Autor: rodo-online.eu

Podsumowanie roku 2020

Dodano | przez rodo-online.eu | Leave a Comment on Podsumowanie roku 2020

Przy kończącym się już za 4 dni roku, chcielibyśmy przypomnieć jak ten trudny dla wszystkich 2020 rok wpłynął na nakładane kary w Polsce. 

Można już podsumować, że nałożonych zostało 8 kar na łączną kwotę 2 mln 190 tyś złotych. Rekordzistą w wysokości nałożonej kary stał się Virgin Mobile Polska z kwotą 1,9 mln zł. za brak wdrożonych odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzanych danych (osoby nieuprawnione miały krótkotrwały dostęp do systemów, naruszenie miało poważny charakter i dotyczyło dużej ilości osób oraz wiązało się z dużym ryzykiem negatywnych skutków). Wiele kar zostało również nałożonych za to, iż Administrator nie zapewnił organowi nadzorczemu (kontrolerom UODO) dostępu do danych osobowych i pomieszczeń w celu przeprowadzenia kontroli, za co została nałożona kara 100 tyś zł na Głównego Geodetę Kraju, 5 tyś na indywidualnego przedsiębiorcę prowadzącego niepubliczny żłobek i przedszkole, 15 tyś zł na Spółkę East Power, 20 tyś zł na spółkę Vis Consulting. 

Warto również przypomnieć o karze 20 tyś złotych z początku roku, która została nałożona na szkołę podstawową w Gdańsku, gdzie wykorzystywano biometryczne skanery linii papilarnych do uwierzytelnienia uczniów w procesie płatności w szkolnej stołówce, organ ochrony danych uznał przetwarzanie danych ucznia za niezgodne z prawem, ponieważ zgoda na przetwarzanie danych nie została udzielona dobrowolnie.

Powyższe kary są nakładane głównie za to, iż Administratorzy nie są świadomi odpowiedzialności za dane osobowe, które przetwarzają. W większości nie zabezpieczali ich w stopniu odpowiednim, bez przeprowadzenia konkretnego zidentyfikowania ryzyk, ich oceny oraz odpowiedniego z nimi podstępowania. Zauważyć też można brak chęci współpracy Administratorów z organem nadzorczym czyli Prezesem Urzędu Ochrony Danych Osobowych, który w ramach zadań nadanych przez art. 57 RODO monitoruje i egzekwuje stosowanie RODO.

Nałożone w tym roku kary pokazują nam niedostosowanie niektórych spółek, firm oraz organizacji do tego co wymaga od nas RODO, ustawa o ochronie danych osobowych i inne wytyczne m.in. urzędu ochrony danych osobowych. Dlatego tym bardziej warto wdrożyć się w dane osobowe, które Państwo przetwarzają ponieważ za ich przetwarzanie odpowiada Administrator czyli organ, jednostka organizacyjna, podmiot lub osoba decydująca (samodzielnie) o celach i środkach przetwarzania danych osobowych.

Mamy nadzieję, że część z Państwa dołączy do naszego narzędzia dostępnego pod adresem https://panel.rodo-online.eu, które okazuję się bardzo pomocne przy pracy dla Administratorów oraz Inspektorów Ochrony Danych Osobowych w ich codziennej pracy i ułatwi Państwu wdrożenie RODO w swoich podległych organizacjach. W tym roku wprowadziliśmy wiele poprawek oraz nowych pomocnych rzeczy aby program był dopasowywany do potrzeb na bieżąco. Wiele z Państwa uwag przyczynia się do rozwoju systemu, za co bardzo dziękujemy i zapraszamy do dalszej współpracy w nadchodzącym 2021 roku. 

Cała załoga RODO-ONLINE.EU życzy aby Nowy Rok przyniósł Państwu spełnienie najskrytszych marzeń, ogromne powodzenie i sprawił, że radość i pogoda ducha nie będą Państwa opuszczały nawet na krok. W imieniu wszystkich pracowników firmy mam przyjemność złożyć Państwu życzenia zdrowia, wszelkiej pomyślności w życiu osobistym oraz ogromu sukcesów na polu zawodowym.

Hasła – dobre praktyki

Dodano | przez rodo-online.eu | Leave a Comment on Hasła – dobre praktyki

Wszyscy wielokrotnie w ciągu dnia używamy haseł, pinów, tokenów zabezpieczających. Między innymi w Internecie, podczas autoryzacji transakcji bankowych, w trakcie logowania do systemów, aplikacji, skrzynki e-mail w pracy, czy w telefonie do serwisów społecznościowych. Większość z nas sądzi, że nasze hasła są nie do złamania i korzystamy z nich w prawidłowy sposób. Mimo to można było przeczytać w 2019 roku o możliwości zakupu na forach hackerskich bazy „Collection #1”, która zawierała 773 mln adresów e-mail oraz 21 mln haseł pochodzących z ponad 2000 serwisów (w tym również polskich), zaktualizowana baza kosztowała jedyne 45 dolarów. Więc na pewno bardzo duża liczba osób zainteresowanych ją kupiła. Dobrze, aby nie znalazły się w takiej bazie nasze dane do logowań do serwisów, co groziłoby możliwością podszycia się pod naszą osobę. Czym się zatem kierować i jakie są zasady tworzenia prawidłowych haseł?: 

1. Długość hasła, to wg powszechnie obowiązujących przepisów i przekonania: 8 znaków. Warto tu przypomnieć że, im więcej znaków, tym lepiej. Zalecamy minimum 12 znaków.

2. Hasło winno składać się z kombinacji, a więc małych i wielkich liter, – cyfr, – znaków specjalnych.

3. Hasło powinno składać się ze znaków wybieranych z całej klawiatury (trudniej je dostrzec osobie obserwującej naszą klawiaturę – najlepiej abyśmy wpisywali je dwoma rękoma.)

4. Hasło nie powinno składać się z klawiszy sąsiadujących (nawet gdy pozornie spełnia stopień komplikacji); #edc$rfv, 9i8u7y.

