Category Archives: Artykuły

17 sie

Rejestr osób skazanych wykonujących bezpłatne prace społeczne – DYSKUSJA

Po opublikowaniu mojego artykułu odnośnie obowiązku zgłaszania do rejestru GIODO zbioru danych osób skazanych przez sąd na bezpłatne prace społeczno-użytkowe otrzymałam wiadomość od Pani Beaty Lewandowskiej (która jest wykwalifikowanym Administratorem Bezpieczeństwa Informacji oraz Audytorem Wewnętrznym ISO 27007) i nie zgadza się z moim stanowiskiem. Przeprowadziłyśmy dość długą, merytoryczną i interesującą dyskusję, którą postanowiłam Wam częściowo przytoczyć. Myślę, że zainteresuje wszystkich zaangażowanych w zagadnienie bezpieczeństwa informacji.

Beata Lewandowska: Witam, Pani Sylwio przeczytałam artykuł na temat zbioru danych pracowników skazanych i wysłanych na prace społeczne. Pani Sylwio administratorem tych danych jest Sąd i powinna być zawarta umowa powierzenia danych, a wówczas taki zbiór zgłasza do GIODO Sąd, a nie pracodawca. Pracodawca nie zbiera danych tylko je przechowuje po tym jak mu przekazano z Sądu. Taka jest moja interpretacja tej sytuacji. Decyzja GIODO jest z 2008 roku, czyli przed wszelkimi nowelizacjami. Uważam, że nastąpiła nadinterpretacja przepisów. Oczywiście najczęściej jest to zbiór danych doraźny.

Sylwia Czub: Dzień dobry! Chętnie podyskutuję na ten temat. Przede wszystkim, dlaczego uważa Pani, że należy zawrzeć umowę powierzenia, jeżeli przetwarzanie danych odbywa się na podstawie przepisów prawa (przede wszystkim kodeks karny wykonawczy)? Read More

09 sie

Czy trzeba rejestrować w GIODO zbiór osób wykonujących bezpłatne prace na cele społeczne?

Pytanie od Pani Małgorzaty:

Do naszej instytucji są kierowane przez sąd osoby do bezpłatnych prac społecznych. Kto jest administratorem ich danych osobowych i czy taki zbiór podlega obowiązkowi zgłoszenia do rejestru GIODO?

Wraz z informacją o skierowaniu na bezpłatne prace społeczne, sąd zazwyczaj przesyła do instytucji wyrok, na podstawie którego taka kara ma się odbyć. Instytucja otrzymuje informacje o treści wyroku oraz dane osobowe skierowanego do pracy. Od momentu otrzymania tych informacji, instytucja staje się administratorem danych osobowych w celu i zakresie związanym z realizacją bezpłatnej pracy społecznej.

Legalność przetwarzania przez nią danych wynika z art. 56 ustawy z dnia 6 czerwca 1997 r. Kodeks karny wykonawczy (Dz. U. 1997, Nr 90, poz. 557 z późn. zm.) oraz rozporządzenia Rady Ministrów z dnia 23 marca 2004 r. w sprawie podmiotów, w których jest wykonywana kara ograniczenia wolności oraz praca społecznie użyteczna (Dz.U. 2004, Nr 56, poz. 544). Read More

03 sie

Jak złożyć skargę do GIODO

Są czasami sytuacje, że czara goryczy się przelewa i postanawiamy złożyć skargę na naruszenie prywatności naszych danych, niewłaściwe ich zabezpieczenie, za szeroki zakres przetwarzanych danych, itd. Jeżeli naprawdę chcecie coś zmienić, zamiast narzekać, złóżcie skargę do Generalnego Inspektora. Wymaga to z Waszej pracy odrobinę wysiłku, a nawet poniesienia drobnych kosztów, ale warto ponieść je, żeby zmienić coś na lepsze, zamiast stać z założonymi rękami.

Jak to zrobić? Zapomnijcie o anonimowych donosach, na takie raczej nie zareagują. Pisanie maili (póki co) też mija się z celem. Skargę do GIODO złóżcie tak jak do innych urzędów, czyli w formie pisemnej. Pismo powinno zawierać:

  1. Wasze imię, nazwisko oraz adres do korespondencji.
  2. Opis sprawy, przedmiot skargi, żądania.
  3. Wasz podpis.

Trzy haczyki przy składaniu skargi do GIODO, czyli kiedy skarga zostanie odrzucona: Read More

28 lip

Krótka historia o tym, jak dzięki prokuratorowi można wejść w posiadanie cudzych danych osobowych

Tym razem chciałabym Wam przedstawić ciekawe pismo, które moja koleżanka otrzymała z warszawskiej prokuratury. Pismo zostało przygotowane przez policjanta prowadzącego sprawę i podpisane przez prokuratora. Sprawa dotyczyła kradzieży radia z samochodu koleżanki. Prokurator postanowił poinformować ją o tym, że sprawa została umorzona na skutek śmierci podejrzanego, ale przy okazji zapoznał ją z całą listą jego sprawek oraz innymi pokrzywdzonymi. Na poniższych zdjęciach zamazałam dane pokrzywdzonych oraz numery rejestracyjne aut, ale nietrudno się domyślić, że wszystkie te osoby mieszkały w jednej dzielnicy Warszawy, czasami tuż obok siebie.

