09 gru

Kara dla harcerzy – czy oznacza konieczność posiadania analizy ryzyka na wszystko?

Dawno żadna kara PUODO nie wzbudziła takiego zainteresowania, jak 555 zł dla Chorągwi Stołecznej ZHP. Spotkałam się z komentarzami, że to przykład na to, że PUODO może nałożyć karę „za cokolwiek”. A wynikają one z uzasadnienia decyzji nakładającej karę (DKN.5131.9.2024): „jak zauważył Prezes UODO, analiza ryzyka i wprowadzone na jej podstawie środki nie były wystarczające. PUODO podkreślił, że rola administratora nie ogranicza się tylko do jednorazowego opracowania i wdrożenia środków organizacyjnych i technicznych mających zapewnić przetwarzanie danych osobowych zgodne z zasadami wyrażonymi w RODO. Zgubienie laptopa to zdarzenie losowe. A w takiej sytuacji kluczowe jest jednak to, czy administrator regularnie testował, mierzył i oceniał skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych.”

Czy to oznacza, że teraz trzeba mieć analizę ryzyka na wszystko?

Czy jeśli dochodzi do naruszenia ochrony danych, a administrator nie przewidział ryzyka takiego zdarzenia, to automatycznie otrzyma karę?

Właśnie takie wnioski słyszę od tygodnia. Natomiast zupełnie się z nimi nie zgadzam. Patrzę na to zdarzenie obiektywnie: komunikacją miejską były przewożone dane osobowe dzieci w bardzo szerokim zakresie, które znajdowały się w laptopie. Zabezpieczeniem laptopa było (jakieś) hasło do systemu operacyjnego. Dysk laptopa nie był szyfrowany. Czy w tym wypadku istniał obowiązek zaszyfrowania dysku? Sięgając bezpośrednio do przepisów RODO, należy przyjąć za punkt wyjścia art. 24: „Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.” Przepis ten nie wskazuje wprost w jaki sposób zabezpieczyć laptopa, ale należy pamiętać, że szyfrowanie, jako sposób zabezpieczenia danych zostało wskazane w art. 32 ust. 1 lit. a RODO. Czyli jest to jedno z podstawowych i wprost wskazanych w przepisach zabezpieczeń.

Wracając do konkretnego przypadku zgubienia laptopa. Nie było obowiązku szyfrowania dysku. Jednakże w takim wypadku należało zapewnić szyfrowanie (zabezpieczenie hasłem) plików z danymi (kłania się art. 32 RODO). Prezes UODO zwrócił uwagę na brak analizy ryzyka w tym zakresie. Nie chodzi tu o konkretny przypadek zostawienia laptopa w metrze. Chodzi o to, w jaki sposób administrator dobrał zabezpieczenia do przetwarzania danych elektronicznych na laptopach. Szczególnie istotne jest to, że urządzenia były transportowane oraz wykorzystywane w różnych lokalizacjach. Czym uzasadnił brak zabezpieczenia dysku lub samych plików? Tak zupełnie szczerze – brak jakiegokolwiek zabezpieczenia tych danych (podkreślam danych dzieci), jest bardzo przykre. Tym bardziej, że szyfrowanie dysków laptopów staje się standardem i nie jest trudne (niektóre systemy operacyjne umożliwiają samodzielne zaszyfrowanie dysku, można też skorzystać z darmowego programu Vera Crypt). Do tego nie jest potrzebny „informatyk”.

Przykład zgubienia tego laptopa, to kolejny przykład na to, że wciąż ochrona danych osobowych w wielu podmiotach jest powierzchowna. Nikt nie myśli o konsekwencjach (czyli nie uwzględnia się ryzyka) swoich działań. Jako audytorka systemów ochrony danych, często jestem w szoku, jak bardzo powierzchowne jest podejście do bezpieczeństwa informacji. Takie systemy nazywam niedojrzałymi, bo organizacja nie rozumie jeszcze jak ważny jest cały proces zapewniania ochrony informacji.

Przesyłanie danych osobowych bez zabezpieczenia, przenoszenie nieszyfrowanych danych na dyskach zewnętrznych, praca zdalna na niewystarczająco zabezpieczonym laptopie to codzienność, z którą ludziom z branży bezpieczeństwa informacji przychodzi się mierzyć. Dlatego uważam, że kara nałożona przez Prezesa UODO, była potrzebna.

