22 wrz

Czy PUODO odrzuca skargi na administratorów? #1 Ta od RODO

Kiedyś miałam przyjemność współtworzyć świetny podcast z Łukaszem Wojciechowskim. Wówczas jako „Ci od RODO” omawialiśmy najważniejsze kwestie dotyczące stosowania RODO. Była to forma zamknięta, ale od dłuższego czasu chodziło mi po głowie, aby wrócić do nagrywania. Próbuję swoich sił w nowej formule. Chcę komentować najważniejsze wydarzenia, zmiany w przepisach, decyzje PUODO, okraszone moimi uwagami i przemyśleniami z codziennej pracy. Jeśli format się przyjmie, będę go kontynować. Zatem czekam na konstruktywną krytkę.

Read More
13 wrz

Czy to już naruszenie, czy tylko incydent?

Dość długa cisza na blogu, to efekt krótkiego (i niestety trzy razy przerywanego) urlopu, a także armagedonu, który rozpętał się u moich klientów po powrocie. Mówiąc krótko, trzy tygodnie po urlopie stwierdziłam, że aby dojść do siebie, przydałby mi się kolejny. Jeśli jesteś IOD, szczególnie tym działającym na własny rachunek, być może zauważyłeś, że w wakacje nagle „wszyscy przypominają sobie o RODO”. Nagle chcą uporządkować sprawy, które zawsze były „mniej pilne”, zaktualizować dokumentację, zrobić audyt. Od kilku lat wakacje są w mojej firmie okresem bardzo intensywnej pracy, tym bardziej, że zawsze w osłabionym, ze względu na sezon urlopy, składzie.

Poza tym wakacje to najgorszy czas na naruszenie, właśnie ze względu na braki kadrowe, szczególnie wśród osób decyzyjnych. Jednak chciałabym zwrócić uwagę na jeszcze jeden problem: niechęć do zgłaszania naruszeń. Samo w sobie naruszenie jest stresujące, wymaga działania na wielu frontach. Nagle zamieniasz się w kapitana tonącego statku, który jako jedyny na pokładzie nie tracie zimnej krwi i wie co robić. Przynajmniej w teorii, bo w praktyce każdy incydent to mniejszy lub większy stres. I przepychanki z załogą: zgłaszać, czy nie zgłaszać?

O tym, jak zawiadomić organ o naruszeniu pisałam już wcześniej – wbrew pozorom nie jest to łatwe. Odrębną kwestią jest dokonanie oceny ryzyka naruszenia. Można dokonać tego poprzez ocenę materializacji negatywnych skutków dla osoby, które dane dotyczą lub skorzystanie z kalkulatora ryzyka naruszena (jest ich kilka dostępnych w Internecie). Jednak nie każdy incydent można łatwo zamknąć w ramach tej oceny. Miałam okazję dwa razy przekonać się o tym w te wakacje.

Read More
26 lip

Nadawca listu zgłasza naruszenie ochrony danych do UODO, w przypadku jego zagubienia

Myślę, że nie tylko mi spędza sen z powiek kwestia przesyłania dokumentów z danymi osobowymi (np. umów) tradycyjną pocztą lub poprzez firmę kurierską. I nie chodzi mi o koszty, a fakt, że te przesyłki zbyt często (jak na moje standardy) giną lub są przekazane niewłaściwej osobie. Nie ulega wątpliwości, że takie zdarzenie to naruszenie ochrony danych osobowych. Powstaje jednak pytanie, kto za nie odpowiada i powinien je (ewentualnie) zgłosić do organu nadzorczego?

Problem wynika przede wszystkim z faktu, że od nadania przesyłki, nadawca nie ma już żadnego wpływu na to, czy i w jaki sposób została dostarczona. Zatem to podmiot doręczający ponosi odpowiedzialność, za prawidłowe zrealizowanie usługi. Ale przesyłka nie trafi do adresata, to zagubieniu lub ujawnieniu podlegają dane, dla których administratorem jest nadawca.

Dotychczasowe opinie oraz stanowiska Prezesa UODO, wskazują na jednoznaczne podejście: naruszenie zgłasza nadawca, jako administrator danych zawartych w przesyłce.

Read More
14 lip

Jeśli jesteś IOD i masz dosyć, ten wpis jest dla Ciebie.

