01 mar

Naruszenie, incydent, zdarzenie – jak z nimi postępować

Przepisy RODO odnoszą się jedynie do naruszeń ochrony danych. Są to takie zdarzenia, w wyniku których dochodzi do utraty poufności, dostępności lub integralności danych osobowych. Czyli mogą mieć negatywny wpływ na osobę, której dane dotyczą.

W praktyce notyfikujemy naruszenia i dzielimy je na te, które wymagają zgłoszenia do PUODO oraz takie, które notujemy w wewnętrznych rejestrach (np. na potrzeby doskonalenia systemu bezpieczeństwa, czy analizy ryzyka). Jednak nie każde zdarzenie spełnia definicję naruszenia. W codziennej pracy spotykamy się bardzo często z sytuacjami, gdy dochodzi jedynie do naruszenia procedur wewnętrznych albo sytuacji, która mogłaby eskalować do incydentu. Podobnie naruszenie przepisów RODO (np. nieprzekazanie klauzuli informacyjnej, czy nie wyznaczenie IOD) nie stanowi naruszenia ochrony danych.

W związku z tym pojawia się potrzeba operowania dodatkowym określeniem na tego typu sytuacje. Najczęściej spotykam się z rozróżnieniem „incydent” oraz „naruszenie”. Gdzie incydent to każde zdarzenie mające negatywny wpływ na system ochrony danych, ale nie jest naruszeniem. Takie rozróżnienie jest bardzo pomocne, ale muszę przyznać, że na początku swojej pracy nie rozumiałam, jak bardzo.

Read More
15 sty

Czy należy informować o usunięciu danych osobowych

Przepisy RODO wskazują jedynie na konieczność zapewnienia rozliczalności danych, czyli administrator musi posiadać wiedzę o tym jakie dane zostały usunięte, a także kto,  kiedy i dlaczego je usunął. W praktyce stosuje się albo przyjęte procedury niszczenia na bieżąco dokumentów i usuwania plików, a także danych z systemów, dla których cel przetwarzania już ustał. Takie zasady niszczenia na bieżąco, a także obowiązku pracowników w tym zakresie powinny wynikać z oficjalnie przyjętej proceduy.  W przypadku dokonywania przeglądów danych osobowych, na skutek których usuwa się większe ilości danych, stosuje się protokoły zniszczenia dokumentów.

Powstaje jednak pytanie, czy jeżeli usuwamy dane osobowe, powinniśmy poinformować osobę której dane dotyczą o tym fakcie. Czy powinna mieć wiedzę, że od tego momentu nie mamy już jej danych (czyli na przykład nie będziemy w stanie zrealizować jej prawa z art. 15 RODO do uzyskania kopii danych). Read More

07 paź

Google Analitics a RODO

Chyba najpopularniejsze narzędzie służące do generowania statystyk z odwiedzin na stronie internetowej to Google Analitics. Jest ono tak popularne, że stanowi wręcz synonim tej usługi. W mojej praktyce zawodowej spotkałam się też z tym, że bardzo często dostawcy stron internetowych domyślnie instalują GA, nawet jeżeli klient nie zamówił takiej usług, bo to jest oczywiste, że będzie chciał przeglądać statystyki z odwiedzanych stron. Tematem GA zainteresowałam się już bardzo dawno temu, gdyż z natury jestem podejrzliwa i nie wierzę, że w życiu można mieć coś za darmo. Moje podejrzenia utwierdził najpierw regulamin Google Analitics (omówię poniżej), ale także akcja Panoptykon, dotycząca analizy stron administracji rządowej i samorządowej, pod kątem wykorzystywania narzędzi śledzących użytkownika, w tym korzystania przez te strony z GA.

Tak, GA jest narzędziem zbierającym i analizującym dane użytkowników, co więcej musi być w stanie go w jakiś sposób zidentyfikować, aby wygenerować dane statystyczne. Nieważne, że ja jako administrator stron widzę tylko i wyłącznie dane statystyczne, żeby je zebrać i przetworzyć, potrzebne były jakieś dane osobowe. Pytanie jednak, czy to narzędzie jedynie mieli te dane przez chwilę, aby dać nam wynik statystyczny, czy przetwarza je i wysyła dalej, aby móc wykorzystać do szeroko pojętych celów biznesowych Google. Nie bądźmy naiwni. Jaki jest sens dawać administratorom stron za darmo tak fajnie narzędzie, jak Google Analitics, jeżeli ma nie być z tego żadnych korzyści? Współpracując na co dzień z agencjami reklamowymi korzystającymi z szerokiej gamy narzędzi służących do analizy zachowań użytkowników w Internecie w celu generowania skutecznych reklam, utwierdziłam się w przekonaniu, że GA działa bardzo podobnie. Po jakimś czasie pojawiła się aktualizacja regulaminu tego narzędzia (najprawdopodobniej zrobiona w związku z RODO), z której czarno na białym wynika, że jest to narzędzie służące do przetwarzania danych osobowych. W dodatku regulamin korzystania z tego narzędzia jest dosyć, hmmm restrykcyjny. Read More

