18 Lis

Ci od RODO: Jak dobrze szkolić z RODO? (odc. 3)

CI OD RODO, czyli podcast o RODO z przymrużeniem oka, prowadzony przez znanych i cenionych ekspertów od ochrony danych: Sylwię Czub-Kiełczewską (sylwiaczub.pl) i Łukasza Wojciechowskiego (statuo.pl).

Szkolenia Sylwii i Łukasza to prawdziwa „torpeda”. Uczestnicy nie tylko uczestniczą z zaangażowaniem od początku do końca, ale bardzo też dziękują prowadzącym aplauzem. Zrobić dobre szkolenie jest BARDZO trudno, więc jak oni to robią, że im tak łatwo i tak dobrze wychodzi? Czy miewali jakieś wpadki? W tym odcinku będzie bardzo dużo o największych trudnościach i problemach związanych z prowadzeniem szkoleń, a także jak im zaradzić. Ci od RODO dzielą się swoim doświadczeniem i garścią praktycznych porad. Jeśli chcesz dobrze szkolić, chcesz być w tym skuteczny i kończyć szkolenie z uśmiechem na ustach, ten podcast jest dla Ciebie. Read More

14 Lis

Czy z notariuszem trzeba podpisać umowę powierzenia danych?

Dostałam ostatnio pytanie, czy jeżeli deweloper korzysta z usług notariusza, któremu udostępnia dane osobowe klientów na potrzeby zawarcia aktów notarialnych w związku ze sprzedażą mieszkań, to czy notariusza można uznać za przetwarzającego dane w imieniu dewelopera zgodnie z art. 28 RODO.
Oczywiście takie pytanie pojawia się zawsze, gdy przekazujemy komuś dane. Co ciekawe, sam fakt, że ktoś realizuje dla nas usługę (lub na nasze żądanie) nie przesądza o tym, że będzie podmiotem przetwarzającym. Do powierzenia dochodzi wówczas, gdy inny podmiot działa na wyraźne polecenie administratora w określonym przez niego zakresie i w określony przez niego sposób. Administrator przekazując dane do powierzenia, decyduje o tym w jaki sposób będą one przetwarzane, a zatem też o zakresie udostępnianych danych, czy czasie ich przetwarzania. W relacji deweloper – notariusz albo ogólnie klient – notariusz trudno mówić o wydawaniu poleceń, czy decydowaniu o sposobach przetwarzania danych osobowych przez dewelopera/klienta. Zasady prowadzenia działalności przez notariusza, w tym sposoby przetwarzania przez niego danych, określają przepisy ustawy z dnia 14 lutego 1991 r. Prawo o notariacie, a także przepisy na podstawie, których realizuje poszczególne czynności, tj. przepisy Kodeksu cywilnego, Kodeksu Postępowania Cywilnego, itp. Read More

06 Lis

RODO a Google Analitics, Facebook oraz inne mechanizmy śledzące (odc. 2)

CI OD RODO, czyli podcast o RODO z przymrużeniem oka, prowadzony przez znanych i cenionych ekspertów od ochrony danych: Sylwię Czub-Kiełczewską (sylwiaczub.pl) i Łukasza Wojciechowskiego (statuo.pl).

Jak działa analityka Google i jakie obowiązki wiążą się z korzystaniem z niej. Dlaczego prowadząc fanpage na Facebooku trzeba wypełniać obowiązki informacyjne wobec fanów i jak to zrobić. Co powinna zawierać polityka prywatności na stronie internetowej. Jak skutecznie świadczyć usługi przez Internet.

Read More

21 Paź

CI OD RODO, czyli o ochronie danych bez trzymanki!

Ten pomysł chodził nam już od dawna po głowie. Szczególnie, że widzieliśmy, że nasze wspólne szkolenia, to kompletna petarda, a ludzie chcą więcej i więcej. Z tematami do rozmowy i argumentami nie było problemu, za to trudniej było zmieścić się w narzuconym z góry rygorze czasowym 😉

CI OD RODO, czyli podcast o RODO z przymrużeniem oka, prowadzony przez znanych i cenionych ekspertów od ochrony danych: Sylwię Czub-Kiełczewską (sylwiaczub.pl) i Łukasza Wojciechowskiego (statuo.pl).

