Author Archives: Sylwia Czub

12 cze

Postępowanie Prezesa UODO po otrzymaniu zgłoszenia naruszenia od administratora

Zgłaszanie naruszeń ochrony danych osobowych jest obowiązkiem z art. 33 RODO, który budzi wśród administratorów strach. Jak to, mają donosić sami na siebie, a następnie jeszcze otrzymać karę za to co zrobili? W efekcie pojawia się pokusa, aby nie dokonywać zgłoszenia i zamieść wszystko pod dywan. Takie postępowanie wynika z niewiedzy administratora. Przede wszystkim należy podkreślić, że zgłoszenie ma charakter informacyjny. Idą za nim dwa główne cele: ocena przez Prezesa UODO, czy administrator postąpił właściwie, a także prowadzenie statystyk. Prezes UODO może po przyjęciu zgłoszenia po prostu odnotować je i uznać za zamknięte lub zwrócić się do administratora o dodatkowe wyjaśnienia. Ostatecznym narzędziem jest nakazanie dokonania pewnych czynności, np. zawiadomienia osób, których dane dotyczą. Doskonale obrazują sposób postępowania Prezesa UODO decyzje wydane w sprawie firmy ubezpieczeniowej Y. S.A. , która zgłosiła do UODO aż 15 naruszeń ochrony danych osobowych. Read More

20 maj

RODO: Monitorowanie zgodności przetwarzania danych z przepisami o ochronie danych osobowych

Zaznaczam to zawsze na szkoleniach, a także myślę, że na moim blogu, że najważniejszym, podstawowym obowiązkiem inspektora jest przeprowadzanie audytów.  W tym momencie powołując się na przepisy RODO osoba, która zaczyna w zawodzie IOD, może mieć wiele wątpliwości, w jaki sposób powinna ten audyt przeprowadzać.

Od czego zacząć

Osobiście uważam, że warto wrócić do starych, sprawdzonych rozwiązań, jak uchylone rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji, opisano krok po kroku jak dawny inspektor, czyli administrator bezpieczeństwa informacji, które określa w jaki sposób dawny inspektor, czyli ABI powinien prowadzić sprawdzenia zgodności przetwarzania danych osobowych z przepisami. To rozporządzenie lubię szczególnie, ze względu na to, że pojawiły się w nim wytyczne, jak powinno być skonstruowane sprawozdanie ze sprawdzenia prowadzonego przez ABI.  Osoby, które zajmują się ochroną danych osobowych od czasów „sprzed RODO” bardzo często kontynuują swoje działania związane z przeprowadzeniem sprawdzeń na takich samych zasadach, jak to robiły zanim nowe przepisy weszły w życie. Przyczyna jest bardzo prosta, stare rozwiązania są logiczne, dobrze się sprawdzają, zostały już wypróbowane i łatwo jest uzasadnić, dlaczego w dalszym ciągu się je stosuje, tzn. były i są częścią dokumentacji ochrony danych osobowych i procedur związanych z ochroną danych osobowych u wielu administratorów. Dzisiaj skupiam się na innym temacie, czyli przygotowaniu do przeprowadzenia sprawdzenia. Sprawdzenia zgodności przetwarzania danych z przepisami możemy podzielić na dwa rodzaje, planowane i doraźne. Planowane to są te, które inspektor przeprowadza regularnie według wcześniej ustalonego planu. Doraźne sprawdzenia są realizowane, jeżeli jest podejrzenie naruszenia ochrony danych osobowych lub administrator danych wyraźnie prosi inspektora, aby dokonał audytu w określonym obszarze. Przygotowując plan audytu inspektor powinien zastanowić się nad tym ile ma czasu na jego realizację, uwzględniając czas niezbędny na opracowanie sprawozdania. Im więcej elementów będzie chciał sprawdzić, tym więcej czasu mu to zajmie. Read More

