Author Archives: Sylwia Czub

28 lut

Zgoda jako „świadome działanie”

W zasadzie ogólne rozporządzenie o ochronie danych osobowych [RODO] nie zmieniło nic w zakresie sposobu uzyskiwania zgody na przetwarzanie danych, gdyż w naszej ustawie o ochronie danych osobowych już od samego początku zdefiniowano „zgodę, jako oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści (uchylona uodo: Dz.U.2016 poz. 922). Jednakże to sformułowanie definicji zgody powodowało problem z interpretacją, jaką formę powinno przyjąć oświadczenie woli, a także jakie dane osoby, której dane dotyczą należy pozyskać biorąc od niej zgodę.

RODO, a szczególnie preambuła, przyniosło odpowiedzi na pytanie, jak skutecznie pozyskiwać pozyskiwać zgodę i kiedy jest ona uważana za domniemaną lub nieważną.

Formy wyrażenia zgody

Zgoda może być (motyw 32 RODO):

  • złożona na piśmie
  • ustna
  • wyrażona poprzez świadomy gest
  • elektroniczna, np. poprzez zaznaczenie checkbox lub kliknięcie „zgadzam się”

Świadomy gest jest bardzo istotnym aspektem wyrażenia zgody, który może ułatwić administratorom oraz osobom, których dane dotyczą wzajemną komunikację i współpracę. Wyobraźmy sobie sytuację, że podczas dużego wydarzenia, organizator podczas rejestracji uczestników przedstawi im prosty regulamin imprezy, z którego będzie wynikało, że wydarzenie będzie dokumentowane fotograficznie oraz filmowo. Uczestnik może wyrazić zgodę na rozpowszechnianie jego wizerunku na zasadach określonych w regulaminie na przykład poprzez wybór koloru smyczy lub silikonowej bransoletki. Są to proste i skuteczne rozwiązania, które później pozwalają administratorowi dokonać łatwego wyboru zdjęć uczestników, którzy wyrazili świadomą zgodę. Podobnie zamieszczenie przed tak zwaną „ścianką” tablicy informacyjnej, że pozowanie oznacza zgodę na rozpowszechnianie wizerunku. Należy jednak pamiętać, że administrator ma obowiązek udowodnienia, że rzeczywiście uczestnik wyraził zgodę. Istotne jest także uwzględnienie zasady ograniczonego czasu przechowywania/rozpowszechniania/wykorzystywania danych pozyskanych na podstawie zgody. Artykuł 5 RODO wskazuje, że dane powinny być przechowywane przez rozsądny okres czasu, do wyczerpania celu przetwarzania. Nie należy bać się usuwania danych zebranych do celów promocyjnych. Po pewnym czasie ich atrybut promocyjny zupełnie wygasa, a koszty przechowywania materiałów oraz dowodów pozyskania zgody rosną. Read More

18 lut

Obowiązki IOD w związku z ustawą o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości

Doczekaliśmy się uregulowania kwestii przetwarzania danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom, które zgodnie z art. 2 ust. 2 lit d RODO było wyłączone spod jego stosowania. Zasady przetwarzania danych przez te podmioty reguluje ustawa z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (dalej będę używać określenia uodopzzzp). Podkreślenia wymaga fakt, że ustawa odnosi się do przetwarzania danych osobowych do wskazanych celów, czyli w pozostałym zakresie zastosowanie będzie miało RODO, w szczególności do zasad przetwarzania danych pracowników, kandydatów do pracy, kontrahentów, uczestników przetargów.

Nowa ustawa reguluje zasady wyznaczenia, a także obowiązki Inspektora Ochrony Danych Osobowych w podmiocie zobligowanym do jej stosowanie. Nie sposób oprzeć się wrażeniu, że to powrót do korzeni, czyli (uchylonej) ustawy o ochronie danych osobowych z 2015 roku (dalej stara uodo), która miała „przygotować” administratorów danych na przyjście RODO. Być może niektórzy pamiętają jeszcze dwa rozporządzenia wykonawcze do tej ustawy, określające sposób realizacji obowiązków przez ówczesnego ABI:

Read More

07 lut

Ochrona danych osobowych w procesie rekrutacji (wpis gościnny)

 Najcenniejszym kapitałem każdej organizacji są ludzie, aby ich pozyskać niezbędne jest przeprowadzenie procesu rekrutacji. Wielu rekrutujących pracodawców zadaje sobie pytanie, co zrobić, aby proces ten przeprowadzić zgodnie z przepisami. Kandydaci do pracy coraz częściej zwracają uwagę na to, czy potencjalny pracodawca respektuje ich prawo do prywatności i ochrony danych. Warto zastanowić się w jaki sposób przeprowadzamy rekrutację, albowiem prawidłowy proces z całą pewnością wpłynie na pozytywny wizerunek pracodawcy. Znalezienie odpowiedniego pracownika nie jest łatwym zadaniem tym bardziej, iż dokonanie oceny kwalifikacji zawodowych czy też doświadczenia danej osoby możliwe jest wyłącznie w oparciu o pozyskane od kandydata dane osobowe.

Poniższy wpis dotyczy przetwarzania przez pracodawcę danych osobowych kandydatów do pracy.

Gromadzenie, przechowywanie, niszczenie zebranych w procesie rekrutacji danych osobowych kandydatów do pracy stanowi przetwarzanie danych (art. 4 ust. 2 RODO). Pracodawca staje się administratorem danych osobowych kandydatów do pracy niezależnie od sposobu otrzymania dokumentów rekrutacyjnych (tj. w wersji papierowej oraz elektronicznej). Na administratorze spoczywają konkretne obowiązki o czym będzie mowa w dalszej części wpisu.

Obowiązki pracodawcy

Potocznie zwykło mówić się, że pracownikiem jest każdy wykonujący pracę, ale projektując procesy przetwarzania danych osobowych należy odróżniać pracowników od osób współpracujących. W myśl art. 2 Kodeksu pracy pracownikiem jest „osoba zatrudniona na podstawie umowy o pracę, powołania, wyboru, mianowania lub spółdzielczej umowy o pracę. Pracownikiem nie jest osoba, która wykonuje czynności na innych podstawach niż wymienione w art. 2 (np. umowa zlecenia, umowa o dzieło, agencyjna). Pracodawcą zaś jest jednostka organizacyjna, choćby nie posiadała osobowości prawnej, a także osoba fizyczna, jeżeli zatrudniają one pracowników (art. 3 Kodeksu pracy). Read More

31 sty

Określanie podstawy przetwarzania danych osobowych

Ogólne rozporządzenie o ochronie danych osobowych określa sytuacje, w których przetwarzanie jest legalne. Wystarczy, że jest spełniony jeden z warunków z artykułów 6, 9 lub 10 (a w przypadku zgody i przetwarzania danych dzieci także należy uwzględnić wymagania artykułów 7 i 8) i możemy uznać przetwarzanie danych osobowych za zgodne z przepisami prawa. Wydaje się bardzo proste, ale to tylko pozory. W praktyce okazuje się, że często trudno jest jednoznacznie wskazać podstawę legalizującą przetwarzanie, nawet gdy działa się zgodnie z konkretnym przepisem prawa, ciężko jest uzasadnić, że to właśnie ten przepis reguluje celowość oraz adekwatność przetwarzania danych, w szczególności zakres niezbędnych do realizacji celu danych. Należy także zwrócić uwagę, że przesłanki legalizujące przetwarzanie mogą zachodzić jednocześnie (nie są wykluczające).

Punkt wyjścia: zanim zaczniesz szukać przesłanki legalizującej przetwarzanie danych osobowych, przeczytaj najpierw artykuły 6-10 RODO. To nie żart. Często, szczególnie przy przetwarzaniu danych szczególnych kategorii, znajdziesz od razu informację, że dane przetwarzanie jest legalne, jeżeli służy wskazanym celom. Przy okazji utrwalisz sobie w pamięci treść tych artykułów, co na pewno przyda Ci się w przyszłości. Read More

