Author Archives: Sylwia Czub

30 sie

Organizowanie konkursu na zlecenie klienta

Wśród firm, z którymi współpracuję jest kilka agencji reklamowych, które bardzo często przeprowadzają konkursy na zlecenie swoich klientów. Doświadczenie pokazuje, że większość tych klientów nie ma pojęcia o kwestiach formalnych takich jak powierzenie danych agencji, pozyskiwanie zgody na przetwarzanie danych, tworzenie regulaminu, czy w końcu rozliczanie podatku. A podkreślenia wymaga fakt, że odpowiedzialność za niewłaściwie (niezgodnie z przepisami prawa) przeprowadzony konkurs ciąży na organizatorze, czyli agencji. Biorąc pod uwagę konsekwencje prawne dla agencji, takie jak kary finansowe, odszkodowania tytułem naruszenia prywatności, czy utrata wizerunku marki, nie można sobie na to pozwolić.

Podstawowe problemy i zagrożenia związane z realizowaniem konkursów na zlecenie:

  1. Presja czasu (konkurs ma być „na wczoraj”)
  2. Zbieranie danych uczestników i przekazywanie klientowi bez sformalizowania współpracy w umowie powierzenia
  3. Niewłaściwe zabezpieczenie gromadzonych i przetwarzanych danych
  4. Nielegalne gromadzenie danych uczestników (brak właściwie pozyskanej zgody)
  5. Zbieranie danych uczestników do celów marketingowych pod przykrywką konkursu
  6. Źle przygotowany regulamin lub jego brak
  7. Niewypełniony obowiązek informacyjny wobec uczestnika
  8. Brak przeszkolenia pracowników agencji w zakresie procedury przeprowadzania konkursów
  9. Klient wie lepiej (to najgorsze)

Read More

25 sie

Czy PESEL to dana wrażliwa?

Spotykam się często z przeświadczeniem, że PESEL to „dana wrażliwa”. Przykładowe stwierdzenia:

Nie zbieramy danych wrażliwych takich jak Twój PESEL

Chronimy Twoje wrażliwe dane, takie jak imię, nazwisko, PESEL

Nie podam numeru PESEL, bo to dana wrażliwa

Może zacznę od tego, skąd biorą się takie stwierdzenia. PESEL jest indywidualnym i niepowtarzalnym identyfikatorem każdego obywatela. Jest to jedyny niezmienny identyfikator. Na podstawie PESELu można zidentyfikować jednoznacznie każdego obywatela, ponieważ jego dane znajdują się w centralnym rejestrze PESEL. Jest to bardzo cenne i wykorzystywane przez wiele podmiotów źródło informacji. Jednocześnie własności PESELu sprawiają, że staje się on informacją istotniejszą od adresu czy numeru dowodu osobistego, które mogą się zmienić. W związku z tym PESEL podaje się prawie wszędzie: w bankach, szpitalach, urzędach, bibliotekach, umowach. Bez PESELu właściwie nic nie da się dzisiaj załatwić Read More

18 sie

Co zrobić, gdy jesteśmy proszeni o wysłanie danych osobowych przez e-mail

Korzystając z urlopu załatwiam różne sprawy bankowe i urzędowe. I poraża mnie niewiedza pracowników instytucji przetwarzających dane osobowe na dużą skalę. Prawie każda sprawa kończyła się prośbą proszę przysłać brakujące dane e-mailem. Gdy poprosiłam o zapewnienie środka komunikacji, który gwarantuje bezpieczeństwo moich danych, spotykałam się z niezrozumieniem i konsternacją. Jak to? Przecież bezpiecznie, przecież przez e-mail. Jako wisienkę na torcie, dodam że jedna z próśb dotyczyła wysłania wniosku zawierającego bardzo szeroki zakres moich danych w formie podpisanego skanu, na ogólny adres e-mail, w stylu „biuro”. Drogi czytelniku mojego bloga, czy Ty też się z tym spotkałeś? Mówimy o zmianach w przepisach, konieczności ochrony danych osobowych, wyższych karach w związku z RODO, a jednocześnie nikomu nie przyszło do głowy, że przyjęte i stosowane przez szeregowych pracowników rozwiązania łamią wszystkie podstawowe zasady bezpieczeństwa. Jak niska musi być świadomość tych ludzi (pewnie swoje dane także przesyłają w taki sposób). Read More

02 sie

Pozyskiwanie zgody na przetwarzanie danych osobowych – najczęstsze błędy

Kto chociaż raz zetknął się z zagadnieniem pozyskiwania zgody wie, że temat jest tylko pozornie łatwy. W praktyce ten proces budzi wiele wątpliwości zaczynając od formy pozyskania, na treści zgody kończąc.

Definicja zgody na przetwarzanie danych osobowych

Ustawa o ochronie danych osobowych: Zgoda osoby, której dane dotyczą (podmiotu danych), to oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści; zgoda może być odwołana w każdym czasie.

