Sylwia Czub – Strona 15 – Sylwia Czub bloguje o danych osobowych

08 lis

Rozpoczęcie współpracy z Wolters Kluwer

Korzystacie z systemu LEX? Ja czasami mam wrażenie, że wszyscy go mają. Nie bez powodu, jest to źródło bardzo aktualnej i szerokiej wiedzy. Poza tym w LEX publikują znani i cenieni eksperci. Nie wypada nie pochwalić się, że od kilku dni zaliczam się do tego szacownego grona i wspieram swoją wiedzą oraz doświadczeniem użytkowników. Na dzień dzisiejszy z systemu korzysta ponad 400 tysięcy użytkowników, a ja zaczęłam już odpowiadać na ich pierwsze pytania dotyczące stosowania RODO w praktyce.

Jeżeli nie macie LEX, możecie znaleźć moje artykuły także w portalu INFOR oraz magazynie Bibliotekarz. A jeżeli macie ochotę ze mną podyskutować i nauczyć się czegoś od mnie, zapraszam na szkolenia oraz moje zajęcia na studiach podyplomowych z ochrony danych osobowych w Politechnice Białostockiej oraz Wyższej Szkole Ekonomii i Innowacji w Lublinie.

06 lis

Weryfikacja uprawnień i dyplomów przyszłego pracownika a RODO

Poruszę dzisiaj gorący i trudny temat dotyczący weryfikacji uprawnień oraz dyplomów przyszłych kandydatów do pracy. Moje wnioski i przemyślenia są efektem analizy Poradnika UODO: Ochrona danych osobowych w miejscu pracy. Poradnik dla pracodawców. Nie daje mi spokoju punkt 3.3 Poradnika:

Czy potencjalny pracodawca może zwrócić się do uczelni wyższej z prośbą o potwierdzenie, czy kandydat do pracy uzyskał w niej dyplom?

Nie. Potwierdzanie prawdziwości dyplomu ukończenia studiów wyższych, jak i innych danych zawartych w dokumentach przedkładanych przez kandydata w toku rekrutacji, poprzez kierowanie zapytań do podmiotów, które wydały te dokumenty jest niedopuszczalne. Polski prawodawca co zasady nie przewiduje w przepisach krajowych uprawnienia pracodawcy do występowania do innych podmiotów w celu potwierdzenia lub sprawdzenia prawdziwości dokumentów i danych w nich zawartych przedłożonych przez kandydatów w toku rekrutacji.

Takie działanie nie ma również oparcia w przesłance określonej w art. 6 ust. 1 lit. f RODO. Przypomnieć należy, że zgodnie z art. 22 1 § 3 Kodeksu pracy udostępnienie pracodawcy danych osobowych następuje w formie oświadczenia osoby, której one dotyczą, zatem należy uznać, że praktyka polegająca na dodatkowej weryfikacji informacji uzyskanych od kandydata, naruszałaby prawa i wolności osoby. Polski ustawodawca zdecydował, w jakiej formie pracodawca powinien pozyskiwać informacje o kandydacie do pracy.

Wskazać należy, że praktyka polegająca na pozyskiwaniu zgód od kandydata na weryfikowanie prawdziwości złożonych oświadczeń i danych zawartych w dokumentach również nie znajduje oparcia w przepisach RODO. Podkreślenia wymaga, że jednym z warunków skuteczności zgody jest jej dobrowolność, co oznacza, że osoba, której dane dotyczą nie powinna ponosić żadnych negatywnych konsekwencji, jeżeli odmówi jej wy-rażenia. Niewyrażenie zgody przez kandydata na kontakt z uczelnią przez pracodawcę (choćby z powodów subiektywnych np. konfliktu z uczelnią), może spowodować, że potencjalny pracodawca odrzuci jego kandy-daturę.

Jeżeli pracodawca ma podejrzenia, że przedkładany dokument został sfałszowany powinien złożyć zawiadomienie o możliwości popełnienia przestępstwa określonego w art. 270 § 1 Kodeksu karnego.

Rozumiem sens i znaczenie powyższych wytycznych. Oświadczenie kandydata powinno być wystarczające, ponieważ nie można traktować każdego „jak potencjalnego przestępcy”. Jedynie uzasadnione podejrzenie powinno prowadzić do weryfikacji dokumentów. Jednocześnie w ostatnim czasie spotkałam się z dwiema sytuacjami, które zweryfikowały mój pogląd na powyższe wytyczne: Read More →

