Author Archives: Sylwia Czub

09 sty

Dlaczego tak długo mnie tu nie było – i o jednej z najbardziej niedocenianych przesłanek RODO

Od dawna nie było tu nowego wpisu. Nie dlatego, że zabrakło tematów – wręcz przeciwnie. W ciągu kilku ostatnich miesięcy zmarło kilka bardzo bliskich mi osób. To był czas, w którym musiałam na chwilę zwolnić, złapać oddech i poukładać swoje sprawy. Wracam jednak z tematem trudnym, ale niezwykle potrzebnym. Tematem, który pokazuje, że RODO nie jest przepisem „przeciwko ludziom”, lecz – w określonych sytuacjach – dla ochrony życia i zdrowia.

Historia, która nie powinna się wydarzyć

Ostatnio usłyszałam historię, która nie daje mi spokoju.

Dziewczyna nie przyszła do pracy. Pracowała tam od kilkunastu lat. Nigdy wcześniej nie zdarzyło się, by nie przyszła bez uprzedzenia. Nigdy nie było problemu z kontaktem. Tym razem – cisza. Telefon milczał.

Koledzy z pracy wiedzieli, że samotnie wychowuje dziecko z niepełnosprawnością. Zaczęli się obawiać, że mogło stać się coś poważnego – jej, dziecku albo im obojgu. Nie był to impuls ani plotka. Było to racjonalne zaniepokojenie oparte na wieloletniej znajomości i konkretnych okolicznościach.

Jedna z koleżanek przypomniała sobie, że wiele lat temu – „na wszelki wypadek” – dostała od niej klucz do mieszkania. Problem w tym, że nie pamiętała dokładnego adresu. Wiedziała tylko, w jakiej okolicy i w którym bloku może mieszkać.

Koledzy zadzwonili do kadr. Opisali sytuację. Wskazali, że chodzi o realną obawę o życie i zdrowie pracownicy oraz jej dziecka. Poprosili o podanie adresu zamieszkania. Kadry odmówiły. Powołały się na ochronę prywatności pracownika.

Koledzy zdecydowali się działać sami. Ustalili blok, chodzili od drzwi do drzwi, pytali sąsiadów. W końcu ktoś wskazał właściwe mieszkanie. Gdy weszli do środka – było już za późno. Dziewczyna nie żyła.

Read More
14 paź

ChatGPT w pracy IOD – czy można korzystać legalnie i bezpiecznie?

Od kilku miesięcy dostaję od Was coraz więcej pytań o to, czy Inspektor Ochrony Danych może korzystać z narzędzi typu ChatGPT w codziennej pracy, np. generowanie klauzul informacyjnych, inni o wsparcie w analizie ryzyka, jeszcze inni o szybkie sprawdzenie przepisu czy wytycznych EROD. Rzeczywiście – ChatGPT potrafi być ogromnym ułatwieniem, ale tylko wtedy, gdy korzystamy z niego z głową.

ChatGPT a dane osobowe

Najważniejsza zasada: nie powinniśmy wprowadzać do ChatGPT danych osobowych – zwłaszcza tych, które powierzono nam jako IOD. Nawet jeśli narzędzie zapewnia pewne opcje prywatności, to wciąż mamy do czynienia z usługą chmurową i nie możemy w pełni kontrolować, co dzieje się z treściami wpisywanymi do modelu.

To oznacza, że nie podajemy nazwisk, adresów e-mail, PESEL-i czy danych pracowników/pacjentów/klientów. Na tej samej zasadzie trzeba uważać na kopiowanie raportów z audytów, podatności systemów, czy rejestru naruszeń – które mogą ujawnić potencjalnym oszustom, w jaki sposób włamać się do infrastruktury administratora. Możemy natomiast pracować na anonimizowanych przykładach – np. zamiast „Jan Kowalski, adres…” wpisujemy „Pracownik A, dane kontaktowe…”.

Wersja biznesowa a dane osobowe

Wersja ChatGPT Enterprise / Team różni się od darmowej tym, że dostawca deklaruje możliwość wyłączenia wykorzystywania danych do trenowania modelu (czyli nie powinny przypadkowo „wypłynąć” przy okazji innego zapytania). Pojawia się więc pytanie: czy można tam wprowadzać dane osobowe?

Teoretycznie tak, ale z pełną formalizacją i dużą ostrożnością.

