RODO. Nie daj się zaskoczyć.

26/03/2019

Stało się! I niestety nie chodzi o to, że trafiłam 6 w LOTTO i mogę uciekać w Bieszczady. W Polsce została nałożona pierwsza kara finansowa za nieprzestrzeganie (a dokładniej niewłaściwe przestrzeganie) RODO.

Co o tym myślicie? Czy jest się czego bać?

Z RODO nie ma żartów. Za naruszenie przepisów można zapłacić do aż 20 mln euro lub do 4% wartości rocznego światowego obrotu przedsiębiorstwa. Prezes Urzędu Oc

26/03/2019

Tak, niestety, może się skończyć zaniechanie realizacji obowiązku informacyjnego wobec osób, których dane przetwarza Administrator.

W Polsce została nałożona pierwsza kara za nieprzestrzeganie przepisów dot. ochrony danych osobowych.

Szczegóły wkrótce.

Całkiem spora kara za złamanie przepisów o ochronie danych osobowych spadła na firmę przetwarzającą ogólnodostępne w Internecie dane.

14/03/2019

Monitoring wizyjny w sklepie czy restauracji – czy potrzebne są zgody osób objętych monitoringiem i spełnienie wobec nich obowiązku informacyjnego?

Daną osobową w rozumieniu przepisów o ochronie danych osobowych, w tym RODO, może być każda informacja z systemu monitoringu, która jednoznacznie pozwala zidentyfikować konkretną osobę, więc w przypadku monitoringu wizyjnego to wizerunek daną osobową.

Administratorem tych danych osobowych będzie podmiot, który zbiera dane osobowe z monitoringu i decyzuje o celach i środkach ich przetwarzania.

Jaka jest podstawa prawna przetwarzania danych z monitoringu?

W art. 6 pkt 1 RODO znajdziecie katalog przesłanek legalizujących przetwarzanie danych osobowych. W przypadku monitoringu wizyjnego zastosowanego w sklepie bądź restauracji nie dopatrujcie się jej w zgodzie osób monitorowanych. Najczęstszą podstawą prawną przetwarzania wizerunku osób znajdujących się w obszarze sklepu bądź restauracji będzie powoływanie się na uzasadniony interes realizowany przez administratora (art. 6 pkt 1 lit. f RODO). Pamiętajcie jednak, że mówimy o sklepie bądź restauracji. W przypadku podmiotów publicznych zastosowanie tej przesłanki nie jest dopuszczalne. Podmioty publiczne mogą przetwarzać dane osobowe utrwalone za pomocą monitoringu jedynie w celu wykonywania swoich zadań i tylko wówczas, gdy stosowny przepis prawa im na to zezwala.

Czy trzeba spełnić obowiązek informacyjny wobec osób, których wizerunek rejestrowany jest za pomocą monitoringu?

Prawidłowa odpowiedź jest jedna: TAK. Podmiot, który zbiera dane z monitoringu, musi dopełnić obowiązku informacyjnego wobec osób nim objętym (art. 13 RODO). Pełna treść klauzuli informacyjnej, zawierająca wszystkie informacje przewidziane w art. 13 RODO byłaby bardzo obszerna, dlatego sugeruję rozważyć stosowanie tzw. warstwowej klauzuli informacyjnej.

Co zawrzeć w warstwowej klauzuli informacyjnej?

Rekomenduję zawarcie w niej zawarcie następujących informacji:
1. kto jest administratorem danych osobowych;
2. jaki jest cel oraz podstawa prawna przetwarzania danych osobowych;
3. ile kamer zastosowano oraz jaki obszar obejmują;
4. jak długo przechowywane są nagrania;
5. odesłanie do pełnej treści klauzuli dostępnej np. na stronie internetowej.

27/02/2019

Moja krótka wypowiedź dot. otrzymywania, w ostatnim czasie, e-maili o rzekomym zamiarze wszczęcia kontroli Urzędu Skarbowego.

Bądźcie czujni!

Uwaga na e-maile o zamiarze wszczęcia kontroli skarbowej!