25 sty

Ruszyły prace nad Kodeksem Postępowania RODO dla bibliotek

Kilka tygodni temu, wraz z moim zespołem wyszliśmy z inicjatywą opracowania Kodeksu postępowania i dobrych praktyk w zakresie przetwarzania danych osobowych w bibliotekach. Rozpoczęliśmy burzę mózgów, jak to zrealizować, a przede wszystkim jak konsultować z branżą. Na szczęście wyszedł nam na przeciw solidny partner – Stowarzyszenie Bibliotekarzy Polskich. W zasadzie od samego początku okazało się, że jesteśmy zgodni w tym, że Kodeks, czyli ogólnodostępne wytyczne jak w praktyce postępować z danymi osobowymi w bibliotece, jest bardzo potrzebny i jak powinien przebiegać proces jego tworzenia. Rozmowy o współpracy rozpoczęliśmy jeszcze w grudniu, a w tym tygodniu wypracowaliśmy porozumienie, którego efektem ma być Kodeks. Read More

13 sty

Jak pracownicy powinni zabezpieczyć dane przesyłane elektronicznie

Prowadzenie korespondencji mailowej stanowi obecnie trzon codziennej działalności firm, a także podmiotów publicznych. Z mojego doświadczenia wynika, że osoby, które w imieniu administratora przesyłają oraz otrzymują wiadomości e-mail, zazwyczaj przechodzą przeszkolenie w zakresie przetwarzania danych osobowych zgodnie z RODO, jednakże na tych szkoleniach mówi się im jedynie o tym, że muszą dane zabezpieczać i nie ujawniać nieuprawnionym osobom. Bardzo rzadko szkoli się je z prowadzenia bezpiecznej korespondencji z odbiorcami, a jeszcze rzadziej wprowadza procedury w tym zakresie. W praktyce okazuje się, że pracownik nie do końca wie, jak powinien postępować – sam podejmuje decyzję, jakie rozwiązania zastosować.

Wysyłanie danych wewnątrz organizacji, np. przesyłanie danych pomiędzy dwoma pracownikami

To że dane są przekazywane wewnątrz organizacji, nie powinno usypiać naszej czujności. Często zdarza się, że na przykład pracownik działu kadr przesyła dane do pracownika działu płac lub na przykład kierownik działu przekazuje dane dotyczące wypracowanych przez pracowników akordów. W praktyce może zdarzyć się, że program pocztowy podpowie dane niewłaściwej osoby (często z tym się spotykam) lub osoba, do której ma trafić wiadomość jest nieobecna i przekierowała pocztę na inną osobę, która akurat w zakresie tych wiadomości nie jest uprawniona.

Rozwiązanie nr 1: dane powinny być wpisane do pliku (np. Wor, Excel), a następnie zabezpieczone hasłem, które będzie znane tylko odbiorcy. Można ustalić stałe hasło na wspólną komunikację.

Instrukcja jak założyć hasło na plik

Instrukcja jak skompresować plik z hasłem (rozwiązanie wygodne, gdy jest więcej niż jeden plik)

Typowy błąd: zabezpieczenie danych hasłem i przekazanie hasła w tej lub kolejnej wiadomości e-mail.

Rozwiązanie nr 2: wrzucenie danych na wspólny serwer plików, do folderu, do którego dostęp mają tylko nadawca i odbiorca (ewentualnie wszystkie osoby uprawnione z danego działu).

Typowy błąd: wrzucenie danych na serwer plików do ogólnodostępnego folderu lub przesłanie za pośrednictwem zewnętrznego narzędzia, np. google drive, WeTransfer. W przypadku konieczności skorzystania z tych narzędzi, należy bezwzględnie wcześniej zaszyfrować dane kompresując je z hasłem (Instrukcja jak skompresować plik z hasłem )

Read More

02 sty

Zakres obowiązków IOD w umowie

W rozmowach z moimi znajomymi, pełniącym obowiązki Inspektorów, często przewija się temat zadań, jakie powinien wykonywać inspektor, a tym czego oczekuje administrator danych i co próbuje zamieścić w umowie z Inspektorem. Rozbieżność w oczekiwaniach obu stron jest duża, a jej główną przyczyną często jest to, że administrator chciałby zapłacić komuś, aby wziął na siebie „problem RODO” i nie zawracać sobie tym tematem głowy, a także fakt, że przed RODO zakres obowiązków ówczesnego ABI wynikający z obowiązujących wówczas przepisów był szerszy, niż obecnie. Polski ustawodawca uczynił ABI wykonawcą wielu obowiązków, które na mocy RODO należą do administratora danych. Osoby, które z ABI stały się IOD, stanęły przed dylematem, jak działać „po nowemu”.

