Category Archives: Artykuły

13 sty

Jak pracownicy powinni zabezpieczyć dane przesyłane elektronicznie

Prowadzenie korespondencji mailowej stanowi obecnie trzon codziennej działalności firm, a także podmiotów publicznych. Z mojego doświadczenia wynika, że osoby, które w imieniu administratora przesyłają oraz otrzymują wiadomości e-mail, zazwyczaj przechodzą przeszkolenie w zakresie przetwarzania danych osobowych zgodnie z RODO, jednakże na tych szkoleniach mówi się im jedynie o tym, że muszą dane zabezpieczać i nie ujawniać nieuprawnionym osobom. Bardzo rzadko szkoli się je z prowadzenia bezpiecznej korespondencji z odbiorcami, a jeszcze rzadziej wprowadza procedury w tym zakresie. W praktyce okazuje się, że pracownik nie do końca wie, jak powinien postępować – sam podejmuje decyzję, jakie rozwiązania zastosować.

Wysyłanie danych wewnątrz organizacji, np. przesyłanie danych pomiędzy dwoma pracownikami

To że dane są przekazywane wewnątrz organizacji, nie powinno usypiać naszej czujności. Często zdarza się, że na przykład pracownik działu kadr przesyła dane do pracownika działu płac lub na przykład kierownik działu przekazuje dane dotyczące wypracowanych przez pracowników akordów. W praktyce może zdarzyć się, że program pocztowy podpowie dane niewłaściwej osoby (często z tym się spotykam) lub osoba, do której ma trafić wiadomość jest nieobecna i przekierowała pocztę na inną osobę, która akurat w zakresie tych wiadomości nie jest uprawniona.

Rozwiązanie nr 1: dane powinny być wpisane do pliku (np. Wor, Excel), a następnie zabezpieczone hasłem, które będzie znane tylko odbiorcy. Można ustalić stałe hasło na wspólną komunikację.

Instrukcja jak założyć hasło na plik

Instrukcja jak skompresować plik z hasłem (rozwiązanie wygodne, gdy jest więcej niż jeden plik)

Typowy błąd: zabezpieczenie danych hasłem i przekazanie hasła w tej lub kolejnej wiadomości e-mail.

Rozwiązanie nr 2: wrzucenie danych na wspólny serwer plików, do folderu, do którego dostęp mają tylko nadawca i odbiorca (ewentualnie wszystkie osoby uprawnione z danego działu).

Typowy błąd: wrzucenie danych na serwer plików do ogólnodostępnego folderu lub przesłanie za pośrednictwem zewnętrznego narzędzia, np. google drive, WeTransfer. W przypadku konieczności skorzystania z tych narzędzi, należy bezwzględnie wcześniej zaszyfrować dane kompresując je z hasłem (Instrukcja jak skompresować plik z hasłem )

Read More

02 sty

Zakres obowiązków IOD w umowie

W rozmowach z moimi znajomymi, pełniącym obowiązki Inspektorów, często przewija się temat zadań, jakie powinien wykonywać inspektor, a tym czego oczekuje administrator danych i co próbuje zamieścić w umowie z Inspektorem. Rozbieżność w oczekiwaniach obu stron jest duża, a jej główną przyczyną często jest to, że administrator chciałby zapłacić komuś, aby wziął na siebie „problem RODO” i nie zawracać sobie tym tematem głowy, a także fakt, że przed RODO zakres obowiązków ówczesnego ABI wynikający z obowiązujących wówczas przepisów był szerszy, niż obecnie. Polski ustawodawca uczynił ABI wykonawcą wielu obowiązków, które na mocy RODO należą do administratora danych. Osoby, które z ABI stały się IOD, stanęły przed dylematem, jak działać „po nowemu”.

Ponieważ pojawiła się potrzeba, aby spisać obowiązki inspektora, które będzie można wpisać w umowie z nim, postanowiłam zrobić ten wpis. Tutaj warto podkreślić, że zakres obowiązków administratora został podany także, dlatego żeby było wiadomo, jak te obowiązki nie powinny brzmieć.

