W 2018 roku na blogu ukazał się test wiedzy, dzięki któremu można było weryfikować znajomość przepisów o ochronie danych osobowych swoją lub swoich pracowników.
Test jest prosty i skupia się na podstawowych zagadnieniach, jednak co jakiś czas do niego wracacie. Uznałam zatem, że jest potrzeba odświeżenia tego materiału i zaktualizowałam jego treść.
Test do pobrania dostępny jest tutaj.
Odpowiedzi są tutaj:
Dobrej zabawy!
Sygnalizujecie mi, że nie otrzymujecie UPO, po wysłaniu zgłoszenia / zmiany / odwołania inspektora do Prezesa UODO. I nie ma skutecznej i szybkiej ścieżki zweryfikowania, czy wykonaliście to działanie skutecznie. Piszecie, że takich informacji urząd nie udziela telefonicznie, a na odpowiedź pisemną czekacie już od dawna (coż, urząd zapewne jest zawalony skargami i zgłoszeniami naruszeń).
Na szczęście jest kilka trików, aby sprawdzić to od razu.
Nr 1 – poszukać UPO w swojej skrzynce ePUAP lub eDoręczenia. Ostatnio coraz częściej UPO wpadają bezpośrednio tam, a nie na wskazany adres e-mail. Nie pytajcie dlaczego. Jest też inna, bardzo prosta i skuteczna metoda…
Read More
Prawdziwą plagą jest podszywanie się przez oszustów pod cudze numery telefonów (spoofing). Oszuści w tym celu wykorzystują oprogramowanie (trochę jak bramka SMS), gdzie ustawiają z numer, z którego chcą wykonać połączenie. W efekcie mogą dzwonić „z mojego numeru” i grozić innym osobom lub podszywać się pod pracownika banku, aby wyłudzić dane / pieniądze. W ciągu ostatniego roku zgłosiło się do mnie bardzo wiele osób, które padło ofiarą spoofingu. Przy pierwszym scenariuszu, często dowiadywali się o wykorzystaniu ich numeru, w momencie otrzymania od Policji wezwania na przesłuchanie w sprawie gróźb karalnych. Udowodnienie, że to ktoś inny wykonał połączenie jest proste – wystarczy pokazać historię połączeń.
W drugim przypadku, oszustwa „na numer z banku” były bardzo skuteczne i dużo ludzi w ich wyniku utraciło kontrolę nad swoimi danymi i/lub poniosło straty finansowe. Najbardziej oburzające w tym wszystkim jest to, że aktualna technologia pozwala na takie oszustwa. Skala tych działań jest tak duża, że doczekaliśmy się ustawy o zwlaczaniu nadużyć w komunikacji elektronicznej. Popularnie zwalnej ustawą antyspoofingową. Nakłada ona na telekomy obowiązek podjęcia aktywnych działań, żeby wykrywać spoofing i mu przeciwdziałać. Poza tym mają być także działania przeciwko smishingowi (phishing przez SMS). Ustawa wymaga także od dostawców poczty elektronicznej, wprowadzenia rozwiązań, które uniemożliwią podszywanie się pod cudzy adres e-mail. Wszyscy operatorzy mają współpracować z CERT, który będzie na podstawie swoich baz danych, przekazywać im wzorce ataków oraz fałszywych wiadomości, w celu ich blokowania.
Read More Muszę podzielić się moją konsternacją, związaną z sięganiem po przesłankę prawnie uzasadnionego interesu administratora, jako podstawy przetwarzania danych osobowych. Od pewnego czasu coraz częściej słyszę, że jeśli administrator chce zbierać dane, ale brakuje mu przesłanki legalizującej, może to zrobić w oparciu o swój prawny interes i że wystarczy „dorobić test równowagi”. Widzę, że takie stanowisko pojawia się też na forach internetowych. Często przy okazji dyskusji o uzyskiwaniu zgody na przetwarzanie. Po co brać niewygodną i nielubianą zgodę, skoro można skorzystać z prawnie uzasadnionego interesu? Logiczne, prawda?
Zastanawiam się skąd wzięło się przekonanie, że jest to podstawa przetwrzania, po którą łatwo sięgnąć i właściwie do skorzystania z niej, wystarczy „uzasadnienie” w postaci testu równowagi?
