Author Archives: Sylwia Czub

15 wrz

„Zrób sobie test równowagi”

Muszę podzielić się moją konsternacją, związaną z sięganiem po przesłankę prawnie uzasadnionego interesu administratora, jako podstawy przetwarzania danych osobowych. Od pewnego czasu coraz częściej słyszę, że jeśli administrator chce zbierać dane, ale brakuje mu przesłanki legalizującej, może to zrobić w oparciu o swój prawny interes i że wystarczy „dorobić test równowagi”. Widzę, że takie stanowisko pojawia się też na forach internetowych. Często przy okazji dyskusji o uzyskiwaniu zgody na przetwarzanie. Po co brać niewygodną i nielubianą zgodę, skoro można skorzystać z prawnie uzasadnionego interesu? Logiczne, prawda?

Zastanawiam się skąd wzięło się przekonanie, że jest to podstawa przetwrzania, po którą łatwo sięgnąć i właściwie do skorzystania z niej, wystarczy „uzasadnienie” w postaci testu równowagi?

Wiem, że jeśli pracuje się w branży, brakuje czasu na wszystko. Sama ciągle, ledwo wyrabiam na zakrętach, a urlop jest mglistym wspomnieniem z zeszłego roku. Jednak wydaje mi się, że skupiając się na pracy i problemach u administratorów, nie potrafimy wygospodarować sobie czasu na czytanie literatury branżowej, czy chociaży opinii i wytycznych EROD. Zresztą wielu moich znajomych mówi wprost, że te wytyczne są zbyt obszerne, a oni nie mają na to czasu. I rozumiem to doskonale, bo ja też go nie mam i skłamałabym mówić, że czytam je od deski do deski. Jednak mam zasadę, że jeśli coś robię (np. test równowagi, ocenę skutków, analizę ryzyka, itp.), to najpierw poświęcam chwilę, żeby sprawdzić, czy „coś się zmieniło w podejściu”, a także wytyczne, jak to zrobić. Mimo, że robiłam to wiele razy. I hej, bardzo często okazuje się, że koleżanki i koledzy z branży napisali coś pomocnego, co ułatwia mi pracę lub pomaga lepiej zrozumieć dane działanie (tak, jak też cały czas się uczę, czasami tych samych rzeczy na nowo). Wytyczne EROD uwielbiam, bo jest tam bardzo dużo przykładów, a także dlatego, że rada lubi stawiać sobie pytania. Dokładnie takie, jak my sobie stawiamy (zapewne wynika to z konsultacji treści opinii). W związku z tym znajduję nie tylko odpowiedź, ale też uzasadnienie odpowiedzi na moje pytania.

Dobra, ale do brzegu. Nie lubię zgody na przetwarzanie danych. Jednak nie zastępuję jej z automatu prawnie uzasadninym interesem. Zresztą w Opinii dawnej GR 29 nr 06/2014 w sprawie pojęcia uzasadnionych interesów administratora danych zawartego w art. 7, wprost wskazano, że art. 6 uat. 1 lit. f RODO „nie należy traktować jako ostateczności na wypadek rzadkich lub nieoczekiwanych sytuacji, kiedy to uznaje się, że inne podstawy legalnego przetwarzania danych nie mają zastosowania. Nie należy jednak wybierać tego przepisu automatycznie ani nadmiernie rozszerzać jego stosowania w przekonaniu, że jest on mniej ograniczający niż inne podstawy” (s.3). Test równowagi służy ocenie, czy prawnie uzasadnione interesy ADO są aktualne, uzasadnione i przeważają prawa i wolności osób. Zatem test powinien być zrealizowany przed przetwarzaniem w oparicu o prawny interes ADO, a nie jako uzasadnienie do tego działania. Zresztą w dalszej części opinii wskazano, że art. 6 ust. 1 lit. f RODO „jest czasem błędnie postrzegany jako „otwarta furtka” legitymizująca wszelkie przetwarzanie danych, do którego nie ma zastosowania którakolwiek inna podstawa prawna” (s. 6). I mam wrażenie, że właśnie z takim podejściem spotykam się coraz częściej.

Read More
17 lip

Łatwiejszy transfer danych do USA

Tak, doczekaliśmy się kolejnych ram ochrony prywatności dla transferów danych do USA. Mieliśmy już SaveHarbours oraz PrivacyShield, teraz czas na Data Privacy Framework. O co chodzi? W Amerykańskim prawie wprowadzono zmiany, które pozwalają (w opiniii Komisji UE) zapewnić odpowiedni stopień ochrony dnaych osobowych przesyłanych do USA. Ale, ale. Diabeł tkwi w szczegółach.

Read More
31 maj

Dlaczego wyrok NSA w sprawie Morele.net jest ważny?

