Żandarm czy doradca?

0

Wiele osób z zaskoczeniem przyjęło wyrok WSA w sprawie szkoły podstawowej, która używała biometrii do weryfikacji uprawnienia do korzystania ze stołówki. Myślę, że potrzebne jest kilka zdań wprowadzenia w tematykę, aby zrozumieć tytuł dzisiejszego felietonu. 

Biometria nie była przymusem. Było kilkoro dzieci, których rodzice nie zgodzili się na używanie odcisku palca do weryfikacji i one miały bardziej klasyczne sposoby. Za wiele w Internecie nie ma, załóżmy że był to kwit z kasy lub coś podobnego. 

Wprowadzenie do przepisów prawa

Dane biometryczne oznaczają dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne;

Czy możemy je przetwarzać? Tak, po spełnieniu co najmniej jednej z przesłanek, określonych w art 9 RODO:

osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach, chyba że prawo Unii lub prawo państwa członkowskiego przewidują, iż osoba, której dane dotyczą, nie może uchylić zakazu, o którym mowa w ust. 1;

Podsumowując krótko te dwa przepisy w punktach:

  1. Zgoda jest wystarczającą przesłanką do przetwarzania danych osobowych, w tym danych biometrycznych;
  2. Zgoda według informacji została wyrażona poprawnie. 

Przetwarzanie danych dzieci jest chronione w RODO w sposób szczególny. Zgoda wyrażona przez prawnych opiekunów, czy dokładniej jej weryfikacja opisana została też w art 9. Choć dotyczy społeczeństwa informacyjnego, a więc przetwarzania danych dzieci w sieci Internet możemy znaleźć w niej pewną wskazówkę. Ocenie ma podlegać to, czy została wyrażona. Absolutnie nie ma tutaj zapisu o ograniczeniu praw do opieki, bo tym nieco trąci wiele komentarzy w Internecie, dotyczących tego przypadku. 

Żandarm, czy doradca?

Wiele osób ze środowiska RODO, często prawników stosuje pewne niepisane zasady traktując je jako prawo. Tak też odbieram komentarze o tej decyzji. Zaskoczenie to najsłabsza z reakcji. W tym momencie wracam do kwestii czytania przepisu jak jest. A w cytacie wyżej jest przecież bardzo znamienna fraza:

chyba że prawo Unii lub prawo państwa członkowskiego przewidują, iż osoba, której dane dotyczą, nie może uchylić zakazu, o którym mowa w ust. 1;

Oznacza to, że prawodawca krajowy może zakazać przetwarzania danych biometrycznych w konkretnych przypadkach. A skoro nie zakazał, to nie zakazał. Zgoda jest jak najbardziej poprawna.

Warsztat RODO

W ramach wielu działań związanych z tworzeniem systemów ochrony danych osobowych realizuje tzw. ocenę prawnie uzasadnionego interesu administratora. Jednym z jego elementów jest ocena przez test równowagi. Jednym z, bo narzędzie zostało opracowane tak, aby korzystać z niego w innych przypadkach. W takich, w których często są “nigdzie nie wyrażone zasady” (nieuprawnione zawężanie przepisu prawa, wprowadzanie dodatkowych zakazów) takie jak:

  • Zgoda nie może być podstawą przetwarzania w stosunku pracy
  • Dane biometryczne nie mogą być podstawą weryfikacji uprawnień
  • Alkomat nie może być stosowany przez pracodawcę

I wiele innych. A teraz weźmy do ręki test równowagi i rozważmy go w szkole. 

Model klasyczny: dziecko posiada potwierdzenie płatności. Czy to jest zaszyte w karcie zbliżeniowej, czy na dokumencie, który dziecko musi okazać. Nie ma znaczenia, choć elektronicznie będzie szybciej.

Są jednak pewne “ale”:

  • Dziecko może zgubić lub zapomnieć, karty kartki. A przerwa leci. 
  • Ktoś może dziecku to ukraść. I nie zje. 

Co jest tutaj interesem osoby, której dane dotyczą? Przesadna i nadmierna ochrona danych w imię poprawności prawie-prawnej (bo to przekonania środowiska, nie przepis) czy jednak to, aby dziecko zjadło obiad? 

Przypomnę tytuł aktu prawnego, bo naprawdę wiele osób zapomina:

w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych

A nie 

W sprawie ochrony danych osobowych 

A więc może poprawnie będzie najpierw rozważyć interes osoby, których dane dotyczą, a dopiero potem bezpieczeństwo tej osoby związane z przetwarzaniem jej danych, a nie zaczynamy od danych i niepisanych zasad? I stawiamy, jakże powszechnie w RODO, zakaz “na wszelki wypadek”. Z “co do zasady można, ale nie”.

Dane wrażliwe

To termin, który kryje za sobą wiele ciekawych wątków. Otóż w wielu przypadkach młodzi eksperci RODO (tak do 2-3 lat doświadczenia) uważają, że są to dane opisane właśnie jako biometryczne, genetyczne, dotyczące zdrowia, w skrócie opisane w art. 9 i 10 RODO. A to nie do końca tak, bo wrażliwość w podejściu do danych wynika z wrażliwości zasobu chronionego, a więc osoby której dotyczą. Nie będę za bardzo dziś wchodził w kwestię szacowania i oceny ryzyka, żeby nie zgubić wątku głównego. Jednak z ryzykiem to jest powiązane. 

  • Dlaczego karta kredytowa, jej numer z numerem CCV/CVC to dane wrażliwe? Bo jej nieautoryzowane wykorzystanie może grozić obniżeniem warunków ekonomicznych osoby. 
  • Dlaczego dane biometryczne są wrażliwe? Bo identyfikują osobę w sposób bezpośredni i jednostkowy, całkowicie niezaprzeczalny. Każda osoba ma własny krój odciska palca, w kryminalistyce te wszystkie linie, zagięcia, węzełki mają swoje nazwy. Dodatkowo do pełnej identyfikacji używa się co najmniej kilku-kilkunastu z nich. 

To o odciskach palców to wiedza ze szkolenia z technik kryminalistycznych, jakie przechodziłem spory czas temu, ale pamiętam. Pamiętam też, z tego samego szkolenia organizowanego między innymi przez Centralne Laboratorium Kryminalistyczne KGP, że w identyczny sposób identyfikowana jest osoba po piśmie. Nacisk na długopis, zawijasy, kropki, odległości, skupienie liter, szczyty – one wszystkie są tak, jak w odcisku palca. Katalog podstawowy cech pisma zawiera aż sześć grup. 

