28 lut

Jesteś IOD? Czas na działanie!

Pisałam w piątek, że rola wszystkich osób zajmujących się bezpieczeństwem informacji jest teraz kluczowa dla utrzymania ciągłości działania oraz uniknięcia masowej paniki. Jeśli jesteś IOD lub zajmujesz się bezpieczeństwem IT, musisz zadbać o odpowiednią komunikację i wsparcie w swojej organizacji.

Za CERT Polska: „W związku z napiętą sytuacją na Ukrainie 🇺🇦 oraz wprowadzeniem stopnia alarmowego CHARLIE-CRP, przygotowaliśmy rekomendacje dla obywateli i firm, których wdrożenie uważamy za konieczne. Zachęcamy do zapoznania się z nimi i podzielenia ze znajomymi. https://cert.pl/…/02/rekomendacje-cyberprzestrzen-ukraina/W szczególności zwracamy uwagę na konieczność weryfikacji informacji i nie powielanie ich w przypadku wątpliwości. Przypominamy, że każdą podejrzaną aktywność można nam zgłosić przez formularz na stronie incydent.cert.pl lub mailem na cert@cert.pl. Podejrzane SMS-y można nam przesłać bezpośrednio na numer 799 448 084.”

Co przekazać pracownikom?

W najbliższym kieruj do pracowników komunikację, np. mailową, z informacjami o aktualnych zagrożeniach, dementuj fałszywe informacje, zachęcaj do podejmowania działań zwiększających bezpieczeństwo, wysyłaj przypomnienia regularnie. Przykładowe komunikaty, które możesz wykorzystać:

Read More
25 lut

Bezpieczeństwo informacji w dobie agresji na wschodzie

Być może Wam, tak samo jak mi, jest dzisiaj trudno się na czymkolwiek skupić. Dwa lata temu, wiosną zelektryzowała nas pandemia, teraz działania wojenne na Wschodzie.

W tym trudnym czasie dbanie o bezpieczeństwo i rzetelność informacji ma kluczowe znaczenie. Rosja prowadzi wojnę hybrydową, której częścią jest przede wszystkim dezinformacja i ataki hakerskie. Przeglądając media społecznościowe obserwuję narastanie tzw. Fake news, czyli spreparowanych wiadomości, zbudowanych na czymś, co częściowo jest prawdą. Ma to wywołać panikę wśród ludzi, która przełoży się na gospodarkę i rynki finansowe. Poza tym chodzi też o nasze zdrowie. Proszę sprawdzajcie każdą wiadomość.

Jeżeli ktoś po wejściu do Internetu widzi tylko i wyłączenie STRASZNE wiadomości, a poziom jego stresu już dawno przekroczył wszystkie granice, najpewniej jest W BAŃCE INFORMACYJNEJ. W taką bańkę łatwo wpaść, wystarczy, że kilka razy kliknie się tego typu materiał, później aplikacje podpowiadają już tylko takie wiadomości. Nie dajcie się wprowadzić w paranoję strachu. Jednym z rozwiązań może być wyczyszczenie historii przeglądania w programie lub przeglądarce (dostępne jest to zazwyczaj w ustawieniach). Po wyczyszczeniu program uczy się naszych zachowań na nowo, więc jeśli nie będziemy wchodzić na strony wywołujące stres, po prostu nie będzie na ich podpowiadać. Algorytmy zazwyczaj podpowiadają PODOBNE treści, więc łatwo wpaść w pętle. Polecam w tym czasie zamiast wiadomości, słuchać audiobooków lub kanałów naukowych (np. na YouTube polecam Wam kanał „Nauka to lubię”, mają też ciekawą stronę https://naukatolubie.pl/).