Zakres obowiązków IOD wynikający z RODO

  • powinien być właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych,
  • jest punktem kontaktowym dla osób, których dane dotyczą w sprawach dotyczących ich danych,
  • jest punktem kontaktowym dla organu nadzorczego w sprawach, które dotyczą przetwarzania danych przez administratora danych,
  • ma ustawowy obowiązek zachowania poufności,
  • doradzanie administratorowi, podmiotom przetwarzającym, a także personelowi administratora w zakresie sposób przetwarzania danych osobowych zgodnie z RODO,
  •  zapewnienie przeszkolenia osób przetwarzających dane osobowe z obowiązków wynikających z RODO,
  •  nadzorowanie zgodności przetwarzania danych osobowych z RODO, w szczególności poprzez przeprowadzanie audytów i opracowywanie sprawozdań z zaleceniami dla administratora danych,
  • monitorowanie polityk bezpieczeństwa danych osobowych oraz podziału obowiązków u administratora,
  • uwzględnianie ryzyka związanego z operacjami przetwarzania, tzn. charakteru, zakresu, kontekstu i celi przetwarzania, w wypełnianiu swoich obowiązków,
  • wspieranie administratora danych przy podejrzeniach oraz naruszeniach dla ochrony danych osobowych, szacowaniu ryzyka dla ochrony danych, ocenie skutków dla ochrony danych, prowadzeniu rejestru czynności oraz kategorii przetwarzania danych, powierzaniu, udostępnianiu, współadministrowaniu danych.

Read More

13 gru

Jak skutecznie szkolić pracowników z przestrzegania zasad RODO?

Szkolenia pracowników to najtańszy i najprostszy sposób dbania o zapewnienie ochrony danych osobowych przetwarzanych w organizacji. Wielu administratorów danych tłumaczy brak wdrożenia odpowiednich zabezpieczeń, w szczególności informatycznych, niewystarczającym budżetem. Trudno jest mi przyjąć ten argument, biorąc pod uwagę, że dobre szkolenie dla pracowników można zrobić wewnętrznie, bez angażowania dodatkowych środków.

Właśnie. Dobre szkolenie.

Dobre szkolenia dla pracowników nie polegają na czytaniu slajdów. Dobre szkolenie nie może być nudne. Dobre szkolenie musi opierać się na praktycznych przykładach, powinno być połączone z częścią warsztatową, wywoływać pozytywne emocje, pozostawiać pozytywne wrażenia.

Niektórzy czytając moje wywody, śmieją się pod nosem. Jak można zrobić zabawne i ciekawe szkolenie z RODO? Przecież to taki nudny temat??? Oczywiście, że można, ale o tym jak to zrobić, napiszę za chwilę. Read More

02 gru

Czy zgodnie z RODO potrzebna jest zgoda na przetwarzanie danych uczestnika konkursu?

Tematami konkursów zajmowałam się już kilkukrotnie, m.in. we wpisach:

Jednakże problem wrócił do mnie ze zdwojoną siłą ze względu na opublikowany w zeszłym tygodniu RODOporadnik dla sektora nowych technologii. Autorzy poradnika podeszli do zagadnienia w bardzo praktyczny sposób, odpowiadając na najczęstsze pytania, z jakimi mierzą się firmy prowadzące działalność marketingową. Szczególnie polecam omówienie tematu zgody na wysyłanie newsletteru.

Nie mogę jednak zgodzić się z wytycznymi w zakresie organizowania konkursów. Szczerze mówiąc mam duże wątpliwości, czy autorzy rzeczywiście mieli na myśli to co ostatecznie zostało opublikowane w poradniku, biorąc pod uwagę ich wcześniejsze wytyczne, które stoją w sprzeczności z poradami w zakresie konkursów.