31 paź

Ochrona wizerunku osoby zmarłej

Narzędzia sztucznej inteligencji umożliwiają ożywianie znanych osób. Dzięki temu znany pisarz może przeczytać fragment swojej książki, a gwiazda kina sprzed 50 lat, reklamować kosmetyki. Branża filmowa także zaczyna ożywiać zmarłych aktorów, żeby móc kontynuować wątki z serii filmowych, w których grali za życia. Możliwości jest bardzo wiele, a efekty naprawdę zdumiewające. Co ważne, osoby zmarłe nie podlegają ochronie przewidzianej w przepisach RODO, więc nie trzeba martwić się o legalność przetwarzania ich danych. I to jest logiczne. Ale jak mawiał mój znajomy, z wykształcenia prawnik „jeśli coś jest logiczne, to pewnie jest nielegalne”. Od dwudziestu lat przypominam sobie jego słowa, gdy trafiam na trudne zagadnienia, których rozwiązanie wydaje się logiczne. I niestety najczęściej (prawie zawsze!) ma rację.

Read More
30 wrz

Pytanie: gdzie znajdę inforamcję dotyczącą zgłoszonego do UODO naruszenia ochrony danych?


Przepisy nie określają sposobu postępowania ze zgłoszeniami naruszeń. Zgodnie z art. 33 ust. 1 RODO Prezes UODO musi zostać niezwłocznie zawiadomiony o naruszeniu. Następnie prowadzi postępowanie, o którym mowa w art. 60 ustawy o ochronie danych osobowych. Jest to „postępowanie wyjaśniające”, a nie administracyjne. Na tym etapie przepisy nie określają żądnych ram czasowych dla takiego postępowania. Na swojej stronie Prezes UODO wskazuje „Wszystkie napływające zgłoszenia naruszenia ochrony danych są skrupulatnie analizowane, a kiedy zachodzi potrzeba uzyskania dalszych informacji – UODO nawiązuje szybki, często też telefoniczny, kontakt z administratorami i wyznaczonymi przez nich inspektorami ochrony danych.” (https://archiwum.uodo.gov.pl/pl/134/1029, dostęp 30.09.2024 r.).

Read More
26 sie

Czy inspektor może obsługiwać zgłoszenia sygnalistów?

Doczekaliśmy się ustawy o sygnalistach, więc rozpoczęło się procesowanie regulaminu obsługi zgłoszeń, której ten przepis wymaga. Bardzo ważne w całym procesie jest zapewnienie skutecznej ochrony tożsamości sygnalisty oraz osób, których dane będą przetwarzane w związku z działaniami następczymi. Jest to ważne nie tylko ze względu na przepisy o ochronie danych osobowych, ale uchronienie sygnalisty przed działaniami odwetowymi. A w przypadku fałszywych oskarżeń, uchronienie osoby pomówionej przez „sygnalistę” przed negatywnymi skutkami tego pomówienia.

Przepisy wymagają wprowadzenia kanału zgłoszeń naruszeń prawa, ale także wyznaczenia osoby lub osób, które będą odpowiedzialne za przyjmowanie i analizę zgłoszeń oraz przeprowadzających działania, wynikające z tego zgłoszenia (w ustawie zwane działaniami następczymi). I wiele organizacji stwierdza, że ma „idealnego kandydata” do obsługi zgłoszeń. Inspektor ochrony danych wydaje się idealny – jest niezależny w swoich działaniach, obiektywny, wie w jaki sposób zapewnić skuteczną ochronę tożsamości sygnalisty. Przepisy pozwalają na wykonywanie przez niego dodatkowych obowiązków… Moim zdaniem te zalety są jedynie pozorne. Jeżeli inspektor będzie rozpatrywać zgłoszenia sygnalistów, będzie brać aktywny udział w istotnym procesie przetwarzania u administratora. W tym będzie podejmować działania i decyzje, wynikające ze zgłoszenia. Zatem będzie zaangażowany w istotny z perspektywy przepisów o ochronie danych osobowych obszar, którego nie będzie już mógł obiektywnie audytować. I nastąpi konflikt interesów przy wykonywaniu przez niego zadań. Na początku zaangażowanie IOD może nie być bardzo widoczne. Jednak przy pierwszym, poważnym zgłoszeniu, okaże się, że problem wymaga na tyle dużego udziału inspektora, że będzie to ograniczać możliwość wykonywania przez niego zadań z art. 39 RODO. Poza tym ktoś powinien odpowiadać za monitorowanie tak bardzo newralgicznego pod względem zapewnienia ochrony danych osobowych obszaru. Nie będzie mógł już tego robić inspektor, jako osoba odpowiadająca za ten proces.