Read More
14 lut

Zawiadomienie o naruszeniu – najczęstsze błędy i jak to zrobić prawidłowo

Naruszenie ochrony danych w pewnych okolicznościach wymaga zawiadomienia osoby, której dane dotyczą. Zgodnie z art. 34 RODO, administrator musi przekazać zawiadomienie, jeżeli naruszenie może powodować wysokie ryzyko negatywnych skutków dla osoby, której ono dotyczy. Natomiast ja przy większości naruszeń, niezależnie od oceny ryzyka, rekomenduję dokonać zawiadomienia. Uważam, że rzetelna informacja o tym co się stało, jest ważna. Pozwala zrozumieć na czym polegało zdarzenie, jakie mogą być jego konsekwencje i zapewnić lepszą kontrolę nad danymi. Często też zwracam moim klientom uwagę na to, że przekazanie takiej informacji jest po prostu profesjonalne, tym bardziej, gdy osoba, której dane dotyczą wie o naruszeniu jej danych osobowych (a często tak jest). Po kilku latach doświadczeń w zgłaszaniu naruszeń do Prezesa UODO oraz zawiadamianiu osób, których dane dotyczą, nauczałam się jak to robić prawidłowo (hej, nie udawajcie, że Wy od razu wszystko potraficie i wiedzieliście jak to zrobić).

Zawiadomienie nie jest konieczne, gdy osoba, której dotycz już o nim wie

FAŁSZ. To chyba najczęściej przekazywany mi argument przez różnych administratorów oraz IOD. Osoba, której dotyczy naruszenie wie o nim (najczęściej w nim uczestniczyła), zatem jaki jest sens przekazywania jej zawiadomienia? Sama wiedza o tym, że doszło do naruszenia nie oznacza, że ta osoba, wie jakie mogą być jego negatywne konsekwencje i co może zrobić, aby zminimalizować ryzyko. Zatem nawet w tej sytuacji, trzeba przekazać informacje wymagane art. 34 RODO.

Zawiadomienie nie jest konieczne, gdy naruszenie dotyczy jednej osoby

FAŁSZ. Nie wiem skąd wzięło się przekonanie, że naruszenie musi dotyczyć większej liczby osób, żeby wiązało się z wysokim ryzykiem, a tym samym wymagało zawiadomienia. Nie ma znaczenia, czy naruszenie dotyczy 1 czy 1000 osób. Jeżeli zdarzenie może nieść wysokie ryzyko negatywynych skutków, nawet jeżeli dotyczy tylko jednej osoby, należy poinformować ją o naruszeniu ochrony jej danych.

Read More
19 sty

Przetwarzanie danych przez poradnie psychologiczno-pedagogiczne bez zgody

Pisałam ostatnio o problematycznej zgodzie na przetwarzanie danych osobowych w związku z kasami zapomogowo pożyczkowymi, wymaganej ustawą, jednak warto podkreślić, że podobnych problematycznych zgód, można znaleźć więcej w przepisach. I za każdym razem taka obligatoryjna zgoda, gdy przetwarzanie danych jest wyraźnie uregulowane w przepisach, stwarza więcej problemów, niż daje korzyści. Przykładem może być konieczność pozyskiwania zgody wnioskodawcy na przetwarzanie danych przez poradnię psychologiczno-pedagogiczną, na wniosku o wydanie orzeczena lub opinii, wymaganej par. 2 ust. 6 pkt 1 rozporządzenia MEN w sprawie orzeczeń i opinii wydawanych przez zespoły orzekające działające w publicznych poradniach psychologiczno-pedagogicznych. Pomijając to, że treść zgody odnosiła się do już uchylonej ustawy z 97 roku, warto zwrócić uwagę, że w tym wypadku w ogóle nie była ona potrzebna, a mogła stanowić duży problem, w związku z prawem do wycofania zgody w dowolnym momencie. Opieranie tego przetwarzania na zgodzie, utrudniało działanie poradni i budziło wiele wątpliwości interpretacyjnych.

Zmiana została wprowadzona w wyniku wystąpienia UODO z września 2021 r. do MEN, dotyczącego problematyki zbyt słabego uregulowania w przepisach prawa kwestii związanych z przetwarzaniem danych przez poradnie. W szczególności UODO wskazało, że przetwarzanie danych powinno w tym wypadku opierać się na przepisach prawa. W związku z tym 30 listopada 2021 dokonano nowelizacji rozporządzenia, usuwając zapis dotyczący wyrażania zgody na wniosku o orzeczenie lub opinię z poradnii.

Read More
23 gru

Jak dużo obowiązków można dołożyć IOD?

W zasadzie nie ma szkolenia, na którym nie pojawia się problem dokładania inspektorowi nowych obowiązków lub traktowania go jako 10w1, czyli człowieka od wszystkiego. Zresztą znam to z własnego podwórka, bo kiedyś mi też tak dokładano obowiązków. Powiem coś, czego wiele osób nie chce usłyszeć, ale prawda jest taka, że niestety w pewnym stopniu jest to wina naszego środowiska, naszych charakterów lub niewiedzy.