  • Dlaczego podpis może być wrażliwy? Bo w zestawieniu z numerem dowodu i numerem PESEL stanowić może podstawę wypłaty gotówki z banku. 

Podsumowanie

Podgrzanie Internetu decyzją sądu jest dla mnie dość zrozumiałe i powtarzalne. Po raz kolejny dotyczy rozkładania na części aktu prawnego, często w odniesieniu do “niepisanych zasad”, które wiele osób myli z prawem. Rozkminianie w lewo i prawo czy wykładnia celowościowa, czy słownikowa, a tymczasem w przepisie jest wprost. MOŻNA. I prawodawca może ograniczyć. Jeśli nie ograniczył, znaczy drugi raz – MOŻNA. Tak samo jak zgodę w relacji pracownik-pracodawca. Ograniczyć za to nie może organ nadzorczy, ani doradca RODO, ani IOD. Co wynika wprost z wyroku. 

W tych dyskusjach mam wrażenie, że zapomina się o istocie RODO, czyli ochronie osoby fizycznej. To też wygoda osoby fizycznej, w posługiwaniu się danymi. Też uprawnienie korzystania. 

PS czyli podsumowanie 2. Czy ujmujecie w swoich “klauzulach informacyjnych”  przetwarzanie unikalnych danych, jakimi są podpisy? Np., w Instrukcji Bezpieczeństwa Pożarowego, w dokumencie z dziedziny BHP, na karcie zapoznania z czynnikami ryzyka na obiekcie, z listami na bramie u ochrony fizycznej, czy w recepcji. Wiele tych miejsc jest. Ale najciekawsze dla mnie to podpisanie zapoznania się z klauzulą informacyjną. Bez informacji, że wzór mojego podpisu będzie przechowywany razem z klauzulą. Podstawy prawnej na to też nie dostałem. A IOD do dziś tworzy odpowiedź. Czyżby sposób na ciekawe zawiadomienie? 

Kamery na zajęciach, czy są dozwolone?

0

Do napisania tego artykułu zainspirowało mnie kilka publikacji w ostatnim czasie. Zanim przejdę do merytoryki, dwa zdania o artykule, czyli krótka instrukcja:

  • Nie jestem ekspertem w dziedzinie edukacji i ochrony danych
  • RODO nie jest schematyczne. Nie da się stosować dokładnie tych samych zasad w przypadku podobnych instytucji. Wystarczy jedna, drobna zmiana i już całość systemu, zakres analiz, dokumentacji, będą zdecydowanie inne. 

Na #RODOmaniakach od samego początku staramy się pokazać jak ROZUMIEĆ RODO. A więc jak przeprowadzić wnioskowanie w konkretnych przypadkach. W przeciwnym razie organizator ochrony danych nie będzie umiał wytłumaczyć, dlaczego przyjęto konkretne rozwiązania. I nie wytłumaczy tego ani administratorowi, ani pracownikom, ani inspektorowi urzędu nadzorczego. A tego ostatniego nie satysfakcjonuje tłumaczenie “wszyscy tak robią”. 

Proces rozważania przetwarzania danych osobowych

W ramach tego procesu uzyskujemy odpowiedź, czy wolno nam konkretne dane osobowe przetwarzać. Przebieg procesu (od razu wypełnimy). 

Cel przetwarzania danych w procesie

O tym, czym się różni proces przetwarzania danych osobowych od procesu głównego (biznesowego, ustawowego), w którym przetwarzane są dane osobowe przeczytasz tutaj: https://rodomaniacy.pl/rodowarsztat/proces/ 

Celem przetwarzania danych osobowych w postaci wizerunku jest potwierdzenie obecności na zajęciach. 

Pojawiają nam się tutaj dwa cele:

  • Nadzór nad realizacją obowiązku szkolnego osób w określonym wieku,
  • Potwierdzenie realizacji zajęć.

Zakres przetwarzanych danych (za pomocą kamery i mikrofonu)

  • Wizerunek
  • Głos

I coś jeszcze… Dziś pominę ten aspekt, ale za pomocą kamery w laptopie “wchodzimy” do czyjegoś domu. Pod rozwagę. 

Cel, a przesłanka

Do tego aby przetwarzać dane osobowe musi być co najmniej jedna przesłanka z art 6 RODO. W przypadku każdej instytucji publicznej w Polsce na tym etapie zawsze zadajemy pytania:

  • Czy zakres działania, który chcemy objąć dodatkowymi formami oraz metodami przetwarzania danych osobowych ujęty jest w ustawie jako realizujący cel instytucji?

Jeśli tak – to mamy już obawy, że to przetwarzanie będzie w interesie publicznym. Dlatego pytamy wprost:

  • Czy działanie instytucji, określone w punkcie wyżej realizuje cel publiczny lub czy jest związane z wykonywaniem władzy?

Szkoła, a zadania publiczne

Jak napisałem na wstępie, nie zajmujemy się oświatą, także całe poniższe rozważanie mam nadzieję, że zostanie uzupełnione przez ekspertów (merytorycznie). Proces wdrożeń, audytów prowadzimy z udziałem osób merytorycznych z organizacji, bo to ich system nie nasz. W związku z tym ten artykuł właśnie się zakończył (prawie), bo odpowiedzi muszą udzielić administratorzy danych i ich IOD-dzi.  

Jeśli jednak okaże się, że szkoła jest instytucją realizującą zadania w interesie publicznym, a wiele wskazuje na to że tak, bo przecież edukacja to zadanie publiczne z Ustaw o samorządach. Wskazuje też na to wiele monografii jak i informacji o przetwarzaniu danych osobowych przez szkoły. Zastosowanie więć będzie miał art 6.3 RODO. 

Podsumowanie

Niniejszy artykuł ma za zadanie zdradzić nieco warsztatu jak pracujemy. Doskonale zdaję sobie sprawę z tego, że klienci często oczekują wykonania za nich pracy od początku do końca z podejmowaniem decyzji, ale przecież:

  • To nie my podejmujemy ryzyko, więc nie my określamy poziom jego akceptacji (np. poprzez akceptację wyników szacowania i oceny ryzyka dla osób fizycznych, których dane dotyczą), 
  • To nie my akceptujemy ramy systemu (poprzez akceptację deklaratywnej Polityki Bezpieczeństwa Danych Osobowych),
  • To nie my akceptujemy organizację i przypisanie nowych zadań komórkom organizacyjnym,
  • To nie my dokonujemy zakupów zabezpieczenia technicznego (szaf, sejfów, aplikacji). 

