06 Lip

Ci od RODO: RODO… żeby nie było niczego

Czy RODO zdało egzamin? Może lepiej jest nie wdrożyć nic, bo wtedy problemu nie ma? Luźna dyskusja o naszych doświadczeniach, pracy, praktyce. Czy mało kar, sprawia że administratorzy czują się bezkarni? Co warto byłoby naprawić/dodać do RODO?

Nawiązujemy do:

„żeby nie było niczego”: https://www.youtube.com/watch?v=F9Q5D8hsEgM

Zestawienie kar pieniężnych nakładanych przez europejskie organy nadzorcze: www.enforcementtracker.com/

Na jakiej zasadzie UODO nakłada kary pieniężne? https://uodo.gov.pl/pl/138/1244

Kodeks RODO dla bibliotek: http://www.sbp.pl/artykul/?cid=22103&prev=1

Read More

19 Cze

Oświadczenie o stanie zdrowia w związku z COVID-19

Po niefortunnych moim zdaniem wytycznych MKiDN dotyczących obowiązku uzyskiwania informacji o stanie zdrowia, dostaję od Was bardzo dużo pytań, czy faktyczne można to robić i jak to robić. Na temat legalności tego działania wypowiadałam się we wcześniejszym wpisie, tym razem pomogę Wam rozwiązać problem w praktyce.

Wieloktronie wypowiadałam się, że najlepszym i najprostszymy rozwiązaniem jest wprowadzenie zasad dotyczących udziału w wydarzeniu lub pracy stacjonarnej. Zgodnie z zaleceniami GIS osoby, należy zapewnić, aby takie osoby były zdrowe i nie miały styczności z osobami chorymi, co oczywiście ma sens, bo minimalizuje ryzyko rozprzetrzeniania się koronawirusa. Read More

04 Cze

Wytyczne dla przedsiębiorców i podmiotów publicznych w związku z odmrażaniem gospodarki a przepisy RODO

W ostatnim czasie wrócił ze zdwojoną siłą temat postępowania przez przedsiębiorców i podmioty publiczne w związku z powrotem do pracy stacjonarnej. Ponieważ będę go omawiać w kontekście przepisów RODO, ogólnie będę określać te podmioty, jako administratorów 🙂 Poniżej przedstawiam moją subiektywną interpretację, a także rozwiązania, które moim zdaniem są najlepsze.

Zacznę może od tego, że w ostatnim czasie bardzo dużo różnych podmiotów publikuje zalecenia dotyczące określonych zasad postępowania. Łatwo jest pogubić się w nich wszystkich, tym bardziej, że czasami są one ze sobą sprzeczne lub stoją w oczywistej opozcyji z przepisami RODO. Punktem wyjścia powinna być dla Was tzw. specustawa o COVID-19 (czyli ustawa o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych). Przepis ten ma bezpośredni wpływ na sposób przetwarzania danych przez administratorów, jeżeli zajdą określone w nim warunki. Po pierwsze art. 11 specustawy daje wojewodom, ministrowi zdrowia oraz premierowi uprawnienie do wydawania administratorom wiążących poleceń, także w zakresie sposobów przetwrzania danych. Takie polecenie jest wydawane w postaci decyzji opublikowaniej w BIP organu lub dostarczane indywidualnie administratorowi (w zależności od tego, czy dotyczy ogółu, czy konkretnego podmiotu). Administrator, który otrzyma takie polecenie, jest zobligowany je zastosować. I tu tadam! Czy zastanawialiście się dlaczego w szpitalach wprowadzono bezwzględny nakaza mierzenia wszystkim temperatury? Wcale nie był to wynik analizy ryzyka, ale właśnie działanie na polecenie wojewody. Jakiś czas temu poszczególni wojewodowie wydali decyzje w tym zakresie obowiązujące podmioty lecznice. I wówczas, podmioty te były zobligowane do wprowadzenia mierzenia temperatury ciała (spełniony jest warunek z art. 9 ust.  2 lit. i RODO).

Na tej samej zasadzie, zgodnie z art. 17 specustawy o COVID-19 polecenia administratorom może wydawać GIS oraz wojewódzki inspektor sanitarny mogą wydawać decyzje wiążące administratorów. Dodatkowo zgodnie z zalecenia opublikowane przez GIS także administrator może przywołać, jako podstawę do podjęcia pewnych działań. Read More

14 Maj

Czy z osobą samozatrudnioną należy podpisać umowę powierzenia?

