Author Archives: Sylwia Czub

11 lut

Kiedy IOD może samodzielnie wykonać analizę ryzyka?

O zakres obowiązków inspektora toczą się zażarte dyskusje. Przed obowiązywaniem przepisów RODO, to administrator bezpieczeństwa informacji (protoplasta IOD), realizował większość obowiązków administratora. Przygotowywał, a nawet nadawał upoważnienia, przeprowadzał audyty i realizował zalecenia (w stopniu, w jakim było to możliwe), szacował ryzyka, prowadził ewidencję zbiorów danych. Bardzo trudno po latach przyzwyczajeń, zarówno inspektora, który był ABI, jak i administratora danych, zmienić przyzwyczajenia. Nagle okazało się, że jednym z głównych zadań inspektora jest zmuszenie administratora danych, do zrealizowania działań, wymaganych przepisami prawa. Ponadto administrator wyznaczając IOD, a zatem ponosząc określone koszty jego funkcjonowania w organizacji, ma przekonanie iż nie musi się już martwić o ochronę danych osobowych.

Odrębną kwestią jest to, że administrator zazwyczaj nie potrafi wywiązać się z większości obowiązków wskazanych w RODO, więc potrzebuje wsparcia inspektora. I tak zaczynają się tarcia, jak powinno wyglądać to wsparcie i jaki powinien być udział IOD. Zgodnie z art. 39 RODO, do zadań inspektora należy doradzanie administratorowi. Pytanie brzmi, czy przeprowadzenie analizy ryzyka, to jeszcze doradzanie, czy już działanie realizowane za ADO, tym samym naruszenie niezależności inspektora i przepisów RODO (art. 38 ust. 6). I moim zdaniem nie da się jednoznacznie odpowiedzieć, bazując jedynie na przepisach. Nawet w literaturze pojawiają się bardzo rozbieżne stanowiska, gdzie raz rola IOD ogranicza się do przypominania i mówienia, jak coś zrobić; a innym razem wykonania działania po konsultacji z personelem.

Analiza ryzyka jest trudna, jednak jest niesamowicie przydatnym narzędziem. Nim dłużej zajmuję się kwestiami bezpieczeństwa informacji, tym mocniej doceniam to narzędzie. Jednak na początku była to „droga przez mękę”. Bazując na moich doświadczeniach, mogę stwierdzić, że administrator samodzielnie nie przeprowadzi analizy ryzyka dla ochrony danych osobowych. Nawet jeśli w organizacji jest wiedza w zakresie analizy ryzyka, to zastosowanie standardowej metodyki, może dać przekłamane wyniki. Przede wszystkim dlatego, że skupia się na stratach dla organizacji (często jedynie finansowych), a w przypadku analizy dla ochrony danych, należy jeszcze wziąć pod uwagę dotkliwość skutków dla osoby, której dane dotyczą. I ponownie jest to dziedzina, w której inspektor odnajduje się doskonale, jednak personel administratora może mieć problem ze stwierdzeniem poziomu dotkliwości. Wniosek nasuwa się sam: nie da się przeprowadzić analizy ryzyka dla ochrony danych bez czynnego udziału inspektora. W praktyce będzie raczej tak, że inspektor będzie inicjował i zarządzał procesem, a personel udzielał mu niezbędnych informacji. Może też być tak, że pracownicy wypełnią tabelki, a inspektor zbierze ich analizę w „jedną całość”.

Jednak czy może IOD może przeprowadzić analizę samodzielnie nie powodując konfliktu interesów, bez udziału pracowników?

Read More
13 sty

Już wkrótce masowe upublicznianie PESEL-i przez e-doręczenia

Ochrona PESEL-u zaczyna urastać do rangi narodowej. Z jednej strony na każdym kroku otrzymujemy ostrzeżenia, żeby chronić PESEL, bo jego ujawnienie może skończyć się kradzieżą tożsamości, wzięciem na nas pożyczki lub oszustwem, z drugiej nasze PESEL-e dosłownie wszędzie są dostępne. Pikanterii dodaje fakt, że w przypadku naruszenia poufności danych osobowych, wśród których jest PESEL, Prezes UODO wskazuje, że jest to zdarzenie o wysokim ryzyku negatywnych skutków dla osoby, której on dotyczy.

Czuję się trochę jak w domu wariatów. Przede wszystkim muszę podkreślić, że znalezienie PESEL-u dowolnej osoby fizycznej w Internecie, zazwyczaj jest bardzo proste i zajmuje chwilę. I co ważne, legalnie, bez żadnych ograniczeń PESEL-e udostępniają podmioty publiczne.

