03 Paź

Powierzenie danych według RODO

Każde przekazanie danych osobowych innemu podmiotowi musi być uzasadnione prawnie, w przeciwnym wypadku dojdzie do udostępnienia osobie nieupoważnionej, co może skutkować niebotyczną karą. Jest to także ogromne ryzyko biznesowe i wizerunkowe, dla podmiotu, który dokonał takiego udostępnienia.

Powierzenie danych – o co chodzi?

Do powierzenia dochodzi wtedy, gdy na zlecenie administratora danych, inny podmiot dokonuje operacji na danych osobowych. Podmiot, któremu dane są powierzane, nie staje się ich administratorem (chociaż ponosi odpowiedzialność tak samo, jak administrator), jedynie wykonuje operacje na danych, należących do administratora danych, w sposób i w celu ściśle przez niego określonym. Podmiot, któremu dane powierzono nie ma prawa ich wykorzystywać, do własnych celów (w szczególności dodawać ich do własnej bazy klientów/marketingowej oraz dalej udostępniać/sprzedawać). Powierzyć można dowolną czynność na danych od gromadzenia, przez edycję, przechowywanie, usunięcie.

Read More

25 Wrz

Czy warto dostosowywać się do RODO skoro jeszcze nie ma nowelizacji krajowej ustawy?

Takie pytanie padło na moim ostatnim szkoleniu. Trudno odmówić mu racji bytu oraz zasadności. Właściwie jak to powinno być: czy należy jak najszybciej wdrażać RODO nie znając właściwego kształtu nowej ustawy o ochronie danych osobowych, czy to w ogóle ma sens? Dla przypomnienia, nowelizacja ustawy jest przygotowywana przez Ministerstwo Cyfryzacji. Aktualna wersja ustawy wraz z uzasadnieniem (szczególnie polecam uzasadnienie, bo wskazuje na intencje ustawodawcy, tzn. co autor miał na myśli) jest dostępna na stronie Ministerstwa Cyfryzacji. Obecnie obowiązuje kilkukrotnie nowelizowana ustawa z dnia 29 sierpnia 1997 roku o ochronie danych osobowych, która jest implementacją dyrektywy unijnej z 1995 roku. Ogólne rozporządzenie o ochronie danych osobowych, w odróżnieniu od dyrektywy, zgodnie z prawem unijnym ma bezpośrednie zastosowanie, tzn. jest stosowane wprost, we wszystkich krajach UE. Read More

17 Wrz

Czy dyrektorzy szkół biorących udział w turnieju mogą wyrazić zgodę na przetwarzanie danych uczestników?

Zupełnym przypadkiem trafiłam na regulamin turnieju, w którym znalazłam taki przedziwny zapis:

Dyrektorzy szkół drużyn biorących udział w Turnieju wyrażają zgodę na przechowywanie i przetwarzanie danych osobowych przez organizatora (zgodnie z ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych Dz. U. z 2002 r. nr 101, poz. 926). Informacje zawierające dane szkoły: adres, nr telefonu, e-mail służą tylko do celów związanych z organizacją Turnieju.

Co ciekawe organizator stwierdził, że zapis jest „w porządku”, bo:

  1. Dyrektorzy szkół zbierają zgody na przetwarzanie danych osobowych uczniów;
  2. „Wszyscy” mają podobne zapisy w regulaminach.

Idąc tym tropem zapytałam wujka Google, czy rzeczywiście „wszyscy mają takie zapisy” i okazało się, że może nie wszyscy, ale bardzo wielu. Jeżeli wyszukacie to zdanie, będziecie wiedzieć o czym mówię. Organizatorami są podmioty publiczne, co potwierdza obawy o to, że są one nieprzygotowane do przetwarzania danych osobowych zgodnie z przepisami o ochronie danych (o zmianach wynikających z RODO nawet nie wspominam). Read More

09 Wrz

Obowiązki związane z prowadzeniem bloga, serwisu lub sklepu internetowego

Coraz więcej osób decyduje się prowadzić swój biznes lub rozwijać hobby w Internecie. Niektórym wystarczy prosty blog wraz z możliwością zostawiania komentarzy, inni świadczą usługi o bardzo szerokim spektrum. To że nie zarabia się na serwisie, nie oznacza że nie trzeba spełnić pewnych obowiązków wynikających z przepisów o ochronie danych osobowych, prawa telekomunikacyjnego czy ustawy o świadczeniu usług elektronicznych. Zwłaszcza, że nieznajomość prawa nie zwalnia z odpowiedzialności.

