Sylwia Czub – Strona 8 – Sylwia Czub bloguje o danych osobowych

13 paź

Co zrobić, gdy pracownicy nie zgłosili ADO oraz IOD naruszenia?

Pracownicy wiedzieli o naruszeniu, ale mi go nie zgłosili. Gdy dowiedziałam się o nim z innego źródła, byli na mnie źli, że się czepiam, co robić? Takie pytanie dostałam od koleżanki z branży, która oczywiście bardzo się zestresowała sprawą, bo jest zaangażowana, pewnie jak większość z nas, w swoje obowiązki. I zdenerwowała się tym, że pracownicy przy naruszeniu ochrony danych, po prostu zamietli wszystko pod dywan.

Smutna prawda jest taka, że może to spotkać prędzej czy później każdego inspektora. Najgorzej jest wtedy, gdy zangażujemy się zbyt mocno, za bardzo się staramy, zaczynamy myśleć o administratorze danych i jego organizacji, tak jakby to były nasze dane, jakby to była nasza odpowiedzialność. Pamiętajcie jako Inspektorzy Ochrony Danych, tak naprawdę odpowiadacie za monitorowanie zgodności, i to administrator danych ma Was włączać we wszystkie procesy przetwarzania, to pracownicy są zobligowani do tego, żeby Was poinformować o naruszeniu. Jeżeli pracownicy nie wywiązali się ze swojego obowiązku, schowali sprawę pod dywan, zamknęli ją w szafie, wiedzieli, że jest naruszenie, ale udawali że nic się nie stało, to w tym momencie nie ma sensu się stresować, nie ma sensu też na nich się denerwować . To nie jest Wasz problem.

Read More →

08 paź

Szkolenie: Powierzenie, współadministrowanie, udostępnienie zgodnie z RODO – jakie warunki należy spełnić, jak uniknąć pułapek

Przekazywanie danych innemu podmiotowi nie należy do najprostszych. Współadministrowanie danymi po ostatnich wyrokach TSUE może spędzić sen z powiek. Jak prawidłowo i skutecznie powierzać, udostępniać i współadministrować danymi możecie dowiedzieć się ze szkolenia online, które poprowadzę w przyszłym tygodniu. Oczywiście będzie praktycznie i bardzo ciekawie

Szkolenie online odbędzie się 15.10.2020 r.

Rejestracja na szkolenie: https://wiedza.pkn.pl/web/szkolenia/powierzenie-wspoladministrowanie-udostepnienie-zgodnie-z-rodo-jakie-warunki-nalezy-spelnic-jak-uniknac-pulapek

Read More →

07 paź

Czy należy żądać potwierdzenia zapoznania się z klauzulą informacyjną?

Z cyklu krótkie pytanie, krótka odpowiedź: Czy mogę żądać od osoby, której dane dotyczą oświadczenia, że zapoznała się z treścią klauzuli informacyjnej, a także że akceptuje jej treść?

Zgodnie z artykułem 13 oraz 14 RODO, nie mogę tego robić, ponieważ te przepisy prawa wyraźnie wskazują na to, że jest to obowiązek informacyjny (administrator podaje osobie, której dane dotyczą inforamcje o przetwarzaniu jej danych). Po stronie administratora leży tylko i wyłacznie przekazanie klauzuli informacyjnej. Natomiast nie może zmusić osoby, której dane dotyczą do tego, żeby podpisała się pod tym, że zapoznała się z klauzulą. I w żadnym wypadku nie może wymagać, aby oświadczyła, że akceptuje jej treść. Zresztą, jak można mówić o akceptacji, gdy trudno jest mówić o dobrowolności. W żadnym wypadku nie możemy w ten sposób sformułować żądania.

Read More →

05 paź

Ci od RODO: Zawiadomienie osób, których dotyczy naruszenie

Chyba nie ma bardziej stresującej sytuacji dla administratora oraz IOD, niż naruszenie ochrony danych. Szczególnie, gdy ryzyka związane z negatywnymi skutkami dla osób, których dane dotyczą okazują się wysokie i niezbędnie jest nie tylko zgłoszenie do naruszenia do Prezesa UODO, ale także zawiadomienie osób, których dotyczy naruszenie. W tym odcinku będzie o tym, w jakiej formie to zrobić i jak udokumentować. I oczywiście dużo przydatnych porad, opartych na doświadczeniach Tych od RODO.

Odcinek 21 zamyka cykl naszych podcastów (można powiedzieć, że zagraliśmy w oczko). To był świetny rok wspólnej pracy i rozmów o ochronie danych osobowych w praktyce. Cieszę się, że miałam zaszczyt dyskutować z tak świetnym specjalistą, jak Łukasz Wojciechowski i cieszę się na przyszłe, kolejne projekty.

Read More →

29 wrz

Czy można audytować podmiot podprzetwarzający?

Dostałam pytanie od znajomego z Facebooka: Czy administrator może skontrolować podmiot podprzetwarzający, czyli ten któremu podmiot przetwarzający podpowierzył nasze (administratora) dane osobowe?