Szanowni Państwo,

od kilku dni dostajemy niepokojące informacje dotyczące otrzymywania e-maili o rzekomym zamiarze wszczęcia kontroli skarbowej. W załączeniu do e-maila znajduje się jednak plik, który zawiera złośliwy skrypt VBS.

Zarówno naszych Klientów, jak i Was pouczamy - nie należy otwierać załączników dołączonych do wiadomości mailowych pochodzących z nieznanych Państwu źródeł. Rekomendujemy daleko idącą ostrożność w tym zakresie.

A na koniec uspokajamy - kontroli z US nie będzie. Co najwyżej kontrola “antywirusowa" przeprowadzona przez rzetelnego inspektora ochrony danych 😉

Pamiętajcie, że zainstalowanie złośliwego oprogramowania może wiązać się z naruszeniem ochrony danych osobowych i właśnie dlatego zawsze podczas przeprowadzanych audytów, rekomendujemy Wam posiadanie aktualnych antywirusów, które chronią przed podobnymi zagrożeniami.

Miejcie na uwadze, że ochrona danych osobowych to nie tylko zapewnienie bezpieczeństwa danych osobowych przetwarzanych w sposób tradycyjny (papierowy), ale również danych przetwarzanych w systemach informatycznych. Kompleksowa ochrona musi w sposób szczegółowy uwzględniać obie te formy przetwarzania danych osobowych.

11/02/2019

Stanowisko UODO w przedmiocie 1% podatku na rzecz organizacji pożytku publicznego.

05/02/2019

Klauzula informacyjna do ogłoszenia o pracę.

1. Dlaczego?

Rekrutując nowego pracownika do Twojej firmy, musisz spełnić obowiązek informacyjny wobec kandydatów aplikujących na zamieszczone przez Ciebie ogłoszenie. Wynika to wprost z art. 13 RODO.

W momencie gromadzenia CV kandydatów, stajesz się administratorem ich danych osobowych – co skutkuje nałożeniem na Ciebie obowiązku informacyjnego. Musisz poinformować kandydatów m. in. w jakim celu i zakresie będziesz przetwarzać ich dane osobowe.

2. Kiedy aktualizuje się obowiązek informacyjny?

Dopełnienie obowiązku powinno nastąpić jeszcze PRZED zebraniem danych osobowych kandydatów. W praktyce najlepiej i najbezpieczniej zamieścić niezbędne informacje w ogłoszeniu rekrutacyjnym.

Z uwagi na to, iż niektóre portale posiadają ograniczoną liczbę znaków podczas dodawania ogłoszenia, możesz zastosować warstwową klauzulę informacyjną, w której zastosujesz odesłanie (np. link przekierowujący) do pełnej jej treści.

3. Elementy klauzuli informacyjnej:

Zamieszczając ogłoszenie o pracę, musisz poinformować kandydatów o:

1. nazwie + danych kontaktowych administratora danych osobowych –> „Administratorem Twoich danych osobowych jest Firma X Sp. z o.o. , z siedzibą w X, przy ul. Y, reprezentowana przez Zarząd; adres e-mail: […];

2. jeżeli powołałeś w swojej firmie inspektora ochrony danych, poinformuj o jego danych kontaktowych -> „Administrator danych osobowych powołał inspektora ochrony danych, z którym można kontaktować się za pomocą poczty elektronicznej: […] bądź telefonicznie pod numerem: […]”;

3. celu przetwarzanych danych osobowych – > „Twoje dane osobowe przetwarzany w celu przeprowadzenia bieżącej rekrutacji wskazanej w ofercie pracy bądź w celach przyszłych rekrutacji, jeżeli wyraziłaś/eś stosowną zgodę w treści swojej aplikacji.”, warto również dodać następujący zapis: „Możemy przetwarzać Twoje dane osobowe zawarte w zgłoszeniu rekrutacyjnym w celu ustalenia, dochodzenia lub obrony przed roszczeniami, jeżeli dotyczą one prowadzonej przez nas rekrutacji.”;

