lit. f RODO. Przypomnieć należy, że zgodnie z art. 22 1 § 3 Kodeksu pracy udostępnienie pracodawcy danych osobowych następuje w formie oświadczenia osoby, której one dotyczą, zatem należy uznać, że praktyka polegająca na dodatkowej weryfikacji informacji uzyskanych od kandydata, naruszałaby prawa i wolności osoby. Polski ustawodawca zdecydował, w jakiej formie pracodawca powinien pozyskiwać informacje o kandydacie do pracy.

Wskazać należy, że praktyka polegająca na pozyskiwaniu zgód od kandydata na weryfikowanie prawdziwości złożonych oświadczeń i danych zawartych w dokumentach również nie znajduje oparcia w przepisach RODO. Podkreślenia wymaga, że jednym z warunków skuteczności zgody jest jej dobrowolność, co oznacza, że osoba, której dane dotyczą nie powinna ponosić żadnych negatywnych konsekwencji, jeżeli odmówi jej wy-rażenia. Niewyrażenie zgody przez kandydata na kontakt z uczelnią przez pracodawcę (choćby z powodów subiektywnych np. konfliktu z uczelnią), może spowodować, że potencjalny pracodawca odrzuci jego kandy-daturę.

Jeżeli pracodawca ma podejrzenia, że przedkładany dokument został sfałszowany powinien złożyć zawiadomienie o możliwości popełnienia przestępstwa określonego w art. 270 § 1 Kodeksu karnego.

Rozumiem sens i znaczenie powyższych wytycznych. Oświadczenie kandydata powinno być wystarczające, ponieważ nie można traktować każdego „jak potencjalnego przestępcy”. Jedynie uzasadnione podejrzenie powinno prowadzić do weryfikacji dokumentów. Jednocześnie w ostatnim czasie spotkałam się z dwiema sytuacjami, które zweryfikowały mój pogląd na powyższe wytyczne: Read More

29 Paź

Kopiowanie i przechowywanie dowodów osobistych zgodnie z RODO

Temat nielegalnego powielania dowodów jest co chwilę poruszany przez Urząd Ochrony Danych Osobowych oraz ekspertów od bezpieczeństwa informacji. Często jest podkreślane, że kopiowanie dowodu jest zabronione, chyba że taki obowiązek wynika bezpośrednio z przepisu prawa lub wyrazisz na to zgodę (jednak tylko wtedy, gdy ten kto chce kopiować dowód wykaże uzasadnienie dla takiej prośby, np. wysokie ryzyko wyłudzeń jego usług). Kontrole przeprowadzane przez (jeszcze wówczas) GIODO rok rocznie wykazywały, że od kiedy w firmach pojawiły się kopiarki, zaczęliśmy kopiować wszystko na potęgę. W erze sprzed kopiarek po prostu zatrzymywaliśmy dowody pod zastaw. Świadomość się zwiększa, coraz rzadziej zgadzamy się na to, żeby ktoś brał nasz dowód do ręki, a co dopiero kopiował (a jeśli już chce kopiować, musi wykazać swój interes prawny). Są jednak sytuacje, choć rzadkie, w których skopiowanie dowodu jest umotywowane w przepisach prawa, na przykład:

Banki mogą przetwarzać dla celów prowadzonej działalności bankowej informacje zawarte w dokumentach tożsamości osób fizycznych. Ustawa z dnia 29 sierpnia 1997 r. – Prawo bankowe, art. 112b.

Instytucje obowiązane na potrzeby stosowania środków bezpieczeństwa finansowego mogą przetwarzać informacje zawarte w dokumentach tożsamości klienta i osoby upoważnionej do działania w jego imieniu oraz sporządzać ich kopie. Ustawa z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu, art. 34 ust. 4.

Read More

18 Paź

Akcja ochrony danych osobowych w podmiotach publicznych

Muszę Wam się pochwalić: z dniem 1 października udało nam się pozytywnie przejść przez weryfikację prowadzonej przez nasz działalności szkoleniowej i otrzymaliśmy akredytację, która potwierdza jakość naszych szkoleń.

Skorzystaj z akredytowanych szkoleń RODO

Uzyskanie akredytacji stało się dla nas impulsem do uruchomienia akcji wpierania ochrony danych osobowych w podmiotach publicznych. Nasza działalność pokazuje, że jest ogromna potrzeba wsparcia pracowników i kierownictwa podmiotów publicznych w zapewnieniu odpowiedniego poziomu wiedzy w zakresie stosowania RODO. W związku z tym proponujemy uczestnikom z podmiotów publicznych duże zniżki na korzystanie z naszych usług,  w szczególności ze wsparcia przy tworzeniu dokumentacji bezpieczeństwa zgodnej z RODO oraz szkoleń z ochrony danych osobowych. Read More

10 Paź

Wykaz procesów przetwarzania, dla których musi być przeprowadzana ocena skutków (DPIA)

O ocenie skutków dla ochrony danych pisałam już wcześniej (Ocena skutków przetwarzania według RODO ) jednakże w artykule skupiałam się na nowych procesach przetwarzania, które ze względu na swój charakter wiążą się z wysokim ryzykiem naruszenia poufności. Pod koniec sierpnia w Dzienniku Urzędowym ukazał się Komunikat Prezesa Urzędu Ochrony Danych Osobowych z dnia 17 sierpnia 2018 r. w sprawie wykazu rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony. Wykaz jest konsekwencją art. 35 ust. 4 RODO: Organ nadzorczy ustanawia i podaje do publicznej wiadomości wykaz rodzajów operacji przetwarzania podlegających wymogowi dokonania oceny skutków dla ochrony danych na mocy ust. 1. Ponieważ RODO wymaga spójności wewnątrz UE w zakresie zasad przetwarzania danych Organ nadzorczy przekazuje te wykazy Europejskiej Radzie Ochrony Danych, o której mowa w art. 68. W zeszłym tygodniu ukazała się opinia Rady dotycząca polskiego wykazy, zgodnie z którą Prezes UODO ma 14 dni na zaktualizowanie wykazu. Na co zwróciła uwagę Rada?