Oczywiście odpowiedź brzmi TAK, bo skoro z artykułu 28 RODO wynika że możecie audytować podmiot przetwarzający i że on musi być w stanie wykazać wam, jako administratorom, że przetwarza powierzone mu dane zgodnie z umową i przepisami o ochronie danych osobowych, tym bardziej będzie to obejmowało wszelkie podmioty podprzetwarzające. Powstaje tylko pytanie jak powinien odbyć się taki audyt? Czy powinniśmy go realizować poprzez podmiot przetwarzający, czy może zrealizować go samodzielnie? Jak najbardziej, możemy także dokonać audytu podmiotu podprzetwarzającego samodzielnie, np. składając mu wizytę w jego siedzibie. Natomiast w praktyce pewnie najczęściej będzie to realizowane poprzez podmiot przetwarzający, który np. udzieli nam odpowiednich oświadczeń, wyjaśnień, dokumentów, dowodów w sprawie w imieniu swoim, ale także podmiotu podprzetwarzajacego, aby wykazać zgodność przetwarzania z zawartą umową oraz przepisami o ochronie danych osobowych.

Cykl krótkie pytanie, szybka odpowiedź jest dostępny w formie jedno minutowych filmików na mojej stronie na Facebooku.

07 wrz

Ci od RODO: Naruszenia RODO w praktyce

Trudno uwierzyć, że to już rok, od kiedy nagrywamy podcasty o ochronie danych osobowych. Pierwszy podcast dotyczył kar nakładanych na podstawie RODO, ponieważ zatoczyliśmy koło, przyszła pora na naruszenia. Kiedy zgłaszać. Czy na pewno zgłaszać, a jeśli się zgłosi, jaka jest szana na to, że będzie z tego kontrola. Nasze przemyślenia i doświadczenia. Parę też praktycznych porad, jak szacować ryzyko naruszenia.

Read More →

04 wrz

Zleceniobiorca – upoważnienie czy umowa powierzenia?

Dość często spotykam się z dylematem, czy osoby realizujące zadania w oparciu o umowy cywilnoprawne powinny mieć dostęp do danych osobowych na podstawie umowy powierzenia, czy na podstawie upoważnienia. Szczególnie, że czasami mogą to być osoby fizyczne, które realizują zlecenie w ramach prowadzonej działalności gospodarczej.

Stoję na stanowisku, że jeżeli zleceniobiorca realizuje zadania osobiście, wystarczy upoważnienie do przetwarzania danych. W przypadku przedsiębiorcy istotne dla mnie też jest to, czy korzysta on z infrastruktury administratora, czy z własnej (swoje biuro, komputer, własny e-mail). Jeżeli jest zupełnie niezależny, np. firma szkoleniowa, która obsługuje kilka firm i korzysta z własnych narzędzi, właściwsze może być zawarcie umowy powierzenia. Szczególnie, gdy korzysta ona tylko ze swoich narzędzi i swojej poczty e-mail. Read More →

24 sie

Ci od RODO: Dramy w pracy inspektora ochrony danych

Praca IOD to nie bajka. Raz jest z górki, raz pod górkę. Czasami trzeba najeść się wstydu, czasami robi się coś tylko po to, aby dowiedzieć, że jest to kompletnie niepotrzebne. Zdarza się też, że niektórym puszczają nerwy. O największych dramach w dotychczasowej zawodowej opowiada Sylwia Czub-Kiełczewska, która jak wiadomo, ochroną danych osobowych zajmuje się totalnie z przypadku 🙂 Read More →

17 sie

Uchylenie Tarczy Prywatności a fanpage na Facebooku

Od kilku tygodni moi klienci oraz czytelnicy bloga zasypują mnie pytaniami „co dalej z fanpage na Facebooku?”. Wyrok Schrems II (sprawa C-311/18) w wyniku, którego TSUE unieważnił porozumienie Tarcza Prywatności UE-USA, na którym opierało się większość transferów danyc do USA, sprawił że z dnia na dzień korzystanie z usług najpopularniejszych dostawców IT stało się nielegalne. EROD w swoich wytycznych, dla administratorów doradził, aby negocjować zmianę warunków umów z dostawcami. To oczywiście ma sens, gdy ma się pozycję negocjacyjną. Ostetecznie pozostało pytanie: jak żyć?

Read More →

11 sie

Klauzula informacyjna do osób dodanych do bazy PR

Być może pamiętacie pierwszą karę pieniężną nałożoną przez Prezesa UODO? Chodziło o niezrealizowanie obowiązku informacyjnego wobec osób, które zostały dodane do bazy danych administratora, gdzie dane pozyskał on z ogólndostępnych źródeł, jak strony internetowe, CEiDG, czy KRS. Istotne w sprawie jest to, że administrator nie potrzebował w tym wypadku zgody tych osób, bo cel nie był marketingowy, a informacyjny (możliwość sprawdzenia takiego przedsiębiorcy w jednej bazie).

Organ nadzorczy zwrócił uwagę, że nawet jeżeli nie potrzebujemy zgody na przetwarzanie, to osoba, której dane dotyczą ma prawo wiedzieć o tym, że mamy jej dane i co z nimi robimy. Chociażby po to, by móc się sprzeciwić na takie działanie. Za niewypełnienie obowiązków informacyjnych, ostecznie nałożono prawie 1 mln zł kary. Read More →