Na początku uspokoję wszystkich, którzy pytają się, czy u mnie wszystko w porządku. Tak, po prostu listopad był jak armagedon, a w grudniu poszłam na urlop. Prawdziwy urlop, bez komputera oraz telefonu. W efekcie zniknęłam na prawie dwa miesiące z Internetu (bloga, mediów społecznościowcy).

A wracając do kwestii niszczenia dokumentów – jest to coraz popularniejsza usługa. Firmy niszczące dokumenty zazwyczaj pracują w oparciu o proste zlecenie na jednostronnym formularzu, w którym określa się ilość (masę, liczbę stron, rodzaje nośników, itp.) do zniszczenia, a także sposób potwierdzenia zniszczenia dokumentów. Po wykonaniu usługi, klient otrzymuje certyfikat zniszczenia dokumentów. Czasami usługa jest świadczona w biurze klienta – dla odpowiedzi na pytanie, jak mają się przepisy RODO do procesu niszczenia dokumentacji, miejsce wykonania usługi nie ma znaczenia.

Niszczenie danych osobowych jest przetwarzaniem danych, w rozumieniu definicji przetwarzania z art. 4 RODO. Tym samym jeżeli administrator niszczy dokumenty, dokonuje ich przetwarzania. Jeżeli przetwarzanie danych (niszczenie) będzie wykonywać inny podmiot, będzie to przetwarzanie danych na polecenie administratora w rozumieniu art. 28 RODO. Oznacza to, że jak najbardziej, zlecenie niszczenia dokumentów, wymaga zawarcia umowy powierzenia danych. Czasami w ramach świadczenia usług, firma niszcząca dokumenty zapewnia też, tzw. bezpieczne pojemniki, w których są gromadzone dokumenty, przekazywane następnie do zniszczenia. W takim wypadku powierzenie danych powinno obejmować także przechowywanie tych danych.

W tym tygodniu m.in. o tym w jaki sposób znajomość rodo może pomóc w awansie, a także ciekawe kary które nałożyły europejskie organy ochrony danych w ostatnich dniach.

Dostaję naprawdę dużo pytań o to, kiedy dochodzi do konfliktu interesów w wyznaczeniu lub realizowaniu zadań przez IOD, a także czy za coś takiego można dostać karę.

Status inspektora określa art. 38 RODO, zgodnie z którym:

• należy go wyznaczyć na podstawie wiedzy i kwalifikacji
• musi podlegać tylko i wyłącznie pod najwyższe kierownictwo
• musi być niezależny i swobodny w swoich działaniach, za które nie może być karany
• dodatkowe obowiązki może wykonywać tylko wtedy, gdy nie powodują konfliktu interesów.

To są warunki konieczne, które muszą występować łącznie. Jednak w praktyce dostaję dużo sygnałów, że inspektorzy są wyznaczani z naruszeniem art. 38 RODO, zaczynając od „łapanki” wśród personelu (czyli braku odpowiednich kwalifikacji), poprzez wyznaczanie osoby, która ma pełne ręce swojej własnej roboty (konflikt interesów), kończąc na tym, że jest to często osoba, która ma nad sobą jakiegoś kierownika decydującego o sposobie wykonywania przez nią pracy (brak niezależności). Co więcej, często wskazane przeze mnie naruszenia występują łącznie.

I tak, administrator za którekolwiek z nich może otrzymać w najlepszym razie upomnienie, a w ostateczności pieniężną karę administracyjną. I takie działania są już podejmowane przez organy nadzorcze, nie tylko w Polsce. Zresztą o skali problemu niech świadczy to, że Prezes UODO postanowił przeprowadzić szeroką kontrolę sposobu funkcjonowania inspektorów i wykonywania przez nich obowiązków. I myślę, że można się spodziewać w niedalekiej przyszłości informacji o pierwszych karach, za wyznaczenie IOD z konfliktem interesów. We wrześniu 2022 r. niemiecki organ nadzorczy nałożył ponad 500 tys. euro na spółkę właśnie za takie działanie. Okazało się, że IOD był jednocześnie członkiem personelu administratora oraz członkiem najwyższego kierownictwa dwóch spółek, które pełniły funkcje podmiotów przetwarzających dla firmy, w której był inspektorem. W takim układzie nie mogło być mowy o obiektywnym i skutecznym kontrolowaniu podmiotów przetwarzających.

Kiedy administrator może dostać karę związaną z niewłaściwym funkcjonowaniem IOD w jego organizacji? Omówię to na przykładach, aby można było łatwiej zrozumieć:

Kolejne podsumowanie tygodnia pod względem RODO. Tym razem bez kar, ale omawiam kwestie publikowania przez sklep zdjęcia złodzieja, ostatniego szkolenia RODO, czy nietypowych pokojów socjalnych. Zapraszam do słuchania!

Kolejne podsumowanie wydarzeń z branży w formie podcastu. Tym razem o nieskutecznej anonimizacji, a także o tym, że za wyznaczenie IOD z konfliktem interesów można dostać nawet pół miliona euro kary!

Kiedyś miałam przyjemność współtworzyć świetny podcast z Łukaszem Wojciechowskim. Wówczas jako „Ci od RODO” omawialiśmy najważniejsze kwestie dotyczące stosowania RODO. Była to forma zamknięta, ale od dłuższego czasu chodziło mi po głowie, aby wrócić do nagrywania. Próbuję swoich sił w nowej formule. Chcę komentować najważniejsze wydarzenia, zmiany w przepisach, decyzje PUODO, okraszone moimi uwagami i przemyśleniami z codziennej pracy. Jeśli format się przyjmie, będę go kontynować. Zatem czekam na konstruktywną krytkę.

Dość długa cisza na blogu, to efekt krótkiego (i niestety trzy razy przerywanego) urlopu, a także armagedonu, który rozpętał się u moich klientów po powrocie. Mówiąc krótko, trzy tygodnie po urlopie stwierdziłam, że aby dojść do siebie, przydałby mi się kolejny. Jeśli jesteś IOD, szczególnie tym działającym na własny rachunek, być może zauważyłeś, że w wakacje nagle „wszyscy przypominają sobie o RODO”. Nagle chcą uporządkować sprawy, które zawsze były „mniej pilne”, zaktualizować dokumentację, zrobić audyt. Od kilku lat wakacje są w mojej firmie okresem bardzo intensywnej pracy, tym bardziej, że zawsze w osłabionym, ze względu na sezon urlopy, składzie.

Poza tym wakacje to najgorszy czas na naruszenie, właśnie ze względu na braki kadrowe, szczególnie wśród osób decyzyjnych. Jednak chciałabym zwrócić uwagę na jeszcze jeden problem: niechęć do zgłaszania naruszeń. Samo w sobie naruszenie jest stresujące, wymaga działania na wielu frontach. Nagle zamieniasz się w kapitana tonącego statku, który jako jedyny na pokładzie nie tracie zimnej krwi i wie co robić. Przynajmniej w teorii, bo w praktyce każdy incydent to mniejszy lub większy stres. I przepychanki z załogą: zgłaszać, czy nie zgłaszać?

O tym, jak zawiadomić organ o naruszeniu pisałam już wcześniej – wbrew pozorom nie jest to łatwe. Odrębną kwestią jest dokonanie oceny ryzyka naruszenia. Można dokonać tego poprzez ocenę materializacji negatywnych skutków dla osoby, które dane dotyczą lub skorzystanie z kalkulatora ryzyka naruszena (jest ich kilka dostępnych w Internecie). Jednak nie każdy incydent można łatwo zamknąć w ramach tej oceny. Miałam okazję dwa razy przekonać się o tym w te wakacje.