Category Archives: Wpisy z 2017 roku

26 maj

Organizowanie konkursów – kompleksowe omówienie, nie tylko w kontekście RODO

Konkursy to jedna z najpopularniejszych metod na promocję podmiotu lub marki. Konkursy często robione są „na szybko”, co może pociągać za sobą negatywne konsekwencje dla organizatora, jeżeli nie zabezpieczył właściwie swojego interesu. Omówię organizowanie w kontekście szerszym niż ogólne rozporządzenie o ochronie danych osobowych (RODO), mając nadzieję, że będzie to dla Was bardziej wartościowe i łatwiejsze do wykorzystania, gdyż kompleksowe.

Konkurs czy loteria?

Mówiłam o pułapkach, pierwszą z nich jest organizowanie konkursu, który w praktyce okazuje się loterią. Bardzo ciekawy artykuł na ten temat, szeroko omawiający zagadnienie, jest tutaj. Ja natomiast powiem krótko: Konkurs wyróżnia to, że jego uczestnicy muszą wykazać się obiektywnie ocenionymi umiejętnościami, które można uznać za najlepsze (a tym samym nagrodzić w konkursie). Konkurs, w którym wszyscy wygrywają albo losuje się nagrody z dostępnej puli, nie jest konkursem tylko loterią. Loteria nie jest niczym złym, jednakże wymaga dopełnienia większej liczby formalności (zgłoszenie organom celnym), których niedopełnienie może pociągać nieprzyjemne konsekwencje, w szczególności kary finansowe. Read More

15 maj

RODO: nowe obowiązki informacyjne wobec podmiotu danych

Wraz z wejściem unijnych przepisów rozszerza się katalog praw osób, których dane dotyczą (podmiotów danych). Przede wszystkim RODO podkreśla prawo do przejrzystego i jasnego komunikowania o zasadach przetwarzania danych. Poza tym podmiot danych może w każdej chwili żądać wyczerpujących informacji na temat przetwarzania swoich danych, ich sprostowania, usunięcia (o ile nie stoi to w sprzeczności z przepisami prawa), zaprzestania przetwarzania (jeżeli jest to uzasadnione), przeniesienia lub ograniczenia przetwarzania. Administrator danych ma obowiązek w momencie pozyskiwania danych wypełnić obowiązek informacyjny wynikający z przepisów o ochronie danych osobowych wobec każdej osoby, której dane pozyskał.

Oznacza to, że obowiązek informacyjny należy wykonać zarówno wtedy, gdy pozyskujemy zgodę na przetwarzanie danych, ale także gdy dane są przetwarzane na podstawie innych przesłanek, np. przepisów prawa, dla dobra publicznego, czy zostały udostępnione ADO. Obowiązek informacyjny można wypełnić poprzez umieszczenie odpowiednich informacji bezpośrednio w treści zgody na przetwarzanie danych, w regulaminie usługi, czy poprzez wysłanie maila. Należy to zrobić tak, aby być w stanie udowodnić, że faktycznie został wypełniony. Read More

10 maj

RODO: rozszerzona zgoda na przetwarzanie danych osobowych

Ogólne rozporządzenie o ochronie danych osobowych (RODO) kładzie duży nacisk na prawa osób, których dane dotyczą (podmiotów danych). Przede wszystkim wymaga rozszerzenia obowiązku informacyjnego, w taki sposób, aby było od razu wiadomo jak długo będą przetwarzane dane, komu przekazywane i jakie prawa przysługują podmiotowi danych. Obowiązek informacyjny omówię w kolejnym wpisie, na razie skupię się na samym obowiązku i sposobie pozyskiwania zgody na przetwarzanie danych osobowych.