5. Hasło nie powinno zawierać danych związanych z Twoja osobą, takich jak: imię, nazwisko, powszechnie znane fakty z Twojego życia czy otoczenia, np.: Tomek123, gruby!@#

6. W haśle nie należy używać słów, które tworzą znane wszystkim kolokacje, powiedzenia, tytuły, cytaty, teksty piosenek, ponieważ nie jest to przypadkowy ciąg wyrazów. Pamiętaj, iż istnieje tzw. metoda brute force – technika łamania haseł lub kluczy kryptograficznych polegająca na sprawdzeniu wszystkich możliwych kombinacji.

7. Każde hasło winno być zmienne w czasie. Zaleca się, aby zmieniać hasło co najmniej raz w miesiącu (w zależności od stopnia trudności hasła lub zalecanych wymagań producenta aplikacji, systemu z którego korzystamy)

8. Hasło powinno być odrzucane przez systemy komputerowe za każdym razem gdy ich zmiana jest niewielka np.: w styczniu ustawiono = hasło1, w lutym = hasło2 oraz nie dopuszczać możliwości stosowania tego samego hasła co najmniej przez rok.

9. Nie należy posługiwać się jednym hasłem w wielu miejscach, to samo dotyczy loginu, np.: portale społecznościowe, sklepy internetowe, systemy w pracy, dostęp do skrzynki e-mail.

10. Nie powinno się zapisywać haseł w miejscach ogólnodostępnych np.; w pracy na monitorze, pod klawiaturą, na kartce umieszczonej w portfelu, torbie. Takie hasła mogą być znalezione przez personel zewnętrzny, trafić w ręce złodzieja, jak również innych osób podczas zgubienia np. portfela, torby. Haseł nie powinno się przysyłać również mailem, ani innymi komunikatorami.

11. Koniecznie należy zmieniać hasła domyślne (tzw.: default password) dla urządzeń, które instalujesz w domu np.: routerów, modemów. Listy haseł dla tych urządzeń są powszechnie dostępne, gdyż służą do logowania się w przypadkach zagubienia dokumentacji technicznej. 

12. Używaj haseł losowo frazowych (niepowiązanych ze sobą w sposób logiczny) z wymiennością znaków, np.: W3r0ni^k@!, z@b_@Wk@^p_@uLi

13. Często tworząc hasło do konta w celu jego zresetowania wymagane jest udzielenie odpowiedzi na wybrane pytanie należy wówczas pamiętać, aby odpowiedź nie zawierała danych, które tak naprawdę można o nas uzyskać w sieci (np. z portali społecznościowych) lub są łatwe do odgadnięcia, tutaj także zaleca się użycie silnego hasła w odpowiedzi na pytanie pozwalające na zresetowanie hasła do naszego konta. Jeżeli jest taka możliwość, warto też ustawić i korzystać z Authenticatora generującego odpowiedni kod dostępu.

14. Coraz większą popularnością cieszą się zarówno komercyjne (płatne) jak i darmowe generatory haseł. Warto z nich skorzystać.

15. Jeżeli dalej masz problem z ustawieniem silnego hasła, które powinno mieć odpowiednią trudność, skorzystaj z linków aby sprawdzić czy jest wystarczająco dobre; https://howsecureismypassword.net/, http://www.passwordmeter.com/

Przepisy przewidują odpowiedzialność karną za udostępnianie haseł lub za bezprawne uzyskanie informacji:

Art. 267. KK

Bezprawne uzyskanie informacji

§ 1. Kto bez uprawnienia uzyskuje dostęp do informacji dla niego nieprzeznaczonej, otwierając zamknięte pismo, podłączając się do sieci telekomunikacyjnej lub przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.

§ 2. Tej samej karze podlega, kto bez uprawnienia uzyskuje dostęp do całości lub części systemu informatycznego.

(…)

§ 4. Tej samej karze podlega, kto informację uzyskaną w sposób określony w § 1-3 ujawnia innej osobie.

(…)

a także:

Art. 269b KK. § 1. Kto wytwarza, pozyskuje, zbywa lub udostępnia innym osobom urządzenia lub programy komputerowe przystosowane do popełnienia przestępstwa określonego w art. 165 § 1 pkt 4, art. 267 § 3, art. 268a § 1 albo § 2 w związku z § 1, art. 269 § 1 lub 2 albo art. 269a, a także hasła komputerowe, kody dostępu lub inne dane umożliwiające nieuprawniony dostęp do informacji przechowywanych w systemie informatycznym, systemie teleinformatycznym lub sieci teleinformatycznej, podlega karze pozbawienia wolności od 3 miesięcy do lat 5.

Art. 107. 1. Kto przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do ich przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch, zgodnie z Ustawą z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. 2018 poz. 1000)).

Należy wspomnieć, że w przewodniku zabezpieczeń Windowsa 10, w ramach minimalizacji ryzyka zaleca się  aby nie można było powtórzyć ostatnich 24 haseł. Zaleca się również aby weryfikacja za pomocą hasła była wymagana przy wzbudzaniu komputera ze stanu uśpienia. Należy edukować użytkowników odnośnie zasad używania haseł. Podnoszenie świadomości wśród użytkowników odnośnie ochrony tożsamości wpływa znacząco na bezpieczeństwo całego systemu. 

Jeżeli chciałbyś się dowiedzieć więcej na temat szkolenia i stworzenia dokumentacji dot. m.in. wprowadzenia polityki haseł, stworzenia Instrukcji Zarządzania Systemem Informatycznym,  to zapraszamy do kontaktu z naszymi specjalistami pomoc@rodo-online.eu, tel. +48 885 206 000, +48 885 960 500.

Zagrożenia z sieci dla naszych danych osobowych – phishing

Dodano | przez rodo-online.eu | Leave a Comment on Zagrożenia z sieci dla naszych danych osobowych – phishing

Każdego z nas może spotkać zagrożenie dla naszych danych osobowych nadchodzące z sieci. Żadne zabezpieczenia, czy to logiczne, czy fizyczne nie uchronią nas przed codziennie to nowo pojawiającymi się pomysłami na wyłudzenie czy kradzież naszych danych osobowych, w tym naszych zdjęć, informacji o finansach itp. Przez pojęcie „naruszenia ochrony danych osobowych” należy rozumieć „naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych” (art. 4 pkt 12 RODO). 

