Czy małe i średnie przedsiębiorstwa dbają o szkolenie pracowników w zakresie ochrony danych osobowych ?

Szkolenie pracowników z zakresu ochrony danych osobowych jest bardzo ważną kwestią. 81 % firm w sektorze małych i średnich przedsiębiorstw szkoli pracowników z ochrony danych osobowych. Niestety niecała 1/5 nie robi tego w ogóle. Na podstawie danych przedstawionych przez Urząd Ochrony Danych Osobowych aż 60 % przedsiębiorstw, które szkolą własny personel czyni to tylko jeden raz przy okazji zatrudnienia. Wśród tych przedsiębiorstw górują mikrofirmy, w których procent szkolonych jednorazowo pracowników wynosi około 59 %. W przypadku średnich firm jest to 52 %, a podium zamykają małe firmy z wynikiem 40 %. Jeżeli przeanalizujemy te firmy na podstawie branży w jakiej działają to najczęściej są to firmy z branży usługowej- około 67 % lub budowlanej- 61 %. Przewagę mają tutaj jednoosobowe działalności gospodarcze w stosunku do spółek, procentowo jest to 63 do 55. Według badania przeprowadzonego przez serwis ChronPESEL.pl i KRD pod patronatem UODO tylko około 22 % firm twierdzi, że ponownie szkoli pracowników z zakresu ochrony danych osobowych w trakcie dalszego trwania zatrudnienia. Najlepiej sytuacja wygląda w małych firmach, gdzie deklarację taką złożyło aż 41 % badanych. Drugie miejsce zajmują średnie firmy z wynikiem 35 %, a na ostatnim miejscu są mikrofirmy z niskim wynikiem tylko 21 %. Tego typu rezultat może być wynikiem niewielkich rotacji personelu. Jeżeli spojrzymy na powyższe wyniki z perspektywy branży to góruje branża produkcyjna z wynikiem 57 %, następnie jest branża handlowa z wynikiem 35%, a na końcu jest branża transportowa- 34 %. Z tego spółki to 31 % badanych, a jednoosobowe działalności gospodarcze to 12 %.

Należy zwrócić uwagę, że w firmie bez względu na jej wielkość najsłabszym ogniwem z perspektywy bezpieczeństwa jest człowiek. Nieprzeszkolone osoby popełniają najczęściej podstawowe błędy. Mogą np. otworzyć e-maila z wirusem, ustawiają hasła łatwe do odgadnięcia lub udostępniają je innym pracownikom. Kolejnym częstym błędem pracowników, którzy nie przeszli szkolenia lub mieli je dawno jest nieszyfrowanie wysyłanych mailowo plików czy też trzymanie przez nich w chmurze niezabezpieczonych dokumentów z danymi osobowymi klientów bądź współpracowników. Kolejnym dużym błędem jest używanie przez nich niezaszyfrowanych pendrive lub dysków przenośnych.

Tego typu zaniedbania mogą prowadzić do utraty zaufania klientów, spadku renomy i prestiżu firmy czy w ostateczności dużych strat finansowych czy też kar nałożonych na daną firmę. Dużo właścicieli firm z sektora małych i średnich przedsiębiorstw lekceważy zagrożenie ze strony hakerów. Prezesi firm przypuszczają, że są mało atrakcyjnym celem ze względu na wielkość firmy. Nic bardziej mylnego. Cyberprzestępcy starają się wykraść jak najwięcej danych nie patrząc przy tym na wielkość organizacji. Każda firma powinna mieć świadomość, że nawet najlepsze zabezpieczenia nie będą skuteczne gdy pracownik nie jest przeszkolony z zakresu ochrony danych osobowych czy też z zakresu cyberbezpieczeństwa.

59 % przedsiębiorców deklaruje, że po ataku hakerów i wycieku danych zgłosiła by to organom ścigania. 2% mniej ankietowanych podjęła by działania mające na celu poinformowanie osób, których dane wyciekły oraz zmieniła by hasła na używanych w firmie komputerach. Tylko ponad połowa firm deklaruje, że zwiększyła by poziom zabezpieczeń. Z powyższych danych wynika, że aż 40 % firm z sektora MŚP nie wie jak zachować się po ataku hackerskim i potencjalnym wycieku danych osobowych. Najgorsze jest, że tylko 42 % badanych zgłosiła by wyciek danych do UODO, a jako administratorzy powinni to wykonać jeżeli istnieje ryzyko (wyższe niż małe) szkodliwego wpływu na osoby, których dane zostały ujawnione.

W naszym kraju funkcjonuje około 2,3 mln firm z sektora małych, mikro i średnich. 3 % badanych deklaruje, że kradzież danych z ich przedsiębiorstwa zakończyła się sukcesem i tym samym dane wyciekły. W związku z tym można oszacować, że około 71 tys. firm utraciło dane, które były dla nich cenne w mniejszym bądź większym stopniu. Należy podkreślić, że są to przypadki w których administrator posiada wiedze o utracie danych. Należy zadać sobie pytanie jak wiele danych rzeczywiście co roku jest kradzionych, a o ilu przypadkach firmy nie wiedzą. Przecież część ataków hackerskich nie pozostawia widocznych na pierwszy rzut oka śladów. Według badania ankietowego największe zagrożenie dotyczy firm transportowych. Aż 32 % badanych z tego sektora deklaruje, że ich firma była obiektem ataku cyberprzestępców. Należy również zwrócić uwagę na fakt w jaki sposób przedsiębiorstwa przekazują dane do podmiotów świadczących dla nich usługi z zakresu księgowo- kadrowego. Zaraz po atakach hackerskich, drugim najczęstszym problemem związanym z wyciekiem danych osobowych są kwestie związanie z odpowiednim zabezpieczeniem przepływu danych osobowych do podmiotu przetwarzającego dane na zlecenie administratora.

Ochrona danych osobowych w firmie jest bardzo ważną kwestią. Należy chronić dane by zapobiec osłabieniu wizerunku firmy lub uniknięciu konsekwencji finansowych dla przedsiębiorstwa. Warto pamiętać o zapewnieniu firmie określonego poziomu bezpieczeństwa. Należy podkreślić, że specjaliści z GRUPY ELKA świadczą usługi z zakresu outsourcingu Inspektora Ochrony Danych Osobowych oraz przeprowadzają szkolenia z zakresu ochrony danych osobowych. Dodatkowo nasza firma świadczy usługi z zakresu cyberbezpieczeństwa.

Monitoring na prywatnej posesji

Montowanie przydomowego monitoringu na własnej posesji jest popularnym sposobem na zwiększenie bezpieczeństwa. momencie coraz łatwiej dostępnych kamer, przystępnych cenowo, gwarantujących coraz lepszą jakość i obszerną pamięć, wiele osób decyduje się na ich zakup i instalację. Czy taka ochrona jest dozwolona przez polskie prawo? Problem może pojawić się, wtedy gdy kamery swoim zasięgiem obejmują ulicę lub teren należący do sąsiada.

Instalacja systemu monitoringu na posesji to skuteczny sposób na zwiększenie bezpieczeństwa. Dzięki temu ochrona własnego dobytku staje się znacznie prostsza, tym bardziej że kamery zazwyczaj wyposażone są w funkcje detekcji ruchu i mogą być sterowane zdalnie. To pozwala również na obserwacje otoczenia nawet wtedy, gdy właściciele nieruchomości znajdują się poza domem. Choć z pewnością jest to duże udogodnienie, ale czy jest legalne? W tym przypadku obowiązują pewne ograniczenia. Kamera obejmująca wyłącznie teren posesji osoby, która ją instaluje, nie jest objęta regulacjami RODO. Art. 2 ust. 2 lit. c RODO przewiduje, że rozporządzenie nie ma zastosowania, gdy dane osobowe są przetwarzane przez osobę fizyczną w ramach działalności o charakterze czysto osobistym lub domowym. Sytuacja jednak się zmienia, gdy kamera rejestruje teren znajdujący się poza prywatną posesją. Właściciele kamer często nie zdają sobie sprawy z tego, jak istotną różnicę z punktu widzenia  RODO powoduje choćby przypadkowe, nieumyślne nakierowanie kamery na drogę czy sąsiednią nieruchomość.  

Kamera monitoringu swoim zasięgiem obejmuje drogę

W sytuacji, gdy kamery monitoringu obejmują teren poza Twoją posesją i rejestrują  na nośnikach danych osoby które się tam znajdują, wówczas dochodzi do przetwarzania danych osobowych, a to oznacza, że masz obowiązek przestrzegania przepisów RODO.W szczególności należy ustalić cel monitoringu oraz upewnić się, czy nie jest możliwe zastosowanie innych środków, które pozwolą go zrealizować, a nie będą wymagały gromadzenia danych, które mogą być uznane za nadmiarowe. Konieczne jest również wskazanie uzasadnionego interesu administratora i uzasadnienie, dlaczego nagrywanie konkretnego miejsca jest ważniejsze niż prawo do prywatności osób, które znajdą się na nagraniach. 

Decydując się na montaż kamer obejmujących drogę należy zdawać sobie sprawę z obowiązków ciążących na Tobie jako administratorze danych osobowych:

1. Jako administrator danych masz obowiązek poinformowania o kamerach – możesz to zrobić, umieszczając w widocznym miejscu znak informujący o prowadzonym monitoringu. 

2. Następnie jesteś zobowiązany do zabezpieczenia sprzętu służącego rejestracji obrazu i nagrań z nich pochodzących. Musisz się upewnić, że system, który stosujesz w celu monitoringu posesji gwarantuje ochronę danych osobowych. 

3. I na koniec jako administrator danych osobowych masz obowiązek zapewnić osobom, które znajdują się na nagraniach, dostęp do danych.

Kamera obejmująca posesję sąsiada

Kolejnym częstym przypadkiem są kamery nagrywające (choćby częściowo) posesję sąsiada. W tym przypadku bardzo trudne będzie powołanie się na prawnie uzasadniony interes administratora, który byłby ważniejszy niż prawo do prywatności sąsiada.

Nagrywanie posesji sąsiada będzie możliwe za jego zgodą, a ma on prawo w każdej chwili wycofać tę zgodę, w takim przypadku należy natychmiast zaprzestać używania kamer w ten sposób.

Podsumowanie

Monitoring prywatny jest legalny i o ile obejmuje on jedynie teren posesji, a przy tym nie rejestruje wizerunku osób trzecich, przepisy RODO nie mają zastosowania. W przeciwnym razie, utrwalając wizerunek osób trzecich, musisz stosować się do przepisów tego rozporządzenia. W przypadku naruszenia prywatności innych osób lub nieprzestrzegania przepisów prawa, osoby prowadzące monitoring mogą ponieść odpowiedzialność karną lub cywilną.

Nie można jednak zaprzeczyć faktom, że kamery na posesji zwiększają poziom bezpieczeństwa i stają się skutecznym narzędziem do ochrony przed włamywaczami i innymi przestępcami. Co więcej, nagrania z monitoringu mogą pomóc także w przypadku ustalenia zdarzeń podczas roszczenia o wypłatę odszkodowania z tytułu ubezpieczenia, czy ustaleniu sprawców ewentualnych szkód na posesji. Dlatego warto rozważyć jego zastosowanie.

Praca zdalna i wideokonferencje: Kluczowe zasady ochrony danych osobowych

Ostatnia pandemia Covid-19 🌍 spowodowała, że duża liczba pracowników z pracy stacjonarnej w biurze przeszła na pracę zdalną 💻. Wówczas pracownicy zostali zmuszeni do kontaktów wirtualnych 📲, zarówno między sobą, jak i z innymi osobami w firmie. Aby móc realizować zadania zawodowe, zaczęli wykorzystywać programy umożliwiające komunikację, takie jak Microsoft Teams, Zoom czy Google Meet 📞💬. Dzięki wideokonferencjom 🎥 mogli skutecznie kontaktować się z klientami, wymieniać pomysły w organizacji i realizować codzienne obowiązki. Słysząc i widząc się nawzajem, praca zdalna była możliwa na profesjonalnym poziomie 👥👍, zastępując codzienne spotkania w biurze.

Colleagues having a video conference during the coronavirus pandemic

Mimo że pandemia już się skończyła, wielu pracowników nadal pracuje zdalnie 🏠 i korzysta z tych narzędzi. Podobnie jest z pracownikami różnych oddziałów firmy, którzy kontaktują się online. Warto jednak zastanowić się 🤔, czy podczas wideokonferencji odpowiednio chronimy nasze dane osobowe 🔐.

Każdy uczestnik wideokonferencji udostępnia pewien zakres danych osobowych. Mogą to być: imię, nazwisko, e-mail, głos, wizerunek czy adres IP 📧👤. Zgodnie z art. 4 pkt 1 RODO, są to dane osobowe, ponieważ umożliwiają identyfikację osoby fizycznej. Ponadto, organizowanie wideokonferencji, nagrywanie ich 📽️, czy transmitowanie na żywo to przetwarzanie danych osobowych zgodnie z art. 4 pkt 2 RODO. Urząd Ochrony Danych Osobowych (UODO) 🛡️ wydał w 2020 roku szereg zaleceń, aby zminimalizować ryzyko związane z przetwarzaniem danych podczas wideokonferencji.

Pierwsza zasada mówi o tym, aby organizacja wybierająca oprogramowanie do wideokonferencji zapoznała się z jego polityką prywatności 📑. Pracownik powinien sprawdzić, jakie dane aplikacja chce uzyskać – np. dostęp do kontaktów lub lokalizacji 📱📍. Ważne, by aplikacje instalować tylko z oficjalnych źródeł, takich jak Google Play czy App Store. Należy również zadbać o to, aby nikt nie miał dostępu do tego, co widzimy na ekranie 🖥️. Aplikacja powinna korzystać z szyfrowania 🔒, a pracownik powinien korzystać z zabezpieczonego hasłem Wi-Fi 🔑.

Podczas wideokonferencji należy ograniczyć ilość udostępnianych danych do minimum 📉. Pracownik powinien używać innego hasła do wideokonferencji niż do pozostałych programów 🔐 i unikać udostępniania linków do konferencji w mediach społecznościowych 🚫. Warto także korzystać z VPN 🔐, zamazywać tło za sobą 🎨 oraz włączać kamerę i mikrofon tylko wtedy, gdy to konieczne 🎙️🎥.

Organizacje często mają różne cele przetwarzania danych osobowych związane z wideokonferencjami 🎯 – mogą to być transmisje na żywo, udostępnianie ekranu czy panele dyskusyjne. Ważne jest, aby wideokonferencje były wykorzystywane zgodnie z wcześniej określonymi celami i unikać zbierania nadmiarowych danych 🔍.

Przetwarzanie danych osobowych musi być zgodne z prawem 📜. W tym przypadku chodzi głównie o wizerunek pracownika. Przykładowo, art. 6 ust. 1 lit. b RODO mówi, że przetwarzanie jest niezbędne do wykonania umowy, a pracownik, mając obowiązki zawodowe, musi realizować zadania takie jak szkolenia czy rozmowy biznesowe 💼. Art. 6 ust. 1 lit. a RODO zakłada, że pracownik dobrowolnie wyraża zgodę na przetwarzanie swoich danych 🖊️.

Każda organizacja powinna, w miarę możliwości, wybierać dostawców oprogramowania z siedzibą w UE 🌍, ponieważ Unia Europejska przykłada dużą wagę do ochrony danych osobowych. Warto jednak przeanalizować potencjalne korzyści i zagrożenia związane z transferem danych do państw trzecich 🌎. W takich przypadkach pomocne mogą być konsultacje z Inspektorem Ochrony Danych Osobowych 🕵️‍♂️, który może doradzić w kwestiach ochrony prywatności.

Pamiętajmy, że bezpieczna wideokonferencja to nie tylko wygoda, ale i obowiązek prawny oraz odpowiedzialność za dane osobowe, które przetwarzamy 👥🔐.

Sygnaliści chronieni od 25 września 2024: bezpieczne zgłaszanie nieprawidłowości w Twojej firmie

Od środy 25 września sygnalista jest chroniony 🛡️
Od tego dnia osoby zgłaszające nieprawidłowości w związku z wykonywaną pracą zyskały ochronę przed działaniami odwetowymi kadry kierowniczej organizacji.

Kto może być sygnalistą? 🤔
Sygnalistą może być każda osoba narażona na działania odwetowe po dokonaniu zgłoszenia, niezależnie od podstawy i formy świadczenia pracy. Taka sama pomoc będzie przysługiwała również osobie pomagającej sygnaliście i osobie z nim powiązanej. Działania odwetowe mogą polegać np. na pozbawieniu awansu, podwyżki, nagrody 🏅 lub w skrajnych przypadkach zwolnieniu z pracy.
Status sygnalisty jest przyznawany w momencie dokonania zgłoszenia. Tożsamość takiej osoby musi być zachowana w tajemnicy 🤫. Firma, organizacja decyduje, czy przyjmowane będą anonimowe zgłoszenia.

Ustawa o ochronie sygnalistów 📜
Ustawa o ochronie sygnalistów będzie wchodziła w życie etapami. Państwowa Inspekcja Pracy zaznacza, że od 25 września 2024 r. osoby zgłaszające nieprawidłowości zyskają ochronę, natomiast przepisy określające zasady składania przez nich zgłoszeń o nieprawidłowościach będą wchodziły w życie w późniejszych terminach. Nowe procedury zaczną więc w pełni obowiązywać dopiero od 1 stycznia 2025 r. 📅
Z przepisów ustawy wynika, że firmy zatrudniające co najmniej 50 osób (niezależnie od umowy) są zobowiązane do wdrożenia procedury zgłoszeń wewnętrznych i stworzenia kanałów do ich przyjmowania.
Wyjątkiem są m.in. podmioty działające w sektorze finansowym 💰 (np. banki), które mają obowiązek stworzenia kanałów zgłoszeń w każdym przypadku. Nie dotyczy to też działalności w zakresie przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu, bezpieczeństwa transportu 🚚 i ochrony środowiska 🌳 oraz jednostek organizacyjnych gminy lub powiatu liczących mniej niż 10 tys. mieszkańców.

Jak ma wyglądać procedura zgłaszania nieprawidłowości? 📝
W ciągu siedmiu dni od zgłoszenia sygnalista otrzymuje potwierdzenie, że jego zawiadomienie zostało przyjęte, chyba że jest to zgłoszenie anonimowe. Następnym krokiem jest podjęcie przez pracodawcę działań następczych. Jeśli osoba lub zespół wyznaczone do obsługi zgłoszeń nieprawidłowości oceni, że zgłoszenie jest zasadne, wszczyna się postępowanie wyjaśniające.
W ciągu trzech miesięcy sygnalista powinien otrzymać informację zwrotną na temat podjętych działań następczych w związku ze zgłoszeniem działań. Nie musi to jednak oznaczać zakończenia rozpoznawania zgłoszenia, chociaż rekomenduje się tu szybkie i sprawne działanie.
Ustawa określa, jakich obszarów może dotyczyć zgłoszenie:

  • Korupcja 💼
  • Zamówienia publiczne 📃
  • Usługi, produkty i rynki finansowe 💸
  • Przeciwdziałanie praniu pieniędzy oraz finansowaniu terroryzmu 🚫💰
  • Bezpieczeństwo produktów i ich zgodność z wymogami 📦
  • Bezpieczeństwo transportu 🚂
  • Ochrona środowiska 🌍
  • Ochrona radiologiczna i bezpieczeństwo jądrowe ☢️
  • Bezpieczeństwo żywności i pasz 🍲
  • Zdrowie i dobrostan zwierząt 🐾
  • Zdrowie publiczne 🏥
  • Ochrona konsumentów 🛡️
  • Ochrona prywatności i danych osobowych 🔒
  • Bezpieczeństwo sieci i systemów teleinformatycznych 🖥️
  • Interesy finansowe Skarbu Państwa oraz jednostek samorządu terytorialnego i Unii Europejskiej 💶
  • Rynek wewnętrzny Unii Europejskiej, w tym publicznoprawne zasady konkurencji i pomocy państwa oraz opodatkowania osób prawnych 📊
  • Konstytucyjne wolności i prawa człowieka i obywatela w stosunkach jednostki z organami władzy publicznej ⚖️

Jak inaczej można sygnalizować problem w pracy? 📢
Oprócz zawiadomienia wewnętrznego zgłaszający może skorzystać z dwóch innych opcji sygnalizowania. Pierwsza to zgłoszenie zewnętrzne do Rzecznika Praw Obywatelskich lub organu publicznego. Zgodnie z ustawą ta możliwość wejdzie w życie od 25 grudnia. Druga to ujawnienie publiczne, np. poprzez media albo serwisy społecznościowe. 🌐

Ministerstwo pracy wskazało jednak, że dokonanie ujawnienia publicznego nie powinno być pierwszym krokiem. Resort zaznaczył, że w razie braku zaufania do pracodawcy powinno zostać dokonane zgłoszenie zewnętrzne do organu publicznego.

Dla wszelkich organizacji Grupa ELKA opracowała unikalną, bezpieczną i intuicyjną platformę do zgłaszania nieprawidłowości i ich obsługi sygnalista-online.eu.
System umożliwia bezpieczne zgłaszanie nieprawidłowości oraz informowanie o działaniach następczych, zapewnia także pełną zgodność z warunkami Dyrektywy Parlamentu Europejskiego 2019/1937.

Serwis Sygnalista Online został zaprojektowany tak, żeby w sposób bezpieczny i intuicyjny pomóc firmom oraz organizacjom w spełnieniu wymogów zdefiniowanych w Dyrektywie UE. Bardzo ważnym elementem procesu przetwarzania zgłoszeń jest maksymalne zachowanie poufności danych Sygnalistów. Treści zgłoszeń oraz dane Sygnalisty są szyfrowane 🔐, a ich odczytanie wymaga znajomości hasła oraz klucza. Każdy wgląd w treść zgłoszenia oraz dane Sygnalisty odnotowywany jest w dzienniku zdarzeń zgłoszenia. 📑

JAKĄ POMOC OFERUJE SYGNALISTA ONLINE?

Spójność rozwiązań
Generowanie procedury na określonych przez Użytkownika warunkach oraz wdrożenie jej w systemie zgłoszeń.

Rozliczalność
Spersonalizowany, w pełni bezpieczny i intuicyjny system obsługi zgłoszeń i naruszeń.

Zgodność
Spełnione wymagania Dyrektywy 2019/1937, Ustawy o ochronie sygnalistów oraz RODO.

Konfigurowalność
Możliwość zarządzania ustawieniami oraz dostosowanie rozwiązań do własnych potrzeb.

Poufność
Zgłaszanie nieprawidłowości oraz działania następcze z zachowaniem poufności danych.

Przejrzystość
Dziennik zdarzeń zgłoszenia zawierający informacje o działaniach i odczycie danych. 📊

Zachęcamy do kontaktu 📧 kontakt@sygnalista-online.eu, z przyjemnością wyjaśnimy szczegóły funkcjonowania oraz zasady korzystania z serwisu sygnalista-online.eu.

Akt urodzenia dziecka pracownika firmy – czy i jak długo pracodawca może go przechowywać ?

📄 Akt urodzenia dziecka pracownika – jak długo pracodawca może go przechowywać?

Każda firma musi przechowywać akta swoich pracowników zgodnie z przepisami prawa. Teczka personalna pracownika składa się z kilku części, w tym dokumentów związanych z urlopami i świadczeniami, w których może znaleźć się akt urodzenia dziecka.

👶 Aby pracodawca mógł przyznać np. urlop macierzyński, ojcowski czy rodzicielski, pracownik musi dostarczyć skrócony odpis aktu urodzenia dziecka lub jego kopię (§ 4 ust. 2 rozporządzenia MRPiPS z dnia 8 grudnia 2015 r.).

📅 Okres przechowywania dokumentów: Zgodnie z przepisami, pracodawca ma obowiązek przechowywać akta pracownika przez 10 lat od zakończenia stosunku pracy dla osób zatrudnionych po 31 grudnia 2018 roku. Dla pracowników zatrudnionych przed tą datą, okres ten wynosi 50 lat. Dotyczy to również kopii aktu urodzenia dziecka.

💼 RODO: Pracodawca może przechowywać jedynie te dane, które są niezbędne do realizacji jego obowiązków wynikających z przepisów prawa. Akt urodzenia dziecka może być potrzebny np. w przypadku kontroli z ZUS, aby wykazać zasadność udzielenia danego urlopu czy przyznania świadczenia socjalnego.

Podsumowując, pracodawca ma prawo przechowywać kopię aktu urodzenia dziecka przez cały okres zatrudnienia pracownika oraz przez okres archiwizacji akt, czyli 10 lub 50 lat w zależności od daty zatrudnienia.

Internet to nie tylko zabawa – poznaj zagrożenia i chroń się!

Internet to nie tylko zabawa – poznaj zagrożenia i chroń się!

Internet stał się nieodłączną częścią naszego życia. Ułatwia nam codzienne zakupy, kontakt z bliskimi oraz dostarcza rozrywki. Jednakże, w sieci kryją się także niebezpieczeństwa, o których warto wiedzieć, zwłaszcza jeśli jesteś osobą starszą.👵🏻💻

Jakie zagrożenia czyhają w sieci?

❗️ Oszuści podszywający się pod bliskich lub instytucje: Mogą wysyłać maile lub wiadomości SMS, udając członka rodziny, przyjaciela, bank czy urząd. Ich celem jest wyłudzenie poufnych danych, takich jak hasła do bankowości internetowej czy numery kart kredytowych. Często stosują techniki manipulacyjne, aby wywołać poczucie pilności lub strachu, co zwiększa szanse na powodzenie ich oszustwa.

❗️Fałszywe strony internetowe: Oszuści tworzą strony, które łudząco przypominają strony znanych banków, sklepów internetowych czy portali społecznościowych. Ich celem jest nakłonienie Cię do podania danych osobowych lub danych karty kredytowej. Warto zawsze dokładnie sprawdzać adres URL strony i unikać klikania w linki z nieznanych źródeł.

❗️Wirusy i złośliwe oprogramowanie: Mogą uszkodzić Twój komputer lub ukraść Twoje dane. Mogą też zostać wykorzystane do wysyłania spamu lub rozprzestrzeniania innych zagrożeń. Zainfekowanie komputera może nastąpić poprzez otwieranie załączników z podejrzanych maili lub odwiedzanie niezaufanych stron internetowych.

❗️Nękanie i cyberprzemoc: W internecie możesz paść ofiarą nękania lub cyberprzemocy. Może to obejmować obraźliwe wiadomości, groźby, a nawet publikowanie Twoich zdjęć lub filmów bez Twojej zgody. Cyberprzemoc może mieć poważne konsekwencje dla zdrowia psychicznego i poczucia bezpieczeństwa.

Jak chronić się przed zagrożeniami w sieci?

✋🏻Bądź ostrożny/a z kim się kontaktujesz: Nie ufaj wszystkim, co przeczytasz lub komu usłyszysz w internecie. Uważaj na maile i wiadomości SMS od nieznanych osób, nawet jeśli udają kogoś, kogo znasz. Zawsze weryfikuj tożsamość nadawcy przed podaniem jakichkolwiek danych.

✋🏻Nie podawaj poufnych danych w sieci: Nigdy nie podawaj nikomu w internecie swoich haseł, numerów kart kredytowych ani innych poufnych danych. Banki i instytucje nigdy nie proszą o takie informacje poprzez maile lub SMS-y.

✋🏻Korzystaj z silnych haseł: Używaj różnych haseł do różnych kont i zmieniaj je regularnie. Hasło powinno być długie i zawierać litery, cyfry oraz znaki specjalne. Silne hasła znacznie utrudniają dostęp do Twoich kont niepowołanym osobom.

✋🏻Instaluj oprogramowanie antywirusowe: Oprogramowanie antywirusowe może pomóc chronić komputer przed wirusami i złośliwym oprogramowaniem. Pamiętaj o regularnej aktualizacji tego oprogramowania, aby zapewnić sobie najwyższy poziom ochrony.

✋🏻Bądź ostrożny/a z tym, co klikasz: Nie klikaj w linki w podejrzanych wiadomościach e-mail lub na stronach internetowych. Pamiętaj, że nie wszystko, co widzisz w internecie, jest prawdziwe. Unikaj otwierania załączników i linków od nieznanych nadawców.

✋🏻Dbaj o prywatność w mediach społecznościowych: Uważaj na to, jakie informacje udostępniasz w mediach społecznościowych. Nie publikuj danych osobowych, takich jak adres domowy lub numer telefonu. Zastanów się dwa razy, zanim udostępnisz swoje prywatne życie publicznie.

✋🏻Rozmawiaj z bliskimi o zagrożeniach w sieci: Rozmawiaj z rodziną i przyjaciółmi o zagrożeniach w sieci i o tym, jak się przed nimi chronić. W razie wątpliwości lub problemów poproś o pomoc. Wspólna edukacja na temat bezpieczeństwa online jest kluczem do ochrony przed zagrożeniami.

Pamiętaj, że internet to nie tylko zabawa. Dbaj o swoje bezpieczeństwo i korzystaj z niego rozważnie! Dzięki odpowiedniej wiedzy i ostrożności możesz cieszyć się wszystkimi korzyściami, jakie oferuje sieć, unikając przy tym potencjalnych zagrożeń.❌🔐

Wyciekły Twoje dane osobowe – co zrobić i jak się uchronić?

Otrzymujesz podejrzane wiadomości od nieznanych nadawców lub zauważyłeś na rachunku przelew za usługę, której nie zamawiałeś? Takie sytuacje mogą być wynikiem wycieku danych osobowych, które podałeś podczas rejestracji konta w sklepie internetowym, zakupów online lub umawiania wizyty u lekarza. Świadomość, że ktoś obcy może zrobić zakupy lub zaciągnąć kredyt na Twoje nazwisko, może być bardzo niepokojąca i wywoływać podobny dyskomfort psychiczny, jak mieszkanie w domu, do którego wcześniej ktoś się włamał.

Najpoważniejsze zagrożenie wynikające z utraty kontroli nad danymi osobowymi to kradzież tożsamości, czyli bezprawne wejście w posiadanie danych identyfikujących osobę i wykorzystanie ich bez jej zgody. Przestępcy, którzy ukradli nasze dane, najczęściej robią to, aby uzyskać korzyści majątkowe, np. wyłudzić kredyt, zwłaszcza w parabankach, gdzie można zaciągnąć pożyczkę zdalnie, bez dokładnej weryfikacji tożsamości wnioskodawcy, lub dokonywać zakupów w sklepach internetowych.

Posiadanie przez nieuczciwe osoby numeru PESEL może prowadzić do poważnych konsekwencji. Oszust może uzyskać dostęp do świadczeń opieki zdrowotnej przysługujących osobie, której dane zostały naruszone, a także do informacji o jej stanie zdrowia. Często systemy rejestracji pacjentów opierają się jedynie na potwierdzeniu tożsamości za pomocą numeru PESEL.

Pozornie niegroźne ujawnienie danych do logowania w serwisach internetowych i mediach społecznościowych może zostać wykorzystane do publikowania obraźliwych postów i komentarzy, co może poważnie zaszkodzić wizerunkowi osoby, której dane przejęto.

Mając świadomość powagi sytuacji, nie można lekceważyć sygnałów, które mogą świadczyć o wycieku danych. W każdym przypadku masz prawo zweryfikować te informacje u administratora danych osobowych, czyli dostawcy usług lub produktów, któremu przekazałeś swoje dane, np. podczas rejestracji konta lub składania zamówienia. Administrator ma obowiązek wyjaśnić, czy doszło do naruszenia ochrony danych, a jeśli tak, to jakie są jego skutki i czy Twoje dane zostały objęte tym naruszeniem.

Jak zastrzec utracone dokumenty?

W przypadku zagubienia lub kradzieży dowodu osobistego, prawa jazdy, paszportu lub innego dokumentu tożsamości, należy natychmiast zastrzec ten dokument w banku, w którym posiadasz konto. Zgłoszenia można dokonać w dowolnej placówce swojego banku, a zastrzeżenie będzie skuteczne dla wszystkich rachunków bankowych. Wszystkie banki w Polsce, a także inne instytucje finansowe, są w systemie „Dokumenty Zastrzeżone Związku Banków Polskich”. Zgłoszenia są automatycznie przekazywane do Centralnej Bazy Danych i rozsyłane do pozostałych uczestników systemu. W razie zagubienia dowodu osobistego należy także zgłosić jego utratę do urzędu, który wydał dokument, lub – jeśli przebywasz za granicą – do konsulatu.

Jak zastrzec numer PESEL?

Usługa zastrzeżenia numeru PESEL polega na przekazaniu informacji do instytucji pożyczkowych, że osoba, której numer został zastrzeżony, nie zamierza zawierać umów pożyczki ani zaciągać innych zobowiązań. Usługę można aktywować na przykład poprzez portal gov.pl. Od zeszłego roku każdy może bezpłatnie złożyć wniosek o zastrzeżenie numeru PESEL w urzędzie gminy, banku, SKOK-u, na poczcie, a także elektronicznie, za pomocą aplikacji mobilnej mObywatel. Zastrzeżenie jest odnotowywane w centralnym rejestrze, który musi być weryfikowany przez instytucje finansowe, notariuszy i operatorów telekomunikacyjnych przed zawarciem umów pożyczki, kredytu, leasingu, dokonywaniem niektórych czynności notarialnych lub wydaniem duplikatu karty SIM.

Jak zablokować kartę płatniczą?

Jeżeli ujawnione zostały dane z Twojej karty płatniczej, takie jak numer karty oraz kod CVV, powinieneś niezwłocznie zablokować możliwość dokonywania płatności. Można to zrobić za pomocą bankowości elektronicznej lub dzwoniąc na infolinię swojego banku. Karty można zastrzec w dowolnym momencie, 24 godziny na dobę, 7 dni w tygodniu. Można także skorzystać z uniwersalnego, międzybankowego Systemu Zastrzegania Kart, dzwoniąc pod numer (+48) 828 828 828.

Podsumowanie

Jeżeli masz poważne podejrzenia, że Twoje dane osobowe są wykorzystywane bez Twojej wiedzy i zgody w celach przestępczych, zachowaj spokój. Działaj racjonalnie, podejmując działania adekwatne do rodzaju naruszenia. Czynności, które mogą pomóc w zminimalizowaniu skutków wycieku danych, to zastrzeżenie dokumentów tożsamości, numeru PESEL, kart płatniczych.

Zagrożone były dane milionów osób – zareagował SYGNALISTA

Dane około 10 milionów pacjentów przez lata były narażone na kradzież. Dzięki zgłoszeniu sygnalisty udało się załatać luki w aplikacjach używanych przez apteki i lekarzy – poinformował  „Dziennik Gazeta Prawna”. Nie ma jednak gwarancji, że dane nie wyciekły.

„Z programów, których lekarze używają do obsługi wizyt, można było wydobyć dostęp do dokumentacji medycznej pacjentów i ich danych osobowych (w tym adresowych i kontaktowych), a także uzyskać dostęp do systemu e-WUŚ NFZ. Za jego pomocą przestępca mógłby wystawiać refundowane recepty, skierowania czy zwolnienia lekarskie” – podał „Dziennik Gazeta Prawna”.

 Wiceprezes zarządu Polskiej Izby Informatyki Medycznej Tomasz Zieliński stwierdził że, „z punktu widzenia pojedynczego pacjenta to problem większy niż wyciek danych ze szpitala, lekarz Podstawowej Opieki Zdrowotnej ma bowiem dostęp do całej historii leczenia”.

Skala ujawnionych nieprawidłowości jest ogromna, dotyczy kilkunastu tysięcy przychodni, gabinetów lekarskich, stomatologicznych i aptek. Zagrożenie wynika z niewystarczającego zabezpieczenia oprogramowania gabinetowego. 

Po tym, jak doszło do wycieku danych medycznych z ALAB-u w listopadzie ub.r., sygnalista przesłał anonimowy lista do Jakuba Staśkiewicza, (etycznego hakera i autora bloga OpenSecurity.pl). Jego nadawca opisał podatności w systemach dostarczanych przez firmy produkujące takie oprogramowanie, a używanych przez lekarzy w gabinetach.

Staśkiewicz zainteresował się sprawą przeprowadził testy, w styczniu poinformował o wynikach zespół reagowania na incydenty komputerowe CERT Polska. Potwierdziło się, że sygnalista miał rację, luka w zabezpieczaniach istnieje. 

Producenci zapewnili, że „podatności zostały załatane„, a w czerwcu CERT Polska wydał komunikat z opisem sytuacji. „Jak przyznają eksperci NASK, nie znaleziono nigdzie dowodów, by ktoś z podatności skorzystał i pobrał z aplikacji dane pacjentów. Żadnej z takich baz nie wystawiono np. na sprzedaż w darkwebie, nikt też nie zgłosił się do producentów oprogramowania czy placówek po okup” – czytamy w „DGP”.