Upoważnienie, czy powierzenie danych? Ten temat od pewnego czasu przewija się w moich rozmowach z klientami. Biorąc pod uwagę aktualny rynek pracy oraz to, że w wielu firmach dostęp do danych mają osoby prowadzące jednoosobowe działalności gospodarcze, a zatem nie będące pracownikami, należy w firmie przyjąć jednolitą procedurę postępowania. Osobiście jestem zwolenniczką umowy powierzenia i co do zasady takie rozwiązanie stosuję w relacjach biznesowych z moimi klientami, jednakże dla wielu administratorów to rozwiązanie jest dość problematyczne. Tym bardziej, że osoby samozatrudnione bardzo niechętnie podchodzą do kwestii zawarcia powierzenia, czasami stwierdzając wprost, że nie zgadzają się na takie rozwiązanie.

I naprawdę w wielu przypadkach jest to uzasadnione.

Read More

04 Maj

Gościnnie: Niech administratorem w gminie będzie gmina

Kto jest administratorem danych w gminie? Pytanie to zadaje sobie pewnie większość inspektorów ochrony danych. Moim zdaniem za ADO w gminie powinna być uznawana właśnie ta gmina. Dlaczego? Administrator danych jest adresatem szeregu obowiązków wynikających z RODO i odpowiada między innymi za:

  • przetwarzanie danych zgodnie z zasadami – art. 5,
  • realizację żądań osób, których dane dotyczą – art. 15-22,
  • zapewnienie bezpieczeństwa przetwarzania danych – art. 32,
  • współpracę z organem nadzorczym – art. 31,
  • zgłaszanie naruszenia ochrony danych osobowych organowi nadzorczemu – art.35,
  • zawiadamianie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych – art. 34,
  • wyznaczenie inspektora ochrony danych.

W art. 9 ustawy o ochronie danych osobowych [ustawa ODO], jako podmioty publiczne zobowiązane do zgłoszenia inspektora ochrony danych zostały wskazane jednostki sektora finansów publicznych, do których zgodnie z ustawą o finansach publicznych (art. 9) zalicza się jednostki samorządu terytorialnego, jak gminy, powiaty, województwa. W tak ujętym określeniu podmiotu publicznego za administratora w jednostkach samorządu terytorialnego jak najbardziej można byłoby przyjąć gminę, w której organem wykonawczym, działającym w jej imieniu jest wójt. Read More

29 Kwi

Ci od RODO: Niech ADO w gminie będzie gmina

Problematyka określenia administratora danych w jednostkach samorządu terytorialnego to jeden wielki problem. A nim dalej w las, tym gorzej. Do rozmowy natchnął nas postulat o to, aby ADO w gminie była gmina, który biorąc pod uwagę aktualne problemy związane z odpowiedzialnością za bezpieczeństwo danych mógłby być genialnie prostym rozwiązaniem.

Read More

22 Kwi

Nagrywanie rozmów telefonicznych a prawo do prywatności i zgdoność z RODO

Gdy Sylwia zaproponowała mi ten temat to pierwszą myślą było – a co w tym ciekawego, pewnie zasady te same co przy monitoringu. Kilka dni później zadzwoniłam do jednostki publicznej i jakież było moje zdziwienie, gdy od robota w słuchawce słyszę, że rozmowa jest nagrywana, a jak nie wyrażam zgody na nagrywanie to mam się rozłączyć. I tu zapaliła mi się pierwsza czerwona lampk! Jak to?– chcę skorzystać z usługi podmiotu publicznego, który ma obowiązki wobec mnie wynikające z przepisów prawa i mam się rozłączyć, bo nie chcę być nagrywana. Zaraz rozbłysła też druga – czy zgoda jest odpowiednią przesłanką przetwarzania dla nagrywania rozmów w jednostkach realizujących cele publiczne? Oczywiście należy rozróżnić nagrywanie rozmów przez podmioty publiczne od nagrywania przez podmioty prywatne, które mogą uzależniać możliwość załatwienia sprawy telefonicznie od zgody na nagrywanie.

Zgodność z RODO

Zacznijmy od podstaw. Nagrywanie rozmów stanowi przetwarzanie danych osobowych. W Kodeksie RODO dla bibliotek (podlinkuj) autorzy tłumaczą, że w pewnych okolicznościach głos może być uznany nawet za daną biometryczną, ale w tym wypadku nie będzie to miało zastosowania i uznamy że jest to dla nas zwykła dana osobowa. Read More