Mogę wymienić jeszcze wiele elementów z których składa się system ochrony danych osobowych. Warto jednak rozróżnić zakres pracy “bezpieczników” od zakresu pracy decydentów systemu. Mimo tego, że wszelkie procesy bezpieczeństwa są kwalifikowane do procesów pomocniczych, jednak trzeba na nie znaleźć nieco czasu. 

Procesor prawie zawsze administratorem?

0

Taką konkluzję można przyjąć po analizach naprawdę wielu umów powierzenia. Na początek jednak kanwa. W ostatnim czasie Wojewódzki Sąd Administracyjny oddalił skargę na decyzję, w której Prezes Urzędu Ochrony Danych Osobowych nałożył karę na spółkę zarządzającą nieruchomością. UODO uznał, że spółka stała się administratorem (w skrócie) bo sama decydowała o celach i zakresie przetwarzania danych (dotyczyło monitoringu wizyjnego posesji). 

W roku 2020 mieliśmy wiele webów na temat administratorów i procesorów, dlatego że jest to bardzo poważny temat w RODO, a skutki mogą być daleko idące dla osób, których dane dotyczą (o tym na końcu). Dla administratora oznacza oddanie procesów przetwarzania (nie tylko czynności na danych, jak wielu osobom się wydaje) w zupełnie obce ręce. Pełnych procesów. Z kategoriami, czynnościami, naprawdę dużo wymieniać. 

Działanie to test oczywiście całkowicie zrozumiałe, bo przecież utrzymanie zespołów IT, które zrobią niemalże wszystko jest z jednej strony jest niewykonalne (ekonomicznie), a z drugiej strony dlaczego firma sprzedająca pączki ma się zajmować IT? 

Jednak w naprawdę wielu przypadkach wady były (są?) wręcz fundamentalne.

Kanwą dzisiejszej opowieści jest ocena wzoru umowy powierzenia dostępnego w internecie. W trakcie webinaru i “przygotowania” audytu procesora analizowaliśmy zapisy i wnioski były naprawdę zaskakujące. 

Podstawa:

  • Umowa nie zawierała celu i zakresu działania – tylko obszar (obsługa IT)
  • Nie było informacji o kategoriach danych, tylko lista jednostkowych danych
  • Brak było informacji o tym, na czym przetwarzanie ma polegać (np. z definicji przetwarzania z RODO). 

Wniosek główny

Przy tego typu umowie nie ma możliwości wskazania zlecenia przetwarzania danych o których mowa w art 29 RODO. Oznacza to, że podmiot wskazany jako procesor sam decyduje co i z jakimi danymi będzie robić i w jaki sposób. Wskazany jest tylko CEL (też dość mglisty, obsługa IT). 

Jako, że webinary są miejscem czasem gorącej dyskusji powstało kilka różnych opcji, co w związku z tym:

  • W tej formie wygląda bardziej na umowę o współadministrowanie, ale też z fundamentalnymi brakami. Jeśli tak jest, należy ją dopracować. 
  • W przypadku procesora na podstawie tej konkretnej umowy ZAWSZE należy uznać, że zachodzi okoliczność z art. 28.10 RODO, a więc procesor poprzez to, że sam decyduje o tym co będzie robić z danymi i jak staje się administratorem. 
  • A jeśli jednak nadal ma być umową powierzenia, należy ją dopracować. Bo sankcje są dość dotkliwe. Dla administratora wbrew pozorom mniejsze. To procesor może dostać trudne pytania o spełnienie wymagań RODO dla administratora (od informacji o przetwarzaniu, po ocenę ryzyka, a nawet DPIA). A dodatkowo w tle zawsze jest też odpowiedzialność karna za przetwarzanie danych osobowych bez podstawy. 

Stan faktyczny

W wielu przypadkach przy ocenie dokumentu okazuje się, że sama nazwa wcale nie odzwierciedla tego, co dokument reguluje. I nie dotyczy to tylko RODO, w obszarze np, zatrudnienia wielokrotnie doszło do sytuacji “sprostowania” przez sąd umów zlecenia, jako faktycznych umów o pracę. Organ nadzorczy nie czyta tytułu jako konsultant i nie będzie się zastanawiał nad tym, czy są wszystkie elementy enumeratywnie wypisane w art 28.3, a sprawdzi kwestie fundamentalne. A jedną z nich jest to, kto i za co odpowiada. Oraz zgodnie z art 29, czy przetwarzanie danych odbywa się NA POLECENIE administratora (tego formalnego z umowy). A to polecenie jest niebywale istotne. 

Art. 29

Artykułowi 29 RODO poświęcę odrębny, długi artykuł, bo jest niestety nie zauważony i sprowadzany często do upoważnień. A ma siłę rażenia przepotężną. Zacytujmy:

Podmiot przetwarzający oraz każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego i mająca dostęp do danych osobowych przetwarzają je wyłącznie na polecenie administratora, chyba że wymaga tego prawo Unii lub prawo państwa członkowskiego.

Aby dobrze zrozumieć, co ma się znaleźć w umowie powierzenia, należy właściwie zrozumieć “polecenie administratora” (przepisy prawa jako “polecenie” dziś pomińmy). Istotą jego wprowadzenia jest zaplanowanie przetwarzania danych osobowych przez administratora. Żadna operacja, żadne czynności nie mogą być dziełem przypadku. W przeciwnym razie naruszone zostaną zasady fundamentalne z art 5.

  • Przetwarzanie danych rzetelne i przejrzyste – jak może być przejrzyste, skoro nie wiemy do czego przetwarzamy? Kto i kiedy ma przetwarzać?
  • Przetwarzanie do określonego celu – jak może być tak przetwarzane, skoro operacje będą przypadkowe i może się pojawić nowy cel? Albo kilka. Samo opisanie celu w umowach bywa dość mgliste.

Nie mając powyższych danych możemy wpaść również w niezgodność z art. 13 i 14. 

Podsumujmy

RODO czytajmy w całości. To taka moja rada. Jak instrukcje obsługi. W jednej części jest o zasadach bezpieczeństwa, w innej o zastosowaniu urządzenia. W RODO tak samo. Art 28 powinien być wypełniony z uwzględnieniem WSZYSTKICH przepisów RODO. W przeciwnym razie bardzo blisko do naruszenia praw i wolności. Podmiot danych (osoba, której dane dotyczą) nie będzie właściwie poinformowana, a więc nawet nie będzie mogła wykonać swoich praw.

