30 st.

Kiedy otrzymam odpowiedź na zgłoszenie naruszenia ochrony danych do PUODO?

Odpowiedź jest bardzo prosta: nigdy. Zgłoszenie naruszenia jest czynnością techniczną, na którą Prezes UODO nie ma obowiązku odpowiadać. Jedyną informacją zwrotną może być urzędowe poświadczenie odbioru, jeśli przekazałeś zgłoszenie drogą elektroniczną. Wynika to z faktu, że zgłoszenie naruszenia nie odbywa się w trybie Kodeksu Postępowania Administracyjnego [KPA], tzn. nie powoduje wszczęcia postępowania z urzędu. Jest to bardzo ważne, bo postępowania wiążą się z określonym formalizmem, także w zakresie dotrzymania przez strony postępowania określonych terminów. Szczerze mówiąc – przy aktualnych zasobach i braku automatyzacji procesu analizy naruszeń, konieczność wszczynania postępowań administracyjnych doprowadziłaby do totalnego paraliżu Urzędu Ochrony Danych Osobowych.

Read More
30 gr.

Czy przekazanie danych do zniszczenia, wymaga ich powierzenia?

Na początku uspokoję wszystkich, którzy pytają się, czy u mnie wszystko w porządku. Tak, po prostu listopad był jak armagedon, a w grudniu poszłam na urlop. Prawdziwy urlop, bez komputera oraz telefonu. W efekcie zniknęłam na prawie dwa miesiące z Internetu (bloga, mediów społecznościowcy).

A wracając do kwestii niszczenia dokumentów – jest to coraz popularniejsza usługa. Firmy niszczące dokumenty zazwyczaj pracują w oparciu o proste zlecenie na jednostronnym formularzu, w którym określa się ilość (masę, liczbę stron, rodzaje nośników, itp.) do zniszczenia, a także sposób potwierdzenia zniszczenia dokumentów. Po wykonaniu usługi, klient otrzymuje certyfikat zniszczenia dokumentów. Czasami usługa jest świadczona w biurze klienta – dla odpowiedzi na pytanie, jak mają się przepisy RODO do procesu niszczenia dokumentacji, miejsce wykonania usługi nie ma znaczenia.

Niszczenie danych osobowych jest przetwarzaniem danych, w rozumieniu definicji przetwarzania z art. 4 RODO. Tym samym jeżeli administrator niszczy dokumenty, dokonuje ich przetwarzania. Jeżeli przetwarzanie danych (niszczenie) będzie wykonywać inny podmiot, będzie to przetwarzanie danych na polecenie administratora w rozumieniu art. 28 RODO. Oznacza to, że jak najbardziej, zlecenie niszczenia dokumentów, wymaga zawarcia umowy powierzenia danych. Czasami w ramach świadczenia usług, firma niszcząca dokumenty zapewnia też, tzw. bezpieczne pojemniki, w których są gromadzone dokumenty, przekazywane następnie do zniszczenia. W takim wypadku powierzenie danych powinno obejmować także przechowywanie tych danych.

Read More
16 prn.

Kiedy sąd powinien zgłosić do PUODO naruszenie ochrony danych osobowych?

Ustawa o sądach powszechnych wprowadziła sporo zamieszania poprzez wyróżnienie w sądach kilku administratorów. Dodatkową trudność stanowią przepisy o ochronie danych osobowych, które wyłączają spod nadzoru przetwarznie realizowane przez sądy w ramach sprawowania wymiaru sprawiedliwości. W efekcie pojawia się słuszne pytanie – kiedy i komu sąd powinien zgłaszać naruszenie?

Na szkoleniach często jestem pytana w tym kontekście o zagubienie danych związanych z postępowaniem sądowym (policyjnym, prokuratorskim). Czy takie zdarzenie podlega zgłoszeniu do Prezesa UODO? Przyznaję, że za pierwszym razem, gdy otrzymałam takie pytanie zgłupiałam. W końcu akta sprawy są wyłączone spod przepisów RODO i DODO. Ale z drugiej strony, przecież zdarzenie nie dotyczy samego postępowania, a czynności technicznych związanych z postępowaniem. Często też zwracam uwagę na to, że w przypadku przepisów DODO, art. 3 nie wyłącza całkowicie jego stosowania, a jedynie ogranicza. Zatem tak, zgubienie akt sprawy należy zgłosić do Prezesa UODO. Podobnie jak udostępnienie danych związanych z postępowaniem nieuprawnionej osobie, w związku z niewłaściwym zabezpieczeniem.

W sprawie zabrał ostatnio też głos sam Prezes UODO, publikując opracowanie „Przetwarzanie danych osobowych przez sądy w kontekście zgłaszania naruszeń ochrony danych osobowych”. Jesto ono niestety napisane bardziej jak opinia prawna, niż poradnik. Na szczęście znalazło się tam kilka przykładów, które pomogą Wam ocenić, czy naruszenie wymaga zgłoszenia do Prezesa UODO, a także co zrobić jeśli naruszenie nie podlega zgłoszeniu.

Read More
10 prn.

Konsekwencje wyznaczenia IOD z naruszeniem przepisów RODO

Dostaję naprawdę dużo pytań o to, kiedy dochodzi do konfliktu interesów w wyznaczeniu lub realizowaniu zadań przez IOD, a także czy za coś takiego można dostać karę.