02 maj

Ustawa wdrażająca RODO a upoważnienia do przetwarzania danych osobowych

Ustawa z dnia 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania RODO [ustawa wdrażająca RODO] według niektórych cofa nas o kilka lat wstecz w sposobie realizacji obowiązków związanych z ochroną danych osobowych. W zasadzie od samego początku funkcjonowania przepisów o ochronie danych osobowych, nadawanie upoważnień do przetwarzania danych osobowych było jednym z najważniejszych obowiązków administratora. Upoważnianie do przetwarzania danych zapewnia rozliczalność danych osobowych, poprzez kontrolę nad tym, kto i w jakim zakresie jest uprawniony do dostępu do danych. Przepisy nigdy dotychczas nie precyzowały w jaki sposób to upoważnienie powinno wyglądać. Administrator był jedynie zobligowany nadać stosowane upoważnienie pracownikowi przed przyznaniem mu  dostępu do danych osobowych, w formie papierowej lub elektronicznej. Upoważnienie stanowi potwierdzenie, że użytkownik otrzymał stosowne uprawnienie do przetwarzania danych od administratora. Przepisy RODO w zasadzie nic nie zmieniły w zakresie zarządzania upoważnieniami do przetwarzania danych. Zgodnie z art. 29 RODO przetwarzanie danych musi odbywać się tylko i wyłączenie na wyraźne polecenie administratora.  W celu wykazania, że polecenie zostało faktycznie wydane, administrator danych kontynuuje, tak jak to miało miejsce przed wejściem w życie RODO, nadawanie upoważnień do przetwarzania danych osobowych. Należy podkreślić, że upoważnienie przed zmianami wynikającymi z ustawy wdrażającej RODO mogło być w dowolnej formie, tzn. ustnej, wiadomości e-mail, elektronicznej, pisemnej.Jednakże administrator danych, aby wykazać, że wywiązał się z ciążącego na nim obowiązku, powinien przyjąć taką formę, która daje możliwość udowodnienia, że upoważnienie faktycznie zostało nadane. W praktyce najczęściej były stosowane upoważnienia w formie pisemnej lub elektronicznej przy użyciu specjalnego systemu informatycznego. Szczególnie w dużych organizacjach upoważnienia elektroniczne doskonale się sprawdzały, pozwalając skrócić czas zarządzania upoważnieniami i uprawnieniami pracowników, a także skutecznie przekazując informacje o wszelkich zmianach upoważnienia, osobom nadzorującym ochronę danych osobowych. Dzięki takim systemom pracownicy kadr mogli z dużym wyprzedzeniem przekazać informację, że pracownik planuje dłuższy urlop, złożył wypowiedzenie lub będzie zwolniony. Podobnie można było dzięki systemowi informatycznemu zarządzać przyjęciami nowych pracowników.  Ustawa wdrażająca RODO wprowadzając zmiany w prawie 170 ustawach zmodyfikowała także kwestie dotyczące nadawania upoważnień. W przepisach sektorowych pojawiły się zapisy obligujące administratora danych do nadawania pracownikom upoważnienia na piśmie do poszczególnych kategorii danych, jak dane związane z rekrutacją, zatrudnieniem, czy wypłatami z zakładowego funduszu świadczeń socjalnych. Read More

15 kwi

Ile czasu UODO rozpatruje skargi?

Wejście w życie RODO, istotnie wpłynęło na świadomość w zakresie naszych praw wobec administratorów, którzy przetwarzają nasze dane osobowe. W praktyce oznacza to, zaczęliśmy częściej składać skargi na sposób przetwarzania naszych danych osobowych przez różnych administratorów do Prezesa UODO. Niebagatelne znaczenie ma także fakt, że przed wejściem RODO w życie złożenie skargi wiązało się z wniesieniem opłaty wynikającej z Kodeksu Postępowania Administracyjnego. Obecnie jest to bezpłatne. Zasady składania skarg zostały określone na stronie UODO (tutaj link). Skargi można składać w formie tradycyjnej lub elektronicznie. W przypadku składania Skargi poprzez serwis ePUAP należy zaznaczyć w jakiej formie chce się otrzymać odpowiedź w przeciwnym wypadku zostanie ona wysłana do nas pocztą. Ja taką odpowiedź otrzymałam listem poleconym za potwierdzeniem odbioru.
11 kwi