Read More
05 wrz

Informowanie o prawach osoby, której dane dotyczą – prościej znaczy lepiej

Myślę, że nie ma większego paradoksu w przepisach RODO, jak obowiązek przekazania informacji o przetwarzaniu danych, który z jednej strony musi spełniać wyśrubowane wymagania art. 13 lub 14 RODO, z drugiej powinien być prosty i przejrzysty, zgodnie z art. 12 RODO. Są to sprzeczności, których nie da się pogodzić. W efekcie większość administratorów / inspektorów woli „pójść” w kierunku długiej i skomplikowanej klauzuli, aby nie narazić się na naruszenie obowiązku przekazania klauzuli informacyjnej.

Uważam, że coraz częściej zapominamy o celu i sensie tworzenia klauzul, czyli ułatwienie osobie, której dane dotyczą zrozumienia co będzie się działo z jej danymi, a także jakie ma prawa. Dzisiaj chciałabym skupić się właśnie na informowaniu o uprawnieniach, bo są dwie, coraz mocniej walczące ze sobą „szkoły”.

Pierwsze podejście polega na wskazaniu w klauzuli, że osoba, której dane dotyczą ma prawo żądać realizacji swoich praw, a administrator oceni, czy one w danym przypadku przysługują i da jej odpowiedź o swoich działaniach lub ograniczeniach w tym zakresie. Jest zwięźle i nie przeciąża odbiorcy. Druga opcja to opisanie wprost, które prawa rzeczywiście przysługują w danej sytuacji. Na przykład: w tym procesie masz prawo do dostępu, sprostowania, a nie masz prawa do przeniesienia danych czy sprzeciwu. Brzmi bardzo precyzyjnie i czytelnie, bo od samego początku wskazano jaki jest zakres uprawnień. Jednakże już od dawna jestem przeciwniczką takiego rozwiązania.

Read More
14 lip

Dania wypowiada wojnę Deepfake – czy to początek (wyczekiwanej) rewolucji?

Spoglądasz na telefon, a tam kilkanaście wiadomości z pytaniami „co z Tobą”? Do wiadomości jest dołączony link o filmu. Jesteś w tym filmie. Twój głos, twarz, gesty. Film przedstawia Cię, jak mówisz coś, czego nigdy nie powiedziałeś. Albo robisz coś, czego nigdy nie zrobiłeś. Ludzie to oglądają. Komentują. Osądzają. Rodzina i znajomi z pracy wymagają wyjaśnień. Ludzie zaczynają rozpoznawać Cię na ulicy, ale to nie jest miłe. Tak działa deepfake technologia potrafi ukraść Ci twarz, głos i reputację.

Dzięki rozwojowi generatywnej sztucznej inteligencji (GenAI), możliwe stało się tworzenie niewiarygodnie realistycznych materiałów multiedialnych. Te narzędzia potrafią odtworzyć człowieka w najmniejszym detalu, na podstawie niewielkich próbek (zdjęcia, krótkie nagrania). Z jednej strony to potężne narzędzie kreatywne. Z drugiej – broń dezinformacji, szantażu i manipulacji.

Polskie prawo cywilne oraz przepisy o ochronie danych osobowych, stanowią narzędzie do dochodzenia swoich praw, w przypadku naruszenia prywatności, czy dóbr osobistych, jak wizerunek. Jednak są to narzędzia działające bardzo powoli, często przenoszące ciężar udowodnienia faktycznej szkody na ofiarę. Gdy zapadnie wyrok, często nie ma to już większego znaczenia dla osoby poszkodowanej, która nieodwracanie utraciła reputację, zaufanie społeczne, anonimowość. Potrzebne są narzędzia, które działają szybciej i skuteczniej.

Read More
16 cze

Dlaczego IOD powinni rekomendować rezygnację z prowadzenia firmowego TikToka

W maju 2025 roku TikTok Technologies został ukarany przez irlandzki organ nadzorczy karą finansową w wysokości 530 mln euro za niezgodne z RODO przekazywanie danych osobowych użytkowników do Chin. Decyzja ta dobitnie pokazuje, że korzystanie z tej platformy wiąże się z wysokim ryzykiem dla ochrony danych osobowych – zarówno z punktu widzenia zgodności z przepisami, jak i faktycznej kontroli nad przepływem danych.