PS przypisek na końcu. Art. 29 i zestawienie z przetwarzaniem danych “na wszelki wypadek”. Opiszę niebawem, ale sprawdźcie, czy jesteście pewni czy ów “wszelki wypadek” mieści się w granicach polecenia i spełnia wymagania określenia celu. Bo “może mi się kiedyś przydadzą” – nie spełnia tego wymagania.

Warta, naruszenie i spora kara

Zacznijmy od kary. Spora, bo 85,5 tysiąca złotych za naruszenie dotyczące dwóch osób to naprawdę poważna kwota. Ale nie to jest kanwą dzisiejszego artykułu. Nie jest on też naszą jedyną publikacją w temacie Warty, szykujemy kolejne. Kuriozalność niektórych sformułowań jak i dyskusji w środowisku po prostu nas do tego zmusiły. 

Zacznijmy od fundamentów ochrony danych osobowych. Nie wszystkich, tylko tych związanych z ich ochroną. Do białości rozgrzewa Internet dyskusja o jednym z elementów decyzji. Rzeczywiście punkt mocno dyskusyjny (nie jedyny), niemniej jeśli weźmiemy myślenie oparte o ryzyko przestaje być tak dyskusyjny.

Chodzi oczywiście o podanie niewłaściwego maila przez osobę dla której była przygotowana oferta ubezpieczenia. W wyniku podania złego maila oferta trafiła do niewłaściwej osoby. 

I nad tym dziś się skupimy, bo znów dyskusja w internecie staje się rozpatrywaniem kwestii prawnych, poszukiwaniu zapisów, a tymczasem wygląda na to, że zawiódł warsztat bezpiecznika. 

Po pierwsze szacowanie i ocena ryzyka

Tak, ale pełne. Pisaliśmy na naszych łamach wiele artykułów na ten temat, więc tylko przypomnimy jeden z ciekawszych na którym oprzemy:

Zobacz więcej: Analiza BOW TIE w ryzyku

Procesowo też opisaliśmy, więc tylko przypomnimy przebieg:

  • Po pierwsze identyfikacja procesu w KTÓRYM SĄ PRZETWARZANE dane osobowe. To nie to samo co proces przetwarzania
  • Po drugie wartościowanie zasobów (czyli danych osobowych)
  • Po trzecie identyfikacja zagrożeń, czyli zdarzeń, sytuacji które mogą wykorzystać słabość zasobu, zabezpieczenia i doprowadzić do negatywnego skutku
  • Po czwarte prawdopodobieństwo – a więc możliwość wystąpienia zdarzenia
  • Po piąte skutek – czyli co się może stać w związku z incydentem
  • Po szóste prawdopodobieństwo (znów) owego skutku.

Dziś omówimy kwestie od drugiej, a więc bez analizy procesu w którym dane są przetwarzane. 

Wartościowanie zasobów

Wartościowanie, to przypisanie “ważności” konkretnemu zasobowi w zależności od zakresu prowadzonej oceny ryzyka. Lekko uszczypliwie proponuję pominąć ten obszar w poradnikach Urzędu Ochrony Danych Osobowych, dlatego że w poradnikach pojawia się propozycja wartościowania finansowego (kosztowego). 

A przecież RODO mówi o ochronie osoby fizycznej. A więć jak wartościować dane?

RODO zawiera już pewną sugestię:

  • Dane niebędące danymi osobowymi
  • Dane zwykłych kategorii
  • Dane szczególnych kategorii
  • Dane dotyczące skazań i naruszeń prawa. 

Do tej klasyfikacji w naszej pracy proponujemy dodać wspomniane na wstępie myślenie oparte o ryzyko. A więc np, zastanowić się do czego konkretny zestaw danych może być wykorzystany. Na jednym z warsztatów zrobiliśmy klasyfikację oparta o wyłudzenie kredytów i pożyczek

  • Zestaw: Imię, nazwisko, nazwisko rodowe, imię matki, nazwisko panieńskie, numer PESEL, numer dowodu, miejsce i data urodzenia – to dane mogące posłużyć do wzięcia kredytu na dużą kwotę;
  • Zestaw jak wyżej ale bez danych rodziców – kredyt do 100 tysięcy;
  • Zestaw: PESEL, numer dowodu, miejsce zamieszkania – to chwilówka do 10 tysięcy.

Pominę dziś ze względu na objętość artykułu kwestię prawdziwej oceny ryzyka, w której powinniśmy rozważyć czy dla każdej osoby 10 tys to mało, czy dużo i analogicznie czy 5 milionów to dużo, czy mało. Skutkiem dla osoby jest to co wynika z obciążenia spłatą (analiza BOW-TIE pomaga), a nie wartość wyrażona w złotówkach (tu dochodzi identyfikacja podmiotów danych). 

Zwróćmy uwagę, że zestaw danych, który może skutkować zaciągnięciem zobowiązania na miliony składa się z danych zwykłych kategorii. Ale skutki są podobne (choć w innym wymiarze) do szczególnych kategorii. Podkreślam jeszcze raz – ZESTAW. A więc na bazie tak krótkiego wartościowania należy uznać, że dane zawarte w polisie są “wrażliwe” jako zestaw, mimo że pojedynczo żadna z nich nie musi być opisaną w art 9 RODO. 

Skoro już mamy wartości i wiemy, że są to dane WARTOŚCIOWE (wrażliwe) z powodu zestawu, zostawmy je na chwilkę i wróćmy do prawdziwego warsztatu bezpiecznika. 

Zagrożenia

Zagrożenia sobie są. Nie są zależne od wartości danych, skutków dla osoby. To są po prostu zupełnie samoistne byty, czasem zainspirowane do działania otoczeniem (np. premią za ryzyko u człowieka, a przy zdarzeniach naturalnych czy technicznych, stanem technicznym obiektu, budynku).

W naszej pracy klasyfikujemy zagrożenia z punktu widzenia źródła:

  • Z sił natury
  • Z działania człowieka
  • Z techniki

W omawianym przypadku mamy działanie człowieka. W nim mamy dwa sposoby klasyfikowania:

  • Działanie naszego człowieka
  • Działanie obcego człowieka

A druga klasyfikacja, nazywana czasem intencjonalnością:

  • Działanie umyślne 
  • Działanie nieumyślne

Analizując przypadek doszło do nieumyślnego działania człowieka obcego. 

Prawdopodobieństwo

Zanim rozważymy, ważna sprawa. Percepcja prawdopodobieństwa w analizach jakościowych i ilościowych. Najczęściej… błędna. 

Przykład

Szacujemy, że coś wydarzy się w ciągu roku. I zakładamy, że to będzie za jakiś czas. Często pod koniec roku. A co jeśli wydarzy się w ciągu roku, ale dziś? Nadal będzie to 1/365 * 100% czy raz w roku.