4. podstawie prawnej przetwarzanych danych osobowych -> „Twoje dane osobowe obejmujące zakres wynikający z kodeksu pracy (w tym miejscu może być również inna podstawa prawna, np. ustawa branżowa), przetwarzamy w oparciu o przepisy prawa – odpowiednio do art. 6 ust. 1 lit. c RODO. Podanie tych danych jest konieczne celem wzięcia udziału w procesie rekrutacji na stanowisko określone w ogłoszeniu. Pozostałe dane osobowe, np. Twój wizerunek, nr telefonu czy adres e-mail, przetwarzany na podstawie Twojej dobrowolnej zgody, odpowiednio do art. 6 ust. 1 lit. a RODO. Podanie danych dobrowolnych nie ma wpływu na możliwość udziału w procesie rekrutacyjnym.”;

5. odbiorcach, czyli podmiotach, którym przekazujesz dane osobowe kandydatów – najbezpieczniejszym rozwiązaniem jest podanie kandydatom pełnej listy podmiotów, którym będziesz udostępniać ich dane osobowe, np. „Twoje dane osobowe przekażemy do następujących podmiotów: 1. Firma X sp. z o.o. z siedzibą w …; 2. Kancelaria Prawna X …”, jeżeli jednak nie możesz wskazywać konkretnych podmiotów, którym udostępniasz dane kandydatów, wskaż w ogłoszeniu rodzaj usług, jakie świadczą dla Ciebie te podmioty, np. „Odbiorcami Twoich danych osobowych mogą być podmioty działający na zlecenie administratora danych, tj. podmiot świadczący usługi IT w zakresie serwisowania i usuwania awarii, dostawca usług publikacji ogłoszeń o pracę. Wszyscy nasi dostawcy mają siedziby w Polsce/Unii Europejskiej (w zależności).”;

6. okresie przechowywania danych osobowych kandydatów -> „Twoje dane zgromadzone w procesie rekrutacyjnym będą przechowywane przez okres nie dłuższy niż 3 miesiące od momentu zakończenia procesu rekrutacji, zaś w przypadku wyrażenia dobrowolnej zgody na udział w przyszłych rekrutacjach, przez okres …”;

7. prawie cofnięcia zgody – jeżeli przetwarzasz dane osobowe kandydatów wykraczające poza kodeks pracy/ustawy szczegółowe, np. wizerunek, nr telefonu, adres e-mail -> „Pouczenie: Informuję, że masz prawo w każdym momencie wycofać wyrażoną zgodę bez wpływu na zgodność z prawem przetwarzania, którego dokonano przez jej wycofaniem. W celu wycofania zgody, proszę skontaktować się z wyznaczonym inspektorem ochrony danych pod adresem: …”;

8. prawach kandydata w stosunku do jego danych -> „Zgodnie z RODO, masz prawo dostępu do swoich danych osobowych, w tym uzyskania ich kopii, sprostowania, żądania ich usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu wobec przetwarzania, a także przeniesienia podanych danych osobowych do innego administratora, jeżeli wyraziłeś na to zgodę. Wniesienie żądania usunięcia danych jest równoznaczne z rezygnacją z udziału w procesie rekrutacyjnym.”;

9. prawie wniesienia skargi do organu nadzorczego -> „Zgodnie z RODO, przysługuje Ci prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych na niezgodne z prawem przetwarzanie jej danych osobowych. Organ ten będzie właściwy do rozpatrzenia skargi z tym, że prawo wniesienia skargi dotyczy wyłącznie zgodności z prawem przetwarzania danych osobowych, nie dotyczy zaś przebiegu procesu rekrutacji.”

Dodatkowe, rekomendowane przeze mnie, klauzule:

I. Klauzula zgody na przetwarzanie dodatkowych danych osobowych:

„Na podstawie art. 6 ust. 1 lit. a ogólnego rozporządzenia o ochronie danych osobowych, ja, niżej podpisana/y, ………………………………………….., wyrażam zgodę na przetwarzanie przez Firmę X Sp. z o.o. , z siedzibą w … (Administrator Danych Osobowych) moich nieobowiązkowych danych osobowych zawartych w niniejszym formularzu w celu prowadzenia rekrutacji na stanowisko wskazane w ogłoszeniu.";

II. Zgoda na przyszłe rekrutacje:

„Wyrażam zgodę na przetwarzanie moich danych osobowych, zawartych w dokumentach aplikacyjnych przez ……… , w celu przeprowadzenia obecnego postępowania rekrutacyjnego oraz w kolejnych naborach kandydatów na pracowników Firmy X Sp. z o.o., z siedzibą w ...”