Read More

07 Paź

Google Analitics a RODO

Chyba najpopularniejsze narzędzie służące do generowania statystyk z odwiedzin na stronie internetowej to Google Analitics. Jest ono tak popularne, że stanowi wręcz synonim tej usługi. W mojej praktyce zawodowej spotkałam się też z tym, że bardzo często dostawcy stron internetowych domyślnie instalują GA, nawet jeżeli klient nie zamówił takiej usług, bo to jest oczywiste, że będzie chciał przeglądać statystyki z odwiedzanych stron. Tematem GA zainteresowałam się już bardzo dawno temu, gdyż z natury jestem podejrzliwa i nie wierzę, że w życiu można mieć coś za darmo. Moje podejrzenia utwierdził najpierw regulamin Google Analitics (omówię poniżej), ale także akcja Panoptykon, dotycząca analizy stron administracji rządowej i samorządowej, pod kątem wykorzystywania narzędzi śledzących użytkownika, w tym korzystania przez te strony z GA.

Tak, GA jest narzędziem zbierającym i analizującym dane użytkowników, co więcej musi być w stanie go w jakiś sposób zidentyfikować, aby wygenerować dane statystyczne. Nieważne, że ja jako administrator stron widzę tylko i wyłącznie dane statystyczne, żeby je zebrać i przetworzyć, potrzebne były jakieś dane osobowe. Pytanie jednak, czy to narzędzie jedynie mieli te dane przez chwilę, aby dać nam wynik statystyczny, czy przetwarza je i wysyła dalej, aby móc wykorzystać do szeroko pojętych celów biznesowych Google. Nie bądźmy naiwni. Jaki jest sens dawać administratorom stron za darmo tak fajnie narzędzie, jak Google Analitics, jeżeli ma nie być z tego żadnych korzyści? Współpracując na co dzień z agencjami reklamowymi korzystającymi z szerokiej gamy narzędzi służących do analizy zachowań użytkowników w Internecie w celu generowania skutecznych reklam, utwierdziłam się w przekonaniu, że GA działa bardzo podobnie. Po jakimś czasie pojawiła się aktualizacja regulaminu tego narzędzia (najprawdopodobniej zrobiona w związku z RODO), z której czarno na białym wynika, że jest to narzędzie służące do przetwarzania danych osobowych. W dodatku regulamin korzystania z tego narzędzia jest dosyć, hmmm restrykcyjny. Read More

26 Wrz

Czy kara dla Morele.net oznacza, że UODO będzie teraz nakładać wysokie kary pieniężne?

Nie ukrywajmy, najpierw milion złotych za niedopełnienie obowiązków informacyjnych, teraz prawie 3 miliony za nieskuteczne zabezpieczenie danych – to robi wrażenie. Jeżeli zestawimy to z karami innych europejskich organów, np. dla British Airways (ponad 200 mln euro), Marriott International (ponad 100 mln euro), Google Inc (ponad 50 mln euro), to człowiek zaczyna się zastanawiać, czy jest sens prowadzić biznes. Czy nie jest tak, że gdy zacznie mu się powodzić, to zaraz przyjdą do niego „po pieniądze”. Na marginesie kara nałożona na Morele.net jest w pierwszej 10 najwyższych kar pieniężnych nałożonych dotychczas przez europejskie organy nadzorcze.

Najniższe kary to raptem kilkaset euro. Warto zwrócić uwagę, że od początku bezwzględnego obowiązywania RODO, wszystkie europejskie organy nadzorcze nałożyły łącznie raptem 82 kary finansowe, z czego prawie 70% nie przekracza 50 tys. euro. Myślę, że nie przesadzę stwierdzając, że kary finansowe nie stanowią głównego narzędzia karania administratorów, gdyż skala ich nakładania jest niewielka. Szczególnie, jeżeli porównamy ją z liczbą postępowań prowadzonych przez organy. Prezes UODO w tylko w okresie 25 maja – 31 grudnia 2019 roku otrzymał ok. 4,5 tys. skarg. Dodatkowo prowadził postępowania zgodnie zapowiedzianym planem kontroli. Jak na skalę działalności, liczba nałożonych kar to raptem igła w stogu siana. Analizując same decyzje administracyjne wyraźnie widać, że organ stosuje przede wszystkim nakazy. Oczywiście każdy ma swoją cierpliwość i jeżeli nakaz nie zostanie właściwie zrealizowany przez administratora, może zakończyć się karą, jak to miało miejsce w przypadku Dolnośląskiego Związku Piłki Nożnej. W tym przypadku kara wyniosła „raptem” ok. 55 tys. złotych. Jest to najlepszy dowód na to, że wysokość kary jest proporcjonalna do przychodu administratora i mały podmiot nie otrzyma kary podobnej do tej nałożonej na Morele czy Google. Read More

18 Wrz

Obowiązek informacyjny wobec członków wspólnoty mieszkaniowej

Do stworzenia tego wpisu zainspirował mnie pewien zarządca wspólnoty mieszkaniowej, który uraczył swoich członków naprawdę zabawnym obowiązkiem informacyjnym. Oczywiście mówiąc zabawny jestem dość delikatna, bo zarządca to podmiot przetwarzający dane w imieniu wspólnoty, który powinien być w stanie zapewnić zgodność z przepisami RODO w realizowanych przez siebie czynnościach.