Czy zawód IOD to nieunikniona frustracja i stres? Moim zdaniem bardzo wielu IOD towarzyszą właśnie takie emocje. Dzielą się nimi podczas naszych szkoleń i spotkań branżowych. Zresztą mi też czasami towarzyszą. Ale tak zupełnie szczerze, to gdy wcześniej zajmowałam się czymś innym, też pojawiały się uczucie bezsensu i beznadziejności tego co robię. Mimo, że lubię zajmować się ochroną danych osobowych, czasami ręce mi opadają i odechciewa się dalszej pracy. Jednak kluczowe jest, aby znaleźć sposób na pokonanie i przejście zawodowych kryzysów. Wiem, łatwo powiedzieć, trudniej zrobić. Ale od początku.

Od mniej więcej roku skupiam się głównie na szkoleniach i konsultacjach indywidualnych dla IOD. Są moim zdaniem sensowne, bo można przepracować konkretne zagadnienia oraz problemy, ale także uzyskać oczekiwane efekty. I w zasadzie na każdym spotkaniu jednym z kluczowych tematów do przepracowania jest komunikacja z administratorem i jego personelem, które nie działają i sprawiają, że praca IOD wydaje się bezsensowna. Zazwyczaj wygląda to tak, że IOD swoje, a reszta firmy swoje. Jest pomijany w kwestiach ochrony danych lub dodawany tylko dla zasady, bo i tak wszyscy wiedzą lepiej, jak coś zrobić. Mimo najlepszych intencji IOD, administrator nie ma dla niego czasu i nie chce go słuchać. Często też jest tak, że w firmach są kierownicy działów, którzy są królami tych działów i nie wpuszczają do swojego królestwa „psuja od RODO”. W takich patologicznych układach, szybko uznaje się, że IOD w zasadzie nie ma nic do roboty i dorzuca mu się innych obowiązków, które docelowo tak go angażują, że już w ogóle nie realizuje zadań wskazanych w RODO. Jednak nadal piastuje stanowisko inspektora, więc stresuje się tym, że nic nie robi, że nie ma nic wpływu. Obawia się wycieku danych, kontroli UODO, kar pieniężnych, odpowiedzialności za nierealizowanie swoich zadań.

Opisany przeze mnie układ występuje na tyle często, że Prezes UODO zainteresował się tematem i rozpoczął kontrole sposobu funkcjonowania IOD u administratorów. Jest to doby kierunek działania, bo ma pokazać administratorom, że ich obowiązki związane z wyznaczeniem inspektora i zapewnienia mu odpowiednich warunków pracy są ważne i mogą być w tym zakresie nie tylko skontrolowani, ale też ukarani.

Wracając do głównego tematu – jestem IOD i ma dosyć, co zatem zrobić? Rozwiązań jest kilka, lepszych i gorszych. Czasami te trudniejsze, mogą przynieść lepsze efekty.

Read More
02 cze

Dostępy do PUE ZUS, czyli jak IOD otwiera puszkę Pandory

Zaczęło się od PUE ZUS. A właściwie od kary dla Banku Santander związanego z dostępem byłego pracownika do PUE ZUS. Jednak okazało się, że ustalanie użytkowników tego systemu, jest otwarciem puszki Pandory. Czytaj do końca, bo ten wpis jest bardzo pouczający i zapewne dowiesz się z niego, jak zrobić najbliższy audyt uprawnień do systemów informatycznych. I zdziwisz się, że wcześniej pewne rzeczy „nie przyszły Ci do głowy”.

Danie pracownikom dostępu do PUE ZUS, to tykająca bomba?

Niedawno zadzwonił do mnie kolega i poinformował o niezwykłym odkryciu. Okazało się, że w PUE ZUS nie ma możliwości sprawdzenia kto z naszej firmy ma aktywne lub nieaktywne konto użytkownika. Niby nic, ale jest to dość istotne, bo w praktyce jako IOD / administrator nie mamy możliwości zweryfikowania, czy dostępy użytkowników zostały odebrane skutecznie. Zweryfikowałam u moich klientów i faktycznie, w ich systemach także nie ma opcji sprawdzenia, kto aktualnie ma dostęp do systemu. W praktyce okazuje się, że dostępami zarządza administrator systemu, czyli ZUS. Ma to sens, gdy spojrzymy na obowiązki ZUS wynikające z ustawy o systemie ubezpieczeń społecznych, w zakresie zapewnienia bezpieczeństwa danych przetwarzanych w ramach systemu. Tak, to ZUS jest administratorem tych danych, a nie Płatnik (czyli firma, w której jesteś IOD).