29/01/2019

(Dziś będzie długo, ale praktycznie, słowo!)

Podstawowe zasady przetwarzania danych osobowych na co dzień, czyli to, co każdy z nas lubi – PRAKTYCZNE ASPEKTY BEZPIECZEŃSTWA DANYCH OSOBOWYCH.

O zasadach bezpieczeństwa danych osobowych w ujęciu teoretycznoprawnym mówić i pisać można bez ustanku, jednakże co, tak naprawdę, wynika z przepisów RODO dla każdego z nas? Dziś spróbuję przedstawić Wam kilka prostych i praktycznych rozwiązań, które przy minimalnym nakładzie zarówno sił, jak i środków finansowych (co jest szczególnie istotne dla przedsiębiorców), pozwolą znacznie zwiększyć poziom bezpieczeństwa przetwarzanych danych osobowych.

1. Zasada prywatności kont w systemach – żyjemy w świecie realno-wirtualnym, a więc korzystając z dobrodziejstwa rozwoju technologicznego, korzystamy również z systemów informatycznych do przetwarzania danych osobowych. Podstawowa zasada brzmi następująco: pamiętaj, że każda osoba, która korzysta z systemów informatycznych powinna być zobowiązana do pracy jedynie na indywidualnie przypisanym koncie, które jednoznacznie identyfikuje tę osobę. To samo dotyczy skrzynki mailowej. Każdy z pracowników, który wykorzystuje skrzynkę mailową w swojej codziennej pracy powinien posiadać indywidualną skrzynkę. Sytuacja, w której kilka osób korzysta z jednego służbowego maila, nie powinna mieć już miejsca.

Indywidualne konto użytkownika oraz hasło = możliwość zweryfikowania kto i kiedy ingerował w treść danych osobowych = bezpieczeństwo danych.

2. Zasada poufności haseł i kodów dostępu - każdy użytkownik powinien zachowywać w poufności oraz nie przekazywać innym osobom udostępnionych mu haseł i kodów dostępu. Regułą ta dotyczy w szczególności osobistych haseł dostępu do systemów informatycznych, a także kodów dostępu do pomieszczeń. Indywidualne hasło należy zachować jedynie dla siebie. Nie należy przekazywać ich innym osobom, w tym przełożonemu lub administratorom, a jeśli już do tego doszło to powinno się je niezwłocznie zmienić.

Uwaga: nawet podczas kontroli organu nadzorczego, którym jest Prezes Urzędu Ochrony Danych Osobowych (PUODO) NIE NALEŻY informować o treści swojego indywidualnego hasła dostępu. Jesteśmy jedynie zobligowani do udzielenia informacji dot. składu hasła (np. 8 znaków, w tym znaki specjalne oraz cyfry) oraz częstotliwości zmian (np. raz w miesiącu).

3. Zasada czystego ekranu (zwana także polityką czystego ekranu) – każdy komputer służący do pracy z danymi osobowymi powinien mieć automatycznie włączający się, po zdefiniowanym czasie bezczynności użytkownika (np. 5 min.), wygaszacz ekranu zabezpieczony hasłem w przypadku ponownego logowania się. To prosta metoda, która skutecznie zabezpieczy dane osobowe w przypadku chwilowej nieobecności użytkownika. Dodatkowo, jeżeli użytkownik chce na chwilę opuścić stanowisko pracy, powinien zablokować komputer/wylogować się z systemu.

Chcesz iść do toalety – zablokuj komputer!

