utworzone przez Anna Zamojcin | lis 24, 2022
Przykłady naruszeń danych osobowych
Kiedy powinniśmy zgłosić do UODO a kiedy nie naruszenie danych osobowych, które miało miejsce w naszej firmie. Czy są jakieś okoliczności łagodzące lub sytuacje w których ten sam incydent zamiast do Prezesa Urzędu Ochrony Danych Osobowych trafi tylko do naszego wewnętrznego rejestru. Poniżej znajdziesz przykłady naruszeń danych osobowych czyli kilka przykładów incydentów oraz przesłanek, które mogą być wiążące do podjęcia decyzji o zgłoszeniu naruszenia do UODO, lub odstąpienia od tej czynności. Pamiętaj, by nie stosować ich bezkrytycznie – zawsze musisz samodzielnie dokonać oceny sytuacji.
Zgubienie lub kradzież laptopa
Kradzież lub zgubienie sprzętu to częste sytuacje. Odpowiednia ocena zależy od wdrożonych zabezpieczeń a także odpowiedniej edukacji osób.
- Nie zgłaszamy, jeżeli laptop był wyłączony lub w stanie hibernacji oraz włączone było szyfrowanie wszystkich dysków znajdujących się w urządzeniu.
- Zgłaszamy, jeżeli co najmniej jeden z dysków nie był zaszyfrowany lub w sytuacji, gdy komputer był uruchomiony lub w stanie uśpienia.
Zgubienie lub kradzież dysku przenośnego lub pamięci pendrive
- Nie zgłaszamy, jeżeli dysk lub pendrive były w całości zaszyfrowane (nie tylko pojedyncze pliki)
- Zgłaszamy, jeżeli dysk lub pendrive nie były w całości zaszyfrowane lub istnieją co do tego wątpliwości.
Pozostawiony otwarty sejf lub zamykana szafa z dokumentami osobowymi pracowników
- Nie zgłaszamy, jeżeli pracownik o niedopatrzeniu się szybko zorientował i natychmiast wrócił i zamknął szafę, lub monitoring potwierdził, że nikt nie miał do niej i pomieszczenia dostępu.
- Zgłaszamy, jeżeli istnieje prawdopodobieństwo, podejrzenie lub pewność, że ktoś miał dostęp do szafy lub nawet samego pomieszczenia.
Niewłaściwie zaadresowana poczta elektroniczna
- Nie zgłaszamy, jeżeli z adresu jak i treści poczty nie wynika jednoznacznie kto jest odbiorcą (na przykład wysyłamy mail na alias pocztowy) i nie zwiera w treści żadnych danych osobowych
- Zgłaszamy, gdy prawowity odbiorca, lub inne osoby są identyfikowalne
Aktywne konta pracowników, którzy już nie są zatrudnieni
Jakakolwiek utrata kontroli nad danymi jest już sama w sobie naruszeniem. W większych firmach zdarza się, że przez niedopatrzenie odchodzącemu pracownikowi nie zostanie zablokowany dostęp do służbowego konta lub poczty.
- Nie zgłaszamy, jeżeli na podstawie logów z serwera potwierdzimy, że nikt nie miał dostępu do konta od chwili rozwiązania współpracy z pracownikiem
- Zgłaszamy, gdy istnieje prawdopodobieństwo nieuprawnionego dostępu
Podanie danych przez telefon niezweryfikowanemu rozmówcy
Wyłudzenia przez telefon nie są niczym nowym i nadal są powszechne. Ktoś dzwoniący do księgowej może podawać się za pracownika ZUS i pytać o dane osobowe pracowników. Ważne jest odpowiednie szkolenie Twojej kadry oraz stosowanie zdroworozsądkowej zasady ograniczonego zaufania.
- Nie zgłaszamy, jeżeli pracownik w porę zorientował się w zagrożeniu i oszacujemy ryzyko na podstawie udostępnionych w ten sposób danych na niskie.
- Zgłaszamy, w każdym innym przypadku.
Niepoprawne usunięcie danych z nośników elektronicznych
Nie usunęliśmy odpowiednio danych z telefonu, tabletu czy komputera pracownika przed przekazaniem sprzętu innej osobie, oddaniem do serwisu lub odsprzedażą. Pamiętaj, że samo formatowanie dysku nie wystarcza, a niektóre nośniki wymagają fizycznego zniszczenia.
- Nie zgłaszamy, gdy dane na nośniku były niekompletne lub zanonimizowane.
- Zgłaszamy w każdym innym przypadku.
Wyrzucenie dokumentów na śmietnik
O sytuacji takiej mówimy nawet wtedy, gdy pracownik wyrzuci odręczne notatki do zwykłego kosza na śmieci w biurze, nie mówiąc już o wyrzucaniu całych segregatorów na śmietnik.