Na opisanym przykładzie jasno widać jak przydatna jest instytucja Sygnalisty. Przez lata „dziurawe” oprogramowanie było użytkowane przez kilkanaście tysięcy przychodni, gabinetów lekarskich, stomatologicznych, apteki i nikt nie zareagował. Dopiero po ujawnieniu nieprawidłowości odpowiednie instytucje zajęły się zabezpieczeniem programu.

Dla firm, urzędów, placówek służby zdrowia oraz innych instytucji Grupa ELKA opracowała unikalną, bezpieczną i intuicyjną platformę do zgłaszania nieprawidłowości  i ich obsługi sygnalista-online.eu

System umożliwia bezpieczne zgłaszanie nieprawidłowości oraz informowanie o działaniach następczych, zapewnia także pełną zgodność z warunkami Dyrektywy Parlamentu Europejskiego 2019/1937. 

Serwis Sygnalista Online został zaprojektowany tak, żeby w sposób bezpieczny i intuicyjny pomóc firmom oraz organizacjom w spełnieniu wymogów zdefiniowanych w Dyrektywie UE. Bardzo ważnym elementem procesu przetwarzania zgłoszeń jest maksymalne zachowanie poufności danych Sygnalistów. Treści zgłoszeń oraz dane Sygnalisty są szyfrowane, a ich odczytanie wymaga znajomości hasła oraz klucza. Każdy wgląd w treść zgłoszenia oraz dane Sygnalisty odnotowywany jest w dzienniku zdarzeń zgłoszenia. 

JAKĄ POMOC OFERUJE SYGNALISTA ONLINE?

Spójność rozwiązań

Generowanie procedury na określonych przez Użytkownika warunkach oraz wdrożenie jej w systemie zgłoszeń

Rozliczalność

Spersonalizowany, w pełni bezpieczny i intuicyjny system obsługi zgłoszeń i naruszeń

Zgodność

Spełnione wymagania Dyrektywy 2019/1937, Ustawy o ochronie sygnalistów oraz RODO

Konfigurowalność

Możliwość zarządzania ustawieniami oraz dostosowanie rozwiązań do własnych potrzeb

Poufność

Zgłaszanie nieprawidłowości oraz działania następcze z zachowaniem poufności danych

Przejrzystość

Dziennik zdarzeń zgłoszenia zawierający informacje o działaniach i odczycie danych

Zachęcamy do kontaktu kontakt@sygnalista-online.eu, z przyjemnością wyjaśnimy szczegóły funkcjonowania oraz zasady korzystania z serwisu sygnalista-online.eu

Usprawiedliwienie nieobecności ucznia, a RODO

Rozporządzenie ochrony danych osobowych, które obowiązuje w Polsce od 2018 roku reguluje wiele spraw związanych z danymi osobowymi. Warto jednak podkreślić, że w społeczeństwie wiele osób ma problem z interpretacją konkretnych sytuacji, które spotykają w życiu, a które dotyczą ich danych osobowych. Podobnie jest w przypadku rodziców dzieci, które uczęszczają do szkoły lub uczniów, którzy ukończyli osiemnasty rok życia. W szkole przetwarza się duże ilości danych osobowych.

Art. 99 ustawy z dnia 14 grudnia 2016 r. Prawo oświatowe mówi o zakresie obowiązków każdego ucznia jakie powinny być zawarte w statucie każdej szkoły. Punkt drugi stwierdza, że statut szkoły powinien określać termin i formę usprawiedliwienia nieobecności uczniów zarówno tych niepełnoletnich oraz tych, którzy osiągnęli pełnoletność. Warto jednak podkreślić, że w ustawie nie są zawarte konkretne informacje, które powinny znaleźć się w usprawiedliwieniu. Powoduje to sytuację, że w zasadzie w statutach szkół zawarte są różne wymagania. Najczęściej jednak statut wymaga by podane zostały imię i nazwisko dziecka, data oraz przyczyna nieobecności ucznia bądź okoliczności, w wyniku których uczeń nie mógł przybyć na zajęcia. Większość statutów wymaga również by usprawiedliwienie miało charakter pisemny. I tutaj pojawia się wątpliwość czy przyczyna lub okoliczności nieobecności ucznia, czyli najczęściej choroba lub stan zdrowia ucznia powinny być ujawniane. Same dane medyczne są danymi szczególnie chronionymi, a gdy dotyczą dziecka podlegają jeszcze większej ochronie.

Motyw 38 RODO podkreśla, że dane osobowe dzieci podlegają szczególnej ochronie, ponieważ osoby małoletnie nie są świadome ryzyka, konsekwencji i praw przysługującym im w związku z przetwarzaniem ich danych osobowych. Każda szkoła tworząc statut, a w nim pewne zasady powinna kierować się również RODO. W przypadku reguł dotyczących usprawiedliwienia nieobecności, szkoła powinna zwrócić uwagę na zasadę minimalizacji danych oraz zasadę rzetelności przetwarzania danych osobowych. Zgodnie z pierwszą zasadą dane pozyskiwane przez szkołę powinny być adekwatne, stosowne oraz tylko takie, które niezbędne są do osiągnięcia celu w którym są gromadzone i przetwarzane. W przypadku drugiej zasady administrator danych osobowych powinien rozpatrzyć, czy przetwarzanie danych jest wykonywane w oparciu o analizę interesów zarówno administratora jak i osoby fizycznej czyli w naszym wypadku ucznia. Szkoła powinna przeanalizować w jakim stopniu przetwarzanie danych ucznia odnosi się do zapewnienia mu prywatności.

Według stanowiska Urzędu Ochrony Danych Osobowych szkoła nie ma prawa żądać uzasadnienia nieobecności dziecka w szkole. Nie ma prawa również żądać ujawnienia jego danych medycznych, czyli choroby czy stanu zdrowia. Są to dane nadmiarowe, a interes dziecka jako prawo do prywatności znajduje się wyżej niż prawo administratora, czyli szkoły do realizacji swojego celu. UODO wskazuje, że w przepisach nie jest nigdzie określone, że rodzice są zobowiązani do podania uzasadnienia. Mają jednak możliwość samodzielnego podjęcia decyzji o tym czy zechcą podać uzasadnienie, czy też nie. Nauczyciel dostrzegając długotrwałe nieobecności ucznia, mimo iż są usprawiedliwione powinien omówić tą sytuację z rodzicami ucznia bądź w przypadku pełnoletności danej osoby z samym zainteresowanym. W sytuacji dalszych długich nieobecności ucznia nauczyciel może poinformować o swoich wątpliwościach sąd rodzinny.

W dzisiejszych czasach istnieje wiele wątpliwości związanych z ochroną danych osobowych czy to dorosłych czy dzieci. Należy podkreślić, że specjaliści działu ODO GRUPY ELKA świadczą kompleksowy zakres usług związanych z ochroną danych osobowych, w tym outsourcing funkcji Inspektora Ochrony Danych.

Zarządzanie zasobami

W nowoczesnym świecie biznesu zarządzanie zasobami stanowi fundament efektywnego funkcjonowania i bezpieczeństwa każdej organizacji. Jednym z kluczowych procesów jest inwentaryzacja zasobów, która jest formalnym obowiązkiem każdej organizacji. Polega ona na sporządzeniu wykazu wszystkich dostępnych zasobów w organizacji. Zamiast ręcznych rejestrów warto wdrożyć rozwiązania informatyczne, które umożliwiają skuteczne zarządzanie inwentaryzacją i zasobami.

GRUPA ELKA, kierowana własnymi potrzebami, stworzyła serwis Zasoby Online, który w jasny i przejrzysty sposób pozwala na zarządzanie zasobami. System odpowiada na kluczowe pytania dotyczące zasobów firmy, takie jak:

  • Jakie zasoby posiada firma (np. narzędzia, flota, oprogramowanie, urządzenia, sprzęt informatyczny i telekomunikacyjny)?
  • Gdzie znajdują się te zasoby?
  • Kto jest odpowiedzialny za stan poszczególnych zasobów?
  • Kiedy upływa termin gwarancji?

Zarządzanie zasobami, czyli znajomość stanu zasobów od momentu zakupu do wycofania z użycia, ma kluczowe znaczenie dla obniżania kosztów działania i podnoszenia produktywności. System do zarządzania zasobami ułatwia zarządzanie licencjami i gwarancjami, umożliwia raportowanie oraz zapewnia stały dostęp do aktualnych informacji, co pozwala na lepsze planowanie, budżetowanie i raportowanie.

Zarządzanie zasobami to nie tylko śledzenie produktów i działań. Ważne jest, aby zarządzać zasobami przez cały okres ich eksploatacji i mieć pewność, że nie popadają w zapomnienie, tracąc swoje właściwości lub ulegając zniszczeniu. Normalizowanie, wykrywanie i odzyskiwanie zasobów informatycznych pozwala uniknąć strat finansowych wynikających z braku kontroli nad sprzętem i oprogramowaniem. Zarządzanie zasobami ma także kluczowy wpływ na bezpieczeństwo, zgodnie z normami i standardami zarządzania bezpieczeństwem.

Kilka przykładów związanych z bezpieczeństwem:

  • Podatność techniczna: Bez inwentaryzacji systemów nie wiemy, czy są aktualne. Nieaktualne systemy stwarzają podatność, którą może wykorzystać intruz.
  • Kontrola dostępu: Bez inwentaryzacji nie wiemy, kto ma dostęp do zasobów i czy jest on uzasadniony. Może się okazać, że uprawnienia są zbyt wysokie lub należy je odebrać.
  • Monitorowanie: Bez znajomości stanu zasobów nie wiemy, co i w jakiej ilości monitorować. Brak monitoringu uniemożliwia wychwycenie anomalii i incydentów.
  • Ciągłość działania: Niekompletna inwentaryzacja może spowodować brak informacji o gwarancjach czy wsparciu technicznym. Nie będziemy wiedzieć, czy mamy kopie bezpieczeństwa i odpowiednie procedury.
  • Prawo licencyjne: Bez inwentaryzacji nie zapanujemy nad wykorzystaniem licencji. Nie wiedząc, ile jakich produktów używają pracownicy, możemy naruszyć prawo.
  • Shadow IT: Bez inwentaryzacji nie mamy kontroli nad niezatwierdzonym przez organizację sprzętem czy oprogramowaniem.

Stosowanie rozwiązania Serwis Zasoby Online pozwala maksymalnie wykorzystać możliwości sprzętu i oprogramowania. Posiadanie zinwentaryzowanych zasobów jest konieczne przy wdrażaniu dobrych praktyk i norm z zakresu bezpieczeństwa, a także stanowi fundament dokumentacji ochrony danych osobowych i cyberbezpieczeństwa.

Zgodnie z obecnymi standardami wiedza o posiadanych zasobach jest nieodłącznym elementem każdej infrastruktury czy projektu IT. Usługa Serwis Zasoby Online jest skierowana zarówno do klientów posiadających rozbudowaną infrastrukturę IT, jak i do tych, którzy dopiero rozpoczynają proces transformacji cyfrowej.

Zapraszamy do zapoznania się z ofertą serwisu zasoby-online.eu.

Pojazdy autonomiczne, a dane osobowe

W dzisiejszych czasach samochody osobowe są najpopularniejszym środkiem transportu. Z biegiem lat przekształciły się z prostych pojazdów w zaawansowane maszyny. W przyszłości mają stać się całkowicie niezależne od człowieka. Samochody powinny monitorować zachowanie kierowcy, analizować i optymalizować pracę silnika oraz oceniać otoczenie wokół pojazdu. Już teraz potrafią kontrolować kierunek jazdy. Docelowo samochody mają być w pełni autonomiczne, co zwiększy wygodę podróżowania i bezpieczeństwo.

Aby pojazd był autonomiczny, musi gromadzić wiele danych, a kierowca powinien mieć zapewnioną prywatność. Obecnie nad autonomicznymi samochodami pracują firmy takie jak Tesla Motors, Google, Apple oraz czołowi producenci samochodów. Istnieje sześć poziomów autonomii pojazdów:

  1. Poziom 0 – brak automatyzacji; samochód posiada jedynie podstawowe systemy wspomagania kierowcy, takie jak ESP, tempomat czy ABS.
  2. Poziom 1 – wykorzystanie jednego elementu autonomizacji, np. utrzymywanie stałej odległości od poprzedzającego pojazdu.
  3. Poziom 2 – jazda półautomatyczna; samochód kontroluje kierunek jazdy, utrzymanie pasa ruchu, hamowanie, przyspieszenie oraz odległość od innych pojazdów.
  4. Poziom 3 – komputer kieruje pojazdem, ale w niebezpiecznej sytuacji to człowiek przejmuje kontrolę.
  5. Poziom 4 i 5 – pełna autonomia pojazdów.

Badania przeprowadzone przez firmę Intel wskazują, że całkowicie autonomiczny samochód pozyskuje od 4 do 6 TB danych każdego dnia. Pojazdy mogą wymieniać dane między sobą (Vehicle to Vehicle), z inteligentną infrastrukturą drogową (Vehicle to Infrastructure), oraz ze wszystkimi elementami otoczenia (Vehicle to Everything). Wszystkie systemy w takich pojazdach muszą chronić dane zgodnie z RODO.

Autonomiczne pojazdy gromadzą różnorodne dane osobowe, m.in. związane z optymalizacją funkcjonowania samochodu, prawidłową eksploatacją pojazdu, oraz sposobem korzystania z niego przez kierowcę. Dane te mogą obejmować zachowanie kierowcy podczas jazdy, jego preferencje, a nawet informacje o stanie zdrowia. Przykładowo, sposób hamowania czy szybkość reakcji mogą wskazywać na różne choroby. Ponadto, dane dotyczące naruszeń prawa, takie jak przekraczanie prędkości, mogą być gromadzone przez pojazd. Informacje te są atrakcyjne dla reklamodawców, którzy mogą tworzyć spersonalizowane reklamy wyświetlane kierowcy podczas jazdy. Autonomiczne auta mogą również informować o warunkach drogowych i zagrożeniach na drodze. Kamery w takich pojazdach rejestrują wizerunki innych pojazdów i ich numery rejestracyjne.

Każda firma gromadząca dane osobowe poprzez autonomiczne pojazdy musi przestrzegać art. 5 ust. 1 lit. C RODO, minimalizując ilość pobieranych danych do niezbędnego minimum. Przetwarzanie danych musi być uzasadnione konkretnym celem, odbywać się na podstawie umowy lub zgody osoby, której dane dotyczą, i być zgodne z prawem. Problem może stanowić uzyskanie zgody, gdy z pojazdu korzysta kilku kierowców. Użytkownicy autonomicznych aut powinni być informowani o zakresie i celu gromadzonych danych, oraz o administratorach tych danych.

Rozwój technologii niesie ze sobą zagrożenia cybernetyczne. Hakerzy mogą przejąć kontrolę nad pojazdem, wgrać wirusa i doprowadzić do niebezpiecznych sytuacji. Autonomiczne auta przyniosą wiele korzyści, ale konieczne jest zapewnienie odpowiednich zabezpieczeń. Specjaliści GRUPY ELKA oferują kompleksowe usługi z zakresu cyberbezpieczeństwa.

Sygnalista już jest

14 czerwca Sejm przyjął poprawki Senatu do ustawy o ochronie sygnalistów, a następnie ustawa została podpisana przez prezydenta Andrzeja Dudę 20 czerwca 2024 roku. Ustawa wejdzie w życie trzy miesiące po jej ogłoszeniu, a przepisy dotyczące zgłoszeń zewnętrznych zaczną obowiązywać po sześciu miesiącach. Celem ustawy jest wdrożenie dyrektywy Parlamentu Europejskiego i Rady UE, która miała zostać wprowadzona przez kraje unijne do 17 grudnia 2021 roku.

Kim jest sygnalista?

Sygnalista to osoba fizyczna, która zgłasza naruszenia prawa za pomocą wewnętrznych lub zewnętrznych kanałów zgłoszeń, bądź ujawnia takie informacje publicznie, w kontekście swojej pracy. Sygnalistą może być:

  • Pracownik
  • Pracownik tymczasowy
  • Osoba świadcząca pracę na innej podstawie niż stosunek pracy, w tym na podstawie umowy cywilnoprawnej
  • Przedsiębiorca
  • Prokurent
  • Akcjonariusz lub wspólnik
  • Członek organu osoby prawnej lub jednostki organizacyjnej nieposiadającej osobowości prawnej
  • Osoba świadcząca pracę pod nadzorem i kierownictwem wykonawcy, podwykonawcy lub dostawcy
  • Stażysta
  • Wolontariusz
  • Praktykant
  • Funkcjonariusz w rozumieniu art. 1 ust. 1 ustawy z dnia 18 lutego 1994 r. o zaopatrzeniu emerytalnym funkcjonariuszy Policji, ABW, AW, SKW, SWW, CBA, SG, SM, SOP, PSP, SCS i SW
  • Żołnierz w rozumieniu art. 2 pkt 39 ustawy z dnia 11 marca 2022 r. o obronie Ojczyzny

Zgodnie z ustawą, ochroną zostaną objęte osoby zgłaszające naruszenia prawa niezależnie od formy i podstawy ich zatrudnienia. Sygnalista będzie mógł zgłaszać naruszenia poprzez wewnętrzne kanały zgłoszeń utworzone przez podmioty prywatne i publiczne, zewnętrzne kanały zgłoszeń do odpowiednich organów państwowych, a w szczególnych przypadkach również poprzez publiczne ujawnienie.

Działania sygnalisty mogą dotyczyć następujących obszarów:

  • Korupcja
  • Zamówienia publiczne
  • Usługi, produkty i rynki finansowe
  • Przeciwdziałanie praniu pieniędzy oraz finansowaniu terroryzmu
  • Bezpieczeństwo produktów i ich zgodność z wymogami
  • Bezpieczeństwo transportu
  • Ochrona środowiska
  • Ochrona radiologiczna i bezpieczeństwo jądrowe
  • Bezpieczeństwo żywności i pasz
  • Zdrowie i dobrostan zwierząt
  • Zdrowie publiczne
  • Ochrona konsumentów
  • Ochrona prywatności i danych osobowych
  • Bezpieczeństwo sieci i systemów teleinformatycznych
  • Interesy finansowe Skarbu Państwa, jednostek samorządu terytorialnego oraz Unii Europejskiej
  • Rynek wewnętrzny UE, w tym zasady konkurencji i pomocy państwa oraz opodatkowania osób prawnych
  • Konstytucyjne wolności i prawa człowieka i obywatela w relacjach z organami władzy publicznej

Trzy kanały ujawnienia nieprawidłowości przez sygnalistę:

  1. Ujawnienie publiczne – podanie informacji o naruszeniu prawa do wiadomości publicznej.
  2. Zgłoszenie zewnętrzne – ustne lub pisemne przekazanie informacji o naruszeniu prawa Rzecznikowi Praw Obywatelskich albo odpowiedniemu organowi publicznemu.
  3. Zgłoszenie wewnętrzne – ustne lub pisemne przekazanie informacji o naruszeniu prawa podmiotowi prawnemu (najczęściej pracodawcy).

Zgłoszenia wewnętrzne

Rozdział 3, Art. 23.1 ustawy o ochronie sygnalistów mówi o zgłoszeniach wewnętrznych: przepisy niniejszego rozdziału stosuje się do podmiotu prawnego, w którym na dzień 1 stycznia lub 1 lipca danego roku pracuje zarobkowo co najmniej 50 osób.

Dla firm, urzędów oraz innych instytucji GRUPA ELKA opracowała unikalną, bezpieczną i intuicyjną platformę do zgłaszania nieprawidłowości i ich obsługi: sygnalista-online.eu. System ten umożliwia bezpieczne zgłaszanie nieprawidłowości oraz informowanie o działaniach następczych, zapewniając pełną zgodność z warunkami Dyrektywy Parlamentu Europejskiego 2019/1937.

Jaką pomoc oferuje Sygnalista Online?

  • Spójność rozwiązań – generowanie procedury na określonych przez użytkownika warunkach oraz wdrożenie jej w systemie zgłoszeń.
  • Rozliczalność – spersonalizowany, bezpieczny i intuicyjny system obsługi zgłoszeń i naruszeń.
  • Zgodność – spełnienie wymagań Dyrektywy 2019/1937, ustawy o ochronie sygnalistów oraz RODO.
  • Konfigurowalność – możliwość zarządzania ustawieniami i dostosowanie rozwiązań do własnych potrzeb.
  • Poufność – zgłaszanie nieprawidłowości oraz działania następcze z zachowaniem poufności danych.
  • Przejrzystość – dziennik zdarzeń zgłoszenia zawierający informacje o działaniach i odczycie danych.

Zachęcamy do kontaktu: kontakt@sygnalista-online.eu. Chętnie wyjaśnimy szczegóły funkcjonowania oraz zasady korzystania z serwisu sygnalista-online.eu.

Dyrektywa NIS 2

NIS 2 to dyrektywa na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa w całej Unii Europejskiej. Obejmuje środki prawne, których celem jest zwiększenie poziomu bezpieczeństwa w kwestiach cybernetycznych. Celem wprowadzenia powyższej dyrektywy jest konieczność nadążenia za wzrostem cyfryzacji i zmianami w obszarach zagrożeń dla cyberbezpieczeństwa. Należy wziąć pod uwagę, że w czasach nagłego wzrostu liczby cyberataków i incydentów Unia Europejska musiała w jakiś sposób zareagować i wprowadzić mechanizm, który zabezpieczy państwa członkowskie przed tego typu zagrożeniami. Społeczeństwa europejskie muszą w ostatnim czasie mierzyć się z takimi atakami jak np. phishing, ransomware czy różnego rodzaju złośliwe oprogramowania. NIS 2 jest pewną znaczącą częścią strategii bezpieczeństwa w zakresie cybernetyki Unii Europejskiej i jest w pełni zgodny z głównymi priorytetami Komisji Europejskiej, które skupiają się na cyfrowej erze współczesnej Europy.

NIS 2 jest następcą NIS 1, który został utworzony i wprowadzony w życie na terenie Unii Europejskiej w 2016 roku. NIS 2 zostało przyjęte 10 listopada 2022 roku, a opublikowano 16 stycznia 2023 roku. Państwa członkowskie UE mają czas na wprowadzenie NIS 2 do 17 października 2024 roku.

Tak jak wcześniej zostało wspomniane dyrektywa obejmuje środki prawne, które mają za zadanie zwiększyć poziom cyberbezpieczeństwa krajów UE poprzez:

  1. Zapewnienie gotowości każdego z krajów członkowskich poprzez stworzenie odpowiednich organów czy zespołów np. CSIRT, czyli zespół reagowania na powstające incydenty bezpieczeństwa komputerowego oraz NIS, czyli krajowy organ do spraw sieci i systemów informatycznych.
  2. Powołanie grupy współpracy, której celem jest nawiązaniem współpracy między państwami członkowskim Unii Europejskiej w zakresie wymiany informacji i różnego rodzaju doświadczeń.
  3. Wprowadzenie zasad wysokiej kultury bezpieczeństwa w zakresie cybernetyki w obszarach i sektorach, które mają spore znaczenie dla społeczeństwa czy też dla gospodarki.

NIS 2 obejmuje więcej sektorów przedsiębiorstw i zmienia sposób ich przyporządkowania, bądź też klasyfikacji w stosunku do NIS 1. Podmioty dzieli się według wielkości podmiotu, ważności i rodzaju świadczonych usług czy poziomu powiązania z podmiotami powiązanymi czy też partnerskimi. Do NIS 2 zaliczamy  następujące rodzaje przedsiębiorstw:
transport, opieka medyczna, energia, dostawcy usług cyfrowych, banki i instytucje finansowe, infrastruktura cyfrowa oraz zaopatrzenie w wodę, żywność, dostawca sieci publicznych lub usług komunikacji elektronicznej, przestrzeń kosmiczna, gospodarki ściekami i odpadami, administracja publiczna, usługi cyfrowe takie jak platforma usług społecznych i usług centów danych, usługi pocztowe i kurierskie czy też produkcji niektórych kluczowych produktów.

Dodatkowo dyrektywa rozróżnia podmioty ważne oraz kluczowe. Pierwsza grupa to te, które zatrudniają powyżej 50 pracowników i których roczny obrót przekracza 10 mln EUR, a suma bilansowa to ponad 10 mln EUR. Natomiast druga grupa to przedsiębiorstwa zatrudniające powyżej 250 osób z rocznymi obrotami przekraczającymi 50 mln EUR lub roczna sumą bilansową przekraczającą 43 mln EUR. Nie można zapomnieć jednak o mniejszych przedsiębiorstwach. Mikro i małe firmy odgrywają kluczową rolę dla gospodarki, społeczeństwa oraz określonych typów i sektorów usług, dlatego również zobowiązane są wprowadzić u siebie założenia Dyrektywy NIS 2.

NIS 2 dodatkowo zakłada mocniejszy nacisk na organy zarządzające spółek oraz podnosi kryteria bezpieczeństwa w oparciu o zarządzanie ryzykiem i określenie środków bezpieczeństwa w zakresie cybernetyki. Dyrektywa nakłada obowiązek zgłaszania incydentów bezpieczeństwa przez przedsiębiorstwa, a sankcje za nieprzestrzeganie dyrektywy mają być znacząco wyższe. Dodatkowo NIS 2 wprowadza obowiązek zwrócenia uwagi przez przedsiębiorstwa na kwestie bezpieczeństwa łańcucha dostaw oraz relacji z kontrahentami.

NIS 2 według szacunków może objąć swoim zakresem ponad 6000 różnego rodzaju podmiotów działających aż w 18 różnych sektorach w Polsce. Za niezastosowanie się do dyrektywy może zostać nałożona duża kara finansowa. Na przedsiębiorstwa o charakterze kluczowym kara ma wynosić co najmniej 10 mln EUR lub co najmniej 2% łącznego rocznego światowego obrotu w poprzednim roku obrotowym firmy. Natomiast dla podmiotów ważnych maksymalna kara finansowa to co najmniej 7 mln EUR lub 1,4 % łącznego rocznego światowego obrotu w poprzednim roku obrotowym firmy.

Warto podkreślić, że NIS 2 wprowadza następującą zasadę zgłaszania incydentów poważnych: 24 godziny na przesłanie wczesnego ostrzeżenia oraz 72 godziny na zgłoszenie określonego incydentu. Rozporządzenie wymaga również by przedsiębiorstwo złożyło w odpowiednim czasie raporty okresowe oraz końcowe.

GRUPA ELKA świadczy kompleksowe usługi w obszarze cyberbezpieczeństwa. Nasze usługi świadczone są przez grupę specjalistów, którzy pomogą Państwu dostosować przedsiębiorstwo do standardów nowej dyrektywy.

Jak długo można przechowywać dane kandydatów do pracy po zakończeniu procesu rekrutacji?

Do niedawna obowiązywało stanowisko Urzędu Ochrony Danych Osobowych, które mówiło że dane osobowe kandydatów aplikujących w procesie rekrutacyjnym powinny być usuwane niezwłocznie po zakończeniu tego procesu. Wyjątek stanowić może sytuacja, kiedy kandydat wyraził zgodę na przetwarzanie swoich danych na potrzeby przyszłych rekrutacji. Naczelny Sąd Administracyjny orzekł inaczej w sprawie skargi niedoszłej pracownicy firmy wysyłkowej „A”.

Przybliżmy szczegóły sprawy. Pani K. aplikowała do znanej firmy wysyłkowej „A”, niestety kobieta nie dostała pracy. Poprosiła zatem o wykasowanie jej danych z bazy, jednak firma odmówiła argumentując to tym, że musi dysponować jej danymi po skończonym procesie rekrutacji, aby zabezpieczyć się przed ewentualnymi roszczeniami kandydatki do pracy. Pani K. skierowała skargę do Urzędu Ochrony Danych Osobowych. 

Prezes UODO upomniał firmę „A” wytykając jej naruszenie przepisów prawa ochrony danych osobowych poprzez bezpodstawne przetwarzanie danych po zakończeniu rekrutacji. Zdaniem UODO uchybienie to naruszało przepisy Rozporządzenia RODO, w tym m.in. art. 6 ust.1. Decyzję tą zaskarżyła firma „A”, a Warszawski Sąd Administracyjny przychylił się do wniosku firmy wysyłkowej. W opinii WSA, Prezes UODO nie wziął pod uwagę prawnie uzasadnionego interesu Administratora. Firma „A” jako administrator danych i pracodawca jest zobowiązana do respektowania regulacji Kodeksu pracy dotyczących zakazu dyskryminacji, także w trakcie przyjmowania do pracy. Sąd wskazał, że zgodnie z art. 291 Kodeksu pracy obowiązuje 3-letni termin przedawnienia takich roszczeń. Tym samym firma „A” ma uzasadniony interes w przechowywaniu tych danych właśnie przez ten okres w celu potencjalnego ich wykorzystania w możliwym procesie sądowym.

Skargę kasacyjną do Naczelnego Sądu Administracyjnego złożył Prezes UODO, ale została ona oddalona. NSA w oparciu o art. 6 ust. 1 pkt f RODO wskazał, że przetwarzanie danych osobowych musi być oparte o trzy zasadnicze przesłanki: 

  1. Administrator musi wykazać cele, do których osiągnięcia przetwarzanie danych jest niezbędne.
  2. Cele te są uzasadnione interesem prawnym administratora danych. 
  3. Interes prawny administratora ma charakter nadrzędny w stosunku do praw i wolności osoby której dane są przetwarzane. 

Zdaniem Naczelnego Sadu Administracyjnego wszystkie te przesłanki zostały spełnione i należy uznać, że dozwolone jest przechowywanie danych osobowych kandydatów nieprzyjętych do pracy także po zakończeniu procesu rekrutacji. Sąd wskazał też, że przetwarzanie jest uzasadnione w tych warunkach, o ile sprowadza się ono wyłącznie do przechowywania danych kandydatów odrzuconych w procesie rekrutacji.

Podsumowując, przechowywanie danych po zakończonej rekrutacji jest uzasadnione interesem samych kandydatów jak i pracodawców. Pracodawca może przechowywać dane zebrane w toku rekrutacji od kandydatów przez 3 lata. W okresie tym, kandydaci mogą podnieść zarzut odrzucenia ich aplikacji z powodu dyskryminacji lub nierównego traktowania.

RODO, a faktury

W dzisiejszych czasach prowadzenie firmy jest niełatwym wyzwaniem. Zmieniające się przepisy stanowią ciągłe wyzwanie dla osób pracujących w firmie, szczególnie dla osób na stanowisku kadrowym bądź księgowym. Proces wdrażania nowych technologii w firmie jest jej nieodłączną częścią. Co raz to nowe programy stanowią spore ułatwienie i usprawnienie w firmie, ale również wiążą się z koniecznością dokształcania przez pracowników.

Nieodzownym elementem w działalności firmy stanowią faktury w szczególności firmach zajmujących się sprzedażą towarów lub świadczeniem usług. Tego typu dokument w każdej firmie istnieje od dawna, natomiast z czasem faktury nabrały również formy elektronicznej. Należy również zaznaczyć fakt, że w związku z wejściem w życie RODO znaczenie bezpieczeństwa danych zawartych na fakturze oraz forma ich przetwarzania nabrała nowego znaczenia.

Każda firma w swojej działalności dokonuje transakcji opodatkowanej podatkiem od towarów i usług. Dokumentem podstawowym potwierdzającym taką transakcję jest faktura.

Każda faktura według ustawy z dnia 11 marca 2004 roku o podatku od towarów i usług powinna zawierać następujące informacje:

  • imiona i nazwiska podatnika i nabywcy oraz ich adresy
  • numer NIP lub KRS podatnika oraz nabywcy
  • jeżeli jest taka konieczność imię, nazwisko, adres oraz NIP luk KRS przedstawiciela podatkowego

Przez dane osobowe należy rozumieć wszelkiego rodzaju informację dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Dane osobowe znajdujące się na fakturach należą do przedsiębiorców. Stronami umowy mogą być osoby fizyczne, spółki cywilne, osoby prawne lub tzw. ułomne osoby prawne czyli: spółki partnerski, spółki jawne, spółki komandytowe oraz komandytowo-akcyjne. Mogą to być również stowarzyszenia czy wspólnoty mieszkańców. W związku z tym, że jawne i powszechnie dostępne są rejestry CEIDG oraz KRS można by wysnuć wniosek, że dane te nie podlegają RODO. Faktycznie dane osób prawnych takie jak dane o firmie, forma osoby prawnej czy dane kontaktowe nie podlegają Rozporządzeniu o Ochronie Danych Osobowych, natomiast wyjątkiem są dane osób fizycznych prowadzący jednoosobową działalność gospodarczą. Mówi o tym motyw 14 RODO, który zakłada, że tego typu dane należy chronić. Dodatkowo ochronie podlegają dane osoby fizycznej jako strony umowy znajdującej się na fakturze oraz dane spółki cywilnej osób fizycznych.

Obecnie firmy wykorzystują zaawansowane narzędzia – programy do fakturowania. Mogą one działać np. w systemie chmurowym lub jako aplikacja. Często zdarza się tak, że łączą się one z bazą danych firmy gdzie pozyskują dane kontrahentów jak również i klientów danej firmy. Dochodzi wówczas do zaawansowanego procesu przetwarzania danych osobowych. W związku z tym należy zwrócić szczególną uwagę na fakt, że tak duże ilości danych powinny być zabezpieczone w odpowiedni sposób. Firma korzystająca z danej platformy powinna sprawdzić czy dany program spełniają normy  zgodne z RODO oraz czy dany operator zapewnia odpowiednie zabezpieczenia organizacyjne oraz techniczne.

Do tego typu środków możemy zaliczyć:

  • uwierzytelnianie
  • nadawanie odpowiednich uprawnień
  • możliwość kasowania danych w przypadku awarii dysku
  • zabezpieczenia w formie programu antywirusowego
  • ustawienie firewalla
  • regularną konserwację systemu
  • przeprowadzanie regularnych testów bezpieczeństwa
  • regularne szkolenie pracowników

Tego typu programy mogą działać jako osobni administratorzy lub jako podmioty przetwarzające dane osobowe. Niezwykle ważne jest wypełnienie obowiązków wynikających z RODO w relacji administrator do administratora lub zawarcie odpowiedniej umowy powierzenia między administratorem a podmiotem przetwarzającym.

Może również dojść do sytuacji, że dane konkretnej firmy zostaną wytransferowanie poza UE/EOG. Dlatego istotne jest uwzględnić regulacje i zasady międzynarodowego transferu danych przy pomocy mechanizmów jakie przewiduje RODO czyli np. odpowiednie certyfikacje czy klauzule umowne. Ważne jest aby każdy użytkownik programu do obsługi faktur znał swoje prawa oraz zasady przetwarzania danych zawartych w oprogramowaniu z którego korzysta.

Jeżeli dana firma wystawia fakturę dla jednoosobowej działalności gospodarczej musi automatycznie pozyskać odpowiednie dane. Dochodzi wówczas to początkowego etapu przetwarzania danych czyli ich gromadzenia. W związku z tym działając w oparciu o artykuł 13 RODO firma powinna spełnić obowiązek informacyjny.

Składać się on powinien z następujących składowych:

  • dane Administratora Danych Osobowych
  • dane Inspektora Danych Osobowych
  • podstawa prawna przetwarzania danych osobowych oraz cele przetwarzania
  • informacje o odbiorcach danych osobowych
  • jeżeli zachodzi konieczność przekazania danych to państw trzecich ADO powinien o tym poinformować
  • okres przechowywani danych
  • informacje dotyczące praw osób do których dane należą

Fakturowanie jest nieodłącznym elementem prowadzenia działalności gospodarczej w Polsce. Należy pamiętać, że są podmioty, których dane na fakturach podlegają ochronie RODO. Należy o to zadbać i nie dopuścić by dane potencjalnego klienta zostały udostępnione stroną do tego nieupoważnionym. Jeżeli by tak się jednak stało nieocenioną pomocą może być usługa Inspektora Ochrony Danych Osobowych. Firma PHU ELKA świadczy usługę zewnętrznego IOD-a. Wiedza oraz szerokie kompetencje specjalistów z działu ODO grupy ELKA mogą wspomóc firmę w zakresie ochrony danych osobowych.

Czy tablice z rejestracyjne samochodów są danymi osobowymi?

W Polsce od momentu wejścia RODO w życie trwa nieprzerwanie spór dotyczący klasyfikacji tablic rejestracyjnych jako danych osobowych.

Prezes Urzędu Ochrony Danych Osobowych zajmuje stanowisko, że numery rejestracyjne są danymi osobowymi, ale sądy administracyjne (w większości) prezentują przeciwny pogląd. Eksperci są również podzieleni, część popiera kierunek orzecznictwa polskich sądów, ale jest równie liczna grupa specjalistów popierających stanowisko większości krajów UE, które uznają numery rejestracyjne samochodów za dane osobowe.