Ale od początku. Ostatnie pytanie zadane w poradniku odnosi się do kwestii legalności przetwarzania danych osobowych uczestników konkursów. Czy niezbędna jest zgoda, czy można uznać, że przetwarzanie ich danych wpisuje się w prawnie usprawiedliwiony interes administratora danych, jakim jest marketing produktów własnych (art. 6 ust. 1 lit. f RODO)? Zdaniem autorów poradnika, Administrator danych, organizując konkurs, będący  przyrzeczeniem publicznym w rozumieniu art. 919 Kodeksu cywilnego i nast., może przetwarzać dane osobowe uczestnika konkursu na podstawie prawnie uzasadnionego
interesu, m.in. w celu: organizacji konkursów, w tym obsługi zgłoszeń, w zakresie pomocy
technicznej, informowania o wynikach i wyłaniania zwycięzców oraz przyznawania i wysyłania nagród konkursowych.

W mojej opinii do przeprowadzenia konkursu niezbędna jest zgoda uczestnika. Wywodzę ją nie tylko z przepisów RODO, ale także dotychczasowej praktyki oraz wytycznych Urzędu Ochrony Danych Osobowych w tym zakresie. Ale po kolei.

Read More

18 lis

Zawiadomienie osób, których dane dotyczą o naruszeniu ochrony ich danych

Designed by Freepik.com

Informowanie osób, że z ich danymi stało się „coś złego” (to może być nie tylko kradzież, ale także nieuprawniona modyfikacja, nieuprawniony dostęp, niewłaściwe zniszczenie, utrata dostępu do danych), jest jednym z nowych i bardzo, bardzo ważnych obowiązków, wynikających z RODO. Nie oszukujmy się, administrator danych najchętniej ukryłby każde zdarzenie, które mogłoby postawić go w złym świetle. Dotychczas administratorzy nie mieli obowiązku poinformowania osób, których dane dotyczą, nawet gdy mieli 100% pewność, że ktoś może wykorzystać dane do kradzieży tożsamości. Mogli to zrobić, ale nie musieli, co oznacza, że zazwyczaj tego nie robili.

Warto zwrócić uwagę, że zawiadomienie organu nadzoru o wycieku danych, nie jest niczym nowym. Podobne obowiązki już dawno były wpisane w przepisy o ochronie informacji niejawnych oraz prawo telekomunikacyjne. Jednakże przed RODO przepisy nie regulowały zasad powiadamiania osób, których dane dotyczą o wycieku (lub innym groźnym zdarzeniu) jej danych. Znanych jest kilka historii (polecam poszperać na stronach serwisu Niebezpiecznik.pl) o tym, jak administrator danych „zawiadamiał” w sposób, który nie wnosił żadnej wiedzy, a jedynie zamieszanie i zdenerwowanie. Co nam po informacji, że ktoś ukradł nam dane, a administratorowi jest przykro z tego powodu?

RODO wprowadza nowe zasady. Jeżeli zostanie naruszona ochrona danych w wyniku, której istnieje duże ryzyko dla praw i wolności, osób które dane dotyczą, wówczas administrator ma obowiązek dokonać zawiadomienia tych osób (art. 34 RODO). Jak wspomniałam wcześniej, naruszenie nie dotyczy tylko kradzieży. Naruszeniem będzie zdarzenie, które doprowadzi do utraty, którejkolwiek z fundamentalnych cech danych osobowych, jak integralność, rozliczalność i poufność. Jeżeli za takim zdarzeniem, będzie szło ryzyko dla praw i wolności osoby, której dane dotyczą (np. szantaż tej osoby, kradzież jej danych, niemożliwość skorzystania przez nią z praw przysługujących jej na mocy przepisów prawa, itd), wówczas niezbędne jest zawiadomienie jej, o zaistniałym zdarzeniu. Read More

08 lis

Rozpoczęcie współpracy z Wolters Kluwer

Korzystacie z systemu LEX? Ja czasami mam wrażenie, że wszyscy go mają. Nie bez powodu, jest to źródło bardzo aktualnej i szerokiej wiedzy. Poza tym w LEX publikują znani i cenieni eksperci. Nie wypada nie pochwalić się, że od kilku dni zaliczam się do tego szacownego grona  i wspieram swoją wiedzą oraz doświadczeniem użytkowników. Na dzień dzisiejszy z systemu korzysta ponad 400 tysięcy użytkowników, a ja zaczęłam już odpowiadać na ich pierwsze pytania dotyczące stosowania RODO w praktyce.