Read More

22 Wrz

Analiza ryzyk i zagrożeń – podejście praktyczne

RODO innowacyjnie w stosunku do dotychczasowych rozwiązań, podchodzi do kwestii doboru odpowiednich środków zapewniających rozliczalność danych (mam na myśli rozliczalność w rozumieniu fundamentalnych zasad przetwarzania danych, o których mowa w art. 5 RODO). W miejsce stałych wytycznych, które dotychczas prowadziły administratora danych za rękę, wprowadza podejście oparte na ryzyku. Jedyne konkretne (minimalne) wytyczne zostały wskazane w art. 32, tzn.

  • szyfrowanie i pseudonimizacja danych;
  • zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
  • zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
  • regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Ani słowa o hasłach, szafach, niszczarkach, zabezpieczeniach sieci. Administrator danych (firma) musi zapewnić zdolność do skutecznego zabezpieczenia danych, czyli samodzielnie dobiera odpowiednie środki i bierze za nie odpowiedzialność. A ich skuteczność ma być zagwarantowana przez ciągłe testowanie i ocenianie. W jaki sposób? To administrator danych decyduje. Oczywiście najważniejszą i najbardziej obiektywną oceną, czy zastosowane rozwiązania są skuteczne, będzie skuteczność. Jednakże jeżeli środki bezpieczeństwa zawiodą, administrator stanie przed koniecznością udowodnienia, że ze swojej strony robił wszystko co mógł, aby tak nie było, w tym dobór środków dyktował nie tylko ceną, ale także ich skutecznością. Będzie musiał okazać wyniki dokonywanych testów i oceny skuteczności zastosowanych zabezpieczeń. Narzędziem służącym do realizacji tego zadania jest analiza ryzyk i zagrożeń. Konieczność dokonania analizy wywodzimy także z art.  35 RODO, który wskazuje, że jeżeli dla konkretnego przetwarzania istnieje wysokie ryzyko naruszenia poufności, należy przeprowadzić ocenę skutków dla ochrony danych. Najpierw trzeba ocenić ryzyko, żeby wiedzieć, czy konieczna jest ocena skutków.

Kto powinien przeprowadzić analizę ryzyka

W tym momencie dla większości administratorów zaczyna się problem. Jak zrobić analizę ryzyka, czy można zrobić ją samodzielnie, czy trzeba zatrudnić zewnętrzną firmę? Jakich narzędzi użyć, czy jest to trudne? Jeżeli wyszukiwaliście w Internecie informacje o metodologii przeprowadzania analizy ryzyka, to wiecie, że jest to zagadnienie dość skomplikowane. Tym bardziej, że nie da się napisać uniwersalnego tekstu o analizie ryzyka, tak żeby był prosty i zrozumiały, bo należy uwzględnić zarówno potrzeby małych, średnich, jak i dużych przedsiębiorstw. Z audytów u klientów wiem, że bardzo często osoba, której przypadł zaszczyt przeprowadzenia analizy nie ma o tym zielonego pojęcia, a w najlepszym przypadku dostaje tabelkę z poleceniem proszę to uzupełnić. Uzupełnia, tak jak jej się wydaje, tak jakby wróżyła z fusów. Stwierdzając, że jest to bezużyteczne i nic nie daje. Dodatkowo jest ogromny nacisk ze strony kierownictwa, aby wszędzie wyszło niskie ryzyko. Read More

10 Wrz

Czym są czynności przetwarzania w rejestrze czynności?

Rejestr czynności przetwarzania jest tematem pojawiającym się właściwie na każdym moim szkoleniu i w większości dyskusji. O zasadach tworzenia i prowadzenia rejestru pisałam tutaj. Jednakże już na pierwszy rzut oka, można zauważyć, że przyjęłam inną zasadę tworzenia rejestru, niż podany na stronach urzędu ochrony danych osobowych wzór: wyjaśnienia Prezesa UODO jak prowadzić rejestr czynności

Na stronie zostały zamieszczone Wskazówki i wyjaśnienia dotyczące obowiązku z art. 30 ust. 1 i 2 RODO, przygotowane przez pracowników UODO, Panią Monikę Młotkiewicz oraz dr inż Andrzeja Kaczmarka. W podanym przykładzie autorzy posługują się “czynnościami na danych” bardzo szczegółowo rozbijając je dla poszczególnych zbiorów. Wynika to z interpretacji “czynności przetwarzania”, jako zespołu powiązanych ze sobą operacji na danych, wykonywanych przez jedną lub kilka osób, które można określić w sposób zbiorczy, w związku z celem, w jakim te czynności są podejmowane.

W 2016 roku, pod patronatem GIODO, ukazał się bardzo dobry i prosty poradnik Wykonywanie obowiązków ABI, przyszłego inspektora ochrony danych, w świetle ogólnego rozporządzenia o ochronie danych osobowych, pod redakcją “autorytetów RODO”, m.in. dr Edyty Bielak-Jomaa, Piotra Drobka, dr Macieja Kaweckiego. W poradniku jeden z rozdziałów został poświęcony zagadnieniu prowadzenia rejestru czynności przetwarzania, w którym dr inż. Andrzej Kaczmarek wyjaśnia: Read More