Zgodnie z art. 4 pkt 1 RODO dane osobowe to „informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (»osobie, której dane dotyczą«); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej”. 

Przekładając to na „język polski”, jeżeli na podstawie informacji można zidentyfikować konkretną osobę fizyczną, to są to dane osobowe. Oznacza to, że ta sama informacja może stanowić dane osobowe, a winnym przypadku już nie. Zależy to od możliwości powiązania tej informacji z innymi, co umożliwia identyfikację konkretnej osoby. Odnosi się to także do kwestii czy numer rejestracyjny stanowi dane osobowe. W różnych okolicznościach różnie możemy to postrzegać. Podmiot posiadający interes prawny np. (Policja, Prokuratura, Kancelaria Komornika czy Straż Miejska) w łatwy sposób mogą uzyskać informacje o właścicielu pojazdu, nawet jeśli mają do dyspozycji jedynie numer rejestracyjny. Dużo trudniej „zwykłemu obywatelowi” jest uzyskać informacje o właścicielu pojazdu z Centralnej Ewidencji Pojazdów i Kierowców (CEPiK).

Europejskie organy ochrony danych osobowych  twierdzą, że  w większości przypadków numer rejestracyjny stanowi dane osobowe, zależy to jednak od kontekstu przetwarzania, są to dane osobowe w momencie gromadzenia np. w ramach systemu monitoringu w celu identyfikacji osoby fizycznej, aby nałożyć mandat za złe parkowanie lub inne wykroczenia drogowe.

Nasi zachodni sąsiedzi wprowadzili numery rejestracyjne pojazdów do systemu umożliwiającego ocenę zachowania kierowcy w ruchu drogowym. Oznacza to utożsamianie prowadzącego auto z właścicielem, (odpowiednie służby mają obowiązek zweryfikowania, czy pojazd prowadził właściciel czy inna osoba). Od uprawomocnienia się wyroku Wyższego Sądu Administracyjnego w Münster w 2017 roku, numery rejestracyjne są traktowane w Niemczech jak dane osobowe. Podobne stanowisko przyjęła również Francja, a organy nadzorcze Norwegii oraz Włoch nałożyło wysokie kary dla przedsiębiorców udostępniających numery rejestracyjne podczas transakcji handlowych.

Do rozważenia pozostaje zagadnienie indywidualnych tablic rejestracyjnych. Niektóre mogą wprost sugerować, że właścicielem pojazdu jest konkretny celebryta / znana osobistość, ale  trzeba wziąć pod uwagę, że różnego rodzaju celebryci sami dążą do tego aby być łatwo rozpoznawalnymi.

RODO, a wizerunek sprawcy kradzieży

W dzisiejszym świecie kradzieże oraz akty różnego rodzaju wandalizmu są dosyć powszechnym zjawiskiem. Często mamy do czynienia z nimi w sklepach. Według danych Komendy Głównej Policji w 2023 r. stwierdzono 40 tysięcy przestępstw kradzieży, a wykroczeń o charakterze kradzieży około 279 tysięcy. Jeżeli porównywać dane z rokiem wcześniejszym to ilość przestępstw kradzieży wrosła o 22,2 procent, natomiast wykroczeń o niecałe 17 procent. Specjaliści prognozują, że liczba kradzieży w przyszłości może dalej rosnąć. Na pewno nie pomoże fakt, że podniesiono próg od którego kwalifikuje się kradzież jako przestępstwo do 800 złotych. Nie możemy również zapominać o drobnych złodziejach czy też dużych grupach przestępczych, które z kradzieży w sklepach uczyniły sobie sposób na życie. Jednym z elementów zabezpieczenia się przedsiębiorców przed stratami jest zatrudnienie wykwalifikowanej ochrony. Jednak często tego rodzaju środek jest niewystarczający bądź generuje zbyt wysokie koszty. W takim przypadku właściciele sklepów decydują się na założenie monitoringu wizyjnego, którego celem jest odstraszenie potencjalnych złodziei bądź w razie kradzieży ich łatwiejsza identyfikacja. W dalszej części artykułu ukazane zostaną regulacje dotyczące monitoringu wizyjnego wynikające z ogólnego rozporządzeniem o ochronie danych osobowych, które weszło w życie 25 maja 2018 roku.

Na początku omawiania tak ważnej kwestii należy podkreślić fakt, że monitoring wizyjny należący do administratora powinien nagrywać jedynie taki obszar, który jest niezbędny do realizacji jego celów. Należy podkreślić, że art. 22 § 1 Kodeksu Pracy określa trzy powody, które uzasadniają montaż kamer w miejscu pracy: ochrona majątku przedsiębiorcy, zapewnienie odpowiedniego poziomu bezpieczeństwa pracowników czy też zachowanie tajemnicy informacji. Monitoring powinien znajdować się w tych miejscach w danym sklepie gdzie najczęściej przebywają klienci i gdzie może dojść do kradzieży czy innego rodzaju nieprawidłowości wynikających z relacji klient- sklep bądź klient- pracownicy danego sklepu. Należy podkreślić, że monitoringu nie wolno administratorowi instalować w toaletach, przebieralniach czy też palarniach danego sklepu ponieważ jest to miejsce gdzie intymność człowieka jest ważniejsza niż realizacja celów administratora. Dodatkowo podmiot nagrywający, który jest właścicielem danych osobowych powstałych w wyniku rejestracji danego obrazu musi odpowiednio poinformować klientów o tym, że w danym sklepie jest monitoring. Powinien to zrobić umieszczając w widocznym miejscu informację.

Ważnym obowiązkiem każdego właściciela sklepu, który zatrudnia pracowników jest poinformowanie ich o fakcie, że na terenie danego sklepu został zainstalowany monitoring wizyjny. Dodatkowo pracownicy powinni zostać zapoznani z celem jego stosowania, zasięgiem oraz zakresem. Jeżeli chodzi o czas jakim dysponuje pracodawca to powinien poinformować pracowników nie później niż 2 tygodnie przed jego wprowadzeniem na terenie firmy. Kolejnym obowiązkiem administratora danych osobowych jest przeszkolenie pracowników. Właściciel sklepu musi również zapewnić odpowiedni poziom bezpieczeństwa przechowywania i udostępniania nagrań.

Gdy dojdzie do kradzieży danego towaru w sklepie i zatrzymamy sprawcę kradzieży, powinniśmy zawiadomić odpowiednie służby np. policję czy straż miejską. Wówczas po przybyciu funkcjonariusz spisuje odpowiedni protokół oraz przesłuchuje świadków. W kolejnym etapie służby mogą wnioskować o wydanie przez administratora nagrań z monitoringu do celów dowodowych.

Jeżeli jednak obsłudze sklepu nie uda się złapać złodzieja wówczas właściciel sklepu musi podjąć inne kroki. ADO musi pamiętać, że publikowanie wizerunku złodzieja w mediach społecznościowych czy co gorsza wywieszanie jego zdjęcia w danym sklepie jest niedopuszczalnym działaniem. Tego typu publikowanie wizerunku potencjalnego złodzieja nie może mieć miejsca. Wizerunek każdego człowieka jest jego indywidualnym dobrem, które jest prawnie chronione. Ochrona wizerunku opisana jest w artykule 23 Kodeksu Cywilnego. Również o ochronie wizerunku mówi Prawo Prasowe w artykule 13 ustęp 2. Ustęp ten stwierdza, że nie można publikować wizerunku osoby przeciwko której toczy się postępowanie przygotowawcze bądź sądowe, a także zakłada domniemanie niewinności każdej osoby. Mówi również o tym art. 42 Konstytucji ustęp 3, który zakłada, że nie można publikować niczyjego wizerunku dopóki nie zostanie skazany prawomocnym wyrokiem sądowym. Istnieją jednak wyjątki, w których Administrator danych osobowych może udostępnić wizerunek sprawcy w postaci wideo tylko określonym podmiotom. Jednym z takim podmiotów są pracownicy firmy ochroniarskiej, którzy dzięki posiadaniu wizerunku sprawcy mogą zapobiec dalszym kradzieżom. Kolejnym podmiotem jest policja lub innego rodzaju służby, które są organami zaufania publicznego i zajmują się one wykroczeniami bądź przestępstwami. Ważnym podmiotem są również kierownicy sklepu. Oni jako decydenci i zarządzający pracą sklepu maja również wpływ na ograniczenie kradzieży. Należy podkreślić, że zwykli pracownicy nie powinni mieć wglądu do materiału z monitoringu gdyż to rozszerza zbyt mocno grupę, której udostępnia się konkretne dane osobowe w postaci wizerunku.

Oprócz podanych wcześniej sytuacji w których RODO zabrania publikacji wizerunku sprawcy kradzieży możemy dodać jeszcze jedną. Czwartą zakazaną sytuacją jest przekazywanie zdjęcia sprawcy sąsiadującym zaprzyjaźnionym przedsiębiorcom przez kanały komunikacyjne, które nie zostały zabezpieczone w odpowiedni sposób i które mogą prowadzić do wycieku danych osobowych potencjalnego złodzieja.

Należy podkreślić, że wizerunek danej osoby czyli jego dana osobowa jest przez prawo chroniona. Każdy administrator danych powinien w odpowiedni sposób przechowywać oraz przetwarzać dane, które są jego własnością i za które odpowiada. Warto podkreślić, że podstawą prawną udostępniania odpowiednim i uprawnionym organom wizerunku uchwyconego w postaci wideo jest artykuł szósty RODO. Jeżeli jednak właściciel sklepu nie zachowa odpowiednich procedur lub postąpi niewłaściwie co może wynikać z jego braku odpowiedniej wiedzy z zakresu ochrony danych może ponieść określone konsekwencje. Może na administratora zostać nałożona kara przez Prezesa Urzędu Ochrony Danych Osobowych lub osoba, której wizerunek został ujawniony może dochodzić określonych roszczeń na drodze sądowej. Właśnie biorąc pod uwagę tego typu kwestie administrator danych osobowych powinien rozważyć skorzystanie z usługi zewnętrznego inspektora ochrony danych. Tego typu usługa zapewni ADO określoną wiedzę związaną z RODO oraz w razie niekorzystnej sytuacji zapewni sprawny kanał komunikacji między właścicielem sklepu, a UODO. Jeżeli nie jesteś pewien jak postępować z monitoringiem to warto skorzystać z pomocy specjalistów z działu ODO firmy PHU ELKA, którzy posiadają odpowiednią wiedzę merytoryczną oraz kompetencje.

Podsumowanie 2023 – kary RODO

Nadszedł czas podsumowania 2023 roku, zatem można śmiało przedstawić nałożone kary finansowe w minionym roku przez Prezesa Urzędu Ochrony Danych Osobowych. Łącznie nałożono aż 21 kar, w porównaniu do 13 w roku 2022, jest to wyraźnywzrost.Łączna kwota nałożonych kar to 666 089 zł. 

Jak się wydaje te kary są wynikiem słabej wiedzy i braku świadomości Administratorów. Ogólne rozporządzenie o ochronie danych (RODO) nałożyło przecież na administratorów i podmioty przetwarzające szereg obowiązków w tym zakresie. Sankcje grożące za naruszenie zasad ochrony danych osobowych są dość dotkliwe. Mogą zostać nałożone nie tylko na administratora danych czy podmiot przetwarzający, ale również pracowników czy współpracowników tych podmiotów.

Poniżej przedstawiamy informacje czego dotyczyły naruszenia w 2023 roku, i na co zwracać uwagę aby podobnych kar uniknąć w przyszłości:

  1. 19.01.2023 Sąd Rejonowy Szczecin-Centrum w Szczecinie, kara  – 30 000 zł

Urząd Ochrony Danych został powiadomiony przez Sąd Rejonowy w Szczecinie o zagubieniu przez pracownika trzech nośników danych (pendrive) zawierających dane osobowe w postaci nazwisk, imion, miejsca zamieszkania, zakładu pracy oraz dane dotyczące stanu zdrowia. Tylko jeden z pendrivów był szyfrowany i stanowił własność Sądu pozostałe dwa były nieszyfrowane i były własnością pracownika. Dane zawarte na tych nośnikach dotyczyły lat 2004 do 2020 i ani Administrator ani pracownik nie byli w stanie określić ilu osób dotyczyły. Prezes UODO przeprowadził postępowanie wyjaśniające w wyniku, którego ustalono, że mimo istniejących procedur mających zapobiegać takim praktykom jakich dopuścił się pracownik sądu, procedury te nie były egzekwowane. W związku z tym w ramach działań naprawczych Administrator wyposażył pracowników w służbowe szyfrowane pondrivy oraz dział IT Sądu uniemożliwił korzystanie z nieautoryzowanych nośników danych pracownikom. Kara została nałożona za niewdrożenie przez Sąd odpowiednich środków technicznych i organizacyjnych zapewniających zabezpieczenie danych osobowych przed zapisywaniem ich na prywatnych,  niezabezpieczonych nośnikach.

  1. 25.01.2023 S. Sp. z o. o., kara 18 279 zł

Urząd Ochrony Danych Osobowych nałożył administracyjną karę finansową na spółkę S za brak współpracy firmy z Prezesem UODO. Do Urzędu wpłynęła skarga od osoby fizycznej z powodu udostępnienia danych osobowych (imienia i nazwiska, adresu, wysokości wynagrodzenia, stanowiska pracy i numeru konta) osobom nieupoważnionym.  Prezes UODO wszczął postępowanie i zwrócił się do spółki S. o ustosunkowanie się do zarzutów oraz o złożenie pisemnych wyjaśnień. Pismo to zostało odebrane przez adresata, jednakże pozostało bez odpowiedzi.

  1. 25.01.2023 E. Sp. z o. o., kara 22 848 zł

Prezes Urzędu Ochrony Danych decyzją administracyjną nakazał spółce E. usunięcie danych osobowych (imię i nazwisko, adres, i nr PESEL) osoby fizycznej. Decyzja nie została zaskarżona przez spółkę. Celem sprawdzenia, czy nałożona Decyzja została wykonana, prezes UODO pisemnie wezwał administratora do przedstawiania dowodów potwierdzających wykonanie nakazu oraz pouczył Spółkę, że stwierdzenie nieprzestrzegania nakazu orzeczonego przez Prezesa UODO może skutkować nałożeniem administracyjnej kary pieniężnej. Pismo zostało odebrane przez adresata i mimo  kolejnego listu z upomnieniem Spółka zignorowała zalecenie Prezesa UODO. W związku z tym Prezes UODO z urzędu wszczął postępowanie w wyniku, którego nałożył administracyjną karę finansową.

  1. 7.02.2023 Wspólnota mieszkaniowa, kara 1 556 zł

  W firmie zarządzającej wspólnotą mieszkaniową doszło do kradzieży dokumentacji Wspólnoty, zawierającej następujące kategorie danych osobowych: imiona i nazwiska poszczególnych właścicieli, adresy mieszkań, numery kont, z których właściciele uiszczali opłaty czynszowe, dane firm wykonujących usługi w tym budynku. Prezes UODO informację na temat kradzieży pozyskał dzięki anonimowemu sygnałowi i zwrócił się do zarządcy o wyjaśnienia w sprawie. Zarządca Wspólnoty przekazał, że sprawa została zgłoszona na Policję i że sprawą kradzieży dokumentów zajmuje się Prokuratura. Prezes UODO nałożył administracyjną karę finansową ponieważ Administrator nie dopełnił obowiązku powiadomienia osób, których dotyczy wyciek danych w czasie max. 72 godzin od momentu ujawnienia kradzieży. 

Informacja powinna zawierać: 

• opis charakteru naruszenia ochrony danych osobowych;

• imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenia innego punktu kontaktowego, od którego można uzyskać więcej informacji;

• opis możliwych konsekwencji naruszenia ochrony danych osobowych;

• opis środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu – w tym środków w celu zminimalizowania jego ewentualnych negatywnych skutków.

  1. 8.02.2023 Firma K. P., kara 33 012 zł, Firma M. H., kara 472 zł

Prezes Urzędu Ochrony Danych Osobowych nałożył pieniężne kary administracyjne na obie firmy za (cytuję): „niewdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych, skutkującym naruszeniem ich poufności i rozliczalności, oraz na braku weryfikacji podmiotu przetwarzającego, czy zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie chroniło prawa osób, których dane dotyczą”. Firma K. P. będąca brokerem ubezpieczeniowym podpisała umowę z Firmą M. H. na usługi informatyczne (ASI). Jednakże w grudniu 2020 roku doszło do zhakowania systemu informatycznego Administratora i na jego stronie internetowej pojawiły się dane  ok. 2500 klientów. Opublikowane dane zawierały: imię i nazwisko, datę urodzenia, adres zamieszkania numer PESEL, adres email i numer telefonu, a w niektórych przypadkach wyniki badań onkologicznych oraz zdjęcia ubezpieczanych pojazdów. Dostęp do upublicznionej bazy danych został zablokowany po ok. 40 minutach. Administrator złożył doniesienie o podejrzeniu popełnienia przestępstwa do policji.

  1. 1.03.2023., Spółdzielnia mieszkaniowa, kara 51 876 zł

Prezes Urzędu Ochrony Danych nałożył finansową karę administracyjną za niezgłoszenie Prezesowi UODO naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia oraz na niezawiadomieniu o naruszeniu ochrony danych osobowych, bez zbędnej zwłoki osoby, której dane dotyczą. Prezes Spółdzielni Mieszkaniowej przekazał osobie trzeciej dane osobowe  jednego z członków Spółdzielni w postaci imienia i nazwiska, numeru PESEL oraz adresu. Osoba, która otrzymała dane zgłosiła ten fakt do UODO. Do przekazania danych doszło na konferencji prasowej zwołanej przez prezesa Spółdzielni w celu wyjaśnienia okoliczności doniesień medialnych dotyczących nieprawidłowości przy rozliczaniu kosztów zużycia wody przez mieszkańców. Ujawnione dane były to dane osoby, która nagłośniła tę sprawę w mediach. Spółdzielnia tłumaczyła się przeoczeniem i błędem pracowników przygotowujących informacje dla mediów. Po wymianie pism z pomiędzy Spółdzielnią i Prezesem UODO, ten ostatni nałożył karę finansową na Administratora.

  1. 14.03.2023 Prokuratura Rejonowa, kara 20 000 zł

Prokuratora Rejonowa  przekazała dziennikarzowi dokumentację z postępowania przygotowawczego  przeciwko Wójtowi Gminy. Udostępnione dane zawierały: wskazanie poprzedniej funkcji obecnego wójta, imię i nazwisko, seria i numer dowodu osobistego, numer PESEL, adres zamieszkania, numer telefonu, informacja o wysokości wynagrodzenia, stan cywilny, stopień pokrewieństwa oraz miejsce zatrudnienia. Prokuratura udostępniła również, dane w takim samym zakresie żony wójta, a także dane małoletniego dziecka (imię i nazwisko, data urodzenia, płeć, stan cywilny, stopień pokrewieństwa, numer PESEL, miejsce nauki oraz dane dotyczące stanu zdrowia. Dziennikarz po otrzymaniu informacji od prokuratora opublikował je w lokalnym serwisie internetowym anonimizując wcześniej dane osobowe. Prezes UODO po wymianie pism oraz analizie zaistniałej sytuacji zdecydował o nałożeniu finansowej kary administracyjnej na Prokuraturę Rejonową.

  1. 20.04 2023 Izba Adwokacka, kara 23 580 zł

Rzecznik Dyscyplinarny Izby Adwokackiej (administrator) dokonał zgłoszenia do Prezesa Urzędu Ochrony Danych w sprawie naruszenia ochrony danych. Do administratora zgłosił się obrońca obwinionego w postępowaniu dyscyplinarnym prowadzonym przed Rzecznikiem Dyscyplinarnym Izby Adwokackiej i poinformował o otrzymaniu uszkodzonej przesyłki, w której brakowało pendriva z nagraniem rozprawy rozwodowej z danymi osobowymi 8 osób w zakresie imienia, nazwiska, szczegółów dotyczących życia rodzinnego, relacji stron oraz podejrzeń o niewierność małżeńską. Prezes UODO zwrócił się z pytaniem do Administratora czy zgodnie z przyjętymi procedurami nośnik danych był zaszyfrowany. Okazało się, że ani pendrive ani plik nie były w żaden sposób zabezpieczone. W związku ze stwierdzonymi zaniedbaniami Prezes UODO nałożył karę finansową.

  1. 9.05.2023 Burmistrz Miasta i Gminy, kara 10 000 zł

Pracownik Urzędu Miasta i Gminy w sposób nieuprawniony skopiował dane osobowe z komputera służbowego na pendriva. Skopiowane pliki zawierały: imiona i nazwiska, daty urodzenia, numery rachunków bankowych, adresy zamieszkania, numery PESEL i rozliczenia różnych opłat komunalnych. Do Urzędu miasta w imieniu pracownika przebywającego na zwolnieniu lekarskim, osoba trzecia dostarczyła nośnik danych z danymi osobowymi. Burmistrz zgłaszając naruszenie do Prezesa UODO zaznaczył, że kopia plików z danymi została wykonana nie prawnie, ponadto osoba, która dostarczyła pendriva nie była pracownikiem i nie miał upoważnienia. Pracownik przebywający na L4 zgrywając pliki usunął je z dysków Urzędu Miasta i Gminy, ponadto przekazał swoje hasła dostępu innemu pracownikowi. Nośnik danych był prywatną własnością pracownika i w żaden sposób nie zabezpieczał danych. Prezes UODO zdecydował o nałożeniu kary finansowej na Burmistrza i zobowiązał go do wdrożenia procedur mających na celu zapobieżenie zaistnieniu podobnych naruszeń.

  1. 16.05.2023 Burmistrz Miasta, kara 30 000 zł

Do naruszenia doszło na skutek ataku ransomware, a było to możliwe z powodu doboru nieskutecznych zabezpieczeń systemu informatycznego oraz braku odpowiedniego testowania. Naruszenie polegało na blokadzie dostępu przez sieć wewnętrzną dostępu do serwera przez użytkowników końcowych. Złośliwe oprogramowanie na serwerze Urzędu miasta umieściło plik testowy w każdym folderze z żądaniem okupu. Zablokowano dane ok. 9400 osób w zakresie: nazwiska i imiona, imiona rodziców, data urodzenia, numer rachunku bankowego, adres zamieszkania lub pobytu, numer PESEL, adres e-mail, dane dotyczące zarobków i/lub posiadanego majątku, nazwisko rodowe matki, numer telefonu, wizerunek. Administrator zapewnił Prezesa UODO o odzyskanie wszystkich zaszyfrowanych danych osobowych. Powodem udanego ataku ransomware była niezaktualizowana baza wirusów. Prezes UODO zdecydował o nałożeniu kary finansowej.

  1. 31.05.2023 G. Sp. z o. o., kara 14 148 zł

Spółka G będąca zarządcą Wspólnoty mieszkaniowej dopuściła się naruszenia danych osobowych ujawniając imię i nazwisko mieszkanki wspólnoty pozostałym członkom wspólnoty oraz w karcie do głosowania nad uchwałami. Mieszkanka zawiadomiła prezesa Urzędu Ochrony Danych o naruszeniu, w związku z tym do Spółki G. zwrócił się Prezes UODO oczekując wyjaśnień: 

1) Czy Spółka przetwarza dane osobowe Skarżącej, a jeśli tak, to na jakiej podstawie prawnej, w jakim celu i w jakim zakresie, w szczególności w zakresie imienia i nazwiska;

2) Czy Spółka udostępniła dane osobowe Skarżącej w postaci imienia i nazwiska w piśmie Spółki oraz w karcie do głosowania nad uchwałami przekazanej pozostałym członkom Wspólnoty Mieszkaniowej, a jeśli tak, to kiedy, w jakim celu i na jakiej podstawie prawnej”. 

Administrator odpowiedział na pismo, ale nie w pełnym zakresie, Prezes UODO nie otrzymał odpowiedzi na drugie pytanie. Mimo kilku ponagleń spółka nie uzupełniła swojej odpowiedzi. W związku z brakiem współpracy Prezes UODO nałożył na spółkę karę finansową.

  1. 31.05.2023 P. Sp. z o. o., kara 47 160 zł 

Doszło do naruszenia ochrony danych osobowych polegającego na przełamaniu zabezpieczeń systemu informatycznego Spółki wykorzystywanego przez nią do przetwarzania danych osobowych, a następnie zaszyfrowaniu przetwarzanych w nim danych. W konsekwencji Spółka została pozbawiona dostępu do ww. systemu oraz znajdujących się w nim danych osobowych wszystkich pracowników Spółki i osób świadczących na rzecz Spółki usługi w ramach zawartych umów cywilnoprawnych (tj. ich nazwisk, imion, dat urodzenia, numerów rachunków bankowych, adresów zamieszkania lub pobytu, numerów ewidencyjnych PESEL, adresów e-mail, danych dotyczących zarobków, numerów telefonów i numerów dowodów osobistych). Prezes Urzędu Ochrony Danych z urzędu wszczął postępowanie administracyjne. Spółka nie powiadomiła Prezesa UODO o naruszeniu danych osobowych uzasadniając to faktem że nie odnotowano wypływu danych a jedynie doszło do zaszyfrowania ich. Ponadto korespondencja ze strony Spółki posiadał wiele błędów formalnych, min. Brak podpisu osób upoważnionych czy pieczęcie nagłówkowe innego podmiotu. Spółka także nie odpowiedziała na pytanie czy udało się odzyskać zaszyfrowane dane. W związku z utrudnionym kontaktem Prezes UODO nałożył na Spółkę karę finansową.

  1. 2.06.2023 T. Sp. z o. o., kara 18 864 zł

Do Prezesa Urzędu Ochrony Danych Osobowych wpłynęła skarga Pana J. na nieprawne działania Spółki T.  polegające na udostępnieniu podmiotom jego danych osobowych w postaci imienia i nazwiska oraz numeru telefonu. Prezes czterokrotnie zwracał się pismami do Spółki T. celem złożenia wyjaśnień, niestety Spółka ani razu nie odpowiedziała na pisma i monity Prezesa UODO. W związku z brakiem współpracy nałożono karę finansową.

  1. 21.06.2023 H. Sp. z o. o., kara 33 012 zł

Prezes Urzędu Ochrony Danych Osobowych otrzymał sygnał o nieprawidłowościach przy  przetwarzaniu danych przez Spółkę H. polegających na przekazaniu ich do podmiotów trzecich bez podstawy prawnej. Skarżącym był Pan R. Prezes UODO skierował pismo z prośbą o wyjaśnienia do Spółki. Żadne z pięciu pism nie zostało odebrane przez adresata, w związku z unikaniem kontaktu przez Spółkę, Prezes UODO nałożył karę finansową.

  1. 12.07.2023 Jednoosobowa działalność gospodarcza, kara 11 790 zł

Pani W. prowadząca jednoosobową działalność gospodarczą mailowo powiadomiła Prezesa Urzędu Ochrony Danych Osobowych o możliwości zaistnienia naruszenia w postaci kradzieży z pulpity laptopa plików zawierających dane osobowe jej klientów.  Prezes UODO nakazał powiadomienie osób, których dane zostały wykradzione w terminie trzech dni od tej decyzji. Powiadomienie to powinno zawierać: 

a) opis charakteru naruszenia ochrony danych osobowych;

b) imiona i nazwiska oraz dane kontaktowe inspektora ochrony danych lub oznaczenia innego punktu kontaktowego, od którego można uzyskać więcej informacji;

c) opis możliwych konsekwencji naruszenia ochrony danych osobowych;

d) opis środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu – w tym środków w celu zminimalizowania jego ewentualnych negatywnych skutków.

Mimo wielu prób kontaktu z Administratorem pisma od Prezesa UODO nie były odbierane. W związku z tym podjęto decyzję o nałożeniu kary finansowej.

  1. 18.07.2023 K., kara 15 000 zł

Doszło do kradzieży laptopa zawierającego dane osobowe trzech osób, pliki nie były zaszyfrowane mogło więc dojść do ujawnienia danych w zakresie: imię i nazwisko, adres zamieszkania, wysokość wynagrodzenia, informacje kadrowe (zwolnienia lekarskie) numer PESEL. Zgłoszenia do Prezesa UODO dokonał użytkownik laptopa niezwłocznie po stwierdzeniu zniknięcia sprzętu z samochodu służbowego.  Po wymianie pism pomiędzy Administratorem a Prezesem UODO ten ostatni uznał, że część wyjaśnień i poczynionych działań naprawczych jest niewystarczająca. Miało to istotny wpływ na ocenę stopnia współpracy Administratora z Prezesem UODO w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków. Istotne znaczenie dla oceny działań Administratora miał fakt przedłużania czasu potrzebnego na uzyskanie odpowiedzi na pisma skierowane przez Prezesa UODO do K. W związku z tym Prezes UODO zdecydował o nałożeniu kary finansowej.

  1. 30.08.2023 A. s. a., kara 56 592 zł

Do Prezesa Urzędu ochrony Danych Osobowych wpłynęła skarga  Pana A. M. na nieprawidłowości w procesie przetwarzania jego danych osobowych przez Spółkę A. Naruszenie polegało na niespełnieniu wobec skarżącego obowiązku informacyjnego oraz zażądał usunięcia jego danych osobowych. Prezes UODO zwrócił się do Spółki o wyjaśnienia: 

1)    kiedy (należy wskazać dokładną datę), z jakiego źródła, na jakiej podstawie prawnej (należy wskazać konkretny przepis/-y prawa), w jakim celu i w jakim zakresie (należy wymienić kategorie/ rodzaje danych) Spółka pozyskała dane osobowe Skarżącego.

2)    Czy, a jeśli tak, to na jakiej podstawie prawnej (należy wskazać konkretny przepis/-y prawa), w jakim celu, w jakim zakresie (należy wymienić kategorie/ rodzaje danych) Spółka przetwarzała lub aktualnie przetwarza dane osobowe Skarżącego.

3)    Czy Skarżący wystąpił do Spółki z wnioskiem o realizację jego praw z zakresu ochrony danych osobowych, a także o udostępnienie kopii jego danych osobowych oraz jakie były działania Spółki w tym zakresie, czy, a jeśli tak, to na jakiej podstawie prawnej, w jaki sposób oraz kiedy ustosunkowano się do żądania Skarżącego”.

W odpowiedzi spółka oznajmiła, że nie jest w stanie podać dokładnej daty i źródła pozyskania danych Pana A. M. Prezes UODO ponownie wezwał Spółkę do podania w. w. danych ponadto zobowiązał administratora do określenia dokładnej daty usunięcia danych skarżącego. Pomimo odebranych pism spółka nie ustosunkowała się do żądań organu ochrony danych osobowych. Korespondencja trwała jeszcze kilka miesięcy i mimo deklaracji spółki o uzupełnieniu dokumentacji nie doszło do tego. Dlatego Prezes UODO zdecydował o nałożeniu kary finansowej.

  1. 18.10.2023 LINK 4, kara 103 752 zł

 Do organu ochrony danych osobowych wpłynęło zawiadomienie o zaistniałym naruszeniu zasad ochrony danych polegającym na przesłaniu do osoby nieuprawnionej informacji o przyznanym odszkodowaniu. Informacja zawierała imię i nazwisko, markę i numer rejestracyjny pojazdu, numer polisy, wysokość odszkodowania i adres ubezpieczonego. Prezes Urzędu Ochrony Danych Osobowych stwierdziła naruszenie polegające na niezgłoszeniu incydentu organowi ochrony danych bez zbędnej zwłoki, czyli w ciągu 72 godzin od momentu uzyskania informacji na temat naruszenia. Administrator (LINK 4) tłumaczył że w jego ocenie nie było potrzeby zgłaszania naruszenia do Prezesa UODO. Decyzja taka zapadła po analizie ryzyka wykonanej przez IOD Administratora. Wobec braku zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu, Prezes UODO wszczął z urzędu wobec Spółki postępowanie administracyjne.

  1. 16.11.2023 W. Sp. j., kara 14 148 zł

Do Prezesa Urzędu Ochrony Danych Osobowych wpłynęła skarga Pani M. S.,(zwanej dalej „Skarżącą”) na nieprawidłowości w procesie przetwarzania jej danych osobowych przez W. sp. j., (zwaną dalej „Spółką”) polegające na przetwarzaniu danych osobowych Skarżącej bez podstawy prawnej w celach marketingowych oraz nieuwzględnieniu jej wniosku o usunięciu tych danych osobowych. Prezes UODO pisemnie wezwał Spółkę do złożenia wyjaśnień w sprawie oraz do udzielenia odpowiedzi na następujące pytania dotyczące istoty sprawy:

1)    Czy, a jeśli tak, to kiedy, na jakiej podstawie prawnej, w jakim celu i zakresie oraz z jakiego źródła Spółka pozyskała dane osobowe Skarżącej, w tym adres e-mail.

2)    Czy Skarżąca zwracała się do Spółki z żądaniem zaprzestania przetwarzania jej danych osobowych lub o usunięcie jej danych osobowych, a jeżeli tak, to kiedy, w jaki sposób Spółka ustosunkowała się do jej wniosku,  jeżeli odmówiła usunięcia danych osobowych Skarżącej, to proszę o wskazanie, z jakiego powodu, na jakiej podstawie prawnej.

3)    Czy, a jeśli tak, to na jakiej podstawie prawnej (proszę wskazać przepis prawa), w jakim zakresie i celu Spółka przetwarza aktualnie dane osobowe Skarżącej, oraz jak długo będą przetwarzane i na jakiej podstawie prawnej.

4)    czy Skarżąca wyraziła zgodę na przetwarzanie jej danych osobowych w celach marketingu bezpośredniego, jeśli tak to kiedy i jakiej treści była to zgoda – wezwanie do przedłożenia kopii dokumentu, z którego wynika treść tej zgody.

5)    Czy Skarżąca wyraziła zgodę na otrzymywanie od Spółki informacji marketingowych za pośrednictwem wiadomości e-mail, sms, mms, połączeń telefonicznych, jeśli tak to kiedy i jakiej treści była to zgoda – wezwanie do przedłożenia kopii dokumentu, z którego wynika treść tej zgody.

Wezwania te zostały przesłane na adres Spółki widniejący w KRS, ale nie zostały odebrane. W związku z tym Prezes UODO zdecydował o nałożeniu kary finansowej.

  1. 20.12.2023, Minister Zdrowia, kara 100 000 zł

Minister Zdrowia (dalej także Administrator) opublikował w serwisie społecznościowym X (dawniej Twitter) wpis zawierający informację na temat lekarza, który wystawił receptę „pro auctore” na lek z grupy psychotropowych i przeciwbólowych. We wpisie znalazły się dane osobowe lekarza w postaci imienia i nazwiska, miejsca pracy oraz informacji o kategorii leku, na który została wystawiona recepta. Prezes UODO stwierdził naruszenie polegające na niezgodnym z prawem przetwarzaniu danych osobowych, w tym danych szczególnej kategorii, poprzez ich pozyskanie, oraz opublikowanie na platformie społecznościowej X (dawniej Twitter) bez podstawy prawnej, co skutkowało naruszeniem zasad zgodności z prawem, rzetelności i przejrzystości, zasady integralności i poufności oraz zasady rozliczalności. W odpowiedzi na pismo żądające ustosunkowanie się do zarzutów, Administrator potwierdził fakt uzyskania przez Ministra Zdrowia danych osobowych lekarza z systemu informatycznego za pomocą osób upoważnionych do korzystania z ww. systemu. Wskazano, iż Dyrektor Pionu  w Ministerstwie Zdrowia, na ustne polecenie Ministra Zdrowia, wyznaczył pracownika, który odszyfrował w systemie  receptę, na której znajdowały się dane osobowe lekarza, a następnie przekazał informacje, które się na niej znajdowały, Ministrowi Zdrowia.  

Prezes UODO zwrócił się do Ministra Zdrowia o udzielenie odpowiedzi na pytania dotyczące:

a) podstawy prawnej uzyskania przez Ministra Zdrowia dostępu do danych o wystawieniu przez lekarza e-recepty na leki z grupy psychotropowych i przeciwbólowych oraz udostępnienia ich za pośrednictwem portalu społecznościowego X (dawniej: Twitter),

b) czy zostały opracowane i wdrożone zasady i procedury nadawania uprawnień w ww. systemie oraz w jaki sposób monitorowane było ich przestrzeganie,

c) czy Administrator przeprowadził analizę ryzyka w związku z przetwarzaniem danych osobowych związanych z wystawionymi e-receptami za pośrednictwem systemu,

d) czy analiza ta uwzględnia zagrożenia związane z nieuprawnionym uzyskaniem dostępu do tych danych, jak również wykazanie rozliczalności systemu. W związku ze zgłoszonym naruszeniem ochrony danych osobowych oraz wyjaśnieniami złożonymi przez Administratora ww. pismami, Prezes UODO w dniu 18 października 2023 r. wszczął z urzędu postępowanie administracyjne w zakresie możliwości naruszenia przez Ministra Zdrowia, jako administratora danych, w grudniu Prezes UODO podjął decyzję o nałożeniu kary finansowej.