Status inspektora określa art. 38 RODO, zgodnie z którym:

  • należy go wyznaczyć na podstawie wiedzy i kwalifikacji
  • musi podlegać tylko i wyłącznie pod najwyższe kierownictwo
  • musi być niezależny i swobodny w swoich działaniach, za które nie może być karany
  • dodatkowe obowiązki może wykonywać tylko wtedy, gdy nie powodują konfliktu interesów.

To są warunki konieczne, które muszą występować łącznie. Jednak w praktyce dostaję dużo sygnałów, że inspektorzy są wyznaczani z naruszeniem art. 38 RODO, zaczynając od „łapanki” wśród personelu (czyli braku odpowiednich kwalifikacji), poprzez wyznaczanie osoby, która ma pełne ręce swojej własnej roboty (konflikt interesów), kończąc na tym, że jest to często osoba, która ma nad sobą jakiegoś kierownika decydującego o sposobie wykonywania przez nią pracy (brak niezależności). Co więcej, często wskazane przeze mnie naruszenia występują łącznie.

I tak, administrator za którekolwiek z nich może otrzymać w najlepszym razie upomnienie, a w ostateczności pieniężną karę administracyjną. I takie działania są już podejmowane przez organy nadzorcze, nie tylko w Polsce. Zresztą o skali problemu niech świadczy to, że Prezes UODO postanowił przeprowadzić szeroką kontrolę sposobu funkcjonowania inspektorów i wykonywania przez nich obowiązków. I myślę, że można się spodziewać w niedalekiej przyszłości informacji o pierwszych karach, za wyznaczenie IOD z konfliktem interesów. We wrześniu 2022 r. niemiecki organ nadzorczy nałożył ponad 500 tys. euro na spółkę właśnie za takie działanie. Okazało się, że IOD był jednocześnie członkiem personelu administratora oraz członkiem najwyższego kierownictwa dwóch spółek, które pełniły funkcje podmiotów przetwarzających dla firmy, w której był inspektorem. W takim układzie nie mogło być mowy o obiektywnym i skutecznym kontrolowaniu podmiotów przetwarzających.

Kiedy administrator może dostać karę związaną z niewłaściwym funkcjonowaniem IOD w jego organizacji? Omówię to na przykładach, aby można było łatwiej zrozumieć:

Read More
22 sp.

Czy PUODO odrzuca skargi na administratorów? #1 Ta od RODO

Kiedyś miałam przyjemność współtworzyć świetny podcast z Łukaszem Wojciechowskim. Wówczas jako „Ci od RODO” omawialiśmy najważniejsze kwestie dotyczące stosowania RODO. Była to forma zamknięta, ale od dłuższego czasu chodziło mi po głowie, aby wrócić do nagrywania. Próbuję swoich sił w nowej formule. Chcę komentować najważniejsze wydarzenia, zmiany w przepisach, decyzje PUODO, okraszone moimi uwagami i przemyśleniami z codziennej pracy. Jeśli format się przyjmie, będę go kontynować. Zatem czekam na konstruktywną krytkę.

Read More
13 sp.

Czy to już naruszenie, czy tylko incydent?

Dość długa cisza na blogu, to efekt krótkiego (i niestety trzy razy przerywanego) urlopu, a także armagedonu, który rozpętał się u moich klientów po powrocie. Mówiąc krótko, trzy tygodnie po urlopie stwierdziłam, że aby dojść do siebie, przydałby mi się kolejny. Jeśli jesteś IOD, szczególnie tym działającym na własny rachunek, być może zauważyłeś, że w wakacje nagle „wszyscy przypominają sobie o RODO”. Nagle chcą uporządkować sprawy, które zawsze były „mniej pilne”, zaktualizować dokumentację, zrobić audyt. Od kilku lat wakacje są w mojej firmie okresem bardzo intensywnej pracy, tym bardziej, że zawsze w osłabionym, ze względu na sezon urlopy, składzie.

Poza tym wakacje to najgorszy czas na naruszenie, właśnie ze względu na braki kadrowe, szczególnie wśród osób decyzyjnych. Jednak chciałabym zwrócić uwagę na jeszcze jeden problem: niechęć do zgłaszania naruszeń. Samo w sobie naruszenie jest stresujące, wymaga działania na wielu frontach. Nagle zamieniasz się w kapitana tonącego statku, który jako jedyny na pokładzie nie tracie zimnej krwi i wie co robić. Przynajmniej w teorii, bo w praktyce każdy incydent to mniejszy lub większy stres. I przepychanki z załogą: zgłaszać, czy nie zgłaszać?

O tym, jak zawiadomić organ o naruszeniu pisałam już wcześniej – wbrew pozorom nie jest to łatwe. Odrębną kwestią jest dokonanie oceny ryzyka naruszenia. Można dokonać tego poprzez ocenę materializacji negatywnych skutków dla osoby, które dane dotyczą lub skorzystanie z kalkulatora ryzyka naruszena (jest ich kilka dostępnych w Internecie). Jednak nie każdy incydent można łatwo zamknąć w ramach tej oceny. Miałam okazję dwa razy przekonać się o tym w te wakacje.

Read More