Wróćmy do Warty. Ile razy zdarzyło się Państwu źle coś wpisać na formularzu? Albo nieczytelnie?

  • Prośba o wpis drukowanymi literami – to jest zabezpieczenie
  • Prośba o wysłanie testowego maila – to jest zabezpieczenie. 

Są to zabezpieczenia przed materializacją zagrożenia (obniżenie prawdopodobieństwa).  A jak każde zabezpieczenie, musi być adekwatne (odpowiednie) do zagrożeń. Więc jeśli dyskutujemy o mailu, o tym czy trzeba wysyłać testowy, to:

  • Po pierwsze musimy wiedzieć, jaką wartość mają zasoby przesyłane tym mailem (wartościowanie)
  • Po drugie musimy wiedzieć, jaka jest możliwość, że dojdzie do błędu w mailu. Tylko nie w scenariuszu klienta, bo przecież nasz pracownik też może się pomylić (działanie człowieka, naszego, nieumyślne). 

Dopiero będziemy mieć pierwszy punkt kontrolny w ocenie. 

A ryzyko?

To jest “prawa strona”: BOW-TIE. Już wstępnie przy danych osobowych powinno być rozważone na etapie wartościowania. Tutaj już powinniśmy oszacować możliwość wystąpienia, a więc.. znów prawdopodobieństwo z percepcją. 

Akurat ten przypadek jest idealny do omówienia. W tym przypadku praktycznie PIERWSZE zdarzenie wywołało spory skutek. Co prawda dla firmy (a więc nie w RODO), ale jak widac skutek z kategorii “grubo” (dodajmy jeszcze utratę reputacji i inne). 

Decyzja

Zestawmy jednak to co pisze organ w decyzji i jak argumentuje. 

Co do zagrożenia – nie jesteśmy w stanie nad nim zapanować w 100%. Wdrożyć możemy zabezpieczenia, które spowodują obniżenie możliwości wprowadzenia złego maila, ale nie jesteśmy w stanie zapanować nad intencjonalnym działaniem. 

Uwaga: PUODO nie prowadził postępowania w zakresie poprawności danych. A szkoda, bo dla sprawy byłoby to jaśniejsze. W jaki sposób ukarany administrator nadzoruje poprawność danych (bo o to się toczy batalia w necie i o zabezpieczenia związane z integralnością czyli poprawnością danej osobowej jaką jest adres e-mail powiązany z osobą). 

Co do skutku – jesteśmy je w stanie ograniczyć. Wysyłka pliku spakowanego i zabezpieczonego hasłem to podstawa. A zależnie od wartości danych (zestawu) nawet dalej idące środki. 

Podsumowanie

Gorąca dyskusja w necie jest nieco dziwna, bo nie dotyczy stosowania RODO, myślenia opartego o ryzyko i celu stosowania zabezpieczeń (fundamenty szacowania i oceny ryzyka), a dotyczy dyskusji, czy winą za błędny mail obarczyć administratora czy nie. 

Mam złą nowinę. Za ulewny deszcz czy pożar też nie da się obarczyć admina. Ale za skutki już tak. 

Druga konkluzja jest poważniejsza. Nie dotyczy już słabego warsztatu bezpiecznika osób zajmujących się ochroną danych osobowych, a pewnym nastawieniem organu. Nie jest to pierwszy przypadek, w którym na administratora przenoszone są zagrożenia z celowego działania innych osób. Nawet w tej decyzji przewija się bardzo niebezpieczne stwierdzenie, w którym administrator nie jest pewien, czy osoba nie usunęła, czy nie wykorzystała danych. Przypomnijmy art. 107 Ustawy o ochronie danych osobowych. W tym przypadku może dochodzić do przestępstwa popełnionego przez osobę, która dane omyłkowo otrzymała i nie chce ich usunąć. 

PS podobny przypadek obsługiwaliśmy już w czerwcu 2018. Pierwsza informacja do osoby do której wysłano omyłkowo umowę obejmowała definicję administratora oraz treść art. 107 UODO. 

Audyt zdalny, czy metody zdalne?

Audyt zdalny, czy metody zdalne?

Zapraszamy do obejrzenia krótkiego filmiku, który podsumowuje najważniejsze tezy z naszego webinaru: “Audyt zdalny, czy metody?”

I już od teraz #RODOmaniacy będą dostępni na Youtube. Niebawem nowe, krótkie filmiki, które dotyczyć będą różnych aspektów RODO i ochrony danych osobowych.

Listopad miesiącem audytu RODO

0

Listopad miesiącem audytu RODO.

Zbliża się koniec roku i podsumowania. RODO jest już stosowane ponad 2 lata, ale czas nie rozwiał wątpliwości. Wręcz przeciwnie, wiele z nich powstaje właśnie teraz. Możliwości audytu ograniczają reżimy sanitarne. Pojawiają się “potworki” typu “audyt zdalny”. Wraz z partnerami (#RODOmaniacy i Audytbezpieczenstwa.pro) przygotowaliśmy cykl 4 webinarów, które poprowadzą Was przez kilka kluczowych zagadnień (aktywny link to opis webinaru):

  • 02.11.2020 – Cel audytu RODO.
  • 09.11.2020 – Audyt procesora. Co i JAK audytować?
  • 26.11.2020 – Audyt zdalny, czy metody zdalne? Audyt RODO w dobie #COVID.
  • 23.11.2020 – Audyt RODO w pracy zdalnej (homework/homeoffice).

#RODOmniacy prowadzili webinary w formie interaktywnej. Podstawą były dyskusje, szukanie rozwiązań. Ten cykl będzie wyjątkowy. Wprowadzamy wykłady z interakcją po zakończeniu wydarzenia, co pozwoli na zbudowanie dostępnej dla każdego bazy wiedzy. Oznacza to, że na pytania zadane w trakcie webinaru odpowiemy w postach na portalach społecznościowych.

Cena 39 pln brutto za webinar/60 minut.

Zapisy zakładka: RODOonline

[stm_sidebar sidebar=”1469″]

Koniec “kacykowania”?

Koniec “kacykowania”?

[stm_post_details]

Prezes Urzędu Ochrony Danych Osobowych ostatnio na fali. Ale tym razem pozytywnie. W sumie na dwóch falach. 

  • Fala 1 – Aleksandrów Kujawski i podtrzymanie kary dla burmistrza za brak dopełnienia wymagań prawnych w zakresie powierzenia przetwarzania danych firmie obsługującej stronę BIP
  • Fala 2 – utrzymanie kary dla Głównego Geodety Kraju za udostępnianie danych osobowych w postaci numerów ksiąg wieczystych. 