Dla wielu naszych klientów (IODADO), korzystających z naszego serwisu https://rodo-online.eu w ciągu tych kilku lat bardzo pomocne okazały się przemyślane funkcjonalności zawarte w serwisie, które usystematyzowały wprowadzenie RODO w podmiotach. 

W serwisie znajdziemy zakładkę „Incydenty” gdzie można wprowadzać, oceniać i raportować. Ocena naruszenia, która pomaga nam wywiązać się z ciążących obowiązków np. poinformowania UODO oraz osób, których naruszenie dotyczy, jeżeli poziom naruszenia praw i wolności tych osób wyjdzie wysoki. Przy kontrolach UODO lub audytach bardzo pomocne może okazać się raportowanie; w tym np. wszystkich incydentów/naruszeń, które wprowadzaliśmy np. w danym roku, można szybko wygenerować raport zgodny z naszymi aktualnymi potrzebami. Przypominamy, że Artykuł 33. 5. RODO stanowi, że Administrator dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze. Dokumentacja ta musi pozwolić organowi nadzorczemu weryfikowanie przestrzegania niniejszego artykułu.

Nowy prezes Urzędu Ochrony Danych Osobowych – Mirosław Wróblewski

Sejm Rzeczypospolitej Polskiej na posiedzeniu w dniu 16.01.2024 roku wybrał nowego Prezesa Urzędu Ochrony Danych. Wybrano Mirosława Wróblewskiego, uzyskał on 240 głosów poparcia. Jego kontrkandydat otrzymał 169 głosów.
Prezes UODO jest centralnym organem administracji publicznej do spraw ochrony danych osobowych w Polsce, jest powoływany na 4-letnią kadencję przez Sejm za zgodą Senatu.
Prezes elekt, Mirosław Wróblewski pełni obecnie funkcję dyrektora Zespołu Prawa Konstytucyjnego, Międzynarodowego i Europejskiego Biura Rzecznika Praw Obywatelskich. Jest absolwentem studiów o kierunku prawniczym oraz politologicznym (specjalizacja stosunki międzynarodowe). Opublikował blisko 50 artykułów i prac naukowych z tematyki prawa konstytucyjnego, międzynarodowego, europejskiego oraz ochrony praw człowieka. W ciągu kilku ostatnich lat ściśle współpracował z Rzecznikiem Praw Obywatelskich i reprezentował go w postępowaniach przed Trybunałem Konstytucyjnym.

Wyciek – ALAB

We współczesnym świecie dane osobowe są bardzo cenne. Każdy Administrator Danych Osobowych powinien zrobić wszystko, co tylko możliwe, aby je chronić. To właśnie on jako administrator jest za nie odpowiedzialny. ADO powinien wspierać się przy zapewnieniu ochrony danych usługami odpowiedniego Inspektora Ochrony Danych oraz Administratora Systemów Informatycznych. Praca tych dwóch podmiotów ma na celu zwiększyć poziom ochrony danych osobowych. Może jednak zdarzyć się tak, że zabezpieczenia i procedury nie podołają zagrożeniu z zewnątrz. Przykładem tego jest właśnie wyciek danych osobowych z laboratorium medycznego ALAB.
19 listopada 2023 r. firma ALAB Laboratoria padła ofiarą ataku hakerskiego typu ransomware. Polega on na szyfrowaniu przez złośliwe oprogramowanie danych firmy, blokując tym samym dostęp do nich Administratora. Dodatkowo mamy tu do czynienia z kradzieżą danych firmy ALAB i wysunięciem żądania okupu za ich nieudostępnienie publicznie.
W związku z tymi niepożądanymi działaniami doszło do wycieku co najmniej 30 tys. danych osobowych osób fizycznych. Hakerzy otrzymali takie informacje jak: imiona i nazwiska, numery PESEL, adresy. Udostępnione zostały również wyniki badań laboratoryjnych różnych osób, co jest równoznaczne z wyciekiem danych wrażliwych.
Jak powszechnie wiadomo ataki hakerskie zdarzały się i na pewno w przyszłości także będą występować. W przypadku firmy ALAB kluczowe pozostaje pytanie: czy Administrator Danych Osobowych miał świadomość, że dane pacjentów są pobierane przez hakerów czy też może takiej świadomości nie miał? Odpowiedzi na to pytanie udzielą kontrolerzy UODO, którzy mają przeprowadzić kontrolę. Niewątpliwie mamy w tej sytuacji do czynienia z co najmniej jednym incydentem ochrony danych i został on zgłoszony do Urzędu Ochrony Danych Osobowych 21 listopada 2023 r. Jest to jednak dopiero zgłoszenie wstępne, a firma ma czas na uzupełnienie braków do końca stycznia następnego roku. Kontrolerzy z UODO muszą sprawdzić, czy w firmie ALAB przeprowadzona została we wcześniejszym okresie tzw. Ocena ryzyka, czyli czy określono możliwe zagrożenia, ustalono konkretne środki i procedury, które powinny im zapobiec lub je ograniczyć oraz to czy systemy informatyczne były testowane w zakresie odporności na różnego rodzaju ataki. Urząd Ochrony Danych Osobowych zbada również jak firma ALAB zachowała się po wystąpieniu ataku i jakie podjęła czynności, aby zminimalizować jego skalę.
Konsekwencji dla firmy ALAB po tym zdarzeniu jest sporo. Oprócz zmiany wizerunku firmy, na laboratorium może zostać nałożona kara Urzędu Ochrony Danych Osobowych, która może sięgnąć do 4% rocznego obrotu lub do 20 mln euro. Dodatkowo osoby fizyczne- poszkodowane w wyniku powyższego wycieku mają możliwość dociekać swoich praw na drodze sądowej (cywilnej) i ewentualnych rekompensat za swoje straty- zarówno materialne jak i te niematerialne.
Na szczęście CERT Polska we współpracy z Centralnym Ośrodkiem Informatyki udostępnili na rządowym serwisie możliwość sprawdzenia, czy dane konkretnego pacjenta firmy ALAB są bezpieczne czy dana osoba jest ofiarą ataku hakerskiego, a jej dane wyciekły.
Zabezpieczenie danych osobowych jest kluczową kwestią w każdej firmie. Administrator Danych Osobowych powinien zrobić wszystko, co tylko możliwe, aby uchronić się przed tego typu wyciekami danych. To na jego barkach spoczywa odpowiedzialność za wszelkiego rodzaju niedopatrzenia i niedoskonałości w firmie i to on ponosi wszelkiego rodzaju konsekwencje. Każda firma powinna być świadoma, że sprawdzony i kompetentny Inspektor Ochrony Danych Osobowych oraz odpowiednia obsługa informatyczna firmy może zminimalizować ryzyko bądź uchronić firmę przed tego typu sytuacją jaka spotkała firmę ALAB. Należy podkreślić, że firma PHU ELKA świadczy usługi outsourcingu sprawdzonego Inspektora Ochrony Danych Osobowych. Oferuje również usługi informatyczne na odpowiednim poziomie czyli pełnienie funkcji ASI. Zachęcamy do kontaktu, ponieważ korzystanie z tego typu wsparcia może pomóc w uniknięciu wielomilionowych kar.

Uwierzytelnianie dwuskładnikowe


W dzisiejszym świecie nieodłącznym elementem życia każdego człowieka jest korzystanie przez niego z zasobów Internetu. Ta cyfrowa przestrzeń daje każdej osobie wiele możliwości, ale niesie również ze sobą wiele zagrożeń. W związku z tym powinno się myśleć o tym jak zapewnić odpowiedni poziom bezpieczeństwa w świecie online. Każdy człowiek posiada w Internecie różnego rodzaju konta np. w mediach społecznościowych, banku czy np. konto pocztowe. Wielu cyberprzestępców tylko czeka, aby wykraść dostęp do naszych zasobów i wykorzystać je w złym celu. Jednym ze sposobów na zapewnienie wysokiego poziomu bezpieczeństwa, w związku z korzystaniem z różnych kont, jest uwierzytelnianie dwuskładnikowe zwane z języka angielskiego „two-factor authentication – 2FA”. W naszym serwisie RODO Online tego typu zabezpieczenie zostało również wprowadzone.

Uwierzytelnianie dwuskładnikowe ma za zadanie sprawdzić czy osobowa logująca się na dane konto jest osobą, która jest do tego uprawniona. Samo hasło jako środek zabezpieczający w dzisiejszych czasach to zbyt mało. Należy korzystać z dodatkowych zabezpieczeń by poprawić swój komfort i bezpieczeństwo. Uwierzytelnianie może składać się z kilku etapów weryfikacji. Wieloetapowa weryfikacja może pomóc ograniczyć w znaczącym stopniu ryzyko narażenia się na zjawisko typu pishing, które jest w obecnych czasach bardzo powszechne i niebezpieczne dla potencjalnego użytkownika Internetu. Pishing to po prostu metoda wyłudzenia naszych danych za pomocą e-maila bądź sms-a. Oszuści podszywając się pod różne osoby czy też firmy np. kurierskie czy operatorów telekomunikacyjnych próbują zdobyć nasze dane do logowania. Powoduje to sytuacje, że wówczas w łatwy sposób mogą zalogować się na nasze dowolne konto w Internecie, narobić dużo szkód i wykraść dane. Właśnie dlatego ważne jest, aby zwiększać poziom bezpieczeństwa np. przez korzystanie z uwierzytelniania dwuskładnikowego. Logowanie 2FA jest powszechnie stosowane w bankowości elektronicznej, a od teraz mogą z niego korzystać wszyscy użytkownicy serwisu RODO Online.

W serwisie RODO Online weryfikacja dwuetapowa (2FA) to proces, w którym użytkownik oprócz swojego loginu i hasła musi podać także dodatkowy kod. Kod jest generowany i dostarczony dla użytkownika niezależną aplikacją np. Google Authenticator lub Microsoft Authenticator. 

Weryfikacja dwuetapowa to prosty sposób na ochronę danych przed nieuprawnionym dostępem przez osoby trzecie. Za wdrożeniem uwierzytelnienia dwuskładnikowego przemawia fakt, że taki sposób logowania bez wątpienia przyczyni się do poprawy bezpieczeństwa konta i znajdujących się na nim danych, ponieważ znacząco utrudni lub wręcz uniemożliwi osobom niepowołanym uzyskanie do nich dostępu.

Audyt Zgodności z RODO, zrobić samemu czy zlecić wykonanie?

Na początek ustalmy:

  1. Czym jest audyt zgodności z RODO, dlaczego jest niezbędny?

Przeprowadzenie audytu RODO jest niezbędne, ponieważ pozwala na weryfikację czy ochrona danych osobowych organizacji jest zgodna z przepisami. Audyt zgodności to najlepszy sposób, aby sprawdzić jaki jest faktyczny stan działań, procesów oraz gdzie są luki w systemie ochrony danych osobowych, które mogą mieć opłakane skutki. To szczególnie istotne jeśli chcecie mieć pewność, że Wasze dane, i dane Waszych klientów, kontrahentów, pacjentów czy interesantów, są odpowiednio chronione.

  1. Jak często trzeba się poddawać audytowi?

Audyt zgodności z RODO nie jest czynnością jednorazową. Powinien on zostać przeprowadzony zarówno przed wdrożeniem polityk i procedur ochrony danych osobowych, jak i po ich wprowadzeniu.

Zacznijmy od stwierdzenia, że można wyróżnić dwa rodzaje audytów:

  1. Audyt wstępny – przeprowadzany w organizacji, w której do tej pory nie wdrożono RODO, audyt taki będzie prowadził do przygotowania i wdrożenia niezbędnych procedur od podstaw.
  2. Audyt okresowy – przeprowadzany zazwyczaj w cyklach rocznych, w miarę potrzeb częściej, mający na celu kontrolę skuteczności przyjętych środków bezpieczeństwa danych osobowych, sprawdzenie sposobu wdrożenia przyjętej dokumentacji, przeszkolenie personelu w zakresie przetwarzania danych osobowych.

Z reguły rekomenduje się roczne audyty wynika to z faktu, że każdy podmiot przetwarzający dane osobowe powinien na bieżąco monitorować przyjęte rozwiązania pod kątem ich prawidłowości, adekwatności, aktualności i celowości.

Wiemy już, że audyt jest koniecznością,  spróbujmy znaleźć odpowiedź na pytanie czy wykonać go we własnym zakresie czy lepiej zlecić firmie zewnętrznej. 

Każde z tych rozwiązań ma swoje mocne strony. Bez wątpienia mocną stroną decyzji o przeprowadzeniu audytu przez delegowanego pracownika organizacji będzie znajomość specyfiki działania i struktury firmy. Jednakże wiąże się to z relatywnie wysokimi kosztami. Wynikają one z czasu, który pracownik musi poświęcić na przeprowadzenie audytu. Wyznaczona osoba nie zajmuje się tym profesjonalnie, więc aby posiąść wiedzę w zakresie RODO musi przejść liczne i kosztowne szkolenia, a samo przygotowanie i przeprowadzenie audytu zabiera jej mnóstwo czasu. Niezbędna jest również dokładna znajomość RODO oraz aktualnej interpretacji Prezesa Urzędu Ochrony Danych Osobowych. Bez wsparcia specjalistów z dużo większym doświadczeniem jest to bardzo trudne. 

Zlecając wykonanie audytu firmie zewnętrznej masz prawo oczekiwać:

  • specjalistycznej wiedzy i doświadczenia – wiedza z zakresu prawa, IT, biznesu.
  • kompleksowości usługi – przygotowanie audytu, przeprowadzenie, sporządzenie raportu pokontrolnego i kontrola wprowadzenia zaleceń we wskazanych obszarach.
  • obiektywnego spojrzenia – osoba spoza organizacji dostrzeże z łatwością wiele nieprawidłowości, do których pracownik jest przyzwyczajony i traktuje je jako normę.
  • relatywnie mniejszych kosztów – koszty zatrudnienia w firmie oraz wyszkolenia pracownika są dużo wyższe niż cena wykonania audytu prze firmę zewnętrzną.
  • redukcji ryzyka – audyt RODO przeprowadzony przez specjalistów minimalizuje ryzyko pominięcia istotnych aspektów z obszaru ochrony danych.

Korzystając z audytu RODO w PHU ELKA Radosław Miczyński:

  • Zapewniamy dostęp do rzetelnej i aktualnej wiedzy, korzystając z doświadczenia ekspertów ds. ochrony danych osobowych, specjalistów informatycznych oraz praktyków biznesowych.
  • Korzystasz z doświadczenia inspektorów ochrony danych osobowych, informatyków i praktyków biznesowych.
  • Posiadamy bogate doświadczenie, obejmujące setki projektów w tej dziedzinie.
  • Przygotowujemy kompleksową dokumentację dostosowaną specjalnie do potrzeb Twojej organizacji, zarówno w formie papierowej, jak i elektronicznej.
  • Oferujemy gotowe i przetestowane procedury, które można wdrożyć w Twojej firmie.
  • Jesteśmy dostępni na każdym etapie współpracy, gotowi do udzielenia wsparcia i rozwiązania wszelkich pytań czy wątpliwości.
  • Dzięki naszej pomocy minimalizujesz ryzyko nałożenia wysokich kar finansowych związanych z naruszeniem przepisów dotyczących ochrony danych osobowych.

Norma ISO 27001 w audycie RODO

Firma PHU ELKA Radosław Miczyński posiada certyfikat Zarządzanie bezpieczeństwem informacji wg. ISO 27001 

Znajomość normy ISO 27001 ułatwia przeprowadzenie audytu RODO, ponieważ ta norma dotyczy zarządzania bezpieczeństwem informacji, a RODO odnosi się do ochrony danych osobowych. ISO 27001 określa wymagania dotyczące zarządzania systemami bezpieczeństwa informacji, w tym wymagania dotyczące ochrony danych osobowych. Audytor RODO, który posiada znajomość tej normy, będzie lepiej rozumiał i potrafił ocenić czy przedsiębiorstwo posiada odpowiednie procedury, mechanizmy bezpieczeństwa, które są wymagane przez RODO. Kompetencje zdobyte przy audytowaniu normy ISO 27001 pomagają w identyfikacji potencjalnych ryzyk, ocenie i ocenie skuteczności istniejących kontroli, oraz pomoc w przedstawieniu rekomendacji dotyczących ochrony danych osobowych zgodnie z RODO.

Zachęcamy do kontaktu, zapoznania się z naszą ofertą i skorzystania z naszego wsparcia!

Rozpowszechnianie wizerunku, a ochrona danych osobowych

Wizerunek, najprościej rzecz ujmując, jest utrwaleniem obrazu człowieka w taki sposób, w jaki dana osoba jest postrzegana, co prowadzi do tego, że może zostać rozpoznana. Wizerunek może być daną osobową. W związku z tym przy jego rozpowszechnianiu będziemy zmuszeni przestrzegać RODO jak i   innych przepisów.

  1. Teoretyczny aspekt rozpowszechniania wizerunku

Według unijnego rozporządzenia o ochronie danych osobowych z 27 kwietnia 2016 roku danymi osobowymi są wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Wizerunek danej osoby jest oczywiście daną osobową w związku z czym podlega ochronie Rozporządzenia o ochronie danych osobowych. Również art. 81 ustawy o prawie autorskim stwierdza, że rozpowszechnianie czyjegoś wizerunku możliwe jest jedynie za zgodą osoby będącej na zdjęciu bądź na nagraniu. Trzecim aktem prawnym mówiącym o ochronie wizerunku jest art. 23. Kodeksu cywilnego, które wymienia je jako jedno z dóbr osobistych.

Zazwyczaj osoba, której wizerunek jako dana osobowa jest udostępniany musi wyrazić na to pisemną zgodę. Są trzy wyjątki od powyższej zasady:

  1. Podmiot, którego wizerunek został udostępniony dostał wynagrodzenie finansowe
  2. Jednostka, która obecna jest na zdjęciu czy filmie jest tylko elementem – jego małą częścią
  3. Osoba jest personą publiczną dlatego jej wizerunek może zostać udostępniony bez jej zgody w sytuacji gdy pełni funkcję społeczną lub o charakterze publicznym

W pewnych sytuacjach wizerunek może być utożsamiany jako dana osobowa o charakterze biometrycznym czyli szczególnie chroniona. Wynika to z charakteru tego w jaki techniczny sposób dane zdjęcie będzie przetwarzane.  

  1. Zgoda na udostępnienie wizerunku, a zgoda na przetwarzanie danych osobowych

Zgoda na udostępnianie wizerunku powinna być przedstawiona w formie pisemnej. Powinna zawierać takie informacje jak np. czas na jaki jest wyrażona, kto ją wyraża oraz powinny być przedstawione warunki opisujące formę wykorzystania wizerunku. Jeżeli istnieje opcja, że np. zdjęcie danej osoby będzie podpisane w momencie udostępnienia go np. na jakiejś platformie społecznej wówczas tego typu kwestia powinna również zostać zawarta w zgodzie.

W przypadku chęci udostępnienia wizerunku małoletniego niezbędna jest również zgoda jego opiekuna prawnego. 

Istnieją również przypadki gdy tego typu zgoda nie jest konieczna. Jest to sytuacja gdy dokumentacja fotograficzna służy wewnętrznym celom danej organizacji np. celom sprawozdawczym.

Aby możliwe było przetwarzanie danych osobowych w związku z danym wizerunkiem niestety nie wystarczy danemu podmiotowi uzyskać jedynie zgodę na rozpowszechnianie wizerunku. Aby przetwarzanie danych osobowych było ważne konieczna jest konkretna podstawa prawna. Art. 6 ust. 1 lit. a RODO jest tego typu podstawą gdyż zawarte są w nim stwierdzenia, że przetwarzanie danych osobowych jest zgodnie z prawem m.in. w przypadku wyrażenia zgody przez dany podmiot lub w przypadku realizacji interesu administratora, który jest prawnie uzasadniony. Ten drugi przypadek jest pewnego rodzaju podstawą prawną, która umożliwia administratorowi wykorzystanie wizerunku danego podmiotu bez jego zgody, jednak jest to tylko możliwe w tych przypadkach, które zostały przedstawione w tym artykule w rozdziale pierwszym.

  1. Konsekwencje bezprawnego rozpowszechnienia czyjegoś wizerunku

Kodeks cywilny rozróżnia dwa rodzaje odpowiedzialności za rozpowszechnienie wizerunku danej osoby bez jej zgody:

  1. Odpowiedzialność niemajątkowa
  2. Odpowiedzialność majątkowa

W nawiązaniu do punktu a. osobie której wizerunek został nieprawnie udostępniony przysługuje prawo do żądania usunięcia zdjęć bądź filmów z jej wizerunkiem np. z portalu społecznościowych czy innych stron internetowych bądź jakichkolwiek innych materiałów. Osoba może wnioskować również o usunięcie skutków danego naruszenia czyli dalszych konsekwencji wynikających z nieuprawionego rozpowszechnienia wizerunku.

Punkt b. zakłada, że podmiot poszkodowany może wnioskować i żądać rekompensaty w postaci finansowej przekazywanej bezpośrednio osobie której wizerunek został niesłusznie rozpowszechniony lub na cel charytatywny wskazany przez tą osobę.

  1. Wycofanie zgody na rozpowszechnianie wizerunku

Każda osoba, która wyraziła zgodę na rozpowszechnianie swojego wizerunku może ją wycofać. W takim przypadku kolejne rozpowszechnienie wizerunku nie będzie możliwe. Jednak materiały zawierające dany wizerunek będą mogły istnieć w przestrzeni gdyż zostały one stworzone i rozpowszechnione gdy dana zgoda jeszcze obowiązywała. Datą graniczną jest data pisemnego wycofania zgody na rozpowszechnianie wizerunku. Istnieje pewien wyjątek. Jeżeli osoba ma podpisaną umowę, ale udowodni, że zachodzą przesłanki, które świadczą o tym, że udostępnianie wizerunku naruszy jej prawa osobiste, wówczas może żądać zakazu rozpowszechniania jej wizerunku. 

Podsumowując 

Rozpowszechnianie wizerunku może stanowić przetwarzanie danych osobowych, co wiąże się z koniecznością ustalenia podstawy prawnej tego przetwarzania. Przetwarzanie danych osobowych w postaci wizerunku może następować na podstawie zgody (art. 6 ust. 1 lit. a RODO). Jak również przetwarzanie danych osobowych może następować także na podstawie prawnie uzasadnionego interesu administratora (art. 6 ust. 1 lit. f RODO). Prawnie uzasadniony interes administratora wydaje się być właściwą podstawą przetwarzania w sytuacji, gdy organizacja może skorzystać z jednego z wyłączeń od obowiązku uzyskiwania zgody na rozpowszechnienie wizerunku, o których mowa w przepisach ustawy o prawie autorskim i prawach pokrewnych.

Inspektor Ochrony Danych Osobowych w mojej firmie

Inspektor ochrony danych (IOD) to osoba fizyczna, której podstawowym obowiązkiem jest zapewnienie tego, by zatrudniająca ją organizacja przetwarzała dane osobowe swoich pracowników, klientów, dostawców oraz innych osób zgodnie z obowiązującymi przepisami o ochronie danych. 

Powołanie IOD jest obowiązkowe, ale nie zawsze.

Czy moja firma (organizacja) potrzebuje IOD?

Powołanie Inspektora Ochrony Danych jest obowiązkowe dla wskazanych w RODO grup

administratorów danych(i podmiotów przetwarzających). 

Inspektora Ochrona Danych muszą wyznaczyć:

  1. Organy lub podmioty publiczne, czyli jednostki sektora finansów publicznych, np. jednostki samorządu terytorialnego, uczelnie publiczne.
  2. Przedsiębiorcy, których główna działalność polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę, np. banki i firmy ubezpieczeniowe, firmy przetwarzające dane do celów reklamy behawioralnej przez wyszukiwarki, dostawcy usług telekomunikacyjnych lub internetowych.
  3. Przedsiębiorcy, których główna działalność polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych albo danych osobowych dotyczących wyroków skazujących i czynów zabronionych, np. firmy świadczące usługi medyczne.

Przepisy zostały skonstruowane w taki sposób, aby IOD był obowiązkowy wszędzie tam, gdzie danych

osobowych jest dużo i są one szczególnie chronione.

Podział ten nie jest  precyzyjny i będą pojawiać się sytuacje niejednoznaczne w swej ocenie.  Dlatego powołanie profesjonalnego IOD zapobiegnie zaistnieniu niemiłych i bolesnych, również finansowo, konsekwencji. 

Pamiętać należy, że czasami IOD powołać po prostu warto, nawet jeśli jego powołanie nie jest obowiązkowe.

Wyznaczenie IOD można potraktować jako dodatkową przewagę konkurencyjną i korzyść marketingową.

Czym zajmuje się Inspektor Ochrony Danych Osobowych?

W głównej mierze, wykonuje obowiązek informacyjny wobec podmiotów, u których pełni on funkcję Inspektora Ochrony Danych. Jego domeną będzie  również doradztwo w zakresie prawa ochrony danych osobowych. Konieczne jest, by posiadał odpowiednią wiedzę, by móc udzielać zaleceń w tym zakresie oraz szkolić personel firmy.

IOD kontroluje również i monitoruje przestrzeganie przepisów dotyczących ochrony danych osobowych poprzez przeprowadzanie okresowych audytów zgodności przetwarzania z przepisami obowiązującego prawa.

Inspektor to osoba wyznaczona do współpracy z organem nadzorczym – PUODO, czyli Prezesem Urzędu Ochrony Danych Osobowych. Stanowi również „punkt kontaktowy” w sprawach dotyczących ochrony danych osobowych – funkcję tę realizuje m. in. poprzez obowiązek określony w art. 11 ustawy o ochronie danych osobowych, tj. udostępnienie danych kontaktowych inspektora na swojej stronie internetowej lub w inny, ogólnodostępny sposób w miejscu prowadzenia działalności.

Kto może zostać powołany na IOD-a, a kto nie może?

Zgodnie z przepisami, do pełnienia funkcji IOD-a może zostać wyznaczony pracownik firmy lub osoba z zewnątrz. Tzw. outsourcing IOD. Jeżeli postanowisz, że rolę ta otrzyma pracownik to należy zadbać, by wykonywane przez niego obowiązki nie powodowały konfliktu interesów z funkcją IOD. 

Inspektorem nie mogą zostać m.in.:

  • członkowie zarządu
  • dyrektorzy zarządzający
  • główny księgowy
  • radca prawny prowadzący obsługę prawną.

Ponad to powinna być to osoba charakteryzująca się fachową wiedzą i doświadczeniem z zakresu ochrony danych osobowych.

Należy dodać, że Inspektor Ochrony Danych Osobowych powinien mieć zagwarantowaną pełną niezależność. Tak, by bez przeszkód móc wykonywać ciążące na nim zadania. Z uwagi na powyższe uznaje się, że IOD w trakcie wykonywania swoich obowiązków podlegać powinien jedynie najwyższemu kierownictwu podmiotu przetwarzającego dane. A jego działalność nie może również polegać na stosowaniu się do instrukcji wyznaczonych przez podmiot przetwarzający dane.

Inspektora należy natychmiastowo włączać we wszystkie sprawy z zakresu ochrony danych osobowych. Natomiast podmioty przetwarzające dane powinny mu w tym zakresie służyć wsparciem oraz niezbędnymi informacjami.

Jak dokonać zgłoszenia do PUODO?

W momencie wyznaczenia IOD Administrator ma obowiązek zgłosić ten fakt do Prezesa Urzędu Ochrony Danych Osobowych. Inspektor Ochrony Danych Osobowych może zostać zgłoszony przez internet. 

Zgłoszenia można dokonać w tym miejscu:

https://www.biznes.gov.pl/pl/firma/obowiazki-przedsiebiorcy/chce-chronic-dane-osobowe/proc_871-zawiadomienie-o-wyznaczeniu-nowego-iod

Uwaga! Do prawidłowego dokonania zgłoszenia konieczne będzie rejestracja na stronie www.biznes.gov.pl oraz podpisanie wypełnionego wniosku elektronicznym podpisem kwalifikowanym lub profilem zaufanym.

Trzeba pamiętać, by powiadomić PUODO o powołaniu, ewentualnej zmianie danych kontaktowych Inspektora lub o jego odwołaniu w terminie 14 dni.

Podsumowując, nasuwa się następująca konkluzja – warto wyznaczyć Inspektora Ochrony Danych nawet jeśli nie jest to wymagane przez przepisy RODO ponieważ Administrator, który nie wyznaczy IOD jest zmuszony pełnić jego obowiązki, a Inspektor Ochrony Danych zadań ma dużo min.: współpraca z PUODO, szkolenie pracowników biorących udział w procesie przetwarzania, ocena naruszeń danych, opracowania i aktualizację polityk ochrony danych, przygotowanie upoważnień, oświadczeń, umów, prowadzenie rejestrów czynności przetwarzania i wiele innych zadań spoczywających na IOD. 

Praca IOD to ciągły proces w zakresie przetwarzania i ochrony danych stanowiącym dodatkowe obowiązki dla wyznaczonego pracownika, mającego również i inne zadania w firmie. Dlatego skorzystanie z usług zewnętrznego, profesjonalnego IOD jest racjonalnym rozwiązaniem – niech każdy zajmuje się tym, do czego posiada kompetencje. 

Ogromną pomocą w wykonywaniu obowiązków Inspektora jest nasz serwis RODO Online (https://rodo-online.eu/)narzędzie zostało stworzone dla IOD oraz ADO umożliwia zdalne zarządzanie dokumentacją, przemyślane funkcjonalności zawarte w serwisie ułatwiły i usystematyzowały wprowadzenie RODO w podmiotach. 

Jeśli masz wątpliwości czy serwis spełni Twoje oczekiwania to skorzystaj z darmowej wersji testowej serwisu w celu zapoznania się szczegółowo z funkcjonalnościami, wystarczy wejść na rodo-nline.eu i kliknąć „ZAŁÓŻ BEZPŁATNE KONTO”, dzięki temu uzyskacie Państwo 14 dniowy dostęp do serwisu.

Dane osobowe a Phishing

Dane osobowe a Phishing

Phishing to rodzaj ataku polegający na wyłudzeniu naszych danych osobowych za pomocą fałszywych e-maili bądź smsów. 

Aby rozważyć kwestię tego problemu w codziennym życiu na samym początku powinniśmy zdefiniować czym są dane osobowe oraz czym jest ich naruszenie. Do danych osobowych należą następujące informacje:

  • imię i nazwisko
  • adres zamieszkania
  • numer i seria dowodu osobistego
  • numer PESEL
  • nazwisko panieńskie matki
  • adres e-mail pod warunkiem, że w jego treści zawarte jest również imię i nazwisko

Występują również dane o charakterze poufnym, czyli przypisane do nas, których ujawnienie może mieć dla nas przykre konsekwencje np.:

  • login i hasło do logowania do konta w banku
  • loginy i hasła do portali społecznościowych oraz poczty e-mail
  • numer karty bankowej oraz numer PINu do niej

Przez pojęcie „naruszenia ochrony danych osobowych” należy rozumieć „naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych”

Skala problemu jakim jest phishing narasta i w przyszłości będzie się zwiększać gdyż duża część społeczeństwa korzysta z urządzeń podłączonych do Internetu oraz przeglądarki internetowej.

Wyróżniamy 3 główne typy phishingu:

  • Spear phishing – polega na zbieraniu informacji na temat potencjalnej ofiary ataku; przestępcy wysyłają taką wiadomość do ofiary, że ta ma przekonanie, że zna adresata wiadomości – czy to instytucje czy osobę prywatną
  • Clone phishing – prawdziwy e-mail, który wpada w ręce oszustów zostaje wykorzystany jako szablon do którego dołącza się odnośniki ze złośliwym oprogramowaniem, a następnie taka wiadomość jest wysyłana z adresu e-mail, który łudząco przypomina oryginalny adres
  • Whaling phishing – wysoce wyrafinowany i ukierunkowany atak jest skierowany w szczególności na kadrę kierowniczą wyższego szczebla i urzędników wysokiego szczebla, narażając na ryzyko poufne informacje i cenne aktywa; wiadomość e-mail zawiera zawirusowane link oraz zachęca do zainstalowania ich zawartości na komputerze co prowadzi do wykradzenia ważnych dokumentów danej organizacji

Aby ustrzec się przed utratą danych należy podejmować następujące działania:

  • mieć ograniczone zaufanie do e-maili, które zapraszają nas do odwiedzenia strony i zalogowania się na niej – należy dla pewności skontaktować się z administratorem- warto mieć na uwadze, że np. banki nigdy nie proszą o podanie danych
  • nie powinno się otwierać hiperłączy ani banerów reklamowych z podejrzanych e-maili
  • należy uaktualniać system i przeglądarkę
  • do banków logować się przez stronę, która zawiera protokół HTTPS
  • nie używać stron p2p służących najczęściej do udostępniania nielegalnych treści, torrentów
  • przeszkolić pracowników oraz w przypadku prywatnego użytkowania Internetu- rodziców, dziadków czy też innych użytkowników
  • zweryfikować adres e-mail, szatę graficzną oraz stylistykę e-maila
  • w przypadku sms-a sprawdzić prawidłowość numeru bądź zadzwonić na infolinię danej firmy
  • zaleca się również częstą zmianę haseł i tworzenie ich o określonej strukturze jak również stosować metodę wielokrotnego uwierzytelniania (2fa, mfa)
  • zaleca się korzystanie z oprogramowania antywirusowego

Jeżeli ktoś wykradnie nasze dane wówczas powinniśmy takie zdarzenie zgłosić na policję, do prokuratury lub zadzwonić z informacją do swojego banku. Warto uważać w Internecie ponieważ czeka tam na Nas wiele zagrożeń. Warto działać rozważnie i spokojnie oraz dwa razy zastanowić się zanim klikniemy dany link czy otworzymy e-maila.

Kary prezesa UODO

Mamy już połowę 2023 roku i można pokusić się o krótkie podsumowanie informacji na temat kar nałożonych przez Prezesa Urzędu Ochrony Danych Osobowych.
W mijającym półroczu nałożono już 8 kar finansowych za łamanie przepisów dotyczących ochrony danych osobowych, w całym 2022 roku takich kar było 13. Widać tendencję wzrostową, możemy zatem powiedzieć, że taki wynik jest skutkiem słabej wiedzy i braku świadomości Administratorów.
Łączna wysokość kar wyniosła 167 484,28 zł.
Dla wielu naszych klientów (IOD, ADO), korzystających z naszego serwisu https://rodo-online.eu/ bardzo pomocne okazały się przemyślane funkcjonalności zawarte w serwisie, które usystematyzowały wprowadzenie RODO w podmiotach. 
W serwisie znajdziemy zakładkę „Incydenty” gdzie można wprowadzać, oceniać i raportować. Ocena naruszenia, która pomaga nam wywiązać się z ciążących obowiązków np. poinformowania UODO oraz osób, których naruszenie dotyczy, jeżeli poziom naruszenia praw i wolności tych osób wyjdzie wysoki. Przy kontrolach UODO lub audytach bardzo pomocne może okazać się raportowanie; w tym np. wszystkich incydentów/naruszeń, które wprowadzaliśmy np. w danym roku, można szybko wygenerować raport zgodny z naszymi aktualnymi potrzebami. Przypominamy, że Artykuł 33. 5. RODO stanowi, że Administrator dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze. Dokumentacja ta musi pozwolić organowi nadzorczemu weryfikowanie przestrzegania niniejszego artykułu.

Forum Eksperckie Zarządzanie Wierzytelnościami 2023: GRUPA ELKA w centrum działania

13-14 czerwca 2023 roku odbyło się prestiżowe Forum Eksperckie poświęcone zarządzaniu wierzytelnościami. Jako GRUPA ELKA mieliśmy niezwykłą przyjemność uczestniczyć w tym ważnym wydarzeniu branżowym, będąc jednocześnie partnerem technologicznym. Spotkanie to było nie tylko doskonałą okazją do wymiany wiedzy i doświadczeń, ale również pozwoliło nam na bezpośrednie wsłuchanie się w potrzeby naszych klientów oraz doskonalenie naszych produktów.

Ochrona danych osobowych zgodnie z RODO

W trakcie Forum jeden z naszych ekspertów, Sebastian Nowak, specjalista w dziedzinie ochrony danych osobowych, podzielił się swoją nieocenioną wiedzą na temat przestrzegania zasad RODO. Przedstawił kluczowe informacje dotyczące zgodności przetwarzania danych osobowych w kancelariach komorniczych z przepisami RODO.