29 paź

Kopiowanie i przechowywanie dowodów osobistych zgodnie z RODO

Temat nielegalnego powielania dowodów jest co chwilę poruszany przez Urząd Ochrony Danych Osobowych oraz ekspertów od bezpieczeństwa informacji. Często jest podkreślane, że kopiowanie dowodu jest zabronione, chyba że taki obowiązek wynika bezpośrednio z przepisu prawa lub wyrazisz na to zgodę (jednak tylko wtedy, gdy ten kto chce kopiować dowód wykaże uzasadnienie dla takiej prośby, np. wysokie ryzyko wyłudzeń jego usług). Kontrole przeprowadzane przez (jeszcze wówczas) GIODO rok rocznie wykazywały, że od kiedy w firmach pojawiły się kopiarki, zaczęliśmy kopiować wszystko na potęgę. W erze sprzed kopiarek po prostu zatrzymywaliśmy dowody pod zastaw. Świadomość się zwiększa, coraz rzadziej zgadzamy się na to, żeby ktoś brał nasz dowód do ręki, a co dopiero kopiował (a jeśli już chce kopiować, musi wykazać swój interes prawny). Są jednak sytuacje, choć rzadkie, w których skopiowanie dowodu jest umotywowane w przepisach prawa, na przykład:

Banki mogą przetwarzać dla celów prowadzonej działalności bankowej informacje zawarte w dokumentach tożsamości osób fizycznych. Ustawa z dnia 29 sierpnia 1997 r. – Prawo bankowe, art. 112b.

Instytucje obowiązane na potrzeby stosowania środków bezpieczeństwa finansowego mogą przetwarzać informacje zawarte w dokumentach tożsamości klienta i osoby upoważnionej do działania w jego imieniu oraz sporządzać ich kopie. Ustawa z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu, art. 34 ust. 4.

Read More →

18 paź

Akcja ochrony danych osobowych w podmiotach publicznych

Muszę Wam się pochwalić: z dniem 1 października udało nam się pozytywnie przejść przez weryfikację prowadzonej przez nasz działalności szkoleniowej i otrzymaliśmy akredytację, która potwierdza jakość naszych szkoleń.

Skorzystaj z akredytowanych szkoleń RODO

Uzyskanie akredytacji stało się dla nas impulsem do uruchomienia akcji wpierania ochrony danych osobowych w podmiotach publicznych. Nasza działalność pokazuje, że jest ogromna potrzeba wsparcia pracowników i kierownictwa podmiotów publicznych w zapewnieniu odpowiedniego poziomu wiedzy w zakresie stosowania RODO. W związku z tym proponujemy uczestnikom z podmiotów publicznych duże zniżki na korzystanie z naszych usług, w szczególności ze wsparcia przy tworzeniu dokumentacji bezpieczeństwa zgodnej z RODO oraz szkoleń z ochrony danych osobowych. Read More →

10 paź

Wykaz procesów przetwarzania, dla których musi być przeprowadzana ocena skutków (DPIA)

O ocenie skutków dla ochrony danych pisałam już wcześniej (Ocena skutków przetwarzania według RODO ) jednakże w artykule skupiałam się na nowych procesach przetwarzania, które ze względu na swój charakter wiążą się z wysokim ryzykiem naruszenia poufności. Pod koniec sierpnia w Dzienniku Urzędowym ukazał się Komunikat Prezesa Urzędu Ochrony Danych Osobowych z dnia 17 sierpnia 2018 r. w sprawie wykazu rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony. Wykaz jest konsekwencją art. 35 ust. 4 RODO: Organ nadzorczy ustanawia i podaje do publicznej wiadomości wykaz rodzajów operacji przetwarzania podlegających wymogowi dokonania oceny skutków dla ochrony danych na mocy ust. 1. Ponieważ RODO wymaga spójności wewnątrz UE w zakresie zasad przetwarzania danych Organ nadzorczy przekazuje te wykazy Europejskiej Radzie Ochrony Danych, o której mowa w art. 68. W zeszłym tygodniu ukazała się opinia Rady dotycząca polskiego wykazy, zgodnie z którą Prezes UODO ma 14 dni na zaktualizowanie wykazu. Na co zwróciła uwagę Rada?

Read More →

22 wrz

Analiza ryzyk i zagrożeń – podejście praktyczne

RODO innowacyjnie w stosunku do dotychczasowych rozwiązań, podchodzi do kwestii doboru odpowiednich środków zapewniających rozliczalność danych (mam na myśli rozliczalność w rozumieniu fundamentalnych zasad przetwarzania danych, o których mowa w art. 5 RODO). W miejsce stałych wytycznych, które dotychczas prowadziły administratora danych za rękę, wprowadza podejście oparte na ryzyku. Jedyne konkretne (minimalne) wytyczne zostały wskazane w art. 32, tzn.