Uważam natomiast, że dopuszczalne jest, przy spełnieniu pewnych warunków (tzn. gdy nie będzie to zbytnio angażujące, a sam IOD nie będzie zaangażowany w inne procesy przetwarzania), aby inspektor przyjmował, rejestrował i anonimizował zgłoszenia, przed przekazaniem do komisji, która będzie je weryfikować. Jego rola mogłaby ograniczyć się do przyjmowania zgłoszeń, doradzania komisji i przekazywania informacji zwrotnej sygnaliście. W takim wypadku inspektor byłby jedynie punktem kontaktowym, natomiast nie brałby czynnego udziału w działaniach następczych. Co ważne, jeżeli zgłoszeń byłoby dużo, moim zdaniem powinna zostać wyznaczona odrębna osoba, gdyż nadmiernie angażowałoby ty inspektora.


Nazywam się Sylwia Czub-Kiełczewska, jestem ekspertką ds. ochrony danych osobowych oraz certyfikowaną audytorką wewnętrzną ISO 27001 /TISAX. Pomagam organizacjom wdrożyć skuteczne systemy bezpieczeństwa informacji, przeprowadzam audyty zgodności z RODO / ISO27001. Jestem skuteczna, bo stosuję indywidualne podejście, oparte na zrozumieniu klienta oraz jego działalności. Potrzebujesz wsparcia? Napisz do mnie



Zapraszam na moje (bardzo praktyczne i konkretne) szkolenia!

We wpisie wykorzystano zdjęcie z serwisu Pixabay.com.


23 lip

Udostępnienie danych pracownikowi, nieupoważnionemu do ich przetwarzania – jak ocenić ryzyko naruszenia?

Wpis jest efektem wielu przemyśleń oraz doświadczeń moich i znajomych IOD, wynikających ze zgłaszania naruszeń do Prezesa UODO. Zacznę od najprostszego – tak jest to naruszenie ochrony danych. Wynika to bezpośrednio z definicji z art. 4 RODO. Pracownik, który nie jest upoważniony do przetwarzania określonych danych, staje się nieuprawnionym odbiorcą danych, w momencie ich udostępnienia. Zatem rozważania skupię na ocenie tego, jak wysokie ryzyko dla osób fizycznych, generuje takie naruszenie. Na ile ma znaczenie, że nieuprawnionym (zazwyczaj przypadkowym) odbiorcą danych jest pracownik?

Fakty: administrator zapewnia przeszkolenie swojego personelu z ochrony danych osobowych. Ponadto powinien zobligować pracowników do zachowania poufności. Poza tym często dochodzą dodatkowe okoliczności: znajomość zachowań pracownika, wieloletnia współpraca i zaufanie. Czy pracownik będzie w takim wypadku „zaufanym odbiorcą”?

W przepisach RODO nie ma definicji zaufanego odbiorcy. Takie określenie pojawia się w aplikacjach bankowych, w odniesieniu do osób lub podmiotów, do których klietn chce wykonywać przelewy bez konieczności podawania dodatkowych poświadczeń. To klient, a nie bank określa, kto jest zaufany, a kto nie. O zaufanym odbiorcy wspomniała także EROD w wytycznych 1/2021, dotyczących naruszeń. Pojęcie to pojawia się w przykładzie naruszenia, polegającego na udostępnieniu danych osobowych agentowi ubezpieczeniowemu. Co istotne, agent został uznany za zaufanego odbiorcę ze względu na fakt ustawowego zobligowania do zachowania w poufności danych przetwarzanych w związku z wykonywaniem zawodu (mail z danymi od klienta, więc zaliczał się do tej kwalifikacji), sam zgłosił naruszenie i pracował z klientem na tyle długo, że jest etyka nie wzbudzała wątpliwości. Logiczne? Raczej problematyczne, bo okazuje się, że jest to uznanowia definicja, gdzie administrator może mieć odmienne zdanie od organu nadzorczego.

