Ponad 867 mln zł kary dla British Airways za wyciek danych


Linie lotnicze British Airways zostały ukarane rekordową administracyjna karą pieniężną w wysokości 183 milionów funtów (867,42 mln zł).  Atak na British Airways miał miejsce na przełomie sierpnia i września 2018 roku.

Sprawcy wstrzyknęli złośliwe oprogramowania JavaScript do bramki płatności na stronie internetowej i w aplikacji mobilnej przewoźnika.  Łupem przestępców padły m.in.: numery kart kredytowych wraz z kodami weryfikacyjnymi CVV/CVC, nazwiska, adresy, informacje o rezerwacji oraz planie podróży,  loginy.

Zdaniem organu nadzorczego zostały wdrożone niewystarczająco skuteczne zabezpieczenia, co skutkowało wyciekiem danych osobowych. Cyberprzestępcy podszywali się pod firmową stronę wyłudzając wówczas dane około 500 tysięcy pasażerów.

Author: weblidereu

Date: 9 lipca 2019

Zgłaszanie naruszeń przez operatorów telekomunikacyjnych


Firmy telekomunikacyjne to jedne z podmiotów, które – w przypadku stwierdzenia naruszenia ochrony danych osobowych – są zobowiązane zawiadamiać o tym Prezesa Urzędu Ochrony Danych Osobowych, a czasami również osoby, których ono dotyczy. Poniżej wyjaśniamy, kiedy i jak to robić.

W świetle przepisów:

  • unijnego ogólnego rozporządzenia o ochronie danych, czyli RODO,
  • Rozporządzenia Komisji (UE) Nr 611/2013 z dnia 24 czerwca 2013 r. w sprawie środków mających zastosowanie przy powiadamianiu o przypadkach naruszenia danych osobowych, na mocy dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady o prywatności i łączności elektronicznej, zwanego dalej też „rozporządzeniem Komisji (UE) Nr 611/2013”,
  • ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne,

dostawcy publicznie dostępnych usług telekomunikacyjnych nie tylko muszą chronić dane osobowe osób korzystających z ich usług, ale także w przypadku stwierdzenia naruszenia ochrony danych osobowych zobligowani są powiadomić o tym fakcie krajowe organy nadzorcze, w Polsce – Prezesa Urzędu Ochrony Danych Osobowych (Prezesa UODO). Dodatkowo w niektórych przypadkach konieczne jest również powiadomienie abonenta lub użytkownika końcowego, którego dane zostały naruszone.

Nadrzędnym celem każdego zgłoszenia naruszenia organowi nadzorczemu jest ochrona praw i wolności osób fizycznych. Niezmiernie ważną kwestią w tym przypadku jest czas reakcji administratora, tj. jak najszybsze powiadomienie o naruszeniu organu nadzorczego oraz – jeśli to konieczne – powiadomienie o naruszeniu osób, których dane dotyczą.

Poniżej zamieszczamy zestawienie pomocnych wskazówek dotyczących obowiązku zgłaszania naruszeń danych osobowych w sektorze telekomunikacyjnym.

Co należy rozumieć przez naruszenie danych osobowych?

Przez naruszenie danych osobowych rozumie się naruszenie bezpieczeństwa prowadzące do przypadkowego lub bezprawnego zniszczenia, utraty, zmiany, nieuprawnionego ujawnienia lub dostępu do danych osobowych przekazywanych, przechowywanych lub w inny sposób przetwarzanych w związku ze świadczeniem przez przedsiębiorcę telekomunikacyjnego publicznie dostępnych usług telekomunikacyjnych.

Kto i w jakim terminie powinien powiadomić Prezesa UODO o naruszeniu danych osobowych?

Obowiązek taki został nałożony na dostawców publicznie dostępnych usług telekomunikacyjnych. Naruszenie danych osobowych powinno być zgłoszone niezwłocznie, ale nie później niż 24 godziny po wykryciu naruszenia. Termin ten wynika z art. 2 ust. 2 rozporządzenia Komisji (UE) Nr 611/2013. Ponieważ jest on krótszy niż termin wskazany w RODO, to przedsiębiorcy telekomunikacyjni powinni dołożyć wszelkich starań, aby przesłać wymagane prawem informacje w terminie 24, a nie 72 godzin.

W jaki sposób można zawiadomić Prezesa UODO o wystąpieniu naruszenia?

Zgłoszenia naruszenia ochrony danych osobowych Prezesowi UODO dokonuje się elektronicznie za pomocą odpowiedniego formularza dostępnego na stronie internetowej urzędu pod linkiem https://uodo.gov.pl/pl/134/233. Formularz ten zawiera wszystkie wymagane informacje, o których mowa w art. 2 ust. 2 rozporządzenia Komisji (UE) Nr 611/2013.

Kiedy i w jakim celu trzeba zawiadomić o naruszeniu osoby, których dane dotyczą?

Zgodnie z rozporządzeniem Komisji (UE) Nr 611/2013, jeśli istnieje prawdopodobieństwo, że naruszenie danych osobowych wywoła niekorzystne skutki dla danych osobowych lub prywatności abonenta lub osoby fizycznej, dostawca publicznie dostępnych usług telekomunikacyjnych, oprócz powiadomienia Prezesa UODO, niezwłocznie zawiadamia o takim naruszeniu również abonenta lub użytkownika końcowego. Zawiadomienie abonenta lub osoby fizycznej następuje bez zbędnej zwłoki po wykryciu naruszenia ochrony danych osobowych przez administratora.

Co powinno zawierać zawiadomienie skierowane do abonenta?

Zgodnie z art. 3 ust. 4 rozporządzenia Komisji (UE) Nr 611/2013, w powiadomieniu skierowanym do abonenta lub osoby fizycznej dostawca zawiera takie informacje, jak:

  1. nazwa dostawcy;
  2. imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub innego punktu kontaktowego, w którym można uzyskać więcej informacji;
  3. streszczenie zdarzenia, w wyniku którego doszło do naruszenia danych osobowych;
  4. przybliżona data zdarzenia;
  5. charakter i treść danych osobowych, zgodnie z art. 3 ust. 2 rozporządzenia;
  6. prawdopodobne konsekwencje naruszenie danych osobowych dla danego abonenta lub osoby fizycznej, zgodnie z art. 3 ust. 2 rozporządzenia;
  7. okoliczności naruszenia danych osobowych, zgodnie z art. 3 ust. 2 rozporządzenia;
  8. środki wprowadzone przez dostawcę w celu zaradzenia naruszeniu ochrony danych osobowych;
  9. środki zalecane przez dostawcę w celu złagodzenia ewentualnych niekorzystnych skutków.