Hitem jest rejestr beneficjentów rzeczywistych – wystarczy wpisać nazwę firmy, aby uzyskać wszystkie dane osób kluczowych w takiej firmie (członkowie zarządu, ale czasami też wspólnicy). Są tam adresy i PESEL-e. Wyszukiwarka nie ma żadnych zabezpieczeń, więc przy wykorzystaniu prostego algorytmu, można masowo pobrać wszystkie dane.

Read More
09 gru

Kara dla harcerzy – czy oznacza konieczność posiadania analizy ryzyka na wszystko?

Dawno żadna kara PUODO nie wzbudziła takiego zainteresowania, jak 555 zł dla Chorągwi Stołecznej ZHP. Spotkałam się z komentarzami, że to przykład na to, że PUODO może nałożyć karę „za cokolwiek”. A wynikają one z uzasadnienia decyzji nakładającej karę (DKN.5131.9.2024): „jak zauważył Prezes UODO, analiza ryzyka i wprowadzone na jej podstawie środki nie były wystarczające. PUODO podkreślił, że rola administratora nie ogranicza się tylko do jednorazowego opracowania i wdrożenia środków organizacyjnych i technicznych mających zapewnić przetwarzanie danych osobowych zgodne z zasadami wyrażonymi w RODO. Zgubienie laptopa to zdarzenie losowe. A w takiej sytuacji kluczowe jest jednak to, czy administrator regularnie testował, mierzył i oceniał skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych.”

Czy to oznacza, że teraz trzeba mieć analizę ryzyka na wszystko?

Czy jeśli dochodzi do naruszenia ochrony danych, a administrator nie przewidział ryzyka takiego zdarzenia, to automatycznie otrzyma karę?

Właśnie takie wnioski słyszę od tygodnia. Natomiast zupełnie się z nimi nie zgadzam. Patrzę na to zdarzenie obiektywnie: komunikacją miejską były przewożone dane osobowe dzieci w bardzo szerokim zakresie, które znajdowały się w laptopie. Zabezpieczeniem laptopa było (jakieś) hasło do systemu operacyjnego. Dysk laptopa nie był szyfrowany. Czy w tym wypadku istniał obowiązek zaszyfrowania dysku? Sięgając bezpośrednio do przepisów RODO, należy przyjąć za punkt wyjścia art. 24: „Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.” Przepis ten nie wskazuje wprost w jaki sposób zabezpieczyć laptopa, ale należy pamiętać, że szyfrowanie, jako sposób zabezpieczenia danych zostało wskazane w art. 32 ust. 1 lit. a RODO. Czyli jest to jedno z podstawowych i wprost wskazanych w przepisach zabezpieczeń.

Wracając do konkretnego przypadku zgubienia laptopa. Nie było obowiązku szyfrowania dysku. Jednakże w takim wypadku należało zapewnić szyfrowanie (zabezpieczenie hasłem) plików z danymi (kłania się art. 32 RODO). Prezes UODO zwrócił uwagę na brak analizy ryzyka w tym zakresie. Nie chodzi tu o konkretny przypadek zostawienia laptopa w metrze. Chodzi o to, w jaki sposób administrator dobrał zabezpieczenia do przetwarzania danych elektronicznych na laptopach. Szczególnie istotne jest to, że urządzenia były transportowane oraz wykorzystywane w różnych lokalizacjach. Czym uzasadnił brak zabezpieczenia dysku lub samych plików? Tak zupełnie szczerze – brak jakiegokolwiek zabezpieczenia tych danych (podkreślam danych dzieci), jest bardzo przykre. Tym bardziej, że szyfrowanie dysków laptopów staje się standardem i nie jest trudne (niektóre systemy operacyjne umożliwiają samodzielne zaszyfrowanie dysku, można też skorzystać z darmowego programu Vera Crypt). Do tego nie jest potrzebny „informatyk”.

Przykład zgubienia tego laptopa, to kolejny przykład na to, że wciąż ochrona danych osobowych w wielu podmiotach jest powierzchowna. Nikt nie myśli o konsekwencjach (czyli nie uwzględnia się ryzyka) swoich działań. Jako audytorka systemów ochrony danych, często jestem w szoku, jak bardzo powierzchowne jest podejście do bezpieczeństwa informacji. Takie systemy nazywam niedojrzałymi, bo organizacja nie rozumie jeszcze jak ważny jest cały proces zapewniania ochrony informacji.