Uprawnienia do PUE ZUS nadaje się i odbiera poprzez przekazanie do ZUS pełnomocnictwa (elektronicznie, listem lub osobiście). Jednakże samo przekazanie pełnomocnictwa nie stanowi potwierdzenia, że uprawnienia zostały odebrane. Przepisy, czy regulamin platformy nie określają też czasu, po jakim uprawnienia powinny być odebrane. Zapytałam się u źródła, jak to wygląda w praktyce. Otrzymałam (niezwykle szybko) odpowiedź:

Zasady, zakres i warunki korzystania przez Usługobiorców z portalu PUE ZUS określa Regulamin, o którym mowa w art. 8 ust. 1 ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz. U. z 2020 r. poz. 344). Zgodnie § 4 ust. 2 Regulaminu, dostęp do danych płatnika będącego osobą prawną lub jednostką organizacyjną nieposiadającą osobowości prawnej, może uzyskać osoba fizyczna, która ma zarejestrowany profil w portalu PUE ZUS i posiada stosowne pełnomocnictwo udzielone przez płatnika. Odwołanie tego pełnomocnictwa odbywa się w trybie natychmiastowym przez złożenie formularza PEL-O (odwołanie pełnomocnictwa).

Zapewne wewnętrzne procedury wymagają natychmiastowego działania po stronie ZUS, jednak wiem, że najsłabszym ogniwem każdego systemu bezpieczeństwa jest człowiek, który może mieć dużo innych obowiązków, który może tego dnia nie być obecny w pracy lub po prostu pomylić się. W praktyce pewnie większość administratorów (płatników) odwołuje pełnomocnictwo ostatniego dnia pracy pracownika. Można zatem założyć, że podpisany wniosek trafia do ZUS popołudniu. Czy faktycznie w urzędzie ktoś go natychmiast odbierze i zrealizuje? Co jeśli wniosek będzie wysłany w piątek popołudniu – czy zostanie zrealizowany w weekend? A jeśli zostanie przekazany osobiście lub tradycyjną pocztą, też zakładam, że minie kilka lub kilkanaście dni, zanim zostanie zrealizowany. I nie wynika to ze złej woli, ale z niewłaściwych procedur.

Dla mnie, jako IOD istotne jest to, że nie jestem w stanie stwierdzić, czy dostęp został już odebrany i nie mam na to żadnego wpływu. A także to, jak skutecznie udowodnić, że odwołało się pełnomocnictwo w ZUS? Jeżeli było to zrealizowane elektronicznie, należy pamiętać, że wniosek mógł już ulec archiwizacji w systemie i pozostaje jedynie UPO, które bez dokumentu źródłowego nic nie znaczy.

Read More
11 maj

Monitoring wizyjny w sądzie – temat pozornie prosty

Kilka dni temu przechodziłam obok budynku sądu. Na ogrodzeniu była zawieszona tabliczka z grafiką kamery oraz klauzulą informacyjną skierowaną do osób objętych monitoringiem wizyjnym.

Klauzula na pierwszy rzut oka była w porządku i brzmiała mniej więcej tak:

„Administratorem Państwa danych osobowych jest sąd ……………., z siedzibą …………….. W sprawach dotyczących Państwa danych, w tym związanych z udostępnianiem nagrań z monitoringu, proszę kontaktować się z inspektorem ochrony danych e-mail ………….

Podstawą przetwarzania jest prawnie uzasadniony interes administratora, jakim jest zapewnienie bezpieczeństwa osób i mienia, a także ochrona informacji, do czego jest uprawniony na podstawie przepisów kodeksu pracy. Nagrania są przechowywane przez okres 30 dni. Więcej informacji dostępne jest na stronie www…..”

Moim zdaniem zamieszczenie jedynie pierwszej warstwy informacyjnej oraz odniesienie do strony internetowej sądu jest w porządku. W ogóle sama klauzula była napisana prostym i zrozumiałym językiem i dobrze realizowała ideę informowania osoby, której dane dotyczą, wynikającą z przepisów RODO. Duży plus za grafikę. Jednak, niestety klauzula zawierała dość istotny błąd, który burzył cały jej sens.

Read More
08 kw.

Jak wyznaczyć administratora danych?