szyfrowanie i pseudonimizacja danych;
zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Ani słowa o hasłach, szafach, niszczarkach, zabezpieczeniach sieci. Administrator danych (firma) musi zapewnić zdolność do skutecznego zabezpieczenia danych, czyli samodzielnie dobiera odpowiednie środki i bierze za nie odpowiedzialność. A ich skuteczność ma być zagwarantowana przez ciągłe testowanie i ocenianie. W jaki sposób? To administrator danych decyduje. Oczywiście najważniejszą i najbardziej obiektywną oceną, czy zastosowane rozwiązania są skuteczne, będzie skuteczność. Jednakże jeżeli środki bezpieczeństwa zawiodą, administrator stanie przed koniecznością udowodnienia, że ze swojej strony robił wszystko co mógł, aby tak nie było, w tym dobór środków dyktował nie tylko ceną, ale także ich skutecznością. Będzie musiał okazać wyniki dokonywanych testów i oceny skuteczności zastosowanych zabezpieczeń. Narzędziem służącym do realizacji tego zadania jest analiza ryzyk i zagrożeń. Konieczność dokonania analizy wywodzimy także z art. 35 RODO, który wskazuje, że jeżeli dla konkretnego przetwarzania istnieje wysokie ryzyko naruszenia poufności, należy przeprowadzić ocenę skutków dla ochrony danych. Najpierw trzeba ocenić ryzyko, żeby wiedzieć, czy konieczna jest ocena skutków.

Kto powinien przeprowadzić analizę ryzyka

W tym momencie dla większości administratorów zaczyna się problem. Jak zrobić analizę ryzyka, czy można zrobić ją samodzielnie, czy trzeba zatrudnić zewnętrzną firmę? Jakich narzędzi użyć, czy jest to trudne? Jeżeli wyszukiwaliście w Internecie informacje o metodologii przeprowadzania analizy ryzyka, to wiecie, że jest to zagadnienie dość skomplikowane. Tym bardziej, że nie da się napisać uniwersalnego tekstu o analizie ryzyka, tak żeby był prosty i zrozumiały, bo należy uwzględnić zarówno potrzeby małych, średnich, jak i dużych przedsiębiorstw. Z audytów u klientów wiem, że bardzo często osoba, której przypadł zaszczyt przeprowadzenia analizy nie ma o tym zielonego pojęcia, a w najlepszym przypadku dostaje tabelkę z poleceniem proszę to uzupełnić. Uzupełnia, tak jak jej się wydaje, tak jakby wróżyła z fusów. Stwierdzając, że jest to bezużyteczne i nic nie daje. Dodatkowo jest ogromny nacisk ze strony kierownictwa, aby wszędzie wyszło niskie ryzyko. Read More →

10 wrz

Czym są czynności przetwarzania w rejestrze czynności?

Rejestr czynności przetwarzania jest tematem pojawiającym się właściwie na każdym moim szkoleniu i w większości dyskusji. O zasadach tworzenia i prowadzenia rejestru pisałam tutaj. Jednakże już na pierwszy rzut oka, można zauważyć, że przyjęłam inną zasadę tworzenia rejestru, niż podany na stronach urzędu ochrony danych osobowych wzór: wyjaśnienia Prezesa UODO jak prowadzić rejestr czynności

Na stronie zostały zamieszczone Wskazówki i wyjaśnienia dotyczące obowiązku z art. 30 ust. 1 i 2 RODO, przygotowane przez pracowników UODO, Panią Monikę Młotkiewicz oraz dr inż Andrzeja Kaczmarka. W podanym przykładzie autorzy posługują się „czynnościami na danych” bardzo szczegółowo rozbijając je dla poszczególnych zbiorów. Wynika to z interpretacji „czynności przetwarzania”, jako zespołu powiązanych ze sobą operacji na danych, wykonywanych przez jedną lub kilka osób, które można określić w sposób zbiorczy, w związku z celem, w jakim te czynności są podejmowane.

W 2016 roku, pod patronatem GIODO, ukazał się bardzo dobry i prosty poradnik Wykonywanie obowiązków ABI, przyszłego inspektora ochrony danych, w świetle ogólnego rozporządzenia o ochronie danych osobowych, pod redakcją „autorytetów RODO”, m.in. dr Edyty Bielak-Jomaa, Piotra Drobka, dr Macieja Kaweckiego. W poradniku jeden z rozdziałów został poświęcony zagadnieniu prowadzenia rejestru czynności przetwarzania, w którym dr inż. Andrzej Kaczmarek wyjaśnia: Read More →

05 wrz

Zgoda na publikację wizerunku na Facebooku i Instagramie

To już trzecia aktualizacja tego wpisu! Jak widać temat jest mocno gorący, a jednocześnie świadomość wzrasta, skoro coraz więcej osób poszukuje wzoru zgody na publikację zdjęcia na Facebooku.

