Nawet najlepsi muszą czasem odpocząć, więc tym razem przy mikrofonie Łukasza Wojciechowskiego zastąpiła Agnieszka Rucińska, która opowiedziała o swojej przygodzie z ochroną danych osobowych i jak to jest stać się specjalistą od RODO z łapanki. Rozmawiamy o początkach, skąd czerpać wiedzę, jakie błędy popełnia się na początku. I po jakim czasie pracy z danymi osobowymi, człowiek zaczyna czuć się pewnie. Read More
Kochani, zaczynając z Łukaszem Wojciechowskim pracę nad kodeksem dla bibliotek, wiedzieliśmy że chcemy to zrobić bardzo kompleksowo, więc będzie to niezłe wyzwanie. Mieliśmy nadzieję, że uda się przed złożeniem do zatwierdzenia przez Prezesa UODO zaprezentować Kodeks na uroczystej konferencji, jednakże covidowa rzeczywistość pokrzyżowała nasze plany. Tworzenie Kodeksu trawało długo, mamy nadzieję, że zatwierdzanie będzie szybsze.
Już dzisiaj możecie pobrać pełną treść naszego Kodeksu dla bibliotek i korzystać z jego treści (POBIERZ).
W dalszym ciągu jesteśmy otwarci na Wasze uwagi dotyczące treści. Przekazujcie je do SBP, które koordynowało dotychczasowe konsultacje społeczne: biuro@sbp.pl.
Kilka słów o Kodeksie
Został opracowany na podstawie przepisów art. 40 RODO, z inicjatywy specjalistów w zakresie ochrony danych osobowych działających na rzecz bibliotek oraz Stowarzyszenia Bibliotekarzy Polskich.
SBP podjęło tę inicjatywę w celu merytorycznego i praktycznego wsparcia bibliotek jako administratorów danych osobowych, dając im wytyczne, jak prawidłowo i skutecznie stosować przepisy RODO. Zawartość Kodeksu była tworzona i konsultowana ze wsparciem środowiska bibliotekarzy w latach 2019-2020.
Kodeks jest skierowany do bibliotek publicznych, w tym działających w ramach ośrodków kultury, pedagogicznych oraz wojskowych. Autorzy uwzględnili różnice wynikające z przetwarzania danych w bibliotekach będących odrębnymi jednostkami, jak i działających w ramach innych jednostek. Kodeks może być wykorzystany także przez inne rodzaje bibliotek.
W ostatim czasie coraz częściej zgłaszacie się do mnie w związku z nieprawidłowym przetwrzaniem Waszych danych. Głównie dotyczy to niezgodnego z prawem upublicznienia danych, gdzie administrator uważa, że miał do tego prawo i odmawia podjęcia działań mających na celu przywrócenie stanu zgodnego z przepisami prawa. W związku z tym pytacie jak i kiedy można złożyć skargę na takiego administratora do Prezesa UODO.
W związku z tym postanowiłam udostępnić Wam przykładowy Wzór skargi do Prezesa UODO wraz z omówieniem.
Poniżej też kilka istotnych informacji w formie Q&A:
Kiedy mogę złożyć skargę?
Jeżeli administrator przetwarza Twoje dane niezgodnie z prawem, np. udostępnił je publicznie lub nieuprawnionej osobie, nie zniszczył, nie respektuje Twojego sprzeciwu na przetwarzanie, itp. Istotne jest to, abyś przed złożeniem skargi skontaktował się z administratorem i zażądał od niego przywrócenia stanu zgodnego z prawem, np. poprzez usunięcie Twoich danych. Jeżeli administrator nie odpowiada na żądanie lub odmawia jego realizacji, zgłoś skargę do UODO. Skargę możesz zgłosić także wtedy, gdy na skutek niewystarczających zabezpieczeń wdrożonych przez administratora Twoje dane zostały usunięte, są niedostępne lub zostały wykradzione. Szczególnie jeżeli w wyniku tego działania poniosłeś negatywne skutki.
Co musi zawierać skarga, aby Prezes UODO jej nie odrzucił?
Twoje dane (imię, nazwisko, adres do korespondencji, może też być jakiś kontakt), dane administratora, na którego składasz skargę (nazwa, adres), jak najbardziej szczegółowy opis nieprawidłowości (jeśli możesz dołącz kopię korespondencji, wskaż daty i treści rozmów), informację jakich działań oczekujesz od Prezesa UODO (o tym więcej poniżej). W przypadku wersji wysyłanej pocztą tradycyjną, skarga musi zawierać własnoręczny podpis. Skargę elektroniczną podpisuje się podpisem kwalifikowanym lub ePUAP.
Czego mogę zażądać w skardze?
Większość skarżących prosi o nałożenie kary pieniężnej na administratora 🙂 Jednak UODO niestety nie będzie mogło zrealizować tego żądania – to leży w jego gestii i jest ostatecznym działaniem, podejmowanym po przeprowadzeniu postępowania. Jeżeli nie wskażesz innego żądania, organ może wezwać Cię do uzupełnienia wniosku. Możesz zażądać nakazania przez Prezesa UODO: Read More
Czas na wakacyjny luz i pogadankę o wakacyjnych przygodach związanych z przetwarzaniem danych, które nas spotkały. Mówimy o tych zabawnych, dziwnych i smutnych. Ponoć najlepiej jest uczyć się na swoich błędach, więc my dajemy Wam dobrą lekcję na podstawie naszych 🙂 Read More
Czy RODO zdało egzamin? Może lepiej jest nie wdrożyć nic, bo wtedy problemu nie ma? Luźna dyskusja o naszych doświadczeniach, pracy, praktyce. Czy mało kar, sprawia że administratorzy czują się bezkarni? Co warto byłoby naprawić/dodać do RODO?