Wiem, że jeśli pracuje się w branży, brakuje czasu na wszystko. Sama ciągle, ledwo wyrabiam na zakrętach, a urlop jest mglistym wspomnieniem z zeszłego roku. Jednak wydaje mi się, że skupiając się na pracy i problemach u administratorów, nie potrafimy wygospodarować sobie czasu na czytanie literatury branżowej, czy chociaży opinii i wytycznych EROD. Zresztą wielu moich znajomych mówi wprost, że te wytyczne są zbyt obszerne, a oni nie mają na to czasu. I rozumiem to doskonale, bo ja też go nie mam i skłamałabym mówić, że czytam je od deski do deski. Jednak mam zasadę, że jeśli coś robię (np. test równowagi, ocenę skutków, analizę ryzyka, itp.), to najpierw poświęcam chwilę, żeby sprawdzić, czy „coś się zmieniło w podejściu”, a także wytyczne, jak to zrobić. Mimo, że robiłam to wiele razy. I hej, bardzo często okazuje się, że koleżanki i koledzy z branży napisali coś pomocnego, co ułatwia mi pracę lub pomaga lepiej zrozumieć dane działanie (tak, jak też cały czas się uczę, czasami tych samych rzeczy na nowo). Wytyczne EROD uwielbiam, bo jest tam bardzo dużo przykładów, a także dlatego, że rada lubi stawiać sobie pytania. Dokładnie takie, jak my sobie stawiamy (zapewne wynika to z konsultacji treści opinii). W związku z tym znajduję nie tylko odpowiedź, ale też uzasadnienie odpowiedzi na moje pytania.
Dobra, ale do brzegu. Nie lubię zgody na przetwarzanie danych. Jednak nie zastępuję jej z automatu prawnie uzasadninym interesem. Zresztą w Opinii dawnej GR 29 nr 06/2014 w sprawie pojęcia uzasadnionych interesów administratora danych zawartego w art. 7, wprost wskazano, że art. 6 uat. 1 lit. f RODO „nie należy traktować jako ostateczności na wypadek rzadkich lub nieoczekiwanych sytuacji, kiedy to uznaje się, że inne podstawy legalnego przetwarzania danych nie mają zastosowania. Nie należy jednak wybierać tego przepisu automatycznie ani nadmiernie rozszerzać jego stosowania w przekonaniu, że jest on mniej ograniczający niż inne podstawy” (s.3). Test równowagi służy ocenie, czy prawnie uzasadnione interesy ADO są aktualne, uzasadnione i przeważają prawa i wolności osób. Zatem test powinien być zrealizowany przed przetwarzaniem w oparicu o prawny interes ADO, a nie jako uzasadnienie do tego działania. Zresztą w dalszej części opinii wskazano, że art. 6 ust. 1 lit. f RODO „jest czasem błędnie postrzegany jako „otwarta furtka” legitymizująca wszelkie przetwarzanie danych, do którego nie ma zastosowania którakolwiek inna podstawa prawna” (s. 6). I mam wrażenie, że właśnie z takim podejściem spotykam się coraz częściej.
Read More
Tak, doczekaliśmy się kolejnych ram ochrony prywatności dla transferów danych do USA. Mieliśmy już SaveHarbours oraz PrivacyShield, teraz czas na Data Privacy Framework. O co chodzi? W Amerykańskim prawie wprowadzono zmiany, które pozwalają (w opiniii Komisji UE) zapewnić odpowiedni stopień ochrony dnaych osobowych przesyłanych do USA. Ale, ale. Diabeł tkwi w szczegółach.
Read More
Nie, wcale nie dlatego, że teraz nie trzeba obawiać się kar, bo da się je obalić w sądzie. To tak nie działa. I pokazują to statystyki, zgodnie z którymi jednak w większości przypadków (ale nie zawsze) sądy administracyjne podtrzymują decyzje organu w z zakresie nałożenia kary. Ale dlaczego tym razem stało się inaczej? Czyżby firma została potratktowa za ostro? Może kara była za wysoka?
Read More
Dzisiaj nietypowo, o nowej formie cyberoszustwa, przez którą znajomy ze Stanów o mało nie stracił 10 tysięcy. Zadzwoniła do niego z nieznanego numeru, jego córka. Nie było wątpliwości, że głos należał do niej. Powiedziała, że ma problemy i potrzebuje jego pomocy. Jest z nią adwokat, z którego telefonu dzwoni i który może jej pomóc, ale trzeba mu zapłacić. W tym momencie rozmowę przejął adwokat, który bardzo profesjonalnym głosem opowiedział o konflikcie z prawem córki, a także że może jej pomóc, ale po wcześniejszym otrzymaniu wynagrodzenia. Przesłał wiadomość z danymi do przelewu.