4. Zasada czystego biurka (zwana także polityką czystego biurka) – podstawowa zasada osób pracujących z wykorzystaniem dokumentów w formie tradycyjnej, tj. papierowej. Przede wszystkim unikajmy pozostawiania dokumentów zawierających dane osobowe na biurku bez nadzoru. Ponadto, posiadajmy na biurku jedynie te dokumenty, z którymi rzeczywiście aktualnie pracujemy. I na sam koniec, wszystkie dokumenty zawierające dane osobowe bądź mogące stanowić tajemnicę przedsiębiorstwa przechowujmy w zabezpieczonym miejscu (np. szafie zamykanej na klucz). Tu jedna uwaga: nie istnieje nic takiego, jak szafy zgodne z RODO, na które natknęłam się jakiś czas temu w Internecie. Prawdopodobnie te, które aktualnie posiadacie, są wystarczające. Dobrym rozwiązaniem jest posiadanie szaf zamykanych na klucze i wdrożenie stosownej polityki kluczy.

5. Zasada czystej tablicy – jeżeli do pracy wykorzystujesz inne niż dokumenty materiały, pamiętaj, żeby po zakończonej pracy czy spotkaniu, uprzątnąć je. To samo dotyczy flipchartów – wyczyść je po zakończonym spotkaniu czy konferencji. Wszystko, co zawiera dane osobowe, należy zabezpieczyć przed dostępem przez osoby nieuprawnione.

6. Zasada czystej drukarki – drukujesz dokumenty z użyciem ogólnodostępnej drukarki? Pamiętaj, że musisz je zabrać od razu po wydrukowaniu. Nie każdy pracownik posiada identyczny zakres dostępu do danych osobowych. Jeżeli podczas wydruku napotkasz problem, zgłoś to przełożonemu/administratorowi systemów informatycznych/inspektorowi ochrony danych lub innej osobie, która sprawuje nadzór w Twoim miejscu pracy.

7. Zasada czystego kosza – jeżeli przetwarzasz dane w sposób tradycyjny (papierowy) pamiętaj, że w momencie ustania przydatności danego dokumentu, należy go zniszczyć w sposób uniemożliwiający ponowne odczytanie. Nie wyrzucaj dokumentów do kosza. Korzystaj z niszczarki. I dobra rada – rób to na bieżąco. Nie zbieraj w szufladzie „dokumentów do zniszczenia”, ponieważ takie działanie zwiększa ryzyko dostępu do danych przez osoby nieuprawnione (co, gdy serwis sprzątający natknie się na te dokumenty podczas sprzątania Twojego miejsca pracy?).

I na koniec – jak to wszystko wdrożyć? Idealnym, a jednocześnie prostym sposobem jest wdrożenie regulaminu ochrony danych osobowych, w którym opiszecie podstawowe zasady związane z bezpieczeństwem danych osobowych. Pamiętajcie, że należy zapoznać z nim (a najlepiej uzyskać pisemne oświadczenia – zasada rozliczalności) wszystkich pracowników.

Jeżeli wdrożenie stosownych rozwiązań dot. ochrony danych osobowych sprawia Wam trudność (bo przecież nie wszyscy musimy być praktykami prawa) lub wolicie przerzucić odpowiedzialność na kogoś innego (;-)), zapraszam do współpracy. Zobowiązuję się, że pomogę Wam w możliwie prosty i oszczędny sposób wdrożyć adekwatne systemy bezpieczeństwa danych osobowych w Waszych przedsiębiorstwach.

I pamiętajcie – nie istnieje NIC TAKIEGO, jak „SZAFY ZGODNE Z RODO”! ;-) W każdym razie nie słyszałam dotąd o takowej certyfikacji.

Dobra współpraca, to współpraca efektywna i satysfakcjonująca dla każdej ze stron – nie dajcie się naciągać.

Dobrego wtorku Fejsbukowicze! ;-)

05/12/2018

Zbliża się koniec roku, więc jeżeli ktoś z Was lub Waszych znajomych nie wdrożył jeszcze nowych przepisów z zakresu ochrony danych osobowych lub potrzebuje szkolenia w tym zakresie, zapraszam do kontaktu. Obserwując rynek widzę do jakich absurdów interpretacyjnych dochodzi oraz jak wielu przedsiębiorców jeszcze nie podjęło żadnych kroków celem stworzenia nowej, wymaganej przepisami, dokumentacji. Mam świadomość, że stworzenie rejestru czynności przetwarzania danych osobowych czy zawieranie umów o powierzeniu przetwarzania danych, nie dla wszystkich jest tak oczywiste i proste, dlatego zapraszam do współpracy.