Inspiracją do tego wpisu była dyskusja z jednego z forum internetowego, dotycząca rażąco niskich stawek, jakie IOD proponują podmiotom publicznym za swoje usługi. Komentujący wskazywali, że w wielu jednostkach, gdzie kryterium wyboru jest tylko i wyłącznie cena, jest zewnętrzny inspektor, który realizuje swoje zadania za jedyne…. 150 zł miesięcznie. Zadzwoniłam do znajomej, która współpracuje z urzędami i szkołami i potwierdziła, że w wielu gminach są takie stawki za obsługę urzędów, szkół, bibliotek, ośrodków pomocy społecznej. Ile godzin pracy może IOD poświęcić administratorowi za 150 zł miesięcznie? I w drugą stronę: administrator płacąc IOD takie stawki dochodzi do wniosku, że to jest „żadna robota”, że „IOD po prostu jest, a pieniądze dostaje za zgłoszenie go do UODO”. Szczerze mówiąc ja też tak bym pomyślała. Tym bardziej, że w praktyce często faktycznie za niskimi stawkami kryje się to, że taki IOD jest tylko na „życzenie”, a za każde jego działanie trzeba dodatkowo płacić, więc nic nie jest z nim konsultowane, nie jest włączany w tematy ochrony danych osobowych i nie monitoruje zgodności przetwarzania z RODO. Po jakimś czasie administrator dochodzi do wniosku, że nawet ta niewielka kwota to za dużo „za nic”, rezygnuje z usług IOD i dokłada obowiązki inspektora jednemu z pracowników. Najczęściej jest to osoba, która na początku nie ma pojęcia o ochronie danych osobowych, a po kilku szkoleniach, zaczyna się stresować, że nie da sobie z tym rady. Kiedy sygnalizuje administratorowi, że to nie jest takie proste, że obowiązków jest dużo, a w zasadzie to jej wyznaczenie powoduje konflikt interesów, ten nic nie rozumie, przecież poprzedni IOD brał 150 zł i nic nie robił. W czym problem?

Ok, ja też tak miałam. Nagle zostałam ABI (obecny IOD), gdzie miałam masę innych obowiązków, a to miało być przy okazji. Nim więcej uczyłam się o ochronie danych osobowych, tym bardziej przerażała mnie liczba obowiązków. I tym bardziej okazywało się to nie do pogdzenia z moimi etatowymi zadaniami. Ówczesne przepisy o ochronie danych osobowych nie dawały ABI w zasadzie żadnych argumentów, do zapewnienia mu odpowiednich narzędzi i czasu pracy, więc było to bardzo, bardzo frustrujące.

Read More
06 gru

Kasa zapomogowo-pożyczkowa a RODO

W listopadzie ze zdumieniem odkryłam, że 11 października weszła w życie ustawa o kasach zapomogowo-pożyczkowych. Wcześniej bardzo ogólne zasady funkcjonowania kas były określone w ustawie o związkach zawodowych i nie da się ukryć, że była naprawdę duża potrzeba wprowadzenia odrębnej ustawy regulującej zasady funkcjonowania kas. Przepisy zmieniają się bardzo dynamicznie i czasami łapię się na tym, jak w przypadku kasy, że nie odnotuję jakieś zmiany. Tym bardziej, że jako IOD nie siedzę z nosem w przepisach, tylko zajmuję się monitorowaniem zgodności z RODO, więc po określone przepisy sięgam, gdy są mi potrzebne do zweryfikowania legalności przetwarzania danych w ramach określonego przepisu.

Przypuszczam, że wspomniana ustawa o kasach zapomogowo-pożyczkowych (ustawa o KZP) będzie podlegała licznym nowelizacjom, bo już dzisiaj widać potrzebę zmian, więc weź proszę na to poprawkę i po przeczytaniu tego wpisu sięgnij do tekstu ustawy, żeby sprawdzić, czy nie zostały w niej wprowadzone istotne zmiany. Oczywiście w tym wpisie odnoszę się do kwestii ochrony danych osobowych 🙂

Administrator danych

Zgodnie z ustawą o KZP, administratorem członków kasy, poręczycieli oraz innych osób uprawnionych jest kasa zapomogowo-pożyczkowa (art. 43 ust. 7 ustawy). Jest to bardzo ważna informacja dla zarządu kasy działającej przy określonym pracodawcy. Nie ma znaczenia, że kasa działa na terenie zakładu pracy, że korzysta z zasobów administracyjnych pracodawcy, to kasa jest administratorem danych, a zarząd kasy ponosi odpowiedzialność za zapewnienie przetwarzania danych zgodnie z RODO.