Forma wyrażenia zgody

Sama definicja zgody nie uległa dużej zmianie:  jest to dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych (art. 4 ust. 11 RODO). Pozostawiono możliwość pozyskania ustnej zgody, dodatkowo podkreślono, że może być ona uzyskiwana elektronicznie (np. poprzez zaznaczenie odpowiednich okienek). Należy pamiętać, że w przypadku pozyskiwania zgody w innej formie niż pisemna, to na administratorze danych osobowych będzie ciążył obowiązek udowodnienia, że została ona pozyskana, a nie dorozumiana. RODO określa wprost: Milczenie, okienka domyślnie zaznaczone lub niepodjęcie działania nie powinny oznaczać zgody (ust. 32 preambuły).Takim dowodem może być na przykład film z wydarzenia, przed którym uczestnicy zostaną zapytani o zgodę na przetwarzanie ich danych. Read More

23 kwi

Ochrona danych osobowych a dostęp do informacji publicznej

Dostęp do informacji publicznej jest dzisiaj palącym problemem dla wielu instytucji publicznych (szczególnie urzędów) lub realizujących zadania publiczne, które po pierwsze są zasypywane pytaniami w tym trybie, po drugie nie wiedzą jak sobie z nimi radzić. Moja ogólna uwaga do zagadnienia i zalecenie jest takie, aby wprowadzić w swoim podmiocie procedurę postępowania z zapytaniem i udzielania odpowiedzi w trybie dostępu do informacji publicznej. Moje doświadczenie, wynikające z przeprowadzania audytów w instytucjach publicznych, jest takie, że pracownicy tych podmiotów zupełnie nie wiedzą, co robić z pytaniami o informację publiczną. Zazwyczaj jest w takim podmiocie wąskie grono osób, które mają właściwą wiedzę i potrafią udzielić odpowiedzi, jednakże szeregowi pracownicy, do których takie pytania są kierowane, nie wiedzą co z nimi robić. Podczas audytów stwierdziłam, że gdy do pracownika instytucji publicznej przychodzi e-mail z pytaniem w trybie dostępu do informacji publicznej, to albo od razu go kasuje, bo uznaje, że wymagana jest forma pisemna albo żąda udzielenia pełnych danych nadawcy pytania. Dodatkowo często odpowiedzi są udzielane przez samych pracowników, a powinny być konsultowane przynajmniej z osobą zajmującą się tego typu kwestiami i/lub z prawnikiem. Nie powinno w tym całym łańcuszku zabraknąć ABI. Wprowadzenie jednolitej procedury i przeszkolenie pracowników w zakresie postępowania z takimi postępowaniami, pozwoli uniknąć stresów i nieprzyjemnych sytuacji.

Opowiem dzisiaj o odpowiadaniu na pytania o informację publiczną w kontekście pytania zadanego w trybie ustawy o dostępie do informacji publicznej, które zostało skierowane przez Fundację Promocji Bezpieczeństwa. Samo pytanie także stanowi informację publiczną, więc poniżej je przytaczam: Read More

18 kwi

Aktualizacja wpisu: Czy zbiór danych monitoringu wizyjnego należy zarejestrować w GIODO?

Ze względu na bardzo dużą liczbę zapytań związanych ze zbiorem monitoringu, postanowiłam zaktualizować wpis z grudnia 2015 roku dotyczący obowiązku rejestrowania zbioru danych gromadzonych w ramach monitoringu wizyjnego w rejestrze GIODO.

Przede wszystkim należy odpowiedzieć sobie na pytanie, czy dane gromadzone w ramach monitoringu wizyjnego stanowią zbiór danych osobowych. Odpowiedź jest twierdząca – jest to zbiór, w którym można wyszukiwać, który ma usystematyzowaną strukturę oraz pozwala zidentyfikować. Szczegółowo wyjaśniam to w poniższym filmie: Read More

09 kwi

Ukradli mi dane, co robić?