Brak kontroli nad danymi i nielegalny transfer do państwa trzeciego

Organ nadzorczy stwierdził, że TikTok nie tylko przekazuje dane do Chin, państwa które nie zapewnia wystarczających gwarancji prywatności, ale też celowo wprowadza użytkowników w błąd, nie informując o tym transferze w swoich politykach prywatności. W praktyce oznacza to, że administratorzy, którzy decydują się na publikowanie danych osobowych (np. wizerunku pracowników, uczniów, uczestników wydarzeń itp.) za pośrednictwem TikToka, nie są w stanie zagwarantować zgodnego z prawem zabezpieczenia tych danych.

W praktyce oznacza to, że dalsza publikacja danych na TikTok, wymaga dodatkowej zgody.

Zgodnie z art. 49 ust. 1 lit. a RODO, przekazanie danych osobowych do państwa trzeciego, które nie zapewnia odpowiedniego poziomu ochrony, może nastąpić wyłącznie na podstawie wyraźnej zgody osoby, której dane dotyczą. Co istotne, zgoda ta musi być:

  • świadoma – osoba musi wiedzieć, że jej dane będą przekazywane do Chin,
  • dobrowolna – nie może być wymuszana ani uzależniona od skorzystania z usługi,
  • konkretna i jednoznaczna – nie może być domyślna ani dorozumiana,
  • poprzedzona poinformowaniem o potencjalnych ryzykach, wynikających z braku odpowiedniego poziomu ochrony danych w państwie trzecim.

Praktyczne uzyskanie takiej zgody – zwłaszcza w przypadku dzieci, osób zależnych czy uczestników wydarzeń – jest niezwykle trudne i obarczone znacznym ryzykiem prawnym. Ma to zastosowanie także do danych, które już zostały opublikowane na TikToku.

W przypadku braku zgód, administrator powinien niezwłocznie usunąć dane, gdyż ich dalsza publikacja (szczególnie zdjęć dzieci), będzie stanowić naruszenie RODO.

Należy pokreślić, że kwestia legalności publikowania danych, w związku z ich transferem to nie jedyny problem administratorów, którzy chcą w dalszym ciągu promować swoje działania na TikToku. Należałoby przeprowadzić ocenę skutków dla ochrony danych, zgodnie z art. 35 RODO, aby ocenić, czy dalsze prowadzenie profilu w TikToku będzie możliwe.

Read More
15 maj

Aktualizacja poradnika UODO: Czy każde naruszenie należy zgłaszać?

Chyba dawno nie było tak wielkiego poruszenia w branży ochrony danych osobowych, jak po aktualizacji poradnika dotyczącego naruszeń. Już pierwszy poradnik wydany kilka lat temu wzbudził silne emocje, ale najważniejsze jest to, że stał się punktem wyjścia do masowego stosowania kalkulatorów oceny ryzyka naruszenia. Administratorzy bardzo często opierali swoje decyzje zgłoszenia lub nie naruszenia do organu nadzorczego na narzędziach opracowanych na podstawie jednej z zaleconych w tym poradniku metod. Natomiast w decyzjach Prezesa UODO coraz częściej pojawiało się stwierdzenie, że administrator niewłaściwie ocenił ryzyko. W konsekwencji najczęściej organ nakładał karę za niezgłoszenie naruszenia. W nowym poradniku przemilczano temat metody oceny ryzyka naruszenia wg wytycznych ENISA. Natomiast zaprezentowano „nowe podejście”. W praktyce powstała panika, bo dotychczasowy świat „szacowania ryzyka naruszenia” został wywrócony do góry nogami. Nagle okazało się, że promowana wcześniej metoda jest zła. Eksperci komentowali nowy poradnik, radząc administratorom, aby na nowo oszacowali ryzyko. A najlepiej, żeby zgłaszać wszystkie naruszenia, bo organ nadzorczy „zmienił zdanie”, więc teraz każde naruszenie będzie wpadać pod obowiązek zgłoszenia. A kto nie zgłosi, musi liczyć się z karą.

