07 Wrz

Ci od RODO: Naruszenia RODO w praktyce

Trudno uwierzyć, że to już rok, od kiedy nagrywamy podcasty o ochronie danych osobowych. Pierwszy podcast dotyczył kar nakładanych na podstawie RODO, ponieważ zatoczyliśmy koło, przyszła pora na naruszenia. Kiedy zgłaszać. Czy na pewno zgłaszać, a jeśli się zgłosi, jaka jest szana na to, że będzie z tego kontrola. Nasze przemyślenia i doświadczenia. Parę też praktycznych porad, jak szacować ryzyko naruszenia.

Read More

04 Wrz

Zleceniobiorca – upoważnienie czy umowa powierzenia?

Dość często spotykam się z dylematem, czy osoby realizujące zadania w oparciu o umowy cywilnoprawne powinny mieć dostęp do danych osobowych na podstawie umowy powierzenia, czy na podstawie upoważnienia. Szczególnie, że czasami mogą to być osoby fizyczne, które realizują zlecenie w ramach prowadzonej działalności gospodarczej.

Stoję na stanowisku, że jeżeli zleceniobiorca realizuje zadania osobiście, wystarczy upoważnienie do przetwarzania danych. W przypadku przedsiębiorcy istotne dla mnie też jest to, czy korzysta on z infrastruktury administratora, czy z własnej (swoje biuro, komputer, własny e-mail). Jeżeli jest zupełnie niezależny, np. firma szkoleniowa, która obsługuje kilka firm i korzysta z własnych narzędzi, właściwsze może być zawarcie umowy powierzenia. Szczególnie, gdy korzysta ona tylko ze swoich narzędzi i swojej poczty e-mail. Read More

24 Sie

Ci od RODO: Dramy w pracy inspektora ochrony danych

Praca IOD to nie bajka. Raz jest z górki, raz pod górkę. Czasami trzeba najeść się wstydu, czasami robi się coś tylko po to, aby dowiedzieć, że jest to kompletnie niepotrzebne. Zdarza się też, że niektórym puszczają nerwy. O największych dramach w dotychczasowej zawodowej opowiada Sylwia Czub-Kiełczewska, która jak wiadomo, ochroną danych osobowych zajmuje się totalnie z przypadku 🙂 Read More

17 Sie

Uchylenie Tarczy Prywatności a fanpage na Facebooku

Od kilku tygodni moi klienci oraz czytelnicy bloga zasypują mnie pytaniami „co dalej z fanpage na Facebooku?”. Wyrok Schrems II (sprawa C-311/18) w wyniku, którego TSUE unieważnił porozumienie Tarcza Prywatności UE-USA, na którym opierało się większość transferów danyc do USA, sprawił że z dnia na dzień korzystanie z usług najpopularniejszych dostawców IT stało się nielegalne. EROD w swoich wytycznych, dla administratorów doradził, aby negocjować zmianę warunków umów z dostawcami. To oczywiście ma sens, gdy ma się pozycję negocjacyjną. Ostetecznie pozostało pytanie: jak żyć?

Read More

11 Sie

Klauzula informacyjna do osób dodanych do bazy PR

Być może pamiętacie pierwszą karę pieniężną nałożoną przez Prezesa UODO? Chodziło o niezrealizowanie obowiązku informacyjnego wobec osób, które zostały dodane do bazy danych administratora, gdzie dane pozyskał on z ogólndostępnych źródeł, jak strony internetowe, CEiDG, czy KRS. Istotne w sprawie jest to, że administrator nie potrzebował w tym wypadku zgody tych osób, bo cel nie był marketingowy, a informacyjny (możliwość sprawdzenia takiego przedsiębiorcy w jednej bazie).

Organ nadzorczy zwrócił uwagę, że nawet jeżeli nie potrzebujemy zgody na przetwarzanie, to osoba, której dane dotyczą ma prawo wiedzieć o tym, że mamy jej dane i co z nimi robimy. Chociażby po to, by móc się sprzeciwić na takie działanie. Za niewypełnienie obowiązków informacyjnych, ostecznie nałożono prawie 1 mln zł kary. Read More

07 Sie

Ci od RODO: Specjalista od RODO z przypadku

Nawet najlepsi muszą czasem odpocząć, więc tym razem przy mikrofonie Łukasza Wojciechowskiego zastąpiła Agnieszka Rucińska, która opowiedziała o swojej przygodzie z ochroną danych osobowych i jak to jest stać się specjalistą od RODO z łapanki. Rozmawiamy o początkach, skąd czerpać wiedzę, jakie błędy popełnia się na początku. I po jakim czasie pracy z danymi osobowymi, człowiek zaczyna czuć się pewnie. Read More

03 Sie

Kodeks RODO dla bibliotek przekazany do Prezesa UODO

Kochani, zaczynając z Łukaszem Wojciechowskim pracę nad kodeksem dla bibliotek, wiedzieliśmy że chcemy to zrobić bardzo kompleksowo, więc będzie to niezłe wyzwanie. Mieliśmy nadzieję, że uda się przed złożeniem do zatwierdzenia przez Prezesa UODO zaprezentować Kodeks na uroczystej konferencji, jednakże covidowa rzeczywistość pokrzyżowała nasze plany. Tworzenie Kodeksu trawało długo, mamy nadzieję, że zatwierdzanie będzie szybsze.