Zagrożenia, o których chcemy wspomnieć, najczęściej określane są jako phishing. Najbardziej popularna definicja określa phishing jako metodę oszustwa, w której przestępca podszywa się pod inną osobę lub instytucję w celu wyłudzenia poufnych informacji (np. danych logowania, danych karty kredytowej), zainfekowania komputera szkodliwym oprogramowaniem czy też nakłonienia ofiary do określonych działań. 

Obecnie, skala problemu jest ogromna, a to z powodu rozwoju technologii w ostatnich czasach. W każdej chwili możemy zrobić przelew z telefonu, laptopa, tabletu, komputera stacjonarnego czy innego urządzenia, które może podłączyć się do Internetu i korzystać z przeglądarki internetowej. Programy te nie zawsze znajdują się na stronach w sieci, ale również mogą być wysłane za pośrednictwem maila w postaci załączników, o które nie podejrzewalibyśmy że są zainfekowane. Dla przykładu mogą to być większe pliki excel’a, które będą zawierać złośliwe oprogramowanie. 

Czytając tego typu wiadomości np. wysłane z kadr, od firmy kurierskiej, od szefa, firm zewnętrznych, zwróćmy uwagę, iż często nie są one agresywne w swej treści, zawierają krótką informację i często zawierają niewielki załącznik wyglądający na plik, o znanym rozszerzeniu charakterystycznym dla plików WORD, EXCEL, paczka .zip, z którymi pracujemy na co dzień.

Aby uchronić się przed atakiem typu phishing zwróćmy szczególną uwagę na wiadomości zawierające prośbę o podanie danych osobowych, finansowych, w których nadawca prosi o pilne zalogowanie się czy wypełnienie formularza. Jeśli jakaś wiadomość wzbudza Twoje podejrzenia nie klikaj w linki w niej zawarte, nie otwieraj załączników i niezwłocznie powiadom o otrzymaniu takiego maila przełożonego i osoby odpowiedzialne za bezpieczeństwo informatyczne, a następnie wykonaj wszystkie polecenia tychże osób. 

W przypadku przekierowania na stronę logowania instytucji, sklepu, systemu wyglądającą podobnie do tej z której korzystasz na co dzień, zwróć uwagę, czy adres strony lub maila jest prawidłowy, często może różnić się jedną literą lub znakiem. Podczas dokonywania zakupów po raz pierwszy w sklepie internetowym, sprawdź dane kontaktowe właściciela sklepu, poszukaj opinii na jego temat. Jeśli strona wzbudzi Twoje podejrzenia najlepiej wycofać się z zakupów w tym sklepie. Sprawdź informacje o domenie np. pod adresem: https://centralops.net/co/domaindossier.aspx

Podczas dokonywania zakupów w Internecie, upewnij się, czy przeglądarka nie wyświetla komunikatu o tym, że strona na którą wchodzisz jest podejrzana. Sprawdź, czy w adresie strony znajduje się informacja o protokole https, czy widoczna jest „kłódka”, a po kliknięciu w nią wyświetlane są informacje na temat certyfikatu. Przejrzyj historię strony internetowej np. pod adresem: https://web.archive.org/

Jeśli w tego typu bazie adres nie zostanie znaleziony, istnieje duże prawdopodobieństwo, że strona „chce wyłudzać” nasze dane. Nawet jeśli informacja przekazywana jest od osoby wyższego szczebla, a wydaje nam się nawet w najmniejszym stopniu podejrzana, uważnie musimy sprawdzać co pobieramy i czy strona, z której pobieramy pliki nie jest podejrzana. 

Pamiętać należy o zmianie haseł do kont na różnych portalach bankowych i platformach, z których korzystamy.Głównym sposobem uniknięcia phishingu jest świadomość jego istnienia, zdrowy rozsądek oraz edukacja w zakresie nowych sposób wyłudzenia danych. Wiele osób może nie zdawać sobie nawet sprawy z tego, że jest atakowana i próbuje się od niej wyłudzić informację. Pamiętajmy, że osoby które chcą wyłudzić od nas informacje potrafią zrobić wiele, szczególnie jeżeli w grę wchodzą nasze dane osobowe, które mogą posłużyć do kradzieży, podszycia, wyłudzenia.

Jeżeli chcą Państwo odbyć szkolenie podczas przeprowadzaniu audytu, w których omawiany jest też m.in. phising, proszę się do nas zgłosić: tel. +48 885 206 000 / +48 885 960 500 lub mailowo pomoc@rodo-online.eu

Brak obowiązku informacyjnego przy zgłaszaniu członków rodziny pracownika do ubezpieczenia zdrowotnego, wytyczne Urzędu Ochrony Danych Osobowych.

Dodano | przez rodo-online.eu | Leave a Comment on Brak obowiązku informacyjnego przy zgłaszaniu członków rodziny pracownika do ubezpieczenia zdrowotnego, wytyczne Urzędu Ochrony Danych Osobowych.

Ponieważ pozyskiwanie danych członków rodziny pracownika zgłaszanych przez pracodawcę do ubezpieczenia zdrowotnego odbywa się na podstawie przepisów prawa, które zapewniają odpowiednią ochronę ich praw, pracodawca może skorzystać ze zwolnienia z dopełniania wobec nich obowiązku informacyjnego.  

Przepisy ustawy z dnia 27 sierpnia 2004 r. o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych przesądzają, które osoby podlegają obowiązkowi ubezpieczenia zdrowotnego (art. 66). Stanowią też w jakich terminach obowiązek ten powstaje i jak należy go dopełnić. 

Jeżeli członkowie rodziny pracownika nie mają własnego tytułu do ubezpieczenia zdrowotnego, ma on obowiązek ich zgłosić w ciągu 7 dni od zaistnienia okoliczności, które spowodowały konieczność takiego zgłoszenia. Pracownik powinien poinformować o tym podmiot właściwy do dokonania zgłoszenia do ubezpieczenia zdrowotnego, np. pracodawcę (art. 67 ust. 3). W przypadku gdy członek rodziny zgłoszony do ubezpieczenia zdrowotnego nabył własny tytuł do ubezpieczenia lub zaistniały inne okoliczności, przez które stracił status członka rodziny – pracownik powinien w ciągu 7 dni zaistnienia tych okoliczności (art. 76) powiadomić płatnika składki, aby go wyrejestrował. 

