Author Archives: Sylwia Czub

16 cze

Dlaczego IOD powinni rekomendować rezygnację z prowadzenia firmowego TikToka

W maju 2025 roku TikTok Technologies został ukarany przez irlandzki organ nadzorczy karą finansową w wysokości 530 mln euro za niezgodne z RODO przekazywanie danych osobowych użytkowników do Chin. Decyzja ta dobitnie pokazuje, że korzystanie z tej platformy wiąże się z wysokim ryzykiem dla ochrony danych osobowych – zarówno z punktu widzenia zgodności z przepisami, jak i faktycznej kontroli nad przepływem danych.

Brak kontroli nad danymi i nielegalny transfer do państwa trzeciego

Organ nadzorczy stwierdził, że TikTok nie tylko przekazuje dane do Chin, państwa które nie zapewnia wystarczających gwarancji prywatności, ale też celowo wprowadza użytkowników w błąd, nie informując o tym transferze w swoich politykach prywatności. W praktyce oznacza to, że administratorzy, którzy decydują się na publikowanie danych osobowych (np. wizerunku pracowników, uczniów, uczestników wydarzeń itp.) za pośrednictwem TikToka, nie są w stanie zagwarantować zgodnego z prawem zabezpieczenia tych danych.

W praktyce oznacza to, że dalsza publikacja danych na TikTok, wymaga dodatkowej zgody.

Zgodnie z art. 49 ust. 1 lit. a RODO, przekazanie danych osobowych do państwa trzeciego, które nie zapewnia odpowiedniego poziomu ochrony, może nastąpić wyłącznie na podstawie wyraźnej zgody osoby, której dane dotyczą. Co istotne, zgoda ta musi być:

  • świadoma – osoba musi wiedzieć, że jej dane będą przekazywane do Chin,
  • dobrowolna – nie może być wymuszana ani uzależniona od skorzystania z usługi,
  • konkretna i jednoznaczna – nie może być domyślna ani dorozumiana,
  • poprzedzona poinformowaniem o potencjalnych ryzykach, wynikających z braku odpowiedniego poziomu ochrony danych w państwie trzecim.

Praktyczne uzyskanie takiej zgody – zwłaszcza w przypadku dzieci, osób zależnych czy uczestników wydarzeń – jest niezwykle trudne i obarczone znacznym ryzykiem prawnym. Ma to zastosowanie także do danych, które już zostały opublikowane na TikToku.

W przypadku braku zgód, administrator powinien niezwłocznie usunąć dane, gdyż ich dalsza publikacja (szczególnie zdjęć dzieci), będzie stanowić naruszenie RODO.

Należy pokreślić, że kwestia legalności publikowania danych, w związku z ich transferem to nie jedyny problem administratorów, którzy chcą w dalszym ciągu promować swoje działania na TikToku. Należałoby przeprowadzić ocenę skutków dla ochrony danych, zgodnie z art. 35 RODO, aby ocenić, czy dalsze prowadzenie profilu w TikToku będzie możliwe.

Read More
15 maj

Aktualizacja poradnika UODO: Czy każde naruszenie należy zgłaszać?

Chyba dawno nie było tak wielkiego poruszenia w branży ochrony danych osobowych, jak po aktualizacji poradnika dotyczącego naruszeń. Już pierwszy poradnik wydany kilka lat temu wzbudził silne emocje, ale najważniejsze jest to, że stał się punktem wyjścia do masowego stosowania kalkulatorów oceny ryzyka naruszenia. Administratorzy bardzo często opierali swoje decyzje zgłoszenia lub nie naruszenia do organu nadzorczego na narzędziach opracowanych na podstawie jednej z zaleconych w tym poradniku metod. Natomiast w decyzjach Prezesa UODO coraz częściej pojawiało się stwierdzenie, że administrator niewłaściwie ocenił ryzyko. W konsekwencji najczęściej organ nakładał karę za niezgłoszenie naruszenia. W nowym poradniku przemilczano temat metody oceny ryzyka naruszenia wg wytycznych ENISA. Natomiast zaprezentowano „nowe podejście”. W praktyce powstała panika, bo dotychczasowy świat „szacowania ryzyka naruszenia” został wywrócony do góry nogami. Nagle okazało się, że promowana wcześniej metoda jest zła. Eksperci komentowali nowy poradnik, radząc administratorom, aby na nowo oszacowali ryzyko. A najlepiej, żeby zgłaszać wszystkie naruszenia, bo organ nadzorczy „zmienił zdanie”, więc teraz każde naruszenie będzie wpadać pod obowiązek zgłoszenia. A kto nie zgłosi, musi liczyć się z karą.