Ponieważ pojawiła się potrzeba, aby spisać obowiązki inspektora, które będzie można wpisać w umowie z nim, postanowiłam zrobić ten wpis. Tutaj warto podkreślić, że zakres obowiązków administratora został podany także, dlatego żeby było wiadomo, jak te obowiązki nie powinny brzmieć.

Zakres obowiązków IOD wynikający z RODO

  • powinien być właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych,
  • jest punktem kontaktowym dla osób, których dane dotyczą w sprawach dotyczących ich danych,
  • jest punktem kontaktowym dla organu nadzorczego w sprawach, które dotyczą przetwarzania danych przez administratora danych,
  • ma ustawowy obowiązek zachowania poufności,
  • doradzanie administratorowi, podmiotom przetwarzającym, a także personelowi administratora w zakresie sposób przetwarzania danych osobowych zgodnie z RODO,
  •  zapewnienie przeszkolenia osób przetwarzających dane osobowe z obowiązków wynikających z RODO,
  •  nadzorowanie zgodności przetwarzania danych osobowych z RODO, w szczególności poprzez przeprowadzanie audytów i opracowywanie sprawozdań z zaleceniami dla administratora danych,
  • monitorowanie polityk bezpieczeństwa danych osobowych oraz podziału obowiązków u administratora,
  • uwzględnianie ryzyka związanego z operacjami przetwarzania, tzn. charakteru, zakresu, kontekstu i celi przetwarzania, w wypełnianiu swoich obowiązków,
  • wspieranie administratora danych przy podejrzeniach oraz naruszeniach dla ochrony danych osobowych, szacowaniu ryzyka dla ochrony danych, ocenie skutków dla ochrony danych, prowadzeniu rejestru czynności oraz kategorii przetwarzania danych, powierzaniu, udostępnianiu, współadministrowaniu danych.

Read More

13 gru

Jak skutecznie szkolić pracowników z przestrzegania zasad RODO?

Szkolenia pracowników to najtańszy i najprostszy sposób dbania o zapewnienie ochrony danych osobowych przetwarzanych w organizacji. Wielu administratorów danych tłumaczy brak wdrożenia odpowiednich zabezpieczeń, w szczególności informatycznych, niewystarczającym budżetem. Trudno jest mi przyjąć ten argument, biorąc pod uwagę, że dobre szkolenie dla pracowników można zrobić wewnętrznie, bez angażowania dodatkowych środków.

Właśnie. Dobre szkolenie.

Dobre szkolenia dla pracowników nie polegają na czytaniu slajdów. Dobre szkolenie nie może być nudne. Dobre szkolenie musi opierać się na praktycznych przykładach, powinno być połączone z częścią warsztatową, wywoływać pozytywne emocje, pozostawiać pozytywne wrażenia.

Niektórzy czytając moje wywody, śmieją się pod nosem. Jak można zrobić zabawne i ciekawe szkolenie z RODO? Przecież to taki nudny temat??? Oczywiście, że można, ale o tym jak to zrobić, napiszę za chwilę. Read More

02 gru

Czy zgodnie z RODO potrzebna jest zgoda na przetwarzanie danych uczestnika konkursu?

Tematami konkursów zajmowałam się już kilkukrotnie, m.in. we wpisach:

Jednakże problem wrócił do mnie ze zdwojoną siłą ze względu na opublikowany w zeszłym tygodniu RODOporadnik dla sektora nowych technologii. Autorzy poradnika podeszli do zagadnienia w bardzo praktyczny sposób, odpowiadając na najczęstsze pytania, z jakimi mierzą się firmy prowadzące działalność marketingową. Szczególnie polecam omówienie tematu zgody na wysyłanie newsletteru.