Ubezpieczony, który nie poinformuje podmiotu właściwego do dokonania zgłoszenia do ubezpieczenia zdrowotnego o okolicznościach powodujących konieczność zgłoszenia lub wyrejestrowania członka rodziny, podlega karze grzywny (art. 193 pkt 6). Jednocześnie w celu ubezpieczenia zdrowotnego członka rodziny pracownik wypełnia i przekazuje pracodawcy-płatnikowi formularz ZUS ZCNA „Zgłoszenie danych o członkach rodziny dla celów ubezpieczenia zdrowotnego”. Został on wprowadzony przez § 1 ust. 1 pkt 2 rozporządzenia Ministra Rodziny, Pracy i Polityki Społecznej z dnia 20 grudnia 2018 r. w sprawie określenia wzorów zgłoszeń do ubezpieczeń społecznych i ubezpieczenia zdrowotnego, imiennych raportów miesięcznych i imiennych raportów miesięcznych korygujących, zgłoszeń płatnika składek, deklaracji rozliczeniowych i deklaracji rozliczeniowych korygujących, zgłoszeń danych o pracy w szczególnych warunkach lub o szczególnym charakterze, raportów informacyjnych, oświadczeń o zamiarze przekazania raportów informacyjnych oraz innych dokumentów. 

Na podstawie wskazanych przepisów można przyjąć, że w związku z pozyskiwaniem przez pracodawcę od pracownika danych członków jego rodziny niezbędnych do zgłoszenia ich do ubezpieczenia zdrowotnego, pracodawca nie będzie musiał dopełniać wobec nich obowiązku informacyjnego, o którym mowa w art. 14 RODO. 

Przetwarzanie danych członka rodziny w zgłoszeniu do ubezpieczenia jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze, czyli pracodawcy-płatniku (art. 6 ust. 1 lit. c RODO). Ponadto pozyskiwanie tych danych jest wyraźnie uregulowane prawem państwa członkowskiego, któremu podlega administrator, przewidującym odpowiednie środki chroniące prawnie uzasadnione interesy osoby, której dane dotyczą. Spełniona jest zatem wskazana w art. 14 ust. 5 lit. c ogólnego rozporządzenia o ochronie danych przesłanka uprawniająca do odstąpienia od obowiązku dopełniania obowiązku informacyjnego wobec osób, których dane są pozyskiwane w sposób inny niż bezpośrednio od nich.

Plan ciągłości działania.

Dodano | przez rodo-online.eu | Leave a Comment on Plan ciągłości działania.

Plan ciągłości działania (BCP – Business Continuity Plan), powinien zostać wprowadzony u każdego administratora, któremu zależy na ciągłości działania firmy. Pozwala sprawnie i szybko reagować na sytuacje kryzysowe (typu: katastrofa naturalna, awaria infrastruktury, cyberatak – sytuacje mające najbardziej destrukcyjny wpływ na naszą firmę).

Przy BCP trzeba wziąć pod uwagę kluczowe procesy dla firmy oraz przewidywalność możliwych zagrożeń, przy jego opracowywaniu powinno brać udział jak najwięcej osób zajmującymi się danymi procesami. Z doświadczenia zauważmy, że firmy które tego nie wprowadziły i nie aktualizują kluczowych procesów nie są świadome zagrożeń oraz ich nie kontrolują, jedynie częściowo biorą je pod uwagę przy analizie ryzyka. Prowadzi to niestety do tego, że podczas awarii serwera lub awarii prądu ciągłość pracy i działania jest zaburzona (w niektórych branżach może się to skończyć niedotrzymaniem umów na usługę, stratami obsługiwanych klientów, a nawet utratą reputacji). Często awarie dysków serwera, gdy w firmie nie są wykonywane cykliczne kopie zewnetrzne, może doprowadzić również do naruszeń danych osobowych, które w danej firmie są przetwarzane (wystąpić może brak zapewnienia ciągłości przetwarzania danych osobowych w systemach informatycznych).

Dobrze stworzony plan musi być rzetelnie przygotowany, oczywiście nigdy nie będziemy gotowi na wszystkie okoliczności w 100% ale mimo wszystko straty będą mniej dotkliwe bądź uda nam się i naszym klientom ich nie odczuć. Przy BCP musimy oceniać zatem kluczowe procesy i obszary dla naszej organizacji. Warto wprowadzić cykliczne testy pozwalające sprawdzić nasz plan ciągłości działania i procedury. Zaznaczyć należy, że nie może być to raz stworzony dokument odłożony na półkę ale musimy do niego powracać oraz aktualizować przy różnych zmianach procesów i obszarów, aby zawsze był jak najbardziej aktualny i dostosowany do warunków. W procedurze powinien być zawarty również krok po kroku plan przywrócenia lub odzyskania danych. Wtedy będzie wiadomo, kto w krytycznej sytuacji jest odpowiedzialny za zaplanowane akcje, najczęściej będzie to ASI (Administrator Systemu Informatycznego) ale równie dobrze może być to informatyk z firmy zewnętrznej (z którą mamy podpisaną umowę powierzenia na usługę IT lub usługę serwisową). Ważne żeby pracownicy, kierownicy i sam ADO wiedział, co należy zrobić aby w jak najszybszym czasie przywrócić normalne funkcjonowanie firmy.

Jeżeli zastanawiasz się nad opracowaniem i wprowadzeniem Planu ciągłości działania w swojej firmie lub chcesz zminimalizować przyszłe krytyczne ryzyko to zapraszamy do kontaktu z naszymi specjalistami pomoc@rodo-online.eu, tel. +48 885 206 000, +48 885 960 500.

Mierzenie temperatury pracowników i osób trzecich przebywających na terenie firmy.

Dodano | przez rodo-online.eu | Leave a Comment on Mierzenie temperatury pracowników i osób trzecich przebywających na terenie firmy.

