Sylwia Czub – Strona 17 – Sylwia Czub bloguje o danych osobowych

30 mar

Mity wokół RODO: nie będzie już zbiorów danych

Tyle razy już słyszałam „od maja nie będzie już zbiorów danych”, że postanowiłam napisać. Nie wiem jak powstała ta miejska legenda, jednakże chciałabym ją rozwiać. Najszybciej jak się da. Sam tekst Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), czyli RODO odnosi się do przetwarzania danych osobowych w ramach zbiorów w wielu miejscach:

(Motyw 15) Aby zapobiec poważnemu ryzyku obchodzenia prawa, ochrona osób fizycznych powinna być neutralna pod względem technicznym i nie powinna zależeć od stosowanych technik. Ochrona osób fizycznych powinna mieć zastosowanie do zautomatyzowanego przetwarzania danych osobowych oraz do przetwarzania ręcznego, jeżeli dane osobowe znajdują się lub mają się znaleźć w zbiorze danych. Zbiory lub zestawy zbiorów oraz ich strony tytułowe, które nie są uporządkowane według określonych kryteriów nie powinny być objęte zakresem niniejszego rozporządzenia. Read More →

19 mar

Zaktualizuj regulamin pod RODO

Zwracałam już uwagę na konieczność aktualizacji obowiązku informacyjnego pod RODO:

RODO: nowe obowiązki informacyjne wobec podmiotu danych

jednak niedawno zdałam sobie sprawę, że bardzo wiele osób w ogóle nie realizuje obowiązku informacyjnego, więc pewnie nie wie jak to zrobić. Obowiązek informacyjny to nic innego, jak udzielenie osobie, której dane dotyczą informacji o zasadach przetwarzania jej danych oraz o tym, jakie prawa jej przysługują. Mówiąc krótko, żeby miała poczucie, że nawet jeżeli jej dane są przekazywane do podmiotu, który ma uprzywilejowaną pozycję (duża/bogata firma, urząd, szpital) to ma ona prawo do kontroli tego, czy jej dane są prawidłowo przetwarzane (w tym zabezpieczone) oraz może dochodzić swoich praw (co więcej może zrobić to w jej imieniu organ nadzoru). Read More →

12 mar

Zostań Inspektorem Ochrony Danych!

Dostaję już prawie masowo pytania o to, jak przekwalifikować się na Inspektora Ochrony Danych. Co bardzo pozytywne, coraz częściej piszecie, że temat „jest bardzo interesujący i wciągający”. A jakże! Bardzo ciekawy, a gdy już złapie się bakcyla i nabierze wiedzy oraz ogłady, jest także dochodowy.

Inspektor Ochrony Danych ma przed sobą niełatwe zadanie: nadzorowanie procesów przetwarzania danych u Administratora. Biorąc pod uwagę odpowiedzialność, ilość zadań oraz możliwe kary, nie powinni zajmować się tym Ci, którzy nie czują się naprawdę pewnie i nie mają wiedzy teoretycznej w małym palcu. Należy swoją przygodę rozpocząć od zapoznania się z przepisami zarówno aktualnych krajowych przepisów, jak i RODO (polecam w tej kolejności). Mogę także polecić bardzo dobre szkolenie dla Inspektorówstauo.pl,. Co więcej tym razem w Lublinie (żeby nie było, że zawsze w Warszawie). Prowadzi je naprawdę doskonały specjalista, czyli Łukasz Wojciechowski, który nie tylko pisze wspaniałego bloga ale jest też świetnym szkoleniowcem. Read More →

20 lut

Jakie wytyczne w zakresie zabezpieczenia danych daje RODO?

Mam nadzieję, że treść RODO staje się Wam coraz bliższa i coraz częściej sięgacie już do rozporządzenia, a nie starej ustawy o ochronie danych. Tym bardziej, że czasu na dostosowanie się do wymogów RODO jest coraz mniej. A zostawianie wszystkiego na ostatnią chwilę może sprawić, że zabraknie czasu. Pisałam już o tym, że jeżeli wdrożyliście już działające procedury bezpieczeństwa, to nie powinniście ich wyrzucać do kosza. RODO nie przewraca do góry nogami dotychczasowych rozwiązań, a proponuje ich rozwinięcie oraz doskonalenie. Czyli dostosowanie się do RODO, to przede wszystkim przejrzenie dotychczasowych rozwiązań, a następnie dostosowanie ich z uwzględnieniem ryzyk dla procesów przetwarzania. Read More →

04 lut

Jak zostać Inspektorem Ochrony Danych?