Prawda jest taka, że w dzisiejszych czasach łatwo stać się ofiarą cyberprzestępstwa, ale bardzo trudno wyplątać z takiej sytuacji. Być może oglądaliście film Złodziej tożsamości, w którym główny bohater pada ofiarą kradzieży tożsamości. Film doskonale obrazuje sytuację ofiary takiego przestępstwa – jest ona właściwie bezsilna, bo aby można było mówić o przestępstwie musi wykazać, że rzeczywiście do niego doszło oraz… wskazać kto je popełnił. Niestety nie jest to tylko filmowa rzeczywistość, ale realny problem poszkodowanego. W przytoczonym filmie ofiara kradzieży tożsamości traci nie tylko pieniądze (w tym oszczędności życia), ale także stanowisko pracy i pozycję społeczną.
W polskiej rzeczywistości oszuści najczęściej wykorzystują pozyskane dane, aby dzięki nim zaciągnąć pożyczki, kupić sprzęt AGD, telefony. Osoba, której dane zostały wykorzystane najczęściej dowiaduje się dopiero po kilku miesiącach, gdy puka do niej komornik z żądaniem zwrotu pieniędzy. Jednak wtedy najczęściej jest już za późno, bo przestępca skutecznie ukrył wszystkie ślady. Read More

03 kwi

Jak wprowadzić nowy wzór upoważnienia do przetwarzania danych?

Ostatnio otrzymałam takie pytanie od Pani Samanty i uświadomiłam sobie, że nie jest to banalny problem, bo sama musiałam się z nim zmierzyć na początku mojej przygody w roli ABI. Wtedy niestety nie wyszło mi to najlepiej…

Zasady nadawania/zmiany/odwołania upoważnień są istotnym elementem, którego nie powinno zabraknąć w polityce bezpieczeństwa (jest to jeden ze stosowanych przez administratora danych środków organizacyjnych mających na celu zapewnienie poufności informacji). Ja w mojej ówczesnej polityce nie miałam przewidzianej sytuacji zmiany wzoru upoważnienia. Dlatego za pierwszym razem odwoływałam wszystkie upoważnienia i nadawałam wszystkim nowe. Wyobraźcie sobie ile było z tym pracy i zamieszania przy ponad 100 osobowej organizacji i ponad 20 zbiorach danych, gdzie stosowałam zasadę nadawania upoważnienia do każdego zbioru. Koszmar. W dodatku ciągle mi czegoś brakowało, nie zgadzało się, itd. Nie wiedziałam co zrobić ze starymi upoważnieniami (niszczyć, czy trzymać?) oraz jak wpisać zmianę do ewidencji upoważnień.  To doświadczenie nauczyło mnie, że najpierw należy zastanowić się nad przebiegiem procesu, następnie zacząć działać. Read More

29 mar

Komentarz: Projekt MAiC ustawy o ochronie danych osobowych

Ministerstwo Administracji i Cyfryzacji po przeprowadzeniu konsultacji z GIODO, związkami przedsiębiorców oraz Stowarzyszeniem ABI postanowiło opublikować bardzo wstępny projekt nowej ustawy o ochronie danych osobowych. Warto podkreślić, że nowa ustawa ma na celu doprecyzowanie tych elementów RODO, w których unijny ustawodawca pozostawił swobodę krajom członkowskim. Mówiąc krótko nie jest to transpozycja unijnego przepisu, który obowiązuje nas w opublikowanej treści, a zapewnienie skuteczności normom przewidzianym w RODO. Projekt może jeszcze ulec wielu zmianom, więc nie należy traktować jego treści jako wiążącej, jednakże na pewno ujawnia kierunek, w którym zmierza ustawodawca i pozwala lepiej przygotować się na jego wprowadzenie i późniejsze stosowanie.

Przed przeczytaniem treści ustawy, warto najpierw sięgnąć po bardzo przystępnie napisane wprowadzenie do projektu ustawy. Moim zdaniem po jego przeczytaniu bardzo łatwo przyjdzie przyswojenie treści samego projektu. Jakie zmiany? Read More