27 mar

Doczekaliśmy się pierwszej „kary RODO”

Wczoraj mój telefon rozgrzał się do czerwoności w związku z konferencją prasową, na której Pani Prezes UODO powiadomiła o nałożeniu pierwszej kary finansowej za przetwarzanie danych niezgodnie z przepisami prawa. Oczekiwania były takie, że kara zostanie nałożona na podmioty, o których było głośno w ostatnim czasie w związku z wykradzeniem im dużej ilości danych lub niewłaściwym zabezpieczeniem danych, które doprowadziły do ujawnienia danych osobowych klientów. Stąd duże zdziwienie wywołała informacja, że została nałożona kara za niewypełnienie obowiązków informacyjnych wobec osób, prowadzących działalność gospodarczą, których dane zostały pozyskane do bazy spółki z ogólnodostępnych źródeł (CEiDG KRS, GUS, CEPiK, Monitorze Sądowym i Gospodarczym). Zaskakujące było także to, że podczas konferencji Prezes UODO powiedziała, że kara wyniosła 943 tys. złotych! Pierwsza kara i od razu prawie milion złotych. Przyczyną nałożenia kary było niewypełnienie obowiązku informacyjnego z artykułu 14 RODO wobec przedsiębiorców, których dane z ogólnodostępnych źródeł zostały pozyskane do bazy. W sumie w bazie było około 6 milinów danych osób, które powinny otrzymać klauzulę informacyjną, jednak firma z ogólnodostępnych źródeł pozyskała adresy e-mail jedynie do 90 tys. Wobec tych osób, wypełniła obowiązek informacyjny, wysyłając wiadomość z odpowiednią klauzulą.  W przypadku pozostałych osób ukarana spółka postanowiła skorzystać z wyjątku z art. 14 pkt 5 lit b RODO, który pozwala odejść od obowiązku informowania o przetwarzaniu danych, jeżeli wymagałoby to niewspółmiernie dużego wysiłku. W związku z tym zamieściła klauzulę jedynie na swojej stronie internetowej. Wśród poinformowanych, aż 12 tys. zgłosiło sprzeciw na przetwarzanie ich danych, co zdaniem Prezes UODO świadczyło o tym, jak istotne znaczenie dla pozostałych 6 milionów osób, było uzyskanie informacji o prawach przysługujących w związku z przetwarzaniem ich danych. Dodatkowo w bazie było ponad 2,33 mln danych przedsiębiorców, którzy zawiesili działalność. Spółka ma prawo złożyć skargę do Wojewódzkiego Sądu Administracyjnego. Read More

25 mar

Uczelnie wyższe nie mogą (już) kopiować dowodów osobistych

Wpis  jest wynikiem rozmów z osobami które zapisują się na studia podyplomowe z ochrony danych osobowych o tym jakie dane osobowe może pozyskiwać od nich uczelnia wyższa.  Jak wiadomo, osoby które zawodowo zajmują się ochroną danych osobowych są na co dzień bardziej uczulone na punkcie swojego prawa do prywatności niż Przeciętny Kowalski w związku z tym zapisując się na uczelnię wyższą zwracają szczególną uwagę na to jakie dane są od nich pozyskiwane oraz jak wypełniony wobec nich obowiązek informacyjny. Mówiąc krótko nie ma litości 😀