Nawiązujemy do:
„żeby nie było niczego”: https://www.youtube.com/watch?v=F9Q5D8hsEgM
Zestawienie kar pieniężnych nakładanych przez europejskie organy nadzorcze: www.enforcementtracker.com/
Na jakiej zasadzie UODO nakłada kary pieniężne? https://uodo.gov.pl/pl/138/1244
Kodeks RODO dla bibliotek: http://www.sbp.pl/artykul/?cid=22103&prev=1
Po niefortunnych moim zdaniem wytycznych MKiDN dotyczących obowiązku uzyskiwania informacji o stanie zdrowia, dostaję od Was bardzo dużo pytań, czy faktyczne można to robić i jak to robić. Na temat legalności tego działania wypowiadałam się we wcześniejszym wpisie, tym razem pomogę Wam rozwiązać problem w praktyce.
Wieloktronie wypowiadałam się, że najlepszym i najprostszymy rozwiązaniem jest wprowadzenie zasad dotyczących udziału w wydarzeniu lub pracy stacjonarnej. Zgodnie z zaleceniami GIS osoby, należy zapewnić, aby takie osoby były zdrowe i nie miały styczności z osobami chorymi, co oczywiście ma sens, bo minimalizuje ryzyko rozprzetrzeniania się koronawirusa. Read More
Czy upoważnienie ma znaczenie? Jaką musi mieć formę i czy osoba upoważniona musi potwierdzić jego otrzymanie? Kto może je nadawać i czy administrator także musi siebie upoważniać? O praktycznych aspektach upoważniania do przetwrzania danych dyskutują z przymrużeniem oka Sylwia (sylwia czub bloguje o danych osobowych) oraz Łukasz (statuo). Read More
W ostatnim czasie wrócił ze zdwojoną siłą temat postępowania przez przedsiębiorców i podmioty publiczne w związku z powrotem do pracy stacjonarnej. Ponieważ będę go omawiać w kontekście przepisów RODO, ogólnie będę określać te podmioty, jako administratorów 🙂 Poniżej przedstawiam moją subiektywną interpretację, a także rozwiązania, które moim zdaniem są najlepsze.
Zacznę może od tego, że w ostatnim czasie bardzo dużo różnych podmiotów publikuje zalecenia dotyczące określonych zasad postępowania. Łatwo jest pogubić się w nich wszystkich, tym bardziej, że czasami są one ze sobą sprzeczne lub stoją w oczywistej opozcyji z przepisami RODO. Punktem wyjścia powinna być dla Was tzw. specustawa o COVID-19 (czyli ustawa o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych). Przepis ten ma bezpośredni wpływ na sposób przetwarzania danych przez administratorów, jeżeli zajdą określone w nim warunki. Po pierwsze art. 11 specustawy daje wojewodom, ministrowi zdrowia oraz premierowi uprawnienie do wydawania administratorom wiążących poleceń, także w zakresie sposobów przetwrzania danych. Takie polecenie jest wydawane w postaci decyzji opublikowaniej w BIP organu lub dostarczane indywidualnie administratorowi (w zależności od tego, czy dotyczy ogółu, czy konkretnego podmiotu). Administrator, który otrzyma takie polecenie, jest zobligowany je zastosować. I tu tadam! Czy zastanawialiście się dlaczego w szpitalach wprowadzono bezwzględny nakaza mierzenia wszystkim temperatury? Wcale nie był to wynik analizy ryzyka, ale właśnie działanie na polecenie wojewody. Jakiś czas temu poszczególni wojewodowie wydali decyzje w tym zakresie obowiązujące podmioty lecznice. I wówczas, podmioty te były zobligowane do wprowadzenia mierzenia temperatury ciała (spełniony jest warunek z art. 9 ust. 2 lit. i RODO).
Na tej samej zasadzie, zgodnie z art. 17 specustawy o COVID-19 polecenia administratorom może wydawać GIS oraz wojewódzki inspektor sanitarny mogą wydawać decyzje wiążące administratorów. Dodatkowo zgodnie z zalecenia opublikowane przez GIS także administrator może przywołać, jako podstawę do podjęcia pewnych działań. Read More
Tym razem omawiamy kwestie technicze i formalne związane z prowadzeniem szkoleniem online, a także to jak nam to wychodzi, jak robić ćwiczenia online i o innych ciekawych trikach 😉
Upoważnienie, czy powierzenie danych? Ten temat od pewnego czasu przewija się w moich rozmowach z klientami. Biorąc pod uwagę aktualny rynek pracy oraz to, że w wielu firmach dostęp do danych mają osoby prowadzące jednoosobowe działalności gospodarcze, a zatem nie będące pracownikami, należy w firmie przyjąć jednolitą procedurę postępowania. Osobiście jestem zwolenniczką umowy powierzenia i co do zasady takie rozwiązanie stosuję w relacjach biznesowych z moimi klientami, jednakże dla wielu administratorów to rozwiązanie jest dość problematyczne. Tym bardziej, że osoby samozatrudnione bardzo niechętnie podchodzą do kwestii zawarcia powierzenia, czasami stwierdzając wprost, że nie zgadzają się na takie rozwiązanie.
I naprawdę w wielu przypadkach jest to uzasadnione.