Jeżeli nie macie LEX, możecie znaleźć moje artykuły także w portalu INFOR oraz magazynie Bibliotekarz. A jeżeli macie ochotę ze mną podyskutować i nauczyć się czegoś od mnie, zapraszam na szkolenia oraz moje zajęcia na studiach podyplomowych z ochrony danych osobowych w Politechnice Białostockiej oraz Wyższej Szkole Ekonomii i Innowacji w Lublinie.

 

 

06 lis

Weryfikacja uprawnień i dyplomów przyszłego pracownika a RODO

Poruszę dzisiaj gorący i trudny temat dotyczący weryfikacji uprawnień oraz dyplomów przyszłych kandydatów do pracy. Moje wnioski i przemyślenia są efektem analizy Poradnika UODO: Ochrona danych osobowych w miejscu pracy. Poradnik dla pracodawców. Nie daje mi spokoju punkt 3.3 Poradnika:

Czy potencjalny pracodawca może zwrócić się do uczelni wyższej z prośbą o potwierdzenie, czy kandydat do pracy uzyskał w niej dyplom?

Nie. Potwierdzanie prawdziwości dyplomu ukończenia studiów wyższych, jak i innych danych zawartych w dokumentach przedkładanych przez kandydata w toku rekrutacji, poprzez kierowanie zapytań do podmiotów, które wydały te dokumenty jest niedopuszczalne. Polski prawodawca co zasady nie przewiduje w przepisach krajowych uprawnienia pracodawcy do występowania do innych podmiotów w celu potwierdzenia lub sprawdzenia prawdziwości dokumentów i danych w nich zawartych przedłożonych przez kandydatów w toku rekrutacji.

Takie działanie nie ma również oparcia w przesłance określonej w art. 6 ust. 1 lit. f RODO. Przypomnieć należy, że zgodnie z art. 22 1 § 3 Kodeksu pracy udostępnienie pracodawcy danych osobowych następuje w formie oświadczenia osoby, której one dotyczą, zatem należy uznać, że praktyka polegająca na dodatkowej weryfikacji informacji uzyskanych od kandydata, naruszałaby prawa i wolności osoby. Polski ustawodawca zdecydował, w jakiej formie pracodawca powinien pozyskiwać informacje o kandydacie do pracy.

Wskazać należy, że praktyka polegająca na pozyskiwaniu zgód od kandydata na weryfikowanie prawdziwości złożonych oświadczeń i danych zawartych w dokumentach również nie znajduje oparcia w przepisach RODO. Podkreślenia wymaga, że jednym z warunków skuteczności zgody jest jej dobrowolność, co oznacza, że osoba, której dane dotyczą nie powinna ponosić żadnych negatywnych konsekwencji, jeżeli odmówi jej wy-rażenia. Niewyrażenie zgody przez kandydata na kontakt z uczelnią przez pracodawcę (choćby z powodów subiektywnych np. konfliktu z uczelnią), może spowodować, że potencjalny pracodawca odrzuci jego kandy-daturę.

Jeżeli pracodawca ma podejrzenia, że przedkładany dokument został sfałszowany powinien złożyć zawiadomienie o możliwości popełnienia przestępstwa określonego w art. 270 § 1 Kodeksu karnego.

Rozumiem sens i znaczenie powyższych wytycznych. Oświadczenie kandydata powinno być wystarczające, ponieważ nie można traktować każdego „jak potencjalnego przestępcy”. Jedynie uzasadnione podejrzenie powinno prowadzić do weryfikacji dokumentów. Jednocześnie w ostatnim czasie spotkałam się z dwiema sytuacjami, które zweryfikowały mój pogląd na powyższe wytyczne: Read More