Kiedy nie ma obowiązku informowania osób, których dane dotyczą, o naruszeniu ochrony danych?

„Zawiadomienie abonenta lub użytkownika końcowego będącego osobą fizyczną o naruszeniu nie jest wymagane, jeżeli dostawca publicznie dostępnych usług telekomunikacyjnych wdrożył odpowiednie techniczne i organizacyjne środki ochrony, które uniemożliwiają odczytanie danych przez osoby nieuprawnione oraz zastosował je do danych, których ochrona została naruszona (na podstawie art. 174a ust. 5 Prawa telekomunikacyjnego).

Co w przypadku, gdy administrator nie zawiadomił abonenta o fakcie naruszenia danych?

Jeżeli dostawca publicznie dostępnych usług telekomunikacyjnych nie zawiadomił abonenta lub użytkownika końcowego będącego osobą fizyczną o fakcie naruszenia danych osobowych, Prezes UODO może nałożyć, w drodze decyzji, na dostawcę obowiązek przekazania abonentom lub użytkownikom końcowym będącym osobami fizycznymi takiego zawiadomienia, biorąc pod uwagę możliwe niekorzystne skutki naruszenia.

Czy dostawca usług telekomunikacyjnych musi prowadzić rejestr naruszeń danych osobowych?

Dostawca publicznie dostępnych usług telekomunikacyjnych prowadzi rejestr naruszeń danych osobowych, w tym faktów towarzyszących naruszeniom, ich skutków i podjętych działań. Rejestr ten powinien obejmować następujące elementy:

  1. opis charakteru naruszeń danych osobowych;
  2. informacje o zaleconych przez dostawcę usług środkach mających na celu złagodzenie ewentualnych niekorzystnych skutków naruszeń danych osobowych;
  3. informacje o działaniach podjętych przez dostawcę usług telekomunikacyjnych;
  4. informacje o fakcie poinformowania lub braku poinformowania abonenta o wystąpieniu naruszenia danych osobowych;
  5. opis skutków naruszenia danych osobowych;
  6. opis zaproponowanych przez „dostawcę” środków naprawczych.

Author: weblidereu

Date: 21 września 2018

Zadbaj, by twój telefon był przyjacielem, a nie szpiegiem


Podczas wakacji częściej niż zazwyczaj korzystamy z różnego rodzaju aplikacji, które mogą być nam pomocne w podróży czy uprawianiu sportu. Jeśli jednak instalując je, nie zachowamy należytej ostrożności, nasz telefon lub smartwatch z przyjaciela łatwo może stać się szpiegiem. Warto więc zwracać uwagę, m.in. na to, jakie dane zbierają aplikacje i na co się godzimy przy ich ściąganiu – przestrzega dr Edyta Bielak-Jomaa, prezes Urzędu Ochrony Danych Osobowych.

Przyłączając się jak co roku do organizowanej przez Urząd Ochrony Konkurencji i Konsumentów akcji „Przed wakacjami – co warto wiedzieć?”, prezes Urzędu Ochrony Danych Osobowych radzi jednocześnie, by podczas wakacji poświęcić czas na dokonanie przeglądu zainstalowanego oprogramowania pod kątem ochrony prywatności.

Telefon komórkowy czy smartwatch to dziś narzędzia, które oferują nam wiele użytecznych funkcji. Służą nie tylko komunikacji, ale dzięki zainstalowanym na nich aplikacjom także rozrywce, ułatwiają załatwienie codziennych spraw, poruszanie się, wspomagają aktywność fizyczną. Te z pozoru niewinne gadżety, niekiedy – czego nie zawsze jesteśmy świadomi – zbierają o nas bardzo dużo informacji, które bywają zbędne do świadczenia usługi, z której korzystamy. Tymczasem tak być nie powinno, zwłaszcza teraz, gdy do przetwarzania danych osobowych zastosowanie mają przepisy RODO, czyli unijnego ogólnego rozporządzenia o ochronie danych.

SPRAWDZAJ, CZY I JAK JEST DOPEŁNIANY OBOWIĄZEK INFORMACYJNY

Zawsze, gdy instalujemy aplikacje, do działania których niezbędne jest przetwarzanie danych osobowych, podmiot, który jest ich administratorem, powinien spełnić wobec nas obowiązek informacyjny. RODO zobowiązuje go, by dokonywał tego w sposób przejrzysty i zrozumiały, w zwięzłej formie, jasnym i prostym językiem. To bardzo ważne zwłaszcza wówczas, gdy podstawą zbierania i wykorzystywania danych jest nasza zgoda. Żeby uznać ją za prawidłową, musi być wyrażona dobrowolnie, a my musimy mieć świadomość, na co dokładnie się godzimy.

Warto pamiętać, że zgodnie z RODO powinniśmy zostać poinformowani o danych kontaktowych administratora, a także inspektora ochrony danych (o ile jest wyznaczony). Przepisy wymagają, byśmy otrzymali informacje o podstawie prawnej, na jakiej przetwarzane są nasze dane oraz o celach, dla których jest to robione czy o fakcie profilowania. Jeżeli nasze dane są przekazywane innym podmiotom, to również o tym musimy być poinformowani. Tak samo jak o ich przesyłaniu do państw trzecich. RODO zobowiązuje też do informowania o tym, jak długo dane będą w określonym przypadku przetwarzane. Administrator musi poinformować nas również o naszych uprawieniach, takich jak prawo: dostępu do danych osobowych, sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych. A jeżeli przetwarzanie odbywa się na podstawie udzielonej zgody, to również o prawie do jej cofnięcia w dowolnym momencie. Powinniśmy również otrzymać informacje o prawie wniesienia skargi do organu nadzorczego, czyli Prezesa Urzędu Ochrony Danych Osobowych.

Zatem przy ściąganiu aplikacji warto zwrócić uwagę, jak ich twórcy i dostawcy wywiązują się z tego obowiązku, jak formułują klauzule zgód i polityki prywatności.

To tym bardziej istotne, że często instalacja aplikacji jest równoznaczna z akceptacją polityki prywatności, do treści której prowadzi osobny link. Nie każdy w niego klika, a gdy już to zrobi, to widząc dużo tekstu na ekranie małego telefonu, po prostu go nie czyta. To błąd. Można bowiem nieopatrznie wyrazić zgodę na coś, na co nie chcemy się godzić.

ZWRACAJ UWAGĘ, DO JAKICH DANYCH I FUNKCJI TELEFONU CHCE MIEĆ DOSTĘP APLIKACJA

Zanim zainstalujemy w swoim telefonie jakąkolwiek nową aplikację, warto dokładnie przeanalizować, do jakich danych i funkcji naszego urządzenia chcą mieć one dostęp. Przykładowo niektóre aplikacje domagają się dostępu do: informacji o naszej lokalizacji, zdjęć, kontaktów czy dokumentów. Warto zastanowić się, jaki jest cel takiego działania i wybierać te aplikacje, które najmniej ingerują w naszą prywatność.