Po pierwsze regulamin

Jest to rzecz, do której wiele osób nie przywiązuje wagi, a jednak jeżeli poprzez serwis świadczymy jakiekolwiek usługi, to powinniśmy opracować regulamin tej usługi. Przede wszystkim, aby zabezpieczyć własny interes prawny. Poza tym jest to obowiązek wynikający wprost z ustawy o świadczeniu usług drogą elektroniczną: Read More

30 Sie

Organizowanie konkursu na zlecenie klienta

Wśród firm, z którymi współpracuję jest kilka agencji reklamowych, które bardzo często przeprowadzają konkursy na zlecenie swoich klientów. Doświadczenie pokazuje, że większość tych klientów nie ma pojęcia o kwestiach formalnych takich jak powierzenie danych agencji, pozyskiwanie zgody na przetwarzanie danych, tworzenie regulaminu, czy w końcu rozliczanie podatku. A podkreślenia wymaga fakt, że odpowiedzialność za niewłaściwie (niezgodnie z przepisami prawa) przeprowadzony konkurs ciąży na organizatorze, czyli agencji. Biorąc pod uwagę konsekwencje prawne dla agencji, takie jak kary finansowe, odszkodowania tytułem naruszenia prywatności, czy utrata wizerunku marki, nie można sobie na to pozwolić.

Podstawowe problemy i zagrożenia związane z realizowaniem konkursów na zlecenie:

  1. Presja czasu (konkurs ma być „na wczoraj”)
  2. Zbieranie danych uczestników i przekazywanie klientowi bez sformalizowania współpracy w umowie powierzenia
  3. Niewłaściwe zabezpieczenie gromadzonych i przetwarzanych danych
  4. Nielegalne gromadzenie danych uczestników (brak właściwie pozyskanej zgody)
  5. Zbieranie danych uczestników do celów marketingowych pod przykrywką konkursu
  6. Źle przygotowany regulamin lub jego brak
  7. Niewypełniony obowiązek informacyjny wobec uczestnika
  8. Brak przeszkolenia pracowników agencji w zakresie procedury przeprowadzania konkursów
  9. Klient wie lepiej (to najgorsze)

Read More

25 Sie

Czy PESEL to dana wrażliwa?

Spotykam się często z przeświadczeniem, że PESEL to „dana wrażliwa”. Przykładowe stwierdzenia:

Nie zbieramy danych wrażliwych takich jak Twój PESEL

Chronimy Twoje wrażliwe dane, takie jak imię, nazwisko, PESEL

Nie podam numeru PESEL, bo to dana wrażliwa

Może zacznę od tego, skąd biorą się takie stwierdzenia. PESEL jest indywidualnym i niepowtarzalnym identyfikatorem każdego obywatela. Jest to jedyny niezmienny identyfikator. Na podstawie PESELu można zidentyfikować jednoznacznie każdego obywatela, ponieważ jego dane znajdują się w centralnym rejestrze PESEL. Jest to bardzo cenne i wykorzystywane przez wiele podmiotów źródło informacji. Jednocześnie własności PESELu sprawiają, że staje się on informacją istotniejszą od adresu czy numeru dowodu osobistego, które mogą się zmienić. W związku z tym PESEL podaje się prawie wszędzie: w bankach, szpitalach, urzędach, bibliotekach, umowach. Bez PESELu właściwie nic nie da się dzisiaj załatwić Read More

18 Sie

Co zrobić, gdy jesteśmy proszeni o wysłanie danych osobowych przez e-mail

Korzystając z urlopu załatwiam różne sprawy bankowe i urzędowe. I poraża mnie niewiedza pracowników instytucji przetwarzających dane osobowe na dużą skalę. Prawie każda sprawa kończyła się prośbą proszę przysłać brakujące dane e-mailem. Gdy poprosiłam o zapewnienie środka komunikacji, który gwarantuje bezpieczeństwo moich danych, spotykałam się z niezrozumieniem i konsternacją. Jak to? Przecież bezpiecznie, przecież przez e-mail. Jako wisienkę na torcie, dodam że jedna z próśb dotyczyła wysłania wniosku zawierającego bardzo szeroki zakres moich danych w formie podpisanego skanu, na ogólny adres e-mail, w stylu „biuro”. Drogi czytelniku mojego bloga, czy Ty też się z tym spotkałeś? Mówimy o zmianach w przepisach, konieczności ochrony danych osobowych, wyższych karach w związku z RODO, a jednocześnie nikomu nie przyszło do głowy, że przyjęte i stosowane przez szeregowych pracowników rozwiązania łamią wszystkie podstawowe zasady bezpieczeństwa. Jak niska musi być świadomość tych ludzi (pewnie swoje dane także przesyłają w taki sposób). Read More

02 Sie

Pozyskiwanie zgody na przetwarzanie danych osobowych – najczęstsze błędy

Kto chociaż raz zetknął się z zagadnieniem pozyskiwania zgody wie, że temat jest tylko pozornie łatwy. W praktyce ten proces budzi wiele wątpliwości zaczynając od formy pozyskania, na treści zgody kończąc.