Nie, wcale nie dlatego, że teraz nie trzeba obawiać się kar, bo da się je obalić w sądzie. To tak nie działa. I pokazują to statystyki, zgodnie z którymi jednak w większości przypadków (ale nie zawsze) sądy administracyjne podtrzymują decyzje organu w z zakresie nałożenia kary. Ale dlaczego tym razem stało się inaczej? Czyżby firma została potratktowa za ostro? Może kara była za wysoka?

Read More
21 kwi

AI pomaga oszustom w cyberatakach

Dzisiaj nietypowo, o nowej formie cyberoszustwa, przez którą znajomy ze Stanów o mało nie stracił 10 tysięcy. Zadzwoniła do niego z nieznanego numeru, jego córka. Nie było wątpliwości, że głos należał do niej. Powiedziała, że ma problemy i potrzebuje jego pomocy. Jest z nią adwokat, z którego telefonu dzwoni i który może jej pomóc, ale trzeba mu zapłacić. W tym momencie rozmowę przejął adwokat, który bardzo profesjonalnym głosem opowiedział o konflikcie z prawem córki, a także że może jej pomóc, ale po wcześniejszym otrzymaniu wynagrodzenia. Przesłał wiadomość z danymi do przelewu.

Znajomy zgłosił do banku konieczność zwiększenia limitu w koncie, aby zrobić przelew (tak w Stanach robią to przez telefon, nie ogarniają Internetu :-P). W międzyczasie próbował jeszcze zadzwonić do córki, jednak nie odbierała. Adwokat pośpieszał sms-ami do zrobienia przelewu. Twierdził, że córka jest teraz na przesłuchaniu, dlatego nie odbiera.

Read More
17 mar

Czy trzeba upoważniać do przetwarzania danych w związku z badaniem trzeźwości?

Tak, badanie trzeźwości będzie nową czynnością przetwarzania. W związku z tym niezbędne będzie uwzględnienie jej w rejestrze czynności przetwarzania (RCP), a także upoważnienie osób, które będą brały udział w procesie.

Możesz skorzystać z przykładowego wzoru upoważnienia:

Upowaznienie-badanie-trzezwosciPobierz

Wynika to z faktu, że badanie trzeźwości nie stanowi obowiązku pracodawcy. Podobnie jak monitoring wizyjny, jest wprowadzane w zakładzie pracy tylko wtedy, gdy jest niezbędne do zapewnienia ochrony życia i zdrowia pracowników lub innych osób lub ochrony mienia, pracodawca może wprowadzić kontrolę trzeźwości pracowników (art. 22^1c Kodeksu pracy).

Tym samym, należy uznać, że przesłanką legalizującą przetwarzanie będzie prawnie uzasadniony interes administratora (art. 6 ust. 1 lit. f RODO) i konieczność wypełnienia obowiązków i wykonywania szczególnych praw przez pracodawcę w dziedzinie prawa pracy (art. 9 ust. 2 lit. b RODO), zgodnie z przepisami kodeksu pracy (art. 6 ust. 1 lit. c RODO).

Read More
14 lut

Czy w jednostce wojskowej obowiązuje ochrona danych osobowych?

Ustawa o obronie ojczyzny wyłącza stosowanie przepisów RODO, w zakresie odnoszącym się do działań na rzecz obronności. W praktyce często słyszę, że w wojsku ochrona danych osobowych nie obowiązuje, skoro jest wyłączone spod przepisów RODO. I jest to całkowicie mylne stwierdzenie, które prowadzi jedynie do wniosku, że osoby, które tak twierdzą, kompletnie nie znają przepisów pod rygorami, których muszą działać.

Oczywiście, że mamy przepisy szczególne, które wyłączają stosowanie RODO. Odnosi się to w szczególności do przetwarzania danych osobowych na potrzeby zapobiegania i zwalczania przestępczości, ochrony informacji niejawnych, czy przetwarzania danych przez sądy. W każdym z tych przypadków wyłączenie stosowania przepisów RODO, oznacza jedynie, że zasady ochrony tych danych regulują przepisy szczególne. Świetnym przykładem są informacje niejawne, które z oczywistych względów nie mogą podlegać przepisom RODO, ale jednocześnie można stwierdzić, że ich ochrona jest o wiele bardziej rygorystyczna, niż danych osobowych. A zasady tej ochrony wynikają z ustawy o ochronie informacji niejawnych. Czyli przepis szczególny w tym wypadku wyłączył stosowanie RODO, ustanawiając własne zasady ochrony danych osobowych.

Read More
30 sty

Kiedy otrzymam odpowiedź na zgłoszenie naruszenia ochrony danych do PUODO?