Zaczął się już ósmy miesiąc pandemii COVID-19 w Polsce, niestety nie widać jeszcze jej końca.  Gospodarka działa w trybie ograniczonym z zachowaniem sanitarnego rygoru, dlatego też wielu przedsiębiorców wprowadziło lub zamierza wprowadzić środki bezpieczeństwa w postaci mierzenia temperatury pracowników oraz ewentualnie innych osób pojawiających się w zakładzie pracy (klientów, dostawców). Biorąc pod uwagę, że jednym z podstawowych objawów zakażenia koronawirusem jest gorączka, wydaje się, że mierzenie temperatury jest oczywistą metodą służącą zapewnieniu bezpiecznych warunków pracy i zapobieganiu zakażeniom.

Niestety prowadzone dotychczas regulacje prawne, wydane wytyczne i stanowiska są po prostu sprzeczne.  Stan prawnej niepewności istotnie zwiększa ryzyko prowadzenia działalności gospodarczej, jak również potencjalne zagrożenie dla ochrony praw i wolności osób, których dane dotyczą. Co więcej, wytyczne GIS wskazują, że temperatura może być mierzona pracownikom za ich zgodą, podczas gdy PUODO uważa, że zgoda nie może stanowić podstawy przetwarzania danych osobowych w tym przypadku. 

Wytyczne dla zakładów produkcyjnych, które pojawiły się jakiś czas temu na stronie GIS oraz na stronie Ministerstwa Rozwoju, jednak dość szybko zniknęły z obu miejsc publikacji. Wydaje się zatem, że nie można ich traktować jako obowiązujących, chociaż w porównaniu do pozostałych dotychczas wydanych wytycznych, przedmiotowy dokument zawierał najbardziej szczegółowe zalecenia. W szczególności zalecano wdrożenie bezdotykowego mierzenia temperatury u pracowników i gości przy wejściu do zakładu. Mierzenie temperatury miało odbywać się, w miarę możliwości, poza budynkiem zakładowym, a pracownicy, stojąc w kolejce, mieli zachować przynamniej 1,5-metrowy odstęp. W przypadku stwierdzenia podwyższonej temperatury (powyżej 38 stopni C) lub wyraźnych oznak choroby jak uporczywy kaszel, złe samopoczucie, trudności w oddychaniu, dana osoba nie mogła zostać wpuszczona na teren zakładu. 

Większość organów nadzorczych w UE nie widzi również możliwości przetwarzania tego typu danych osobowych na podstawie zgód osób, którym mają być dokonywane pomiary temperatury. Wśród podstaw prawnych mogących uzasadniać przetwarzanie danych osobowych pozyskanych w związku z pomiarem temperatury np. AEPD wskazuje potencjalnie art. 9 ust. 2 lit. b lub lit. i  RODO, jednak w powiązaniu z odpowiednimi przepisami prawa, zawierającymi należyte gwarancje ochrony praw i wolności osób, których dane dotyczą. Istotną kwestią poruszoną przez AEPD jest także konieczność określenia wymagań technicznych urządzeń, które mają być stosowane w celu dokonywania pomiarów temperatury. Polskie organy wspominają jedynie ewentualnie o bezdotykowych termometrach, nie odnosząc się wprost do tego, czy możliwe byłoby stosowanie np. kamer termowizyjnych, które aktualnie stanowią coraz popularniejsze narzędzie dokonywania pomiarów. AEPD wskazuje na potrzebę ustalenia, jakie wskaźniki urządzeń przesądzałyby o adekwatności dokonywanych pomiarów, aby do mierzenia temperatury były wykorzystywane narzędzia o odpowiednich, zatwierdzonych parametrach. Poszczególne urządzenia mogą się bowiem różnić poziomem czułości i precyzji dokonywanych pomiarów. Przyjęcie jednolitych przepisów usunie stan niepewności, jakiego doświadczają aktualnie pracodawcy, chcący z jednej strony zapewnić bezpieczne warunki pracy swoim pracownikom, klientom, gościom chroniąc ich zdrowie oraz życie, a z drugiej strony dążąc do tego, aby ich działania były zgodne z przepisami dotyczącymi ochrony danych osobowych. Jednocześnie przyjęcie takich regulacji zabezpieczy poszanowanie praw i wolności osób, wobec których środki te mają być stosowane. Aktualne rozbieżności w stanowiskach i wytycznych przedstawianych przez PUODO oraz GIS, chociażby w zakresie dopuszczalnych podstaw prawnych przetwarzania danych osobowych w postaci informacji o temperaturze ciała, pozwalają wnioskować, że zalecane aktualnie środki bezpieczeństwa mogą prowadzić do naruszenia podstawowych praw i wolności osób, których dane osobowe są przetwarzane.

Wyjściową podstawą prawną przetwarzania danych osobowych pracowników może być art. 9 ust. 2 lit. b RODO, tj. niezbędność przetwarzania do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone prawem Unii lub prawem państwa członkowskiego, lub porozumieniem zbiorowym na mocy prawa państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw podstawowych i interesów osoby, której dane dotyczą. 

Zgodnie bowiem z treścią art. 207 § 1 kodeksu pracy pracodawca ponosi odpowiedzialność za stan bezpieczeństwa i higieny pracy w zakładzie pracy. W szczególności pracodawca jest obowiązany chronić zdrowie i życie pracowników przez zapewnienie bezpiecznych i higienicznych warunków pracy przy odpowiednim wykorzystaniu osiągnięć nauki i techniki. Szczególnym obowiązkiem jest reagowanie na potrzeby w zakresie bezpieczeństwa i higieny pracy oraz dostosowywanie środków podejmowanych w celu doskonalenia istniejącego poziomu ochrony zdrowia i życia pracowników, biorąc pod uwagę zmieniające się warunki wykonywania pracy. Mając na względzie ww. regulację prawną oraz aktualną sytuację związaną z epidemią koronawirusa, należy uznać, że pracodawca powinien dążyć do minimalizacji ryzyka związanego z transmisją wirusa. Środkiem temu służącym jest mierzenie temperatury oraz zbieranie innych informacji o objawach chorobowych mogących świadczyć o zakażeniu COVID-19. 