- Nie zgłaszamy, gdy pracownik szybko poprawił swój błąd lub gdy mamy pewność (np. z zapisu monitoringu), że nikt nie miał do danych dostępu.
- Zgłaszamy, gdy nie ma pewności co do tego czy ktoś miał dostęp do wyrzuconych danych lub potwierdzimy taki fakt.
Zgłoszenie naruszenia
Przykłady naruszeń danych osobowych nie wyczerpują całego katalogu zdarzeń które mogą wystąpić w Twojej firmie. Postępowanie gdy wykryjesz naruszenie ochrony danych osobowych powinno być jasną spisaną procedurą czynności, które należy wykonać krok po kroku. Jeżeli zatrudniasz parę osób, pamiętaj, by przypisać kto jest za wykonanie danej czynności odpowiedzialny, oraz kto będzie podejmował decyzje. Postaraj się, aby decyzyjne zawsze były co najmniej dwie osoby, na wypadek, gdyby jedna z nich była chora lub na urlopie. Jest to o bardzo ważne. Jeżeli naruszenie będzie musiało być zgłoszone do Urzędu Ochrony Danych Osobowych, to masz na to tylko 72 godziny od momentu jego wykrycia. Przykłady naruszeń danych osobowych.
Niezależnie od tego, każdy incydent musi być odnotowany w wewnętrznym rejestrze – możesz go prowadzić na przykład w dedykowanym arkuszu kalkulacyjnym czy dokumencie tekstowym. Procedurę zgłaszania incydentu znajdziesz w pakietach dokumentacji RODO dla firm. Jeśli prowadzisz jednoosobową firmę to optymalny będzie Pakiet dokumentacji RODO dla jednoosobowej firmy, natomiast dla przedsiębiorców zatrudniających pracowników odpowiedni będzie Pakiet dokumentacji RODO dla firm zatrudniających pracowników.
Polecany artykuł: 72 godziny na zgłoszenie naruszenia
Tu mnie znajdziesz:
Dołącz do mnie na Facebooku
Nie omieszkaj wbić się na instagram
YT A tu obejrzysz porady wideo
utworzone przez Anna Zamojcin | paź 12, 2021
Służbowa Komórka i laptop a RODO
W ostatnich latach głośnym echem przez media przeszła sprawa aplikacji FaceApp pozwalającej na modyfikację wizerunku osoby ze zdjęcia. Niezwykle popularna stała się funkcja pozwalająca zobaczyć, jak osoba ze zdjęcia może wyglądać za 20-30 lat. Odezwały się głosy urzędników z Ministerstwa Cyfryzacji o niebezpieczeństwie utraty danych z telefonu, czy specjalistów od bezpieczeństwa z Niebezpiecznika o tym, jak sprzedajemy swoje dane w zamian za darmowe aplikacje.
A co jeżeli w taki sam nierozważny sposób używamy służbowego telefonu? Czy narażamy się na wyciek danych, incydent przetwarzania, kary i utratę reputacji? Zdecydowanie tak, dlatego musisz zmienić swoje przyzwyczajenia i na początek wdrożyć proste zasady używania komórki i laptopa.
Zanim zajmę się samymi aspektami korzystania ze służbowego telefonu, muszę jasno odpowiedzieć na bardzo często powtarzające się pytanie – kiedy mówimy o przetwarzaniu danych osobowych? Odpowiedź jest prosta: zawsze, chyba że mamy do czynienia z jednym z wyłączeń zdefiniowanych w RODO. Zatem bardziej słuszne jest pytanie – kiedy nie przetwarzasz danych osobowych? Nie przetwarzasz danych osobowych używając komórki prywatnej do prywatnych celów.
Prywatny sprzęt do celów służbowych
Pojęcie „służbowy telefon” czy „służbowy laptop” bardzo często pojawia się w słowniku osób zatrudnionych w korporacjach. Wiele z nich kusiło możliwością wykorzystywania sprzętu służbowego do celów prywatnych, stosując to jako zachętę do podjęcia pracy. Natomiast osoby pracujące w modelu b2b często do pracy wykorzystywały swoje urządzenia, a nie te dostarczone przez zleceniodawcę. Doprowadzało to do sytuacji w której dane prywatne były przechowywane razem z danymi służbowymi.