Temat wyznaczania administratora danych wraca do mnie jak bumerang. Często w kontekście zlecania usług jakiemuś podmiotowi i wyznaczenia go w związku z tym na administratora tych danych. Takie podejście świadczy o zupełnym niezrozumieniu funkcji administratora danych. Zgodnie z definicją (art. 4 RODO), administratorem jest ten kto decyduje o celach i sposobach przetwarzania. Czasami nazywa się go właścicielem danych – formalnie do niego należą. Wychodząc od samej definicji można zauważyć, że administrator może w ogóle nie mieć dostępu do danych. Może być tak, że zleca innemu podmiotowi ich zgromadzenie oraz wykonywanie różnych działań na danych. Mimo, że fizycznie w ogóle nie ma kontaktu z tymi danymi, w praktyce nic nie dzieje się bez jego wiedzy i zgody. Wykonawca nie zebrałby tych danych i nie pracowałby na nich, gdyby nie umowa z administratorem. Status administratora oznacza, że może zlecający zażądać zaprzestania przetwarzania, usunięcia danych lub przekazania do innego (nowego podwykonawcy). Nie można wykonawcy wyznaczyć na administratora tych danych, bo w praktyce działa na polecenie administratora.

Read More
16 mar

Podstawy prawne przetwarzania danych w związku z pomocą uchodźcom z Ukrainy

W związku z brakiem odpowiednich przepisów na samym początku udzielania wsparcia obywatelom Ukrainy pojawiły się wątpliwości w zakresie ustalenia właściwej podstawy prawnej tego przetwarzania. Jest to szczególnie ważne w kontekście klauzul informacyjnych, które należy przekazać osobom, których dane przetwarzamy (w końcu nadal obowiązują nas przepisy RODO).

Podmioty publiczne, które gromadzą dane uchodźców w celu zapewnienia im pomocy, powinny wskazać, jako przesłankę legalizującą „interes publiczny, w związku z przepisami ustawy z dnia 12 marca 2022 r. o pomocy obywatelom Ukrainy w związku z konfliktem zbrojnym na terytorium tego państwa (Dz. U. poz. 583 z późn. zm.).”

Podmioty prywatne, które działają na polecenie podmiotów publicznych w zakresie bezpośredniej pomocy (tzn. zadanie zlecone), także będą wskazywać jako przesłankę legalizujacą przetwarzanie „interes publiczny, w związku z przepisami ustawy z dnia 12 marca 2022 r. o pomocy obywatelom Ukrainy w związku z konfliktem zbrojnym na terytorium tego państwa (Dz. U. poz. 583 z późn. zm.).”

Podmioty prywatne i osoby prywatne, które będą we własnym zakresie organizować pomoc, będą przetwarzać dane w oparciu o prawnie uzasadniony interes administratora. Tym interesem może być np. realizowanie celów statutowych (fundacje, stowarzyszenia). Oczywiście należy pamiętać, że jeżeli taka pomoc jest realizowana przez osobę fizyczną (także prowadzącą JDG) i ma czysto prywatny charakter, to przepisy RODO będą wyłączone, zgodnie z art. 2 ust. 2 lit. c RODO.

Read More
28 lut

Jesteś IOD? Czas na działanie!

Pisałam w piątek, że rola wszystkich osób zajmujących się bezpieczeństwem informacji jest teraz kluczowa dla utrzymania ciągłości działania oraz uniknięcia masowej paniki. Jeśli jesteś IOD lub zajmujesz się bezpieczeństwem IT, musisz zadbać o odpowiednią komunikację i wsparcie w swojej organizacji.

Za CERT Polska: „W związku z napiętą sytuacją na Ukrainie 🇺🇦 oraz wprowadzeniem stopnia alarmowego CHARLIE-CRP, przygotowaliśmy rekomendacje dla obywateli i firm, których wdrożenie uważamy za konieczne. Zachęcamy do zapoznania się z nimi i podzielenia ze znajomymi. https://cert.pl/…/02/rekomendacje-cyberprzestrzen-ukraina/W szczególności zwracamy uwagę na konieczność weryfikacji informacji i nie powielanie ich w przypadku wątpliwości. Przypominamy, że każdą podejrzaną aktywność można nam zgłosić przez formularz na stronie incydent.cert.pl lub mailem na cert@cert.pl. Podejrzane SMS-y można nam przesłać bezpośrednio na numer 799 448 084.”

Co przekazać pracownikom?

W najbliższym kieruj do pracowników komunikację, np. mailową, z informacjami o aktualnych zagrożeniach, dementuj fałszywe informacje, zachęcaj do podejmowania działań zwiększających bezpieczeństwo, wysyłaj przypomnienia regularnie. Przykładowe komunikaty, które możesz wykorzystać:

Read More