Dwa tematy, całkiem różne, jednak łączy je jedno. Swoista arogancja, czy też buta ukaranych. Dwa zdania przypomnienia:

Aleksandrów Kujawski i burmistrz ukarany za brak umowy powierzenia 

Zadyma w sieci, mediach o to, jak bardzo “niegrzeczni” byli kontrolujący z Urzędu Ochrony Danych Osobowych. Nie, zero pokory, pochylenia się nad tematem. 

A tłumaczenia mecenasa (skądinąd uznanego w branży) o tym, że to województwo zakupiło usługę z fundusz UE i jakby nie skorzystali, to byłoby to niegospodarne to naprawdę delikatnie mówiąc “odjechane”. Co ma piernik do wiatraka? Niegrzeczne zachowanie, czy gospodarność do obowiązku wynikającego z innego przepisu? Jest jakiś lex specialis? Że nie można dopełnić obowiązków z RODO art 28, bo Ustawa o finansach publicznych?

  • PS krótka porada dla IOD z sektora finansów publicznych. Dziękujemy mecenasowi z Krakowa za przypomnienie. Otóż brak wdrożenia właściwie RODO i otrzymanie z tego tytułu kary wygląda na “rasową”niegospodarność. Bo i tak i tak umowę będzie trzeba zawrzeć. A tutaj proszę, nie dość że trzeba zapłacić za jej przygotowanie to jeszcze 100.000 pln zostało wydatkowane na karę. 
  • PS 2 ja rozumiem obronę klienta. Ale gdzieś chyba są granice? Tym bardziej jak się jest ikoną prawa ochrony danych w Polsce? (Prawa ochrony, nie ochrony nie mylmy pojęć). 

Główny Geodeta Kraju

Tu mamy nieco inny obraz, choć buta i arogancja w kontakcie też się pojawiają. Ileż to napisał GKK o tym, jaki to nieszczęśliwy. I znów okazuje się, że nie było to wcale w związku z naruszeniem. 

Edukacyjnie

Otóż GKK uznał sobie, że podpisze sobie porozumienia z samorządami i na bazie danych zgromadzonych od nich zrobi sobie geoportal. Tylko… nie ma nic, ani słowa o tym w przepisach powszechnych. A więc nie wolno GKK takich rzeczy robić, bo nie. Jest organem administracji publicznej i 6.1.f ma do zastosowania w ograniczonym zakresie. 

Ja jako podmiot danych mam prawo wiedzieć, kto i dlaczego, jakie dane przetwarza. Do czego i tak dalej… A jeśli robi to władza publiczna, która może do celów własnych czy też sprawowania owej władzy, to ja mam przeczytać o tym w przepisie prawa. Inaczej zachodzi naruszenie z art 5.1.a (dla mnie) czyli przetwarzanie danych nieprzejrzyście (nie kojarzę maila, ani listu od GKK, a w KW jestem). 

O stosowaniu 6.1.f czyli uzasadnionego interesu administratora w administracji publicznej będzie innym razem, bo tutaj też masa mitów i legend miejskich już powstało.  

Podsumowanie

Zarówno burmistrz Aleksandrowa Kujawskiego jak i Główny Geodeta Kraju pozycjonowali się jako ofiary Urzędu Ochrony Danych Osobowych. A tymczasem obaj naruszyli po prostu przepisy. 

I osobiście mi się podoba to, jak “usadził” ich Prezes Urzędu Ochrony Danych Osobowych. Bo nie wiem, czy pamiętacie pewne pomysły za czasów wdrażania RODO w Polsce. Otóż był taki pomysł, aby instytucje kultury były całkiem zwolnione z jego stosowania. Wątki osobiste pominę, choć są dość ciekawe. Czyżby to była pewna “linia stosowania prawa”? 

Na szczęście Prezes Urzędu Ochrony Danych Osobowych oparł się jej i zastosował starą zasadę. 

Ja o zupie ty o … 

I ukarał. 

Niniejszy wpis jest osobistym stanowiskiem Grzegorza, wypracowanym w oparciu o ponad 20 letnie doświadczenie w bezpieczeństwie informacji, ochronie danych i pracy w administracji rządowej i samorządowej. 

[stm_post_about_author]

Harmonogram sierpień 2020

0

Harmonogram sierpień 2020

[stm_post_details]

Cykle o RODO

Wracamy do Was z webinarami. Kontynuować będziemy podejście, jakie znacie sprzed wakacji, czyli cykle edukacyjne. W tej samej formie, czyli spotkań powiązanych tematycznie spotkamy się w sierpniu i wrześniu. Zaplanowaliśmy dla Was trzy tematy wiodące:

  • Zaplanuj rozliczalność
  • Szukamy danych
  • Ryzyko w RODO

Zaplanuj rozliczalność

Te spotkania będą prowadzone na podstawie materiałów przygotowanych razem z naszymi kolegami z zespołu AudytBezpieczenstwa.pro. Pomogą oni nam zinterpretować wymagania RODO, dzięki czemu będzie nam łatwiej zaprojektować działania, dokumenty które wykażą, że przepis jest przestrzegany. Dla przykładu analiza ryzyka wcale nie jest wymagana przez RODO. Wymagane jest wdrożenie zabezpieczeń odpowiednich do ryzyka. A to już zupełnie inne wymaganie. 

Szukamy danych

W tym cyklu podzielimy się naszą wiedzą, cytując uczestnika szkoleń “bezkresną”, z zakresu bezpieczeństwa firm i organizacji. Dzięki szerokiej wiedzy po prostu wiemy, gdzie są dane osobowe w firmach. W jakich drukach, protokołach, formularzach czy listach. Ta wiedza jest podstawą do opisania procesów w których są przetwarzane dane osobowe, ale też i do tego aby w pewnym stopniu zarządzić nimi (czyli np. coś zrobić z listą osób zapoznanych z Instrukcjami. Lista ma czasem walory historyczne, prowadzona bywa od… 1990 roku. Tak, to rekord). 

Ryzyko w RODO

Ten cykl spotkań rozpoczniemy już we wrześniu, od rozumienia “dwojakości” ryzyka w RODO. Z jednej strony są to skutki wynikające z naruszeń ochrony danych i utraty atrybutów bezpieczeństwa (poufność, integralność, dostępność). Ale drugi rodzaj ryzyka, to ryzyko z przetwarzania. Wiedząc już, co jest podstawą projektowania rozwiązań RODO kolejne spotkania poświęcimy umiejętnościom praktycznym. Od identyfikacji zagrożeń, przez ocenę skutków po DPIA, która domyka proces identyfikacji ryzyka dodając wpływ na ochronę danych. 