Zacznę od tego co w obowiązku było niepoprawne, bo najlepiej uczyć na błędach 🙂 Gdy poniżej mówię o administratorze, mam na myśli administratora w rozumieniu art. 4 RODO.

1) Jako administrator danych została wskazana (cytuję): „Wspólnota Mieszkaniowa”. Obowiązek był częścią oświadczenia, w którym ani razu nie wskazano pełnej nazwy i danych kontaktowych wspólnoty. Trudno więc uznać, że zostałam skutecznie poinformowana o tym, kto przetwarza moje dane.

2) Co ciekawe, od razu przy danych administratora został wskazany zarządca (tutaj pełna nazwa, adres, dane kontaktowe), wraz z informacją, że zostało mu powierzone przetwarzanie danych. Z punktu widzenia osoby, która otrzymuje tę informację, można odnieść wrażenie, że to zarządca jest administratorem danych – wynika to z dziwnej konstrukcji przekazywanych informacji. Read More

10 Wrz

Obowiązki pracodawcy w związku z Pracowniczymi Planami Kapitałowymi

Do 25 września pracodawcy zatrudniający co najmniej 250 osób są zobligowani zawrzeć porozumienie z pracownikami w zakresie wyboru instytucji finansowej, która będzie prowadziła Pracownicze Plany Kapitałowe [PPK] w firmie. PPK będą wprowadzane stopniowo w corach mniejszych podmiotach, w związku z ciążącym na nich obowiązkiem prawnym wynikającym z ustawy z dnia 4 października 2018 r. o pracowniczych planach kapitałowych. Ponieważ plany kapitałowe to zupełna nowość, omówię to zagadnienie pod kątem wymagań przepisów RODO.

  1. Czy niezbędna jest umowa powierzenia z funduszem, do którego będą przekazywane dane?
    Nie, ponieważ zawarcie i realizacja umowy, w tym przekazanie danych osobowych pracowników, jest obowiązkiem prawnym ciążącym na administratorze danych w związku z przepisami ustawy o PPK. Udostępnianie danych do TFI można przyrównać do udostępniania danych do podmiotu leczniczego w związku z medycyną pracy. Podmiot leczniczy ma obowiązki wynikające z powszechnie obowiązujących przepisów prawa w zakresie przetwarzania danych pacjentów. Podobne obowiązki ciążą na TFI, który od momentu otrzymania danych pracownika będzie administratorem danych.
  2. Czy pracownicy powinni wyrazić zgodę na przetwarzanie ich danych w związku z PPK?
    Nie, przetwarzanie ich danych przez pracodawcę, jest obowiązkiem wynikającym z przepisów prawa.
  3. Czy w związku z udostępnieniem danych pracowników do funduszu, należy wypełnić wobec pracowników obowiązek informacyjny?
    Tak, ponieważ jest to nowy cel przetwarzania, o którym pracownik nie był wcześniej informowany podczas zatrudniania. Warto jednak zwrócić uwagę, że zgodnie z art. 13 ust. 4 RODO, w tym wypadku obowiązek wystarczy wypełnić w zakresie informacji, o których pracownik nie ma wiedzy, w szczególności cel i podstawa przetwarzania, odbiorcy danych oraz czas przetwarzania danych. Pracownik musi być także poinformowany o możliwości wycofania się z funduszu.
  4. Czy przekazanie danych kontaktowych pracownika do funduszu, wymaga zgody pracownika?
    Jeżeli pracodawca udostępnia jedynie służbowe dane, to zgoda pracownika nie jest wymagana. Jeżeli udostępnieniu będzie podlegał prywatny numer telefonu/adres e-mail, należy pozyskać zgodę na udostępnienie tych danych.
  5. Czy pracownikowi po wypisaniu się z funduszu będzie przysługiwało prawo do usunięcia danych?
    Nie, ponieważ prawo do usunięcia danych nie przysługuje, jeżeli administrator ma prawny obowiązek dalej przetwarzać dane osobowe. Tak będzie w przypadku danych przetwarzanych na potrzeby PPK.