Read More
08 lis

Zgoda zleceniobiorcy na przetwarzanie danych osobowych

Jesień jest dla mnie okresem audytowym, kiedy zbieram i weryfikuję informacje o zasadach przetwarzania danych u moich klientów, dlatego ostatnio tak cicho na blogu. Zresztą u Was też jest aktywnie, bo dosłownie zasypaliście mnie we wrześniu i w październiku mailami. Niektóre z nich dotyczyły umów zleceń i kwestii legalności przetwarzania danych zleceniobiorcy.

Wasze wątpliwości w większości wynikały z faktu, że w darmowych wzorach pobranych przez Was z Internetu, pojawia się „zgoda na przetwarzanie danych w celu zawarcia umowy”. Zadawaliście sobie i mi pytanie: a co jeżeli ta osoba odwoła zgodę? Zgodnie z art. 7 RODO, w takim wypadku należy dane zleceniobiorcy zebrane w celu, w jakim wyraził zgodę (zatem w celu realizacji umowy) usunąć. Ale to przecież nie ma sensu. Nie ma. Jeżeli w Waszym wzorze umowy zlecenia lub rachunku zleceniobiorcy widnieje zgoda zleceniobiorcy na przetwarzanie jego danych w celu realizacji umowy lub w celu rozliczeń lub w celu odprowadzenia podatku dochodowego – jest to szkodliwy błąd. O tym jak bardzo może taki błąd być bolesny przekonała się grecka spółka PWC, która prosiła swoich pracowników o wyrażenie zgody na „przetwarzanie danych w celach związanych z zatrudnieniem”. Zgoda oczywiście była niezbędna, do zawarcia umowy (!). W związku z przyjętym rozwiązaniem, pracownicy po zakończeniu stosunku pracy, cofali swoją zgodę na przetwarzanie danych i spotykali się z odmową zrealizowania żądania, gdyż na pracodawcy ciążyły obowiązki wynikające z przepisów prawa pracy. Grecki organ nadzorczy (odpowiednik polskiego UODO), po zapoznaniu się ze skargami byłych pracowników spółki, uznał że uzyskiwanie zgody na przetwarzanie w tym wypadku wprowadzało osoby, których dane dotyczą w błąd, gdyż obiecywano im prawa przysługujące z RODO, które im nie przysługiwały.

Read More
24 wrz

Obowiązki informacyjne w związku z organizowaniem szczepień przeciwko COVID-19

Pracodawcy i szkoły mogą zorganizować u siebie szczepienia przeciwko COVID-19. Niestety aktualne na dzień tworzenia tego wpisu przepisy nie regulują uprawnienia i zasad przetwarzania danych osobowych, na te potrzeby. Na stronach rządowych zostały udostępnione jedynie deklaracje przystąpienia do szczepienia, z których może skorzystać administrator. Nie ma natomiast ani słowa o obowiązkach informacyjnych wobec osobób, które zgłoszą chęć udział w szczepieniach. A te należy, wypełnić. W zasadzie nie sposób powołać się w tym wypadku na wyłączenia od obowiązku informacyjnego przewidziane w art. 13 ust. 4 lub art. 14 ust. 5 RODO.

W związku z licznymi pytaniami, jaka jest podstawa przetwarzania danych osób deklarujących chęć udział w szczepieniach organizowanych przez pracodawców / szkoły, a także jak długo należy te dane przechowywać, postanowiłam przygotować dla Was przykładową klauzulę informacyjną. Rekomenduję, aby dołączyć ją do deklaracji szczepienia, aby każda osoba, które dane dotyczą miała możliwość zapoznania się z jej treścią.

