12 Kwi

Czy mogę pracować na etacie i dorabiać sobie, jako inspektor ochrony danych?

Pytanie od mojego czytelnika: Czy jest możliwe bycie etatowym pracownikiem i dorabianie poza pracą, jako inspektor ochrony danych osobowych w innych firmach?

Szczerze? Będzie to bardzo trudne, ponieważ jeżeli jesteś na etacie, zwłaszcza jeżeli to jest pełny etat, nie wiem kiedy znajdziesz czas na to, aby być inspektorem. W końcu IOD musi być dostępny, szczególnie gdyby było naruszenie. W takim wypadku trzeba być w stanie pomóc administratorowi i być gotowym na to, że on będzie zestrestowany i oczekiwał wsparcia od razu. Warto także pamiętać o tym, że w przypadku kontroli przetwarzania danych u administratora z urzędu ochrony danych osobowych, Twoja obecność może być niezbędna.

Read More
25 Mar

Pytanie: Czy od mogę uzyskać oświadczenie dotyczące kontaktu z osobą zakażoną?

Otrzymałam pytanie: W związku z różnymi ograniczeniami podczas stanu epidemii, pojawiają się pytania dotyczące sposobów zapewniania bezpieczeństwa pracy stacjonarnej. W szczególności pytania osób, które mają wchodzić do biura o ich stan zdrowia lub kontakt w ostatnim czasie z osobami, które są chore.

Przyznam szczerze, że takie wątpliwości są jak najbardziej uzasadnione, ponieważ trudno tutaj znaleźć podstawę, która pozwalałaby na gromadzenie takiej informacji. Po pierwsze jest to informacja o stanie zdrowia. Nie zawsze dostajemy ją wprost, jednakże uzyskujemy to oświadczenie właśnie w celu oceny stanu zdrowia składającego oświadczenie, czyli tego czy potencjalnie, może być zarażony koronawirusem. Jeżeli mówimy o informacji o stanie zdrowia to wkracza z całą stanowczością art. 9 RODO, zgodnie z którym przetwarzanie takich danych jest zakazane z wyłączeniem warunków legalizujących wskazanych w ustępie drugim. Warto do niego czasami zerknąć, aby sprawdzić możliwości legalnego przetwarzania tego typu informacji.

Wśród przesłanek legalizujących przetwarzanie informacji o stanie zdrowia, jest w szczególności oparcie przetwarzania na przepisach powszechnie obowiązującego prawa. Na dzień dzisiejszy może to być indywidualna decyzja uprawnionego organu (w zależności od rodzaju podmiotu będzie to decyzja administracyjna wojewody, ministra zdrowia lub premiera) albo indywidualna decyzja sanepidu. Możliwość wydania takiej decyzji wynika ze spec ustawy covidowej, a także znowelizowanej ustawy o Państwowej Inspekcji Sanitarnej.

Read More
16 Mar

Szkolenie: Raport z zapewniania dostępności krok po kroku

Już tylko dwa tygodnie zostały do przekazania przez podmioty publiczne pierwszego raportu z zapewniania dostępności, jest to więc ostatni moment na przegląd tego co zostało i musi zostać zrobione. Zapewnianianie dostępności dla osób ze szczególnymi potrzebami w podmitoach publicznych to wyzwanie, ale postaram się przybliżyć dobre pomysły i praktyczne rozwiązania. Wiecie, że jestem praktykiem i chcę poprzez to szkolenie przekazać praktyczną wiedzę w zakresie tego, jak skutecznie wdrożyć dostępność w instytucji kultury.

Podczas szkolenia opowiem o rozwiązaniach, które dużo dają, a wymagają jedynie pracy ludzkiej lub minimalnych nakładów pieniężnych. Pokażę przykłady rozwiązań zwiększających dostępność komunikacyjno-informacyjną i jakie możemy zastosować racjonalne lub alternatywne rozwiązania, aby uzyskać zgodność z przepisami. Przejdę także krok po kroku przez raport dotyczący zapewniania dostępności.

Read More
10 Mar

Pytanie: Czy analizę ryzyka należy przeprowadzać ogólnie dla całego systemu ochrony danych, czy lepiej dla poszczególnych czynności na danych?