Czasami dostęp do pewnych danych może być niezbędny do tego, by aplikacja spełniała swoją rolę. O ile to zrozumiałe, że np. mapy chcą mieć dostęp do naszej geolokalizacji (o czym więcej w kontekśccie ochrony danych osobowych w innych naszych materiałach), o tyle dane te są zbędne w przypadku korzystania z gry czy aplikacji biurowej.

RODO duży nacisk kładzie na to, by administratorzy danych nie przetwarzali więcej danych niż jest to niezbędne dla osiągnięcia konkretnego celu (zasada minimalizacji danych). Aplikacja, z której korzystasz, nie powinna pozyskiwać więcej danych, niż te, które są niezbędne do jej prawidłowego działania.

PAMIĘTAJ, ŻE TYLKO ŚWIADOMA ZGODA JEST WAŻNA I POWINIENEŚ MÓC JĄ WYCOFAĆ W KAŻDEJ CHWILI

Za korzystanie z wielu „darmowych” aplikacji „płacimy” naszymi danymi, godząc się na ich wykorzystanie do różnych celów, najczęściej marketingowych. Na tej podstawie trafiają one niekiedy do wielu różnych podmiotów. Z tego też powodu na ekranie naszych urządzeń wyświetlają się nam spersonalizowane reklamy.

Zanim zainstalujemy aplikacje, warto więc sprawdzić, na co dokładnie się godzimy i czy swoją zgodę możemy wycofać równie łatwo, jak jej udzielaliśmy. Takie nasze prawo wynika bowiem wprost z RODO.

Co istotne, jeśli usługi społeczeństwa informacyjnego są oferowane bezpośrednio dziecku (gry, aplikacje edukacyjne, usługi streamingowe kierowane do dzieci), to do osiągnięcia przez nie 16 lat, zgodę na przetwarzanie ich danych musi wyrazić lub zaakceptować rodzic albo inna osoba sprawująca władzę rodzicielską lub opiekę nad dzieckiem. Warto podkreślić, że co do zasady RODO duży nacisk kładzie na ochronę dzieci, które nie zawsze mają świadomość swoich praw i zagrożeń związanych z prywatnością.

UWAŻAJ, BO APLIKACJE SŁUŻĄCE ROZRYWCE MOGĄ USZCZUPLIĆ TWOJE KONTO

Szczególną ostrożność warto zachować, korzystając z aplikacji służących rozrywce, jak np. gry i odtwarzacze filmów oraz muzyki. Nie zawsze, gdy gra jest darmowa, zdajemy sobie sprawę, że jej dodatkowe elementy, jak np. jej rozszerzenia, dodatkowe pojazdy w grach czy ich ulepszenia, lepsze uzbrojenie dla bohatera, są płatne. A jeśli gra jest połączona z numerem naszej karty kredytowej czy płatniczej, a my nieopatrznie z takich dodatków skorzystamy, to automatycznie obciążymy nasze konto nieplanowanymi, niechcianymi wydatkami.

Należy zwrócić uwagę, czy sklep z aplikacjami, z którego korzysta telefon, nie jest połączony z kartą płatniczą lub kredytową. Jeśli tak, wówczas należy bacznie zwracać uwagę na to, co instalujemy. Wybierając nieopatrznie płatne aplikacje, system, który je instaluje, uprzedzając nas o płatności, obciąży naszą kartę odpowiednią kwotą. Taka sytuacja często ma miejsce przy instalacji gier, których spora część jest płatna. Ponadto część z nich ma dostęp do naszej karty płatniczej połączonej ze sklepem i może wówczas ją obciążyć należnością za korzystanie z płatnych dodatków do gry. Gdy zdecydujemy się na takie zakupy, należy zwracać uwagę na warunki zakupu, w których często oferowane są opcje automatycznego odnawiania płatności, gdy wykorzystamy określony limit lub upłynie określony czas, bowiem skutkować to może systematycznym pobieraniem płatności za daną usługę bez naszej wiedzy, i to mimo iż z niej nie korzystamy.

Powinniśmy mieć też świadomość, że aplikacje służące rozrywce zbierają dane o tym, w co gramy, jakiej muzyki słuchamy czy jakie filmy oglądamy. Na tej podstawie tworzony jest nasz profil osobowy, wykorzystywany do wyświetlania spersonalizowanych reklam, mających na celu wzbudzenie w nas konkretnej potrzeby, a w efekcie zamówienie płatnych usług bądź kupno kolejnych produktów.

ZASTANÓW SIĘ, CZY INFORMACJIAMI O SWOICH OSIĄGNIĘCIACH SPORTOWYCH CHCESZ SIĘ DZIELIĆ ZE WSZYSTKIMI

Wakacje to okres wzmożonego użytkowania aplikacji sportowych. Te bardziej zaawansowane na podstawie sygnału GPS rejestrują nie tylko czas i przebytą trasę, ale są zintegrowane z zegarkami sportowymi, które mierzą tętno, wysokość, na jakiej się znajdujemy, gdzie i w jakim czasie odbywał się nasz trening. Zostały one zaprojektowane z myślą o sportowcach i mierzeniu parametrów ich treningu, osiągnięć i tego, jak ich organizm reaguje podczas wysiłku. Ponieważ stały się powszechnie dostępne, również nam pomagają w analizie naszych sportowych wyczynów i ustaleniu programów pod cele sportowe, które chcemy osiągnąć.

Jeżeli nie zmienimy ustawień domyślnych tego typu aplikacji, w wielu przypadkach inni użytkownicy mogą na bieżąco śledzić nasze poczynania i ich wyniki. Taka funkcjonalność bywa niekiedy niebezpieczna, bo zdradza, gdzie w danym momencie jesteśmy.

Warto więc zastanowić się, jak bardzo chcemy pozbawiać się swojej prywatności. Czy po zakończonym treningu, wędrówce lub spływie kajakowym, chcemy w mediach społecznościowych dzielić się informacjami o tym, gdzie i kiedy trenowaliśmy, w jakim tempie biegliśmy lub płynęliśmy i jakie mieliśmy przy tym tętno. O ile dla znajomych taka informacja jest tylko ciekawostką, o tyle dla osoby o nieprzyjaznych zamiarach, np. złodzieja – jeśli nasze posty są dostępne dla wszystkich odwiedzających – to cenna informacja np. o tym, że nie ma nas w domu.