Przesyłanie danych osobowych bez zabezpieczenia, przenoszenie nieszyfrowanych danych na dyskach zewnętrznych, praca zdalna na niewystarczająco zabezpieczonym laptopie to codzienność, z którą ludziom z branży bezpieczeństwa informacji przychodzi się mierzyć. Dlatego uważam, że kara nałożona przez Prezesa UODO, była potrzebna.

31 paź

Ochrona wizerunku osoby zmarłej

Narzędzia sztucznej inteligencji umożliwiają ożywianie znanych osób. Dzięki temu znany pisarz może przeczytać fragment swojej książki, a gwiazda kina sprzed 50 lat, reklamować kosmetyki. Branża filmowa także zaczyna ożywiać zmarłych aktorów, żeby móc kontynuować wątki z serii filmowych, w których grali za życia. Możliwości jest bardzo wiele, a efekty naprawdę zdumiewające. Co ważne, osoby zmarłe nie podlegają ochronie przewidzianej w przepisach RODO, więc nie trzeba martwić się o legalność przetwarzania ich danych. I to jest logiczne. Ale jak mawiał mój znajomy, z wykształcenia prawnik „jeśli coś jest logiczne, to pewnie jest nielegalne”. Od dwudziestu lat przypominam sobie jego słowa, gdy trafiam na trudne zagadnienia, których rozwiązanie wydaje się logiczne. I niestety najczęściej (prawie zawsze!) ma rację.

Read More
30 wrz

Pytanie: gdzie znajdę inforamcję dotyczącą zgłoszonego do UODO naruszenia ochrony danych?


Przepisy nie określają sposobu postępowania ze zgłoszeniami naruszeń. Zgodnie z art. 33 ust. 1 RODO Prezes UODO musi zostać niezwłocznie zawiadomiony o naruszeniu. Następnie prowadzi postępowanie, o którym mowa w art. 60 ustawy o ochronie danych osobowych. Jest to „postępowanie wyjaśniające”, a nie administracyjne. Na tym etapie przepisy nie określają żądnych ram czasowych dla takiego postępowania. Na swojej stronie Prezes UODO wskazuje „Wszystkie napływające zgłoszenia naruszenia ochrony danych są skrupulatnie analizowane, a kiedy zachodzi potrzeba uzyskania dalszych informacji – UODO nawiązuje szybki, często też telefoniczny, kontakt z administratorami i wyznaczonymi przez nich inspektorami ochrony danych.” (https://archiwum.uodo.gov.pl/pl/134/1029, dostęp 30.09.2024 r.).

Read More
26 sie

Czy inspektor może obsługiwać zgłoszenia sygnalistów?

Doczekaliśmy się ustawy o sygnalistach, więc rozpoczęło się procesowanie regulaminu obsługi zgłoszeń, której ten przepis wymaga. Bardzo ważne w całym procesie jest zapewnienie skutecznej ochrony tożsamości sygnalisty oraz osób, których dane będą przetwarzane w związku z działaniami następczymi. Jest to ważne nie tylko ze względu na przepisy o ochronie danych osobowych, ale uchronienie sygnalisty przed działaniami odwetowymi. A w przypadku fałszywych oskarżeń, uchronienie osoby pomówionej przez „sygnalistę” przed negatywnymi skutkami tego pomówienia.

Przepisy wymagają wprowadzenia kanału zgłoszeń naruszeń prawa, ale także wyznaczenia osoby lub osób, które będą odpowiedzialne za przyjmowanie i analizę zgłoszeń oraz przeprowadzających działania, wynikające z tego zgłoszenia (w ustawie zwane działaniami następczymi). I wiele organizacji stwierdza, że ma „idealnego kandydata” do obsługi zgłoszeń. Inspektor ochrony danych wydaje się idealny – jest niezależny w swoich działaniach, obiektywny, wie w jaki sposób zapewnić skuteczną ochronę tożsamości sygnalisty. Przepisy pozwalają na wykonywanie przez niego dodatkowych obowiązków… Moim zdaniem te zalety są jedynie pozorne. Jeżeli inspektor będzie rozpatrywać zgłoszenia sygnalistów, będzie brać aktywny udział w istotnym procesie przetwarzania u administratora. W tym będzie podejmować działania i decyzje, wynikające ze zgłoszenia. Zatem będzie zaangażowany w istotny z perspektywy przepisów o ochronie danych osobowych obszar, którego nie będzie już mógł obiektywnie audytować. I nastąpi konflikt interesów przy wykonywaniu przez niego zadań. Na początku zaangażowanie IOD może nie być bardzo widoczne. Jednak przy pierwszym, poważnym zgłoszeniu, okaże się, że problem wymaga na tyle dużego udziału inspektora, że będzie to ograniczać możliwość wykonywania przez niego zadań z art. 39 RODO. Poza tym ktoś powinien odpowiadać za monitorowanie tak bardzo newralgicznego pod względem zapewnienia ochrony danych osobowych obszaru. Nie będzie mógł już tego robić inspektor, jako osoba odpowiadająca za ten proces.