Decyzja UODO: żądanie otrzymania kopii danych osobowych nie oznacza konieczności wydania kopii dokumentów

Bardzo wielu administratorów, szczególnie z sektora publicznego, skarży się na nadmierne koszty związane z żądaniami osób, które dane dotyczą w zakresie wydania im kopii wszystkich ich danych osobowych, w szczególności:

  • kopii akt osobowych;
  • kopii wszystkich operacji na danych w systemie kadrowo-płacowym;
  • kopii korespondencji mailowej;
  • kopii wszystkich notatek służbowych, w których pojawiają się dane tej osoby;
  • kopii wszystkich dokumentów, w których pojawiają się dane tej osoby;
  • kopii wszystkich nagrań, na których pojawia się ta osoba.

W praktyce, nawet bardzo dobrze zorganizowany administrator, stanie przed ogromnym problemem, aby odnaleźć wszystkie dokumenty zawierające dane osobowe wnioskującego, szczególnie gdy trzeba przejrzeć nie tylko systemy informatyczne, umożliwiające wyszukiwanie, ale także segregatory zawierające dane osobowe. Koszty takiego działania mogą być ogromne, a nadmierne żądania są w stanie „wykończyć” administratora. Wyobraźmy sobie sytuację, gdy niezadowoleni pracownicy, zamiast żądać podwyżek, stosują strajk polegający na zarzuceniu pracodawcy (administratora danych) takimi żądaniami. Prezes UODO jeszcze do niedawna stał na stanowisku, że każde żądanie z art. 15 RODO trzeba spełnić z dochowaniem najwyższej staranności. Należy podkreślić, że artykuł 12 RODO daje administratorowi możliwość odmówienia wykonania żądania, jeżeli jest ono nadmierne lub pobrania opłaty, jeżeli wiąże się z nadmiernymi kosztami, jednakże szkopuł tkwi w szczegółach, czyli tym kiedy można powołać się na „nadmierność żądania”. Read More

08 kwi

Ustawa wdrażająca RODO: zmiany w ZFŚS

Wraz z ustawą z dnia 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania RODO [ustawa wdrażająca RODO], doczekaliśmy się uregulowania kwestii związanych z dokumentowaniem uprawnień do skorzystania ze środków z zakładowego funduszu świadczeń socjalnych [ZFŚS]. Zasady funkcjonowania funduszu reguluje ustawa z dnia 4 marca 1994 r. o zakładowym funduszu świadczeń socjalnych. Zgodnie z art. 8 przyznawanie ulgowych usług i świadczeń oraz wysokość dopłat z Funduszu uzależnia się od sytuacji życiowej, rodzinnej i materialnej osoby uprawnionej do korzystania z Funduszu, a zasady przyznawania świadczeń określa regulamin ZFŚS uchwalony u pracodawcy. W praktyce w związku z oceną sytuacji życiowej wnioskodawców, pracodawcy przetwarzają dane osobowe wnioskodawców oraz ich bliskich w bardzo szerokim zakresie. Dodatkowo nie ma ujednoliconego standardu dokumentowania uprawnień wnioskodawcy, co prowadzi do tego, że niektórzy pracodawcy wymagają dołączania do wniosków o przyznanie środków z funduszu zeznań podatkowych, dokumentacji medycznej, zaświadczeń z ośrodka pomocy społecznej, itd., podczas gdy inni proszą o te dokumenty jedynie do wglądu i odnotowują, że dokonano weryfikacji podanych we wniosku informacji z przedstawionymi dokumentami. Przechowywanie oraz przetwarzanie danych w tak szerokim zakresie, w szczególności dokumentacji medycznej, informacji o sytuacji życiowej wnioskodawców, zwiększa  ryzyko związane z zapewnieniem skutecznej ochrony danych. Poza tym pracodawca nie był do końca pewien, czy przyjęte przez niego rozwiązanie potwierdzania sytuacji życiowej wnioskodawcy, jest zgodne z obowiązującymi przepisami o ochronie danych osobowych. Szczególne wątpliwości wynikały z zasad minimalizacji danych oraz adekwatności danych wskazanych w art. 5 RODO.