Jest wynikiem zmian, które zaszły w związku z bezwzględnym stosowaniem RODO oraz przystąpieniem przez Facebook oraz Google do Tarczy Prywatności UE-USA. Obie spółki musiały przejść certyfikację, potwierdzającą, że spełniają wymagania RODO. Jest to duże ułatwienie dla podmiotów, które promują się za pośrednictwem tych serwisów.

Publikowanie danych osobowych w postaci wizerunku, imienia, nazwiska, itp. na stronie www, w portalu społecznościowym Facebook, Instagram (analogicznie Google+, YouTube) wymaga zgody osoby, której dane chcemy zamieścić. Zgoda musi być pozyskana w sposób świadomy i pozwalający faktycznie udowodnić, że ktoś ją wyraził.

Read More →

28 sie

Czy z prawnikiem lub kancelarią prawną trzeba podpisać powierzenie danych w związku z obsługą prawną?

Temat umów powierzenia jest bardzo aktualny. Niektóre przypadki są bardzo proste i jednoznaczne, np. powierzenie danych do biura rachunkowego, inne wymagają dłuższego rozważania. Przyznaję, że niektóre tematy są tak skomplikowane, że nie znając biegle danych przepisów sektorowych, sama mam z nimi problemy. Jednym z bardziej skomplikowanych zagadnień jest korzystanie z obsługi prawnej.

Zgodnie z artykułem 28 RODO, jeżeli administrator danych korzysta z usług innych podmiotów, które przetwarzają dla niego dane, do powinien przed zleceniem usług, podpisać umowę powierzenia danych (lub skorzystać z innego dopuszczalnego instrumentu prawnego). W związku z tym wielu administratorów zaczęło się zastanawiać, czy jeżeli korzysta z obsługi prawnej, np. radcy prawnego lub kancelarii, to musi zawrzeć umowę powierzenia. Bardzo często kancelarie i radcy prawni odmawiają zawarcia umowy powierzenia danych na obsługę prawną. Czy słusznie? W związku z pojawiającymi się wątpliwościami, został opracowany Poradnik dla radców prawnych i adwokatów: Ogólne rozporządzenie o ochronie danych osobowych (RODO). Autorami poradnika są adw. Xawery Konarski, adw. dr Grzegorz Sibiga, r.pr. Dominika Nowak, adw. Katarzyna Syska, Iga Małobęcka – osoby znane w branży, które od lat zajmują się zagadnieniami ochrony danych.

Read More →

22 sie

Studia podyplomowe dla IOD – co polecam

Szkolenia, szkoleniami, ale jeżeli chcecie na poważnie zajmować się ochroną danych osobowych i być profesjonalnym IOD, prędzej czy później trzeba będzie zdobyć kierunkowe wykształcenie. Jeżeli już zaczynacie o tym myśleć, to polecam Wam BARDZO dobre studia podyplomowe w Lublinie. Taniej niż w Warszawie, a przede wszystkim postawiono na konkrety. To są studia, na których nie tylko zrozumiecie dlaczego, ale dowiecie się jak pewne rzeczy zrobić.

Pamiętajcie, że IOD musi ciągle się kształcić i podnosić swoje kwalifikacje (tak, tak ja też to robię, chociaż miny współuczestników wskazują, że są zaskoczeni, że „ktoś taki” uczy się też od innych). Kilka lat temu zrobiłam studia podyplomowe z ochrony danych. Byłam już doświadczonym praktykiem i powiem szczerze, że radziłam sobie z większością problemów, spotykanych w codziennej pracy ówczesnego ABI. Jednak ciągle brakowało mi pewności siebie w dyskusjach z innymi ekspertami. Brakowało mi też w CV czegoś co potwierdzałoby moje wysokie kwalifikacje. Dzisiaj jestem już krok dalej i sama wykładam, ucząc innych, jak przełożyć przepisy na praktykę. Dlatego wiem, że studia dają bardzo dużo. Układają wiedzę w głowie, pozwalają zrozumieć jakie były intencje wprowadzenia konkretnych zapisów. Dużo łatwiej pracuje się z przepisami, gdy ma się doskonale opanowaną teorię (mówię to nie tylko jako ekspert odo, ale także matematyk).

Wraz z Łukaszem Wojciechowskim, który jest dla mnie jedynym z najlepszych ekspertów odo, jakich kiedykolwiek spotkałam, który potrafi opowiadać o RODO w sposób zabawny i fascynujący, zapraszamy Was na studia podyplomowe do Lublina. Wśród wykładowców znajdziecie świetnych praktyków (w tym mnie i Łukasza). Pomożemy Wam zrozumieć RODO i stosować je w praktyce.

Wszystkie informacje dotyczące nowego kierunku, programu, kadry i odpłatności za studia dostępne są na stronie internetowej Centrum Studiów Podyplomowych WSEI w Lublinie.