Read More
10 kwi

Bierny inspektor ochrony danych

Wykonując dla klientów audyty zgodności w celu wdrożenia wymagań NIS2, spotkałam się z nowym zjawiskiem „biernego inspektora”. W dodatku działającego w sposób powodujący konflikt interesów. Ponieważ jest to zawód nieuregulowany, w zasadzie każdy może go wykonywać i bardzo ciężko ocenić standard wykonywanej pracy. W końcu administrator wyznacza IOD, właśnie w celu posiadania na pokładzie kogoś kto zna się na ochronie danych i „pomoże ogarnąć temat”. Jednak do końca nikt nie wie, na czym polega praca IOD, ani w jaki sposób powinien wykonywać swoje zadania. Zresztą ostatnia aktualizacja Poradnika dotyczącego naruszeń przez Prezesa UODO, wywołała ogromne zamieszanie, właśnie w zakresie sporu o to, w jaki sposób inspektor powinien wykonywać swoje zadania. Od opinii, że powinien w zasadzie wykonywać wszystko za administratora, który jedynie zatwierdza lub nie jego pracę od opinii, że inspektor jedynie wydaje zalecenia i przypomina o obowiązkach (np. że administrator musi przeszkolić personel lub przeprowadzić audyt).

I właśnie takich inspektorów, którzy biernie doradzają, coraz częściej spotykam na audytach. Nie inicjują żadnych działań, czekając na kontakt ze strony pracowników, bo obowiązkiem administratora jest zapewnienie włączania inspektora we wszystkie kwestie dotyczące ochrony danych osobowych. Czy zatem bierne czekanie na jest niezgodne z RODO? Trudno rozstrzygnąć, ale w dłuższej perspektywie czasowej na pewno szkodliwe dla administratora. I tu ciekawostka, spotkałam też się z kontraktami na usługi IOD, które są rozliczane nie ryczałtowo, ale godzinowo. Jest to uczciwe rozwiązanie, jednak w praktyce, właśnie w trakcie audytów, stwierdzam że skutkuje ograniczaniem do minimum (nawet do zera) kontaktów z IOD, ze względu na możliwe koszty. W takich organizacjach nie działa projektowanie prywatności, bo nikt nie włącza inspektora w planowanie procesu, najwyżej prosi się go o opiniowanie umów lub wytworzonych dokumentów.

Read More
26 mar

Czy można komunikować się z rodzicami przez WhatsApp?

Coraz częściej słyszę od znajomych nauczycieli oraz dyrektorów szkół, że rodzice naciskają na nich, aby stosować bardziej elastyczne i wygodne formy komunikacji. Nie ulega wątpliwości, że rodzice powinni otrzymywać informacje o postępach w nauce, wynikach i ewentualnych trudnościach swoich dzieci. Pojawia się natomiast wątpliwość, czy można stosować wybrane przez nich formy komunikacji.

Możliwe kanały komunikacji

Poniżej wskazałam przykładowe kanały komunikacji z rodzicami, wraz z argumentacją za ich stosowaniem lub ich niestosowaniem:

Na tak:

  • Dziennik elektroniczny – podstawowe i najbezpieczniejsze źródło informacji o ocenach, uwagach oraz frekwencji ucznia.
  • Służbowy e-mail nauczyciela – przeznaczony do przesyłania oficjalnych wiadomości dotyczących edukacji dziecka.
  • Telefon kontaktowy w wyjątkowych sytuacjach – nauczyciel lub dyrektor mogą skontaktować się z rodzicem na numer wskazany w dokumentacji ucznia, ale tylko w uzasadnionych przypadkach.