Poza tym na podstawie tego typu informacji można ustalić, jak często bywamy na basenie bądź w klubie fitness, a także pośrednio ustalić dane na temat naszego stanu zdrowia – co np. dla firm ubezpieczeniowych może być bardzo cenną informacją.

Świadome korzystanie z takich udogodnień jest bardzo ważne. Przestrogą może być głośne w ostatnim czasie zdarzenie polegające na tym, że żołnierze, którzy w mediach społecznościowych upublicznili dane ze swoich treningów biegowych, nieopatrznie ujawnili informacje o tajnych bazach wojskowych, na terenie których ćwiczyli. Jest to sytuacja nietypowa, jednak odzwierciedlająca, jak potencjalnie istotny wpływ nie tylko na nasze bezpieczeństwo może mieć publikacja takich informacji.

Wprawdzie zgodnie z RODO, nasza prywatność powinna być domyślnie, automatycznie, chroniona w najwyższym stopniu, jednak w praktyce bywa różnie. Warto więc dokładnie zapoznać się z ustawieniami domyślnymi tego typu aplikacji, byśmy wbrew naszej woli nie udostępnili zbyt dużo informacji na swój temat.

ŚWIADOMIE KORZYSTAJ ZE SMARTWATCHA, KTÓRY MOŻE WIEDZIEĆ WIĘCEJ NIŻ TELEFON

Coraz popularniejsze stają się smartwatche, czyli zegarki, które nie tylko pokazują godzinę, datę lub mają stoper. Są niemal jak miniaturowy smartphone. Pozwalają robić zdjęcia, odbierać rozmowy telefoniczne i komunikują się przy tym z naszym telefonem. W połączeniu z nim mogą być z jednej strony atrakcyjnym gadżetem, ale i źródłem bogatej wiedzy o nas i naszej aktywności.

Podobnie jak zegarki sportowe, niektóre smartwatche mogą mierzyć nasze kroki, a także tętno i to cały czas, niezależnie od tego, czy ćwiczymy, czy pracujemy, czy odpoczywamy. W ten sposób mogą gromadzić informacje o tym, jak aktywni jesteśmy w ciągu dnia, kiedy śpimy itp.

Warto mieć na uwadze to, że rejestrowane w tych urządzeniach dane o naszej aktywności mogą być niewłaściwie przetwarzane, np. przekazywane innym podmiotom, na co wskazał norweski urząd zajmujący się ochroną konsumentów. W jednym z raportów zwrócił uwagę, ze niektórzy producenci smartwatch-y przetwarzali dane w chmurze, która znajdowała się w Chinach i nie gwarantowała odpowiedniego poziomu zabezpieczeń.

ZAREZERWUJ CZAS, BY PRZEJRZEĆ JUŻ ZAINSTALOWANE APLIKACJE

Biorąc pod uwagę, że w wakacje mamy nieco więcej czasu i nie jesteśmy tak zabiegani, jak w inne dni roku, warto przejrzeć także te aplikacje, które już zainstalowaliśmy lub są wgrane fabrycznie. Być może okaże się, że mają one dostęp do takich danych o nas, które wolimy chronić. Niekiedy może się okazać, że te dane są udostępniane wielu innym podmiotom, np. partnerom dostawcy usługi.

Poza tym często nie pamiętamy już informacji i ostrzeżeń związanych z aplikacjami, które instalowaliśmy kilka bądź kilkanaście miesięcy temu. Analiza ustawień może nam uświadomić, jak wiele danych o sobie zgodziliśmy się udostępniać, instalując aplikację lub nie modyfikując domyślnych ustawień.

Przegląd zainstalowanych aplikacji pod kątem ochrony naszej prywatności jest też o tyle istotny, że automatyczne aktualizacje wprowadzają nowe rozwiązania i nowe ustawienia, na które zazwyczaj nie zwracamy uwagi. Warto poświęcić czas, by być świadomym użytkownikiem tych rozwiązań.

NIE MOŻESZ MIEĆ PEWNOŚCI, ŻE TWÓRCA APLIKACJI ZAWSZE WŁAŚCIWIE POSTĘPUJE Z TWOIMI DANYMI

Użytkownicy telefonów komórkowych muszą mieć świadomość, że nie każda aplikacja, z której korzystają, działa zgodnie z przepisami dotyczącymi ochrony danych osobowych. Zdarzają się sytuacje, że pewne dane o nas są zbierane nadmiarowo albo producent oprogramowania ma dostęp do części zasobów naszego telefonu, o czym nas w ogóle nie informuje – choć powinien. Najczęściej takie informacje wychodzą na jaw przez przypadek. Coraz częściej media informują, że jakaś aplikacja w ukryty sposób nas szpieguje, wysyła zaszyfrowane pakiety danych itp. Warto więc śledzić medialne doniesienia, sprawdzać, czy sami u siebie nie zainstalowaliśmy takiego oprogramowania.

Author: weblidereu

Date:

Dokumentacja przetwarzania danych osobowych zgodnie z RODO


Od 25 maja 2018 r. z uwagi na wejście do stosowania nowych przepisów regulujących zagadnienia ochrony danych osobowych oraz wejście w życie nowej ustawy o ochronie danych osobowych tracą moc wcześniej obowiązujące wymagania dotyczące dokumentacji przetwarzania danych osobowych. Obecnie wszelkie wymagania w powyższym zakresie powinny być zgodne z wymaganiami określonymi w:

  1. Rozporządzeniu Parlamentu Europejskiego i Rady (UE) z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE nazywanego ogólnym Rozporządzeniem o ochronie danych osobowych (RODO);
  2. Ustawie z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. 2018 r., poz. 1000);
  3. Innych przepisach dziedzinowych krajowych, jak i Unii Europejskiej, jak np.:
  • Rozporządzenie Ministra Zdrowia z dnia 9 listopada 2015 r. w sprawie rodzajów, zakresu i wzorów dokumentacji medycznej oraz sposobu jej przetwarzania,
  • Rozporządzenie Ministra Nauki i Szkolnictwa Wyższego z dnia 16 września 2016 r. w sprawie dokumentacji przebiegu studiów,
  • Rozporządzenie Ministra Edukacji Narodowej w sprawie sposobu prowadzenia przez publiczne przedszkola, szkoły i placówki dokumentacji przebiegu nauczania, działalności wychowawczej i opiekuńczej oraz rodzajów tej dokumentacji,
  • Rozporządzenie Parlamentu Europejskiego i Rady (UE) NR 536/2014 z dnia 16 kwietnia 2014 r. w sprawie badań klinicznych produktów leczniczych stosowanych u ludzi oraz uchylenia dyrektywy 2001/20/WE,
  • Inne.