Ogólne rozporządzenie o ochronie danych osobowych:  zgoda osoby, której dane dotyczą oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych

Zgodnie z motywem 40 preambuły RODO:  Aby przetwarzanie danych było zgodne z prawem, powinno się odbywać na podstawie zgody osoby, której dane dotyczą, lub na innej uzasadnionej podstawie przewidzianej prawem: albo w niniejszym rozporządzeniu, albo w innym akcie prawnym Unii lub w prawie państwa członkowskiego, o których mowa w niniejszym rozporządzeniu, w tym musi się ono odbywać z poszanowaniem obowiązku prawnego, któremu podlega administrator, lub z poszanowaniem umowy, której stroną jest osoba, której dane dotyczą, lub w celu podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy.

Mówiąc krótko, zgoda nie zawsze jest konieczna. Pisałam o tym szerzej tutaj. https://sylwiaczub.pl/pytanie-czy-zawsze-konieczna-jest-zgoda/

Brak dowodu pozyskania zgody

Zgoda jest oświadczeniem woli, może być wyrażona w dowolny sposób. Jednakże to na administratorze danych spoczywa obowiązek udowodnienia, że uzyskał zgodę. Read More

26 lip

Czy do pełnomocnictwa dla kuriera w celu odbioru zagranicznej paczki trzeba dołączyć kopię dowodu osobistego?

Ostatnio kilka osób zwróciło się do mnie z pytaniem, czy żądanie przez firmy kurierskie kopii dowodu osobistego, aby odebrać paczkę zatrzymaną przez urząd celny, jest zasadne. Co pozytywne, nie przekonało ich, że w oficjalnych procedurach oraz formularzach pełnomocnictwa dla kurierów, jest napisane, że kopia dowodu jest konieczna. Gdy zwracali się do firmy kurierskiej z prośbą o uzasadnienie, dowiadywali się że taka jest procedura po stronie urzędu celnego. Postanowiłam sprawdzić, jak jest i jak być powinno, bo jestem ogromną przeciwniczką nagminnego kopiowania dowodów osobistych przez różne podmioty.

Samo pełnomocnictwo jest oświadczeniem woli osoby, która umocowuję inną osobę do wykonywania w jej imieniu określonych czynności. W niektórych sytuacjach dopuszczalne jest pełnomocnictwo ustne, jednakże zazwyczaj wymagane jest pisemne. Pełnomocnictwo powinno określać strony, tzn. tego kto je nadaje oraz tego kto je otrzymuje, w szczególności ich imiona, nazwiska, adresy, PESEL i/lub numer i serię dowodu osobistego. Dokument, na którym złożony jest odręczny podpis nadającego oświadczenie jest ważny bez żadnych dodatkowych dokumentów.  Wobec tego skąd żądanie firm kurierskich w zakresie kopii dowodu? Na początku myślałam, że to ich własny wymysł (kopiowanie dowodów jest modne), jednakże po konsultacji z jedną z firm, dowiedziałam się, że taką otrzymali informację bezpośrednio z urzędów celnych. Read More

13 lip

Inspektor Ochrony Danych – czy będzie praca?

Wiem, że niecierpliwie czekacie na kolejne wpisy. Dłuższe odstępy między nowymi artykułami to nie efekt mojego lenistwa, tylko lawiny pracy i artykułów (w tym jednego bardzo ciekawego, naukowego, który ukaże się jesienią). Powtarzałam to i będę powtarzać, że w tej branży, dla ludzi pracowitych i zdolny, jest praca i dobre zarobki. Jeżeli interesuje Was ta tematyka ochrony danych osobowych, bezpieczeństwa informacji, ciągłości działania, cyberbezpieczeństwa, naprawdę polecam Wam profesjonalizację w kierunku wykonywania zawodu Inspektora Ochrony Danych. Opierając się na własnych doświadczeniu, mogę Wam powiedzieć, że na rynku jest bardzo mało dobrych specjalistów zajmujących się tematyką ochrony danych osobowych, a znalezienie dobrego administratora bezpieczeństwa informacji, który docelowo będzie ustawowym inspektorem ochrony danych graniczy z cudem. Ja sama współpracuję z trzema specjalistami w tej dziedzinie, gdyż potencjalnych klientów jest tak dużo, że nie jestem w stanie sama zrealizować zleceń, a nie chcę zostawiać ich z niczym. Read More

28 cze

Oświadczenie dotyczące książki rzekomo mojego autorstwa

Być może powinnam traktować to jako symbol sukcesu mojej książki „Ochrona danych osobowych w bibliotece”, jednakże i tak jest mi niezmiernie przykro, że wydawnictwo Medialex,  wydało bez mojej zgody i wiedzy, książkę „Dane osobowe w ośrodkach pomocy społecznej”, tytułując mnie jej autorką. Po interwencji udało się doprowadzić do usunięcia książki z obrotu, jednakże niesmak pozostał.