Uważam natomiast, że dopuszczalne jest, przy spełnieniu pewnych warunków (tzn. gdy nie będzie to zbytnio angażujące, a sam IOD nie będzie zaangażowany w inne procesy przetwarzania), aby inspektor przyjmował, rejestrował i anonimizował zgłoszenia, przed przekazaniem do komisji, która będzie je weryfikować. Jego rola mogłaby ograniczyć się do przyjmowania zgłoszeń, doradzania komisji i przekazywania informacji zwrotnej sygnaliście. W takim wypadku inspektor byłby jedynie punktem kontaktowym, natomiast nie brałby czynnego udziału w działaniach następczych. Co ważne, jeżeli zgłoszeń byłoby dużo, moim zdaniem powinna zostać wyznaczona odrębna osoba, gdyż nadmiernie angażowałoby ty inspektora.

Nazywam się Sylwia Czub-Kiełczewska, jestem ekspertką ds. ochrony danych osobowych oraz certyfikowaną audytorką wewnętrzną ISO 27001 /TISAX. Pomagam organizacjom wdrożyć skuteczne systemy bezpieczeństwa informacji, przeprowadzam audyty zgodności z RODO / ISO27001. Jestem skuteczna, bo stosuję indywidualne podejście, oparte na zrozumieniu klienta oraz jego działalności. Potrzebujesz wsparcia? Napisz do mnie



Zapraszam na moje (bardzo praktyczne i konkretne) szkolenia!

We wpisie wykorzystano zdjęcie z serwisu Pixabay.com.

23 lip

Udostępnienie danych pracownikowi, nieupoważnionemu do ich przetwarzania – jak ocenić ryzyko naruszenia?

Wpis jest efektem wielu przemyśleń oraz doświadczeń moich i znajomych IOD, wynikających ze zgłaszania naruszeń do Prezesa UODO. Zacznę od najprostszego – tak jest to naruszenie ochrony danych. Wynika to bezpośrednio z definicji z art. 4 RODO. Pracownik, który nie jest upoważniony do przetwarzania określonych danych, staje się nieuprawnionym odbiorcą danych, w momencie ich udostępnienia. Zatem rozważania skupię na ocenie tego, jak wysokie ryzyko dla osób fizycznych, generuje takie naruszenie. Na ile ma znaczenie, że nieuprawnionym (zazwyczaj przypadkowym) odbiorcą danych jest pracownik?

Fakty: administrator zapewnia przeszkolenie swojego personelu z ochrony danych osobowych. Ponadto powinien zobligować pracowników do zachowania poufności. Poza tym często dochodzą dodatkowe okoliczności: znajomość zachowań pracownika, wieloletnia współpraca i zaufanie. Czy pracownik będzie w takim wypadku „zaufanym odbiorcą”?

W przepisach RODO nie ma definicji zaufanego odbiorcy. Takie określenie pojawia się w aplikacjach bankowych, w odniesieniu do osób lub podmiotów, do których klietn chce wykonywać przelewy bez konieczności podawania dodatkowych poświadczeń. To klient, a nie bank określa, kto jest zaufany, a kto nie. O zaufanym odbiorcy wspomniała także EROD w wytycznych 1/2021, dotyczących naruszeń. Pojęcie to pojawia się w przykładzie naruszenia, polegającego na udostępnieniu danych osobowych agentowi ubezpieczeniowemu. Co istotne, agent został uznany za zaufanego odbiorcę ze względu na fakt ustawowego zobligowania do zachowania w poufności danych przetwarzanych w związku z wykonywaniem zawodu (mail z danymi od klienta, więc zaliczał się do tej kwalifikacji), sam zgłosił naruszenie i pracował z klientem na tyle długo, że jest etyka nie wzbudzała wątpliwości. Logiczne? Raczej problematyczne, bo okazuje się, że jest to uznanowia definicja, gdzie administrator może mieć odmienne zdanie od organu nadzorczego.

Jak jest w praktyce?