Mając powyższe na uwadze należy zauważyć, że wyżej wymienione przepisy, w tym RODO nie zawierają praktycznie żadnych wytycznych odnoszących się do sposobu prowadzenia dokumentacji przetwarzania danych osobowych, jak również jej zawartości. Nie oznacza to jednak, że po 25 maja 20018 r. administrator danych nie jest zobligowany do posiadania żadnej dokumentacji w tym zakresie. RODO nie określa formalnych wymagań dotyczących dokumentacji przetwarzania danych osobowych dając tym samym dużą swobodę w tym zakresie administratorom danych.

Brak w RODO wymagań formalnych w zakresie prowadzenia dokumentacji przetwarzania danych osobowych na wzór nieobowiązującego już rozporządzenia ministra spraw wewnętrznych i administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych (…) nie oznacza, że od 25 maja 2018 r. administrator nie jest zobowiązany do prowadzenia dokumentacji w której określone byłyby zasady i procedury dotyczące przetwarzania danych osobowych zgodnie z przyjętymi rozwiązaniami prawnymi, organizacyjnymi i technicznymi.

  1. Wymagania formalne dotyczące dokumentacji przetwarzania określone w RODO

W nowym systemie prawnym dotyczącym przetwarzania danych osobowych administrator danych w większości obszarów dowolnie może kształtować i opisywać rozwiązania dotyczące przyjętych zasad i procedur przetwarzania. Wśród obszarów, w odniesieniu do których RODO nakreślono jednak pewne wymagania formalne dotyczące zakresu dokumentowania pozostały takie zagadnienia jak:

  1. prowadzenie rejestru czynności przetwarzania i zakres rejestru kategorii czynności przetwarzania, o których mowa w art. 30 RODO;
  2. zgłaszanie naruszenie ochrony danych do organu nadzorczego (UODO) – art. 33 ust 3 RODO;
  3. prowadzenie wewnętrznej dokumentacji stanowiącej rejestr naruszeń ochrony danych, o którym mowa w art. 33 ust 5 RODO;
  4. zawartość raportu dokumentującego wyniki przeprowadzonych ocen skutków dla ochrony danych – art. 35 ust. 7.

RODO nie wymaga jednak, aby dokument zawierający wymienione wyżej, obligatoryjne elementy dokumentacji miał określona nazwę, czy strukturę. Ważne jest tylko, aby administrator danych wykazał, że wymienione wyżej rejestry, czy raporty posiadał i aby ich zawartość była zgodna z wskazanymi wyżej wymaganiami tj. wymaganiami wskazanymi odpowiednio w art. 30, art. 33 ust 3 i 5 oraz art. 35 ust 7 RODO.

Należy pamiętać jednak, że wskazane w RODO wymagania wymienione w art. 30, art. 33 ust 3 i 5 oraz art. 35 ust 7 nie są jedynymi, jakie należy uwzględnić w dokumentacji przetwarzania. Są one jedynie specyficzne pod tym względem, że wskazany jest zakres informacji, jaki w danym obszarze powinien być uwzględniony.

Decydując znaczenia dla obszaru i zakresu informacji jakie powinny być zawarte w dokumentacji przetwarzania jest wymóg wykazania przez administratora przestrzegania przepisów RODO zawarty w art. 24, którego brzmienie jest następujące:

  1. Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.
  2. Jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania, środki, o których mowa w ust. 1, obejmują wdrożenie przez administratora odpowiednich polityk ochrony danych.
  3. Stosowanie zatwierdzonych kodeksów postępowania, o których mowa wart. 40, lub zatwierdzonego mechanizmu certyfikacji, o którym mowa wart. 42, może być wykorzystane jako element dla stwierdzenia przestrzegania przez administratora ciążących na nim obowiązków.

Wymaganie zawarte art. 24 RODO stanowiące, że administrator powinien być w stanie wykazać przestrzegania przepisów RODO oznacza w praktyce, że sposób przetwarzania danych, związane z nim procedury jak i zastosowane zabezpieczenia techniczne i organizacyjne, również powinny zostać zawarte w przedmiotowej dokumentacji – jako spełnienie obowiązku wykazania, że przestrzegane są wymagania RODO.

  1. Jakie elementy powinna zawierać dokumentacja przetwarzania, aby spełniała wymagania RODO

Jak już wspomniano zatem, nieprawdą jest, jak twierdzą wprost niektórzy eksperci, że RODO znosi „uciążliwy dotąd” obowiązek prowadzenia dokumentacji przetwarzania danych tj. dokumentacji, na która składa się polityka bezpieczeństwa i instrukcja zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych.

Obecnie, w nowym systemie prawnym dotyczącym przetwarzania danych osobowych, nie wymienia się dokumentów jakie administrator powinien posiadać, aby wykazać zgodność realizowanych czynności przetwarzania, poza elementami wymienionymi w rozdziale 1. Z treści art. 24 ust 1 RODO wynika jednak, że administrator danych ma być w stanie wykazać całościowo zgodność przetwarzania danych. W praktyce oznacza to, że administrator ma obowiązek wykazać, że:

  1. stosuje się do ogólnych zasad przetwarzania określonych w art. 5 RODO,
  2. zapewnia, aby dane przetwarzane były zgodnie z prawem – art. 6 – 11 RODO,
  3. zapewnia, aby przestrzegane były prawa osób, których dane są przetwarzane – art. 12-23 RODO
  4. zapewnia wypełnianie ogólnych obowiązków w zakresie przetwarzania danych ciążących na administratorze i podmiocie przetwarzającym – art. 24 – 31 RODO,
  5. zapewnia bezpieczeństwo przetwarzania danych uwzględniając charakter zakres, kontekst i cele przetwarzania danych – art. 32- 36 RODO,
  6. zapewnia kontrolę nad przetwarzaniem danych w postaci monitorowanie przestrzegania przepisów i przyjętych procedur przetwarzania przez Inspektora Ochrony Danych lub podmioty certyfikujące, czy monitorujące przestrzeganie przyjętych kodeksów postepowania – art. 27- 43,
  7. stosuje się do wymagań w zakresie przekazywania danych do państw trzecich i instytucji międzynarodowych – art. 44 – 49 RODO.

Należy jednak zaznaczyć, że zgodnie z art. 24 oraz art. 32 RODO przy wykonywaniu wyżej wymienionych obowiązków w zakresie zapewniania zgodności należy uwzględniać stan wiedzy technicznej, koszty, charakter, zakres, kontekst, cele przetwarzania a także ryzyka na jakie są narażone przetwarzane dane.