Jak jest w praktyce?

Read More
14 cze

Postępowanie spadkowe, a tajemnica bankowa i RODO

Jest to jeden z tych przykładów, gdzie „diabeł tkwi w szczegółach”. Bezpośrednio z przepisów prawa wynika obowiązek udostępnienia danych chronionych tajemnicą bankową na potrzeby prowadzenia przez sąd potępowania spadkowego (art. 105 ust. 1 pkt 2 lit. d prawa bankowego). Gdzie tajemnica bankowa obejmuje wszystkie informacje dotyczące czynności bankowej, uzyskane w czasie negocjacji, w trakcie zawierania i realizacji umowy, na podstawie której bank tę czynność wykonuje (art. 104 ust. 1 prawa bankowego). Przepis dotyczący obowiązku ujawnienia danych objętych tajemnicą bankową, nie precyzuje zakresu tych danych. Zatem banko w tym wypadku ujawnia dane w zakresie, który wynika z wniosku otrzymanego od sądu. Najczęściej sąd żąda historii rachunku, lokat, inwestycji. Pojawia się problem, żeby rachunek należy do dwóch współwłaścicieli – wniosek i postępowanie spadkowe nie dotyczą współwłaściciela, zatem jego dane, ani jego transakcje nie powinny podlegać udostępnieniu – naruszałoby to zasady przetwarzania danych z RODO. Jednocześnie, biorąc pod uwagę cel udostępnienia, czyli ustalenie wartości masy spadkowej, zasadne wydaje się powiadomienie sądu o fakcie istnienia współposiadacza rachunku. I uważam, że w tym wypadku jego dane mogą być udostępnione dopiero na podstawie konkretnego wniosku, który go dotyczy, a nie w ramach wcześniej wskazanego zakresu informacji.

Read More
23 maj

Audyt SZBI zgodnie z ISO27001 – jak to zrobić?

Wiem doskonale z własnego doświadczenia, że szkolenie to nie wszystko. Po intensywnych kilku dniach szkoleń, wraca się do szarej rzeczywistości i nie wiadomo od czego zacząć. Świadomie odwołuję się do audytu zgodności z normą ISO, a nie RODO, ponieważ jest to temat, który zyskuje na popularności i coraz częściej inspektorzy, szukając skutecznych metod audytu, sięgają właśnie po normy ISO.

Od czego zacząć? Na pewno wiedza. Nie da się weryfikować zgodności z jakimkolwiek standardem, jeżeli się go nie zna. Jeśli weryfikujemy zgodność z RODO, musimy znać przepisy RODO, ale także umieć stosować je w praktyce i rozumieć. Podobnie z ISO27001, należy zapoznać się ze standardem. Dobrym punktem wyjścia jest szkolenie, najlepiej w firmie, która na co dzień przeprowadza audyty zgodności z ISO27001 i certyfikację zgodności.

Kolejnym krokiem jest zakup normy. Podczas szkolenia pewnie w sposób pośredni zapoznamy się z treścią normy, ale nie można weryfikować zgodności ze standardem, którego się nie posiada. Dodatkowo na plus jest to, że sama norma zawiera tabelkę, która wprost może posłużyć nie tylko do przeprowadzenia audytu, ale także za sprawozdanie.

Read More
22 kwi

Kiedy muszę podawać w klauzuli odbiorców danych z nazwy?

Zapewnienie przejrzystości w klauzuli informacyjnej jest bardzo trudne. Z jednej strony przepisy RODO wymagają, aby każda informacja była przekazywana prostym i jasnym językiem, z drugiej te same przepisy wymagają przekazania tak wielu informacji, że na sam widok klauzuli informacyjnej, większości osób „odechciewa się” ją czytać.