Odpowiedź jest bardzo prosta: nigdy. Zgłoszenie naruszenia jest czynnością techniczną, na którą Prezes UODO nie ma obowiązku odpowiadać. Jedyną informacją zwrotną może być urzędowe poświadczenie odbioru, jeśli przekazałeś zgłoszenie drogą elektroniczną. Wynika to z faktu, że zgłoszenie naruszenia nie odbywa się w trybie Kodeksu Postępowania Administracyjnego [KPA], tzn. nie powoduje wszczęcia postępowania z urzędu. Jest to bardzo ważne, bo postępowania wiążą się z określonym formalizmem, także w zakresie dotrzymania przez strony postępowania określonych terminów. Szczerze mówiąc – przy aktualnych zasobach i braku automatyzacji procesu analizy naruszeń, konieczność wszczynania postępowań administracyjnych doprowadziłaby do totalnego paraliżu Urzędu Ochrony Danych Osobowych.

Read More
30 gru

Czy przekazanie danych do zniszczenia, wymaga ich powierzenia?

Na początku uspokoję wszystkich, którzy pytają się, czy u mnie wszystko w porządku. Tak, po prostu listopad był jak armagedon, a w grudniu poszłam na urlop. Prawdziwy urlop, bez komputera oraz telefonu. W efekcie zniknęłam na prawie dwa miesiące z Internetu (bloga, mediów społecznościowcy).

A wracając do kwestii niszczenia dokumentów – jest to coraz popularniejsza usługa. Firmy niszczące dokumenty zazwyczaj pracują w oparciu o proste zlecenie na jednostronnym formularzu, w którym określa się ilość (masę, liczbę stron, rodzaje nośników, itp.) do zniszczenia, a także sposób potwierdzenia zniszczenia dokumentów. Po wykonaniu usługi, klient otrzymuje certyfikat zniszczenia dokumentów. Czasami usługa jest świadczona w biurze klienta – dla odpowiedzi na pytanie, jak mają się przepisy RODO do procesu niszczenia dokumentacji, miejsce wykonania usługi nie ma znaczenia.

Niszczenie danych osobowych jest przetwarzaniem danych, w rozumieniu definicji przetwarzania z art. 4 RODO. Tym samym jeżeli administrator niszczy dokumenty, dokonuje ich przetwarzania. Jeżeli przetwarzanie danych (niszczenie) będzie wykonywać inny podmiot, będzie to przetwarzanie danych na polecenie administratora w rozumieniu art. 28 RODO. Oznacza to, że jak najbardziej, zlecenie niszczenia dokumentów, wymaga zawarcia umowy powierzenia danych. Czasami w ramach świadczenia usług, firma niszcząca dokumenty zapewnia też, tzw. bezpieczne pojemniki, w których są gromadzone dokumenty, przekazywane następnie do zniszczenia. W takim wypadku powierzenie danych powinno obejmować także przechowywanie tych danych.

Read More
16 paź

Kiedy sąd powinien zgłosić do PUODO naruszenie ochrony danych osobowych?

Ustawa o sądach powszechnych wprowadziła sporo zamieszania poprzez wyróżnienie w sądach kilku administratorów. Dodatkową trudność stanowią przepisy o ochronie danych osobowych, które wyłączają spod nadzoru przetwarznie realizowane przez sądy w ramach sprawowania wymiaru sprawiedliwości. W efekcie pojawia się słuszne pytanie – kiedy i komu sąd powinien zgłaszać naruszenie?

Na szkoleniach często jestem pytana w tym kontekście o zagubienie danych związanych z postępowaniem sądowym (policyjnym, prokuratorskim). Czy takie zdarzenie podlega zgłoszeniu do Prezesa UODO? Przyznaję, że za pierwszym razem, gdy otrzymałam takie pytanie zgłupiałam. W końcu akta sprawy są wyłączone spod przepisów RODO i DODO. Ale z drugiej strony, przecież zdarzenie nie dotyczy samego postępowania, a czynności technicznych związanych z postępowaniem. Często też zwracam uwagę na to, że w przypadku przepisów DODO, art. 3 nie wyłącza całkowicie jego stosowania, a jedynie ogranicza. Zatem tak, zgubienie akt sprawy należy zgłosić do Prezesa UODO. Podobnie jak udostępnienie danych związanych z postępowaniem nieuprawnionej osobie, w związku z niewłaściwym zabezpieczeniem.

W sprawie zabrał ostatnio też głos sam Prezes UODO, publikując opracowanie „Przetwarzanie danych osobowych przez sądy w kontekście zgłaszania naruszeń ochrony danych osobowych”. Jesto ono niestety napisane bardziej jak opinia prawna, niż poradnik. Na szczęście znalazło się tam kilka przykładów, które pomogą Wam ocenić, czy naruszenie wymaga zgłoszenia do Prezesa UODO, a także co zrobić jeśli naruszenie nie podlega zgłoszeniu.

Read More