Już dzisiaj możecie pobrać pełną treść naszego Kodeksu dla bibliotek i korzystać z jego treści (POBIERZ).

W dalszym ciągu jesteśmy otwarci na Wasze uwagi dotyczące treści. Przekazujcie je do SBP, które koordynowało dotychczasowe konsultacje społeczne: biuro@sbp.pl.

Kilka słów o Kodeksie

Został opracowany na podstawie przepisów art. 40 RODO, z inicjatywy specjalistów w zakresie ochrony danych osobowych działających na rzecz bibliotek oraz Stowarzyszenia Bibliotekarzy Polskich.

SBP podjęło tę inicjatywę w celu merytorycznego i praktycznego wsparcia bibliotek jako administratorów danych osobowych, dając im wytyczne, jak prawidłowo i skutecznie stosować przepisy RODO. Zawartość Kodeksu była tworzona i konsultowana ze wsparciem środowiska bibliotekarzy w latach 2019-2020.

Kodeks jest skierowany do bibliotek publicznych, w tym działających w ramach ośrodków kultury, pedagogicznych oraz wojskowych. Autorzy uwzględnili różnice wynikające z przetwarzania danych w bibliotekach będących odrębnymi jednostkami, jak i działających w ramach innych jednostek. Kodeks może być wykorzystany także przez inne rodzaje bibliotek.

29 Lip

Wzór skargi do Prezesa UODO

W ostatim czasie coraz częściej zgłaszacie się do mnie w związku z nieprawidłowym przetwrzaniem Waszych danych. Głównie dotyczy to niezgodnego z prawem upublicznienia danych, gdzie administrator uważa, że miał do tego prawo i odmawia podjęcia działań mających na celu przywrócenie stanu zgodnego z przepisami prawa. W związku z tym pytacie jak i kiedy można złożyć skargę na takiego administratora do Prezesa UODO.

W związku z tym postanowiłam udostępnić Wam przykładowy Wzór skargi do Prezesa UODO wraz z omówieniem.

Poniżej też kilka istotnych informacji w formie Q&A:

Kiedy mogę złożyć skargę?

Jeżeli administrator przetwarza Twoje dane niezgodnie z prawem, np. udostępnił je publicznie lub nieuprawnionej osobie, nie zniszczył, nie respektuje Twojego sprzeciwu na przetwarzanie, itp. Istotne jest to, abyś przed złożeniem skargi skontaktował się z administratorem i zażądał od niego przywrócenia stanu zgodnego z prawem, np. poprzez usunięcie Twoich danych. Jeżeli administrator nie odpowiada na żądanie lub odmawia jego realizacji, zgłoś skargę do UODO. Skargę możesz zgłosić także wtedy, gdy na skutek niewystarczających zabezpieczeń wdrożonych przez administratora Twoje dane zostały usunięte, są niedostępne lub zostały wykradzione. Szczególnie jeżeli w wyniku tego działania poniosłeś negatywne skutki.

Co musi zawierać skarga, aby Prezes UODO jej nie odrzucił?

Twoje dane (imię, nazwisko, adres do korespondencji, może też być jakiś kontakt), dane administratora, na którego składasz skargę (nazwa, adres), jak najbardziej szczegółowy opis nieprawidłowości (jeśli możesz dołącz kopię korespondencji, wskaż daty i treści rozmów), informację jakich działań oczekujesz od Prezesa UODO (o tym więcej poniżej). W przypadku wersji wysyłanej pocztą tradycyjną, skarga musi zawierać własnoręczny podpis. Skargę elektroniczną podpisuje się podpisem kwalifikowanym lub ePUAP.

Czego mogę zażądać w skardze?

Większość skarżących prosi o nałożenie kary pieniężnej na administratora 🙂 Jednak UODO niestety nie będzie mogło zrealizować tego żądania – to leży w jego gestii i jest ostatecznym działaniem, podejmowanym po przeprowadzeniu postępowania. Jeżeli nie wskażesz innego żądania, organ może wezwać Cię do uzupełnienia wniosku. Możesz zażądać nakazania przez Prezesa UODO: Read More

21 Lip

Ci od RODO: Totalnie na luzie

Czas na wakacyjny luz i pogadankę o wakacyjnych przygodach związanych z przetwarzaniem danych, które nas spotkały. Mówimy o tych zabawnych, dziwnych i smutnych. Ponoć najlepiej jest uczyć się na swoich błędach, więc my dajemy Wam dobrą lekcję na podstawie naszych 🙂 Read More

06 Lip

Ci od RODO: RODO… żeby nie było niczego

Czy RODO zdało egzamin? Może lepiej jest nie wdrożyć nic, bo wtedy problemu nie ma? Luźna dyskusja o naszych doświadczeniach, pracy, praktyce. Czy mało kar, sprawia że administratorzy czują się bezkarni? Co warto byłoby naprawić/dodać do RODO?

Nawiązujemy do:

„żeby nie było niczego”: https://www.youtube.com/watch?v=F9Q5D8hsEgM

Zestawienie kar pieniężnych nakładanych przez europejskie organy nadzorcze: www.enforcementtracker.com/

Na jakiej zasadzie UODO nakłada kary pieniężne? https://uodo.gov.pl/pl/138/1244

Kodeks RODO dla bibliotek: http://www.sbp.pl/artykul/?cid=22103&prev=1

Read More