Category Archives: Artykuły

09 sty

Czy można umieścić zgodę na przetwarzanie danych w regulaminie

Nie, nie i jeszcze raz nie. Najchętniej właśnie tak zakończyłabym ten wpis, jednakże jest to tak częsta praktyka, że wymaga szerszego omówienia. Zanim wyjaśnię dlaczego zaznaczę, że taka zgoda jest nieważna, więc nie jest to sprytny sposób na ominięcie problemu pozyskania zgody, a zamienienie małego kłopotu na duży. Zwłaszcza, że często pozyskać zgodę wcale nie jest tak trudno, wszystko jest kwestią chęci. Ale o tym za chwilę 🙂

Zgodnie z art. 7 pkt 5 ustawy o ochronie danych osobowych zgoda to oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści; zgoda może być odwołana w każdym czasie. Zgoda nie może wynikać z oświadczenia woli o innej treści – czyli zgoda nie może być zawarta w regulaminie, którego zaakceptowanie wiąże się ze zgodą na warunki świadczenia usługi. Umieszczenie w regulaminie zgody, oznacza że wynika ona z „oświadczenia woli zgody na zasady świadczenia usługi określone w regulaminie”. Zatem taka zgoda jest domniemana i nieważna. A jeżeli została pozyskana właśnie w ten sposób, to został złamany art. 49.1. ustawy o ochronie danych osobowych Kto przetwarza w zbiorze dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do których przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.

Read More

03 sty

Czy administrator danych może upoważnić do przetwarzania danych kogoś kto nie jest jego pracownikiem?

Nadawanie upoważnień do przetwarzania danych osobowych jest jednym z podstawowych obowiązków administratora danych, wynikających z ustawy o ochronie danych osobowych.

Informację jak nadawać upoważnienia oraz wzór upoważnienia znajdziesz tutaj

Większość administratorów danych nie ma wątpliwości, że obowiązkiem otrzymania upoważnienia są objęci jego pracownicy i współpracownicy.  Nawet jeżeli przetwarzanie danych wynika bezpośrednio z obowiązku narzuconego przez przepisy prawa (opisywałam to na przykładzie upoważniania nauczycieli przez szkołę). Jednakże w podanym przykładzie zabrakło odpowiedzi na pytanie, kto powinien upoważnić osobę, która nie jest pracownikiem szkoły, np. pielęgniarkę szkolną lub pracownika ochrony. Zgodnie z art. 29 RODO do przetwarzania danych mogą być dopuszczone wyłącznie osoby działające z polecenia administratra, posiadające upoważnienie nadane przez administratora danych. Nawet jeżeli osoba, która otrzyma dostęp do danych nie jest pracownikiem administratora, powinna otrzymać dostęp do danych na podstawie upoważnienia. Read More

08 gru

Czy instytucje przetwarzające informacje niejawne są „zwolnione z ochrony danych osobowych”?

Spotkałam się z opinią, że podmioty przetwarzające informacje niejawne są zwolnione z obowiązków wynikających z ustawy o ochronie danych osobowych. Jest to oczywiście błędne przeświadczenie, ale warto omówić jego genezę i wyjaśnić dlaczego tak nie jest. Zwłaszcza, że wiele takich podmiotów stosuję tę „zasadę zwolnienia” i nie wypełnia obowiązków wynikających z przepisów prawa.

Miejska legenda wywodzi się z art. 43. 1. ustawy: Z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych zawierających informacje niejawne. Z treści cytowanego przepisu wyraźnie wynika, że zwolnienie dotyczy tylko zbiorów danych zawierających informacje niejawne, nie dotyczy pozostałych zbiorów danych, nie oznacza także, że taki administrator danych jest zwolniony z pozostałych obowiązków wynikających z ustawy (stworzenia polityki bezpieczeństwa, instrukcji zarządzania systemami informatycznymi, upoważnienia, zobowiązania do poufności, itd.). Read More

26 lis

Jak zrobić rejestr zbiorów ABI

Bardzo długo nie poruszałam tego tematu, bo wydawało mi się, że to oczywista oczywistość, jednak liczne wiadomości od Was pełne wątpliwości jak stworzyć i prowadzić rejestr ABI, uświadomiły mi, że taki wpis jest Wam potrzebny. Wobec tego oddaję Wam instrukcję, jak stworzyć i prowadzić rejestr zbiorów danych osobowych ABI.