Na nie:

  • Prywatny e-mail nauczyciela – brak oficjalnego nadzoru nad taką korespondencją zwiększa ryzyko naruszenia prywatności.
  • Komunikatory internetowe (WhatsApp, Messenger, Signal itp.) – szkoła nie ma kontroli nad tymi narzędziami, co sprawia, że informacje mogą trafić w niepowołane ręce.
  • Grupy na portalach społecznościowych (np. Facebook) – nawet jeśli są zamknięte, istnieje ryzyko, że dostęp do nich uzyskają osoby nieuprawnione, co może prowadzić do wycieku poufnych informacji.
Read More
11 lut

Kiedy IOD może samodzielnie wykonać analizę ryzyka?

O zakres obowiązków inspektora toczą się zażarte dyskusje. Przed obowiązywaniem przepisów RODO, to administrator bezpieczeństwa informacji (protoplasta IOD), realizował większość obowiązków administratora. Przygotowywał, a nawet nadawał upoważnienia, przeprowadzał audyty i realizował zalecenia (w stopniu, w jakim było to możliwe), szacował ryzyka, prowadził ewidencję zbiorów danych. Bardzo trudno po latach przyzwyczajeń, zarówno inspektora, który był ABI, jak i administratora danych, zmienić przyzwyczajenia. Nagle okazało się, że jednym z głównych zadań inspektora jest zmuszenie administratora danych, do zrealizowania działań, wymaganych przepisami prawa. Ponadto administrator wyznaczając IOD, a zatem ponosząc określone koszty jego funkcjonowania w organizacji, ma przekonanie iż nie musi się już martwić o ochronę danych osobowych.

Odrębną kwestią jest to, że administrator zazwyczaj nie potrafi wywiązać się z większości obowiązków wskazanych w RODO, więc potrzebuje wsparcia inspektora. I tak zaczynają się tarcia, jak powinno wyglądać to wsparcie i jaki powinien być udział IOD. Zgodnie z art. 39 RODO, do zadań inspektora należy doradzanie administratorowi. Pytanie brzmi, czy przeprowadzenie analizy ryzyka, to jeszcze doradzanie, czy już działanie realizowane za ADO, tym samym naruszenie niezależności inspektora i przepisów RODO (art. 38 ust. 6). I moim zdaniem nie da się jednoznacznie odpowiedzieć, bazując jedynie na przepisach. Nawet w literaturze pojawiają się bardzo rozbieżne stanowiska, gdzie raz rola IOD ogranicza się do przypominania i mówienia, jak coś zrobić; a innym razem wykonania działania po konsultacji z personelem.

Analiza ryzyka jest trudna, jednak jest niesamowicie przydatnym narzędziem. Nim dłużej zajmuję się kwestiami bezpieczeństwa informacji, tym mocniej doceniam to narzędzie. Jednak na początku była to „droga przez mękę”. Bazując na moich doświadczeniach, mogę stwierdzić, że administrator samodzielnie nie przeprowadzi analizy ryzyka dla ochrony danych osobowych. Nawet jeśli w organizacji jest wiedza w zakresie analizy ryzyka, to zastosowanie standardowej metodyki, może dać przekłamane wyniki. Przede wszystkim dlatego, że skupia się na stratach dla organizacji (często jedynie finansowych), a w przypadku analizy dla ochrony danych, należy jeszcze wziąć pod uwagę dotkliwość skutków dla osoby, której dane dotyczą. I ponownie jest to dziedzina, w której inspektor odnajduje się doskonale, jednak personel administratora może mieć problem ze stwierdzeniem poziomu dotkliwości. Wniosek nasuwa się sam: nie da się przeprowadzić analizy ryzyka dla ochrony danych bez czynnego udziału inspektora. W praktyce będzie raczej tak, że inspektor będzie inicjował i zarządzał procesem, a personel udzielał mu niezbędnych informacji. Może też być tak, że pracownicy wypełnią tabelki, a inspektor zbierze ich analizę w „jedną całość”.