Read More
14 cze

Postępowanie spadkowe, a tajemnica bankowa i RODO

Jest to jeden z tych przykładów, gdzie „diabeł tkwi w szczegółach”. Bezpośrednio z przepisów prawa wynika obowiązek udostępnienia danych chronionych tajemnicą bankową na potrzeby prowadzenia przez sąd potępowania spadkowego (art. 105 ust. 1 pkt 2 lit. d prawa bankowego). Gdzie tajemnica bankowa obejmuje wszystkie informacje dotyczące czynności bankowej, uzyskane w czasie negocjacji, w trakcie zawierania i realizacji umowy, na podstawie której bank tę czynność wykonuje (art. 104 ust. 1 prawa bankowego). Przepis dotyczący obowiązku ujawnienia danych objętych tajemnicą bankową, nie precyzuje zakresu tych danych. Zatem banko w tym wypadku ujawnia dane w zakresie, który wynika z wniosku otrzymanego od sądu. Najczęściej sąd żąda historii rachunku, lokat, inwestycji. Pojawia się problem, żeby rachunek należy do dwóch współwłaścicieli – wniosek i postępowanie spadkowe nie dotyczą współwłaściciela, zatem jego dane, ani jego transakcje nie powinny podlegać udostępnieniu – naruszałoby to zasady przetwarzania danych z RODO. Jednocześnie, biorąc pod uwagę cel udostępnienia, czyli ustalenie wartości masy spadkowej, zasadne wydaje się powiadomienie sądu o fakcie istnienia współposiadacza rachunku. I uważam, że w tym wypadku jego dane mogą być udostępnione dopiero na podstawie konkretnego wniosku, który go dotyczy, a nie w ramach wcześniej wskazanego zakresu informacji.

Read More
23 maj

Audyt SZBI zgodnie z ISO27001 – jak to zrobić?

Wiem doskonale z własnego doświadczenia, że szkolenie to nie wszystko. Po intensywnych kilku dniach szkoleń, wraca się do szarej rzeczywistości i nie wiadomo od czego zacząć. Świadomie odwołuję się do audytu zgodności z normą ISO, a nie RODO, ponieważ jest to temat, który zyskuje na popularności i coraz częściej inspektorzy, szukając skutecznych metod audytu, sięgają właśnie po normy ISO.

Od czego zacząć? Na pewno wiedza. Nie da się weryfikować zgodności z jakimkolwiek standardem, jeżeli się go nie zna. Jeśli weryfikujemy zgodność z RODO, musimy znać przepisy RODO, ale także umieć stosować je w praktyce i rozumieć. Podobnie z ISO27001, należy zapoznać się ze standardem. Dobrym punktem wyjścia jest szkolenie, najlepiej w firmie, która na co dzień przeprowadza audyty zgodności z ISO27001 i certyfikację zgodności.

Kolejnym krokiem jest zakup normy. Podczas szkolenia pewnie w sposób pośredni zapoznamy się z treścią normy, ale nie można weryfikować zgodności ze standardem, którego się nie posiada. Dodatkowo na plus jest to, że sama norma zawiera tabelkę, która wprost może posłużyć nie tylko do przeprowadzenia audytu, ale także za sprawozdanie.

Read More
22 kwi

Kiedy muszę podawać w klauzuli odbiorców danych z nazwy?

Zapewnienie przejrzystości w klauzuli informacyjnej jest bardzo trudne. Z jednej strony przepisy RODO wymagają, aby każda informacja była przekazywana prostym i jasnym językiem, z drugiej te same przepisy wymagają przekazania tak wielu informacji, że na sam widok klauzuli informacyjnej, większości osób „odechciewa się” ją czytać.

Mam poza tym wrażenie, że jest tendencja robienia coraz bardziej rozbudowanych klauzul, gdzie wszystko dzieli się na bloki i powtarza po 3 razy. Ostatnio konsultowałam wzór klauzuli dla kandydatów do pracy, który miał 5 (pięć!) stron. Połowę treści nazwałabym „laniem wody”, żeby zrobić wrażenie, że zabezpiecza się dobrze dane osobowe. Ciekawie robi się także, gdy w klauzulach pojawiają się informacje o odbiorcach danych. Okazuje się, że mimo wielu lat obowiązywania RODO, w dalszym ciągu jest problem z definicją odbiorcy (np. jako odbiorców danych, wielu administratorów wskazuje swoich pracowników oraz inne upoważnione do przetwarzania osoby), a także ze sposobem wskazania tych odbiorców w klauzuli.

Zgodnie z art. 13/14 ust. 1 lit. e RODO w klauzuli wskazuje się „informację o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją”. Odbiorcami będą wszystkie podmioty przetwarzające, współadministratorzy, a także administratorzy (z wyłączeniem podmiotów publicznym, którym udostępnia się dane w celu wykonywania przez nie zadań).

Mimo tego wyjątku, katalog odbiorców jest zazwyczaj bardzo obszerny i zawiera w szczególności:

Read More