Po pierwsze rejestr zbiorów ABI to nie jest to samo co wykaz zbiorów danych osobowych, tworzony na potrzeby polityki. Dokładnie tłumaczyłam to tutaj. Wykaz zbiorów obejmuje wszystkie zbiory, a rejestr tylko te, które nie zostały zwolnione z obowiązku wpisania do rejestru. Oznacza to, że w niektórych podmiotach rejestr ABI może być pusty. Po drugie do rejestru ABI wpisuje się tylko zbiory danych zwykłych, zbiory danych wrażliwych w dalszym ciągu należy zgłaszać do GIODO. Zasady prowadzenia rejestru ABI określa ustawa o ochronie danych osobowych oraz Rozporządzenie w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych. Read More

13 lis

Szkolenia z kontroli zarządczej

Wychodząc na przeciw coraz większemu zainteresowaniu poszerzenia oferty szkoleniowej, serdecznie zapraszam do zamawiania szytych na miarę warsztatów z przeprowadzania kontroli zarządczej w instytucjach publicznych.

Oferta jest skierowana głównie do małych instytucji kultury (bibliotek, muzeów, domów kultury), oświaty, ale także ośrodków pomocy społecznej. W ramach oferty szkoleniowej można skorzystać z dwóch modułów:

  • ogólnego, dla jednostek które chcą wdrożyć procedury od zera
  • praktycznego, dla jednostek które chcą przejść przez proces kontroli w praktyce

Cały program i oferta są dostępne tutaj.

07 lis

Co ABI powinien zrobić w przypadku naruszenia bezpieczeństwa informacji

Nim dłużej pełnię obowiązki administratora bezpieczeństwa informacji, tym bardziej dostrzegam złożoność procesu nadzorowania zgodności przetwarzania danych z przepisami (a właściwie wszelkich informacji chronionych, bo nigdy nie ograniczam się tylko do danych osobowych) oraz ilość obowiązków, która jest proporcjonalna do zakresu działalności klienta. Nim więcej dzieje się u niego (a w agencjach reklamowych, czy firmach eventowych dzieje się bardzo dużo) tym więcej jest pracy. Czasami mam wrażenie, że nie sposób na bieżąco kontrolować wszystkie zapisy umowne, regulaminy, wydarzenia, systemy informatyczne. W ostatnim czasie rośnie też liczba drobnych incydentów, które wymagają ode mnie, jako ABI, przeprowadzenia sprawdzenia oraz działań naprawczych. Incydenty bezpieczeństwa to codzienność ABI. Większość wynika ze zwykłej niewiedzy, reszta z lenistwa lub zaniedbania. Dobry ABI powinien reagować nawet na drobne naruszenia bezpieczeństwa. Ponieważ drobne zaniedbania generują większe problemy, a z czasem nawarstwiają się i tworzą wielki problem.

Moje wskazówki dla ABI, jak radzić sobie ze stwierdzeniem naruszenia bezpieczeństwa informacji

Każdy incydent wymaga indywidualnego podejścia. Nie ignoruję żadnego zgłoszenia, nawet jeżeli już po pierwszym zdaniu, wiem „że to żaden problem”. Chcę budować więź zaufania pomiędzy ABI, a ludźmi przetwarzającymi dane osobowe, aby wiedzieli, że każdy ich problem traktuję poważnie i jestem od ich rozwiązywania. W efekcie wraz z wydłużającym się stażem pracy, jako ABI otrzymuję coraz więcej zgłoszeń i jestem w stanie wykryć coraz istotniejsze problemy. Read More

29 paź

Jak określić administratora danych osobowych w bibliotece wojskowej lub urzędzie?

Problem z ustaleniem administratora danych osobowych w bibliotece klubu wojskowego (dalej będę nazywać ją biblioteką wojskową) polega na tym, że ta biblioteka nie jest samodzielną jednostką organizacyjną. Biblioteka wojskowa znajduje się w strukturach organizacyjnych jednostki wojskowej, która nie posiada osobowości prawnej. Natomiast osobowość posiada obsługujący jednostkę wojskową pod względem administracyjnym i gospodarczym oddział, pododdział lub związek organizacyjny (np. Wojskowy Oddział Gospodarczy). Kierownicy bibliotek wojskowych stają przed trudnością w określeniu, czy administratorem jest jednostka, dowódca, czy WOG.