Jednak czy może IOD może przeprowadzić analizę samodzielnie nie powodując konfliktu interesów, bez udziału pracowników?

Read More
13 sty

Już wkrótce masowe upublicznianie PESEL-i przez e-doręczenia

Ochrona PESEL-u zaczyna urastać do rangi narodowej. Z jednej strony na każdym kroku otrzymujemy ostrzeżenia, żeby chronić PESEL, bo jego ujawnienie może skończyć się kradzieżą tożsamości, wzięciem na nas pożyczki lub oszustwem, z drugiej nasze PESEL-e dosłownie wszędzie są dostępne. Pikanterii dodaje fakt, że w przypadku naruszenia poufności danych osobowych, wśród których jest PESEL, Prezes UODO wskazuje, że jest to zdarzenie o wysokim ryzyku negatywnych skutków dla osoby, której on dotyczy.

Czuję się trochę jak w domu wariatów. Przede wszystkim muszę podkreślić, że znalezienie PESEL-u dowolnej osoby fizycznej w Internecie, zazwyczaj jest bardzo proste i zajmuje chwilę. I co ważne, legalnie, bez żadnych ograniczeń PESEL-e udostępniają podmioty publiczne.

Hitem jest rejestr beneficjentów rzeczywistych – wystarczy wpisać nazwę firmy, aby uzyskać wszystkie dane osób kluczowych w takiej firmie (członkowie zarządu, ale czasami też wspólnicy). Są tam adresy i PESEL-e. Wyszukiwarka nie ma żadnych zabezpieczeń, więc przy wykorzystaniu prostego algorytmu, można masowo pobrać wszystkie dane.

Read More
09 gru

Kara dla harcerzy – czy oznacza konieczność posiadania analizy ryzyka na wszystko?

Dawno żadna kara PUODO nie wzbudziła takiego zainteresowania, jak 555 zł dla Chorągwi Stołecznej ZHP. Spotkałam się z komentarzami, że to przykład na to, że PUODO może nałożyć karę „za cokolwiek”. A wynikają one z uzasadnienia decyzji nakładającej karę (DKN.5131.9.2024): „jak zauważył Prezes UODO, analiza ryzyka i wprowadzone na jej podstawie środki nie były wystarczające. PUODO podkreślił, że rola administratora nie ogranicza się tylko do jednorazowego opracowania i wdrożenia środków organizacyjnych i technicznych mających zapewnić przetwarzanie danych osobowych zgodne z zasadami wyrażonymi w RODO. Zgubienie laptopa to zdarzenie losowe. A w takiej sytuacji kluczowe jest jednak to, czy administrator regularnie testował, mierzył i oceniał skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych.”

Czy to oznacza, że teraz trzeba mieć analizę ryzyka na wszystko?

Czy jeśli dochodzi do naruszenia ochrony danych, a administrator nie przewidział ryzyka takiego zdarzenia, to automatycznie otrzyma karę?

Właśnie takie wnioski słyszę od tygodnia. Natomiast zupełnie się z nimi nie zgadzam. Patrzę na to zdarzenie obiektywnie: komunikacją miejską były przewożone dane osobowe dzieci w bardzo szerokim zakresie, które znajdowały się w laptopie. Zabezpieczeniem laptopa było (jakieś) hasło do systemu operacyjnego. Dysk laptopa nie był szyfrowany. Czy w tym wypadku istniał obowiązek zaszyfrowania dysku? Sięgając bezpośrednio do przepisów RODO, należy przyjąć za punkt wyjścia art. 24: „Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.” Przepis ten nie wskazuje wprost w jaki sposób zabezpieczyć laptopa, ale należy pamiętać, że szyfrowanie, jako sposób zabezpieczenia danych zostało wskazane w art. 32 ust. 1 lit. a RODO. Czyli jest to jedno z podstawowych i wprost wskazanych w przepisach zabezpieczeń.