Przywołane przepisy kodeksu pracy wymagają jednak doprecyzowania w zakresie zasad stosowania wymienionych środków, aby ich stosowanie odbywało się z poszanowaniem zasad ochrony danych osobowych. Takie przepisy prawa powinny stanowić wyraźną podstawę prawną dla przetwarzania danych osobowych przez pracodawców oraz regulować co najmniej: 

  • dopuszczalne formy mierzenia temperatury;
  • ustalenie, czy i w jakiej formie zapisy pomiarów mogą być rejestrowane;
  • próg temperatury;
  • określenie ewentualnie innych działań, jakie powinny zostać podjęte wobec pracownika w razie stwierdzenia u niego podwyższonej temperatury, dopuszczalność i zasady mierzenia temperatury innym osobom przebywającym na terenie zakładu pracy;
  • rozstrzygnięcie, czy mierzeniu temperatury mogą podlegać także klienci punktów usługowych, gastronomicznych i innych przedsiębiorstw prowadzących lokal przeznaczony do obsługi osób, a także tryb badania i konsekwencje, jakie ma pociągać za sobą wykrycie podwyższonej temperatury;
  • dopuszczalność gromadzenia od pracowników, a także innych osób przebywających na terenie zakładu pracy, danych osobowych w postaci informacji o objawach chorobowych mogących świadczyć o zakażeniu COVID-19, a także ustalenie zakresu zbierania takich danych.

Podsumowując zarówno Prezes Urzędu Ochrony Danych Osobowych jaki i Przewodnicząca Europejskiej Rady Ochrony Danych podchodzą bardzo zachowawczo do tematu przetwarzania danych osobowych w świetle obecnej pandemii. W swoich wypowiedziach powołują się na przepisy prawne wprowadzane w związku z zaistniałą sytuacją. Z tych z kolei wynika to co przedstawiono powyżej – nic jednoznacznego. Na stronie UODO (www.uodo.gov.pl) obecnie znajduje się kilka artykułów odnoszących się do COVID-19, które tematycznie związane są z przedmiotowym zagadnieniem pomiaru temperatury u pracowników i gości odwiedzających firmę. W artykule z dnia 05 maja 2020 też nie ma też jednoznacznej odpowiedzi a Prezes UODO wskazuje, że przepisy o ochronie danych osobowych nie przeciwstawiają się podejmowanym działaniom związanym z przeciwdziałaniem COVID-19. Podkreśla natomiast, że podejmowane rozwiązania przez przedsiębiorców, pracodawców i inne podmioty będą legalne, jedynie w sytuacji, jeżeli administrator będzie realizował je na podstawie przepisów prawa – zgodnie z zasadą legalności określoną w art. 5 ust. 1 RODO. W przedmiotowej sprawie podstaw prawnych należy niewątpliwie doszukiwać się w rozwiązaniach wyznaczanych przez Głównego Inspektora Sanitarnego. 

Jeżeli zastanawiają się Państwo w jaki sposób dokonywać pomiaru temperatury ciała danej osoby, w jaki sposób gromadzić dane dotyczące zdrowia to zapraszamy do kontaktu z naszymi specjalistami pomoc@rodo-online.eu, tel. +48 885 206 000, +48 885 960 500.

Źródło: Stanowisko Związku Firm Ochrony Danych Osobowych w zakresie mierzenia temperatury w celu zapobiegania rozprzestrzenianiu się COVID-19 (https://www.zfodo.org.pl/opinie/stanowisko-zfodo-w-zakresie-mierzenia-temperatury-w-celu-zapobiegania-rozprzestrzenianiu-sie-covid-19/)

Możliwości spełnienia obowiązku informacyjnego w sektorze prywatnym.

Dodano | przez rodo-online.eu | Leave a Comment on Możliwości spełnienia obowiązku informacyjnego w sektorze prywatnym.

Przy tworzeniu dokumentacji ochrony danych osobowych, nie możemy zapomnieć o warunkach informacyjnych. Od klientów otrzymujemy liczne zapytania czy i jak mają realizować ten obowiązek, a jeżeli go realizują w jakiś sposób, to czy jest poprawny. Przy realizacji tego obowiązku zastosowanie mają głównie przepisy RODO oraz wytyczne organów nadzorczych zajmujących się realizacją tego obowiązku.

Zdarza się, że nie raz najlepszym rozwiązaniem dla klientów jest warstwowe spełnianie warunku informacyjnego, głównie jeżeli jest monitorowany teren i zakład pracy. W pierwszej części powinny znaleźć się podstawowe dane dotyczące tożsamości administratora, celach i rodzajach przetwarzania oraz prawach osoby (aby osoba szybko mogła zapoznać się z najbardziej interesującymi ją informacjami). Pierwsza część może być umieszczona jako informacja najlepiej przy piktogramie monitoringu w dobrze widocznym miejscu najlepiej przed wejściem do budynku lub na bramie. 

Natomiast w kolejnej szczegółowej warstwie przedstawiamy już wszystkie wymagane pozostałe informacje, które znajdziemy w art. 13 RODO, czyli w przypadku zbierania danych bezpośrednio od osoby, której dane dotyczą. Klauzula taka może być umieszczona wewnątrz firmy na sekretariacie, czy na stronie www tak, aby łatwo było zapoznać się z całością klauzuli, ważne aby warstwa pierwsza wspominała gdzie znajdziemy pełne informacje.

Treść klauzuli informacyjnej zgodnie z art. 13 powinna być przekazywana podczas pozyskiwania danych osobowych. Jeżeli chodzi o art. 14 (wtórny obowiązek) w przypadku pozyskiwania danych w sposób inny niż od osoby, której dane dotyczą – terminy jego spełnienia wyznacza ust. 3.