System RODO ONLINE – skuteczne narzędzie dla zapewnienia zgodności

Jednym z najważniejszych punktów wystąpienia Sebastiana było omówienie naszego innowacyjnego produktu – systemu RODO ONLINE. Nasze narzędzie stanowi kompleksowe rozwiązanie, które umożliwia firmom skuteczne zarządzanie i monitorowanie procesów związanych z przetwarzaniem danych osobowych. System RODO ONLINE odgrywa kluczową rolę w zapewnieniu zgodności z przepisami RODO, co jest niezwykle istotne dla różnego rodzaju przedsiębiorstw, w tym także dla kancelarii komorniczych.

Sebastian podkreślił liczne korzyści, jakie niesie ze sobą wdrożenie systemu RODO ONLINE. Dzięki temu narzędziu, firmy mogą skutecznie zarządzać i monitorować swoje procesy związane z przetwarzaniem danych, co prowadzi do zwiększenia zgodności z przepisami RODO oraz minimalizacji ryzyka związanego z naruszeniem ochrony danych.

Outsourcing Inspektora Danych Osobowych – rozwiązanie dla nowoczesnych firm

W ramach swojej prezentacji Sebastian poruszył także temat outsourcingu Inspektora Danych Osobowych (IOD) jako skutecznego rozwiązania dla przedsiębiorstw pragnących spełniać wymagania RODO, bez konieczności zatrudniania specjalisty ds. ochrony danych na pełny etat.
Outsourcing IOD staje się coraz bardziej popularnym wyborem dla firm, które chcą zapewnić zgodność z przepisami RODO. Daje to możliwość uniknięcia konieczności angażowania dodatkowych zasobów ludzkich, a jednocześnie gwarantuje profesjonalne wsparcie w zakresie ochrony danych osobowych.

GRUPA ELKA – nasza troska o klientów

Na Forum Eksperckim nie mogło zabraknąć naszego dyrektora sprzedaży, Tomasza Anyszki, dla którego to wydarzenie stanowiło doskonałą okazję do słuchania i zbierania informacji o potrzebach naszych klientów. Jako GRUPA ELKA priorytetowo traktujemy zrozumienie wymagań naszych obecnych i przyszłych klientów, aby móc dostarczać im najlepsze rozwiązania.

Dzięki zebranym podczas konferencji informacjom i feedbackowi, możemy kontynuować rozwój naszych produktów, takich jak KOMORNIK Online, RODO Online i SYGNALISTA Online . W GRUPIE ELKA wierzymy, że ciągłe doskonalenie naszych rozwiązań stanowi klucz do sukcesu naszych klientów, a nasza firma pozostaje gotowa sprostać ich najwyższym oczekiwaniom.

Podsumowanie roku 2022



Nadszedł czas podsumowania 2022 roku, zatem można śmiało przedstawić nałożone kary w minionym roku przez Prezesa Urzędu Ochrony Danych Osobowych. Łącznie nałożono 13 kar na kwotę blisko dwunastu milionów złotych, a dokładnie 11 998 000 zł. 

Jak się wydaje te kary są wynikiem słabej wiedzy i braku świadomości Administratorów. Ogólne rozporządzenie o ochronie danych (RODO) nałożyło przecież na administratorów i podmioty przetwarzające szereg obowiązków w tym zakresie. Sankcje grożące za naruszenie zasad ochrony danych osobowych są dość dotkliwe. Mogą zostać nałożone nie tylko na administratora danych czy podmiot przetwarzający, ale również pracowników czy współpracowników tych podmiotów.

Poniżej przedstawiamy informacje czego dotyczyły naruszenia w 2022 roku, i na co zwracać uwagę aby podobnych kar uniknąć w przyszłości:

  1. 2022-01-19 – Santander Bank Polska S. A.– kara 546 000 zł  sprawa dotyczy naruszenia ochrony danych osobowych 10 500 osób, pracowników Banku. W okresie od czerwca 2020 do lutego 2021 roku były pracownik, któremu po odejściu z pracy nie odebrano uprawnień do logowania się na platformę PUE ZUS, logował się minimum 6 krotnie i mógł pozyskiwać wrażliwe dane dotyczące pracowników Banku.  Doszło  więc do istotnego naruszenie zasad ochrony danych osobowych. Santander Bank Polska nie powiadomił pracowników o zaistniałej sytuacji.  Prezes UODO stwierdził,  iż doszło do naruszenia poufności danych. Z uwagi na to, że niniejsze naruszenie poufności dotyczy numerów PESEL wraz z imionami i nazwiskami, adresami zamieszkania lub pobytu oraz informacjami o zwolnieniach lekarskich, tj. danymi dotyczącymi zdrowia, to należy uznać, że wiąże się ono z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych, z tego też względu konieczne jest zawiadomienie osób, których dane dotyczą. Bank wskazał, że bazując na informacjach przekazanych mu przez Zakład Ubezpieczeń Społecznych będący operatorem platformy PUE ZUS, nie zidentyfikowano nielegalnego przetwarzania danych. Bank wskazał dodatkowo, że jeśli jednak hipotetycznie doszło do naruszenia ochrony danych osobowych, to tylko w zakresie, w jakim były pracownik miał dostęp do danych w okresie zatrudnienia. W ocenie Banku nie doszło zatem do naruszenia ochrony danych osobowych. Wymiana pism trwała pomiędzy Bankiem i PUODO do stycznia 2022 roku, kiedy to nałożono karę finansową 170 tyś Euro czyli prawie 550 tyś zł.
  1. 2022-01-19 – FORTUM Marketing and Sales Polska S.A.– kara 4 912 000 zł/2022-01-19 – PIKA Sp. z o.o. – kara 250 000 zł –  Firma Fortum zajmuje się obrotem energią elektryczną i paliwem gazowym. Z jej usług korzystają, zarówno odbiorcy indywidualni jak i z sektora biznesowego. Sprawa jest ściśle powiązana z naruszeniem, którego dokonała PIKA Sp. z o.o. polegające na niewdrożeniu odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych. Z powodu powolnego działania systemu spełniającego rolę archiwum cyfrowego dokumentów i informacji na temat klientów, pochodzących z procesu przetwarzania nośników papierowych na elektroniczne administrator zlecił podmiotowi przetwarzającemu tj. Firmie PIKA prace usprawniające system. W trakcie pracy nad systemem doszło do skopiowania danych klientów firmy Fortum przez nieuprawnione podmioty. Naruszenie poufności dotyczyło nowoutworzonej bazy danych zawierającej informacje o klientach Fortum w zakresie: imię i nazwisko, adres zamieszkania lub pobytu, nr PESEL, rodzaj, seria i numer dokumentu tożsamości, adres e-mail, numer telefonu, numer i adres punktu poboru oraz dane dotyczące umowy (np. data i nr umowy, rodzaj paliwa, nr licznika). Łącznie doszło do  naruszenie danych osobowych 120 428 klientów z czego 95 711 to osoby fizyczne, pozostali to klienci biznesowi i osoby zmarłe. Administrator nie powiadomił o naruszeniu osób, których ono dotyczyło, uczynił to dopiero na wniosek Prezesa Urzędu Ochrony Danych Osobowych.  Zebrany w sprawie materiał potwierdza, że przed wszczęciem postępowania administracyjnego Administrator nie przeprowadzał w podmiocie przetwarzającym audytów, w tym inspekcji, w celu sprawdzenia, czy PIKA w sposób prawidłowy realizuje swoje obowiązki. W ocenie Prezesa UODO, zarówno Fortum, jak i PIKA, nie wdrożyły odpowiednich środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych znajdujących się w systemie informatycznym podlegającemu modyfikacjom, co stanowi poważne naruszenie przepisów ODO. Na wysokość nałożonych kar na Administratora oraz Podmiot Przetwarzający dane, miały wpływ: charakter i wagę naruszenia, stopień odpowiedzialności, kategoria danych osobowych, czas trwania naruszenia, nieumyślny charakter naruszenia oraz działania podjęte dla zminimalizowania szkód.
  1. 2022-03-22 – NN – kara 6 800 zł UODO podjął działania, aby zweryfikowaćskargęosoby fizycznej w sprawie utrwalania jej wizerunku za pomocą monitoringu wizyjnego. Urząd wezwał do ustosunkowania się do skargi oraz złożenia wyjaśnień Administratora. Wezwanie dostarczone za pośrednictwem Poczty Polskiej nie zostało podjęte mimo dwukrotnego awizowania. Po 5 miesiącach UODO ponownie przesłał na adres Administratora pismo, które został przyjęte. Mimo to nie uzyskano wyjaśnień. W związku z brakiem reakcji na korespondencję Prezes UODO nałożył na Administratora finansową karę administracyjną.
  1. 2022-05-31 – Stołeczny Ośrodek dla Osób Nietrzeźwych – kara 10 000  Prezes UODO stwierdził naruszenie polegające na nagrywaniu i utrwalaniu dźwięku w zainstalowanym Ośrodku systemie monitoringu. Administrator argumentował, że celem przetwarzania sygnału audio i video jest: „sprawowanie stałego nadzoru nad osobami doprowadzonymi w celu wytrzeźwienia dla zapewnienia im bezpieczeństwa, stały nadzór nad osobą umieszczoną w zamkniętym pomieszczeniu przeznaczonym do izolacji oraz kontrola wykonywania czynności związanych z zastosowaniem izolacji. Co jest zgodne z ustawą o Wychowaniu w trzeźwości i przeciwdziałania alkoholizmowi, rozporządzeniem Ministra Zdrowia w sprawie izb wytrzeźwień oraz statutem jednostki”. Biorąc pod uwagę powyższe argumenty Prezes UODO stwierdził, że w tym przypadku nagrywanie dźwięku jest działaniem nadmiarowym. W związku tym została nałożona kara w wysokości 10 000 zł. 
  1. 2022-06-06 – Esselmann Technika Pojazdowa Sp. z o.o. Sp. k. – kara 16 000 zł – powodem nałożenia kary jest zagubienie świadectwa pracy osoby zatrudnionej w spółce. Incydent ten nie został zgłoszony do UODO. W związku z tym Prezes UODO nałożył na firmę karę administracyjną.
  1. 2022-07-06 – Główny Geodeta Kraju – kara 60 000 Prezes UODO stwierdził naruszenie polegające na niezgłoszeniu naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż w terminie 72 godzin. Incydent ten poległ na ujawnieniu numerów ksiąg wieczystych. Administrator argumentował, że skoro cała księga wieczysta (a więc i jej numer) jest jawny, a numery ksiąg wieczystych są także powszechnie dostępne w innych źródłach, że ich publikacja nie niesie w sobie żadnego zagrożenia dla praw  i wolności osób fizycznych. Prezes UODO wykazał możliwość zidentyfikowania osoby fizycznej poprzez ujawnienie numeru księgi wieczystej. Zakres ujawnianych w księdze wieczystej danych osób fizycznych obejmuje m.in. imiona, nazwiska, imiona rodziców, numer PESEL, adres nieruchomości. Stanowisko PUODO zostało poparte wyrokiem  Sądu Administracyjnego w Warszawie.
  1. 2022-07-06 – Warszawski Uniwersytet Medyczny – kara 10 000 powodem nałożenia kary jest niezgłoszenie w ciągu 72 godzin naruszenia ochrony danych osobowych. Jeden z pacjentów otrzymał skierowanie na badania zawierające dane innej osoby: imię, nazwisko, adres zamieszkania, numer ewidencyjny PESEL oraz informacje o stanie zdrowia (informacja o rozpoznaniu i celu porady). Administrator nie zgłosił incydentu do Urzędu ODO.
  1. 2022-08-30 – TIMSHEL Sp. z o.o.– kara 32 000  do UODO drogą elektroniczną wpłynęło od spółki THIMSHEL zgłoszenie naruszenie ochrony danych osobowych, nie zawierało ono jednak załącznika dedykowanego dla tego typu powiadomień. W związku z brakiem informacji istotnych dla oceny  naruszenia Prezes UODO przesłał pismo zalecające uzupełninie dokumentacji. Pismo nie zostało odebrane. Mimo ponownych prób doręczenia pism Spółka nie podjęła listów. W zaistniałej sytuacji Prezes UODO wszczął postępowanie administracyjne w przedmiocie nałożenia kary.
  1. 2022-09-07 – Sułkowicki Ośrodek Kultury – kara 2 500  Prezes UODO stwierdziła naruszenie polegające na powierzeniu przetwarzania danych bez zawartej umowy i bez weryfikacji czy podmiot przetwarzający spełnia wymagania. Administrator zlecił firmie zewnętrznej prowadzenie ksiąg rachunkowych, i ewidencji w obszarze finansów, podatków i ZUS. Tym samym powierzając mu przetwarzanie danych osobowych 30 pracowników i byłych pracowników Administratora w postaci: imion i nazwisk, imion rodziców, dat urodzenia, numerów rachunków bankowych, adresów zamieszkania lub pobytu, numerów ewidencyjnych PESEL, adresów e-mail, danych dotyczących zarobków, posiadanego majątku, nazwisk rodowych matki, serii i numerów dowodów osobistych, numerów telefonów, a także danych dotyczących zdrowia.
  1. 2022-11-02 – Wójt Gminy Dobrzyniewo Duże – kara 8 000 zł – powodem nałożenia kary jest przetwarzanie danych osobowych w sposób niezapewniający bezpieczeństwo danych osobowych.        Z mieszkania pracownika Urzędu Gminy skradziono służbowy komputer zawierający 51 rekordów z danymi osobowymi: imię i nazwisko, adres zamieszkania oraz PESEL.Dysk twardy komputera nie był szyfrowany co mogło doprowadzić dopozyskania danych osobowych. Skradziony komputer odzyskano. Analiza logów systemu Windows wykazała, że od dnia kradzieży system operacyjny komputera nie był uruchamiany (brak informacji o logowaniu do systemu).
  1. 2022-11-03 – P4 Sp. z o.o. (PLAY) – 100 000 zł – Do Prezesa UODO wpłynęła skarga od osoby prywatnej o następującej treści: „W dniu dzisiejszym otrzymałem maila z umową Play. Nie jestem klientem Play, umowa dotyczy innej osoby o tym samym nazwisku. Na umowie są wszystkie dane tej osoby łącznie z PESEL i nr dowodu”.  Na zapytanie skierowanie do spółki uzyskano wyjaśnienia, że umowę wysłano na adres e-mail podany przez klienta na umowie. Następnie Klient wrócił do POS z informacją, iż adres wskazany na Umowie jest błędny i poprosił o jego usunięcie. Klient nie wskazał innego adresu e-mail do kontaktu. Spółka odnotowała ten fakt. Pracownik Punktu Obsługi Klienta, w którym doszło do podpisania umowy wyjaśnił, że gdy osoba zawierająca umowę poda adres e-mail do kontaktu podczas procesu podpisania umowy z wydrukiem dokumentów (do podpisania), to automatycznie generuje się wysyłka kopii dokumentów na wskazany adres e-mail. Można nie realizować wysyłki oznaczając specjalne pole w systemie sprzedażowym. Pracownik POS nie odznaczył tego pola i dlatego też e-mail z kopiami dokumentów został wysłany do Klienta. Spółka P4 stwierdziła, że nie ma podstaw do traktowania przedmiotowego zdarzenia jako naruszenia danych osobowych, dlatego też nie zgłosiła ww. naruszenia do Prezesa UODO oraz nie powiadomiła o nim Klienta. W związku z tym Prezes UODO wszczął wobec Spółki postępowanie administracyjne i nałożył karę finansową.
  1. 2022-11-30 – PIONIER S.C.(firma prawnicza) – kara 45 700 zł – na wniosek Komendanta Powiatowego Policji Prezes UODO rozpoczął czynności kontrolne u Administratora. W pismach skierowanych do Wspólników Spółki wnioskował o udostępnienie informacji dotyczących sposobu, celu i podstawy prawnej przetwarzania danych osobowych w związku z działalnością gospodarczą prowadzoną przez Administratora. Działalność prowadzona przez Wspólników Spółki polega na świadczeniu pomocy prawnej w zakresie reprezentowania klientów poszkodowanych głównie w wypadkach komunikacyjnych przed towarzystwami ubezpieczeniowymi, sądami, a także innymi podmiotami, w celu uzyskania na ich rzecz odszkodowań, zadośćuczynienia i rent, a także zwrotu kosztów leczenia i rehabilitacji. Z uwagi na brak dostatecznej współpracy Wspólników Spółki Prezes UODO zdecydował o wszczęciu kontroli. Na podstawie zgromadzonego w sprawie materiału dowodowego ustalono, że w procesie przetwarzania danych osobowych Wspólnicy Spółki, jako administratorzy, naruszyli przepisy o ochronie danych osobowych, poprzez przetwarzanie bez podstawy prawnej danych osobowych potencjalnych klientów Wspólników Spółki, w tym danych dotyczących ich stanu zdrowia, w szczególności bez uzyskania ich zgody na przetwarzanie danych osobowych. W związku z tym Prezes UODO rozpoczął postępowanie administracyjne z urzędu. Mimo otrzymania pism zawiadamiających o wszczęciu postepowania wobec Wspólników Spółki żaden z nich nie złożył wyjaśnień.W toku kontroli i po wysłuchaniu wyjaśnień pracowników PUODO uznał, że przetwarzanie danych potencjalnych klientów przez Administratorów jest nieproporcjonalne do pożądanego rezultatu, który chcą oni osiągnąć i nie jest do tego celu niezbędne.

Dla wielu naszych klientów (IODADO), korzystających z naszego serwisu https://rodo-online.eu w ciągu tych kilku lat bardzo pomocne okazały się przemyślane funkcjonalności zawarte w serwisie, które usystematyzowały wprowadzenie RODO w podmiotach. 

W serwisie znajdziemy zakładkę „Incydenty” gdzie można wprowadzać, oceniać i raportować. Ocena naruszenia, która pomaga nam wywiązać się z ciążących obowiązków np. poinformowania UODO oraz osób, których naruszenie dotyczy, jeżeli poziom naruszenia praw i wolności tych osób wyjdzie wysoki. Przy kontrolach UODO lub audytach bardzo pomocne może okazać się raportowanie; w tym np. wszystkich incydentów/naruszeń, które wprowadzaliśmy np. w danym roku, można szybko wygenerować raport zgodny z naszymi aktualnymi potrzebami. Przypominamy, że Artykuł 33. 5. RODO stanowi, że Administrator dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze. Dokumentacja ta musi pozwolić organowi nadzorczemu weryfikowanie przestrzegania niniejszego artykułu.

Kary prezesa UODO – podsumowanie roku 2021

Wchodzimy już w drugi kwartał 2022 roku, zatem można śmiało podsumować nałożone kary w 2021 roku przez Prezesa Urzędu Ochrony Danych Osobowych. Łącznie nałożono 11 kar na kwotę 2027558 zł. Warto wspomnieć, iż również w roku 2021 nie uniknięto nałożenia w Polsce kar za brak współpracy z organem nadzorczym (4) oraz za brak zawiadomienia organu nadzorczego o naruszeniu (3); te kary powtarzają się niestety cyklicznie, świadczy to o słabej wiedzy i braku świadomości Administratorów. Ogólne rozporządzenie o ochronie danych (RODO) nałożyło przecież na administratorów i podmioty przetwarzające szereg nowych obowiązków w tym zakresie. Sankcje grożące za naruszenie zasad ochrony danych osobowych są dość dotkliwe. Mogą zostać nałożone nie tylko na administratora danych czy podmiot przetwarzający, ale również pracowników czy współpracowników tych podmiotów.

Poniżej przedstawiamy informacje czego dotyczyły naruszenia w 2021 roku, i na co zwracać uwagę aby podobnych kar uniknąć w przyszłości:

2021-01-11 – ENEA S.A. – 136 tys. zł – w przedmiotowej sprawie doszło do wysłania do nieuprawnionego odbiorcy wiadomości e-mail wraz z załącznikiem w postaci niezaszyfrowanego pliku zawierającego dane osobowe adresata wiadomości i innych kilkuset osób. Oznacza to, że doszło do naruszenia bezpieczeństwa prowadzącego do przypadkowego ujawnienia danych osobowych osobie nieuprawnionej do otrzymania tych danych, a więc do naruszenia poufności danych osób.

2021-03-19 – Funeda Sp. z o.o. – 22 739,50 zł – Brak współpracy polegał na tym, że ukarana spółka nie zapewniła dostępu do wszelkich danych osobowych i informacji niezbędnych UODO do rozpatrzenia skargi na nieprawidłowości w procesie przetwarzania danych osobowych skarżącego.

2021-04-22 – Cyfrowy Polsat S.A. – 1 136 975 zł – zgłoszenia naruszeń ochrony danych osobowych klientów Spółki, które polegały m.in. na utracie przez kurierów dokumentów zawierających dane osobowe klientów (informowali, urząd i osoby nawet o identyfikacji nawet po 120 dniach od dnia zagubienia) lub na wydaniu przez kurierów niewłaściwej osobie dokumentów zawierających dane osobowe w postaci: imienia i nazwiska, adresu zamieszkania lub pobytu, numeru PESEL, adresu e-mail, serii i numeru dowodu osobistego bądź innego dokumentu tożsamości, numeru telefonu oraz danych dotyczących łączących strony umów. W ocenie Prezesa UODO Spółka w sposób niewystarczający dokonywała oceny skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych znajdujących się na dokumentach dostarczanych klientom Spółki za pośrednictwem podmiotu świadczącego usługi kurierskie, co stanowi naruszenie art. 24 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679.

2021-04-27 – PNP SA – 22 tyś – Powodem nałożenia kary pieniężnej jest brak współpracy z organem nadzorczym oraz niezapewnienie dostępu do wszelkich informacji niezbędnych do realizacji przez UODO zadań. W konsekwencji niepodejmowania przez Spółkę kierowanej do niej korespondencji, UODO nie uzyskało informacji niezbędnych do rozpatrzenia sprawy.

2021.06.17 – P4 Sp. z  o.o. (Play) – 100 000 zł – Prezes Urzędu Ochrony Danych Osobowych nałożył na spółkę P4 administracyjną karę pieniężną w wysokości 100 tys. złotych za niezawiadomienie organu nadzorczego w terminie 24 godzin o wykryciu naruszenia danych osobowych. W świetle przepisów Prawa telekomunikacyjnego przedsiębiorca telekomunikacyjny – administrator danych – nie tylko musi chronić dane osobowe swoich klientów, ale także w przypadku stwierdzenia naruszenia bezpieczeństwa danych osobowych zobowiązany jest w szczególności powiadomić o tym organ ds. ochrony danych osobowych, a także abonenta lub użytkownika końcowego, którego dane zostały naruszone. Ponadto na mocy tych przepisów administrator danych jest zobowiązany do zawiadomienia organu nadzorczego o naruszeniu danych osobowych w terminie 24 godzin.

2021-06-21 – Sopockie Towarzystwo Ubezpieczeń ERGO Hestia S.A. – 159.176 zł – brak zgłoszenia naruszenia ochrony danych osobowych Prezesowi Urzędu Ochrony Danych Osobowych oraz brak zawiadomienia o naruszeniu ochrony danych osobowych osoby, której dotyczyło naruszenie – Podmiot przetwarzający wysłał błędnego maila z ofertami ubezpieczenia domu nie do tego klienta. Ergo została powiadomiona ale nie wysłała zgłoszenia naruszenia do UODO.

2021-06-30 – Fundacja Promocji Mediacji i Edukacji Prawnej Lex Nostra – 13 644 zł – Naruszenie polegające na niezgłoszeniu Prezesowi Urzędu Ochrony Danych Osobowych naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia, oraz przepisu art. 34 ust. 1 rozporządzenia 2016/679, polegające na niezawiadomieniu o naruszeniu ochrony danych osobowych, bez zbędnej zwłoki osób, których dane dotyczą. Naruszenie polegało na utracie danych osobowych 96 osób, na skutek kradzieży teczek zawierających dane osobowe beneficjentów z biura terenowego.

2021-08-13 – Prezes Sądu Rejonowego w Zgierzu – 10 tyś zł – naruszenie ochrony danych osobowych 400 osób, podlegających nadzorowi kuratorskiemu i objętych wywiadem środowiskowym przez kuratora sądowego. Naruszenie polegało na zagubieniu niezaszyfrowanej przenośnej pamięci zewnętrznej typu pendrive przez kuratora sądowego.

2021-10-14 – Bank Millenium S.A. – 363.832 zł – UODO o naruszeniu ochrony danych dowiedział się ze skargi, jaka wpłynęła na Bank. Wynikało z niej, że doszło do zgubienia przez firmę kurierską korespondencji z danymi osobowymi, takimi jak: imię, nazwisko, nr PESEL, adres zameldowania, numery rachunków bankowych, numer identyfikacyjny nadawany klientom banku. Bank uznał, że ryzyko negatywnych konsekwencji dla osób dotkniętych naruszeniem jest średnie, dlatego nie zgłosił tego naruszenia organowi nadzorczemu oraz nie zrealizował w pełni obowiązku związanego z powiadomieniem osób, których dane dotyczą. W niniejszej sprawie ustalono, że naruszenie dotyczyło danych osobowych tylko dwóch osób.

2021-12-01 – Pactum Poland Sp. z o.o. – 18 192 zł – Urząd Ochrony Danych Osobowych, aby ustalić stan faktyczny sprawy zainicjowanej skargą, zwrócił się do Spółki o ustosunkowanie się do treści skargi oraz o udzielenie odpowiedzi na szczegółowe pytania dotyczące sprawy. Z czterech wysłanych Spółce wezwań, ta odebrała tylko jedno, na które jednak nie odpowiedziała. Brak współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f) Rozporządzenia 2016/679)

2021-12-09 – Politechnika Warszawska – 45 tyś zł – do Urzędu Ochrony Danych Osobowych (UODO) wpłynęło zgłoszenie naruszenia ochrony danych. Jak wskazano, nieuprawniona osoba dokonała pobrania z zasobów sieci informatycznej uczelni bazy danych, zawierającej dane osobowe studentów i wykładowców (ponad 5 tys. osób). Na początku stycznia 2020 roku nieuprawniona osoba  wykorzystała funkcjonalność umieszczania plików w aplikacji, dysponując danymi uwierzytelniającymi. Z kolei z początkiem maja 2020 roku dokonano nieautoryzowanego pobrania danych osobowych. RODO zobowiązuje administratora do regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych, mających zapewnić bezpieczeństwo przetwarzania. Administrator powinien w aktywny sposób i na każdym etapie sprawdzać bezpieczeństwo danych osobowych. Według ustaleń UODO Politechnika nie dokonywała cyklicznej weryfikacji zastosowanych środków.

Dla wielu naszych klientów (IOD, ADO), korzystających z naszego serwisu https://rodo-online.eu/ w ciągu tych kilku lat bardzo pomocne okazały się przemyślane funkcjonalności zawarte w serwisie, które usystematyzowały wprowadzenie RODO w podmiotach. 

W serwisie znajdziemy zakładkę „Incydenty” gdzie można wprowadzać, oceniać i raportować. Ocena naruszenia, która pomaga nam wywiązać się z ciążących obowiązków np. poinformowania UODO oraz osób, których naruszenie dotyczy, jeżeli poziom naruszenia praw i wolności tych osób wyjdzie wysoki. Przy kontrolach UODO lub audytach bardzo pomocne może okazać się raportowanie; w tym np. wszystkich incydentów/naruszeń, które wprowadzaliśmy np. w danym roku, można szybko wygenerować raport zgodny z naszymi aktualnymi potrzebami. Przypominamy, że Artykuł 33. 5. RODO stanowi, że Administrator dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze. Dokumentacja ta musi pozwolić organowi nadzorczemu weryfikowanie przestrzegania niniejszego artykułu.

W razie pytań zapraszamy do kontaktu z naszymi specjalistami:

e-mail: pomoc@rodo-online.eu
tel. +48 885 206 000
tel. +48 885 960 500

Dobre praktyki – kiedy i w jaki sposób informować klientów o przetwarzaniu danych osobowych w korespondencji e-mail.

Dobre praktyki – kiedy i w jaki sposób informować klientów o przetwarzaniu danych osobowych w korespondencji e-mail. 

RODO (ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)) pozostawia nam dowolność w zakresie sposobu spełnienia obowiązku informacyjnego. RODO w artykule 13 ust. 1 stanowi tak: jeżeli dane osobowe zbierane są od osoby, której dane osobowe dotyczą, to administrator podczas pozyskiwania danych osobowych ma obowiązek podać informacje wymienione w art. 13 RODO. Podczas pozyskiwania danych, czyli w momencie ich zbierania. Osoba, której dane dotyczą, świadomie przekazuje administratorowi danych (np. wypełniając formularz internetowy); lub administrator danych pozyskuje od osoby, której dane dotyczą, w drodze obserwacji (np. przy zastosowaniu automatycznych rejestratorów danych lub oprogramowania rejestrującego dane, np. kamer, urządzeń sieciowych, śledzenia sieci Wi-Fi, RFID lub innych rodzajów sensorów). 

Więcej czasu posiada Administrator w przypadku pozyskiwania danych osobowych w sposób inny niż od osoby, której dane dotyczą. Zbieranie danych z innych źródeł – zewnętrzni administratorzy danych; źródła dostępne publicznie; pośrednicy danych; lub inne osoby, których dane dotyczą. W takiej sytuacji obowiązek informacyjny należy spełnić (zgodnie z art. 14 ust. 3 RODO): 

  • w rozsądnym terminie po pozyskaniu danych osobowych – najpóźniej w ciągu miesiąca 
  • jeżeli dane osobowe mają być stosowane do komunikacji z osobą, której dane dotyczą – najpóźniej przy pierwszej takiej komunikacji z osobą 
  • jeżeli planuje się ujawnić dane osobowe innemu odbiorcy – najpóźniej przy ich pierwszym ujawnieniu. 

Istotną kwestią jest sytuacja w momencie otworzenia maila z danymi osobowymi; nie pozyskujemy danych osobowych – my już je posiadamy. Wydaje się, że moment spełniania obowiązku informacyjnego w świetle RODO, został ujęty dość nieprecyzyjnie. Umieszczanie obowiązku informacyjnego w stopce maila do dobra praktyka. Przede wszystkim obowiązek informacyjny musi zostać spełniony, więc mail to dobre rozwiązanie. Kiedy zdecydujemy się na umieszczenie klauzuli informacyjnej w firmowym mailu, musimy wybrać odpowiedni sposób. Oto kilka przykładów, które mogą być pomocne: 

  • Możemy dopisać klauzulę informacyjną zawierającą wszystkie cele przetwarzania przez nas realizowane 
  • Możemy dopisać skróconą wersję klauzuli informacyjnej, która będzie zawierała podstawowe informacje, a w pozostałym zakresie odesłać do strony internetowej, gdzie umieszczone są wszystkie informacje 
  • Możemy wskazać linka (z odnośnikiem do klauzuli), z którym osoba, której dane osobowe przetwarzamy się zapozna 
  • Możemy załączyć plik z klauzulą informacyjną (np. pdf) 
  • Możemy ustawić autorespondera, który z automatu będzie wysyłał klauzulę informacyjną. 

Warto wspomnieć, że powinno być to łatwe dla osoby, której dane dotyczą. Nie możemy wymuszać podjęcia dodatkowych działań, zainstalowania dodatkowych aplikacji aby odczytać załącznik, a umieszczenie samego linka, wiąże się z ryzykiem, że może przestać działać, jak również, że osoba go nie otworzy i nie zapozna się z treścią klauzuli, abyśmy mogli spełnić swój obowiązek. Link lub plik niejako wymusza na osobie, której dane dotyczą podjęcie dodatkowych działań. Każdy administrator musi sam zdecydować czy będzie umieszczał w stopce firmowego maila informacje z art. 13 i 14 ROO czy w inny sposób spełni obowiązek informacyjny.  Dobrą praktyką w stopce maila jest umieszczenie podstawowych informacji dotyczącej Administratora z odnośnikiem do pełnej klauzuli. Musimy także pamiętać, że obowiązek informacyjny powinien być napisany prostym językiem w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, na piśmie lub w inny sposób, w tym elektronicznie, a jeżeli osoba, której dane dotyczą, tego zażąda, ustnie (o ile potwierdzimy tożsamość tej osoby). Administrator musi jednak być w stanie wykazać przestrzeganie przez siebie przepisów RODO, czy udzielił osobie, której dane dotyczą, wszystkich informacji, o których mowa w art. 13 i 14 RODO. Kluczowe w tym zakresie będzie zatem dobranie przez administratora odpowiedniej formy komunikacji. Przepisy RODO nie wymagają odbierania od podmiotów danych oświadczeń o zapoznaniu się z klauzulą informacyjną. 

Pełny zakres przekazywanych informacji przy zbieraniu danych, od osoby, której dane dotyczą art. 13 ust. 1 i 2 

  • tożsamość i dane kontaktowe administratora; 
  • gdy ma to zastosowanie – tożsamość i dane kontaktowe przedstawiciela administratora; 
  • gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych; 
  • cele przetwarzania danych osobowych; 
  • podstawy prawne przetwarzania; 
  • jeżeli przetwarzanie odbywa się na podstawie prawnie uzasadnionych interesów administratora lub strony trzeciej, te realizowane interesy; 
  • informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją; 
  • gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz warunkach tego przekazania; 
  • okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu; 
  • informacje o przysługujących osobie, której dane dotyczą prawach; 
  • jeżeli przetwarzanie odbywa się na podstawie zgody, informacje o prawie do jej cofnięcia; w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na jej podstawie jej cofnięciem; 
  • informacje o prawie wniesienia skargi do organu nadzorczego; 
  • informacje, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych; 
  • informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu; 

Pełny zakres przekazywanych informacji przy zbieraniu danych w sposób inny niż od osoby, której dane dotyczą art. 14 ust. 1 i 2 

  • tożsamość i dane kontaktowe administratora; 
  • gdy ma to zastosowanie – tożsamość i dane kontaktowe przedstawiciela administratora; 
  • gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych; 
  • cele przetwarzania danych osobowych; 
  • podstawy prawne przetwarzania; 
  • kategorie odnośnych danych; 
  • informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją; 
  • gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz warunkach tego przekazania; 
  • okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu; 
  • jeżeli przetwarzanie odbywa się na podstawie prawnie uzasadnionych interesów administratora lub strony trzeciej, te realizowane interesy; 
  • informacje o przysługujących osobie, której dane dotyczą prawach; 
  • jeżeli przetwarzanie odbywa się na podstawie zgody, informacje o prawie do jej cofnięcia; w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na jej podstawie jej cofnięciem; 
  • informacje o prawie wniesienia skargi do organu nadzorczego; 
  • źródło pochodzenia danych, a gdy ma to zastosowanie informacja czy dane pochodzą ze źródeł publicznie dostępnych; 
  • informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu; 

Źródło:  

  1. ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) 
  1. https://uodo.gov.pl/pl/138/727 – „Obowiązek informacyjny” – szkolenie dla IOD , 28 lutego 2019 r. 

Co to jest naruszenie? / gdzie i kiedy zgłosić? / przykłady kar za niezgłoszenie

Przez pojęcie „naruszenia ochrony danych osobowych” należy rozumieć „naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych” (art. 4 pkt 12 RODO).

Żeby zaistniało naruszenie, muszą być spełnione łącznie trzy przesłanki:

  • naruszenie musi dotyczyć danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych przez podmiot, którego dotyczy naruszenie;
  • skutkiem naruszenia może być zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dostęp do danych osobowych;
  • naruszenie jest skutkiem złamania zasad bezpieczeństwa danych.

Jak wskazuje Grupa Robocza Art. 29 w Wytycznych dotyczących zgłaszania naruszeń ochrony danych osobowych zgodnie z rozporządzeniem 2016/679 (WP 250 rev.01) – można wyróżnić trzy typy naruszeń ochrony danych osobowych:

  • NARUSZENIE POUFNOŚCI – polega na ujawnieniu danych osobowych nieuprawnionej osobie
  • NARUSZENIE DOSTĘPNOŚCI – polega na czasowej bądź trwałej utracie lub zniszczeniu danych osobowych
  • NARUSZENIE INTEGRALNOŚCI – polega na zmianie treści danych osobowych w sposób nieautoryzowany.

W przypadku stwierdzenia wystąpienia incydentu, Administrator wraz z Inspektorem Ochrony Danych, prowadzi postępowanie wyjaśniające w toku którego ustala zakres i przyczyny incydentu oraz jego ewentualne skutki (mogą wówczas stwierdzić, że nie jest to incydent, a naruszenie).