Wracając do konkretnego przypadku zgubienia laptopa. Nie było obowiązku szyfrowania dysku. Jednakże w takim wypadku należało zapewnić szyfrowanie (zabezpieczenie hasłem) plików z danymi (kłania się art. 32 RODO). Prezes UODO zwrócił uwagę na brak analizy ryzyka w tym zakresie. Nie chodzi tu o konkretny przypadek zostawienia laptopa w metrze. Chodzi o to, w jaki sposób administrator dobrał zabezpieczenia do przetwarzania danych elektronicznych na laptopach. Szczególnie istotne jest to, że urządzenia były transportowane oraz wykorzystywane w różnych lokalizacjach. Czym uzasadnił brak zabezpieczenia dysku lub samych plików? Tak zupełnie szczerze – brak jakiegokolwiek zabezpieczenia tych danych (podkreślam danych dzieci), jest bardzo przykre. Tym bardziej, że szyfrowanie dysków laptopów staje się standardem i nie jest trudne (niektóre systemy operacyjne umożliwiają samodzielne zaszyfrowanie dysku, można też skorzystać z darmowego programu Vera Crypt). Do tego nie jest potrzebny „informatyk”.

Przykład zgubienia tego laptopa, to kolejny przykład na to, że wciąż ochrona danych osobowych w wielu podmiotach jest powierzchowna. Nikt nie myśli o konsekwencjach (czyli nie uwzględnia się ryzyka) swoich działań. Jako audytorka systemów ochrony danych, często jestem w szoku, jak bardzo powierzchowne jest podejście do bezpieczeństwa informacji. Takie systemy nazywam niedojrzałymi, bo organizacja nie rozumie jeszcze jak ważny jest cały proces zapewniania ochrony informacji.

Przesyłanie danych osobowych bez zabezpieczenia, przenoszenie nieszyfrowanych danych na dyskach zewnętrznych, praca zdalna na niewystarczająco zabezpieczonym laptopie to codzienność, z którą ludziom z branży bezpieczeństwa informacji przychodzi się mierzyć. Dlatego uważam, że kara nałożona przez Prezesa UODO, była potrzebna.

31 paź

Ochrona wizerunku osoby zmarłej

Narzędzia sztucznej inteligencji umożliwiają ożywianie znanych osób. Dzięki temu znany pisarz może przeczytać fragment swojej książki, a gwiazda kina sprzed 50 lat, reklamować kosmetyki. Branża filmowa także zaczyna ożywiać zmarłych aktorów, żeby móc kontynuować wątki z serii filmowych, w których grali za życia. Możliwości jest bardzo wiele, a efekty naprawdę zdumiewające. Co ważne, osoby zmarłe nie podlegają ochronie przewidzianej w przepisach RODO, więc nie trzeba martwić się o legalność przetwarzania ich danych. I to jest logiczne. Ale jak mawiał mój znajomy, z wykształcenia prawnik „jeśli coś jest logiczne, to pewnie jest nielegalne”. Od dwudziestu lat przypominam sobie jego słowa, gdy trafiam na trudne zagadnienia, których rozwiązanie wydaje się logiczne. I niestety najczęściej (prawie zawsze!) ma rację.

Read More
30 wrz

Pytanie: gdzie znajdę inforamcję dotyczącą zgłoszonego do UODO naruszenia ochrony danych?


Przepisy nie określają sposobu postępowania ze zgłoszeniami naruszeń. Zgodnie z art. 33 ust. 1 RODO Prezes UODO musi zostać niezwłocznie zawiadomiony o naruszeniu. Następnie prowadzi postępowanie, o którym mowa w art. 60 ustawy o ochronie danych osobowych. Jest to „postępowanie wyjaśniające”, a nie administracyjne. Na tym etapie przepisy nie określają żądnych ram czasowych dla takiego postępowania. Na swojej stronie Prezes UODO wskazuje „Wszystkie napływające zgłoszenia naruszenia ochrony danych są skrupulatnie analizowane, a kiedy zachodzi potrzeba uzyskania dalszych informacji – UODO nawiązuje szybki, często też telefoniczny, kontakt z administratorami i wyznaczonymi przez nich inspektorami ochrony danych.” (https://archiwum.uodo.gov.pl/pl/134/1029, dostęp 30.09.2024 r.).