06/09/2018

RODO, a szkoły.

Ostatnio, prowadząc szkolenia w szkołach, często łapię się za głowę słysząc o ograniczeniach, jakie wprowadzają niektórzy inspektorzy ochrony danych. Dla przykładu, w jednej ze szkół, podczas sprawdzania obecności na lekcji, zakazano nauczycielom wyczytywać uczniów po imieniu i nazwisku. Chcę zdementować te plotki - takie wytyczne iod to absurd w czystej postaci.

Problem jest jednak złożony - coraz więcej osób, które nie mają wykształcenia prawniczego (oczywiście nie jest to warunek konieczny), twierdzi, że posiada "uprawnienia" do bycia inspektorem ochrony danych (i załącza to tego certyfikat z odbycia szkolenia o ochronie danych osobowych). Pytam więc: jakie uprawnienia? Nie słyszałam nic na temat tego, aby koniecznym było posiadanie specjalnych uprawnień. Przede wszystkim, inspektor ochrony danych, powinien posiadać fachową wiedzę z zakresu PRAWA i praktyk w dziedzinie ochrony danych osobowych, odpowiednio do art. 37 ust. 5 RODO.

Czy ktoś, kto nigdy nie miał do czynienia z prawem i odbył szesnastogodzinne szkolenie z zakresu odo może być inspektorem? Co do zasady, pewnie tak. Czy jednak zapewni adekwatne stosowanie przepisów i będzie wypełniał obowiązki określone m. in. w art. 39 RODO? Szczerze wątpię.

Jako prawniczce przykro mi obserwować ilu ludzi traktuje RODO, jak maszynę do zarabiania pieniędzy. Wykorzystują oni brak wiedzy, nagonkę medialną i straszenie wysokimi karami finansowymi, aby pozyskać nowych klientów.

Zastanówmy się - czy naprawdę chcemy, aby ktoś, kto nie posiada fachowej wiedzy, nie rozumie aktów prawnych, pełnił tak odpowiedzialną funkcję?

Na zakończenie kilka słów do wszystkich nauczycieli:
- mogą Państwo wyczytywać uczniów po imieniu i nazwisku sprawdzając listę obecności;
- mogą Państwo wyczytywać imiona i nazwiska szczególnie zasłużonych uczniów podczas apeli i innych uroczystości;
- uczniowie wciąż powinni podpisywać się na kartkówkach czy sprawdzianach imieniem i nazwiskiem.

Pamiętajcie tylko, że jeżeli chcecie zamieszczać zdjęcia uczniów, rodziców, opiekunów prawnych na Waszych stronach internetowych - niezbędna jest zgoda, bowiem nie istnieje żaden przepis prawa, który dawałby podstawę prawną do przetwarzania tych danych.

Zgoda będzie również potrzebna, aby kontaktować się z rodzicami/opiekunami prawnymi za pośrednictwem ich numerów telefonu czy adresu e-mail - analogicznie, brak podstawy prawnej, a więc konieczność uzyskania zgody, odpowiednio do art. 6 ust. 1 lit. a RODO.

I jedna prośba - weryfikujcie tych, którym powierzacie funkcję inspektora ochrony danych.
I prośba druga - zachowajcie zdrowy rozsądek - to klucz do sukcesu w dobrym i efektywnym stosowaniu nowych przepisów dot. ochrony danych osobowych. 😉

06/09/2018

Jeżeli ktoś z Was lub Waszych znajomych potrzebuje pomocy przy wdrożeniu nowych wytycznych z zakresu ochrony danych osobowych - zapraszam. Pełnię funkcję Inspektora Ochrony Danych w placówkach medycznych, oświatowych, samorządowych oraz w podmiotach prywatnych. Prowadzę również szkolenia z zakresu ochrony danych osobowych. Zapraszam do współpracy!

04/06/2018

RODO oczami osoby fizycznej ;-)