Blog

25sie2021
Nośniki danych trzeba szyfrować

Urząd Ochrony Danych Osobowych nałożył na Prezesa Sądu Rejonowego w Zgierzu karę w wysokości 10 tys. złotych za zgubienie przez kuratora sądowego niezaszyfrowanego pendrive'a. Organ uznał, że administrator naruszył m.in....

12kw.2021
Jak zaprojektować banner do plików cookie?

Od pewnego czasu na wielu stronach internetowych można zauważyć zmiany w wyskakujących okienkach, które służą do ustawiania plików cookie. Stosowane są różne rozwiązania, mniej lub bardziej trafne. Sytuacji nie ułatwia...

16lut2021
Zadośćuczynienie za ujawnienie danych

To prawdopodobnie pierwszy wyrok sądu cywilnego w sprawie ujawnienia danych osobowych. Właścicielka pojazdu, który uczestniczył w kolizji drogowej, zażądała od ubezpieczyciela 10 tys. złotych zadośćuczynienia z powodu ujawnienia jej danych...

11sty2021
Wysyp kar pieniężnych na koniec roku

W grudniu ubiegłego roku Urząd Ochrony Danych Osobowych wykazał się znaczną aktywnością. UODO nałożył trzy kary pieniężne, których łączna wysokość wynosi ponad 3 miliony złotych. Pierwsza z nich dotyczy spółki...

05gru2020
Microsoft 365 a produktywność pracowników

O tym, że ochrona prywatności ma praktyczne znaczenie, mogli przekonać się ostatnio użytkownicy pakietu Microsoft 365. W mediach rozgorzała bowiem dyskusja o wprowadzonym rok temu narzędziu umożliwiającym weryfikowanie produktywności pracowników...

10 sierpnia 2018
Fałszywi kontrolerzy UODO

Do Prezesa Urzędu Ochrony Danych Osobowych dotarły sygnały, że u przedsiębiorców pojawiają się osoby podające się za kontrolerów UODO. W jednym z przypadków osoby takie okazały legitymację i upoważnienie do kontroli. Dokumenty te były oczywiście fałszywe.

Prezes UODO informuje, że w najbliższym czasie będą miały miejsce kontrole i upoważnione do ich przeprowadzenia osoby będą pojawiać się w wyznaczonych do kontroli podmiotach. Ważne jest jednak zachowanie ostrożności i baczniejsze weryfikowanie tożsamości zgłaszających się osób.

Warto przypomnieć, że wzór legitymacji, którą posługują się kontrolerzy Urzędu jest określony we wciąż obowiązującym rozporządzeniu ministra spraw wewnętrznych i administracji z 22 kwietnia 2004 r. w sprawie wzorów imiennego upoważnienia i legitymacji służbowej inspektora Biura Generalnego Inspektora Ochrony Danych Osobowych.

Jednym z zabezpieczeń takiej legitymacji jest m.in. hologram. Musi on być na każdej legitymacji, którą posługują się kontrolerzy Prezesa UODO.

Ponadto Urząd co do zasady pisemnie uprzedza o planowanej kontroli. Ponadto w przypadku wątpliwości co do wiarygodności osoby, która okaże dokumenty upoważniające do kontroli, istnieje możliwość telefonicznego zweryfikowania, czy rzeczywiście jest tą, za którą się podaje i jest upoważniona przez Prezesa UODO do przeprowadzenia kontroli. W tym celu można się kontaktować pod numer 22 531 07 71.

Odbierająca go osoba może zweryfikować:

  • imię i nazwisko osoby,
  • numer legitymacji,
  • fakt wydania upoważnienia do prowadzenia kontroli w danym podmiocie.

Źródło: https://uodo.gov.pl/pl/138/465

15 lipca 2018
Umowa powierzenie przetwarzania danych – jak nie przesadzić?

Umowy powierzenia przetwarzania danych osobowych nie są tak naprawdę niczym nowym. Obowiązek ich zawierania istniał już przed rozpoczęciem obowiązywania RODO, lecz świadomość konieczności regulacji przepływu danych za pomocą umowy była o wiele mniejsza niż obecnie. Zmianą, jaką przyniosło RODO jest zakres umowy, znacznie szerszy niż dotychczas.