Wraz z ogólnym rozporządzeniem ochrony danych osobowych pojawiło się ogromne zapotrzebowanie na specjalistów odpowiedzialnych za nadzór nad procesami przetwarzania danych osobowych. RODO wymusza na wielu grupach administratorów danych obowiązek wyznaczenia inspektora ochrony danych, co za tym idzie niejako stwarza nowe miejsca pracy. Nie oszukujmy się, dzisiaj zapotrzebowanie na inspektorów jest większe niż liczba specjalistów, którzy mogliby sprostać wymaganiom tego zawodu (szczególnie w mniejszych miastach).

Zapotrzebowanie wpłynęło na zainteresowanie przekwalifikowaniem się do nowego zawodu. Read More →

21 sty

Czy ze względu na RODO należy na nowo wypełnić obowiązek informacyjny?

Wspominałam już o tym, że RODO bardzo rozszerza obowiązki informacyjne wobec osoby której dane dotyczą, który ma być w sposób jasny i zrozumiały informowany o swoich prawach. Jeżeli RODO wymaga, aby administrator danych podawał więcej informacji, niż dotychczas, czy oznacza to, że powinien on na nowo wypełnić obowiązek informacyjnych wobec osób, których dane zgromadził?
Może dodam, że obowiązek informacyjny jest jednym z najsłabiej realizowanych przez administratorów wymagań, wynikających z przepisów o ochronie danych osobowych (obecnie art. 24-25 ustawy o ochronie danych osobowych). Jeżeli nie wiesz, o czym mówię, poczytaj więcej na temat obowiązku informacyjnego tutaj.
Odpowiedź na pytanie z tytułu postu, wymaga krótkiej analizy zapisów RODO.
Po pierwsze zgodnie z motywem 61: Informacje o przetwarzaniu danych osobowych dotyczących osoby, której dane dotyczą, należy przekazać tej osobie w momencie zbierania danych, a jeżeli danych nie uzyskuje się od osoby, której dane dotyczą, lecz z innego źródła – w rozsądnym terminie, zależnie od okoliczności. Zgodnie z art. 12 ust. 1 RODO: Informacji udziela się na piśmie lub w inny sposób, w tym w stosownych przypadkach – elektronicznie. Jeżeli osoba, której dane dotyczą, tego zażąda, informacji można udzielić ustnie, o ile innymi sposobami potwierdzi się tożsamość osoby, której dane dotyczą. Warto podkreślić, że forma ustna jest „formą na żądanie”, ponieważ jest to rozwiązanie, które nie daje możliwości udowodnienia, że administrator faktycznie wypełnił obowiązek informacyjny. Read More →

05 sty

Czy po wejściu RODO dotychczasowa dokumentacja bezpieczeństwa pójdzie do kosza?

Dostaję bardzo dużo pytań o to, czy po wejściu w życie RODO dotychczasowe polityki bezpieczeństwa oraz instrukcje zarządzania systemami informatycznymi będą miały sens i czy w ogóle będą potrzebne. Krajowa ustawa z dnia 29 sierpnia 1997 roku o ochronie danych osobowych wskazywała wprost w art. 36 ust. 2 obowiązek prowadzenia dokumentacji, co więcej w przepisach wykonawczych do ustawy były szczegółowe wytyczne co powinna (minimum) zawierać dokumentacja, a po nowelizacji ustawy w 2015 roku pojawiły się także zasady prowadzenia rejestrów zbiorów danych osobowych oraz sposób realizowania nadzoru nad procesami przetwarzania przez ABI (które stanowiły także wytyczne dla administratorów danych, którzy nie powołali ABI).

Natomiast RODO w odróżnieniu od dotychczasowej ustawy nie daje jasnych wytycznych, a jedynie „wskazówki”. Wynika to z faktu, że lata stosowania sztywnych reguł, udowodniły że są one nieadekwatne do rzeczywistości (najczęściej za nią w ogóle nie nadążają), która wymaga bardzo kompleksowego i szerokiego podejścia do zagadnienia bezpieczeństwa informacji. Read More →

21 gru

Wesołych Świąt!

Z okazji świąt Bożego Narodzenia życzę Wam dużo zdrowia, radości z dnia codziennego, awansu w życiu zawodowym oraz powodzenia w życiu prywatnym.
Wesołych Świąt!

