Category Archives: Artykuły

04 maj

Gościnnie: Niech administratorem w gminie będzie gmina

Kto jest administratorem danych w gminie? Pytanie to zadaje sobie pewnie większość inspektorów ochrony danych. Moim zdaniem za ADO w gminie powinna być uznawana właśnie ta gmina. Dlaczego? Administrator danych jest adresatem szeregu obowiązków wynikających z RODO i odpowiada między innymi za:

  • przetwarzanie danych zgodnie z zasadami – art. 5,
  • realizację żądań osób, których dane dotyczą – art. 15-22,
  • zapewnienie bezpieczeństwa przetwarzania danych – art. 32,
  • współpracę z organem nadzorczym – art. 31,
  • zgłaszanie naruszenia ochrony danych osobowych organowi nadzorczemu – art.35,
  • zawiadamianie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych – art. 34,
  • wyznaczenie inspektora ochrony danych.

W art. 9 ustawy o ochronie danych osobowych [ustawa ODO], jako podmioty publiczne zobowiązane do zgłoszenia inspektora ochrony danych zostały wskazane jednostki sektora finansów publicznych, do których zgodnie z ustawą o finansach publicznych (art. 9) zalicza się jednostki samorządu terytorialnego, jak gminy, powiaty, województwa. W tak ujętym określeniu podmiotu publicznego za administratora w jednostkach samorządu terytorialnego jak najbardziej można byłoby przyjąć gminę, w której organem wykonawczym, działającym w jej imieniu jest wójt. Read More

29 kwi

Ci od RODO: Niech ADO w gminie będzie gmina

Problematyka określenia administratora danych w jednostkach samorządu terytorialnego to jeden wielki problem. A nim dalej w las, tym gorzej. Do rozmowy natchnął nas postulat o to, aby ADO w gminie była gmina, który biorąc pod uwagę aktualne problemy związane z odpowiedzialnością za bezpieczeństwo danych mógłby być genialnie prostym rozwiązaniem.

Read More

06 kwi

Podpisywanie dokumentów w „czasach zarazy”

Jak zauważyliście na moim blogu koronawirusowa posucha. To chyba kwestia przesycenia tematem. Nie chciałam znowu pisać Wam o pracy zdalnej, bo wszyscy o tym piszą. Może jeszcze popełnię wpis o pracy z dokumentami papierowymi, bo ten temat mało kto porusza, a jest dość problematyczny. Jednakże dzisiaj przychodzę do Was z odkryciem, które bardzo pomaga mi w czasach odcięcia od świata. Okazuje się, że praca zdalna jest fajna, ale gdy wszyscy to robimy, procesy które kiedyś były proste i oczywiste, stają się problematyczne. Na przykład wiele osób nie ma w domu możliwości wydrukowania dokumentów. Z brakiem skanera można sobie jeszcze jakoś poradzić, bo cykniemy zdjęcie komórką, ale brak możliwości podpisania dokumentów, które muszą zostać wysłane do kontrahenta, bywa dość problematyczny.

Drugą kwestią jest to, że czasy się zmieniły, ale wymagania i standardy klientów niekonicznie. Wielu nadal chce otrzymać pocztą podpisaną umowę lub zamówienie. Jeżeli pracujesz z domu i nie są to umowy związane z Twoją działalnością, tylko firmy dla której pracujesz, to frustrujące może być ponoszenie kosztów i strata czasu na czynności, które normalnie wykonywał sekretariat.

Jeden z moich klientów postanowił zabrać z biura urządzenia drukujące i rozwieźć je do pracowników, którzy muszą pracować z dokumentami w domu (np. kadry, księgowość), a także możliwość zamówienia na koszt pracodawcy kuriera, który z domu pracownika zabierze dokumenty do rozesłania.

Kochani, uważam że skoro przeszliśmy na pracę zdalną, warto pójść krok dalej i ograniczyć liczbę wydruków a także przesyłek. Jak wiecie czasy są trudne, a każde cięcie kosztów w cenie. Rozwiązaniem, które bardzo mi pomogło jest podpis zaufany. Nie sądziłam, że doczekam się rozwiązania, które w odróżnieniu od tarczy kryzysowej, która moim zdaniem jest zupełną pomyłką, naprawdę będzie w stanie mi pomóc i w dodatku dał mi je rząd. Jak już pisałam kiedyś, nie mam 100% zaufania do ePUAP, bo zdarzały się różne wpadki z tą usługą. Jednak nie da się ukryć, że działa coraz lepiej i coraz więcej spraw w ten sposób załatwiam. Read More

20 mar

Czy w związku z pracą zdalną można zabierać dokumenty do domu?