Mam poza tym wrażenie, że jest tendencja robienia coraz bardziej rozbudowanych klauzul, gdzie wszystko dzieli się na bloki i powtarza po 3 razy. Ostatnio konsultowałam wzór klauzuli dla kandydatów do pracy, który miał 5 (pięć!) stron. Połowę treści nazwałabym „laniem wody”, żeby zrobić wrażenie, że zabezpiecza się dobrze dane osobowe. Ciekawie robi się także, gdy w klauzulach pojawiają się informacje o odbiorcach danych. Okazuje się, że mimo wielu lat obowiązywania RODO, w dalszym ciągu jest problem z definicją odbiorcy (np. jako odbiorców danych, wielu administratorów wskazuje swoich pracowników oraz inne upoważnione do przetwarzania osoby), a także ze sposobem wskazania tych odbiorców w klauzuli.

Zgodnie z art. 13/14 ust. 1 lit. e RODO w klauzuli wskazuje się „informację o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją”. Odbiorcami będą wszystkie podmioty przetwarzające, współadministratorzy, a także administratorzy (z wyłączeniem podmiotów publicznym, którym udostępnia się dane w celu wykonywania przez nie zadań).

Mimo tego wyjątku, katalog odbiorców jest zazwyczaj bardzo obszerny i zawiera w szczególności:

Read More
02 kwi

Jak długo jest ważna zgoda na przetwarzanie danych osobowych?

W teorii odpowiedź na to pytanie jest prosta, ale w praktyce okazuje się, że warto jednak zastanowić się nad tym zagadnieniem. W przepisach RODO odpowiedzi należy szukać w artykule 7, zgodnie z którym zgoda jest wyrażona poprzez dobrowolne i świadome działanie (oświadczenie woli). Natomiast nie określono w nim ograniczenia czasowego zgody, a jedynie warunki jej wycofania. W praktyce można zatem przyjąć, że zgoda jest ważna aż do momentu jej wycofania, czyli bezterminowo. Tym samym osoba, której dane dotyczą nie musi „odświeżać” swojej zgody, jeżeli przetwarzanie danych w oparciu o zgodę jest długotrwałe i stałe. Można w oparciu o raz wyrażoną zgodę przetwarzać dane latami. Dopiero jej wycofanie zastopuje proces.

Przetwarzanie może zakończyć się także z powodu ustania celu przetwarzania, np. administrator postanawia przestać wysyłać informacje marketingowe lub kończy swoją działalność.

Stąd w klauzulach informacyjnych pojawia się określenie, że dane będą przetwarzane do czasu wycofania zgody lub jej wyrażenia.

Takie podejście zazwyczaj będzie poprawne. Jednak warto zwrócić uwagę, że nie uwzględnia bardzo ważnego czynnika, jakim jest „świadomość” wyrażania zgody, a także przetwarzanie przez czas niezbędny do osiągnięcia celu, w jakim zgoda została wyrażona.

Read More
01 mar

Naruszenie, incydent, zdarzenie – jak z nimi postępować

Przepisy RODO odnoszą się jedynie do naruszeń ochrony danych. Są to takie zdarzenia, w wyniku których dochodzi do utraty poufności, dostępności lub integralności danych osobowych. Czyli mogą mieć negatywny wpływ na osobę, której dane dotyczą.

W praktyce notyfikujemy naruszenia i dzielimy je na te, które wymagają zgłoszenia do PUODO oraz takie, które notujemy w wewnętrznych rejestrach (np. na potrzeby doskonalenia systemu bezpieczeństwa, czy analizy ryzyka). Jednak nie każde zdarzenie spełnia definicję naruszenia. W codziennej pracy spotykamy się bardzo często z sytuacjami, gdy dochodzi jedynie do naruszenia procedur wewnętrznych albo sytuacji, która mogłaby eskalować do incydentu. Podobnie naruszenie przepisów RODO (np. nieprzekazanie klauzuli informacyjnej, czy nie wyznaczenie IOD) nie stanowi naruszenia ochrony danych.

W związku z tym pojawia się potrzeba operowania dodatkowym określeniem na tego typu sytuacje. Najczęściej spotykam się z rozróżnieniem „incydent” oraz „naruszenie”. Gdzie incydent to każde zdarzenie mające negatywny wpływ na system ochrony danych, ale nie jest naruszeniem. Takie rozróżnienie jest bardzo pomocne, ale muszę przyznać, że na początku swojej pracy nie rozumiałam, jak bardzo.

Read More