Książka stanowi luźną interpretację treści przygotowanej przeze mnie pod kątem obowiązków ochrony danych osobowych w bibliotece, przerobioną w sposób, mający rzekomo odpowiadać wymaganiom przepisów o ochronie danych osobowych, które mają spełnić ośrodki pomocy społecznej. Ponieważ trafił do mnie jeden egzemplarz, mogę stwierdzić, że niestety były to zabiegi nieudane, które sprawiły, że książka pod wieloma względami wprowadza w błąd (po przeróbkach znalazły się tam rozbieżności w definicjach, a treści, które były istotne, ale nie dało się ich „przerobić” po prostu zostały wycięte). W mojej ocenie książka wprowadza w błąd, a administrator danych, który będzie próbował na jej podstawie wdrożyć dokumentację bezpieczeństwa, nie zrobi tego poprawnie, chociażby dlatego, że zabrakło (najważniejszej!) identyfikacji zasobów chronionych, która jest niezbędna do wypełniania obowiązku zapewnienia rozliczalności danych (o rejestrze czynności przetwarzania, powierzaniu, czy udostępnianiu danych już nie wspomnę).

Pragnę podkreślić, że książka „Dane osobowe w ośrodkach pomocy społecznej” jest bezprawnym wykorzystaniem mojego dzieła, stanowi naruszenie moich praw autorskich i nie biorę żadnej odpowiedzialności za jej treść oraz ewentualne negatywne konsekwencje wynikające z jej zastosowania. Cała treść mojego rzekomego autorstwa stanowi plagiat innej książki, w którym wydawca zastosował nieautoryzowane zmiany.

 

25 cze

Kiedy zwycięzca konkursu musi podać PESEL w celu odbioru nagrody (aktualizacja)

To już trzecia aktualizacja wpisu (marzec 2019) nie wykluczam, że treść będzie wymagała za rok kolejnej aktualizacji.

Zakres danych zbieranych od uczestnika konkursu powinien być adekwatny i uzasadniony do celu przetwarzania. Co do zasady organizator konkursu nie powinien od razu prosić uczestników o wszystkie dane, niezbędne nie tylko do realizacji konkursu, ale także do wydania nagród. Trudno uzasadnić zbieranie danych adresowych wszystkich uczestników, jeżeli nagrody zostaną wysłane tylko do laureatów. W związku z tym, organizując konkurs, należałoby: Read More

08 cze

Czym są standardy kontroli zarządczej?

Ponownie gościnie, publikuję artykuł Łukasza Wojciechowskiego (Statuo.pl) na temat kontroli zarządczej. Moim zdaniem tekst bardzo dobry, konkretny i pomocny.  Łukasz jest świetnym wykładowcą i trenerem, z którym miałam przyjemność współpracować, a czytelnikom mojego bloga oferuje 10% zniżki na wszystkie usługi (w tym szkolenia z kontroli zarządczej). Wystarczy podać informację, że poleciłam Wam kontakt 🙂

Autor: Łukasz Wojciechowski

Osoby odpowiedzialne za kontrolę zarządczą często zadają sobie pytanie – czego oni tak naprawdę od nas chcą? Trudno się dziwić. Opisywałem już błędy podczas wprowadzania (narzucania podmiotom) mechanizmów kontroli zarządczej w artykule Kontrola zarządcza – fakty i mity. Nie wszyscy wiedzą, że 16.09.2009 r. Minister Finansów określił w specjalnym komunikacie tzw. standardy kontroli zarządczej. Warto zwrócić uwagę na ten dokument i się z nim zapoznać. W tekście omówię jego najważniejsze elementy. Read More

26 maj

Organizowanie konkursów – kompleksowe omówienie, nie tylko w kontekście RODO

Konkursy to jedna z najpopularniejszych metod na promocję podmiotu lub marki. Konkursy często robione są „na szybko”, co może pociągać za sobą negatywne konsekwencje dla organizatora, jeżeli nie zabezpieczył właściwie swojego interesu. Omówię organizowanie w kontekście szerszym niż ogólne rozporządzenie o ochronie danych osobowych (RODO), mając nadzieję, że będzie to dla Was bardziej wartościowe i łatwiejsze do wykorzystania, gdyż kompleksowe.

Konkurs czy loteria?

Mówiłam o pułapkach, pierwszą z nich jest organizowanie konkursu, który w praktyce okazuje się loterią. Bardzo ciekawy artykuł na ten temat, szeroko omawiający zagadnienie, jest tutaj. Ja natomiast powiem krótko: Konkurs wyróżnia to, że jego uczestnicy muszą wykazać się obiektywnie ocenionymi umiejętnościami, które można uznać za najlepsze (a tym samym nagrodzić w konkursie). Konkurs, w którym wszyscy wygrywają albo losuje się nagrody z dostępnej puli, nie jest konkursem tylko loterią. Loteria nie jest niczym złym, jednakże wymaga dopełnienia większej liczby formalności (zgłoszenie organom celnym), których niedopełnienie może pociągać nieprzyjemne konsekwencje, w szczególności kary finansowe. Read More