Sylwia Czub – Strona 11 – Sylwia Czub bloguje o danych osobowych

11 lut

O upoważnianiu słów kilka

Uważam, że upoważnianie ma fundamentalne znaczenie dla zapewniania zgodności przetwarzania z RODO. Jednakże większość przeprowadzanych przeze mnie audytów oraz moje doświadczenia we współpracy z różnymi administratorami, prowadzą do wniosku, że nie przykłada się zbyt dużej wagi do upoważnień. Bardzo często są one nadawane hurtem, tzn. wszystkim do wszystkiego, nie są odwoływane, nie są aktualizowane. Jest to błąd, bo w przypadku naruszenia przez pracownika wewnętrznych procedur, w szczególności kradzież lub udostępnienie danych, nienadane, niewłaściwie nadane lub nieodwołane upoważnienie może utrudnić lub uniemożliwić, że pracownik działał niezgodnie z wolą administratora.

Upoważnienie do wszystkiego lub w zbyt szerokim zakresie

Tak jest najłatwiej, szczególnie gdy firma jest mała, praktyką jest nadawanie upoważnienień do „przetwarzania danych osobowych”. Czasami określa się, że zakres upoważnienia jest „bez ograniczeń”. Bywa że upoważnienie jest trochę bardziej szczegółowe i zapisano w nim, że jest to przetwarzanie danych związanych z zatrudnieniem. W takim wypadku osoba upoważniona może uzurpować, że jest uprawniona także do dostępu do danych płacowych, czy bazy marketingowej, pomimo że jej obowiązki nie są z tym związane. Nie ograniczając uprawnień osoby upoważnionej administrator podcina gałąź, na której siedzi, dając wyraźny sygnał „ufam Ci, w mojej firmie możesz robić wszystko”. Czy pracownicy faktycznie tak do tego podchodzą? Zdecydowanie tak, szczególnie jeżeli otrzymają dostęp do danych związanych z zatrudnieniem lub klientami firmy. Na przykład osoby biorące udział w procesach rekrutacji (np. pracownicy HR, czy kierownicy działów) otrzymując upoważnienie do „przetwarzania danych związanych z zatrudnieniem”, dość często powołując się na to upoważnienie żądają od kadr informacji o umowach innych pracowników, w szczególności na podobnych stanowiskach. Czasami chcą też dostęp do historii umów zawartych z klientami, których znają (czytaj znajomych, których lubią lub nie), by zaspokoić swoją ciekawość. Ich żądania i oczekiwania są spowodowane tym, że otrzymali upoważnienie w zbyt szerokim zakresie. Read More →

03 lut

Jak zabrać się za audyt zgodności z RODO?

CI od RODO kontynuują temat przeprowadzania audytów zgodności przetwarzania z RODO.

Od czego zacząć? Co sprawdzać? Kto ma robić audyt – czy jest to obowiązek IOD?

Celem podcastu jest usystematyzowanie podstawowej wiedzy o przeprowadzaniu audytów zgodności z RODO. Read More →

21 sty

Ci od RODO: Audyt roczny zgodności z RODO

Nowy rok to czas na podsumowanie zeszłego roku. Jakie ryzyka się zmaterializowały. Jakie były wyniki poprzednich audytów i czy udało się wdrożyć zalecenia? Tym razem dyskusja dotyczy audytów, tego kto ma i je robić i jak się za nie zabrać. Read More →

15 sty

Czy należy informować o usunięciu danych osobowych

Przepisy RODO wskazują jedynie na konieczność zapewnienia rozliczalności danych, czyli administrator musi posiadać wiedzę o tym jakie dane zostały usunięte, a także kto, kiedy i dlaczego je usunął. W praktyce stosuje się albo przyjęte procedury niszczenia na bieżąco dokumentów i usuwania plików, a także danych z systemów, dla których cel przetwarzania już ustał. Takie zasady niszczenia na bieżąco, a także obowiązku pracowników w tym zakresie powinny wynikać z oficjalnie przyjętej proceduy. W przypadku dokonywania przeglądów danych osobowych, na skutek których usuwa się większe ilości danych, stosuje się protokoły zniszczenia dokumentów.

Powstaje jednak pytanie, czy jeżeli usuwamy dane osobowe, powinniśmy poinformować osobę której dane dotyczą o tym fakcie. Czy powinna mieć wiedzę, że od tego momentu nie mamy już jej danych (czyli na przykład nie będziemy w stanie zrealizować jej prawa z art. 15 RODO do uzyskania kopii danych). Read More →

08 sty

Inspektor ochrony danych na rynku pracy (podcast)

CI OD RODO, czyli podcast o RODO z przymrużeniem oka, prowadzony przez znanych i cenionych ekspertów od ochrony danych: Sylwię Czub-Kiełczewską (sylwiaczub.pl) i Łukasza Wojciechowskiego (statuo.pl).
Podcast dotyczący zatrudniania IOD – jak są oni wybierani, czy według kompetencji, czy dostępnego budżetu? Czy lepszy zewnętrzny specjalista, czy znający specyfikę podmiotu pracownik? Czy są miejsca pracy dla IOD? Jakie kompetencje i doświadczenie powinien mieć inspektor? Ile podmiotów można jednocześnie obsługiwać?
Read More →

31 gru

Czy można aktualizować politykę ochrony danych osobowych?