Definicja zgody na przetwarzanie danych osobowych

Ustawa o ochronie danych osobowych: Zgoda osoby, której dane dotyczą (podmiotu danych), to oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści; zgoda może być odwołana w każdym czasie.

Ogólne rozporządzenie o ochronie danych osobowych:  zgoda osoby, której dane dotyczą oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych

Zgodnie z motywem 40 preambuły RODO:  Aby przetwarzanie danych było zgodne z prawem, powinno się odbywać na podstawie zgody osoby, której dane dotyczą, lub na innej uzasadnionej podstawie przewidzianej prawem: albo w niniejszym rozporządzeniu, albo w innym akcie prawnym Unii lub w prawie państwa członkowskiego, o których mowa w niniejszym rozporządzeniu, w tym musi się ono odbywać z poszanowaniem obowiązku prawnego, któremu podlega administrator, lub z poszanowaniem umowy, której stroną jest osoba, której dane dotyczą, lub w celu podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy.

Mówiąc krótko, zgoda nie zawsze jest konieczna. Pisałam o tym szerzej tutaj. https://sylwiaczub.pl/pytanie-czy-zawsze-konieczna-jest-zgoda/

Brak dowodu pozyskania zgody

Zgoda jest oświadczeniem woli, może być wyrażona w dowolny sposób. Jednakże to na administratorze danych spoczywa obowiązek udowodnienia, że uzyskał zgodę. Read More

26 Lip

Czy do pełnomocnictwa dla kuriera w celu odbioru zagranicznej paczki trzeba dołączyć kopię dowodu osobistego?

Ostatnio kilka osób zwróciło się do mnie z pytaniem, czy żądanie przez firmy kurierskie kopii dowodu osobistego, aby odebrać paczkę zatrzymaną przez urząd celny, jest zasadne. Co pozytywne, nie przekonało ich, że w oficjalnych procedurach oraz formularzach pełnomocnictwa dla kurierów, jest napisane, że kopia dowodu jest konieczna. Gdy zwracali się do firmy kurierskiej z prośbą o uzasadnienie, dowiadywali się że taka jest procedura po stronie urzędu celnego. Postanowiłam sprawdzić, jak jest i jak być powinno, bo jestem ogromną przeciwniczką nagminnego kopiowania dowodów osobistych przez różne podmioty.

Samo pełnomocnictwo jest oświadczeniem woli osoby, która umocowuję inną osobę do wykonywania w jej imieniu określonych czynności. W niektórych sytuacjach dopuszczalne jest pełnomocnictwo ustne, jednakże zazwyczaj wymagane jest pisemne. Pełnomocnictwo powinno określać strony, tzn. tego kto je nadaje oraz tego kto je otrzymuje, w szczególności ich imiona, nazwiska, adresy, PESEL i/lub numer i serię dowodu osobistego. Dokument, na którym złożony jest odręczny podpis nadającego oświadczenie jest ważny bez żadnych dodatkowych dokumentów.  Wobec tego skąd żądanie firm kurierskich w zakresie kopii dowodu? Na początku myślałam, że to ich własny wymysł (kopiowanie dowodów jest modne), jednakże po konsultacji z jedną z firm, dowiedziałam się, że taką otrzymali informację bezpośrednio z urzędów celnych. Read More

13 Lip

Inspektor Ochrony Danych – czy będzie praca?

Wiem, że niecierpliwie czekacie na kolejne wpisy. Dłuższe odstępy między nowymi artykułami to nie efekt mojego lenistwa, tylko lawiny pracy i artykułów (w tym jednego bardzo ciekawego, naukowego, który ukaże się jesienią). Powtarzałam to i będę powtarzać, że w tej branży, dla ludzi pracowitych i zdolny, jest praca i dobre zarobki. Jeżeli interesuje Was ta tematyka ochrony danych osobowych, bezpieczeństwa informacji, ciągłości działania, cyberbezpieczeństwa, naprawdę polecam Wam profesjonalizację w kierunku wykonywania zawodu Inspektora Ochrony Danych. Opierając się na własnych doświadczeniu, mogę Wam powiedzieć, że na rynku jest bardzo mało dobrych specjalistów zajmujących się tematyką ochrony danych osobowych, a znalezienie dobrego administratora bezpieczeństwa informacji, który docelowo będzie ustawowym inspektorem ochrony danych graniczy z cudem. Ja sama współpracuję z trzema specjalistami w tej dziedzinie, gdyż potencjalnych klientów jest tak dużo, że nie jestem w stanie sama zrealizować zleceń, a nie chcę zostawiać ich z niczym. Read More