Harmonogram wydarzeń:

Poniżej harmonogram wydarzeń na najbliższy miesiąc

  • 12.08 Szukamy danych: dane osobowe w BHP
  • 18.08 Zaplanuj rozliczalność:  Od celu do podstawy
  • 19.09 Szukamy danych: dane osobowe w ochronie osób i mienia
  • 25.08 Zaplanuj rozliczalność:  Zarządzanie upoważnieniami
  • 26.08 Szukamy danych: dane osobowe w ochronie ppoż
  • 01.09 Zaplanuj rozliczalność: Bezpieczeństwo danych
  • 08.09 Zaplanuj rozliczalność: Naruszenie ochrony danych

Webinary dostępne są już w naszym kalendarzu. Zapraszamy do udziału!

Obserwujcie nasze profile. Opowiemy więcej o naszych cyklach webinarowych w krótkich wpisach. 

Webinary #RODOmaniaków

0

Za co użytkownicy cenią sobie nasze spotkania?

Nie ma trudnych pytań, ani jeszcze trudniejszych odpowiedzi. Nie unikamy i nie uciekamy. Bywa, że korespondencja przenosi się na maila i tam dalej dyskutujemy. Tak było między innymi w temacie o działaniach komorników i samodzielnego określenia przez nich zakresu przetwarzanych danych i czynności. Nie dość, że skończyliśmy 21:16 (a nie o 20:00), to jeszcze potem “maile sie grzały”, aby pokazać podstawę wnioskowania, wymienić uwagi. Czasem gadamy też przez telefon i tak było między innymi 

Otwieramy oczy

Tak pokazujemy RODO w zupełnie innym kontekście. Szerokim, naprawdę zintegrowanym z firmą. Nie jako wydzielony system, na siłę “integrowany” z działaniem firmy, a realnie działające rozwiązania. Tak było np. z omawianiem zakresu audytu RODO. Okazało się, że dane osobowe są wszędzie. A nie zawsze objęte są systemem. Żeby wiedzieć gdzie szukać, trzeba mieć wiedzę co najmniej minimalną o innych obszarach. Np. wymaganiach minimalnych dla maszyn (BHP) aby wiedzieć, gdzie są rejestry, protokoły, podpisy. A to przecież dane osobowe!

Jesteśmy na bieżąco

Śledzimy to co się dzieje w środowisku RODO, komentując w trakcie webinarów stanowisko Urzędu Ochrony Danych Osobowych, różne artykuły czy publikacje. I ustalamy tematy webinarow na bieżąco. Tak było w trakcie “wielkiej zadymy z alkomatami”. Tak było też z COVID i badaniem temperatury. 

Interakcja, dyskusja, integracja

W trakcie webianarów dyskutujemy. Praktycznie wszyscy ze wszystkimi (moderacja też jest), doradzamy, wskazujemy druki i formularze. Co ważne, naprawdę integrujemy środowisko. Ta sama branża z Krakowa połączyła siły z Warszawą. 

100% praktyki. 

Dyskutujemy o tematach, używając narzędzi RODOmaniaków (druków, wzorów, Exceli, Wordów). Wypełnione później trafiają do was. I… prawa autorskie zostają przeniesione. Czyli po prostu możecie używać nie tylko poglądowego materiału, ale też i druku, który dostaliście, zmienić go dostosować. A dostajecie zawsze mapę myśli a czasem (zależy od tematu) procedury i instrukcje, druki, formularze. 

Czym są webinary?

To krótkie (75 minut) wieczorne spotkania o RODO.

Nie są szkoleniem on-line, choć jest to metoda kształcenia dorosłych. Nie zawsze są prowadzone według programu, choć czasem tak bywa. Np. audyt RODO, DPIA, czy oceny ryzyka. Certyfikatów też nie wydajemy, bo… trudno wydać certyfikat potwierdzający udział w spotkaniu, którego nie do końca jesteśmy w stanie przewidzieć.

Zapraszamy do udziału.

Dane członków zarządów i PUODO

0

Dane członków zarządów i PUODO

Czytanie ze zrozumieniem naprawdę ma przyszłość. Naprawdę. Zarówno przepisu prawa jak i tego, co publikuje organ nadzorczy. Nie tylko w RODO ma to zastosowanie, proszę mi wierzyć. Przez internet przetoczyła się fala ogromnego zaskoczenia. A ja jestem ogromnie zaskoczony ogromnym zaskoczeniem. I przepraszam za wyrażenie, nieco kuriozalnymi (eufemizm) tłumaczeniami o takiej wielkiej ilości pracy, jaką trzeba będzie wykonać. Ale po kolei.

Dane osobowe członków zarządów

To jest moje pierwsze zaskoczenie. Naprawdę to takie dziwne, że są to dane osobowe podlegające rygorom RODO? Przecież wypełniają wszystkie definicje. A może członek zarządu, prezes ma mniej praw niż np. przedstawiciel handlowy? Co do którego również należy dopełnić obowiązku informacyjnego. I nie, nie zawsze jest to “klauzula informacyjna” Cudzysłów specjalnie, bo za dużo prawa się już robi w codziennym działaniu. Przecież mało kto rozumie, nie będąc prawnikiem co to jest. Nie prościej “informacja o przetwarzaniu danych”? 

Wykonanie swoich praw w praktyce

Odchodzi sobie człowiek z pracy to często wysyła maila, czy sms, że odchodzi z danej firmy. Spotkałem się z tym, że szefowie firm chcieli tego zakazać, “bo zabierze klientów”. Krótka analiza równowagi pokazywała, że jest to proszenie się o problem. Bo pracownik fakt, robi to po to aby ktoś go znalazł. Ale z drugiej strony też po to, aby nie dostawał już ofert, nie był “nękany” tematami firmy, w której nie pracuje. Fakt, mail firmowy to mail firmowy, ale zawsze można gościa znaleźć na Linkedin, Facebook i innych socialach. Albo spotkać na targach czy imprezach branżowych i kolokwialnie truć mu, jaką się ma ofertę. 

Naruszenie jego praw?

Jasne! Przecież on już nie pracuje w tej firmie. 

Ma prawo wykonać taki SMS lub maila?

Tak. Podpowiedź. Warto dla bezpieczeństwa firmy wprowadzić zasadę zakończenia współpracy danego człowieka i przeniesienia kontaktu na inną osobę.