Nowy rok to czas na zmiany, może więc przyszła pora na aktualizację polityki bezpieczeństwa? Przepisy RODO nie dają nam wytycznych dotyczących tworzenia i aktualizowania dokumentacji ochrony danych osobowych. Nie wskazują nawet na to, czy administrator powinien posiadać sformalizowaną politykę, jednakże trudno sobie wyobrazić skuteczny system ochrony danych bez dobrego systemu zarządzania bezpieczeństwem informacji. Właśnie dlatego wszystkie audyty czy kontrole rozpoczynają się od analizy wdrożonych w firmie, czy podmiocie publicznym polityk ochrony danych.

Zauważyłam, że wielu administratorów, którzy mają takie polityki boi się dokonywać zmian w nich, czy aktualizacji. Czasami nawet zakazują wprowadzanie zmian swoim inspektorom ochrony danych (co może powodować oczywiste frustracje). Jednym z najczęstszych argumentów za nieaktualizowaniem polityk jest to, że zostały one stworzone przez profesjonalny podmiotom lub kupione od profesjonalnego podmiotu. Administrator uważa, że po pierwsze nikt nie zna się lepiej na swojej pracy, niż ktoś kto zawodowo zajmuje się ochroną danych, po drugie jeśli stworzył taką dokumentację, to bierze za nią odpowiedzialność. I tu pies pogrzebany.

CI OD RODO: Komentarz do najnowszych kar UODO i wyroku w sprawie pierwszej kary

ODO pochwaliło się, że sąd przyznał mu rację w sprawie pierwszej, milionowej kary nałożonej na Bisnode. Czy faktycznie jest to sukces? Czy kara dla urzędu w Aleksandrowie Kujawskim to zemsta, a ta dla ClickQuickNow jest adekwatna? Dyskutujemy! Read More →

02 gru

Runda druga: Jak dobrze robić szkolenia z RODO?

Podobał Wam się ostatni odcinek? Jeśli tak, to szykujcie się na prawdziwą ucztę, bo ponownie rozmawiamy o szkoleniach. Kompendium wiedzy, nie tylko dla początkujących trenerów! Read More →

18 lis

Ci od RODO: Jak dobrze szkolić z RODO? (odc. 3)

CI OD RODO, czyli podcast o RODO z przymrużeniem oka, prowadzony przez znanych i cenionych ekspertów od ochrony danych: Sylwię Czub-Kiełczewską (sylwiaczub.pl) i Łukasza Wojciechowskiego (statuo.pl).

Szkolenia Sylwii i Łukasza to prawdziwa „torpeda”. Uczestnicy nie tylko uczestniczą z zaangażowaniem od początku do końca, ale bardzo też dziękują prowadzącym aplauzem. Zrobić dobre szkolenie jest BARDZO trudno, więc jak oni to robią, że im tak łatwo i tak dobrze wychodzi? Czy miewali jakieś wpadki? W tym odcinku będzie bardzo dużo o największych trudnościach i problemach związanych z prowadzeniem szkoleń, a także jak im zaradzić. Ci od RODO dzielą się swoim doświadczeniem i garścią praktycznych porad. Jeśli chcesz dobrze szkolić, chcesz być w tym skuteczny i kończyć szkolenie z uśmiechem na ustach, ten podcast jest dla Ciebie. Read More →

14 lis

Czy z notariuszem trzeba podpisać umowę powierzenia danych?

Dostałam ostatnio pytanie, czy jeżeli deweloper korzysta z usług notariusza, któremu udostępnia dane osobowe klientów na potrzeby zawarcia aktów notarialnych w związku ze sprzedażą mieszkań, to czy notariusza można uznać za przetwarzającego dane w imieniu dewelopera zgodnie z art. 28 RODO.
Oczywiście takie pytanie pojawia się zawsze, gdy przekazujemy komuś dane. Co ciekawe, sam fakt, że ktoś realizuje dla nas usługę (lub na nasze żądanie) nie przesądza o tym, że będzie podmiotem przetwarzającym. Do powierzenia dochodzi wówczas, gdy inny podmiot działa na wyraźne polecenie administratora w określonym przez niego zakresie i w określony przez niego sposób. Administrator przekazując dane do powierzenia, decyduje o tym w jaki sposób będą one przetwarzane, a zatem też o zakresie udostępnianych danych, czy czasie ich przetwarzania. W relacji deweloper – notariusz albo ogólnie klient – notariusz trudno mówić o wydawaniu poleceń, czy decydowaniu o sposobach przetwarzania danych osobowych przez dewelopera/klienta. Zasady prowadzenia działalności przez notariusza, w tym sposoby przetwarzania przez niego danych, określają przepisy ustawy z dnia 14 lutego 1991 r. Prawo o notariacie, a także przepisy na podstawie, których realizuje poszczególne czynności, tj. przepisy Kodeksu cywilnego, Kodeksu Postępowania Cywilnego, itp. Read More →