Przygotowałam dla koleżanki pismo ze skargą do GIODO z prośbą o interwencję w tej sprawie. Zobaczymy, jaki będzie efekt. Poniżej pismo:

Read More

20 lip

Pomagam stworzyć politykę bezpieczeństwa i instrukcję zarządzania systemem informatycznym

Domyślam się, że niektórzy mogą odebrać to negatywnie, ale postanowiłam wprowadzić symboliczną opłatę za sprawdzanie dokumentacji bezpieczeństwa. Długo nosiłam się z tą decyzją, ale liczba przesyłanych przez Was dokumentów sięga kilkunastu tygodniowo i od kilku tygodni nie robię nic innego, tylko sprawdzam i sprawdzam 🙂

Doszłam do wniosku, że najwyższa pora zacząć cenić swój czas. Mam nadzieję, że wykażecie zrozumienie dla mojej decyzji. Tym bardziej, że doświadczenie pokazuje, że na podstawie zmian, które Wam podpowiadam oraz uwag co jest źle, większość z Was potrafi poprawić dokumentację do stanu idealnego 🙂

Zapraszam do zapoznania się ze szczegółami oferty w zakładce ZAMÓW DOKUMENTACJĘ BEZPIECZEŃSTWA

16 lip

Nowy tekst jednolity ustawy o ochronie danych osobowych

Muszę przyznać, że tempo zmian jest porażające. Jeszcze do niedawna posługiwaliśmy się tekstem jednolitym ustawy z 2015 roku, a już mamy ogłoszony nowy tekst jednolity ustawy – Dz.U. 2016 poz. 922. Przepis wszedł w życie 28 czerwca 2016 r.

Oczywiście każda zmiana przepisów zachęca armię firm do proponowania niepotrzebnych usług, które pomogą Waszym podmiotom dostosować się do nowych przepisów. Uspokajam, zmiany nie są przerażające. Nowelizacja ustawy uwzględniła zmiany, wprowadzone przez:

1) ustawę z dnia 22 grudnia 2015 r. o zmianie ustawy o działach administracji rządowej oraz niektórych innych ustaw (Dz. U. poz. 2281),
2) ustawę z dnia 11 lutego 2016 r. o pomocy państwa w wychowywaniu dzieci (Dz. U. poz. 195),
3) ustawę z dnia 18 marca 2016 r. o zmianie ustawy o Rzeczniku Praw Obywatelskich oraz niektórych innych ustaw (Dz. U. poz. 677).

Zmiany wprowadzone przez zmianę ustawy o administracji rządowej oraz niektórych innych ustaw dotyczą zmiany organu odpowiedzialnego za wydanie odpowiednich przepisów wykonawczych oraz wzorów legitymacji inspektorów GIODO. Kompetencje wymienionego wcześniej w ustawie MSWiA przejęło Ministerstwo Administracji i Cyfryzacji.

Zmiany wprowadzone przez ustawę o pomocy państwa w wychowaniu dzieci (tzw. ustawa 500+) omawiałam już szczegółowo w tym artykule. Generalnie dotyczą zasad powierzenia danych osobowych podmiotom działających w interesie publicznym. Negatywne stanowisko GIODO oraz interpretację GIODO w zakresie stosowania tych przepisów przedstawiłam tutaj.

Najnowsze zmiany wynikają z o zmianie ustawy o Rzeczniku Praw Obywatelskich oraz niektórych innych ustaw i dotyczą możliwości pociągnięcia do odpowiedzialności Generalnego Inspektora Ochrony Danych Osobowych.

Pamiętajcie, że aktualny tekst ustawy znajdziecie zawsze w Internetowym Systemie Aktów Prawnych. Jest to też miejsce, gdzie powinniście szukać aktów wykonawczych do ustawy.