Od tygodnia żyjemy w nowej rzeczywistości, wymagającej od nas dostosowania się do nowych warunków pracy. W wielu firmach z branży usług elektronicznych, zmiany są niewielkie, jednaże takich firm jest obecnie mniejszość na naszym rynku. Wystarczy zauwżyć, że dotychczas większość urzędów i innych podmiotów publicznych pracowała w trybie stacjonarnym, w dodatku głównie z wykorzystaniem dokumentów, tzn. systemy miały charakter wspierający. Podobnie funkcjonowała praca w wielu prywatnych firmach. Stają one przed wyzwaniami zapewnienia pracownikom możliwości samoizolacji, w szczególności poprzez pracę zdalną.

Ponieważ na temat zabezpieczenia komputerów i systemów, a także samego trybu pracy, pojawiło się już wiele opracowań (głos zabrał nawet Prezes UODO), ja skupię się na często pomijanym aspekcie, czyli pracy z dokumentami w formie papierowej. Dylematy przed jakimi stają pracodawcy, to czy pozwalać na zabieranie tych dokumentów do domu, a jeżeli tak, to na jakich zasadach. Read More

02 mar

Ci od RODO: Kulisy tworzenia Kodeksu RODO dla bibliotek

Wraz z Łukaszem podjęliśmy się w zeszłym roku zadania stworzenia Kodeksu RODO dla bibliotek. W tym podcaście opowiadamy o tym, jak wyglądała współpraca z SBP, konsultacje społeczne, pozyskiwanie autorów i prace redakcyjne nad kodeksem. Wyjaśniamy czemu trwało to tak długo, na jakie natrafiliśmy problemy, a także czym nasz kodeks różni się od innych, których jest w tym momencie prawie 30.

Treść Kodeksu RODO dla bibliotek.

Zestawienie Kodeksów RODO przygotowane przez p. Adama Klimowskiego.

Read More

26 lut

Czy CUW jest odrębnym administratorem danych?

Wydawać by się mogło że o powierzaniu danych osobowych wiemy już wszystko. Od początku stosowania RODO omówiono i rozstrzygnięto wiele niejasności w tym zakresie, kiedy powierzamy (serwis systemów informatycznych, zewnętrzna obsługa BHP), a kiedy jest to oddzielny ADO (pielęgniarka szkolna). Nadal jednak w rzeczywistości polskich urzędów mamy konstrukcje organizacyjne, które są tematem sporów. Takim przykładem może być obsługa kadrowo-płacowa jednostek organizacyjnych gminy, powiatu czy miasta przez centrum usług wspólnych [CUW] lub też przez specjalnie w tym celu stworzony wydział w urzędzie.

Podstawą takiego przetwarzania są ustawy o samorządzie gminnym i powiatowym. Na podstawie uchwały dany samorząd może odgórnie narzucić jednostkom wspólną obsługę: kadrową, finansową, czy informatyczną. Ustawy te (art. 10d U. o samorządzie gminnym i art. 6d U. o samorządzie powiatowym) uprawniają jednostkę obsługującą do przetwarzania danych osobowych przetwarzanych przez jednostkę obsługiwaną w zakresie i celu niezbędnym do wykonywania zadań w ramach wspólnej obsługi tej jednostki, ale nie wskazują jej w tym zakresie jako odrębnego administratora. Nadal dla danych przekazywanych do CUW administratorami są jednostki organizacyjne. Takie stanowisko można znaleźć także w Poradnikach i wytycznych Prezesa UODO, np. w odpowiedzi na pytanie „Czy po wejściu stosowania RODO CUW może powołać jednego IOD dla wszystkich obsługiwanych jednostek?” wskazuje, że CUW nie jest administratorem danych przekazanych przez jednostki obsługiwane, a w Poradniku dla szkół określa, że jest to powierzenie danych i należy spełnić wymogi art. 28 aby było ono skuteczne, a jednocześnie zabezpieczało interesy ADO oraz zapewniało odpowiedni poziom bezpieczeństwa danych osobowych: „Jeżeli organ prowadzący szkołę zapewnia jej obsługę administracyjną, prawną, czy finansową, to szkoła, jako administrator danych, udostępnia dane w ramach powierzenia przetwarzania danych tylko w zakresie niezbędnym do realizacji tego celu oraz po spełnieniu wymogów określonych w art. 28 RODO.” 

Korzystanie z usług CUW wymaga powierzenia pomiędzy obsługiwaną jednostką a CUW.