Punktem wyjścia do znalezienia odpowiedzi na pytanie, jest ustawowa definicja administratora danych: jest to organ, jednostka organizacyjna, podmiot lub osobę decydującą (samodzielnie) o celach i środkach przetwarzania danych osobowych.  Trudność w ustaleniu administratora danych osobowych w instytucjach państwowych polega na tym, że dla danych przetwarzanych w ramach jednego podmiotu (np. urzędu) może być różny administrator danych osobowych. Dla danych pracowniczych będzie nim pracodawca, ale dla danych przetwarzanych w ramach centralnego rejestru PESEL Minister Spraw Wewnętrznych i Administracji. Decydującym czynnikiem jest odpowiedź na pytanie kto decyduje o celach i środach przetwarzania danych osobowych. Co ciekawe w przypadku wniosków kierowanych do urzędu o udostępnienie danych z rejestru PESEL powstaje nowy zbiór danych osobowych „decyzji administracyjnych na wniosek o udostępnienie danych z rejestru PESEL”, dla którego administratorem jest podmiot przetwarzający te dane. Read More

21 paź

Zaproszenie na Fenomenalną konferencję

Kochani serdecznie zapraszam Was na Fenomenalną Konferencję. Będziecie mieli okazję wziąć udział w warsztatach z cenionymi specjalistami, którzy podzielą się nie tylko swoją wiedzą, ale także doświadczeniem. Będą też bardzo interesujące wykłady. Ze mną będziecie mieli okazję spotkać się dwukrotnie: podczas warsztatów poświęconych metodologii tworzenia regulaminów biblioteki, konkursów i wydarzeń oraz podczas wykładu o reformie przepisów o ochronie danych osobowych. Dużo ważnej wiedzy podanej w bardzo przystępny sposób. Nie czekajcie do ostatniej chwili, bo liczba miejsc na moje warsztaty jest ograniczona

http://fundacjafenomen.pl/fenomenalnabiblioteka

12 paź

Jak zmieniło się moje życie od kiedy mam profil zaufany ePUAP

Mówi się, że mała rzecz, a cieszy. Tak najprościej można podsumować działanie ePUAP. W skrócie, czym jest profil zaufany ePUAP: jest to elektroniczny podpis, który umożliwia załatwianie spraw urzędowych przez Internet. Tak, dobrze przeczytaliście, po zalogowaniu się na stronę ePUAP (a właściwie to już ePUAP2) można załatwić sprawę we wszystkich dostępnych na stronie urzędach (zauważyłam, że liczba dostępnych usług sukcesywnie rośnie). Nie trzeba wysyłać żadnych listów poleconych, ani biegać do kasy, aby kupić znaczki skarbowe (jeżeli sprawa wymaga opłaty, robimy zwykły przelew przez Internet).

Podczas studiów podyplomowych wielu moich wykładowców namawiało do założenia profilu zaufanego ePUAP, argumentując że jest to wynalazek naprawdę ułatwiający życie. Jednak nigdy nie chciało mi się tego zrobić, bo założenie konta na platformie ePUAP wymagało jego uwierzytelnienia w urzędzie (np. ZUSie, Urzędzie Skarbowym). Po założeniu działalności gospodarczej, liczba pism wymienianych z urzędami oraz moich wizyt w urzędach gwałtownie wzrosła (czasami ze względu na własne interesy, czasami załatwiałam interesy klientów). Szczególnie męczyło mnie aktualizowanie danych w CEIDG. Przy okazji jednej z w wizyt w US (okazało się, że muszę złożyć podpis na deklaracji, którą wysłałam pocztą… makabra) przeczytałam na drzwiach jednego z pokojów, że można tam zatwierdzić profil zaufanych ePUAP. Niewiele zastanawiając się nad tym, zalogowałam się z komórki do serwisu, założyłam konto i weszłam do pokoju, gdzie Pani w ciągu dwóch minut zatwierdziła mój profil. W sumie może straciłam na to 5 minut. Read More

06 paź

Czy można niszczyć dokumenty przez spalenie?

Wielu moich klientów lubi palić dokumenty i uważa to za najszybszy i najskuteczniejszy sposób niszczenia dokumentów. Często też jest to jedyna forma niszczenia dokumentów, jaką stosują w swojej firmie, dlatego nie kupują niszczarek. Czy metoda palenia dokumentów zawierających dane osobowe, dla których cel przetwarzania już ustał jest skuteczna. I przede wszystkim czy jest to zgodne z przepisami o ochronie danych osobowych?

Read More