Powyższe kwestie zostały uregulowane w przepisach ustawy wdrażającej RODO. W artykule 8 ustawy o ZFŚS dodano ust. 1a-1d, zgodnie z którymi: Read More

05 kwi

Ustawa „wdrażająca RODO” w końcu podpisana

Niespełna rok od bezwzględnego stosowania przepisów ogólnego rozporządzenia o ochronie danych osobowych, tzn. 3 kwietnia 2019 r  prezydent podpisał ustawę z dnia 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), dalej ustawa wdrażająca RODO. Przepis ma na celu dostosowanie obowiązujących przepisów prawa do wymagań RODO. Oznacza to, że przepis został uchwalony, gdy już zostały wypracowane pewne standardy stosowania RODO i będzie wiązał się z dokonaniem ponownej weryfikacji dotychczasowo przyjętych procedur. Treść ustawy wdrażającej RODO dostępna tutaj. Read More

27 mar

Doczekaliśmy się pierwszej „kary RODO”

Wczoraj mój telefon rozgrzał się do czerwoności w związku z konferencją prasową, na której Pani Prezes UODO powiadomiła o nałożeniu pierwszej kary finansowej za przetwarzanie danych niezgodnie z przepisami prawa. Oczekiwania były takie, że kara zostanie nałożona na podmioty, o których było głośno w ostatnim czasie w związku z wykradzeniem im dużej ilości danych lub niewłaściwym zabezpieczeniem danych, które doprowadziły do ujawnienia danych osobowych klientów. Stąd duże zdziwienie wywołała informacja, że została nałożona kara za niewypełnienie obowiązków informacyjnych wobec osób, prowadzących działalność gospodarczą, których dane zostały pozyskane do bazy spółki z ogólnodostępnych źródeł (CEiDG KRS, GUS, CEPiK, Monitorze Sądowym i Gospodarczym). Zaskakujące było także to, że podczas konferencji Prezes UODO powiedziała, że kara wyniosła 943 tys. złotych! Pierwsza kara i od razu prawie milion złotych. Przyczyną nałożenia kary było niewypełnienie obowiązku informacyjnego z artykułu 14 RODO wobec przedsiębiorców, których dane z ogólnodostępnych źródeł zostały pozyskane do bazy. W sumie w bazie było około 6 milinów danych osób, które powinny otrzymać klauzulę informacyjną, jednak firma z ogólnodostępnych źródeł pozyskała adresy e-mail jedynie do 90 tys. Wobec tych osób, wypełniła obowiązek informacyjny, wysyłając wiadomość z odpowiednią klauzulą.  W przypadku pozostałych osób ukarana spółka postanowiła skorzystać z wyjątku z art. 14 pkt 5 lit b RODO, który pozwala odejść od obowiązku informowania o przetwarzaniu danych, jeżeli wymagałoby to niewspółmiernie dużego wysiłku. W związku z tym zamieściła klauzulę jedynie na swojej stronie internetowej. Wśród poinformowanych, aż 12 tys. zgłosiło sprzeciw na przetwarzanie ich danych, co zdaniem Prezes UODO świadczyło o tym, jak istotne znaczenie dla pozostałych 6 milionów osób, było uzyskanie informacji o prawach przysługujących w związku z przetwarzaniem ich danych. Dodatkowo w bazie było ponad 2,33 mln danych przedsiębiorców, którzy zawiesili działalność. Spółka ma prawo złożyć skargę do Wojewódzkiego Sądu Administracyjnego. Read More