Mikroprzedsiębiorcy (będący administratorami danych osobowych) zgodnie z art. 4a ustawy o prawach konsumenta Dz. U. 2020.0.287 wykonują obowiązki z art. 13 RODO, gdy zawierają umowy poza lokalem, na odległość lub w inny sposób. Spełniają ten obowiązek wywieszając w widocznym miejscu w firmie lub udostępniają na swojej stronie www wymagane informacje. Przepisu nie stosuje się, jeżeli osoba, której dane dotyczą, nie ma możliwości zapoznania się z informacjami, o których mowa w art. 13; wtedy należy rozważyć inny sposób spełnienia warunku. Nie można go zastosować również jeżeli administrator przetwarza i udostępnia innym administratorom szczególne kategorię danych, chyba, że osoba wyraziła na to zgodę lub udostępnienie jest niezbędne do wypełnienia obowiązku ciążącego na administratorze. W przypadku osób fizycznych prowadzących działalność gospodarczą mikroprzedsiębiorca samemu musi określić sposób spełnienia obowiązku informacyjnego.

ICO (Brytyjski organ nadzorczy) oraz Grupa Robocza 29 RODO, wyróżniają podobne sposoby spełnienia obowiązku informacyjnego; elektronicznie (wiadomość tekstowa, www, e-mail, aplikacje mobilne), ustnie (osobiście lub telefonicznie; w tym wcześniej nagrane informacje pozwalające odsłuchać szczegółową warstwę), pisemnie (wyjaśnienia, media drukowane, ulotki, ogłoszenia, formularze, informacje w dokumentacji umownej, schematy), za pomocą znaków graficznych, kodów QR (jeżeli informacja zamieszczana jest w przestrzeni publicznej, jeżeli wprowadzane są publiczne kampanie informacyjne w przypadku pozyskiwania danych osobowych za pomocą urządzeń inteligentnych nie zawierających ekranu, w tym urządzenia typu IoT, ostrzeżenia głosowe, filmy wideo, cyfrowe konfiguracje). 

Jeżeli zastanawiają się Państwo jak w poprawny sposób spełnić warunek informacyjny wobec Państwa klientów, pracowników, kontrahentów to zapraszamy do kontaktu z naszymi specjalistami pomoc@rodo-online.eu, tel. +48 885 206 000, +48 885 960 500.

Szkolenia w czasie Koronawirusa

Dodano | przez rodo-online.eu | Leave a Comment on Szkolenia w czasie Koronawirusa

Każdy z Państwa zapewne wie jak ważne są szkolenia pracowników, podwykonawców realizujących zadania w interesie administratora danych osobowych (ADO). W Rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), znajdziemy w kilku miejscach odniesienia dotyczące szkoleń. 

Najważniejsze odniesienie znajdziemy w art. 39, gdzie są określone zadania które powinien realizować Inspektor Ochrony Danych, znajdziemy tu informację m.in. dot. szkoleń i przeprowadzanych audytów. Jeżeli natomiast podmiot nie musi powoływać IODa, to zadania, które powinien realizować spadają na samego administratora (czyli np. właściciela firmy). Należy pamiętać, że to właśnie na nim spoczywa główny ciężar odpowiedzialności za ochronę danych osobowych. To w interesie ADO jest to aby pracownicy mieli odpowiednie kwalifikacje oraz wiedzę. Każdy powinien być przeszkolony i zapoznany ze specyfiką danej firmy, zajmowanym stanowiskiem i znać przepisy regulujące przetwarzanie danych osobowych. Pracownik powinien wiedzieć jak postąpić i zareagować np. na postępowanie w sytuacji incydentu, bądź naruszenia lub jak realizować prawa osób fizycznych. Do realizacji tych zadań nieodzowne wydają się być szkolenia, myślę, że najlepszą jakość uzyskujemy będąc na miejscu i szkoląc bezpośrednio, ale w dobie pandemii należy rozważyć sytuację, w której będzie ciężko odwiedzić klienta (żółta/czerwona strefa) i zebrać wszystkich pracowników przetwarzających dane osobowe, tym bardziej że w wielu wypadkach wykorzystuje się już pracę zdalną. 

Nieodzowną zatem pomocą IODa lub administratora jest serwis RODO Online i zakładka „Szkolenia”, gdzie mogą Państwo w szablonach ustalić czy jest to np. szkolenie dla nowo zatrudnionej osoby, czy szkolenie branżowe przy bezpośredniej obsłudze klienta, czy może szkolenie dla pracowników zarządzających reklamacjami. Ilość wprowadzonych szkoleń i ich urozmaicenie zależy tylko od wiedzy i zaangażowania IODa lub ADO (szkolenie można też przypisać tylko do danego pracownika a nawet kilku firm). Po ustaleniu szablonu możemy również załączyć i opisać wszystkie załączniki w formie PDF, z którymi powinien zapoznać się szkolący, na koniec możemy sprawdzić poziom przekazanej wiedzy i informacji, za pomocą testu, który sami generujemy tworząc pytania i podając opcje odpowiedzi. Jest to bardzo wygodne przy audytach np. rocznych gdzie aby przeszkolić pracowników można śmiało wykorzystać zakładkę „szkolenia” i być pewnym, że mamy ciągłość szkoleń pracowników zgodnie z najnowszymi wytycznymi. Naszym zdaniem jak i wielu innych specjalistów z branży ochrony danych osobowych człowiek jest najsłabszym ogniwem przy ochronie danych, w tym wprowadzonych polityk, instrukcji, procedur. Jesteśmy tylko ludźmi więc popełniamy błędy, ważne aby być świadomym jak można je minimalizować i jak pracować w taki sposób aby ochrona danych osobowych stała się normą, a nie wymuszonymi niezrozumiałymi procedurami. Forma przekazanej wiedzy nawet przez odpowiednie przygotowanie materiałów, ciekawe opisanie problemów i procedur, oraz przemyślane przygotowanie testu gwarantuje, że Państwa wiedza zostanie przekazana dla pracowników w sposób zrozumiały, bezpieczny i rozliczany.

Jeśli potrzebujesz pomocy przy realizowaniu szkoleń, to skontaktuj się z doświadczonymi specjalistami; dane kontaktowe znajdziesz na naszej stronie https://rodo-online.eu.

Czy ochroniarz może żądać okazania dokumentu potwierdzającego tożsamość ?

Dodano | przez rodo-online.eu | Leave a Comment on Czy ochroniarz może żądać okazania dokumentu potwierdzającego tożsamość ?