Read More
10 kwi

Bierny inspektor ochrony danych

Wykonując dla klientów audyty zgodności w celu wdrożenia wymagań NIS2, spotkałam się z nowym zjawiskiem „biernego inspektora”. W dodatku działającego w sposób powodujący konflikt interesów. Ponieważ jest to zawód nieuregulowany, w zasadzie każdy może go wykonywać i bardzo ciężko ocenić standard wykonywanej pracy. W końcu administrator wyznacza IOD, właśnie w celu posiadania na pokładzie kogoś kto zna się na ochronie danych i „pomoże ogarnąć temat”. Jednak do końca nikt nie wie, na czym polega praca IOD, ani w jaki sposób powinien wykonywać swoje zadania. Zresztą ostatnia aktualizacja Poradnika dotyczącego naruszeń przez Prezesa UODO, wywołała ogromne zamieszanie, właśnie w zakresie sporu o to, w jaki sposób inspektor powinien wykonywać swoje zadania. Od opinii, że powinien w zasadzie wykonywać wszystko za administratora, który jedynie zatwierdza lub nie jego pracę od opinii, że inspektor jedynie wydaje zalecenia i przypomina o obowiązkach (np. że administrator musi przeszkolić personel lub przeprowadzić audyt).

I właśnie takich inspektorów, którzy biernie doradzają, coraz częściej spotykam na audytach. Nie inicjują żadnych działań, czekając na kontakt ze strony pracowników, bo obowiązkiem administratora jest zapewnienie włączania inspektora we wszystkie kwestie dotyczące ochrony danych osobowych. Czy zatem bierne czekanie na jest niezgodne z RODO? Trudno rozstrzygnąć, ale w dłuższej perspektywie czasowej na pewno szkodliwe dla administratora. I tu ciekawostka, spotkałam też się z kontraktami na usługi IOD, które są rozliczane nie ryczałtowo, ale godzinowo. Jest to uczciwe rozwiązanie, jednak w praktyce, właśnie w trakcie audytów, stwierdzam że skutkuje ograniczaniem do minimum (nawet do zera) kontaktów z IOD, ze względu na możliwe koszty. W takich organizacjach nie działa projektowanie prywatności, bo nikt nie włącza inspektora w planowanie procesu, najwyżej prosi się go o opiniowanie umów lub wytworzonych dokumentów.

Read More
26 mar

Czy można komunikować się z rodzicami przez WhatsApp?

Coraz częściej słyszę od znajomych nauczycieli oraz dyrektorów szkół, że rodzice naciskają na nich, aby stosować bardziej elastyczne i wygodne formy komunikacji. Nie ulega wątpliwości, że rodzice powinni otrzymywać informacje o postępach w nauce, wynikach i ewentualnych trudnościach swoich dzieci. Pojawia się natomiast wątpliwość, czy można stosować wybrane przez nich formy komunikacji.

Możliwe kanały komunikacji

Poniżej wskazałam przykładowe kanały komunikacji z rodzicami, wraz z argumentacją za ich stosowaniem lub ich niestosowaniem:

Na tak:

  • Dziennik elektroniczny – podstawowe i najbezpieczniejsze źródło informacji o ocenach, uwagach oraz frekwencji ucznia.
  • Służbowy e-mail nauczyciela – przeznaczony do przesyłania oficjalnych wiadomości dotyczących edukacji dziecka.
  • Telefon kontaktowy w wyjątkowych sytuacjach – nauczyciel lub dyrektor mogą skontaktować się z rodzicem na numer wskazany w dokumentacji ucznia, ale tylko w uzasadnionych przypadkach.

Na nie:

  • Prywatny e-mail nauczyciela – brak oficjalnego nadzoru nad taką korespondencją zwiększa ryzyko naruszenia prywatności.
  • Komunikatory internetowe (WhatsApp, Messenger, Signal itp.) – szkoła nie ma kontroli nad tymi narzędziami, co sprawia, że informacje mogą trafić w niepowołane ręce.
  • Grupy na portalach społecznościowych (np. Facebook) – nawet jeśli są zamknięte, istnieje ryzyko, że dostęp do nich uzyskają osoby nieuprawnione, co może prowadzić do wycieku poufnych informacji.
Read More
11 lut

Kiedy IOD może samodzielnie wykonać analizę ryzyka?

O zakres obowiązków inspektora toczą się zażarte dyskusje. Przed obowiązywaniem przepisów RODO, to administrator bezpieczeństwa informacji (protoplasta IOD), realizował większość obowiązków administratora. Przygotowywał, a nawet nadawał upoważnienia, przeprowadzał audyty i realizował zalecenia (w stopniu, w jakim było to możliwe), szacował ryzyka, prowadził ewidencję zbiorów danych. Bardzo trudno po latach przyzwyczajeń, zarówno inspektora, który był ABI, jak i administratora danych, zmienić przyzwyczajenia. Nagle okazało się, że jednym z głównych zadań inspektora jest zmuszenie administratora danych, do zrealizowania działań, wymaganych przepisami prawa. Ponadto administrator wyznaczając IOD, a zatem ponosząc określone koszty jego funkcjonowania w organizacji, ma przekonanie iż nie musi się już martwić o ochronę danych osobowych.