29 paź

Kopiowanie i przechowywanie dowodów osobistych zgodnie z RODO

Temat nielegalnego powielania dowodów jest co chwilę poruszany przez Urząd Ochrony Danych Osobowych oraz ekspertów od bezpieczeństwa informacji. Często jest podkreślane, że kopiowanie dowodu jest zabronione, chyba że taki obowiązek wynika bezpośrednio z przepisu prawa lub wyrazisz na to zgodę (jednak tylko wtedy, gdy ten kto chce kopiować dowód wykaże uzasadnienie dla takiej prośby, np. wysokie ryzyko wyłudzeń jego usług). Kontrole przeprowadzane przez (jeszcze wówczas) GIODO rok rocznie wykazywały, że od kiedy w firmach pojawiły się kopiarki, zaczęliśmy kopiować wszystko na potęgę. W erze sprzed kopiarek po prostu zatrzymywaliśmy dowody pod zastaw. Świadomość się zwiększa, coraz rzadziej zgadzamy się na to, żeby ktoś brał nasz dowód do ręki, a co dopiero kopiował (a jeśli już chce kopiować, musi wykazać swój interes prawny). Są jednak sytuacje, choć rzadkie, w których skopiowanie dowodu jest umotywowane w przepisach prawa, na przykład:

Banki mogą przetwarzać dla celów prowadzonej działalności bankowej informacje zawarte w dokumentach tożsamości osób fizycznych. Ustawa z dnia 29 sierpnia 1997 r. – Prawo bankowe, art. 112b.

Instytucje obowiązane na potrzeby stosowania środków bezpieczeństwa finansowego mogą przetwarzać informacje zawarte w dokumentach tożsamości klienta i osoby upoważnionej do działania w jego imieniu oraz sporządzać ich kopie. Ustawa z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu, art. 34 ust. 4.

Read More

18 paź

Akcja ochrony danych osobowych w podmiotach publicznych

Muszę Wam się pochwalić: z dniem 1 października udało nam się pozytywnie przejść przez weryfikację prowadzonej przez nasz działalności szkoleniowej i otrzymaliśmy akredytację, która potwierdza jakość naszych szkoleń.

Skorzystaj z akredytowanych szkoleń RODO

Uzyskanie akredytacji stało się dla nas impulsem do uruchomienia akcji wpierania ochrony danych osobowych w podmiotach publicznych. Nasza działalność pokazuje, że jest ogromna potrzeba wsparcia pracowników i kierownictwa podmiotów publicznych w zapewnieniu odpowiedniego poziomu wiedzy w zakresie stosowania RODO. W związku z tym proponujemy uczestnikom z podmiotów publicznych duże zniżki na korzystanie z naszych usług,  w szczególności ze wsparcia przy tworzeniu dokumentacji bezpieczeństwa zgodnej z RODO oraz szkoleń z ochrony danych osobowych. Read More

10 paź

Wykaz procesów przetwarzania, dla których musi być przeprowadzana ocena skutków (DPIA)

O ocenie skutków dla ochrony danych pisałam już wcześniej (Ocena skutków przetwarzania według RODO ) jednakże w artykule skupiałam się na nowych procesach przetwarzania, które ze względu na swój charakter wiążą się z wysokim ryzykiem naruszenia poufności. Pod koniec sierpnia w Dzienniku Urzędowym ukazał się Komunikat Prezesa Urzędu Ochrony Danych Osobowych z dnia 17 sierpnia 2018 r. w sprawie wykazu rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony. Wykaz jest konsekwencją art. 35 ust. 4 RODO: Organ nadzorczy ustanawia i podaje do publicznej wiadomości wykaz rodzajów operacji przetwarzania podlegających wymogowi dokonania oceny skutków dla ochrony danych na mocy ust. 1. Ponieważ RODO wymaga spójności wewnątrz UE w zakresie zasad przetwarzania danych Organ nadzorczy przekazuje te wykazy Europejskiej Radzie Ochrony Danych, o której mowa w art. 68. W zeszłym tygodniu ukazała się opinia Rady dotycząca polskiego wykazy, zgodnie z którą Prezes UODO ma 14 dni na zaktualizowanie wykazu. Na co zwróciła uwagę Rada?

Read More