Read More
26 sie

Czy inspektor może obsługiwać zgłoszenia sygnalistów?

Doczekaliśmy się ustawy o sygnalistach, więc rozpoczęło się procesowanie regulaminu obsługi zgłoszeń, której ten przepis wymaga. Bardzo ważne w całym procesie jest zapewnienie skutecznej ochrony tożsamości sygnalisty oraz osób, których dane będą przetwarzane w związku z działaniami następczymi. Jest to ważne nie tylko ze względu na przepisy o ochronie danych osobowych, ale uchronienie sygnalisty przed działaniami odwetowymi. A w przypadku fałszywych oskarżeń, uchronienie osoby pomówionej przez „sygnalistę” przed negatywnymi skutkami tego pomówienia.

Przepisy wymagają wprowadzenia kanału zgłoszeń naruszeń prawa, ale także wyznaczenia osoby lub osób, które będą odpowiedzialne za przyjmowanie i analizę zgłoszeń oraz przeprowadzających działania, wynikające z tego zgłoszenia (w ustawie zwane działaniami następczymi). I wiele organizacji stwierdza, że ma „idealnego kandydata” do obsługi zgłoszeń. Inspektor ochrony danych wydaje się idealny – jest niezależny w swoich działaniach, obiektywny, wie w jaki sposób zapewnić skuteczną ochronę tożsamości sygnalisty. Przepisy pozwalają na wykonywanie przez niego dodatkowych obowiązków… Moim zdaniem te zalety są jedynie pozorne. Jeżeli inspektor będzie rozpatrywać zgłoszenia sygnalistów, będzie brać aktywny udział w istotnym procesie przetwarzania u administratora. W tym będzie podejmować działania i decyzje, wynikające ze zgłoszenia. Zatem będzie zaangażowany w istotny z perspektywy przepisów o ochronie danych osobowych obszar, którego nie będzie już mógł obiektywnie audytować. I nastąpi konflikt interesów przy wykonywaniu przez niego zadań. Na początku zaangażowanie IOD może nie być bardzo widoczne. Jednak przy pierwszym, poważnym zgłoszeniu, okaże się, że problem wymaga na tyle dużego udziału inspektora, że będzie to ograniczać możliwość wykonywania przez niego zadań z art. 39 RODO. Poza tym ktoś powinien odpowiadać za monitorowanie tak bardzo newralgicznego pod względem zapewnienia ochrony danych osobowych obszaru. Nie będzie mógł już tego robić inspektor, jako osoba odpowiadająca za ten proces.

Uważam natomiast, że dopuszczalne jest, przy spełnieniu pewnych warunków (tzn. gdy nie będzie to zbytnio angażujące, a sam IOD nie będzie zaangażowany w inne procesy przetwarzania), aby inspektor przyjmował, rejestrował i anonimizował zgłoszenia, przed przekazaniem do komisji, która będzie je weryfikować. Jego rola mogłaby ograniczyć się do przyjmowania zgłoszeń, doradzania komisji i przekazywania informacji zwrotnej sygnaliście. W takim wypadku inspektor byłby jedynie punktem kontaktowym, natomiast nie brałby czynnego udziału w działaniach następczych. Co ważne, jeżeli zgłoszeń byłoby dużo, moim zdaniem powinna zostać wyznaczona odrębna osoba, gdyż nadmiernie angażowałoby ty inspektora.

Nazywam się Sylwia Czub-Kiełczewska, jestem ekspertką ds. ochrony danych osobowych oraz certyfikowaną audytorką wewnętrzną ISO 27001 /TISAX. Pomagam organizacjom wdrożyć skuteczne systemy bezpieczeństwa informacji, przeprowadzam audyty zgodności z RODO / ISO27001. Jestem skuteczna, bo stosuję indywidualne podejście, oparte na zrozumieniu klienta oraz jego działalności. Potrzebujesz wsparcia? Napisz do mnie



Zapraszam na moje (bardzo praktyczne i konkretne) szkolenia!

We wpisie wykorzystano zdjęcie z serwisu Pixabay.com.