Nie mogę jednak zgodzić się z wytycznymi w zakresie organizowania konkursów. Szczerze mówiąc mam duże wątpliwości, czy autorzy rzeczywiście mieli na myśli to co ostatecznie zostało opublikowane w poradniku, biorąc pod uwagę ich wcześniejsze wytyczne, które stoją w sprzeczności z poradami w zakresie konkursów.

Ale od początku. Ostatnie pytanie zadane w poradniku odnosi się do kwestii legalności przetwarzania danych osobowych uczestników konkursów. Czy niezbędna jest zgoda, czy można uznać, że przetwarzanie ich danych wpisuje się w prawnie usprawiedliwiony interes administratora danych, jakim jest marketing produktów własnych (art. 6 ust. 1 lit. f RODO)? Zdaniem autorów poradnika, Administrator danych, organizując konkurs, będący  przyrzeczeniem publicznym w rozumieniu art. 919 Kodeksu cywilnego i nast., może przetwarzać dane osobowe uczestnika konkursu na podstawie prawnie uzasadnionego
interesu, m.in. w celu: organizacji konkursów, w tym obsługi zgłoszeń, w zakresie pomocy
technicznej, informowania o wynikach i wyłaniania zwycięzców oraz przyznawania i wysyłania nagród konkursowych.

W mojej opinii do przeprowadzenia konkursu niezbędna jest zgoda uczestnika. Wywodzę ją nie tylko z przepisów RODO, ale także dotychczasowej praktyki oraz wytycznych Urzędu Ochrony Danych Osobowych w tym zakresie. Ale po kolei.

Read More

18 lis

Zawiadomienie osób, których dane dotyczą o naruszeniu ochrony ich danych

Designed by Freepik.com

Informowanie osób, że z ich danymi stało się „coś złego” (to może być nie tylko kradzież, ale także nieuprawniona modyfikacja, nieuprawniony dostęp, niewłaściwe zniszczenie, utrata dostępu do danych), jest jednym z nowych i bardzo, bardzo ważnych obowiązków, wynikających z RODO. Nie oszukujmy się, administrator danych najchętniej ukryłby każde zdarzenie, które mogłoby postawić go w złym świetle. Dotychczas administratorzy nie mieli obowiązku poinformowania osób, których dane dotyczą, nawet gdy mieli 100% pewność, że ktoś może wykorzystać dane do kradzieży tożsamości. Mogli to zrobić, ale nie musieli, co oznacza, że zazwyczaj tego nie robili.

Warto zwrócić uwagę, że zawiadomienie organu nadzoru o wycieku danych, nie jest niczym nowym. Podobne obowiązki już dawno były wpisane w przepisy o ochronie informacji niejawnych oraz prawo telekomunikacyjne. Jednakże przed RODO przepisy nie regulowały zasad powiadamiania osób, których dane dotyczą o wycieku (lub innym groźnym zdarzeniu) jej danych. Znanych jest kilka historii (polecam poszperać na stronach serwisu Niebezpiecznik.pl) o tym, jak administrator danych „zawiadamiał” w sposób, który nie wnosił żadnej wiedzy, a jedynie zamieszanie i zdenerwowanie. Co nam po informacji, że ktoś ukradł nam dane, a administratorowi jest przykro z tego powodu?

RODO wprowadza nowe zasady. Jeżeli zostanie naruszona ochrona danych w wyniku, której istnieje duże ryzyko dla praw i wolności, osób które dane dotyczą, wówczas administrator ma obowiązek dokonać zawiadomienia tych osób (art. 34 RODO). Jak wspomniałam wcześniej, naruszenie nie dotyczy tylko kradzieży. Naruszeniem będzie zdarzenie, które doprowadzi do utraty, którejkolwiek z fundamentalnych cech danych osobowych, jak integralność, rozliczalność i poufność. Jeżeli za takim zdarzeniem, będzie szło ryzyko dla praw i wolności osoby, której dane dotyczą (np. szantaż tej osoby, kradzież jej danych, niemożliwość skorzystania przez nią z praw przysługujących jej na mocy przepisów prawa, itd), wówczas niezbędne jest zawiadomienie jej, o zaistniałym zdarzeniu. Read More