Kolejne pytanie z cyklu analizy ryzyka, dotycząca tego, czy należy analizę ryzyka przeprowadzać dla całego systemu ochrony danych osobowych w naszej organizacji czy dla poszczególnych procesów przetwarzania. W zasadzie prepisy nie narzucają tutaj konkretnych wymagań na adminstratora. Z zastrzeżeniem, że jego obowiązkiem jest „regularne” testowanie zastosowanych środków technicznycz oraz organizacyjnych.

Możecie zatem właściwie zrobić jak chcecie, chociaż jeżeli się już za to zabierzecie (myślę że to pytanie zadał ktoś kto nie robił nigdy analizy), to okaże się że w zasadzie dla całego systemu ochrony danych osobowych nie da się zrobić analizy za „jedynym zamachem”. W zasadzie musiałaby to być organizacja/firma/działalność w której nie ma wielu procesów przetwarzania lub są bardzo proste, np. przetwarzanie tylko w formie papierowej.

Read More
03 Mar

Czy jeżeli strona ma różne wersje językowe, to klauzule informacyjne także muszą być w tych językach?

Coraz częściej spotykam się z tym, że strona internetowa firmy jest dostępna w wielu wersjach językowych, ale regulaminy korzystania, polityki prywatności (w tym klauzule informacyjne) są jedynie w języku angielskim. Wielu polskich przedsiębiorców na podobnej zasadzie ma przetłumaczone jedynie najważniejsze informacje o stronie, a nie jej pełną treść. Powstaje pytanie, czy takie działanie może stanowić naurszenie przepisów RODO?

Read More
17 Lut

Jak sprawdzać pracownika w rejestrze przestępców seksualnych

Zauważyłam, że ten temat jest bardzo, bardzo rzadko poruszany na szkoleniach dotyczących ochrony danych osobowych, ale gdy już dochodzi do jego omawiania, okazuje się bardzo trudny. W związku z tym podzielę się z Wami moją wiedzą i doświadczeniem.

Ale o co chodzi?

W 2016 roku weszła w życie ustawa o przeciwdziałaniu zagrożeniom przestępczością na tle seksualnym, której celem jest weryfikowanie przeszłości osób dopuszczonych do pracy lub opieki nad dziećmi. W związku z ustawą został utworzony rejestr publiczny oraz rejest z ograniczonym dostępem dotyczące przestępców seksualnych. W rejestrze publicznym są ujawnione dane (ze zdjęciami) osób, które dokonały „wyższej rangi” przestępstw seksualnych, w niepublicznym są wszystkie osoby, które trafiły do rejestru.

Kto musi sprawdzać swoich pracowników w rejestrze?

Zgodnie z art. 21 ustawy o przeciwdziałaniu zagrożeniom przestępczością na tle seksualnym każdy kto dopuszcza swoich pracowników, współpracowników, stażystów, wolontariuszy, itp. do pracy lub działalności związanej z wychowaniem, edukacją, wypoczynkiem, leczeniem małoletnich lub z opieką nad nimi.

Zatem dotyczy to zarówno pracodawców, jak i zleceniodawców, czy fundacje lub stowarzyszenia, korzystające jedynie ze wsparcia wolontariuszy. Nie ma znaczenia forma współpracy z osobą dopuszczoną do konaktu z dziećmi.

Czy potrzebuję zgodę na sprawdzenie?

Read More
12 Lut

Deklaracja dostępności krok po kroku

Od pewnego czasu poza ochroną danych osobowych zajmuję się także kwestią zapewniania dostęności w podmiotach publicznych. Zaczęło się od potrzeby wsparcia przyjaciół z zaprzyjaźnionych instytucji kultury, ale ja nie lubię robić niczego na pół gwizdka, więc powoli staje się to moim kolejnymy „konikiem”.

Jednym z największych problemów jakie mają moi znajomi jest wykonanie Deklaracji dostępności. Zaczynając od tego co powinna zawierać, a kończąć na tym, gdzie ją zamieścić.