Read More

26 Sie

Szkolenie RODO z naciskiem na cyberbezpieczeństwo oraz analizę ryzyka

Ofera szkoleń związanych z ochroną danych osobowych jest bardzo duża, dodatkowo osoby, które chciałby zajmować się na poważnie pracą w branży mogą skorzystać z oferty studiów podyplomowych (jeżeli chcecie spotkać się ze mną, jako wykładowcą, polecam zajęcia na Politechnice Białostockiej lub WSEI w Lublinie :-)). W związku z tym postanowiliśmy przygotować szkolenie nastawione na bardzo praktyczą wiedzę, w tym wiedzę w zakresie cyberbezpieczeństwa. Moje spotkania ze studenatami, ale także znajmomymi w branży wskazują na to, że inspektorom bardzo brakuje podstawowej wiedzy w zakresie bezpieczeństwa IT. Choćby takiej, aby być w stanie rozmawiać z osobami zajmującymi się bezpieczeństwem, a także zlecać audyty. Poza tym podstawowa wiedza jest potrzebna także, aby móc skutecznie szkolic personel, bo dzisiaj wiedza w zakresie ochrony cyfrowych zasobów jest nieoceniona.

Pod koniec września w Warszawie wraz z trójką innych, wspaniałych ekspertów, przeprowadzimy szkolenie dla „początkujących IOD„, czyli osób, które już zaczęły pracę, ale brakuje im doświadczenia, jak skutecznie realizować swoje obowiązki oraz tych, które chcą zacząć. Położymy nacisk na najtrudniejsze elementy pracy IOD 🙂

Dodatkowo zamierzamy zrobić dużo ćwieczeń i odpowiedzieć na wszystkie pytania (my nie zostawiamy pytań na koniec, wprost przeciwnie, stawiamy na dyskusję z uczestnikami). W zakresie cyberbezpieczeństwa zajęcia poprowadzi Michał, który na co dzień zajmuje się tym w praktyce, a z jego wiedzy korzystają m.in. duże instytujcje finansowe, jak banki. Chyba nie ma lepszej rekomendacji.

Uwaga, mówimy zwykłym, zrozumiałym i prostym językiem. Nie będzie niezrozumiałego informatycznego, czy branżowego żargonu. Na koniec będzie test wiedzy – osoby, które ukończą go z pozytywym wynikiem będą polecane naszym klientom.

Więcej o szkoleniu tutaj.

20 Sie

Fanpage a przepisy RODO

Europejskie organy nadzorcze dosyć skrupulatnie zaczęły badać sposoby przetwarzania danych osobowych przez takich gigantów, jak Facebook, czy Google. Przy okazji zmian związanych z przepisami RODO, postępowaniami organów nadzorczych oraz orzeczeń sądów, regulaminy i sposoby świadczenia usług przez te firmy ulegają drastycznym zmianom, za którymi większość użytkowników po prostu nie nadąża. Zresztą przeczytanie i zrozumienie skomplikowanych regulaminów, gdzie co chwilę są odnośniki do innych regulaminów i polityk prywatności, wymaga naprawdę dużej wytrwałości (wiem co mówię, ostatnio regularnie je studiuję w związku ze spieraniem klientów w korzytaniu z tych usług)!

Na początku odniosę się do najprostszej formy promocji, z jakiej korzysta wiele podmiotów, zarówno publicznych, jak i prywatnych, czyli fanpage na Facebooku. Założenie go nie wymaga skomplikowanej wiedzy, wystarczy jakiekolwiek konto na FB, kilka kliknięć, aby wskazać o czym będzie strona i już. Mało kto zdaje sobie sprawę, że pomimo tego, iż administratorem serwisu jest Facebook, to podmiot prowadzący fanpage staje się także administratorem danych.

Tych danych, które są przetwarzane w ramach fanpege, czyli:

  • dane osób, które lubią stronę,
  • komentarze zamieszczane pod postami,
  • prywatne wiadomości,
  • informacje o aktywności (kliknięcia w linki, polubienia, deklaracje udziału w wydarzeniach, udział w ankietach),
  • reakcje na reklamy,
  • czasami także dane przetwarzane w związku z konkursami.

Jeszcze do niedawna sama sądziłam, że administratorem wszystkich danych gromadzonych poprzez serwis Facebook, jest właśnie Facebook. W końcu to on udostępnia serwis, decyduje o jego funkcjach, sposobie przetwarzania danych. Jednakże nie da się ukryć, że jeżeli prowadzi się poprzez Facebook działalność komercyjną, w szczególności wyświetla reklamy lub kieruje do użytkowników posty, które mają skłonić ich do konkretnych reakcji, to o sposobach i celach przetwarzania danych, decyduje właściciel Facebooka. Read More