26 lip

Nadawca listu zgłasza naruszenie ochrony danych do UODO, w przypadku jego zagubienia

Myślę, że nie tylko mi spędza sen z powiek kwestia przesyłania dokumentów z danymi osobowymi (np. umów) tradycyjną pocztą lub poprzez firmę kurierską. I nie chodzi mi o koszty, a fakt, że te przesyłki zbyt często (jak na moje standardy) giną lub są przekazane niewłaściwej osobie. Nie ulega wątpliwości, że takie zdarzenie to naruszenie ochrony danych osobowych. Powstaje jednak pytanie, kto za nie odpowiada i powinien je (ewentualnie) zgłosić do organu nadzorczego?

Problem wynika przede wszystkim z faktu, że od nadania przesyłki, nadawca nie ma już żadnego wpływu na to, czy i w jaki sposób została dostarczona. Zatem to podmiot doręczający ponosi odpowiedzialność, za prawidłowe zrealizowanie usługi. Ale przesyłka nie trafi do adresata, to zagubieniu lub ujawnieniu podlegają dane, dla których administratorem jest nadawca.

Dotychczasowe opinie oraz stanowiska Prezesa UODO, wskazują na jednoznaczne podejście: naruszenie zgłasza nadawca, jako administrator danych zawartych w przesyłce.

Read More
02 cze

Dostępy do PUE ZUS, czyli jak IOD otwiera puszkę Pandory

Zaczęło się od PUE ZUS. A właściwie od kary dla Banku Santander związanego z dostępem byłego pracownika do PUE ZUS. Jednak okazało się, że ustalanie użytkowników tego systemu, jest otwarciem puszki Pandory. Czytaj do końca, bo ten wpis jest bardzo pouczający i zapewne dowiesz się z niego, jak zrobić najbliższy audyt uprawnień do systemów informatycznych. I zdziwisz się, że wcześniej pewne rzeczy „nie przyszły Ci do głowy”.

Danie pracownikom dostępu do PUE ZUS, to tykająca bomba?

Niedawno zadzwonił do mnie kolega i poinformował o niezwykłym odkryciu. Okazało się, że w PUE ZUS nie ma możliwości sprawdzenia kto z naszej firmy ma aktywne lub nieaktywne konto użytkownika. Niby nic, ale jest to dość istotne, bo w praktyce jako IOD / administrator nie mamy możliwości zweryfikowania, czy dostępy użytkowników zostały odebrane skutecznie. Zweryfikowałam u moich klientów i faktycznie, w ich systemach także nie ma opcji sprawdzenia, kto aktualnie ma dostęp do systemu. W praktyce okazuje się, że dostępami zarządza administrator systemu, czyli ZUS. Ma to sens, gdy spojrzymy na obowiązki ZUS wynikające z ustawy o systemie ubezpieczeń społecznych, w zakresie zapewnienia bezpieczeństwa danych przetwarzanych w ramach systemu. Tak, to ZUS jest administratorem tych danych, a nie Płatnik (czyli firma, w której jesteś IOD).

Uprawnienia do PUE ZUS nadaje się i odbiera poprzez przekazanie do ZUS pełnomocnictwa (elektronicznie, listem lub osobiście). Jednakże samo przekazanie pełnomocnictwa nie stanowi potwierdzenia, że uprawnienia zostały odebrane. Przepisy, czy regulamin platformy nie określają też czasu, po jakim uprawnienia powinny być odebrane. Zapytałam się u źródła, jak to wygląda w praktyce. Otrzymałam (niezwykle szybko) odpowiedź:

Zasady, zakres i warunki korzystania przez Usługobiorców z portalu PUE ZUS określa Regulamin, o którym mowa w art. 8 ust. 1 ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz. U. z 2020 r. poz. 344). Zgodnie § 4 ust. 2 Regulaminu, dostęp do danych płatnika będącego osobą prawną lub jednostką organizacyjną nieposiadającą osobowości prawnej, może uzyskać osoba fizyczna, która ma zarejestrowany profil w portalu PUE ZUS i posiada stosowne pełnomocnictwo udzielone przez płatnika. Odwołanie tego pełnomocnictwa odbywa się w trybie natychmiastowym przez złożenie formularza PEL-O (odwołanie pełnomocnictwa).

Zapewne wewnętrzne procedury wymagają natychmiastowego działania po stronie ZUS, jednak wiem, że najsłabszym ogniwem każdego systemu bezpieczeństwa jest człowiek, który może mieć dużo innych obowiązków, który może tego dnia nie być obecny w pracy lub po prostu pomylić się. W praktyce pewnie większość administratorów (płatników) odwołuje pełnomocnictwo ostatniego dnia pracy pracownika. Można zatem założyć, że podpisany wniosek trafia do ZUS popołudniu. Czy faktycznie w urzędzie ktoś go natychmiast odbierze i zrealizuje? Co jeśli wniosek będzie wysłany w piątek popołudniu – czy zostanie zrealizowany w weekend? A jeśli zostanie przekazany osobiście lub tradycyjną pocztą, też zakładam, że minie kilka lub kilkanaście dni, zanim zostanie zrealizowany. I nie wynika to ze złej woli, ale z niewłaściwych procedur.

Dla mnie, jako IOD istotne jest to, że nie jestem w stanie stwierdzić, czy dostęp został już odebrany i nie mam na to żadnego wpływu. A także to, jak skutecznie udowodnić, że odwołało się pełnomocnictwo w ZUS? Jeżeli było to zrealizowane elektronicznie, należy pamiętać, że wniosek mógł już ulec archiwizacji w systemie i pozostaje jedynie UPO, które bez dokumentu źródłowego nic nie znaczy.