Znajomy zgłosił do banku konieczność zwiększenia limitu w koncie, aby zrobić przelew (tak w Stanach robią to przez telefon, nie ogarniają Internetu :-P). W międzyczasie próbował jeszcze zadzwonić do córki, jednak nie odbierała. Adwokat pośpieszał sms-ami do zrobienia przelewu. Twierdził, że córka jest teraz na przesłuchaniu, dlatego nie odbiera.
Read More
Tak, badanie trzeźwości będzie nową czynnością przetwarzania. W związku z tym niezbędne będzie uwzględnienie jej w rejestrze czynności przetwarzania (RCP), a także upoważnienie osób, które będą brały udział w procesie.
Możesz skorzystać z przykładowego wzoru upoważnienia:
Wynika to z faktu, że badanie trzeźwości nie stanowi obowiązku pracodawcy. Podobnie jak monitoring wizyjny, jest wprowadzane w zakładzie pracy tylko wtedy, gdy jest niezbędne do zapewnienia ochrony życia i zdrowia pracowników lub innych osób lub ochrony mienia, pracodawca może wprowadzić kontrolę trzeźwości pracowników (art. 22^1c Kodeksu pracy).
Tym samym, należy uznać, że przesłanką legalizującą przetwarzanie będzie prawnie uzasadniony interes administratora (art. 6 ust. 1 lit. f RODO) i konieczność wypełnienia obowiązków i wykonywania szczególnych praw przez pracodawcę w dziedzinie prawa pracy (art. 9 ust. 2 lit. b RODO), zgodnie z przepisami kodeksu pracy (art. 6 ust. 1 lit. c RODO).
Read More
Ustawa o obronie ojczyzny wyłącza stosowanie przepisów RODO, w zakresie odnoszącym się do działań na rzecz obronności. W praktyce często słyszę, że w wojsku ochrona danych osobowych nie obowiązuje, skoro jest wyłączone spod przepisów RODO. I jest to całkowicie mylne stwierdzenie, które prowadzi jedynie do wniosku, że osoby, które tak twierdzą, kompletnie nie znają przepisów pod rygorami, których muszą działać.
Oczywiście, że mamy przepisy szczególne, które wyłączają stosowanie RODO. Odnosi się to w szczególności do przetwarzania danych osobowych na potrzeby zapobiegania i zwalczania przestępczości, ochrony informacji niejawnych, czy przetwarzania danych przez sądy. W każdym z tych przypadków wyłączenie stosowania przepisów RODO, oznacza jedynie, że zasady ochrony tych danych regulują przepisy szczególne. Świetnym przykładem są informacje niejawne, które z oczywistych względów nie mogą podlegać przepisom RODO, ale jednocześnie można stwierdzić, że ich ochrona jest o wiele bardziej rygorystyczna, niż danych osobowych. A zasady tej ochrony wynikają z ustawy o ochronie informacji niejawnych. Czyli przepis szczególny w tym wypadku wyłączył stosowanie RODO, ustanawiając własne zasady ochrony danych osobowych.
Read More
Odpowiedź jest bardzo prosta: nigdy. Zgłoszenie naruszenia jest czynnością techniczną, na którą Prezes UODO nie ma obowiązku odpowiadać. Jedyną informacją zwrotną może być urzędowe poświadczenie odbioru, jeśli przekazałeś zgłoszenie drogą elektroniczną. Wynika to z faktu, że zgłoszenie naruszenia nie odbywa się w trybie Kodeksu Postępowania Administracyjnego [KPA], tzn. nie powoduje wszczęcia postępowania z urzędu. Jest to bardzo ważne, bo postępowania wiążą się z określonym formalizmem, także w zakresie dotrzymania przez strony postępowania określonych terminów. Szczerze mówiąc – przy aktualnych zasobach i braku automatyzacji procesu analizy naruszeń, konieczność wszczynania postępowań administracyjnych doprowadziłaby do totalnego paraliżu Urzędu Ochrony Danych Osobowych.
Read More