W przypadku zbadania i potwierdzenia się naruszenia po przeprowadzeniu oceny naruszenia (rekomendacje/kalkulator zawarte w publikacji European Union Agency for Network and Information Security (ENISA), 2013, Recommendations for a methodology of the assessment of severity of personal data breaches). Dla naszych klientów – dostępna zakładka w systemie rodo-online.eu) Administrator, nie później niż w terminie 72 godzin – zgłasza je organowi nadzorczemu – Prezesowi Urzędu Ochrony Danych Osobowych, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Jeżeli zgłoszenie do Prezesa UODO nastąpiło powyżej 72 godzin trzeba dołączyć wyjaśnienie przyczyn opóźnienia (zgłoszenie musi opisywać co najmniej charakter naruszenia, kategorie i przybliżoną ilość osób, których dane dotyczą, kategorię i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie, imię, nazwisko i dane kontaktowe IOD’a lub oznaczenie innego punktu kontaktowego, opis możliwych konsekwencji, zastosowane środki w celu zaradzenia naruszeniu i minimalizowania jego skutków). Warto skorzystać w gotowego formularza interaktywnego do zgłoszenia naruszenia ochrony danych osobowych przygotowanego przez UODO (https://uodo.gov.pl/pl/134/233). 

Jeżeli naruszenie danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu. Warto zauważyć, że zawiadomienie powinno jasnym i prostym językiem opisywać charakter naruszenia ochrony danych osobowych i zawierać przynajmniej imię i nazwisko oraz dane kontaktowe IOD lub oznaczenie innego punktu kontaktowego, opisywać możliwe konsekwencje naruszenia, opisywać środki zastosowane lub proponowane przez Administratora w celu zaradzeniu naruszeniu i jego skutków.

Zgłoszenia można dokonać na 4 sposoby:

  • Elektronicznie poprzez wypełnienie dedykowanego formularza elektronicznego dostępnego bezpośrednio na platformie biznes.gov.pl będącego odwzorowaniem formularza zgłoszenia naruszenia ochrony danych osobowych (udostępnionego przez PUODO)
  • Elektronicznie poprzez wysłanie wypełnionego formularza na elektroniczną skrzynkę podawczą ePUAP: /UODO/SkrytkaESP
  • Elektronicznie poprzez wysłanie wypełnionego formularza (udostępnionego przez PUODO) za pomocą pisma ogólnego dostępnego na platformie biznes.gov.pl lub platformie epuap.gov.pl
  • Tradycyjną pocztą wysyłając wypełniony formularz na adres Urzędu.

Administrator w celu rozliczalności powinien dokumentować powyższe wszelkie naruszenia ochrony danych osobowych, w tym okoliczności incydentów / naruszeń ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze w prowadzonym Rejestrze incydentów/naruszeń.

Przykłady kar za brak zgłoszenia naruszenia do Prezesa Ochrony Danych Osbowych:

  • Towarzystwo Ubezpieczeń i Reasekuracji WARTA S.A.- 85 588 zł
  • Śląski Uniwersytet Medyczny w Katowicach – 25 000 zł
  • Anwara Sp. z o.o. – 21 tyś zł.
  • Cyfrowy Polsat S.A. – 1 136 975 zł (przeprowadzona przez UODO analiza naruszeń wykazała, że administrator zgłaszał naruszenia organowi nadzorczemu, jak i powiadamiał o incydentach osoby, których one dotyczyły, po upływie dwóch, a nawet trzech miesięcy od ich wystąpienia)
  • P4 Sp. z  o. o. (Play) 100 000 zł(za niezawiadomienie organu nadzorczego w terminie 24 godzin o wykryciu naruszenia danych osobowych, zgodnie z przepisami Prawa telekomunikacyjnego)
  • Sopockie Towarzystwo Ubezpieczeń ERGO Hestia S.A. – 159.176 zł (brak zgłoszenia naruszenia ochrony danych osobowych Prezesowi Urzędu Ochrony Danych Osobowych oraz brak zawiadomienia o naruszeniu ochrony danych osobowych osoby).

Klauzula informacyjna jako spełnienie obowiązku informacyjnego RODO

Każdy podmiot, który przetwarza w jakikolwiek sposób dane osobowe i pełni rolę administratora tych danych, musi przestrzegać zasad RODO. Jednym z ważniejszych, jest spełnienie tzw. obowiązku informacyjnego. Ze względu na interes osoby, której dane są przetwarzane, jest to jedno z najważniejszych zobowiązań administratora. Tylko osoba skutecznie poinformowana, jest w stanie podejmować świadome decyzje w związku z przetwarzaniem jej danych osobowych i skutecznie reagować na ewentualne nieprawidłowości w tym zakresie. Realizacja omawianego obowiązku polega na przedstawieniu osobie, której dane dotyczą, wszelkich informacji wymaganych przepisami RODO. Te informacje muszą być przedstawione: zwięźle, przejrzyście, zrozumiale przede wszystkim wyrażone prostym i jasnym językiem. W praktyce oznacza to, że znaczenie ma nie tylko treść klauzuli, ale także jej forma. 

Kluczowe w tym zakresie są dwa przepisy, tj. art. 13 oraz art. 14 RODO. Wybór jednego z przywołanych przepisów zależy od źródła, z którego administrator pozyskał dane osobowe. Artykuł 13 RODO znajdzie bowiem zastosowanie, gdy administrator pozyskuje dane osobowe bezpośrednio od osoby, której dane dotyczą. 

Są to takie sytuacje jak:

  • osoba, której dane dotyczą, samodzielnie przekazuje administratorowi dane osobowe (np. wypełniając formularz internetowy),
  • administrator samodzielnie pozyskuje dane od osoby, której one dotyczą, w drodze obserwacji (np. przy zastosowaniu automatycznych rejestratorów, takich jak kamery czy urządzenia sieciowe).

Natomiast art. 14 RODO administrator będzie musiał uwzględnić, jeżeli dane osobowe zostały przez niego pozyskane nie bezpośrednio od osoby, której one dotyczą. 

Takie sytuacje jak:

  • pozyskanie danych osobowych od zewnętrznego administratora danych (np. udostępnienie danych osobowych przez kontrahenta, partnera biznesowego, właściciela bazy danych),
  • pozyskanie danych osobowych ze źródeł publicznie dostępnych (np. pozyskanie danych z CEIDG, KRS lub GUS),
  • pozyskanie danych osobowych od innych osób (np. pozyskanie danych dotyczących członków rodzin, podanych przez pracowników).

Co musi zawierać klauzula informacyjna ?

Jeśli pozyskujemy dane od osoby, której te dane dotyczą (art. 13 RODO), klauzula musi zawierać :

  • tożsamość administratora danych i dane kontaktowe (czyli nazwę, adres, mail, telefon);
  • dane kontaktowe Inspektora Ochrony Danych (jeśli jest powołany – imię i nazwisko oraz adres poczty elektronicznej lub nr telefonu https://uodo.gov.pl/pl/223/1783 );
  • cele przetwarzania danych osobowych i podstawę prawną tego przetwarzania (czyli wskazanie przepisów prawa, które zezwalają nam na przetwarzanie danych);
  • jeśli dane są przetwarzane na podstawie prawnie uzasadnionych interesów administratora lub osoby trzeciej, należy wymienić te interesy;
  • informacje o odbiorcach danych osobowych – czyli firmy, którym powierzamy lub udostępniamy dane osobowe (np biura rachunkowe, firmy ubezpieczeniowe itp.);
  • informację, czy będziemy przekazywali te dane do państwa trzeciego lub organizacji międzynarodowej (należy podać stopień ochrony danych – określa je Komisja Europejska dla państw spoza Unii Europejskiej;
  • okres, przez który będziemy przechowywali te dane albo sposób obliczenia tego okresu;
  • informację o prawach osób, których dane dotyczą (prawo dostępu do danych, ich sprostowania, usunięcia lub ograniczenia przetwarzania, prawo do wniesienia sprzeciwu wobec przetwarzania, prawo do przenoszenia danych);
  • jeśli przetwarzamy dane na podstawie zgody osoby, konieczne jest poinformowanie o prawie do cofnięcia tej zgody w każdej chwili oraz o tym, że cofnięcie zgody nie ma wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
  • informację o prawie wniesienia skargi na nasze działanie związane z przetwarzanie danych osobowych do Prezesa Urzędu Ochrony Danych Osobowych;
  • informację, czy dokonujemy profilowania danych.

Jeśli pozyskujemy dane osobowe w sposób inny niż od osoby, której dane dotyczą, dodatkowo należy podać (art. 14 RODO):

  • nazwy podmiotów, od których pozyskaliśmy dane lub poinformować, że pochodzą one ze źródeł publicznie dostępnych;
  • kategorie danych, które przetwarzamy, np. dane korespondencyjne, dane telefoniczne, dane wrażliwe itp. 

Jak zrealizować obwiązek informacyjny?

Jeżeli administrator będzie pozyskiwać dane osobowe bezpośrednio od osoby fizycznej, powinien zrealizować obowiązek informacyjny podczas pozyskiwania tych danych lub przed pozyskaniem. Realizacja obowiązku informacyjnego powinna zatem nastąpić najpóźniej przed zakończeniem zbierania danych osobowych. 

Przykłady:

  • umieszczenie klauzuli informacyjnej w treści formularza służącego do pozyskiwania danych osobowych,
  • spełnienie obowiązku informacyjnego na wstępie rozmowy telefonicznej (dotyczy to np. telefonicznych biur obsługi klienta),
  • przekazanie podstawowych informacji – warunek dwuetapowy (warstwowy) – z jednoczesnym odesłaniem do pełnej treści klauzuli informacyjnej, np. poprzez podany link.

Termin na spełnienie obowiązku informacyjnego, w sytuacji gdy dane osobowe administrator pozyskuje nie od osoby, której dane dotyczą, jest dłuższy (art. 14 ust. 3 RODO). W takim scenariuszu administrator ma maksymalnie miesiąc na zrealizowanie tego obowiązku od momentu pozyskania danych osobowych. Termin ten może ulec skróceniu, jeżeli:

  • dane są wykorzystywane do komunikacji z osobą, której te dane dotyczą – wówczas obowiązek informacyjny powinien zostać spełniony podczas pierwszego kontaktu z tą osobą,
  • dane mają zostać ujawnione innemu odbiorcy – wówczas administrator powinien zrealizować obowiązek informacyjny najpóźniej przy pierwszym ujawnianiu.

Podsumowanie

Osoba, której dane przetwarzamy, ma prawo uzyskać wiedzę o podmiotach uczestniczących w przetwarzaniu jej danych, o procedurach związanych z tymi danymi, zabezpieczeniach oraz swoich prawach, które przysługują jej z tego tytułu. Warunkiem tego jest posiadanie wiedzy o tym, do jakich celów dane będą wykorzystywane. Na administratorze danych ciąży obowiązek przekazania informacji w taki sposób, by jej zrozumienie nie stanowiło problemu. Należy uwzględnić odbiorców, do których ją kierujemy informację. Dotyczy to nie tylko języka, którym będzie napisana (nie może być to język branżowy, techniczny, prawniczy), lecz także jej szaty graficznej. Pamiętaj, że w razie kontroli administrator będzie musiał wykazać, że obowiązek informacyjny został przez niego spełniony (art. 5 ust. 1 lit. a RODO). Jeśli potrzebujesz pomocy w zakresie obowiązku informacyjnego (przykład poniżej) czy innych wymogów ochrony danych osobowych skontaktuj się z nami kontakt@rodo-online.eu więcej na https://rodo-online.eu/

Wzór klauzuli informacyjnej do pobrania

Poniżej znajdą Państwo szablon (wzór) klauzuli informacyjnej dla formularza kontaktowego, wzór gotowy do edycji w excelu.

pobierz

Inspektor Ochrony Danych (IOD), czyli kto? Jakie są jego obowiązki i kto musi go powołać?

Zgodnie z motywem 97 Rozporządzenia (RODO) Inspektor Ochrony Danych to osoba dysponującą fachową wiedzą na temat prawa i praktyk w dziedzinie ochrony danych powoływana przez administratora danych osobowych lub podmiot przetwarzający w celu wspomagania wewnętrznego przestrzegania przepisów RODO.

Według Wikipedii Inspektor Ochrony Danych (IOD) to osoba fizyczna wspierająca administratora danych w realizacji obowiązków dotyczących ochrony danych osobowych. Z tych wyjaśnień wynika że Inspektor to specjalistyczna funkcja, która działa w organizacji administratora lub podmiotu przetwarzającego. IOD nadzoruje i wspiera prawidłowość działań administratora lub podmiotu przetwarzającego dane osobowe.

Obowiązki Inspektora Ochrony Danych

Zadania Inspektora Ochrony Danych zostały opisane w art. 39 ust. 1 RODO, ale jakie zadania ma w praktyce? Praktyka pokazała że większość IOD oprócz zadań obligatoryjnych (zapisanych w RODO) wykonuje zadania fakultatywne (nieobowiązkowe). 

Lista zadań obligatoryjnych Inspektora Ochrony Danych (art. 39 ust. 1 RODO):

  • współpraca z organem nadzorczym (Prezesem UODO);
  • pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, również wynikających z uprzednich konsultacji z organem nadzorczym, oraz – w stosownych przypadkach – prowadzenie konsultacji we wszelkich innych sprawach;
  • pełnienie funkcji punktu kontaktowego dla podmiotów danych (osoby, których dane dotyczą, mogą kontaktować się z Inspektorem Ochrony Danych we wszystkich sprawach związanych z przetwarzaniem ich danych osobowych oraz wykonywaniem praw przysługujących im na mocy RODO – art. 38 ust. 4 RODO);
  • informowanie Administratora / Podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy przepisów o ochronie danych, jak również doradzanie im w tej sprawie. IOD występuje tutaj w potrójnej roli: wskazuje obowiązki, rekomenduje sposób ich wykonania, a następnie ocenia poprawność realizacji;
  • monitorowanie przestrzegania RODO, innych przepisów Unii lub państw członkowskich oraz polityk administratora w dziedzinie ochrony danych osobowych, w tym: podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z nimi audyty. W tym zakresie istotne będzie:
  • zbieranie informacji w celu identyfikacji procesów przetwarzania;
  • analizowanie i sprawdzanie zgodności przetwarzania;
  • informowanie, doradzanie i rekomendowanie określonych działań;
  • udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie wykonania tej oceny zgodnie z art. 35 RODO. Dokonując oceny, Administrator powinien konsultować się z IOD w następujących kwestiach:
  • konieczności przeprowadzenia oceny skutków dla ochrony danych oraz metodologii tej oceny;
  • wyboru między przeprowadzeniem wewnętrznej oceny a zleceniem jej podmiotowi zewnętrznemu;
  • zabezpieczeń (w tym środków technicznych i organizacyjnych) stosowanych do łagodzenia zagrożeń praw i interesów osób, których dane dotyczą;
  • prawidłowości przeprowadzonej oceny skutków dla ochrony danych i zgodności jej wyników z RODO (czy należy kontynuować przetwarzanie, czy też nie, oraz jakie zabezpieczenia należy zastosować).

Do fakultatywnych zadań inspektora należą (nieobowiązkowe zadania):

  • Koordynowanie całego procesu oceny skutków dla ochrony danych osobowych.
  • Opracowywanie i aktualizacja polityk ochrony danych
  • Administrowanie oraz kontrola upoważnień do przetwarzania danych osobowych, w tym prowadzenie rejestru nadanych upoważnień.
  • Przygotowywanie lub opiniowanie umów powierzenia przetwarzania danych osobowych, w tym prowadzenie ich rejestru zawartych umów.
  • Udział w procesach związanych z naruszeniami ochrony danych osobowych, w tym prowadzenie rejestru naruszeń, prowadzenie postępowania wyjaśniającego, dokonywanie oceny naruszenia, koordynowanie zgłoszenia naruszenia Prezesowi UODO oraz osobom, których dane dotyczą.
  • Opracowywanie treści klauzul informacyjnych, klauzul zgód na przetwarzanie danych osobowych, oraz innych klauzul / postanowień związanych z przetwarzaniem danych osobowych (np. postanowień w zakresie współadministrowania).
  • Prowadzenie rejestru czynności przetwarzania danych osobowych.
  • Prowadzenie rejestru kategorii czynności przetwarzania dokonywanych w imieniu innego administratora danych.
  • Udział w procesie realizacji praw osób, których dane dotyczą, w tym udzielanie odpowiedzi na zapytania, prowadzenie wszelkiej korespondencji, spotkania z osobami realizującymi swoje prawa.
  • Reagowanie na skargi osób, których dane dotyczą, w tym prowadzenie korespondencji ze skarżącym, opracowywanie treści pism w toku postepowania.
  • Udział w postępowaniach administracyjnych oraz sądowych prowadzonych w związku ze skargami osób, których dane dotyczą bądź innymi naruszeniami RODO.
  • Udział w procesach certyfikacji oraz przystępowania do funkcjonujących kodeksów postępowania.
  • Kontrola podmiotów przetwarzających.

Katalog fakultatywnych zadań nie ma charakteru zamkniętego. Istotne jest jedynie, aby wykonywanie tych zadań nie powodowało konfliktu interesów ani nie naruszało zasady niezależności IOD. 

Kto ma obowiązek powołania Inspektora Ochrony Danych?

Możliwość lub obowiązek powołania Inspektora Ochrony Danych wynika z Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływie takich danych (Dz. Urz. UE L 2016 Nr 119, str. 1) (inaczej RODO). Obowiązkowe powołanie Inspektora Ochrony Danych zgodnie z RODO występuje w trzech przypadkach, gdy:

  • przetwarzania dokonuje organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;
  • główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę;
  • główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa.

Przepisy zostały skonstruowane w taki sposób, aby obowiązek wyznaczenia Inspektora Ochrony Danych był wszędzie tam, gdzie danych osobowych jest dużo lub/i powinny być szczególnie chronione. RODO nie zawiera żadnych przeciwskazań co do powołania IOD w przypadku, gdy organizacja nie ma takiego obowiązku. Dobrowolne wyznaczenie IOD ma wiele korzyści dla organizacji między innymi: wiemy kto w organizacji jest odpowiedzialny za spełnienie obowiązków wynikających z RODO, usprawnić procesy obsługi klientów (zbierania i przetwarzania danych osobowych), a tym samym zyskać przewagę na konkurencją, działać zgodnie z prawem i uniknąć dotkliwych kar finansowych. Urząd Ochrony Danych wręcz zachęca do powoływania IOD z uwagi na fakt, że taka praktyka podnosi poziom bezpieczeństwa danych osobowych. 

Komu powierzyć funkcję IOD –  pracownikowi czy podmiotowi zewnętrznemu?

Inspektor Ochrony Danych Osobowych może być pracownikiem administratora lub podmiotu przetwarzającego albo wykonywać zadania na podstawie umowy o świadczenie usług. Nowe wytyczne opublikowane na stronie UODO (https://uodo.gov.pl/pl/223/2050) mówią, że wykonywanie zadań IOD przez osobę, która nie jest członkiem personelu administratora powinno następować na podstawie umowy o świadczenie usług, nie potrzebna jest umowa powierzenia danych. 

Administrator powinien pamiętać, by Inspektor Ochrony Danych był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych w organizacji. Powinien zapewnić m.in., aby:

  • IOD uczestniczył w podejmowaniu decyzji mających wpływ na ochronę danych wspólnie podczas zmian w organizacji,
  • IOD mógł zapoznać się z niezbędnymi informacjami, które powinny zostać mu odpowiednio wcześniej udostępnione,
  • opinia IOD była zawsze należycie uwzględniana w działalności organizacji, 
  • w przypadku stwierdzenia naruszenia ochrony danych lub innego incydentu, następowała niezwłoczna konsultacja z IOD.

Podsumowanie

Bezsprzecznie administrator lub podmiot przetwarzający, działając we własnym interesie, powinien powołać osobę, która ma wiedzę i umiejętności pozwalające na prowadzenie skutecznego nadzoru nad administrowanymi przez niego danymi osobowymi. Przepisy RODO nie wprowadzają wymogu posiadania przez IOD jakichkolwiek certyfikatów, czy poświadczeń ukończenia odpowiednich szkoleń itp., jednak tego typu dokumenty mogą być pomocne administratorowi w dokonaniu oceny spełniania przez inspektora ochrony danych kryterium doświadczenia i odpowiednich kwalifikacji. Oceny wiedzy fachowej na temat prawa oraz praktyki w obszarze ochrony danych osobowych warto dokonywać również w kontekście specyfiki, jak również konkretnych potrzeb administratora, w tym rodzaju i stopnia zagrożeń, jakie określona działalność może nieść dla praw i wolności podmiotów danych. 

Jesteś administratorem?

Polecamy swoje usługi w zakresie przejęcia funkcji IOD, więcej informacji pod adresem:
https://rodo-online.eu/uslugi-iod/

Jesteś Inspektorem Ochrony Danych?

Zapoznaj się z oprogramowaniem dla IOD, dzięki któremu zrealizujesz wszystkie swoje zadania: https://rodo-online.eu

Podsumowanie 3 lat funkcjonowania RODO w Polsce

Przez okres trzech lat funkcjonowania RODO (od 25 maja 2018 roku) nałożono w Polsce 22 kary pieniężne na łączną sumę 8 922 251 zł (najniższa kara wynosiła 5 tyś zł, a najwyższa 2 800 000 zł). Kary nakładane były za różny stopnień przewinień;począwszy od brakuobowiązku współpracy z organem nadzorczym (UODO) w ramach wykonywania przez niego swoich zadań, w tym niezapewnienia organowi nadzoru dostępu do danych osobowych i innych informacji niezbędnych do realizacji jego zadań, aż po niespełnianie obowiązku informacyjnego, braku zgodności przetwarzania danych osobowych z prawem, bezpodstawnym ujawnianiem danych osobom nieupoważnionym, kradzieżą danych osobowych oraz niewystarczającym zabezpieczaniem ich przetwarzania. Każda sprawa była rozpatrywana oddzielnie, z uwzględnieniem poniższych okoliczności:

  • umyślny lub nieumyślny charakter czynu,
  • czas trwania, charakter i waga naruszenia,
  • czy dany podmiot dopuszczał się w przeszłości podobnych czynów,
  • stopień odpowiedzialności administratora lub podmiotu przetwarzającego oraz wdrożone środki techniczne i organizacyjne,
  • współpraca z prezesem UODO skierowana na usunięcie naruszenia i złagodzenie jego potencjalnych negatywnych konsekwencji,
  • kategorie danych osobowych, których dotyczyło naruszenie,
  • sposób, w jaki organ dowiedział się o czynie (czy administrator lub podmiot przetwarzający sami go zgłosili).

Wnioski nasuwają się same – nie można wprowadzić RODO w trybie przyspieszonym, niepełnym lub nie mając o nim pojęcia. Wiedza potrzebna do wprowadzenia u Administratora RODO z odpowiednio akceptowalnym poziomem ryzyka naruszenia praw lub wolności osób fizycznych, musi być bardzo obszerna. Składają się na to m. in. znajomość RODO, znajomość specyfiki branży, aktów prawnych, wytycznych UODO, Grupy Roboczej Art. 29, zagadnień związanych z bezpieczeństwem IT. 

Dziwi jednak fakt, iż nadal wiele firm z różnych branż nie zrobiło nic lub niewiele, a zdążają się również takie (np. sklepy internetowe), gdzie w ich klauzulach informacyjnych widnieją dane innych podmiotów (czyli kopiuj-wklej bez merytorycznego sprawdzenia). Wiele firm nie zdaje sobie sprawy ile ciąży na nich obowiązków związanych z RODO – do najważniejszych możemy zaliczyć m.in. dopasowanie zabezpieczeń do poziomu ryzyka, odpowiednie przygotowanie klauzul informacyjnych dla pracowników, klientów, dotyczących monitoringu, odpowiednie postępowanie w sytuacji incydentów/naruszeń danych osobowych, czy wywiązywanie się z realizacji praw osób fizycznych. 

Jest to tylko część zagadnień, które Administrator (jego pojęcie ma bardzo szeroki zakres znaczeniowy, gdyż może nim być w zasadzie każdy podmiot, o ile ustala cele i sposoby przetwarzania danych osobowych) musi wziąć pod uwagę tworząc dokumentację ochrony danych osobowych (Politykę ODO składającą się z regulaminów i procedur).

Kary jak widać mają duży przestrzał kwotowy, więc może się zdarzyć, że nawet przy niewielkich zaniedbaniach lub zaniechaniach może dotknąć nas jako Administratora odczuwalna kara. Warto więc się oswoić z ochroną danych osobowych aby był to wyznacznik normalności i dobrych praktyk. Każdy przecież chce aby nasze dane były dobrze chronione, w podmiotach, które nasze dane przetwarzają zgodnie z wybraną podstawą przetwarzania. A jeżeli już dojdzie do naruszeń to mamy również prawo być o tym informowani, zgodnie z obowiązkami nałożonymi na Administratorów.

Dla wielu naszych klientów (IOD, ADO), korzystających z naszego serwisu https://rodo-online.eu/ w ciągu tych kilku lat bardzo pomocne okazały się przemyślane funkcjonalności zawarte w serwisie, które usystematyzowały wprowadzenie RODO w podmiotach. Warto zaznaczyć, iż w tym czasie wykonanych zostało 29 obszernych aktualizacji serwisu, skupiających się na wytycznych naszych klientów, które ułatwiły im znacznie pracę w serwisie. Warto podkreślić, iż nasz serwis jest stale rozbudowywany, na tym polega jego fenomen, że ciągle słuchamy potrzeb naszych klientów za co jesteśmy doceniani. Jeśli nie będziesz sam lub za pomocą swoich pracowników wdrożyć RODO skontaktuj się z nami stworzymy niezbędne dokumenty czy przejmiemy funkcję Inspektora Ochrony Danych (IOD). 

Ochrona danych osobowych w sekretariacie

Przypominamy, że w dniu 25.04.2021 obchodzimy „Międzynarodowy Dzień Sekretarki” nieformalne święto obchodzone w wielu krajach na świecie w celu uznania i promowania pracy sekretarki i sekretarza, asystentki i asystenta, oraz pracowników pomocniczych w biurze, pojmowanych ogólnie, jako pracowników administracyjnych. Pamiętać trzeba, że pracownicy sekretariatu wykonują ciekawą pracę, gdzie duży nacisk kładzie się właśnie na ochronę danych osobowych. 

Są to pracownicy na pierwszej „linii frontu” bywa, że obsługują petentów oraz klientów telefonicznie i stacjonarnie, zajmują się pocztą przychodzącą oraz wychodzącą, obiegiem dokumentacji w danej organizacji, zamawianiem materiałów biurowych potrzebnych do wykonywania swojej pracy, obsługą kontrahentów. Zdarza się, że na takie osoby przeprowadza się ataki socjotechniczne, w celu wyłudzenia danych dotyczących organizacji. Wszyscy pracownicy sekretariatu powinni również być zapoznani z jego funkcjonowaniem oraz zapoznani ze szkoleniem związanym z ryzykiem przetwarzania danych osobowych.

Można śmiało powiedzieć, że największe ryzyko występuje podczas weryfikacji petenta/klienta (największy problem istnieje podczas weryfikacji telefonicznej, ponieważ nigdy nie mamy 100% pewności z kim rozmawiamy, więc kluczowe jest zadawanie dodatkowych pytań, na które pracownik zna odpowiedzi i może osobę zweryfikować, np. wcześniejsze informacje wprowadzone w systemie). 

Kolejnym przetwarzaniem związanym z istotnym ryzykiem jest wysyłanie maili niezaszyfrowanych zawierających dane osobowe, pomyłka we wprowadzanym adresie mailowym, wysyłanie maila z widocznymi dla wszystkich odbiorcami. Przez pośpiech zdarzają się również pomyłki w wysyłanych listach (nie raz pismo kierowane jest do innego adresata i dochodzi do incydentów lub naruszeń). 

Pod żadnym pozorem osoby nie powinny klikać odnośników znajdujących się w otrzymanej poczcie, w szczególności w korespondencji niezamówionej lub pochodzącej od nieznanych osób, instytucji i firm – gdyż istnieje wysokie ryzyko ataku phishingowego. 

Spory problem dla pracownika sekretariatu pojawia się natomiast podczas udostępniania danych osobowych przez ADO (zachodzi między niezależnymi administratorami danych osobowych) lub dla osób trzecich. W praktyce oznacza to konieczność ścisłej weryfikacji osób czy podmiotów, które wnoszą o udostępnianie danych osobowych. Ich powierzenie osobom trzecim musi określać podstawa prawna, która daje możliwość występowania o przekazanie odpowiednich informacji w związku z zaistnieniem konkretnych okoliczności. Zatem osoby pracujące w sekretariacie uczestniczą po części w procesie realizacji prawa osób fizycznych.

W tym wypadku odpowiednie szkolenie związane z ochroną danych osobowych na stanowisku pracy jest bardzo pomocne, pomaga również opracowanie funkcjonujących regulaminów i procedur np.: 

  • Regulamin Ochrony Danych Osobowych
  • Polityka czystego biurka i ekranu
  • Regulamin udzielania informacji
  • Procedura weryfikacji tożsamości
  • Zasady postępowania osób upoważnionych
  • Procedura postępowania w sytuacji incydentu ochrony danych osobowych
  • Instrukcja postępowania w razie zdarzenia losowego lub zmiany miejsca
  • Procedura realizacji prawa osób fizycznych

Po szkoleniach pracownik staje się bardziej świadomy przetwarzania danych osobowych w codziennych czynnościach służbowych, wie na co zwracać uwagę, co robić jeżeli dojdzie do incydentu lub naruszenia, staje się też bardziej dokładny w wykonywaniu obowiązków (np. przygotowywanie poczty wychodzącej, wysyłanie maili, weryfikacja telefoniczna). Szkolenie nie tylko zwiększa świadomość, ale pozwala pracownikowi z czystym sumieniem podpisać oświadczenie o poufności danych. Natomiast Administrator następnie może nadać takiemu pracownikowi upoważnienie do przetwarzania danych osobowych w organizacji zgodnie z jego zakresem obowiązków. 

W dobie pandemii gdzie występuje problem z prowadzeniem szkoleń stacjonarnych u klienta, ze stworzeniem odpowiedniego szkolenia podnoszącego świadomość pomocny jest nasz serwis RODO Online. Należy zaznaczyć że jednym z obowiązków IOD zgodnie z art. 39 ust. 1 RODO jest szkolenie pracowników, nasz serwis daje możliwość dodania prędzej przygotowanego szkolenia, można dodać materiały oraz zweryfikować wiedzę za pomocą przygotowanego testu dla pracowników. Pracownik otrzyma certyfikat przebycia szkolenia a ADO czy IOD będzie mógł wykazać ten fakt – idealne narzędzie do pracy Inspektora Ochrony Danych albo świadomego Administratora Danych Osobowych.

Aby dowiedzieć się więcej zapraszamy do kontaktu z naszymi specjalistami:

e-mail: pomoc@rodo-online.eu
tel. +48 885 206 000
tel. +48 885 960 500

Kontrola trzeźwości pracowników dozwolona czy nie?

Publikujemy kolejny artykuł z serii odpowiedzi na pytania naszych klientów. Poruszymy problematyczny temat, który trapi nie tylko naszych klientów ale większość pracodawców. Badanie trzeźwości pracowników, między innymi w ramach prewencji czy jest to dozwolone czy nie ?.  Jest to jeden z najbardziej kontrowersyjnych tematów nie tylko z punktu widzenia ochrony danych, ale i kodeksu pracy. Twa wiele dyskusji na różnego specjalistycznych forach internetowych, temat ten był poruszany od dawna, a teraz nabiera na sile. Wydaje się, że specjaliści prawa pracy są za badaniem trzeźwości pracowników. Natomiast duża ilość specjalistów z zakresu danych osobowych jest przeciwnych takim badaniom. Temat jest na tyle gorący, że sprawą pod koniec 2020 roku zainteresował się Rzecznik Praw Obywatelskich, natomiast wcześniej mieliśmy dwie interpretacje w tej sprawie na stronie internetowej UODO (https://uodo.gov.pl/pl/138/1076, https://uodo.gov.pl/pl/138/1188). PUODO w tych tekstach informuje, że dane o stanie nietrzeźwości pracownika stanowią dane szczególnej kategorii, ponieważ wskazuje na jego stan zdrowia. Wielu znawców z dziedziny ochrony danych się z tym nie zgadza, jak również my. Wynik badania trzeźwości w żaden sposób nie wskazuje na stan zdrowia, a jedynie na fakt spożycia alkoholu. Nie każdy kto spożywa alkohol jest alkoholikiem. Nawet jeśli pracodawca kilkukrotnie w krótkim czasie przeprowadził kontrolę pracownika, a on miał pozytywne wyniki pomiaru. 

Sąd Najwyższy dopuszcza stosowanie wyrywkowych kontroli trzeźwości

Inne stanowisko wyraził Sąd Najwyższy, który w jednym ze swoich wyroków dopuszcza stosowanie wyrywkowych kontroli trzeźwości.  Możliwe to jest w sytuacjach, w których z uwagi na charakter pracy lub zakładu pracy istnieje ryzyko zagrożenia dla życia i zdrowia. Wskazał zarazem, że poddanie się profilaktycznym badaniom na trzeźwość należy zakwalifikować do podstawowych obowiązków pracownika, a uchylenie się od tego należy traktować jako ich naruszenie. Jednakże analizując głębiej wyrok można stwierdzić że badanie firmowym alkomatem może mieć tylko „pomocniczy” charakter, a wiążącego badania trzeźwości pracownika może dokonać tylko uprawniony organ powołany do ochrony porządku publicznego. Wynik przeprowadzonego firmowym alkomatem badania może stanowić wyłącznie podstawę do wezwania na miejsce policji, a nie do wręczenia dyscyplinarnego zwolnienia. Daje tym samym sygnał, że wynik badania firmowym alkomatem nie jest dowodem wiarygodnym. 

Kwestie kontroli trzeźwości pracowników zostały uregulowane w art. 17 ustawy o wychowaniu w trzeźwości i przeciwdziałaniu alkoholizmowi, który brzmi następująco:

  1. Kierownik zakładu pracy lub osoba przez niego upoważniona mają obowiązek niedopuszczenia do pracy pracownika, jeżeli zachodzi uzasadnione podejrzenie, że stawił się on do pracy w stanie po użyciu alkoholu albo spożywał alkohol w czasie pracy. Okoliczności stanowiące podstawę decyzji powinny być podane pracownikowi do wiadomości.
  2. Uprawnienia kierownika zakładu pracy, o którym mowa w ust. 1, służą również organowi nadrzędnemu nad danym zakładem pracy oraz organowi uprawnionemu do przeprowadzenia kontroli zakładu pracy.
  3. Na żądanie kierownika zakładu pracy, osoby przez niego upoważnionej, a także na żądanie pracownika, o którym mowa w ust. 1, badanie stanu trzeźwości pracownika przeprowadza uprawniony organ powołany do ochrony porządku publicznego. Zabiegu pobrania krwi dokonuje osoba posiadająca odpowiednie kwalifikacje zawodowe. Do badania stanu trzeźwości stosuje się przepisy, wydane na podstawie art. 47 ust. 2.

W związku z tym duże grono zakładów pracy na przykład w branży górniczej, komunikacji miejskiej, transportowej czy lotniczej. Przeprowadza kontrole trzeźwości i jest to na porządku dziennym. Ochrona zdrowia i życia powinna być więc traktowana jako wartość nadrzędna w prawie pracy. Pozbawienie pracodawców możliwości kontrolowania stanu trzeźwości pracowników w sposób bardzo istotny utrudniałoby, o ile nie uniemożliwiłoby w ogóle realizację tego obowiązku. 

Gdy dochodzi do konfliktu wartości należy chronić bezpieczeństwo pracy

Dopuszczenie do pracy pracowników będących pod wpływem alkoholu w przypadku niektórych branż stanowiłoby istotne narażenie nie tylko zdrowia i życia nietrzeźwego pracownika, ale również zdrowia i życia pozostałych pracowników uczestniczących w procesie pracy oraz klientów. W branżach jak wyżej wymienionych czy w przypadku lekarza czy operatora maszyn nikt raczej nie ma wątpliwości, że kontrola stanu trzeźwości powinna być dopuszczalna. Pracodawcy nie mogą sobie pozwolić na takie ryzyko, nawet jeśli realizując swój obowiązek zapewnienia bezpieczeństwa pracy mieliby „przy okazji” naruszyć dobra osobiste pracowników, poddając ich pewnym niedogodnością związanym z badaniem. Przeprowadzenie kontroli trzeźwości powinno być zatem „usprawiedliwione” realizacją przez pracodawców podstawowych obowiązków z zakresu bezpieczeństwa. Gdy dochodzi do konfliktu wartości, chroniąc bezpieczeństwo pracy (a dalej zdrowie i życie pracowników) pracodawca może poświęcić takie wartości jak dobra osobiste pracowników. Zachodzi tu pewne podobieństwo do znanej z prawa karnego konstrukcji stanu wyższej konieczności. Argument ten jest również szczególnie istotny w kontekście sporu o dopuszczalność przetwarzania przez pracodawcę danych osobowych w świetle przepisów o ochronie danych osobowych.