11 gru

Wykorzystywanie danych osobowych do celów marketingowych a RODO

Tradycyjne metody marketingowe stają się coraz mniej skuteczne, generują ogromne koszty i nie należą do lubianych przez odbiorców. Nie wystarczy rozsyłać reklam na masową skalę, przekazywać newslettera pod każdy możliwy, pozyskany adres i dzwonić na „losowe” numery. Dlatego powstają coraz bardziej wymyśle metody dotarcia do potencjalnych klientów. Działom marketingu wychodzą naprzeciw nowe technologie, które zbierają informacje o tym, jakie strony odwiedził użytkownik, ile czasu na nich spędził, z jakiego adresu wszedł, jakie hasło go przekierowało, jakie strony odwiedził potem, jaka jest geolokalizacja jego urządzenia, itd. Na podstawie dokonanych wyborów, użytkownicy są profilowani (po lokalizacji, płci, zainteresowaniach, wieku, itd.). Z moich doświadczeń wynika, że wszystkie te działania odbywają się bez wiedzy i zgody użytkownika. Zazwyczaj zgoda jest dorozumiana (ktoś przekazał wizytówkę albo klikną w link „chcę wiedzieć więcej / proszę o kontakt” i z marszu został zapisany do bazy marketingowej).

Tworzenie bazy marketingowej w oparciu o otrzymane wizytówki jest nielegalne

Naprawdę. To że ktoś przekazuje Ci wizytówkę, nie oznacza, że zgdsza się na dodanie jego danych do bazy marketingowej. Jest to dorozumienie zgody, czyli działanie niezgodne z przepisami o ochronie danych osobowych. Zaraz ktoś się oburzy – przecież ta osoba dała wizytówkę, bo chce otrzymać ofertę marketingową. Mogę się tylko zgodzić, że rzeczywiście tak było, jednakże istnieje bardzo duża różnica pomiędzy wysłaniem konkretnej, zamówionej oferty, a przekazywaniem ciągłym ofert marketingowych. Read More →

28 lis

RODO: czy trzeba będzie upoważniać do przetwarzania danych

Chciałabym częściej dla Was pisać, ale niestety doba ma tylko 24 godziny. Bycie popularnym blogerem ma swoją cenę, spędzam nawet kilka godzin dziennie (głownie wieczorami) odpisując na pytania z Waszych maili. Jednakże wiele z nich bardzo pozytywnie mnie nastraja, bo tworzą obraz naprawdę dużego i fajnego zaangażowania w tematykę ochrony prywatności. Ale pora wrócić do zagadnienia rozliczalności procesów przetwarzania. Zodnie z art. 38. UODO: Administrator danych jest obowiązany zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane, czyli jednym z najważniejszych obowiązków administratora danych jest posiadanie wiedzy nad tym kto, kiedy i w jakim zakresie ma dostęp do jego zasobów chronionych. Dlatego powinien nadawać uprawnienia do systemów informatycznych oraz zasobów papierowych (np. akta pracownicze, umowy z podwykonawcami). Często mówimy: zakres uprawnień powinien być zgodny z zakresem obowiązków pracownika. Jednakże żyjemy w ciekawych czasach, gdy zakresy obowiązków z upływem przepracowanych lat zaczynają rozmijać się z faktycznym zakresem wykonywanych czynności, a większość osób mających dostęp do danych to wykonawcy usług, na podstawie umów zleceń, dzieł, czy umów na usługi. W dotychczasowym stanie prawnym, odpowiedzią na taki stan rzeczy, było wprowadzenie przez ustawodawcę dodatkowego obowiązku nadawania upoważnień do przetwarzania danych osobowych. Upoważnienie nadaje się każdej osobie, która wykonuje czynności na danych osobowych (także osobom, które robią to w imieniu podmiotu przetwarzającego, o ile umowa powierzenia nie stanowi inaczej). Jest to dość żmudny i czasochłonny obowiązek. Dodatkowo z czasem upoważnień robi się bardzo dużo i ciężko byłoby się w nich odnaleźć, gdyby nie prowadzona dodatkowo ewidencja upoważnień. W praktyce jest to główne źródło wiedzy osoby, która nadzoruje procesy przetwarzania danych, nad tym kto i w jakim zakresie ma dostęp do danych. Jest to także bardzo przydatne narzędzie, gdy trzeba sięgnąć do wiedzy historycznej. Read More →