Odchodzi członek zarządu z firmy

Jako gość od bezpieczeństwa korporacyjnego, czy bezpieczeństwa informacji ZAWSZE wprowadzałem “procedurę” (cudzysłów, bo czasem to było działanie HR-owe związane z rozwiązaniem umowy), w której po zakończeniu pracy czy pełnieniu funkcji osoby z zarządu, prokurenta czy pełnomocnika, rozsyłana była informacja do firm współpracujących, że:

“pan X zakończył współpracę z naszą firmą i obecnie prosimy kierować się do…”

Oczywiście czasem było to wygładzane, aby ładniej brzmiało, niemniej taka informacja dla mnie jest po prostu OBOWIĄZKOWA. Chyba, że chcemy mieć problemy na podstawie jeszcze niezaktualizowanego KRS-u (przypominam, to nawet 2 tygodnie). 

Prawa członka zarządu

A co jakby… rozstał się w wyniku problemów finansowych, czy jakichkolwiek innych. Ma otrzymywać maile z “wiązankami” od niezadowolonych klientów? Ma otrzymywać wezwania do zapłaty za zobowiązania powstałe jak już nim nie był? Ma się tym wszystkim denerwować, jak już nie jest członkiem zarządu?

To zdaje się będzie naruszenie jego praw i … niezgodności z RODO. O tym na koniec. 

A może ma prawo do tego, aby rozesłać sam do firm informację, że już nie pracuje? 

Niezgodności – czyli na koniec

Artykuł 5 Zasady dotyczące przetwarzania danych osobowych

  1.   Dane osobowe muszą być:
  • przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”);
  • prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane („prawidłowość”);

Jeśli mamy dane prezesa, który nie jest prezesem… Członka zarządu, który nie jest już nim. To mamy dane prawidłowe?

Tak, nie będziemy biegać za każdym, aby nam aktualizował, ale jakie działania zostały podjęte aby mieć aktualne dane? 

Krótkich kilka podpowiedzi

Może warto dodać np. część umowy z zapisami “dane osobowe” i dodanie kilku elementów? Bo administratora to nie ma co. Celu przetwarzania też nie, bo przecież jest w główce umowy. I to będzie dla prezesa, członka zarządu, czy tego co reprezentuje przy podpisaniu. 

Może warto też dodać zapis, że za wykonanie obowiązku wobec realizatorów umowy odpowiada osoba wskazana jako kontaktowa? Bo “wiecie-rozumiecie” ale tych realizatorów będzie np. wielu. I ich też ktoś powinien poinformować, że dane będą przekazane. Np. często przy audytach czy usługach konsultingowych są różne zespoły, ale trzeba przekazać dane dotyczące doświadczenia, kwalifikacji i kompetencji. 

Podsumowanie

Intrygujące jest to, że tak prosta rzecz powoduje tak wielką “zadymę” w środowisku. Może znów za dużo interpretacji prawa a za mało jego stosowania? Jak będziemy traktować RODO i ochronę danych jako element działania organizacji, to naprawdę jest to proste. Jak będzie to nadal doklejony element, prowadzony przez oderwane od firmy piony, najczęściej stawiają się w roli żandarmów, RODO nie zadziała. NIE MA SZANS

A już na koniec. Poza prezesami, pełnomocnikami, prokurentami jest jeszcze masa danych osobowych wykonawców umów, co do których (co wychodzi na audytach) RODO też nie jest realizowane w zakresie obowiązku informacyjnego. Są to obszary (naprawdę przykładowo i tylko kilka):

  • BHP – wprowadzenie do pracy pracownika zleceniodawcy, przechowywanie dokumentu zapoznania się z zagrożeniami (wymaganie prawne to zapoznanie i ten podpis), wykaz osób wykonujących prace szczególnie niebezpieczne (dane kontaktowe, uprawnienia, kwalifikacje zawodowe) zawarte też na protokołach i innych dokumentach, dane koordynatora BHP i wiele innych;
  • PPOŻ – lista osób zapoznanych z Instrukcją Bezpieczeństwa Pożarowego (często mająca długą historię), z nazwą firmy i wzorem podpisu, PPN – prace niebezpieczne pod względem pożarowym i do nich zezwolenia na pracę, protokoły wykonania prac, w tym np. imię, nazwisko, nazwa firmy, funkcja, podpis pracownika ochrony, który wykonał kontrolę miejsca wykonania prac. 

Mogę naprawdę tak wiele wypisać. Prezesi to początek, a co z rzeszą ludzi wymienionych wyżej? Naprawdę Inspektor Ochrony PPOŻ zapoznający z instrukcją dokonał właściwego poinformowania osób o tym co się dzieje i będzie dziać z danymi? A może zrobił to spec od BHP czy inna osoba informująca o zagrożeniach wykonawców zleceniodawcy?

Może warto zacząć rozumieć, że RODO dotyczy wszystkich osób fizycznych, których dane przetwarzamy? I nie ma znaczenia cel, rola, funkcja tej osoby?

I już na koniec. Cytat ze strony PUODO:

Wobec tego administrator jest zobligowany do wypełnienia w stosunku do takich osób obowiązku informacyjnego określonego w art. 13 lub 14 RODO, o ile nie zachodzi jedna z przesłanek zwalniających go z tego obowiązku.

I przepisy:

art 13.4.   Ust. 1, 2 i 3 nie mają zastosowania, gdy – i w zakresie, w jakim – osoba, której dane dotyczą, dysponuje już tymi informacjami.

oraz

art 14.5.a   Ust. 1– 4 nie mają zastosowania, gdy – i w zakresie, w jakim osoba, której dane dotyczą, dysponuje już tymi informacjami;

A o niewspółmierności odsyłam do wyroku WSA w sprawie Bisnode. Larum o ilości przesyłek i ich kosztach przestanie być larum, jak zrozumiemy czym jest ta niewspółmierność. Sąd bardzo ładnie to wyjaśnił. A nakłonienie administratorów do wysyłek na masową skalę ZPO (za zwrotnym potwierdzeniem odbioru) jako RWD  uznałbym jako nakłanianie do niekorzystnego rozporządzenia majątkiem. Bo w RODO nie ma ani słowa, że mamy mieć POTWIERDZENIE zapoznania się osoby z informacją o przetwarzaniu danych osobowych.

#RODOmaniacy w Social

773FaniLubię
1,981ObserwującyObserwuj
27SubskrybującySubskrybuj
- Advertisement -Reklama

Ostatnio dodane

error: Zawartość jest chroniona !!