Wprowadzenie odpowiedniej polityki prewencji alkoholowej.

Reasumując, w naszej ocenie, mimo dość różnorodnych opinii w tej kwestii, istnieją uzasadnione racje dla stosowania przez pracodawców własnych kontroli trzeźwości, a w przypadku niektórych branż, również kontroli wyrywkowych. Jednakże, aby minimalizować ryzyko potencjalnych zarzutów pracowników co do nierzetelności prowadzonych badań bądź ewentualnych negatywnych wyników kontroli (PIP lub UODO), niezbędne jest wprowadzenie odpowiedniej polityki prewencji alkoholowej. Przy wdrożeniu takiej polityki bardzo ważne jest również, aby pracodawcy odpowiednio wyważyli ryzyka związane z miejscem i charakterem pracy z jednej strony, a koniecznością ochrony dóbr osobistych pracowników oraz wątpliwościami dotyczącymi zasad pozyskiwania i przetwarzania danych osobowych z drugiej strony. W naszej ocenie odpowiednie ukształtowanie takiej regulacji uzasadniać może zarówno żądanie poddawania się pracowników kontrolom trzeźwości, a przy jednoczesnym określeniu skutków odmowy poddania się przez pracowników badaniom regulacja taka może dać podstawę do wyciągania właściwych konsekwencji wobec pracowników. Potrzeba jest stworzenia regulacji prawnej usuwającej wątpliwości co do podstaw prawnych badania prewencyjnego trzeźwości pracownika i zażywania przez niego substancji psychotropowych oraz respektującej jego prawo do prywatności. 

Jeśli chcesz stworzyć odpowiednie procedury, regulacje, skontaktuj się z naszymi doświadczonymi specjalistami:

e-mail: pomoc@rodo-online.eu
tel. +48 885 206 000
tel. +48 885 960 500

Jak weryfikować podmiot przetwarzający ?

Jak weryfikować podmiot przetwarzający?

Publikujemy kolejny artykuł z serii odpowiedzi na pytania naszych klientów. Padło i nadal pada wiele pytań odnośnie podmiotów przetwarzających dane osobowe w imieniu administratora. 

Niemal każda organizacja powierza dane osobowe swoim dostawcom

Relacje pomiędzy administratorem, a podmiotem przetwarzającym dane osobowe (procesorem) trzeba odpowiednio uregulować. To głownie zadanie administratora by te relacje uwzględnił w systemie ochrony danych swojej organizacji. Model prowadzenia działalności gospodarczej się zmienia. Niemal każda organizacja powierza dane osobowe dostawcom – outsourcing usług np. w obszarze kadrowym i płacowym, informatycznym, marketingowym, call center czy archiwizacji dokumentów. To już przed zawarciem umowy administrator powinien sprawdzić, czy potencjalny przyszły procesor daje gwarancję bezpieczeństwa przetwarzania danych osobowych i realizacji innych obowiązków wynikających z RODO. 

Weryfikacja procesora pod względem ochrony danych osobowych

Przepisy RODO określają ogólnie, iż przetwarzanie danych osobowych przez procesora powinno spełniać wymogi rozporządzenia, w tym chronić prawa podmiotów danych (art. 28 ust. 1 RODO) oraz spełniać wymogi bezpieczeństwa (motyw 81 Preambuły RODO). W tym celu procesor jest zobowiązany wdrożyć odpowiednie środki techniczne i organizacyjne. Przed rozpoczęciem współpracy z potencjalnym procesorem administrator powinien ocenić, czy daje on gwarancje przetwarzania danych zgodnie z powyższymi wymogami. Sposób weryfikacji, pytania zadawane procesorowi, ich dokładność i zakres mogą być różne w zależności od charakteru powierzenia i zakresu powierzonych danych. Z pewnością jednak podmiot, który nie posiada procedury notyfikacji naruszeń, nie prowadzi obowiązkowych rejestrów (naruszeń, czynności przetwarzania, kategorii czynności) lub nie szkoli i nie upoważnia swoich pracowników, powinien powodować u nas zapalenie się „czerwonej lampki”; nie dyskryminuje to od razu takiego podmiotu. Jednak powinny być to jedne z elementów sprawdzanych przez administratora. Administrator musi zweryfikować działalność procesora w taki sposób, aby móc ocenić, czy przetwarzanie przez niego danych nie doprowadzi do naruszenia ochrony danych osobowych, naruszenia umowy lub przepisów RODO. Zgodnie z motywem 81 Preambuły RODO odpowiedni podmiot przetwarzający powinien legitymować się:

  • wiedzą fachową (kompetencje personelu, doświadczenie);
  • wiarygodnością (np. certyfikaty ISO, wdrożone kodeksy postępowania, ewentualnie przebieg dotychczasowej współpracy);
  • zasoby (zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania, stosowanie wewnętrznych procedur).

Na tej podstawie administrator może ocenić gwarancje procesora w zakresie wdrożenia środków technicznych i organizacyjnych zapewniających właściwe stosowanie przepisów RODO. Na tym etapie weryfikacji procesora może być stosowana lista kontrolna; również wprowadzona przez naszą firmę. 

Powierzenie danych osobowych procesorowi

Po tym etapie weryfikacji, oceny i wyłonieniu odpowiedniego procesora, całość relacji łączącej administratora z procesorem powinna być unormowana w ramach umowy powierzenia danych. Należy pamiętać że po podpisaniu umowy powierzenia administrator ma również swoje prawa weryfikacji podmiotu. Kluczowym w tym zakresie jest art. 28 ust.3 lit. h RODO, który nie tylko daje prawo administratorowi kontroli, ale kontrola jego obowiązkiem. W ramach kształtowania się praktyki w stosowaniu przepisów RODO, popularne staje się regulowanie w ramach umowy powierzenia uprawnienia po stronie administratora do przeprowadzenia audytu również u podprocesorów. Tendencja do uregulowania tego zagadnienia w ramach umowy wynika z treści art. 28 ust. 4 RODO. Zgodnie z nim podmiot przetwarzający może podpowierzyć dane osobowe jedynie na podstawie umowy zawartej ze swoim podwykonawcą, której treść zapewniać będzie stosowanie przez podwykonawcę środków gwarantujących przetwarzanie zgodnie z wymogami RODO. W interesie administratora pozostaje zatem zapewnienie sobie możliwości przeprowadzenia audytu u podprocesora, w celu utrzymania pełnej kontroli nad przetwarzanymi przez niego danymi osobowymi. Jak wynika jednak z art. 28 ust. 3 lit. h RODO, audyt nie jest jednak jedyną formą weryfikacji podmiotu przetwarzającego. Podkreślenia wymaga, że przywołany przepis obliguje procesora czy podporcesora do udostępniania administratorowi wszelkich informacji, wykazujących przestrzeganie przepisów RODO w zakresie powierzenia przetwarzania danych w tym bezpieczeństwa danych osobowych. 

Treść dokumentu stanowiącego dowód z przeprowadzonej weryfikacji, powinien być na tyle precyzyjny, aby pozwalał administratorowi na uzyskanie szczegółowych informacji w zakresie stosowanych przez podmiot przetwarzający środków technicznych i organizacyjnych, które zapewnić mają zgodność z przepisami RODO oraz bezpieczeństwo danych osobowych przetwarzanych w imieniu administratora. RODO nie określa, w jaki sposób należy dokonywać weryfikacji zapewnienia przez procesora czy podprocesora gwarancji przetwarzania danych zgodnie z przepisami (pomijając stosowanie zatwierdzonych kodeksów postępowania lub mechanizmów certyfikacji).

Rozpoczęcie współpracy z procesorem, który nie zapewnia odpowiednich gwarancji, jest naruszeniem obowiązków administratora. Również brak weryfikacji lub brak udokumentowania jej przeprowadzenia naraża administratora na zarzut naruszenia przepisów RODO. W takim przypadku – oprócz odpowiedzialności administracyjnoprawnej – wzrasta ryzyko naruszenia praw i wolności podmiotów danych, co może skutkować dodatkowymi konsekwencjami dla administratora. Stosowanie tzw. listy kontrolnej procesora jest dobrym rozwiązaniem, gdyż pozwala zarówno na ocenę zgodności, jak i na jej udokumentowanie. Rzadko zdarzają się natomiast osobiste wizyty audytorów administratora, składane potencjalnym podmiotom przetwarzającym w celu sprawdzenia ich zdolności do przetwarzania danych osobowych zgodnie z przepisami. Pamiętajmy że administrator ma obowiązek przestrzegania przepisów RODO i musi być w stanie wykazać ich przestrzeganie (art. 5 ust. 2 RODO). 

Jeśli nie wiesz czy dobrze zweryfikowałeś procesora, prawidłowo sporządziłeś umowę powierzenia, skontaktuj się z naszymi specjalistami:

e-mail: pomoc@rodo-online.eu
tel. +48 885 206 000
tel. +48 885 960 500

Czy nadal jest potrzebna zgoda na przetwarzanie danych osobowych w CV?

Czy nadal jest potrzebna zgoda na przetwarzanie danych osobowych w CV?

Przed wejściem RODO wymagano wpisywania w CV klauzuli „Wyrażam zgodę na przetwarzanie moich danych osobowych na podstawie ustawy o ochronie danych osobowych z 1997 r.”. Po wejściu w RODO, niektórzy nadal wymagali tej klauzuli, pomimo, że ustawa z 1997 r. już nie obowiązywała. Duża część przedsiębiorców zaczęła jednak wymagać umieszczania w CV klauzuli „Wyrażam zgodę na przetwarzanie moich danych osobowych na podstawie RODO”. I takową wymagają do dziś. Więc czy taka zgoda jest potrzebna? Żądanie takiej zgody, co do zasady, jest bezpodstawne. Pracodawca przetwarza bowiem dane osobowe kandydata do pracy na podstawie art. 221 § 1 kodeksu pracy (Dz.U.2020.0.1320 t.j. – Ustawa z dnia 26 czerwca 1974 r. – Kodeks pracy).

Zgodnie z Kodeksem Pracy Pracodawca żąda od osoby ubiegającej się o zatrudnienie podania danych osobowych obejmujących:

1) imię (imiona) i nazwisko;

2) datę urodzenia;

3) dane kontaktowe wskazane przez taką osobę;

4) wykształcenie;

5) kwalifikacje zawodowe;

6) przebieg dotychczasowego zatrudnienia.

§ 2. Pracodawca żąda podania danych osobowych, o których mowa w § 1 pkt 4–6, gdy jest to niezbędne do wykonywania pracy określonego rodzaju lub na określonym stanowisku.

§ 3. Pracodawca żąda od pracownika podania dodatkowo danych osobowych obejmujących:

1) adres zamieszkania;

2) numer PESEL, a w przypadku jego braku – rodzaj i numer dokumentu potwierdzającego tożsamość;

3) inne dane osobowe pracownika, a także dane osobowe dzieci pracownika i innych członków jego najbliższej rodziny, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy;

4) wykształcenie i przebieg dotychczasowego zatrudnienia, jeżeli nie istniała podstawa do ich żądania od osoby ubiegającej się o zatrudnienie;

5) numer rachunku płatniczego, jeżeli pracownik nie złożył wniosku o wypłatę wynagrodzenia do rąk własnych.

§ 4. Pracodawca żąda podania innych danych osobowych niż określone w § 1 i 3, gdy jest to niezbędne do zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa.

§ 5. Udostępnienie pracodawcy danych osobowych następuje w formie oświadczenia osoby, której dane dotyczą. Pracodawca może żądać udokumentowania danych osobowych osób, o których mowa w § 1 i 3, w zakresie niezbędnym do ich potwierdzenia.

Zatem jeżeli kandydat zamieścił z własnej inicjatywy inne dane osobowe, nie należące do szczególnej kategorii danych (o których mowa w art. 9 RODO), to wydaje się, że pracodawca może je przetwarzać na podstawie zgody, która przejawia się np. na przesłaniu pracodawcy życiorysu i listu motywacyjnego.

Potwierdza to zresztą treść art. 221a kodeksu pracy. Przy czym w artykule tym mamy wskazany wyjątek. Pracodawca może przetwarzać dane osobowe, o których mowa w art. 10 RODO, tj. dotyczące wyroków skazujących i naruszeń prawa tylko i wyłącznie wtedy kiedy pozwalają mu na to wyraźnie przepisy.

Kiedy zgoda kandydata na przetwarzanie danych osobowych w CV jest niezbędna?

Wyraźna zgoda kandydata jest niezbędna, np. w formie klauzuli w CV lub osobnego dokumentu, na przetwarzanie danych osobowych w dwóch przypadkach. 

Po pierwsze, pracodawca może przetwarzać dane osobowe kandydata szczególnej kategorii (tzw. dane wrażliwe), które kandydat zamieścił z własnej inicjatywy, tylko wtedy gdy kandydat wyraził jednocześnie wyraźną zgodę na ich przetwarzanie. Ponadto, zgodnie z art. 221b kodeksu pracy przetwarzanie danych szczególnej kategorii na podstawie zgody jest możliwe wyłącznie gdy ich przekazanie nastąpiło z inicjatywy kandydata. 

Po drugie, jeżeli pracodawca ma przetwarzać dane osobowe kandydata w innych, kolejnych rekrutacjach niezbędna jest zgoda kandydata wyrażona w następujący sposób: „Wyrażam zgodę na przetwarzanie danych osobowych w celu wykorzystania ich w kolejnych naborach prowadzonych przez firmę XYZ… przez okres najbliższego roku”. W innym wypadku po zakończeniu rekrutacji, pracodawca powinien usunąć dane osobowe kandydata, bez możliwości ich ponownego wykorzystania.

Jeżeli zastanawiają się Państwo nad przyszłymi rekrutacjami oraz jak powinna wyglądać klauzula informacyjna dla kandydatów do pracy, zapraszamy do kontaktu z naszymi specjalistami:

e-mail: pomoc@rodo-online.eu
tel. +48 885 206 000
tel. +48 885 960 500

Podsumowanie roku 2020

Kary Prezesa UODO – Podsumowanie roku 2020

Przy kończącym się już za 4 dni roku, chcielibyśmy przypomnieć jak ten trudny dla wszystkich 2020 rok wpłynął na nakładane kary w Polsce. 

Można już podsumować, że nałożonych zostało 8 kar na łączną kwotę 2 mln 190 tyś złotych. Rekordzistą w wysokości nałożonej kary stał się Virgin Mobile Polska z kwotą 1,9 mln zł. za brak wdrożonych odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzanych danych (osoby nieuprawnione miały krótkotrwały dostęp do systemów, naruszenie miało poważny charakter i dotyczyło dużej ilości osób oraz wiązało się z dużym ryzykiem negatywnych skutków). Wiele kar zostało również nałożonych za to, iż Administrator nie zapewnił organowi nadzorczemu (kontrolerom UODO) dostępu do danych osobowych i pomieszczeń w celu przeprowadzenia kontroli, za co została nałożona kara 100 tyś zł na Głównego Geodetę Kraju, 5 tyś na indywidualnego przedsiębiorcę prowadzącego niepubliczny żłobek i przedszkole, 15 tyś zł na Spółkę East Power, 20 tyś zł na spółkę Vis Consulting. 

Warto również przypomnieć o karze 20 tyś złotych z początku roku, która została nałożona na szkołę podstawową w Gdańsku, gdzie wykorzystywano biometryczne skanery linii papilarnych do uwierzytelnienia uczniów w procesie płatności w szkolnej stołówce, organ ochrony danych uznał przetwarzanie danych ucznia za niezgodne z prawem, ponieważ zgoda na przetwarzanie danych nie została udzielona dobrowolnie.

Powyższe kary są nakładane głównie za to, iż Administratorzy nie są świadomi odpowiedzialności za dane osobowe, które przetwarzają. W większości nie zabezpieczali ich w stopniu odpowiednim, bez przeprowadzenia konkretnego zidentyfikowania ryzyk, ich oceny oraz odpowiedniego z nimi podstępowania. Zauważyć też można brak chęci współpracy Administratorów z organem nadzorczym czyli Prezesem Urzędu Ochrony Danych Osobowych, który w ramach zadań nadanych przez art. 57 RODO monitoruje i egzekwuje stosowanie RODO.

Nałożone w tym roku kary pokazują nam niedostosowanie niektórych spółek, firm oraz organizacji do tego co wymaga od nas RODO, ustawa o ochronie danych osobowych i inne wytyczne m.in. urzędu ochrony danych osobowych. Dlatego tym bardziej warto wdrożyć się w dane osobowe, które Państwo przetwarzają ponieważ za ich przetwarzanie odpowiada Administrator czyli organ, jednostka organizacyjna, podmiot lub osoba decydująca (samodzielnie) o celach i środkach przetwarzania danych osobowych.

Aby spełnić wymogi związane z ochroną danych osobowych zachęcamy Państwa do skorzystania z naszego programu do obsługi RODO dostępnego pod adresem https://panel.rodo-online.eu, które upraszcza pracę Administratorów oraz Inspektorów Ochrony Danych Osobowych w ich codziennych obowiązkach. Program RODO-Online ułatwi Państwu wdrożenie RODO w swoich firmach. W tym roku wprowadziliśmy wiele poprawek oraz nowych pomocnych funkcji aby program był dopasowywany do bieżących potrzeb zarówno małych jak i dużych firm. To Państwa uwagi przyczyniają się do rozwoju systemu, za co bardzo dziękujemy i zapraszamy do dalszej współpracy w nadchodzącym 2021 roku. 

Cała załoga RODO-ONLINE.EU życzy aby Nowy Rok przyniósł Państwu spełnienie najskrytszych marzeń, ogromne powodzenie i sprawił, że radość i pogoda ducha nie będą Państwa opuszczały nawet na krok. W imieniu wszystkich pracowników firmy mam przyjemność złożyć Państwu życzenia zdrowia, wszelkiej pomyślności w życiu osobistym oraz ogromu sukcesów na polu zawodowym.

Zapraszamy do kontaktu z naszymi specjalistami:

e-mail:pomoc@rodo-online.eu
tel. +48 885 206 000
tel. +48 885 960 500

Hasła – dobre praktyki

Wszyscy wielokrotnie w ciągu dnia używamy haseł, pinów, tokenów zabezpieczających. Między innymi w Internecie, podczas autoryzacji transakcji bankowych, w trakcie logowania do systemów, aplikacji, skrzynki e-mail w pracy, czy w telefonie do serwisów społecznościowych. Większość z nas sądzi, że nasze hasła są nie do złamania i korzystamy z nich w prawidłowy sposób. Mimo to można było przeczytać w 2019 roku o możliwości zakupu na forach hackerskich bazy „Collection #1”, która zawierała 773 mln adresów e-mail oraz 21 mln haseł pochodzących z ponad 2000 serwisów (w tym również polskich), zaktualizowana baza kosztowała jedyne 45 dolarów. Więc na pewno bardzo duża liczba osób zainteresowanych ją kupiła. Dobrze, aby nie znalazły się w takiej bazie nasze dane do logowań do serwisów, co groziłoby możliwością podszycia się pod naszą osobę. Czym się zatem kierować i jakie są zasady tworzenia prawidłowych haseł?: 

1. Długość hasła, to wg powszechnie obowiązujących przepisów i przekonania: 8 znaków. Warto tu przypomnieć że, im więcej znaków, tym lepiej. Zalecamy minimum 12 znaków.

2. Hasło winno składać się z kombinacji, a więc małych i wielkich liter, – cyfr, – znaków specjalnych.

3. Hasło powinno składać się ze znaków wybieranych z całej klawiatury (trudniej je dostrzec osobie obserwującej naszą klawiaturę – najlepiej abyśmy wpisywali je dwoma rękoma.)

4. Hasło nie powinno składać się z klawiszy sąsiadujących (nawet gdy pozornie spełnia stopień komplikacji); #edc$rfv, 9i8u7y.

5. Hasło nie powinno zawierać danych związanych z Twoja osobą, takich jak: imię, nazwisko, powszechnie znane fakty z Twojego życia czy otoczenia, np.: Tomek123, gruby!@#

6. W haśle nie należy używać słów, które tworzą znane wszystkim kolokacje, powiedzenia, tytuły, cytaty, teksty piosenek, ponieważ nie jest to przypadkowy ciąg wyrazów. Pamiętaj, iż istnieje tzw. metoda brute force – technika łamania haseł lub kluczy kryptograficznych polegająca na sprawdzeniu wszystkich możliwych kombinacji.

7. Każde hasło winno być zmienne w czasie. Zaleca się, aby zmieniać hasło co najmniej raz w miesiącu (w zależności od stopnia trudności hasła lub zalecanych wymagań producenta aplikacji, systemu z którego korzystamy)

8. Hasło powinno być odrzucane przez systemy komputerowe za każdym razem gdy ich zmiana jest niewielka np.: w styczniu ustawiono = hasło1, w lutym = hasło2 oraz nie dopuszczać możliwości stosowania tego samego hasła co najmniej przez rok.

9. Nie należy posługiwać się jednym hasłem w wielu miejscach, to samo dotyczy loginu, np.: portale społecznościowe, sklepy internetowe, systemy w pracy, dostęp do skrzynki e-mail.

10. Nie powinno się zapisywać haseł w miejscach ogólnodostępnych np.; w pracy na monitorze, pod klawiaturą, na kartce umieszczonej w portfelu, torbie. Takie hasła mogą być znalezione przez personel zewnętrzny, trafić w ręce złodzieja, jak również innych osób podczas zgubienia np. portfela, torby. Haseł nie powinno się przysyłać również mailem, ani innymi komunikatorami.

11. Koniecznie należy zmieniać hasła domyślne (tzw.: default password) dla urządzeń, które instalujesz w domu np.: routerów, modemów. Listy haseł dla tych urządzeń są powszechnie dostępne, gdyż służą do logowania się w przypadkach zagubienia dokumentacji technicznej. 

12. Używaj haseł losowo frazowych (niepowiązanych ze sobą w sposób logiczny) z wymiennością znaków, np.: W3r0ni^k@!, z@b_@Wk@^p_@uLi

13. Często tworząc hasło do konta w celu jego zresetowania wymagane jest udzielenie odpowiedzi na wybrane pytanie należy wówczas pamiętać, aby odpowiedź nie zawierała danych, które tak naprawdę można o nas uzyskać w sieci (np. z portali społecznościowych) lub są łatwe do odgadnięcia, tutaj także zaleca się użycie silnego hasła w odpowiedzi na pytanie pozwalające na zresetowanie hasła do naszego konta. Jeżeli jest taka możliwość, warto też ustawić i korzystać z Authenticatora generującego odpowiedni kod dostępu.

14. Coraz większą popularnością cieszą się zarówno komercyjne (płatne) jak i darmowe generatory haseł. Warto z nich skorzystać.

15. Jeżeli dalej masz problem z ustawieniem silnego hasła, które powinno mieć odpowiednią trudność, skorzystaj z linków aby sprawdzić czy jest wystarczająco dobre; https://howsecureismypassword.net/, http://www.passwordmeter.com/

Przepisy przewidują odpowiedzialność karną za udostępnianie haseł lub za bezprawne uzyskanie informacji:

Art. 267. KK

Bezprawne uzyskanie informacji

§ 1. Kto bez uprawnienia uzyskuje dostęp do informacji dla niego nieprzeznaczonej, otwierając zamknięte pismo, podłączając się do sieci telekomunikacyjnej lub przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.

§ 2. Tej samej karze podlega, kto bez uprawnienia uzyskuje dostęp do całości lub części systemu informatycznego.

(…)

§ 4. Tej samej karze podlega, kto informację uzyskaną w sposób określony w § 1-3 ujawnia innej osobie.

(…)

a także:

Art. 269b KK. § 1. Kto wytwarza, pozyskuje, zbywa lub udostępnia innym osobom urządzenia lub programy komputerowe przystosowane do popełnienia przestępstwa określonego w art. 165 § 1 pkt 4, art. 267 § 3, art. 268a § 1 albo § 2 w związku z § 1, art. 269 § 1 lub 2 albo art. 269a, a także hasła komputerowe, kody dostępu lub inne dane umożliwiające nieuprawniony dostęp do informacji przechowywanych w systemie informatycznym, systemie teleinformatycznym lub sieci teleinformatycznej, podlega karze pozbawienia wolności od 3 miesięcy do lat 5.

Art. 107. 1. Kto przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do ich przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch, zgodnie z Ustawą z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. 2018 poz. 1000)).

Należy wspomnieć, że w przewodniku zabezpieczeń Windowsa 10, w ramach minimalizacji ryzyka zaleca się  aby nie można było powtórzyć ostatnich 24 haseł. Zaleca się również aby weryfikacja za pomocą hasła była wymagana przy wzbudzaniu komputera ze stanu uśpienia. Należy edukować użytkowników odnośnie zasad używania haseł. Podnoszenie świadomości wśród użytkowników odnośnie ochrony tożsamości wpływa znacząco na bezpieczeństwo całego systemu. 

Jeżeli chciałbyś się dowiedzieć więcej na temat szkolenia i stworzenia dokumentacji dot. m.in. wprowadzenia polityki haseł, stworzenia Instrukcji Zarządzania Systemem Informatycznym,  to zapraszamy do kontaktu z naszymi specjalistami pomoc@rodo-online.eu, tel. +48 885 206 000, +48 885 960 500.

Zagrożenia z sieci dla naszych danych osobowych – phishing

Każdego z nas może spotkać zagrożenie dla naszych danych osobowych nadchodzące z sieci. Żadne zabezpieczenia, czy to logiczne, czy fizyczne nie uchronią nas przed codziennie to nowo pojawiającymi się pomysłami na wyłudzenie czy kradzież naszych danych osobowych, w tym naszych zdjęć, informacji o finansach itp. Przez pojęcie „naruszenia ochrony danych osobowych” należy rozumieć „naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych” (art. 4 pkt 12 RODO). 

Zagrożenia, o których chcemy wspomnieć, najczęściej określane są jako phishing. Najbardziej popularna definicja określa phishing jako metodę oszustwa, w której przestępca podszywa się pod inną osobę lub instytucję w celu wyłudzenia poufnych informacji (np. danych logowania, danych karty kredytowej), zainfekowania komputera szkodliwym oprogramowaniem czy też nakłonienia ofiary do określonych działań. 

Obecnie, skala problemu jest ogromna, a to z powodu rozwoju technologii w ostatnich czasach. W każdej chwili możemy zrobić przelew z telefonu, laptopa, tabletu, komputera stacjonarnego czy innego urządzenia, które może podłączyć się do Internetu i korzystać z przeglądarki internetowej. Programy te nie zawsze znajdują się na stronach w sieci, ale również mogą być wysłane za pośrednictwem maila w postaci załączników, o które nie podejrzewalibyśmy że są zainfekowane. Dla przykładu mogą to być większe pliki excel’a, które będą zawierać złośliwe oprogramowanie. 

Czytając tego typu wiadomości np. wysłane z kadr, od firmy kurierskiej, od szefa, firm zewnętrznych, zwróćmy uwagę, iż często nie są one agresywne w swej treści, zawierają krótką informację i często zawierają niewielki załącznik wyglądający na plik, o znanym rozszerzeniu charakterystycznym dla plików WORD, EXCEL, paczka .zip, z którymi pracujemy na co dzień.

Aby uchronić się przed atakiem typu phishing zwróćmy szczególną uwagę na wiadomości zawierające prośbę o podanie danych osobowych, finansowych, w których nadawca prosi o pilne zalogowanie się czy wypełnienie formularza. Jeśli jakaś wiadomość wzbudza Twoje podejrzenia nie klikaj w linki w niej zawarte, nie otwieraj załączników i niezwłocznie powiadom o otrzymaniu takiego maila przełożonego i osoby odpowiedzialne za bezpieczeństwo informatyczne, a następnie wykonaj wszystkie polecenia tychże osób. 

W przypadku przekierowania na stronę logowania instytucji, sklepu, systemu wyglądającą podobnie do tej z której korzystasz na co dzień, zwróć uwagę, czy adres strony lub maila jest prawidłowy, często może różnić się jedną literą lub znakiem. Podczas dokonywania zakupów po raz pierwszy w sklepie internetowym, sprawdź dane kontaktowe właściciela sklepu, poszukaj opinii na jego temat. Jeśli strona wzbudzi Twoje podejrzenia najlepiej wycofać się z zakupów w tym sklepie. Sprawdź informacje o domenie np. pod adresem: https://centralops.net/co/domaindossier.aspx

Podczas dokonywania zakupów w Internecie, upewnij się, czy przeglądarka nie wyświetla komunikatu o tym, że strona na którą wchodzisz jest podejrzana. Sprawdź, czy w adresie strony znajduje się informacja o protokole https, czy widoczna jest „kłódka”, a po kliknięciu w nią wyświetlane są informacje na temat certyfikatu. Przejrzyj historię strony internetowej np. pod adresem: https://web.archive.org/

Jeśli w tego typu bazie adres nie zostanie znaleziony, istnieje duże prawdopodobieństwo, że strona „chce wyłudzać” nasze dane. Nawet jeśli informacja przekazywana jest od osoby wyższego szczebla, a wydaje nam się nawet w najmniejszym stopniu podejrzana, uważnie musimy sprawdzać co pobieramy i czy strona, z której pobieramy pliki nie jest podejrzana. 

Pamiętać należy o zmianie haseł do kont na różnych portalach bankowych i platformach, z których korzystamy.Głównym sposobem uniknięcia phishingu jest świadomość jego istnienia, zdrowy rozsądek oraz edukacja w zakresie nowych sposób wyłudzenia danych. Wiele osób może nie zdawać sobie nawet sprawy z tego, że jest atakowana i próbuje się od niej wyłudzić informację. Pamiętajmy, że osoby które chcą wyłudzić od nas informacje potrafią zrobić wiele, szczególnie jeżeli w grę wchodzą nasze dane osobowe, które mogą posłużyć do kradzieży, podszycia, wyłudzenia.

Jeżeli chcą Państwo odbyć szkolenie podczas przeprowadzaniu audytu, w których omawiany jest też m.in. phising, proszę się do nas zgłosić: tel. +48 885 206 000 / +48 885 960 500 lub mailowo pomoc@rodo-online.eu

Brak obowiązku informacyjnego przy zgłaszaniu członków rodziny pracownika do ubezpieczenia zdrowotnego, wytyczne Urzędu Ochrony Danych Osobowych.

Brak obowiązku informacyjnego przy zgłaszaniu członków rodziny pracownika do ubezpieczenia zdrowotnego, wytyczne Urzędu Ochrony Danych Osobowych

Ponieważ pozyskiwanie danych członków rodziny pracownika zgłaszanych przez pracodawcę do ubezpieczenia zdrowotnego odbywa się na podstawie przepisów prawa, które zapewniają odpowiednią ochronę ich praw, pracodawca może skorzystać ze zwolnienia z dopełniania wobec nich obowiązku informacyjnego. Przepisy ustawy z dnia 27 sierpnia 2004 r. o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych przesądzają, które osoby podlegają obowiązkowi ubezpieczenia zdrowotnego (art. 66). Stanowią też w jakich terminach obowiązek ten powstaje i jak należy go dopełnić.

 Obowiązek zgłoszenia członka rodziny do ubezpieczenia zdrowotnego

Jeżeli członkowie rodziny pracownika nie mają własnego tytułu do ubezpieczenia zdrowotnego, ma on obowiązek ich zgłosić w ciągu 7 dni od zaistnienia okoliczności, które spowodowały konieczność takiego zgłoszenia. Pracownik powinien poinformować o tym podmiot właściwy do dokonania zgłoszenia do ubezpieczenia zdrowotnego, np. pracodawcę (art. 67 ust. 3). W przypadku gdy członek rodziny zgłoszony do ubezpieczenia zdrowotnego nabył własny tytuł do ubezpieczenia lub zaistniały inne okoliczności, przez które stracił status członka rodziny – pracownik powinien w ciągu 7 dni zaistnienia tych okoliczności (art. 76) powiadomić płatnika składki, aby go wyrejestrował. Ubezpieczony, który nie poinformuje podmiotu właściwego do dokonania zgłoszenia do ubezpieczenia zdrowotnego o okolicznościach powodujących konieczność zgłoszenia lub wyrejestrowania członka rodziny, podlega karze grzywny (art. 193 pkt 6). Jednocześnie w celu ubezpieczenia zdrowotnego członka rodziny pracownik wypełnia i przekazuje pracodawcy-płatnikowi formularz ZUS ZCNA „Zgłoszenie danych o członkach rodziny dla celów ubezpieczenia zdrowotnego”. Został on wprowadzony przez § 1 ust. 1 pkt 2 rozporządzenia Ministra Rodziny, Pracy i Polityki Społecznej z dnia 20 grudnia 2018 r. w sprawie określenia wzorów zgłoszeń do ubezpieczeń społecznych i ubezpieczenia zdrowotnego, imiennych raportów miesięcznych i imiennych raportów miesięcznych korygujących, zgłoszeń płatnika składek, deklaracji rozliczeniowych i deklaracji rozliczeniowych korygujących, zgłoszeń danych o pracy w szczególnych warunkach lub o szczególnym charakterze, raportów informacyjnych, oświadczeń o zamiarze przekazania raportów informacyjnych oraz innych dokumentów.

Obowiązek zgłoszenia członka rodziny do ubezpieczenia zdrowotnego, a przepisy RODO

Na podstawie wskazanych przepisów można przyjąć, że w związku z pozyskiwaniem przez pracodawcę od pracownika danych członków jego rodziny niezbędnych do zgłoszenia ich do ubezpieczenia zdrowotnego, pracodawca nie będzie musiał dopełniać wobec nich obowiązku informacyjnego, o którym mowa w art. 14 RODO. Przetwarzanie danych członka rodziny w zgłoszeniu do ubezpieczenia jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze, czyli pracodawcy-płatniku (art. 6 ust. 1 lit. c RODO). Ponadto pozyskiwanie tych danych jest wyraźnie uregulowane prawem państwa członkowskiego, któremu podlega administrator, przewidującym odpowiednie środki chroniące prawnie uzasadnione interesy osoby, której dane dotyczą. Spełniona jest zatem wskazana w art. 14 ust. 5 lit. c ogólnego rozporządzenia o ochronie danych przesłanka uprawniająca do odstąpienia od obowiązku dopełniania obowiązku informacyjnego wobec osób, których dane są pozyskiwane w sposób inny niż bezpośrednio od nich. Zapraszamy do kontaktu z naszymi specjalistami e-mail: pomoc@rodo-online.eu tel. +48 885 206 000 tel. +48 885 960 500

Plan ciągłości działania.

Plan ciągłości działania (BCP – Business Continuity Plan), powinien zostać wprowadzony u każdego administratora, któremu zależy na ciągłości działania firmy. Pozwala sprawnie i szybko reagować na sytuacje kryzysowe (typu: katastrofa naturalna, awaria infrastruktury, cyberatak – sytuacje mające najbardziej destrukcyjny wpływ na naszą firmę).

Przy BCP trzeba wziąć pod uwagę kluczowe procesy dla firmy oraz przewidywalność możliwych zagrożeń, przy jego opracowywaniu powinno brać udział jak najwięcej osób zajmującymi się danymi procesami. Z doświadczenia zauważmy, że firmy które tego nie wprowadziły i nie aktualizują kluczowych procesów nie są świadome zagrożeń oraz ich nie kontrolują, jedynie częściowo biorą je pod uwagę przy analizie ryzyka. Prowadzi to niestety do tego, że podczas awarii serwera lub awarii prądu ciągłość pracy i działania jest zaburzona (w niektórych branżach może się to skończyć niedotrzymaniem umów na usługę, stratami obsługiwanych klientów, a nawet utratą reputacji). Często awarie dysków serwera, gdy w firmie nie są wykonywane cykliczne kopie zewnetrzne, może doprowadzić również do naruszeń danych osobowych, które w danej firmie są przetwarzane (wystąpić może brak zapewnienia ciągłości przetwarzania danych osobowych w systemach informatycznych).