Ponad rok temu podjęłam temat legalności kopiowania dowodu osobistego przez pracowników dziekanatu.  Ponieważ nie jestem alfą i omegą zwróciłam się wówczas z pytaniem do Łukasza Wojciechowskiego, który na co dzień jest adiunktem w WSEI w Lublinie, aby pomógł mi ustalić czy jest podstawa prawna do realizacji tego działania.  Okazało się że uczelnie wyższe były tak naprawdę zobligowane do pozyskania kopii osobistej przyszłego studenta. Obowiązek ten wynikał z rozporządzenia Ministra Nauki i Szkolnictwa Wyższego z dnia 16 września 2016 r. w sprawie dokumentacji przebiegu studiów. Jednak rozporządzenie zostało uchylone wraz z nowelizacją Prawa o szkolnictwie wyższym i nauce w 2018 roku. W tym momencie nie ma przepisu, który wymagałby zbierania kopii dowodów osobistych studentów. Co ciekawe ten obowiązek niekoniecznie szedł w parze z adekwatnością tych danych do celu przetwarzania, ponieważ w praktyce uczelnia wyższa nie potrzebowała kopii dowodu do realizacji swojego celu ustawowego.  Temat kopiowania dowodów wraca do mnie jak bumerang wraz z każdym nowym rocznikiem studentów, których mam przyjemność uczyć ochrony danych osobowych w Politechnice Białostockiej lub w Wyższej Szkole ekonomii i Innowacji w Lublinie. Ponieważ staram się być rzetelna w tym co robię, nawet jeżeli wydaje mi się, że znam odpowiedź, zanim udzielę studentom odpowiedzi zawsze wcześniej upewniam się, czy nie zaszły zmiany w obowiązujących przepisach.  Jest to bardzo dobra zasada, gdyż pozwala ustrzec się od błędów. Zwłaszcza, że w dzisiejszych czasach przepisy zmieniają się tak szybko, że czasami naprawdę trudno za nimi nadążyć. Potwierdziła to praktyka dalszego kopiowania dowodów osobistych przyszłych studentów przez uczelnie wyższe, pomimo uchylenia rozporządzenia które je do tego obligowało.

Read More

18 lut

Obowiązki IOD w związku z ustawą o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości

Doczekaliśmy się uregulowania kwestii przetwarzania danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom, które zgodnie z art. 2 ust. 2 lit d RODO było wyłączone spod jego stosowania. Zasady przetwarzania danych przez te podmioty reguluje ustawa z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (dalej będę używać określenia uodopzzzp). Podkreślenia wymaga fakt, że ustawa odnosi się do przetwarzania danych osobowych do wskazanych celów, czyli w pozostałym zakresie zastosowanie będzie miało RODO, w szczególności do zasad przetwarzania danych pracowników, kandydatów do pracy, kontrahentów, uczestników przetargów.

Nowa ustawa reguluje zasady wyznaczenia, a także obowiązki Inspektora Ochrony Danych Osobowych w podmiocie zobligowanym do jej stosowanie. Nie sposób oprzeć się wrażeniu, że to powrót do korzeni, czyli (uchylonej) ustawy o ochronie danych osobowych z 2015 roku (dalej stara uodo), która miała „przygotować” administratorów danych na przyjście RODO. Być może niektórzy pamiętają jeszcze dwa rozporządzenia wykonawcze do tej ustawy, określające sposób realizacji obowiązków przez ówczesnego ABI:

Read More

07 lut

Ochrona danych osobowych w procesie rekrutacji (wpis gościnny)

 Najcenniejszym kapitałem każdej organizacji są ludzie, aby ich pozyskać niezbędne jest przeprowadzenie procesu rekrutacji. Wielu rekrutujących pracodawców zadaje sobie pytanie, co zrobić, aby proces ten przeprowadzić zgodnie z przepisami. Kandydaci do pracy coraz częściej zwracają uwagę na to, czy potencjalny pracodawca respektuje ich prawo do prywatności i ochrony danych. Warto zastanowić się w jaki sposób przeprowadzamy rekrutację, albowiem prawidłowy proces z całą pewnością wpłynie na pozytywny wizerunek pracodawcy. Znalezienie odpowiedniego pracownika nie jest łatwym zadaniem tym bardziej, iż dokonanie oceny kwalifikacji zawodowych czy też doświadczenia danej osoby możliwe jest wyłącznie w oparciu o pozyskane od kandydata dane osobowe.

Poniższy wpis dotyczy przetwarzania przez pracodawcę danych osobowych kandydatów do pracy.

Gromadzenie, przechowywanie, niszczenie zebranych w procesie rekrutacji danych osobowych kandydatów do pracy stanowi przetwarzanie danych (art. 4 ust. 2 RODO). Pracodawca staje się administratorem danych osobowych kandydatów do pracy niezależnie od sposobu otrzymania dokumentów rekrutacyjnych (tj. w wersji papierowej oraz elektronicznej). Na administratorze spoczywają konkretne obowiązki o czym będzie mowa w dalszej części wpisu.