Dawne Minsterstwo Cyfryzacji opublikowało instrukcję tworzenia deklaracji dostępności, która jest dostępna tutaj. Wydawałoby się, że to załatwi sprawę, ale prawda jest taka, że stworzenie deklaracji wymaga wiedzy w zakresie stosowania zarówno ustawy o zapewnianiu dostępności dla osób ze szczególnymi potrzebami, jak i wiedzy „informatycznej”, gdyż obowiązkowymi elementami deklaracji są informacje umieszczane w metadanych strony internetowej. No właśnie, czyli deklaracja musi być stroną, a nie plikiem. W dodatku stworzoną zgodnie z opublikowanym standardem. A nie każdy radzi sobie z HTML…

Read More
11 Lut

Szkolenie z zapewnienia dostępności w instytucjach kultury

Wielkimi krokami zbliża się termin przekazania przez podmioty publiczne pierwszego raportu z zapewniania dostępności, a także ostateczne terminy na zapewnienie dostępności. Zapewnianianie dostępności dla osób ze szczególnymi potrzebami w domach kultury, muzeach i bibliotekach to chyba największe wyzwanie, ze względu na liczbę wytwarzanych treści cyfrowych, a także organizowane wydarzenia. Wiecie, że jestem praktykiem i chcę poprzez to szkolenie przekazać praktyczną wiedzę w zakresie tego, jak skutecznie wdrożyć dostępność w instytucji kultury.

Podczas szkolenia opowiem o rozwiązaniach, które dużo dają, a wymagają jedynie pracy ludzkiej lub minimalnych nakładów pieniężnych. Pokażę przykłady rozwiązań zwiększających dostępność komunikacyjno-informacyjną i jakie możemy zastosować racjonalne lub alternatywne rozwiązania, aby uzyskać zgodność z przepisami.

Read More
03 Lut

Czy z firmą BHP należy zawierać umowę powierzenia?

Korzystanie z zewnętrznych wykonawców staje się codziennością. W dobie pracy zdalnej jest też tak, że coraz częściej ta obsługa jest faktycznie w 100% zewnętrzna. Pojawia się zatem pytanie: jaki będzie status zewnętrznego inspektora BHP w procesie przetwarzania danych?

Moim zdaniem będzie on podmiotem przetwarzającym dane, ponieważ samodzielnie nie decyduje o celach i środkach przetwarzania danych. Punktem wyjścia jest fakt, że realizuje dla administratora czynności, które mógłby on realizować wewnętrznie, poprzez zatrudnionego na etacie inspektora BHP. Nie można zatem mówić o udostępnianiu lub współadministrowaniu danych, gdyż ze strony zewnętrznego inspektora, czy firmy BHP nie dochodzi do decydowania o celach i sposobach przetwarzania. Nie staje się też właścicielem danych, które uzyskuje. Warto tutaj zauważyć też, że wobec poszkodowanych i świadków realizuje się obowiązki informacyjne z art. 13 RODO, gdzie administratorem danych jest pracodawca, a nie firma BHP.

A może jednak upoważnienie?

Read More
20 Sty

Jak często należy przeprowadzać analizę ryzyka?

Jeden z czytelników bloga zapytał, z jaką częstotliwością należy robić analizę ryzykę przetwarzania danych osobowych w niedużej firmie usługowej. Na to pytanie, nie ma jednoznacznie poprawnej odpowiedzi. Prawda jest taka, że tylko od Was zależy jak często będziecie to robić, bo żaden przepis o ochronie danych nie obliguje administratora danych do przeprowadzania analizy ryzyka z określoną częstotliwością (*jednak należy pamiętać, że mogą być przepisy sektorowe, odnoszące się nie bezpośrednio do ochrony danych, a do bezpieczeństwa informacji, które nakładają obowiązek przeprowadzania analizy ryzyka dla bezpieczeństwa informacji, np. raz do roku).

W analizie ryzyka istotne jest to, że musi ona stanowić punkt wyjścia do doboru odpowiednich środków technicznych i organizacyjnych ochrony danych (art 32 RODO). I w zasadzie dopóki jest dobrze, to jest dobrze. Oznacz to, że dopóki nie ma u nas naruszenia, można powiedzieć że nic nie musimy robić, bo wszystko działa prawidłowo i nikt nam nie może nam zarzucić, że coś zrobiliśmy źle.

Read More