Zakres umowy powierzenia może stać się przyczyną problemów, przede wszystkim, gdy administrator próbuje nałożyć na podmiot przetwarzający wiele restrykcyjnych obowiązków. W ostatnich miesiącach niejednokrotnie spotykam się z umowami, których celem jest niezwykle mocne zabezpieczenie interesów administratora. Niestety obowiązki nałożone za pomocą takich umów na podmiot przetwarzający są zazwyczaj niewykonalne. Prowadzi to do długich negocjacji lub jest przyczyną odmowy zawarcia umowy.

Oczywiście zadaniem administratora jest jak najlepiej dbać o przetwarzane przez niego dane osobowe, czemu można dać wyraz w umowie powierzenia przetwarzania danych. Uważam jednak, że należy wziąć również pod uwagę interesy i możliwości organizacyjne lub techniczne podmiotu przetwarzającego. Dzięki temu podmiot przetwarzający będzie bardziej skłonny zawrzeć umowę, zaś administrator będzie miał większą pewność, że w razie potrzeby druga strona wykona nałożone na nią obowiązki.

W pierwszej kolejności należy się zastanowić, czy w ogóle istnieje potrzeba dokładnego uregulowania współpracy, w ramach której dochodzi do powierzenia przetwarzania danych osobowych? Być może wystarczy umowa zbudowana przede wszystkim w oparciu o ogólne postanowienia określone w art. 28 RODO? Jeśli natomiast potrzebujemy dokładniejszych regulacji, ustalmy, na czym najbardziej nam zależy. Pod uwagę warto wziąć również renomę kontrahenta, poziom wykonywanych przez niego usług czy dotychczasową współpracę.

Oto lista zagadnień, które moim zdaniem najczęściej prowadzą do sporów pomiędzy administratorem a podmiotem przetwarzającym w trakcie negocjacji umowy powierzenia przetwarzania danych osobowych:

  1. odpowiedzialność podmiotu przetwarzającego (stosowanie kar umownych, szeroki zakres odpowiedzialności);
  2. tryb rozwiązywania umowy w przypadku jej nieprawidłowego wykonania (rozmaite przyczyny rozwiązania, brak uwzględnienia konieczności dokończenia współpracy);
  3. audyty (wykonywanie ich w sposób naruszający organizację pracy podmiotu przetwarzającego, zakres audytu);
  4. zabezpieczenie danych (konieczność spełnienia o wiele surowszych wymagań niż przewiduje to RODO);
  5. współpraca przy realizacji żądań osób, których dane są przetwarzane (nieuwzględnianie konieczności poniesienia nakładów finansowych oraz wysiłku organizacyjnego przed podmiot przetwarzający).

Oczywiście, jeśli uda się nam zawrzeć umowę, zgodnie z którą podmiot przetwarzający weźmie na siebie szereg obowiązków, będziemy mieli problem z głowy. Jednak w przypadku, gdy najważniejsze będzie dla nas, aby kontrahent zgodził się na restrykcyjne postanowienia, może okazać się, że do podpisania umowy w ogóle nie dojdzie. Zmusi nas to albo do szukania nowego podmiotu przetwarzającego, albo do dalszej współpracy przy jednoczesnym braku umowy (jeśli wyżej będziemy cenić sam fakt współpracy niż zgodność z przepisami RODO).

01 lipca 2018
Prezes UODO przedstawia wskazówki dotyczące monitoringu wizyjnego

Brak systemowych regulacji dotyczących wykorzystania monitoringu wizyjnego rodzi w Polsce wiele problemów, w tym na gruncie przepisów o ochronie danych osobowych. Dlatego też Prezes Urzędu Ochrony Danych Osobowych przygotował specjalne wskazówki na temat monitoringu, które obecnie poddawane są konsultacjom.

Oczywiście wskazówki mogą ulec jeszcze zmianom, ale już teraz warto się z nimi zapoznać. Najciekawsze informacje, będące odpowiedziami na często zadawane pytania rozpoczynają się od strony 18.

Dokument dostępny jest tutaj.