Obowiązki pracodawcy

Potocznie zwykło mówić się, że pracownikiem jest każdy wykonujący pracę, ale projektując procesy przetwarzania danych osobowych należy odróżniać pracowników od osób współpracujących. W myśl art. 2 Kodeksu pracy pracownikiem jest „osoba zatrudniona na podstawie umowy o pracę, powołania, wyboru, mianowania lub spółdzielczej umowy o pracę. Pracownikiem nie jest osoba, która wykonuje czynności na innych podstawach niż wymienione w art. 2 (np. umowa zlecenia, umowa o dzieło, agencyjna). Pracodawcą zaś jest jednostka organizacyjna, choćby nie posiadała osobowości prawnej, a także osoba fizyczna, jeżeli zatrudniają one pracowników (art. 3 Kodeksu pracy). Read More

09 lip

Jakie obowiązki ma Inspektor Ochrony Danych?

Nowelizacja „starej” ustawy o ochronie danych osobowych, wprowadzona w 2015 roku miała przygotować administratorów danych osobowych do RODO. Wprowadziła nową, niż dotychczasowa, rolę Administratora Bezpieczeństwa Informacji. Generalny Inspektor Ochrony Danych w wypowiedziach związanych z nowelizacją przepisów, podkreślał, że zmiany mają przygotować przedsiębiorców na projektowane Rozporządzenie o ochronie danych (RODO). Rolę i obowiązki ABI określono w rozdziale  (Zabezpieczenie danych osobowych) „starej” ustawy o ochronie danych osobowych (Dz.U. 2016 poz. 922).

Wśród obowiązków ABI było zapewnienie przestrzegania przepisów o ochronie danych osobowych, w szczególności poprzez:

a) sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych,

b) nadzorowanie opracowania i aktualizowania dokumentacji oraz przestrzegania zasad w niej określonych,

c) zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych;

a także prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych.

Sposób realizacji obowiązków ABI określały dwa rozporządzenia wykonawcze do ustawy:

  • Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji
  • Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych

Jednocześnie ustawa dawała możliwość powierzenia ABI innych obowiązków, jeżeli nie naruszy to prawidłowego realizowania przez niego swoich głównych zadań, związanych z nadzorem nad zgodnością przetwarzania danych.

Mówiąc krótko, dotychczasowe przepisy dosyć szczegółowo określały zakres obowiązków ABI.

Jak wyglądają obowiązki nowego ABI, czyli Inspektora Ochrony Danych w świetle przepisów RODO? Read More

05 cze

Czy trzeba prosić o zgodę na przetwarzanie danych w związku z wystawieniem faktury

Na wstępie należy podkreślić, że zgoda to nie jedyna podstawa do legalnego przetwarzania danych. Tak naprawdę po zgodę sięgamy dopiero wtedy, gdy nie mamy innej przesłanki legalizującej przetwarzanie. Skupię się na danych zwykłych, czyli takich danych, które są zbierane do wystawienia faktury.

Zgodnie z art. 6 RODO:
1. Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:

a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;

b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;

c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;

d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej; Read More

17 maj

RODO: odbiorca danych, czyli kto?

Ogólne rozporządzenie o ochronie danych w kilku sytuacjach, wymaga wskazania odbiorców danych:

  1. Podczas wypełniania obowiązku informacyjnego (art. 13-15 RODO)
  2. W rejestrze czynności przetwarzania (art. 30 RODO)

Należy także powiadomić wszystkich odbiorców danych o żądaniu osoby, której dane dotyczą usunięcia, sprostowania lub ograniczenia przetwarzania. Poprawne zrealizowanie tych obowiązków wymaga ustalenia kto jest odbiorcą danych w rozumieniu RODO.

Definicja odbiorcy jest wskazana w art. 4 ust. 9 RODO:

„Odbiorca” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią. Organy publiczne, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania zgodnie z prawem Unii lub prawem państwa członkowskiego, nie są jednak uznawane za odbiorców; przetwarzanie tych danych przez te organy publiczne musi być zgodne z przepisami o ochronie danych mającymi zastosowanie stosownie do celów przetwarzania;

W zakresie informacji przekazywanej osobie, której dane dotyczą, gdy pozyskujemy od niej jej dane osobowe ma zastosowanie artykuł 13, w zakresie odbiorcy ust. 1 e:

Osobie, której dane dotyczą przekazuje się informację: informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;

Jednocześnie, jeżeli w momencie gromadzenia danych, administrator nie planuje przekazywać od razu danych osobowych do wszystkich odbiorców (może to zależeć od konkretnych czynników), to informację o udostępnieniu należy podać w momencie udostępnienia, a nie gromadzenia (np. udostępnienie firmie windykacyjnej): Read More