Dobrze stworzony plan musi być rzetelnie przygotowany, oczywiście nigdy nie będziemy gotowi na wszystkie okoliczności w 100% ale mimo wszystko straty będą mniej dotkliwe bądź uda nam się i naszym klientom ich nie odczuć. Przy BCP musimy oceniać zatem kluczowe procesy i obszary dla naszej organizacji. Warto wprowadzić cykliczne testy pozwalające sprawdzić nasz plan ciągłości działania i procedury. Zaznaczyć należy, że nie może być to raz stworzony dokument odłożony na półkę ale musimy do niego powracać oraz aktualizować przy różnych zmianach procesów i obszarów, aby zawsze był jak najbardziej aktualny i dostosowany do warunków. W procedurze powinien być zawarty również krok po kroku plan przywrócenia lub odzyskania danych. Wtedy będzie wiadomo, kto w krytycznej sytuacji jest odpowiedzialny za zaplanowane akcje, najczęściej będzie to ASI (Administrator Systemu Informatycznego) ale równie dobrze może być to informatyk z firmy zewnętrznej (z którą mamy podpisaną umowę powierzenia na usługę IT lub usługę serwisową). Ważne żeby pracownicy, kierownicy i sam ADO wiedział, co należy zrobić aby w jak najszybszym czasie przywrócić normalne funkcjonowanie firmy.

Jeżeli zastanawiasz się nad opracowaniem i wprowadzeniem Planu ciągłości działania w swojej firmie lub chcesz zminimalizować przyszłe krytyczne ryzyko to zapraszamy do kontaktu z naszymi specjalistami pomoc@rodo-online.eu, tel. +48 885 206 000, +48 885 960 500.

Mierzenie temperatury pracowników i osób trzecich przebywających na terenie firmy.

Zaczął się już ósmy miesiąc pandemii COVID-19 w Polsce, niestety nie widać jeszcze jej końca.  Gospodarka działa w trybie ograniczonym z zachowaniem sanitarnego rygoru, dlatego też wielu przedsiębiorców wprowadziło lub zamierza wprowadzić środki bezpieczeństwa w postaci mierzenia temperatury pracowników oraz ewentualnie innych osób pojawiających się w zakładzie pracy (klientów, dostawców). Biorąc pod uwagę, że jednym z podstawowych objawów zakażenia koronawirusem jest gorączka, wydaje się, że mierzenie temperatury jest oczywistą metodą służącą zapewnieniu bezpiecznych warunków pracy i zapobieganiu zakażeniom.

Niestety prowadzone dotychczas regulacje prawne, wydane wytyczne i stanowiska są po prostu sprzeczne.  Stan prawnej niepewności istotnie zwiększa ryzyko prowadzenia działalności gospodarczej, jak również potencjalne zagrożenie dla ochrony praw i wolności osób, których dane dotyczą. Co więcej, wytyczne GIS wskazują, że temperatura może być mierzona pracownikom za ich zgodą, podczas gdy PUODO uważa, że zgoda nie może stanowić podstawy przetwarzania danych osobowych w tym przypadku. 

Wytyczne dla zakładów produkcyjnych, które pojawiły się jakiś czas temu na stronie GIS oraz na stronie Ministerstwa Rozwoju, jednak dość szybko zniknęły z obu miejsc publikacji. Wydaje się zatem, że nie można ich traktować jako obowiązujących, chociaż w porównaniu do pozostałych dotychczas wydanych wytycznych, przedmiotowy dokument zawierał najbardziej szczegółowe zalecenia. W szczególności zalecano wdrożenie bezdotykowego mierzenia temperatury u pracowników i gości przy wejściu do zakładu. Mierzenie temperatury miało odbywać się, w miarę możliwości, poza budynkiem zakładowym, a pracownicy, stojąc w kolejce, mieli zachować przynamniej 1,5-metrowy odstęp. W przypadku stwierdzenia podwyższonej temperatury (powyżej 38 stopni C) lub wyraźnych oznak choroby jak uporczywy kaszel, złe samopoczucie, trudności w oddychaniu, dana osoba nie mogła zostać wpuszczona na teren zakładu. 

Większość organów nadzorczych w UE nie widzi również możliwości przetwarzania tego typu danych osobowych na podstawie zgód osób, którym mają być dokonywane pomiary temperatury. Wśród podstaw prawnych mogących uzasadniać przetwarzanie danych osobowych pozyskanych w związku z pomiarem temperatury np. AEPD wskazuje potencjalnie art. 9 ust. 2 lit. b lub lit. i  RODO, jednak w powiązaniu z odpowiednimi przepisami prawa, zawierającymi należyte gwarancje ochrony praw i wolności osób, których dane dotyczą. Istotną kwestią poruszoną przez AEPD jest także konieczność określenia wymagań technicznych urządzeń, które mają być stosowane w celu dokonywania pomiarów temperatury. Polskie organy wspominają jedynie ewentualnie o bezdotykowych termometrach, nie odnosząc się wprost do tego, czy możliwe byłoby stosowanie np. kamer termowizyjnych, które aktualnie stanowią coraz popularniejsze narzędzie dokonywania pomiarów. AEPD wskazuje na potrzebę ustalenia, jakie wskaźniki urządzeń przesądzałyby o adekwatności dokonywanych pomiarów, aby do mierzenia temperatury były wykorzystywane narzędzia o odpowiednich, zatwierdzonych parametrach. Poszczególne urządzenia mogą się bowiem różnić poziomem czułości i precyzji dokonywanych pomiarów. Przyjęcie jednolitych przepisów usunie stan niepewności, jakiego doświadczają aktualnie pracodawcy, chcący z jednej strony zapewnić bezpieczne warunki pracy swoim pracownikom, klientom, gościom chroniąc ich zdrowie oraz życie, a z drugiej strony dążąc do tego, aby ich działania były zgodne z przepisami dotyczącymi ochrony danych osobowych. Jednocześnie przyjęcie takich regulacji zabezpieczy poszanowanie praw i wolności osób, wobec których środki te mają być stosowane. Aktualne rozbieżności w stanowiskach i wytycznych przedstawianych przez PUODO oraz GIS, chociażby w zakresie dopuszczalnych podstaw prawnych przetwarzania danych osobowych w postaci informacji o temperaturze ciała, pozwalają wnioskować, że zalecane aktualnie środki bezpieczeństwa mogą prowadzić do naruszenia podstawowych praw i wolności osób, których dane osobowe są przetwarzane.

Wyjściową podstawą prawną przetwarzania danych osobowych pracowników może być art. 9 ust. 2 lit. b RODO, tj. niezbędność przetwarzania do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone prawem Unii lub prawem państwa członkowskiego, lub porozumieniem zbiorowym na mocy prawa państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw podstawowych i interesów osoby, której dane dotyczą. 

Zgodnie bowiem z treścią art. 207 § 1 kodeksu pracy pracodawca ponosi odpowiedzialność za stan bezpieczeństwa i higieny pracy w zakładzie pracy. W szczególności pracodawca jest obowiązany chronić zdrowie i życie pracowników przez zapewnienie bezpiecznych i higienicznych warunków pracy przy odpowiednim wykorzystaniu osiągnięć nauki i techniki. Szczególnym obowiązkiem jest reagowanie na potrzeby w zakresie bezpieczeństwa i higieny pracy oraz dostosowywanie środków podejmowanych w celu doskonalenia istniejącego poziomu ochrony zdrowia i życia pracowników, biorąc pod uwagę zmieniające się warunki wykonywania pracy. Mając na względzie ww. regulację prawną oraz aktualną sytuację związaną z epidemią koronawirusa, należy uznać, że pracodawca powinien dążyć do minimalizacji ryzyka związanego z transmisją wirusa. Środkiem temu służącym jest mierzenie temperatury oraz zbieranie innych informacji o objawach chorobowych mogących świadczyć o zakażeniu COVID-19. 

Przywołane przepisy kodeksu pracy wymagają jednak doprecyzowania w zakresie zasad stosowania wymienionych środków, aby ich stosowanie odbywało się z poszanowaniem zasad ochrony danych osobowych. Takie przepisy prawa powinny stanowić wyraźną podstawę prawną dla przetwarzania danych osobowych przez pracodawców oraz regulować co najmniej: 

  • dopuszczalne formy mierzenia temperatury;
  • ustalenie, czy i w jakiej formie zapisy pomiarów mogą być rejestrowane;
  • próg temperatury;
  • określenie ewentualnie innych działań, jakie powinny zostać podjęte wobec pracownika w razie stwierdzenia u niego podwyższonej temperatury, dopuszczalność i zasady mierzenia temperatury innym osobom przebywającym na terenie zakładu pracy;
  • rozstrzygnięcie, czy mierzeniu temperatury mogą podlegać także klienci punktów usługowych, gastronomicznych i innych przedsiębiorstw prowadzących lokal przeznaczony do obsługi osób, a także tryb badania i konsekwencje, jakie ma pociągać za sobą wykrycie podwyższonej temperatury;
  • dopuszczalność gromadzenia od pracowników, a także innych osób przebywających na terenie zakładu pracy, danych osobowych w postaci informacji o objawach chorobowych mogących świadczyć o zakażeniu COVID-19, a także ustalenie zakresu zbierania takich danych.

Podsumowując zarówno Prezes Urzędu Ochrony Danych Osobowych jaki i Przewodnicząca Europejskiej Rady Ochrony Danych podchodzą bardzo zachowawczo do tematu przetwarzania danych osobowych w świetle obecnej pandemii. W swoich wypowiedziach powołują się na przepisy prawne wprowadzane w związku z zaistniałą sytuacją. Z tych z kolei wynika to co przedstawiono powyżej – nic jednoznacznego. Na stronie UODO (www.uodo.gov.pl) obecnie znajduje się kilka artykułów odnoszących się do COVID-19, które tematycznie związane są z przedmiotowym zagadnieniem pomiaru temperatury u pracowników i gości odwiedzających firmę. W artykule z dnia 05 maja 2020 też nie ma też jednoznacznej odpowiedzi a Prezes UODO wskazuje, że przepisy o ochronie danych osobowych nie przeciwstawiają się podejmowanym działaniom związanym z przeciwdziałaniem COVID-19. Podkreśla natomiast, że podejmowane rozwiązania przez przedsiębiorców, pracodawców i inne podmioty będą legalne, jedynie w sytuacji, jeżeli administrator będzie realizował je na podstawie przepisów prawa – zgodnie z zasadą legalności określoną w art. 5 ust. 1 RODO. W przedmiotowej sprawie podstaw prawnych należy niewątpliwie doszukiwać się w rozwiązaniach wyznaczanych przez Głównego Inspektora Sanitarnego. 

Jeżeli zastanawiają się Państwo w jaki sposób dokonywać pomiaru temperatury ciała danej osoby, w jaki sposób gromadzić dane dotyczące zdrowia to zapraszamy do kontaktu z naszymi specjalistami pomoc@rodo-online.eu, tel. +48 885 206 000, +48 885 960 500.

Źródło: Stanowisko Związku Firm Ochrony Danych Osobowych w zakresie mierzenia temperatury w celu zapobiegania rozprzestrzenianiu się COVID-19 (https://www.zfodo.org.pl/opinie/stanowisko-zfodo-w-zakresie-mierzenia-temperatury-w-celu-zapobiegania-rozprzestrzenianiu-sie-covid-19/)

Możliwości spełnienia obowiązku informacyjnego w sektorze prywatnym.

Przy tworzeniu dokumentacji ochrony danych osobowych, nie możemy zapomnieć o warunkach informacyjnych. Od klientów otrzymujemy liczne zapytania czy i jak mają realizować ten obowiązek, a jeżeli go realizują w jakiś sposób, to czy jest poprawny. Przy realizacji tego obowiązku zastosowanie mają głównie przepisy RODO oraz wytyczne organów nadzorczych zajmujących się realizacją tego obowiązku.

Zdarza się, że nie raz najlepszym rozwiązaniem dla klientów jest warstwowe spełnianie warunku informacyjnego, głównie jeżeli jest monitorowany teren i zakład pracy. W pierwszej części powinny znaleźć się podstawowe dane dotyczące tożsamości administratora, celach i rodzajach przetwarzania oraz prawach osoby (aby osoba szybko mogła zapoznać się z najbardziej interesującymi ją informacjami). Pierwsza część może być umieszczona jako informacja najlepiej przy piktogramie monitoringu w dobrze widocznym miejscu najlepiej przed wejściem do budynku lub na bramie. 

Natomiast w kolejnej szczegółowej warstwie przedstawiamy już wszystkie wymagane pozostałe informacje, które znajdziemy w art. 13 RODO, czyli w przypadku zbierania danych bezpośrednio od osoby, której dane dotyczą. Klauzula taka może być umieszczona wewnątrz firmy na sekretariacie, czy na stronie www tak, aby łatwo było zapoznać się z całością klauzuli, ważne aby warstwa pierwsza wspominała gdzie znajdziemy pełne informacje.

Treść klauzuli informacyjnej zgodnie z art. 13 powinna być przekazywana podczas pozyskiwania danych osobowych. Jeżeli chodzi o art. 14 (wtórny obowiązek) w przypadku pozyskiwania danych w sposób inny niż od osoby, której dane dotyczą – terminy jego spełnienia wyznacza ust. 3.

Mikroprzedsiębiorcy (będący administratorami danych osobowych) zgodnie z art. 4a ustawy o prawach konsumenta Dz. U. 2020.0.287 wykonują obowiązki z art. 13 RODO, gdy zawierają umowy poza lokalem, na odległość lub w inny sposób. Spełniają ten obowiązek wywieszając w widocznym miejscu w firmie lub udostępniają na swojej stronie www wymagane informacje. Przepisu nie stosuje się, jeżeli osoba, której dane dotyczą, nie ma możliwości zapoznania się z informacjami, o których mowa w art. 13; wtedy należy rozważyć inny sposób spełnienia warunku. Nie można go zastosować również jeżeli administrator przetwarza i udostępnia innym administratorom szczególne kategorię danych, chyba, że osoba wyraziła na to zgodę lub udostępnienie jest niezbędne do wypełnienia obowiązku ciążącego na administratorze. W przypadku osób fizycznych prowadzących działalność gospodarczą mikroprzedsiębiorca samemu musi określić sposób spełnienia obowiązku informacyjnego.

ICO (Brytyjski organ nadzorczy) oraz Grupa Robocza 29 RODO, wyróżniają podobne sposoby spełnienia obowiązku informacyjnego; elektronicznie (wiadomość tekstowa, www, e-mail, aplikacje mobilne), ustnie (osobiście lub telefonicznie; w tym wcześniej nagrane informacje pozwalające odsłuchać szczegółową warstwę), pisemnie (wyjaśnienia, media drukowane, ulotki, ogłoszenia, formularze, informacje w dokumentacji umownej, schematy), za pomocą znaków graficznych, kodów QR (jeżeli informacja zamieszczana jest w przestrzeni publicznej, jeżeli wprowadzane są publiczne kampanie informacyjne w przypadku pozyskiwania danych osobowych za pomocą urządzeń inteligentnych nie zawierających ekranu, w tym urządzenia typu IoT, ostrzeżenia głosowe, filmy wideo, cyfrowe konfiguracje). 

Jeżeli zastanawiają się Państwo jak w poprawny sposób spełnić warunek informacyjny wobec Państwa klientów, pracowników, kontrahentów to zapraszamy do kontaktu z naszymi specjalistami pomoc@rodo-online.eu, tel. +48 885 206 000, +48 885 960 500.

Szkolenia w czasie Koronawirusa

Każdy z Państwa zapewne wie jak ważne są szkolenia pracowników, podwykonawców realizujących zadania w interesie administratora danych osobowych (ADO). W Rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), znajdziemy w kilku miejscach odniesienia dotyczące szkoleń. 

Najważniejsze odniesienie znajdziemy w art. 39, gdzie są określone zadania które powinien realizować Inspektor Ochrony Danych, znajdziemy tu informację m.in. dot. szkoleń i przeprowadzanych audytów. Jeżeli natomiast podmiot nie musi powoływać IODa, to zadania, które powinien realizować spadają na samego administratora (czyli np. właściciela firmy). Należy pamiętać, że to właśnie na nim spoczywa główny ciężar odpowiedzialności za ochronę danych osobowych. To w interesie ADO jest to aby pracownicy mieli odpowiednie kwalifikacje oraz wiedzę. Każdy powinien być przeszkolony i zapoznany ze specyfiką danej firmy, zajmowanym stanowiskiem i znać przepisy regulujące przetwarzanie danych osobowych. Pracownik powinien wiedzieć jak postąpić i zareagować np. na postępowanie w sytuacji incydentu, bądź naruszenia lub jak realizować prawa osób fizycznych. Do realizacji tych zadań nieodzowne wydają się być szkolenia, myślę, że najlepszą jakość uzyskujemy będąc na miejscu i szkoląc bezpośrednio, ale w dobie pandemii należy rozważyć sytuację, w której będzie ciężko odwiedzić klienta (żółta/czerwona strefa) i zebrać wszystkich pracowników przetwarzających dane osobowe, tym bardziej że w wielu wypadkach wykorzystuje się już pracę zdalną. 

Nieodzowną zatem pomocą IODa lub administratora jest serwis RODO Online i zakładka „Szkolenia”, gdzie mogą Państwo w szablonach ustalić czy jest to np. szkolenie dla nowo zatrudnionej osoby, czy szkolenie branżowe przy bezpośredniej obsłudze klienta, czy może szkolenie dla pracowników zarządzających reklamacjami. Ilość wprowadzonych szkoleń i ich urozmaicenie zależy tylko od wiedzy i zaangażowania IODa lub ADO (szkolenie można też przypisać tylko do danego pracownika a nawet kilku firm). Po ustaleniu szablonu możemy również załączyć i opisać wszystkie załączniki w formie PDF, z którymi powinien zapoznać się szkolący, na koniec możemy sprawdzić poziom przekazanej wiedzy i informacji, za pomocą testu, który sami generujemy tworząc pytania i podając opcje odpowiedzi. Jest to bardzo wygodne przy audytach np. rocznych gdzie aby przeszkolić pracowników można śmiało wykorzystać zakładkę „szkolenia” i być pewnym, że mamy ciągłość szkoleń pracowników zgodnie z najnowszymi wytycznymi. Naszym zdaniem jak i wielu innych specjalistów z branży ochrony danych osobowych człowiek jest najsłabszym ogniwem przy ochronie danych, w tym wprowadzonych polityk, instrukcji, procedur. Jesteśmy tylko ludźmi więc popełniamy błędy, ważne aby być świadomym jak można je minimalizować i jak pracować w taki sposób aby ochrona danych osobowych stała się normą, a nie wymuszonymi niezrozumiałymi procedurami. Forma przekazanej wiedzy nawet przez odpowiednie przygotowanie materiałów, ciekawe opisanie problemów i procedur, oraz przemyślane przygotowanie testu gwarantuje, że Państwa wiedza zostanie przekazana dla pracowników w sposób zrozumiały, bezpieczny i rozliczany.

Jeśli potrzebujesz pomocy przy realizowaniu szkoleń, to skontaktuj się z doświadczonymi specjalistami; dane kontaktowe znajdziesz na naszej stronie https://rodo-online.eu.

Czy ochroniarz może żądać okazania dokumentu potwierdzającego tożsamość ?

Kolejny artykuł, w którym staramy się odpowiedzieć na pytanie często zadawane Inspektorowi Ochrony Danych: czy ochroniarz, pracownik ochrony może żądać okazania dokumentu tożsamości (wylegitymowania). Zazwyczaj w przypadkach, gdy wpuszcza osobę trzecią czy pracownika firmy na teren chroniony biurowca czy zakładu produkcyjnego. 

Legitymowanie jest czynnością administracyjno – porządkową służącą potwierdzeniu tożsamości. Do tej czynności uprawniony jest zamknięty katalog osób i instytucji, którym takie uprawnienie nadaje np. Ustawa z dnia 22 sierpnia 1997r. o ochronie osób i mienia Dz. U. 1997 Nr 114 poz. 740, czy Ustawa z dnia 6 sierpnia 2010r. o dowodach osobistych Dz.U.2010 nr 167 poz. 1131. Każdy pracownik ochrony ma prawo do legitymowania osób. Każda osoba przebywająca na obszarze lub w obiekcie chronionym może zostać wylegitymowana. Z przepisów wynika, że pracownik ochrony nie ma prawa jej zmusić do poddania się legitymowaniu. I choć osoba odmawiająca wylegitymowania  popełnia wykroczenie (art. 36 Ustawy o ochronie osób i mienia), to pracownik ochrony nie ma możliwości jej za to ukarać. Prawda jest też taka, że (poza pewnymi wyjątkami) ludzie nie mają obowiązku posiadać przy sobie dokumentu i faktycznie bez żadnych konsekwencji mogą go po prostu nie mieć, a jeżeli nie mają go przy sobie to również go nie okażą.

Legitymowania ochroniarz czy pracownik ochrony dokonuje na podstawie:

  • dowodu osobistego;
  • tymczasowego dowodu osobistego;
  • tymczasowego zaświadczenia tożsamości;
  • dokumentu potwierdzającego tożsamość cudzoziemca;
  • paszportu;
  • innych dokumentów potwierdzających tożsamość, zaopatrzonych w fotografię i adres zamieszkania osoby legitymowanej.

Podsumowując administrator danych osobowych, wdrażając procedury związane z ochroną danych osobowych w swoim podmiocie, jest zobowiązany do stosowania się do zasad wynikających z przepisów RODO, a dokładnie – do zasady ograniczonego celu przetwarzania (art. 5 ust. 1 lit. b RODO) oraz zasady minimalizacji danych osobowych (art. 5 ust. 1 lit. c RODO). Jednocześnie podczas weryfikacji tożsamości osoby fizycznej administrator danych powinien pamiętać o konieczności spełnienia wobec niej obowiązku informacyjnego z art. 13 RODO. Przesłanką przetwarzania danych osobowych w ramach prowadzenia tzw. ewidencji wejść i wyjść może być art. 6 ust. 1 lit. f RODO, ponieważ w tym przypadku przetwarzanie danych osobowych będzie niezbędne do realizacji celów wynikających z prawnie uzasadnionych interesów administratora. Jeśli nie wiesz jak wdrożyć procedury ochrony czy warunek informacyjny, to skontaktuj się z doświadczonymi specjalistami; dane kontaktowe znajdziesz na naszej stronie https://rodo-online.eu/

Nagrywanie rozmów telefonicznych a RODO

RODO niewątpliwie zmieniło w jakimś stopniu nasze życie. Oczywiście, najbardziej widoczne są dla nas kolejne wyskakujące okienka na portalach informujące o wszystkich wymaganych przez rozporządzenie warunkach dot. przetwarzania danych osobowych. Nagrywanie rozmów również nie pozostało wolne od wpływu nowej rzeczywistości prawnej. Nagrywanie rozmów telefonicznych do celów zawodowych lub w związku z prowadzeniem działalności gospodarczej wymaga poinformowania o nagrywaniu, ponieważ zapis głosu osoby jest informacją o charakterze danych osobowych. Urządzenia takie jak centrale telefoniczne (również wirtualne centrale) mają funkcje nagrywania rozmów. Jeżeli firma rejestruje rozmowy poprzez tego typu urządzenia lub w inny sposób, należy o tym poinformować rozmówcę zgodnie z regulacją RODO opisaną w art. 13. 

Przykład komunikatów informacyjnych:

  • W trosce o Państwa bezpieczeństwo informujemy, że rozmowa może być nagrywana. Jeżeli nie wyrażasz na to zgody, prosimy o przerwanie połączenia.
  • Aby zapewnić najwyższe standardy obsługi nasze rozmowy są nagrywane. Jeśli nie wyrażasz na to zgody, zachęcamy do kontaktu mailowego.
  • Informujemy, że rozmowy są nagrywane. Jeśli nie zgadzasz się na rejestrowanie rozmowy, zachęcamy do kontaktu drogą mailową.

Dodatkowy przykładowy komunikat RODO:

  • W związku z Rozporządzeniem o Ochronie Danych Osobowych prosimy o zapoznanie się z Polityką Prywatności. Klauzula informacyjna znajduje się w naszej placówce oraz pod adresem /tutaj adres strony www/ w zakładce Polityka Prywatności.
  • Prosimy o zapoznanie się z treścią klauzuli informacyjnej dotyczącej przetwarzania państwa danych osobowych, która dostępna jest na naszej stronie internetowej /tutaj adres strony/, zakładka Polityka Prywatności.

Po wejściu w życie przepisów RODO prywatnie mamy prawo do nagrywania telefonicznych rozmów osobistych bez informowania o tym drugiej strony. Jednak podmioty podlegające nowej regulacji muszą powiadamiać swoich rozmówców o rejestracji, administratorze danych i celu zapisu. Naruszenie tego obowiązku grozi karą nawet do 4% rocznych przychodów. Jeśli nie wiesz czy w prawidłowy sposób realizujesz warunek informacyjny odnośnie nagrywania, to skontaktuj się z doświadczonymi specjalistami; dane kontaktowe znajdziesz na naszej stronie https://rodo-online.eu/

Czy polityki i procedury ochrony danych są potrzebne ?

Czy polityki i procedury ochrony danych są potrzebne ? 

Często zadawane nam jest pytanie jak w powyższym tytule, również podobne; jak wygląda skuteczna polityka ochrony danych zgodna z RODO ? jakie procedury powinna zawierać ? co zrobić, żeby nie była „martwym” dokumentem ? postaramy rozjaśnić tematykę w tym artykule.

RODO jest aktem prawnym bardzo elastycznym w porównaniu np. z Rozporządzeniem MSWiA w sprawie określania podstawowych warunków technicznych i organizacyjnych (z 15 lipca 1998) czy w sprawie dokumentacji przetwarzania danych osobowych (z 1 maja 2004). Aby być zgodnym z  RODO, należy udokumentować to w następujący sposób:

  • wdrożyć niezbędne polityki i procedury,
  • prowadzić odpowiednie rejestry i ewidencje,
  • dokonywać regularnych analiz zgodności, ryzyka czy oceny skutków dla ochrony danych, gdy jest ona potrzebna,
  • stosować właściwe postępowania i klauzule w umowach, formularzach, na stornach internetowych oraz w innych miejscach, gdzie przetwarzane są dane osobowe. 

Same RODO zawiera następujące regulacje:

  • motyw 79 preambuły – aby móc wykazać przestrzeganie niniejszego rozporządzenia, administrator powinien przyjąć wewnętrzne polityki.
  • Art. 24 ust. 2 – Jeśli jest to proporcjonalne w stosunku do czynności przetwarzania, środki, o których mowa w ust. 1, obejmują wdrożenie przez administratora odpowiednich polityk ochrony danych.

RODO nie precyzuje, jakie polityki ochrony danych należy wdrożyć. Dobre polityki i procedury pozwalają znaleźć odpowiedź na pytania związane z ochroną danych: jak przetwarzać dane osobowe, jak je zabezpieczać, komu zgłaszać incydent i jakie czynności podjąć po jego wykryciu, a także jak przeprowadzić wymagane analizy. Dokumenty podzieliliśmy na wymagane przez RODO oraz zalecane wyczytane „między wierszami RODO” wynikające z naszego doświadczenia:

DokumentStatutFunkcjaŹródło RODO
Polityka ochrony danych osobowychZalecanyZbiór wszystkich procedur ochrony danychArt. 24 ust. 2
Zasady retencji danychWymaganyMówi w jaki sposób i kiedy usuwamy niepotrzebne już dane osoboweArt. 5 ust. 1 lit. e)
Zasady privacy by design i privacy by defaultWymaganyMówi o tym w jaki sposób zapewnić odpowiedni poziom bezpieczeństwa danych i prawa do prywatności np. przy nowych projektach ITArt. 25
Struktura organizacyjna w zakresie ochrony danych osobowychWymaganyKto i za co odpowiada w zakresie funkcjonowania systemu RODO (np. IOD, ASI etc.).Art. 24 ust. 1, Art. 32 ust. 1
Procedura nadawania upoważnieńWymaganyW jaki sposób, na jakich zasadach i komu nadajemy upoważnienia do przetwarzania danych osobowychArt. 29
Ewidencja upoważnieńZalecanyKontrola nad liczbą osób upoważnionych do przetwarzania danych osobowych oraz nad zakresem upoważnieniaArt. 29
Procedura szkoleńZalecanyW jaki sposób szkolimy personel uczestniczący w przetwarzaniu danychArt. 39
Postępowanie z incydentami ochrony danych osobowychWymaganyKto i w jaki sposób reaguje na incydenty ochrony danych osobowychArt. 33
Ocena skutków dla ochrony danych osobowych (DPIA)WymaganaKiedy i w jaki sposób oceniamy skutki dla ochrony danychArt. 35
Realizacja praw osób, których dane dotycząWymaganaKto i w jaki sposób realizuje prawa osób, których dane dotycząArt. 7 ust. 3 Art. 12 – 22
Procedura audytu wewnętrznegoZalecanyKto, w jaki sposób i kiedy kontroluje system ochrony danych osobowych w naszej organizacji.Art. 24 ust. 1,  Art. 32 ust. 1 lit. d),  Art. 39 ust. 1 lit. b)
Kontrola podmiotów przetwarzającychZalecanyW jaki sposób i kiedy kontrolujemy procesorówArt. 28 ust. 3 lit. h)
Opis środków bezpieczeństwaWymaganyJakie środki bezpieczeństwa stosujemy w sferze: organizacyjnej, technicznej, informatycznejArt. 24 ust. 1,  Art. 32 ust. 1
Rejestr czynności przetwarzaniaWymagany *zwolnienie, gdy zaistnieją okoliczności z art. 30 ust. 5Opis wszystkich procesów przetwarzania danych osobowych zachodzących w organizacji w pigułceArt. 30 ust. 1
Rejestr kategorii czynności przetwarzaniaWymagany *zwolnienie, gdy zaistnieją okoliczności z art. 30 ust. 5Zebranie w jednym miejscu wszystkich informacji w zakresie danych, które zostały organizacji powierzoneArt. 30 ust. 2
Procedury ITZalecanySposób zarządzania infrastrukturą IT w której dochodzi do przetwarzania danych osobowychArt. 24 ust. 1,  Art. 32 ust. 1
Materiały informacyjne dla pracowników i współpracownikówZalecanyPodnoszenie świadomości pracowników w zakresie ochrony danych osobowychArt. 39

Dokumentów jest całkiem sporo, ponieważ administrator ma też dużo obowiązków związanych z ochroną danych osobowych. Wewnętrzne polityki i procedury powinny być przede wszystkim użyteczne i zrozumiałe – zapewniać możliwie najefektywniejsze wdrożenie RODO. Dokumentacja ma przede wszystkim ułatwić ochronę danych osobowych w organizacji. Na kształt dokumentacji będzie miał wpływ rodzaj i wielkość prowadzonej działalności. Jeśli nie czujesz się na siłach aby stworzyć wymaganą dokumentację i to zadanie cię przerasta, to skontaktuj się z doświadczonymi specjalistami; dane kontaktowe znajdziesz na naszej stronie https://rodo-online.eu/

Najczęściej spotykane incydenty

Tytuł: Najczęściej spotykane incydenty

Chciałbym dziś opisać Państwu najczęściej występujące incydenty, z którymi spotykamy się na co dzień wykonując swoją pracę. Należy pamiętać, że jeżeli powodują one duże prawdopodobieństwo naruszenia praw lub wolności osób fizycznych, to wtedy stają się naruszeniem (należy niezwłocznie się do tego przyznać poprzez zgłoszenie takiego zdarzenia do organu nadzorczego oraz poinformować osoby poszkodowane). Aby stwierdzić naruszenie należy wykonać ocenę naruszenia (rekomendacje zawarte w publikacji European Union Agency for Network and Information Security (ENISA), 2013, Recommendations for a methodology of the assessment of severity of personal data breaches

Dla klientów, których obsługujemy jako IOD oraz korzystających z systemu RODO-ONLINE.EU – dostępna zakładka w systemie – https://panel.rodo-online.eu/incydenty.

Do najczęściej występujących incydentów u naszych klientów można zaliczyć:

  • Zdarzenia losowe wewnętrzne (awaria komputera/serwera/dysku twardego/oprogramowania, pomyłki informatyków, utrata danych)
  • Umyślne incydenty (kradzież danych i sprzętu zawierającego dane osobowe, włamanie do systemu informatycznego lub pomieszczeń)
  • Zdarzenia losowe zewnętrzne (utrata zasilania, utrata łączności)
  • Nieprawidłowo zaadresowana korespondencja elektroniczna bądź papierowa zawierająca dane osobowe
  • Smartfony, laptopy, przenośne dyski czy teczki z papierowymi dokumentami są nośnikami danych osobowych. Ich utrata, czyli kradzież lub zgubienie należy zakwalifikować jako incydent w ochronie danych osobowych, w zależności od ilości i wagi danych taki incydent często staje się naruszeniem
  • Często w firmach pracownicy niszczą dokumenty w wersji papierowej poprzez ich ręczne zniszczenie (pogięcie, podarcie) i wyrzucenie do kosza na śmieci. Wbrew pozorom tego typu dokumenty można łatwo odzyskać. W celu prawidłowego usunięcia danych osobowych, należy skorzystać z niszczarki. W przypadku elektronicznych nośników należy skorzystać ze specjalistycznego oprogramowania do usuwania danych (nie wystarczy tylko same formatowanie)
  • Sprawdzenie przed rozpoczęciem korzystania z usług konkretnej firmy utylizującej dokumenty, czy np. nie wyrzucają ich do przydrożnego lasu (powinny być spalone lub zniszczone)
  • Fizyczną obecność w budynku lub pomieszczeniach, w których przetwarzane są dane osobowe osób nieuprawnionych, które nie wpisały się do rejestru osób nieupoważnionych
  • Otwarte drzwi do pomieszczeń, szaf, gdzie przechowywane są dane osobowe
  • Nieprawidłowości w zakresie zabezpieczenia miejsc przechowywania informacji (otwarte regały, biurka, szafy w pomieszczeniach w strefach bezpieczeństwa) na nośnikach np. na papierze (wydruki), zdjęcia, płyty CD, pendrive, dyski, karty pamięci, karty do czytników w formie niezabezpieczonej
  • Aktywne konta systemowe i mailowe byłych pracowników, którym powinien być już dawno odebrany dostęp, a który nie raz przydzielany był bezterminowo
  • Niewylogowywanie się przed opuszczeniem stanowiska pracy, pozostawienie wydruków na drukarce, ksero, nie zamykanie pomieszczeń z komputerem
  • Niewykonywanie w określonym terminie kopii bezpieczeństwa oraz nie sprawdzanie możliwości jej odtworzenia
  • Ustawienie monitorów na sekretariacie i w punkcie obsługi klientów pozwalające na wgląd do danych osobowych osobom postronnym (sam wgląd jest już przetwarzaniem)
  • Wynoszenie danych osobowych na zewnątrz organizacji w formie papierowej lub elektronicznej bez upoważnienia
  • Udostępnianie danych osobowych osobom nieupoważnionym w formie papierowej, elektronicznej lub ustnej
  • Incydenty związane z nieaktualizowanym oprogramowaniem lub błędną konfiguracją – wykorzystanie ujawnionej podatności
  • Uniemożliwienie prawidłowego działania systemów lub usług sieciowych poprzez zajęcie wszystkich dostępnych zasobów
  • Telefoniczne próby wyłudzania danych osobowych bez właściwej weryfikacji rozmówcy
  • Maile zachęcające do ujawnienia identyfikatora lub hasła do   systemu/programu/bankowości
  • Pojawienie się wirusa komputerowego lub niestandardowe zachowanie komputerów
  • Przechowywanie haseł do systemu/programów w pobliżu komputera
  • Zdarzenia losowe takie jak awarie serwera, komputerów, twardych dysków, oprogramowania, pomyłki informatyków, użytkowników
  • Podszywanie się hakerów pod znane firmy wysyłające wiadomości zawierające złośliwe załączniki, które po kliknięciu w załącznik lub link szyfrują dane w taki sposób, że nie można uzyskać dostępu do nich bez użycia klucza, który należy odkupić od hakerów (lub przywrócić kopie bezpieczeństwa). Dużym zagrożeniem ciągle pozostają cyberataki, w szczególności te z wykorzystaniem phishingu i ransomware
  • Naruszenia integralności danych, polegające na nieuprawnionej modyfikacji danych z powodu niewłaściwego zabezpieczenia konta użytkownika lub przekazania dostępu do haseł nieograniczonej liczbie osób poprzez pozostawienie ich w widocznym miejscu. 

Naruszeniem ochrony danych osobowych nie będzie zatem każde zdarzenie, które uznamy za incydent bezpieczeństwa informacji, lecz tylko takie, które będzie się wiązało z naruszeniem poufności, dostępności lub integralności danych i będzie wywierało niekorzystny wpływ na osobę, której dane dotyczą (duże prawdopodobieństwo naruszenia praw lub wolności osób fizycznych). Pamiętać należy, że integralność danych może być także zagrożona przez wirusy komputerowe lub umyśle działanie pracowników firmy.