Odrębną kwestią jest to, że administrator zazwyczaj nie potrafi wywiązać się z większości obowiązków wskazanych w RODO, więc potrzebuje wsparcia inspektora. I tak zaczynają się tarcia, jak powinno wyglądać to wsparcie i jaki powinien być udział IOD. Zgodnie z art. 39 RODO, do zadań inspektora należy doradzanie administratorowi. Pytanie brzmi, czy przeprowadzenie analizy ryzyka, to jeszcze doradzanie, czy już działanie realizowane za ADO, tym samym naruszenie niezależności inspektora i przepisów RODO (art. 38 ust. 6). I moim zdaniem nie da się jednoznacznie odpowiedzieć, bazując jedynie na przepisach. Nawet w literaturze pojawiają się bardzo rozbieżne stanowiska, gdzie raz rola IOD ogranicza się do przypominania i mówienia, jak coś zrobić; a innym razem wykonania działania po konsultacji z personelem.

Analiza ryzyka jest trudna, jednak jest niesamowicie przydatnym narzędziem. Nim dłużej zajmuję się kwestiami bezpieczeństwa informacji, tym mocniej doceniam to narzędzie. Jednak na początku była to „droga przez mękę”. Bazując na moich doświadczeniach, mogę stwierdzić, że administrator samodzielnie nie przeprowadzi analizy ryzyka dla ochrony danych osobowych. Nawet jeśli w organizacji jest wiedza w zakresie analizy ryzyka, to zastosowanie standardowej metodyki, może dać przekłamane wyniki. Przede wszystkim dlatego, że skupia się na stratach dla organizacji (często jedynie finansowych), a w przypadku analizy dla ochrony danych, należy jeszcze wziąć pod uwagę dotkliwość skutków dla osoby, której dane dotyczą. I ponownie jest to dziedzina, w której inspektor odnajduje się doskonale, jednak personel administratora może mieć problem ze stwierdzeniem poziomu dotkliwości. Wniosek nasuwa się sam: nie da się przeprowadzić analizy ryzyka dla ochrony danych bez czynnego udziału inspektora. W praktyce będzie raczej tak, że inspektor będzie inicjował i zarządzał procesem, a personel udzielał mu niezbędnych informacji. Może też być tak, że pracownicy wypełnią tabelki, a inspektor zbierze ich analizę w „jedną całość”.

Jednak czy może IOD może przeprowadzić analizę samodzielnie nie powodując konfliktu interesów, bez udziału pracowników?

Read More
13 sty

Już wkrótce masowe upublicznianie PESEL-i przez e-doręczenia

Ochrona PESEL-u zaczyna urastać do rangi narodowej. Z jednej strony na każdym kroku otrzymujemy ostrzeżenia, żeby chronić PESEL, bo jego ujawnienie może skończyć się kradzieżą tożsamości, wzięciem na nas pożyczki lub oszustwem, z drugiej nasze PESEL-e dosłownie wszędzie są dostępne. Pikanterii dodaje fakt, że w przypadku naruszenia poufności danych osobowych, wśród których jest PESEL, Prezes UODO wskazuje, że jest to zdarzenie o wysokim ryzyku negatywnych skutków dla osoby, której on dotyczy.

Czuję się trochę jak w domu wariatów. Przede wszystkim muszę podkreślić, że znalezienie PESEL-u dowolnej osoby fizycznej w Internecie, zazwyczaj jest bardzo proste i zajmuje chwilę. I co ważne, legalnie, bez żadnych ograniczeń PESEL-e udostępniają podmioty publiczne.

Hitem jest rejestr beneficjentów rzeczywistych – wystarczy wpisać nazwę firmy, aby uzyskać wszystkie dane osób kluczowych w takiej firmie (członkowie zarządu, ale czasami też wspólnicy). Są tam adresy i PESEL-e. Wyszukiwarka nie ma żadnych zabezpieczeń, więc przy wykorzystaniu prostego algorytmu, można masowo pobrać wszystkie dane.

Read More