Kolejny artykuł, w którym staramy się odpowiedzieć na pytanie często zadawane Inspektorowi Ochrony Danych: czy ochroniarz, pracownik ochrony może żądać okazania dokumentu tożsamości (wylegitymowania). Zazwyczaj w przypadkach, gdy wpuszcza osobę trzecią czy pracownika firmy na teren chroniony biurowca czy zakładu produkcyjnego. 

Legitymowanie jest czynnością administracyjno – porządkową służącą potwierdzeniu tożsamości. Do tej czynności uprawniony jest zamknięty katalog osób i instytucji, którym takie uprawnienie nadaje np. Ustawa z dnia 22 sierpnia 1997r. o ochronie osób i mienia Dz. U. 1997 Nr 114 poz. 740, czy Ustawa z dnia 6 sierpnia 2010r. o dowodach osobistych Dz.U.2010 nr 167 poz. 1131. Każdy pracownik ochrony ma prawo do legitymowania osób. Każda osoba przebywająca na obszarze lub w obiekcie chronionym może zostać wylegitymowana. Z przepisów wynika, że pracownik ochrony nie ma prawa jej zmusić do poddania się legitymowaniu. I choć osoba odmawiająca wylegitymowania  popełnia wykroczenie (art. 36 Ustawy o ochronie osób i mienia), to pracownik ochrony nie ma możliwości jej za to ukarać. Prawda jest też taka, że (poza pewnymi wyjątkami) ludzie nie mają obowiązku posiadać przy sobie dokumentu i faktycznie bez żadnych konsekwencji mogą go po prostu nie mieć, a jeżeli nie mają go przy sobie to również go nie okażą.

Legitymowania ochroniarz czy pracownik ochrony dokonuje na podstawie:

  • dowodu osobistego;
  • tymczasowego dowodu osobistego;
  • tymczasowego zaświadczenia tożsamości;
  • dokumentu potwierdzającego tożsamość cudzoziemca;
  • paszportu;
  • innych dokumentów potwierdzających tożsamość, zaopatrzonych w fotografię i adres zamieszkania osoby legitymowanej.

Podsumowując administrator danych osobowych, wdrażając procedury związane z ochroną danych osobowych w swoim podmiocie, jest zobowiązany do stosowania się do zasad wynikających z przepisów RODO, a dokładnie – do zasady ograniczonego celu przetwarzania (art. 5 ust. 1 lit. b RODO) oraz zasady minimalizacji danych osobowych (art. 5 ust. 1 lit. c RODO). Jednocześnie podczas weryfikacji tożsamości osoby fizycznej administrator danych powinien pamiętać o konieczności spełnienia wobec niej obowiązku informacyjnego z art. 13 RODO. Przesłanką przetwarzania danych osobowych w ramach prowadzenia tzw. ewidencji wejść i wyjść może być art. 6 ust. 1 lit. f RODO, ponieważ w tym przypadku przetwarzanie danych osobowych będzie niezbędne do realizacji celów wynikających z prawnie uzasadnionych interesów administratora. Jeśli nie wiesz jak wdrożyć procedury ochrony czy warunek informacyjny, to skontaktuj się z doświadczonymi specjalistami; dane kontaktowe znajdziesz na naszej stronie https://rodo-online.eu/

Nagrywanie rozmów telefonicznych a RODO

Dodano | przez rodo-online.eu | Leave a Comment on Nagrywanie rozmów telefonicznych a RODO

RODO niewątpliwie zmieniło w jakimś stopniu nasze życie. Oczywiście, najbardziej widoczne są dla nas kolejne wyskakujące okienka na portalach informujące o wszystkich wymaganych przez rozporządzenie warunkach dot. przetwarzania danych osobowych. Nagrywanie rozmów również nie pozostało wolne od wpływu nowej rzeczywistości prawnej. Nagrywanie rozmów telefonicznych do celów zawodowych lub w związku z prowadzeniem działalności gospodarczej wymaga poinformowania o nagrywaniu, ponieważ zapis głosu osoby jest informacją o charakterze danych osobowych. Urządzenia takie jak centrale telefoniczne (również wirtualne centrale) mają funkcje nagrywania rozmów. Jeżeli firma rejestruje rozmowy poprzez tego typu urządzenia lub w inny sposób, należy o tym poinformować rozmówcę zgodnie z regulacją RODO opisaną w art. 13. 

Przykład komunikatów informacyjnych:

  • W trosce o Państwa bezpieczeństwo informujemy, że rozmowa może być nagrywana. Jeżeli nie wyrażasz na to zgody, prosimy o przerwanie połączenia.
  • Aby zapewnić najwyższe standardy obsługi nasze rozmowy są nagrywane. Jeśli nie wyrażasz na to zgody, zachęcamy do kontaktu mailowego.
  • Informujemy, że rozmowy są nagrywane. Jeśli nie zgadzasz się na rejestrowanie rozmowy, zachęcamy do kontaktu drogą mailową.

Dodatkowy przykładowy komunikat RODO:

  • W związku z Rozporządzeniem o Ochronie Danych Osobowych prosimy o zapoznanie się z Polityką Prywatności. Klauzula informacyjna znajduje się w naszej placówce oraz pod adresem /tutaj adres strony www/ w zakładce Polityka Prywatności.
  • Prosimy o zapoznanie się z treścią klauzuli informacyjnej dotyczącej przetwarzania państwa danych osobowych, która dostępna jest na naszej stronie internetowej /tutaj adres strony/, zakładka Polityka Prywatności.

Po wejściu w życie przepisów RODO prywatnie mamy prawo do nagrywania telefonicznych rozmów osobistych bez informowania o tym drugiej strony. Jednak podmioty podlegające nowej regulacji muszą powiadamiać swoich rozmówców o rejestracji, administratorze danych i celu zapisu. Naruszenie tego obowiązku grozi karą nawet do 4% rocznych przychodów. Jeśli nie wiesz czy w prawidłowy sposób realizujesz warunek informacyjny odnośnie nagrywania, to skontaktuj się z doświadczonymi specjalistami; dane kontaktowe znajdziesz na naszej stronie https://rodo-online.eu/