  1. Czy dotychczas stosowana dokumentacja przetwarzania może być wykorzystana?

Obecnie prowadzona dokumentacja, na którą składają się polityka bezpieczeństwa i instrukcja zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych, z powodzeniem może być wykorzystana w celu stworzenia dokumentacji, której celem będzie wykazanie zgodności realizowanych procesów przetwarzania z wymaganiami RODO. Obowiązek wykazania przestrzegania stosowania przepisów RODO wynikający z art. 24 RODO nie określa bowiem w jaki sposób, poprzez jakie dokumenty, czy inne instrumenty zarządzania powinien być zrealizowany. Przepis art. 24 RODO stanowi jedynie, że administrator ma wykazać, że wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z RODO. Opracowana w powyższy sposób dokumentacja, powinna zatem opisywać zastosowane w powyższym celu procedury i środki techniczne.

Jeśli zatem prowadzona wg. dotychczas obowiązujących wymagań dokumentacja zawierała wymagane elementy, takie jak inwentaryzacja zasobów informacyjnych, opis przepływy danych między systemami czy specyfikacje środków organizacyjnych i technicznych zastosowanych do ochrony przetwarzanych danych, czego wymagała polityka bezpieczeństwa to w pełni można je przenieść do nowej dokumentacji.

Nie ma również przeszkód, aby do problemu nowej dokumentacji, która będzie spełniała nowe wymagania, o których mowa wyżej podejść w sposób odwrotny, t.j uzupełnić dotychczas stosowaną dokumentacje o nowe elementy wymienione w rozdziale 1 takie jak:

  1. rejestr czynności przetwarzania i zakres rejestru kategorii czynności przetwarzania, o których mowa w art. 30 RODO;
  2. procedury dotyczące zgłaszanie naruszeń ochrony danych do organu nadzorczego (UODO) – art. 33 ust 3 RODO;
  3. procedury dotyczące prowadzenia wewnętrznego rejestru naruszeń ochrony danych, o którym mowa w art. 33 ust 5 RODO;
  4. raporty dokumentujące wyniki przeprowadzonych ocen skutków dla ochrony danych – art. 35 ust. 7.
  • jeśli zgodnie z przepisami RODO są wymagane (dotyczy punktu 4).

Należy dodatkowo pamiętać, że dokumentując przyjęte procedury i wymagania dotyczące przetwarzania danych osobowych, zgodnie z art. 32 ust 1 RODO, powinniśmy mieć na uwadze, aby przyjęte rozwiązania były adekwatne do obecnego stanu wiedzy technicznej. Dotyczy to nie tylko wiedzy technicznej w zakresie dostępnych środków bezpieczeństwa, ale również wiedzy w zakresie systemów zarządzania bezpieczeństwem, do którego należą takie elementy jak standardy w zakresie zarzadzania, dokumentowania zmian, konfiguracji i innych elementów, które powinny być zawarte w dokumentacji przetwarzania.

Należy przy tym pamiętać również o innych obowiązujących wymaganiach prawnych nadal obowiązujących takich jak wymagania określone w takich przepisach jak:

  • ustawa z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (tekst jednolity Dz. U. z 2014 r. poz. 1114) oraz wydane do niej
  • rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (tekst jednolity Dz. U. z 2016 r. poz. 113), nazywanym w skrócie Rozporządzeniem KRI.

W wyżej wymienionych dokumentach, w kontekście dokumentacji przetwarzania warto zwrócić uwagę w szczególności na § 20ust. 1 KRI, który stanowi, że:

„Podmiot realizujący zadania publiczne opracowuje i ustanawia, wdraża i eksploatuje, monitoruje i przegląda oraz utrzymuje i doskonali system zarządzania bezpieczeństwem informacji zapewniający poufność, dostępność i integralność informacji z uwzględnieniem takich atrybutów, jak autentyczność, rozliczalność, niezaprzeczalność i niezawodność”.

W odniesieniu natomiast do działań jakie chcemy wykazać w kontekście wykazania dbałości o bezpieczeństwo przetwarzanych danych, warto skorzystać z zaleceń wymienionych w § 20 ust 2 rozporządzenia KRI odnoszących się do zarządzania bezpieczeństwem, które stanowi, że powinno to być zapewniane poprzez:

  1. zapewnienie aktualizacji regulacji wewnętrznych w zakresie dotyczącym zmieniającego się otoczenia;
  2. utrzymywanie aktualności inwentaryzacji sprzętu i oprogramowania służącego do przetwarzania informacji obejmującej ich rodzaj i konfigurację;
  3. przeprowadzanie okresowych analiz ryzyka utraty integralności, dostępności lub poufności informacji oraz podejmowania działań minimalizujących to ryzyko, stosownie do wyników przeprowadzonej analizy;
  4. podejmowanie działań zapewniających, że osoby zaangażowane w proces przetwarzania informacji posiadają stosowne uprawnienia i uczestniczą w tym procesie w stopniu adekwatnym do realizowanych przez nie zadań oraz obowiązków mających na celu zapewnienie bezpieczeństwa informacji;
  5. bezzwłoczna zmiana uprawnień, w przypadku zmiany zadań osób, o których mowa w pkt 4;
  6. zapewnienie szkolenia osób zaangażowanych w proces przetwarzania informacji ze szczególnym uwzględnieniem takich zagadnień, jak:
    1. zagrożenia bezpieczeństwa informacji,
    2. skutki naruszenia zasad bezpieczeństwa informacji, w tym odpowiedzialność prawna,
    3. stosowanie środków zapewniających bezpieczeństwo informacji, w tym urządzenia i oprogramowanie minimalizujące ryzyko błędów ludzkich;
  7. zapewnienie ochrony przetwarzanych informacji przed ich kradzieżą, nieuprawnionym dostępem, uszkodzeniami lub zakłóceniami, przez:
    1. monitorowanie dostępu do informacji,
    2. czynności zmierzające do wykrycia nieautoryzowanych działań związanych z przetwarzaniem informacji,
    3. zapewnienie środków uniemożliwiających nieautoryzowany dostęp na poziomie systemów operacyjnych, usług sieciowych i aplikacji;
  8. ustanowienie podstawowych zasad gwarantujących bezpieczną pracę przy przetwarzaniu mobilnym i pracy na odległość;
  9. zabezpieczenie informacji w sposób uniemożliwiający nieuprawnionemu jej ujawnienie, modyfikacje, usunięcie lub zniszczenie;
  10. zawieranie w umowach serwisowych podpisanych ze stronami trzecimi zapisów gwarantujących odpowiedni poziom bezpieczeństwa informacji;
  11. ustalenie zasad postępowania z informacjami, zapewniających minimalizację wystąpienia ryzyka kradzieży informacji i środków przetwarzania informacji, w tym urządzeń mobilnych;
  12. zapewnienie odpowiedniego poziomu bezpieczeństwa w systemach teleinformatycznych, polegającego w szczególności na:
    1. dbałości o aktualizację oprogramowania,
    2. minimalizowaniu ryzyka utraty informacji w wyniku awarii,
    3. ochronie przed błędami, utratą, nieuprawnioną modyfikacją,
    4. stosowaniu mechanizmów kryptograficznych w sposób adekwatny do zagrożeń lub wymogów przepisu prawa,
    5. zapewnieniu bezpieczeństwa plików systemowych,
    6. redukcji ryzyk wynikających z wykorzystania opublikowanych podatności technicznych systemów teleinformatycznych,
    7. niezwłocznym podejmowaniu działań po dostrzeżeniu nieujawnionych podatności systemów teleinformatycznych na możliwość naruszenia bezpieczeństwa,
    8. kontroli zgodności systemów teleinformatycznych z odpowiednimi normami i politykami bezpieczeństwa;
  13. bezzwłoczne zgłaszanie incydentów naruszenia bezpieczeństwa informacji w określony i z góry ustalony sposób, umożliwiający szybkie podjęcie działań korygujących;
  14. zapewnienie okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji, nie rzadziej niż raz na rok.
  1. Czy dokumentacja przetwarzania zgodnie z RODO powinna zawierać Instrukcje zarządzania systemami informatycznymi