25 mar

Uczelnie wyższe nie mogą (już) kopiować dowodów osobistych

Wpis  jest wynikiem rozmów z osobami które zapisują się na studia podyplomowe z ochrony danych osobowych o tym jakie dane osobowe może pozyskiwać od nich uczelnia wyższa.  Jak wiadomo, osoby które zawodowo zajmują się ochroną danych osobowych są na co dzień bardziej uczulone na punkcie swojego prawa do prywatności niż Przeciętny Kowalski w związku z tym zapisując się na uczelnię wyższą zwracają szczególną uwagę na to jakie dane są od nich pozyskiwane oraz jak wypełniony wobec nich obowiązek informacyjny. Mówiąc krótko nie ma litości 😀

Ponad rok temu podjęłam temat legalności kopiowania dowodu osobistego przez pracowników dziekanatu.  Ponieważ nie jestem alfą i omegą zwróciłam się wówczas z pytaniem do Łukasza Wojciechowskiego, który na co dzień jest adiunktem w WSEI w Lublinie, aby pomógł mi ustalić czy jest podstawa prawna do realizacji tego działania.  Okazało się że uczelnie wyższe były tak naprawdę zobligowane do pozyskania kopii osobistej przyszłego studenta. Obowiązek ten wynikał z rozporządzenia Ministra Nauki i Szkolnictwa Wyższego z dnia 16 września 2016 r. w sprawie dokumentacji przebiegu studiów. Jednak rozporządzenie zostało uchylone wraz z nowelizacją Prawa o szkolnictwie wyższym i nauce w 2018 roku. W tym momencie nie ma przepisu, który wymagałby zbierania kopii dowodów osobistych studentów. Co ciekawe ten obowiązek niekoniecznie szedł w parze z adekwatnością tych danych do celu przetwarzania, ponieważ w praktyce uczelnia wyższa nie potrzebowała kopii dowodu do realizacji swojego celu ustawowego.  Temat kopiowania dowodów wraca do mnie jak bumerang wraz z każdym nowym rocznikiem studentów, których mam przyjemność uczyć ochrony danych osobowych w Politechnice Białostockiej lub w Wyższej Szkole ekonomii i Innowacji w Lublinie. Ponieważ staram się być rzetelna w tym co robię, nawet jeżeli wydaje mi się, że znam odpowiedź, zanim udzielę studentom odpowiedzi zawsze wcześniej upewniam się, czy nie zaszły zmiany w obowiązujących przepisach.  Jest to bardzo dobra zasada, gdyż pozwala ustrzec się od błędów. Zwłaszcza, że w dzisiejszych czasach przepisy zmieniają się tak szybko, że czasami naprawdę trudno za nimi nadążyć. Potwierdziła to praktyka dalszego kopiowania dowodów osobistych przyszłych studentów przez uczelnie wyższe, pomimo uchylenia rozporządzenia które je do tego obligowało.

Read More

13 mar

Jak uzasadnić niezbędność wprowadzenia monitoringu

Nie doczekaliśmy się jeszcze ustawy o monitoringu wizyjnym, tym bardziej ustawy dotyczącej monitorowania wykorzystywanych przez pracowników narzędzi pracy (np. kontrola poczty), czy biometrii do kontroli dostępu. Natomiast wraz z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych zostały wprowadzone zmiany do niektórych przepisów sektorowych, stanowiące punkt wyjścia do stosowania monitoringu przez administratora danych. Gdy na szkoleniach pytam uczestników co administrator musi zrobić, aby móc wprowadzić monitoring? Najczęściej odpowiadają poinformować pracowników. Jest to jeden z elementów związanych ze stosowaniem monitoringu, jednakże punktem wyjścia powinno być uzasadnienie niezbędności zastosowania monitoringu. Wynika to wprost z przepisów prawa, np:

  1. Jeżeli jest to niezbędne do zapewnienia bezpieczeństwa pracowników lub ochrony mienia lub kontroli produkcji lub zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę, pracodawca może wprowadzić szczególny nadzór nad terenem zakładu pracy lub terenem wokół zakładu pracy w postaci środków technicznych umożliwiających rejestrację obrazu (monitoring) (art. 22^2 par. 1. Kodeksu pracy)
  2. Jeżeli jest to niezbędne do zapewnienia organizacji pracy umożliwiającej pełne wykorzystanie czasu pracy oraz właściwego użytkowania udostępnionych pracownikowi narzędzi pracy, pracodawca może wprowadzić kontrolę służbowej poczty elektronicznej pracownika (monitoring poczty elektronicznej). (art. 22^3 par. 1. Kodeksu pracy)
  3. Jeżeli jest to niezbędne do zapewnienia bezpieczeństwa uczniów i pracowników lub ochrony mienia dyrektor szkoły lub placówki, w uzgodnieniu z organem prowadzącym szkołę lub placówkę oraz po przeprowadzeniu konsultacji z radą pedagogiczną, radą rodziców i samorządem uczniowskim, może wprowadzić szczególny nadzór nad pomieszczeniami szkoły lub placówki lub terenem wokół szkoły lub placówki w postaci środków technicznych umożliwiających rejestrację obrazu (monitoring) (art. 108a ust. 1. ustawy Prawo oświatowe)
  4. Gmina w celu zapewnienia porządku publicznego i bezpieczeństwa obywateli oraz ochrony przeciwpożarowej i przeciwpowodziowej może stosować środki techniczne umożliwiające rejestrację obrazu (monitoring) w obszarze przestrzeni publicznej, za zgodą zarządzającego tym obszarem lub podmiotu posiadającego tytuł prawny do tego obszaru lub na terenie nieruchomości i w obiektach budowlanych stanowiących mienie gminy lub jednostek organizacyjnych gminy, a także na terenie wokół takich nieruchomości i obiektów budowlanych, jeżeli jest to konieczne do zapewnienia porządku publicznego i bezpieczeństwa obywateli lub ochrony przeciwpożarowej i przeciwpowodziowej (art. 9a ust. 1. ustawy o samorządzie gminnym)
  5. Powiat w celu zapewnienia porządku publicznego i bezpieczeństwa obywateli oraz ochrony przeciwpożarowej i przeciwpowodziowej może stosować środki techniczne umożliwiające rejestrację obrazu (monitoring) w obszarze przestrzeni publicznej, za zgodą zarządzającego tym obszarem lub podmiotu posiadającego tytuł prawny do tego obszaru lub na terenie nieruchomości i w obiektach budowlanych stanowiących mienie powiatu lub jednostek organizacyjnych powiatu, a także na terenie wokół takich nieruchomości i obiektów budowlanych, jeżeli jest to konieczne do zapewnienia porządku publicznego i bezpieczeństwa obywateli lub ochrony przeciwpożarowej i przeciwpowodziowej (art. 4b ust. 1. ustawy o samorządzie powiatowym)

Co ciekawe nie ma analogicznego wymogu w ustawie o samorządzie województwa (art. 60 a ust. 1 i 2): Obowiązkiem osób uczestniczących w zarządzaniu mieniem województwa jest zachowanie szczególnej staranności przy wykonywaniu zarządu zgodnie z przeznaczeniem tego mienia i jego ochrona.  Ochrona mienia obejmuje w szczególności możliwość korzystania ze środków technicznych umożliwiających rejestrację obrazu (monitoring) na terenie nieruchomości i w obiektach budowlanych stanowiących mienie województwa, a także na terenie wokół takich nieruchomości i obiektów budowlanych.

Jednakże użycie słowa w szczególności oznacza, że jest to jeden z możliwych do zastosowania środków nadzoru, a nie środek wymagany do sprawowania nadzoru. Stosowanie monitoringu jest przywilejem administratora, nawet jeżeli korzystał z narzędzi służących do monitoringu przed nowelizacją przepisów, musi być w stanie wykazać adekwatność zastosowanego narzędzia służącego do przetwarzania danych osobowych do celu tego przetwarzania. W końcu z artykułu 5 RODO wynikają zasady minimalizacji danych i adekwatności do celu przetwarzania. Read More