Należy podkreślić, że uchwała na podstawie, której jest tworzony CUW można byłoby uznać za „inny instrument prawny” w rozumieniu artykułu 28 ust. 3 RODO i w jej treści (lub aneksie) zamieścić wszelkie wymagane w RODO zasady obowiązujące przy powierzaniu danych osobowych. Przeglądając uchwały samorządów, w żadnej nie spotkałam się z zapisami powierzenia. Zwykle są w nich elementy wskazane ustawami o samorządzie, czyli kto kogo obsługuje i w jakim zakresie. W związku z tym potrzebny jest inny formalny dokument, który te uchwały uzupełni. Jeżeli uregulowanie zasad przekazania danych do CUW będzie następowało w ramach umów powierzenia pomiędzy CUW a jednostkami, dobrze byłoby, aby wszystkie jednostki korzystały ze wspólnego, uzgodnionego wzoru powierzenia (minimalizacja kosztów i czasu). Gdyby takie rozwiązanie było niemożliwe to każdy administrator, dbając o własny interes powinien sporządzić dokument zawierający elementy wskazane w art. 28 RODO i doprowadzić do jego podpisania. Read More

18 lut

Ci od RODO: Jak rozmawiać z ADO i pracownikami?

Odcinek zaczynamy od zagadnień związanych z cyberbezpieczeństwem i postępowaniem w przypadku przejęcia konta na Facebooku, po to aby przejść do roli IOD w organizacji. Jak rozmawiać z pracownikami, szczególnie gdy są naszymi współpracownikami? Jak rozmawiać i przekonać ADO do swoich racji? Czy nieśmiały IOD w ogóle ma szansę skutecznie działać? Read More

17 lut

Kodeks RODO do bibliotek

W ostatni piątek, doczekaliśmy się publikacji ofjcalnego projektu Kodeksu RODO dla bibliotek. Czemu projektu? Ponieważ, dopiero po przejściu certyfikacji u Prezesa UODO, będzie można oficjalnie mowić o kodeksie postępowania. Nie zmienia to jednak faktu, że sam proces certyfikacji trwa bardzo długo (obawiam się, że zaczekam nie kilka miesięc, ale lat), a porządne wytyczne są potrzebne już dziś i teraz. Poza tym z moich doświadczeń (a brałam udział w certyfikacji innego rodzaju wewnętrznego kodeksu), zanim uda się otrzymać certyfikat, kodeks trzeba będzie jeszcze kilkukrotnie aktualizować i ponownie omawiać ze środowiskiem bibliotekarzy.

Właśnie, w zasadzie powinnam od tego zacząć. Kodeks zrodził się w głowach mojej i Łukasza Wojciechowskiego, z którym każdy wspólny projekt jest prawdziwą torpedą (jeśli chcecie się przekonać, zapraszam do słuchania naszych podcastów CI od RODO).  Zresztą Łukasz prowadzi też świetnego bloga o ochronie danych, cyberbezpieczeństwie i kontroli zarządczej (statuo.pl). Do projektu udało się zaangażować SBP, które pomogło w kwestiach organzacyjnych i znalazło ekspertów, na co dzień pracujących w bibliotekach, którzy pomogli nam w spornych i trudnych kwestiach.

Uważam, że stworzenie i publikacja kodeksu to coś naprawdę wielkiego. Jestem dumna z tego projektu i zadowolona z efektu, za każdym razem, gdy sięgam do kodekus. Mam poczucie, że powstał naprawdę porządny podręcznik, którego rola wspierająca będzie nieoceniona, nie ważne, kiedy zostanie certyfikowany. Mam też poczucie, że kodeks może pomogać nie tylko branży bibliotecznej, bo zostało tam omówionych także sporo ogólnych zagadnien.

Chciałabym bardzo podziękować Łukaszowi Wojciechowskiemu, który jest współredaktorem oraz autorem bardzo wielu podrozdziałów w kodeksie. We dwoje wzięliśmy na siebie najcięższą pracę i mogliśmy na siebie liczyć na każdym etapie. Bardzo dziękuję wszystkim autorom, bez ich bezinteresowanego zaangażowania, kodek nie byłby tak wartościowy. Szczególnie Dorota Mika i Piotr Kaczmarek zasługują na ogromnego całusa, bo wzięli na swoje barki dodatkowe podrozdziały, po autorach, którzy w ostatniej chwili zrezygnowali. Serdeczne uściski także dla nieocenionych ekspertów, którzy bardzo sprawnie pomagali nam przebrnąć przez meandry praktycznego podejścia do RODO w bibliotekach i znaleźć właściwy kierunek, dla naszych prac nad kodeksem, gdy trafialiśmy na ślepą uliczkę!

Kodeks RODO dla bibliotek jest dostępny na stronie SBP, ale można go pobrać także bezpośrednio >>tutaj<<