RODO nie określa wprost, jak należy udokumentować organizację przetwarzania i zarządzanie bezpieczeństwem przetwarzanych danych, w tym instrukcji zarządzania systemami informatycznymi. Wymaga jednak, aby zastosowane środki bezpie­czeństwa i wszystkie podejmowane w tym zakresie działania można było wykazać. Jak stanowi art. 24 RODO, wykazując zgodność przetwarzania z obowiązującymi wymaganiami należy uwzględnić:

  1. charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.
  2. Jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania, środki, o których mowa w ust. 1, obejmują wdrożenie przez administratora odpowiednich polityk ochrony danych.
  3. Stosowanie zatwierdzonych kodeksów postępowania, o których mowa w art. 40, lub zatwierdzonego mechanizmu certyfikacji, o którym mowa w art. 42, może być wykorzystane jako element dla stwierdzenia przestrzegania przez administratora ciążących na nim obowiązków.

Ponadto obowiązek prowadzenia dokumentacji przetwarzania danych wynika pośrednio również z art. 32 RODO dotyczącego bezpieczeństwa przetwarzania, który stanowi, że: „Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku (…).”

Biorąc zaś pod uwagę fakt, że jednym z najważniejszych, powszechnie akceptowanych dokumentów prezentujących aktualny stan wiedzy technicznej w zakresie stosowania środków bezpieczeństwa i zarządzania bezpieczeństwem są m.in. normy ISO/IEC z serii 27000, w tym: norma PN-EN ISO/IEC 27001:2017 Technologia informacyjna – Techniki zabezpieczeń, oraz norma PN-EN ISO/IEC 27002:2017 Technika informatyczna – Technika bezpieczeństwa – Praktyczne zasady zabezpieczania informacji, warto zaznaczyć, że wyraźnie podkreśla się w nich fakt, że polityka bezpieczeństwa informacji powinna być: dostępna w formie udokumentowanej informacji, ogłoszona wewnątrz organizacji oraz dostępna dla zainteresowanych stron, jeśli jest to właściwe.

Jeśli chodzi o zawartość dokumentacji przetwarzania, to należy mieć na uwadze zawarte m.in. w art. 24 i 32 RODO wymaganie wskazujące, że opracowana polityka bezpieczeństwa powinna uwzględniać zakres, kontekst i cele przetwarzania oraz ryzyka naruszenia praw i wolności, w tym prawdopodobieństwo ich wystąpienia. Odwołując się w powyższym zakresie do aktualnego stanu wiedzy, można się posłużyć z kolei normą PN-EN ISO/IEC 27002:2017, która zaleca w tym zakresie uwzględnić takie elementy, jak:

  • zarządzanie aktywami (przetwarzanymi zbiorami danych),
  • kontrole dostępu (rejestrowanie i wyrejestrowywanie użytkowników, zarządzanie hasłami, użycie uprzywilejowanych programów narzędziowych),
  • środki ochrony kryptograficznej (polityka stosowania zabezpieczeń, zarządzanie kluczami),
  • bezpieczeństwo fizyczne i środowiskowe oraz bezpieczeństwo eksploatacji (zarządzanie zmianami, zarządzanie pojemnością, zapewnienie ciągłości działania, rejestrowanie zdarzeń i monitorowanie),
  • bezpieczeństwo komunikacji (zabezpieczenie, rozdzielenie sieci),
  • pozyskiwanie, rozwój i utrzymywanie systemów,
  • relacje z dostawcami (umowy, w tym umowy powierzenia przetwarzania),
  • zarządzanie incydentami związanymi z bezpieczeństwem informacji,
  • zarządzanie ciągłością działania,
  • zgodność z wymaganiami prawnymi i umownymi.

Część z wymienionych wyżej elementów zgodnie z obowiązującymi dotychczas wymaganiami powinna być zawarta w prowadzonej dotychczas instrukcji zarządzania systemami informatycznymi. Tak więc elementy te również można wykorzystać dla wykazania w nowej dokumentacji zgodności, o której mowa art. 24 RODO.

  1. O jakie elementy należy uzupełnić dotychczas prowadzoną dokumentacje przetwarzania aby spełniała wymagania RODO?

Przygotowując dokument, którego celem ma być wykazanie zgodności przetwarzania danych z wymaganiami określonymi w RODO należy podejść elastycznie wykorzystując dotychczas prowadzona dokumentację. Oznacza to, że należy zweryfikować dotychczasowe elementy występujące nie tylko w wymaganej dokumentacji na którą składała się polityka bezpieczeństwa i instrukcja zarządzania systemami informatycznymi, ale równie takie elementy jak ewidencję prowadzonych upoważnień do przetwarzania danych, czy uprawnień do poszczególnych funkcji użytkowanych systemów informatycznych.