Read More
14 lut

Zawiadomienie o naruszeniu – najczęstsze błędy i jak to zrobić prawidłowo

Naruszenie ochrony danych w pewnych okolicznościach wymaga zawiadomienia osoby, której dane dotyczą. Zgodnie z art. 34 RODO, administrator musi przekazać zawiadomienie, jeżeli naruszenie może powodować wysokie ryzyko negatywnych skutków dla osoby, której ono dotyczy. Natomiast ja przy większości naruszeń, niezależnie od oceny ryzyka, rekomenduję dokonać zawiadomienia. Uważam, że rzetelna informacja o tym co się stało, jest ważna. Pozwala zrozumieć na czym polegało zdarzenie, jakie mogą być jego konsekwencje i zapewnić lepszą kontrolę nad danymi. Często też zwracam moim klientom uwagę na to, że przekazanie takiej informacji jest po prostu profesjonalne, tym bardziej, gdy osoba, której dane dotyczą wie o naruszeniu jej danych osobowych (a często tak jest). Po kilku latach doświadczeń w zgłaszaniu naruszeń do Prezesa UODO oraz zawiadamianiu osób, których dane dotyczą, nauczałam się jak to robić prawidłowo (hej, nie udawajcie, że Wy od razu wszystko potraficie i wiedzieliście jak to zrobić).

Zawiadomienie nie jest konieczne, gdy osoba, której dotycz już o nim wie

FAŁSZ. To chyba najczęściej przekazywany mi argument przez różnych administratorów oraz IOD. Osoba, której dotyczy naruszenie wie o nim (najczęściej w nim uczestniczyła), zatem jaki jest sens przekazywania jej zawiadomienia? Sama wiedza o tym, że doszło do naruszenia nie oznacza, że ta osoba, wie jakie mogą być jego negatywne konsekwencje i co może zrobić, aby zminimalizować ryzyko. Zatem nawet w tej sytuacji, trzeba przekazać informacje wymagane art. 34 RODO.

Zawiadomienie nie jest konieczne, gdy naruszenie dotyczy jednej osoby

FAŁSZ. Nie wiem skąd wzięło się przekonanie, że naruszenie musi dotyczyć większej liczby osób, żeby wiązało się z wysokim ryzykiem, a tym samym wymagało zawiadomienia. Nie ma znaczenia, czy naruszenie dotyczy 1 czy 1000 osób. Jeżeli zdarzenie może nieść wysokie ryzyko negatywynych skutków, nawet jeżeli dotyczy tylko jednej osoby, należy poinformować ją o naruszeniu ochrony jej danych.

Read More
13 paź

Co zrobić, gdy pracownicy nie zgłosili ADO oraz IOD naruszenia?

Pracownicy wiedzieli o naruszeniu, ale mi go nie zgłosili. Gdy dowiedziałam się o nim z innego źródła, byli na mnie źli, że się czepiam, co robić? Takie pytanie dostałam od koleżanki z branży, która oczywiście bardzo się zestresowała sprawą, bo jest zaangażowana, pewnie jak większość z nas, w swoje obowiązki. I zdenerwowała się tym, że pracownicy przy naruszeniu ochrony danych, po prostu zamietli wszystko pod dywan.

Smutna prawda jest taka, że może to spotkać prędzej czy później każdego inspektora. Najgorzej jest wtedy, gdy zangażujemy się zbyt mocno, za bardzo się staramy, zaczynamy myśleć o administratorze danych i jego organizacji, tak jakby to były nasze dane, jakby to była nasza odpowiedzialność. Pamiętajcie jako Inspektorzy Ochrony Danych, tak naprawdę odpowiadacie za monitorowanie zgodności, i to administrator danych ma Was włączać we wszystkie procesy przetwarzania, to pracownicy są zobligowani do tego, żeby Was poinformować o naruszeniu. Jeżeli pracownicy nie wywiązali się ze swojego obowiązku, schowali sprawę pod dywan,  zamknęli ją w szafie, wiedzieli, że jest naruszenie, ale udawali że nic się nie stało, to w tym momencie nie ma sensu się stresować, nie ma sensu też na nich się denerwować . To nie jest Wasz problem.

Read More
12 cze

Postępowanie Prezesa UODO po otrzymaniu zgłoszenia naruszenia od administratora

Zgłaszanie naruszeń ochrony danych osobowych jest obowiązkiem z art. 33 RODO, który budzi wśród administratorów strach. Jak to, mają donosić sami na siebie, a następnie jeszcze otrzymać karę za to co zrobili? W efekcie pojawia się pokusa, aby nie dokonywać zgłoszenia i zamieść wszystko pod dywan. Takie postępowanie wynika z niewiedzy administratora. Przede wszystkim należy podkreślić, że zgłoszenie ma charakter informacyjny. Idą za nim dwa główne cele: ocena przez Prezesa UODO, czy administrator postąpił właściwie, a także prowadzenie statystyk. Prezes UODO może po przyjęciu zgłoszenia po prostu odnotować je i uznać za zamknięte lub zwrócić się do administratora o dodatkowe wyjaśnienia. Ostatecznym narzędziem jest nakazanie dokonania pewnych czynności, np. zawiadomienia osób, których dane dotyczą. Doskonale obrazują sposób postępowania Prezesa UODO decyzje wydane w sprawie firmy ubezpieczeniowej Y. S.A. , która zgłosiła do UODO aż 15 naruszeń ochrony danych osobowych. Read More