 

14 lip

Zmiana adresu administratora danych a ochrona danych osobowych

Czy zastanawialiście się kiedyś jakie są konsekwencje zmiany adresu administratora danych? Omówię to dla trzech przypadków:

  1. Tymczasowa zmiana adresu głównej siedziby
  2. Stała zmiana adres głównej siedziby
  3. Zmiana adresu filii/oddziału

Tymczasowa zmiana adresu głównej siedziby

Jest to sytuacja, w której firma (administrator danych) musi zmienić tymczasowo siedzibę, aby  w określonym, znanym terminie wrócić do pierwotnej siedziby lub przenieść się pod docelowy adres. Tymczasowa przeprowadzka nie skutkuje zmianą adresu w rejestrach, w których figuruje jednostka (CEiDG, RIK, SIO, rejestr REGON, itp.). Oznacza to, że adres siedziby administratora danych nie uległ zmianie, zmienił się jedynie adres korespondencyjny. Tymczasowa zmiana nie wpływa na dane ADO podawane przy wypełnianiu obowiązku informacyjnego z art. 24 i 25 UODO, pozyskiwaniu zgody na przetwarzanie danych osobowych, czy dane w rejestrach prowadzonych przez GIODO. Natomiast konieczne jest niezwłoczne zaktualizowanie wykazu budynków, pomieszczeń oraz części pomieszczeń stanowiących obszar przetwarzania danych osobowych w polityce bezpieczeństwa danych osobowych. Read More

09 lip

O co chodzi z rejestrowaniem kart telefonicznych?

Ostatnio w telewizji i radiu pojawiły się reklamy zachęcające nas do rejestrowania kart w salonach operatorów komórkowych. Czy zastanawialiście się skąd wzięło się to nagłe zainteresowanie informacją o tym, kto z danego numeru korzysta?

Karty prepaid można kupić w każdym kiosku. Często kupuje się je na chwilę, szczególnie gdy potrzebne są do jakiejś usługi (coraz więcej urządzeń wymaga włożenia karty SIM dającej możliwość wysyłania SMS lub łączenia się z Internetem). Wiele z tych kart kupujemy na chwilę, a potem wyrzucamy. Ustawodawca uznał, że karty prepaid stanowią zagrożenie terrorystyczne – potencjalni przestępcy mogą korzystać z nich, aby anonimowo kontaktować się między sobą. W związku z tym wprowadził obowiązek rejestrowania wszystkich kart prepaid w ustawie z dnia 10 czerwca 2016 r. o działaniach antyterrorystycznych. Wspomniona ustawa wprowadza następujące zmiany w ustawie z dnia 16 lipca 2004 r. – Prawo telekomunikacyjne:

„Art. 60b.

1. Abonent, z wyłączeniem abonenta korzystającego z publicznie dostępnych usług telefonicznych świadczonych za pomocą aparatu publicznego lub przez wybranie numeru dostępu do sieci dostawcy usług oraz abonenta usług przedpłaconych polegających na rozpowszechnianiu lub rozprowadzaniu programów telewizyjnych drogą
naziemną, kablową lub satelitarną, podaje dostawcy usług następujące dane:

Read More

24 cze

Czy OPS powinien brać zgodę na przetwarzanie danych osobowych?

Pytanie od Pana Andrzeja:

Czy jeżeli przetwarzamy w MOPS dane klientów zgodnie z ustawą o pomocy społecznej, świadczeniach rodzinnych, alimentacyjnych, 500+ i wspieraniu rodziny a jednocześnie pobieramy zgodę na przetwarzanie danych czy jest to zgodne z UODO ?

Przesłanki legalności przetwarzania danych osobowych określa art. 23 ust. 1 ustawy o ochronie danych osobowych. Jest ich pięć:

Osoba, której dane dotyczą wyrazi na to zgodę,

  1. Jest to niezbędne do zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa,
  2. Jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą,
  3. Jest to niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego,
  4. Jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.

Read More

20 cze

Roczne sprawozdanie dla GIODO – o co chodzi?

Pewnie poprawię Wam nastrój dementując szerzące się ostatnio informacje o konieczności przygotowania do końca czerwca rocznego raportu dla GIODO.  O co chodzi? Gdy nie wiadomo o co chodzi, to pewnie chodzi o pieniądze… A jakie raporty trzeba przygotowywać?

Gdy nie ma ABI:

  1. Administrator Danych (instytucja/firma) przygotowuje raporty z incydentów, które miały miejsce (w szczególności notatki służbowe), określając co się stało i jakie środki zapobiegawcze zostały podjęte.
  2. Potwierdzenia przeszkolenia pracowników w zakresie bezpieczeństwa informacji.
  3. Raz do roku należy przeprowadzić sprawdzenie zabezpieczeń technicznych i organizacyjnych, które należałoby udokumentować. Gdy jest ABI przepisy wykonawcze do ustawy określają bardzo precyzyjnie, jak ma wyglądać sprawozdanie ze sprawdzenia, gdy nie ma ABI, wystarczy notatka służbowa.

Przykładowa zawartość notatki sporządzonej przez Administratora Danych po sprawdzeniu:

  1. Data/okres przeprowadzania sprawdzenia.
  2. Osoby, które przeprowadzały sprawdzenie.
  3. Co i w jaki sposób było sprawdzane (przegląd dokumentów, oględziny, rozmowy z pracownikami).
  4. Podsumowanie sprawdzenia, podjęte lub zalecane środki mające zwiększyć bezpieczeństwo danych.
  5. Podpis osoby prowadzącej sprawdzenie.

Gdy jest ABI: Read More