Reasumując, nową, zgodną z RODO dokumentację przetwarzania danych osobowych, która będzie jednocześnie instrumentem wykazującym zgodność wykonywanych czynności przetwarzania z przepisami prawa, występujące w dotychczasowej dokumentacji elementy należy uzupełnić dodatkowo o takie elementy jak:

  1. rejestr czynności przetwarzania i zakres rejestru kategorii czynności przetwarzania, o których mowa w art. 30 RODO;
  2. wytyczne dotyczące klasyfikacji naruszeń i procedurę zgłaszanie naruszenie ochrony danych do organu nadzorczego (UODO) – art. 33 ust 3 RODO;
  3. procedurę na wypadek wystąpienia naruszeń mogących powodować wysokie ryzyko naruszenia praw i wolności osób, w zakresie ich informowaniu o działaniach jakie powinni wykonać, aby ryzyko to ograniczyć – art. 34 RODO
  4. procedurę prowadzenia wewnętrznej dokumentacji stanowiącej rejestr naruszeń ochrony danych, o którym mowa w art. 33 ust 5 RODO;
  5. raport z przeprowadzonej, ogólnej analizy ryzyka;
  6. raport z ocen skutków dla ochrony danych – art. 35 ust. 7. – jeśli dotyczy;
  7. procedury związane z pseudonimizacją i szyfrowaniem – jeśli dotyczy;
  8. plan ciągłości działania – art. 32 ust 1 pkt b RODO;
  9. procedury odtwarzania systemu po awarii, oraz ich testowania – art. 32 ust 1 pkt c i d RODO.

Uwaga!

Wymieniony wyżej zakres dokumentacji przetwarzania danych zgodnie z podejściem opartym na analizie ryzyka można w istotny sposób ograniczyć w przypadkach, gdzie brak jest niektórych ryzyk z uwagi na zastosowane tam rozwiązania.

Oryginalny artykuły: https://uodo.gov.pl/pl/138/273

Author: weblidereu

Date:

Ruszają pierwsze kontrole w związku z RODO. Planowe dopiero w przyszłym roku


W sierpniu UODO sprawdzi różne podmioty na podstawie skarg i zgłoszonych naruszeń. Później w konkretnych branżach. Ale w jednym i drugim przypadku już na nowych zasadach

Do tej pory Urząd Ochrony Danych Osobowych prowadził tylko postępowania sprawdzające na podstawie np. telefonicznych skarg. Teraz zaś rusza w teren i, jak się dowiedział DGP, rozpoczyna kontrole doraźne. Urząd nie może podać nazw konkretnych podmiotów i instytucji, do których zawita, ale informuje ogólnikowo, że przeprowadzi je nie tylko u wybranych przedsiębiorców, ale także w podmiotach publicznych.

– Kontrole podejmowane będą na skutek rozpatrywanych przez nas skarg oraz innych wpływających sygnałów o nieprawidłowościach. Niektóre są też reakcją na doniesienia prasowe – wyjaśnia Katarzyna Hildebrandt, dyrektor zespołu ds. sektora organów ścigania i sądów w Urzędzie Ochrony Danych Osobowych.

Ze wstępnych ustaleń wynika, że tylko w ciągu dwóch pierwszych miesięcy od rozpoczęcia stosowania RODO do prezesa UODO wpłynęło ok. 1300 skarg na niezgodne z prawem przetwarzanie danych osobowych (dla porównania w poprzednich latach składano ich ok. 3000 w skali całego roku) i 300 zgłoszeń naruszeń w samym sektorze przedsiębiorstw.

– To sporo, chociaż wydaje się nam, że obecnie składanych jest wiele zgłoszeń o niskiej skali naruszenia. Prawdopodobnie niektórzy decydują się zgłosić naruszenie zapobiegawczo, zanim jeszcze ocenią jego skalę. Zdarza się, że w ślad za zgłoszeniem pojawia się kolejna informacja, że wszystko jest w porządku, bo np. zaginiony pendrive jednak się znalazł – mówi Katarzyna Święćkowska, zastępca dyrektora zespołu ds. sektora prywatnego w Urzędzie Ochrony Danych Osobowych.

Oryginalny artykuł: http://prawo.gazetaprawna.pl/artykuly/1206291,pierwsze-kontrole-w-zwiazku-z-rodo.html

Author: weblidereu

Date:

Za niewłaściwy monitoring podwójne kary. Od PIP i UODO


Obie instytucje mają współpracować przy sprawdzaniu, czy kamery i systemy kontroli korespondencji działają w firmie zgodnie z przepisami. Jeżeli nie, to odpowiedzialność może być zarówno z kodeksu pracy, jak i z RODO.

Kwestie związane z monitoringiem w zakładzie pracy – zarówno wizyjnym, jak i poczty elektronicznej pracowników – są obecnie uregulowane w art. 22 2 oraz 22 3 kodeksu pracy(k.p.). Przepisy te z dniem 25 maja b.r. wprowadziła ustawa z 10 maja 2018 r. o ochronie danych osobowych (Dz.U. poz. 1000; dalej: u.o.d.o.), która przystosowuje polskie regulacje do przepisów RODO – unijnego rozporządzenia o ochronie danych osobowych (nr 2016/679 z 27 kwietnia 2016 r.; Dz.Urz.UE L 119 z 4 maja 2016 r.). Zatem od 25 maja – w związku z wprowadzeniem ww. przepisów do k.p. – regulacja monitoringu stała się częścią prawa pracy. Równocześnie jednak wchodzi ona w zakres przepisów o ochronie danych osobowych. Pojawia się więc pytanie, kto ma kontrolować przestrzeganie przepisów o monitoringu i w jakim zakresie. Bo jak się okazuje, uprawnienie do tego wynika zarówno z k.p., jak i u.o.d.o.

Wprost z ustawy

Naturalnym wydaje się, że kwestie związane z monitoringiem powinni kontrolować pracownicy Urzędu Ochrony Danych Osobowych (UODO) – w imieniu prezesa tego urzędu. Podstawę do tego dają art. 34, 60 i 78 u.o.d.o. Wynika z nich, że organem właściwym w sprawie ochrony danych osobowych jest prezes UODO, a także że to on przeprowadza kontrolę przestrzegania przepisów o ochronie danych oraz prowadzi postępowanie w sprawie ich naruszenia. Z drugiej jednak strony prawo do kontroli monitoringu wchodzi w zakres uprawnień Państwowej Inspekcji Pracy. Z art. 18 4 k.p. i art. 10 ustawy o PIP (z 13 kwietnia 2007 r.; t.j. Dz.U. z 2018 r. poz. 623) wynika bowiem, że to właśnie ta instytucja sprawuje nadzór i kontrolę przestrzegania prawa pracy – a więc również zamieszczonych w k.p. regulacji dotyczących monitoringu. – Zarówno prezes UODO, jak i Państwowa Inspekcja Pracy są uprawnione do prowadzenia spraw z zakresu monitoringu pracowników zgodnie ze swoimi uprawnieniami – potwierdza Agnieszka Świątek-Druś, rzecznik prasowy UODO.

Oryginalny artykuł: http://serwisy.gazetaprawna.pl/praca-i-kariera/artykuly/1162281,kay-od-pip-i-uodo-za-niewlasciwy-monitoring.html

Author: weblidereu

Date: