09 Gru

Pakiet RODO na 2020 rok!

Po półtora roku stosowania przepisów RODO jesteśmy już odrobinę bardziej pewni tego co powinniśmy mieć i jakie procedury należy wdrożyć w swojej firmie. Wytyczne Prezesa UODO, a także moje doświadczenia związane z wdrażaniem RODO w firmach, dały nowy pakiet RODO.

Jest to zestaw dokumentów i procedur do samodzielnego zapewnienia zgodności z RODO w Twojej firmie. Jest to zestaw bardzo kompleksowy, uwzględniający nie tylko wzory dokumentów, ale także wyjaśnienia, jak postępować. Nie każdego stać na kompleksową usługę, nie każdy chce też korzystać z usługi wdrożenia RODO (ja sama jestem trochę „Zosią samosią”), pakiet RODO daje możliwość indywidualnego i samodzielnego podejścia do zagadnienia. Read More

18 Lis

Ci od RODO: Jak dobrze szkolić z RODO? (odc. 3)

CI OD RODO, czyli podcast o RODO z przymrużeniem oka, prowadzony przez znanych i cenionych ekspertów od ochrony danych: Sylwię Czub-Kiełczewską (sylwiaczub.pl) i Łukasza Wojciechowskiego (statuo.pl).

Szkolenia Sylwii i Łukasza to prawdziwa „torpeda”. Uczestnicy nie tylko uczestniczą z zaangażowaniem od początku do końca, ale bardzo też dziękują prowadzącym aplauzem. Zrobić dobre szkolenie jest BARDZO trudno, więc jak oni to robią, że im tak łatwo i tak dobrze wychodzi? Czy miewali jakieś wpadki? W tym odcinku będzie bardzo dużo o największych trudnościach i problemach związanych z prowadzeniem szkoleń, a także jak im zaradzić. Ci od RODO dzielą się swoim doświadczeniem i garścią praktycznych porad. Jeśli chcesz dobrze szkolić, chcesz być w tym skuteczny i kończyć szkolenie z uśmiechem na ustach, ten podcast jest dla Ciebie. Read More

14 Lis

Czy z notariuszem trzeba podpisać umowę powierzenia danych?

Dostałam ostatnio pytanie, czy jeżeli deweloper korzysta z usług notariusza, któremu udostępnia dane osobowe klientów na potrzeby zawarcia aktów notarialnych w związku ze sprzedażą mieszkań, to czy notariusza można uznać za przetwarzającego dane w imieniu dewelopera zgodnie z art. 28 RODO.
Oczywiście takie pytanie pojawia się zawsze, gdy przekazujemy komuś dane. Co ciekawe, sam fakt, że ktoś realizuje dla nas usługę (lub na nasze żądanie) nie przesądza o tym, że będzie podmiotem przetwarzającym. Do powierzenia dochodzi wówczas, gdy inny podmiot działa na wyraźne polecenie administratora w określonym przez niego zakresie i w określony przez niego sposób. Administrator przekazując dane do powierzenia, decyduje o tym w jaki sposób będą one przetwarzane, a zatem też o zakresie udostępnianych danych, czy czasie ich przetwarzania. W relacji deweloper – notariusz albo ogólnie klient – notariusz trudno mówić o wydawaniu poleceń, czy decydowaniu o sposobach przetwarzania danych osobowych przez dewelopera/klienta. Zasady prowadzenia działalności przez notariusza, w tym sposoby przetwarzania przez niego danych, określają przepisy ustawy z dnia 14 lutego 1991 r. Prawo o notariacie, a także przepisy na podstawie, których realizuje poszczególne czynności, tj. przepisy Kodeksu cywilnego, Kodeksu Postępowania Cywilnego, itp. Read More

06 Lis

RODO a Google Analitics, Facebook oraz inne mechanizmy śledzące (odc. 2)

CI OD RODO, czyli podcast o RODO z przymrużeniem oka, prowadzony przez znanych i cenionych ekspertów od ochrony danych: Sylwię Czub-Kiełczewską (sylwiaczub.pl) i Łukasza Wojciechowskiego (statuo.pl).

Jak działa analityka Google i jakie obowiązki wiążą się z korzystaniem z niej. Dlaczego prowadząc fanpage na Facebooku trzeba wypełniać obowiązki informacyjne wobec fanów i jak to zrobić. Co powinna zawierać polityka prywatności na stronie internetowej. Jak skutecznie świadczyć usługi przez Internet.

Read More

21 Paź

CI OD RODO, czyli o ochronie danych bez trzymanki!

Ten pomysł chodził nam już od dawna po głowie. Szczególnie, że widzieliśmy, że nasze wspólne szkolenia, to kompletna petarda, a ludzie chcą więcej i więcej. Z tematami do rozmowy i argumentami nie było problemu, za to trudniej było zmieścić się w narzuconym z góry rygorze czasowym 😉

CI OD RODO, czyli podcast o RODO z przymrużeniem oka, prowadzony przez znanych i cenionych ekspertów od ochrony danych: Sylwię Czub-Kiełczewską (sylwiaczub.pl) i Łukasza Wojciechowskiego (statuo.pl).

Read More

07 Paź

Google Analitics a RODO

Chyba najpopularniejsze narzędzie służące do generowania statystyk z odwiedzin na stronie internetowej to Google Analitics. Jest ono tak popularne, że stanowi wręcz synonim tej usługi. W mojej praktyce zawodowej spotkałam się też z tym, że bardzo często dostawcy stron internetowych domyślnie instalują GA, nawet jeżeli klient nie zamówił takiej usług, bo to jest oczywiste, że będzie chciał przeglądać statystyki z odwiedzanych stron. Tematem GA zainteresowałam się już bardzo dawno temu, gdyż z natury jestem podejrzliwa i nie wierzę, że w życiu można mieć coś za darmo. Moje podejrzenia utwierdził najpierw regulamin Google Analitics (omówię poniżej), ale także akcja Panoptykon, dotycząca analizy stron administracji rządowej i samorządowej, pod kątem wykorzystywania narzędzi śledzących użytkownika, w tym korzystania przez te strony z GA.

Tak, GA jest narzędziem zbierającym i analizującym dane użytkowników, co więcej musi być w stanie go w jakiś sposób zidentyfikować, aby wygenerować dane statystyczne. Nieważne, że ja jako administrator stron widzę tylko i wyłącznie dane statystyczne, żeby je zebrać i przetworzyć, potrzebne były jakieś dane osobowe. Pytanie jednak, czy to narzędzie jedynie mieli te dane przez chwilę, aby dać nam wynik statystyczny, czy przetwarza je i wysyła dalej, aby móc wykorzystać do szeroko pojętych celów biznesowych Google. Nie bądźmy naiwni. Jaki jest sens dawać administratorom stron za darmo tak fajnie narzędzie, jak Google Analitics, jeżeli ma nie być z tego żadnych korzyści? Współpracując na co dzień z agencjami reklamowymi korzystającymi z szerokiej gamy narzędzi służących do analizy zachowań użytkowników w Internecie w celu generowania skutecznych reklam, utwierdziłam się w przekonaniu, że GA działa bardzo podobnie. Po jakimś czasie pojawiła się aktualizacja regulaminu tego narzędzia (najprawdopodobniej zrobiona w związku z RODO), z której czarno na białym wynika, że jest to narzędzie służące do przetwarzania danych osobowych. W dodatku regulamin korzystania z tego narzędzia jest dosyć, hmmm restrykcyjny. Read More

26 Wrz

Czy kara dla Morele.net oznacza, że UODO będzie teraz nakładać wysokie kary pieniężne?

Nie ukrywajmy, najpierw milion złotych za niedopełnienie obowiązków informacyjnych, teraz prawie 3 miliony za nieskuteczne zabezpieczenie danych – to robi wrażenie. Jeżeli zestawimy to z karami innych europejskich organów, np. dla British Airways (ponad 200 mln euro), Marriott International (ponad 100 mln euro), Google Inc (ponad 50 mln euro), to człowiek zaczyna się zastanawiać, czy jest sens prowadzić biznes. Czy nie jest tak, że gdy zacznie mu się powodzić, to zaraz przyjdą do niego „po pieniądze”. Na marginesie kara nałożona na Morele.net jest w pierwszej 10 najwyższych kar pieniężnych nałożonych dotychczas przez europejskie organy nadzorcze.

Najniższe kary to raptem kilkaset euro. Warto zwrócić uwagę, że od początku bezwzględnego obowiązywania RODO, wszystkie europejskie organy nadzorcze nałożyły łącznie raptem 82 kary finansowe, z czego prawie 70% nie przekracza 50 tys. euro. Myślę, że nie przesadzę stwierdzając, że kary finansowe nie stanowią głównego narzędzia karania administratorów, gdyż skala ich nakładania jest niewielka. Szczególnie, jeżeli porównamy ją z liczbą postępowań prowadzonych przez organy. Prezes UODO w tylko w okresie 25 maja – 31 grudnia 2019 roku otrzymał ok. 4,5 tys. skarg. Dodatkowo prowadził postępowania zgodnie zapowiedzianym planem kontroli. Jak na skalę działalności, liczba nałożonych kar to raptem igła w stogu siana. Analizując same decyzje administracyjne wyraźnie widać, że organ stosuje przede wszystkim nakazy. Oczywiście każdy ma swoją cierpliwość i jeżeli nakaz nie zostanie właściwie zrealizowany przez administratora, może zakończyć się karą, jak to miało miejsce w przypadku Dolnośląskiego Związku Piłki Nożnej. W tym przypadku kara wyniosła „raptem” ok. 55 tys. złotych. Jest to najlepszy dowód na to, że wysokość kary jest proporcjonalna do przychodu administratora i mały podmiot nie otrzyma kary podobnej do tej nałożonej na Morele czy Google. Read More

18 Wrz

Obowiązek informacyjny wobec członków wspólnoty mieszkaniowej

Do stworzenia tego wpisu zainspirował mnie pewien zarządca wspólnoty mieszkaniowej, który uraczył swoich członków naprawdę zabawnym obowiązkiem informacyjnym. Oczywiście mówiąc zabawny jestem dość delikatna, bo zarządca to podmiot przetwarzający dane w imieniu wspólnoty, który powinien być w stanie zapewnić zgodność z przepisami RODO w realizowanych przez siebie czynnościach.

Zacznę od tego co w obowiązku było niepoprawne, bo najlepiej uczyć na błędach 🙂 Gdy poniżej mówię o administratorze, mam na myśli administratora w rozumieniu art. 4 RODO.

1) Jako administrator danych została wskazana (cytuję): „Wspólnota Mieszkaniowa”. Obowiązek był częścią oświadczenia, w którym ani razu nie wskazano pełnej nazwy i danych kontaktowych wspólnoty. Trudno więc uznać, że zostałam skutecznie poinformowana o tym, kto przetwarza moje dane.

2) Co ciekawe, od razu przy danych administratora został wskazany zarządca (tutaj pełna nazwa, adres, dane kontaktowe), wraz z informacją, że zostało mu powierzone przetwarzanie danych. Z punktu widzenia osoby, która otrzymuje tę informację, można odnieść wrażenie, że to zarządca jest administratorem danych – wynika to z dziwnej konstrukcji przekazywanych informacji. Read More

10 Wrz

Obowiązki pracodawcy w związku z Pracowniczymi Planami Kapitałowymi

Do 25 września pracodawcy zatrudniający co najmniej 250 osób są zobligowani zawrzeć porozumienie z pracownikami w zakresie wyboru instytucji finansowej, która będzie prowadziła Pracownicze Plany Kapitałowe [PPK] w firmie. PPK będą wprowadzane stopniowo w corach mniejszych podmiotach, w związku z ciążącym na nich obowiązkiem prawnym wynikającym z ustawy z dnia 4 października 2018 r. o pracowniczych planach kapitałowych. Ponieważ plany kapitałowe to zupełna nowość, omówię to zagadnienie pod kątem wymagań przepisów RODO.

  1. Czy niezbędna jest umowa powierzenia z funduszem, do którego będą przekazywane dane?
    Nie, ponieważ zawarcie i realizacja umowy, w tym przekazanie danych osobowych pracowników, jest obowiązkiem prawnym ciążącym na administratorze danych w związku z przepisami ustawy o PPK. Udostępnianie danych do TFI można przyrównać do udostępniania danych do podmiotu leczniczego w związku z medycyną pracy. Podmiot leczniczy ma obowiązki wynikające z powszechnie obowiązujących przepisów prawa w zakresie przetwarzania danych pacjentów. Podobne obowiązki ciążą na TFI, który od momentu otrzymania danych pracownika będzie administratorem danych.
  2. Czy pracownicy powinni wyrazić zgodę na przetwarzanie ich danych w związku z PPK?
    Nie, przetwarzanie ich danych przez pracodawcę, jest obowiązkiem wynikającym z przepisów prawa.
  3. Czy w związku z udostępnieniem danych pracowników do funduszu, należy wypełnić wobec pracowników obowiązek informacyjny?
    Tak, ponieważ jest to nowy cel przetwarzania, o którym pracownik nie był wcześniej informowany podczas zatrudniania. Warto jednak zwrócić uwagę, że zgodnie z art. 13 ust. 4 RODO, w tym wypadku obowiązek wystarczy wypełnić w zakresie informacji, o których pracownik nie ma wiedzy, w szczególności cel i podstawa przetwarzania, odbiorcy danych oraz czas przetwarzania danych. Pracownik musi być także poinformowany o możliwości wycofania się z funduszu.
  4. Czy przekazanie danych kontaktowych pracownika do funduszu, wymaga zgody pracownika?
    Jeżeli pracodawca udostępnia jedynie służbowe dane, to zgoda pracownika nie jest wymagana. Jeżeli udostępnieniu będzie podlegał prywatny numer telefonu/adres e-mail, należy pozyskać zgodę na udostępnienie tych danych.
  5. Czy pracownikowi po wypisaniu się z funduszu będzie przysługiwało prawo do usunięcia danych?
    Nie, ponieważ prawo do usunięcia danych nie przysługuje, jeżeli administrator ma prawny obowiązek dalej przetwarzać dane osobowe. Tak będzie w przypadku danych przetwarzanych na potrzeby PPK.

Read More