Read More
26 sie

Anonimizacja danych osobowych

Do wpisu zainspirował mnie mem, poprzez który autor zastanawiał się, jak wyglądałoby zdjęcie ślimaka w prasie, gdyby trafił do więzienia. Intuicyjnie chcielibyśmy zasłonić mu górną część twarzy, ale jego oczy znajdują się przecież o wiele wyżej. Tylko czy zakrycie oczu znajdujących się na szczycie czułek ma sens, jeśli cała „twarz” jest poniżej? Sytuacja w zasadzie jest patowa, bo każde z rozwiązań jest nieskuteczne. Właśnie tak bardzo często wygląda anonimizacja w praktyce, która zaczyna i kończy się na dobrych chęciach. Efekt pracy pozostaje jednak nieskuteczny.

W tym wpisie postaram się wytłumaczyć na czym polega anonimizacja, a także pokazać, jak skutecznie ją wykonać. Skupię się na dwóch aspektach anonimizacji: obróbce graficznej oraz analizie tekstu. Anonimizacja to takie działanie, które doprowadza do skutecznego i nieodwracalnego uniemożliwienia zidentyfikowania osoby fizycznej. Oznacza to, że raz wykonana anonimizacja usuwa wszelkie dane osobowe z dokumentu, pliku lub systemu. Nie można później już tych danych w żaden sposób odzyskać lub powiązać z osobą fizyczną.

W dzisiejszych czasach anonimizacja jest coraz większym wyzwaniem ze względu na postęp techniczny. Kilka przypadkowych informacji wyłowionych z tekstu i wrzuconych w wyszukiwarkę, może pozwolić zidentyfikować jednoznacznie konkretną osobę. Doświadczyłam tego wiele lat temu na własnej skórze, gdy nowo poznanej osobie powiedziałam, że mam na imię Sylwia, organizacja, w której pracuję mieści się w Pałacu Kultury i Nauki i prowadzę szkolenia z ochrony danych osobowych. Mój rozmówca wyjął telefon i po minucie odnalazł mnie w Internecie. Nie prowadziłam wtedy bloga, nie byłam rozpoznawalna, nie było zbyt wielu moich zdjęć w Internecie. A jednak zostałam bardzo szybko odnaleziona. Wtedy zrozumiałam, co oznacza „pośrednia identyfikacja” oraz jak trudno jest być dzisiaj anonimowym.

Read More
12 sie

UODO nie odpuszcza w sprawie przetwarzania danych biometrycznych dzieci

Być może pamiętacie sprawę przetwarzania danych osobowych dzieci w jednej ze szkół podstawowywch, w związku z weryfikacją opłacenia przez ich rodziców obiadów. Szkoła zastosowała urządzenie, którego system powiązywał dane dziecka w postaci odcisku palca z informacją o dokonaniu płatności. W momencie wchodzenia na stołówkę dziecko przykładało palec do urządzenia, które potwierdzało lub nie, że opłata została wniesiona. Rozwiązanie służyło zniwelowaniu problemu poprzedniego systemu opartego na kartach magnetycznych, które dzieci bez przerwy gubiły i w związku z tym musiały czekać w kolejce przed stołówkę na sprawdzenie informacji o płatności przez nauczyciela, który miał przy sobie wydrukowaną listę.

Szkoła zaproponowała rodzciom nowe rozwiązanie, które miało przyśpieszyć wydawanie dzieciom posiłków, zastrzegając że zgoda na nie jest w pełni dobrowolna. Jeżeli rodzic nie wyrazi zgody, dziecko będzie weryfikowane ręcznie, poprzez nauczyciela z listą. W praktyce okazało się, że dzieci, których rodzice wyrazili zgodę na biometrię, były weryfikowane jako pierwsze, natomiast te, których rodzice się nie zgodzili, musiały czekać w kolejce. Prezes UODO uznał, że w tym wypadku dochodziło do nierównego traktowania dzieci. Tym samy podważył dobrowolność zgody rodziców, którzy jego zdaniem, czuli się zmuszeni do zgodzenia się na biometrię i nałożył na szkołę pieniężną karę finansową w wysokości 20 tys. złotych.

Decyzja UODO została zaskarżona przez szkołę do Wojewódzkiego Sądu Administracyjnego, który ją uchylił. WSA uznał, że wyrażenie zgody przewidziane w art. 9 ust. 1 lit. a RODO legalizuje pobieranie i przetwarzanie danych biometrycznych dzieci. Warto zwrócić uwagę na to, że WSA uznał, że to nie UODO powinno oceniać ważność zgody, a w swojej decyzji organ nadzorczy podszedł do zagadnienia zbyt rygorystycznie.

Read More