Łączenie funkcji telefonu służbowego i prywatnego jest wygodne, ale może być niebezpieczne z punktu widzenia RODO. Dane prywatne i służbowe zaczynają się na nim mieszać. RODO nie jest rozporządzeniem zawierającym detale techniczne, mówiące jak należy wdrażać zawarte w nim zapisy. To przedsiębiorca ma podejmować odpowiednie decyzje, uwzględniając charakter branży, zakres przetwarzanych danych czy zagrożenia. Zatem nie znajdziemy w nim pojęć urządzenia prywatnego czy służbowego. Pracodawca, który wyraził zgodę na wykorzystywanie przez pracownika prywatnych urządzeń do wykonywania obowiązków służbowych musi zastosować odpowiednie procedury, polityki i uwzględnić sytuację w analizie ryzyka.
Poniżej kilka rad, na jakie aspekty przede wszystkim zwracać uwagę i jak wdrożyć proste zasady używania komórki i laptopa u siebie i swoich pracowników.
Jak zabezpieczyć komórkę i laptopa
Na początku zadbaj o bezpieczeństwo fizyczne urządzenia i zapisanych w nim danych. Poniżej znajdziesz zasady, które musisz sobie przyswoić niezależnie od tego, czy to Twoje urządzenie prywatne, czy służbowe:
- Zabezpiecz dostęp do komputera silnym hasłem (co najmniej kilkanaście znaków w tym duże i małe litery, cyfry i znaki specjalne). Jak takie hasło stworzyć możesz przeczytać tutaj. Alternatywnie użyj managera haseł. Pamiętaj by nie stosować tego hasła nigdzie indziej.
- W urządzeniach mobilnych zastosuj również alfanumeryczne hasło. Jeżeli zdecydujesz się na kod PIN, niech będzie on co najmniej 6-cyfrowy. Zastosowanie dodatkowo biometrii, czyli odcisku palca lub rozpoznawania twarzy, także jest bezpieczne. Co do zasady musisz mieć ustawione możliwie najsilniejsze zabezpieczenie. Sprawdź jednak, jak awaryjnie się je wyłącza (np. w iPhone wystarczy 5 razy szybko kliknąć przycisk z prawej strony, którym normalnie blokujesz telefon).
- Jeżeli Twój telefon na to pozwala, włącz opcję przywracania ustawień fabrycznych po 10 nieudanych próbach logowania.
- Włącz szyfrowanie dysków, pamięć telefonu czy wymiennych kart pamięci. Na komputerach musisz je włączyć samodzielnie (BitLocker w Windows, FileVault w MacOS). Pamiętaj, że szyfrowanie nic nie da, jeżeli nadal będziesz komputer usypiać po skończonej pracy. W takim stanie klucze szyfrujące są nadal w pamięci urządzenia. Musisz je albo wyłączyć, albo hibernować.
- Telefony i tablety Apple mają domyślnie włączone szyfrowanie pamięci, tak samo nowsze urządzenia z Androidem. W starych musisz to zabezpieczenie włączyć samodzielnie. Nie zapomnij o wyjmowalnych kartach pamięci!
- W przypadku zgubienia czy kradzieży telefonu skorzystaj z dostarczonych przez producentów narzędzi pozwalających na zlokalizowanie urządzenia. Koniecznie wymuś jego wyczyszczenie i przywrócenie do ustawień fabrycznych zdalnie, gdyby tylko zguba zalogowała się do sieci GSM albo WiFi.
- W żadnym wypadku nie dawaj urządzenia do rąk nieznajomym, a już na pewno, gdy jest ono odblokowane. Odchodząc od komputera pamiętaj by go zablokować, a gdy odchodzisz na dłużej wyłączaj lub hibernuj.
Poczta, kalendarz, kontakty – zasady współdzielenia
Bardzo wygodnym rozwiązaniem jest wykorzystywanie tego samego urządzenia do obsługi prywatnej i służbowej poczty, kalendarza czy książki adresowej. Niemniej chwila nieuwagi może skończyć się incydentem, który co najmniej musisz odnotować w rejestrze incydentów. Wystarczy, że wyślesz e-mail z prywatnej skrzynki zamiast służbowej, lub zapiszesz dane kontaktowe w złej książce adresowej. Dlatego wprowadź proste i czytelne zasady oddzielania danych prywatnych i służbowych.
Aby uniknąć takich sytuacji, postaraj się korzystać z oddzielnych aplikacji do czynności prywatnych i służbowych. Tak robię ja. Do poczty prywatnej na telefonie czy laptopie wykorzystuję Apple Mail, czyli wbudowaną aplikację w MacOS czy iOS. Do służbowej zaś, ponieważ korzystam z pakietu Office365, mam na urządzeniach zainstalowanego klienta Microsoft Outlook. Ty możesz zainstalować dowolną inną aplikację pocztową do swojej skrzynki. W przypadku kalendarza przyjęłam zasadę, że korzystam tylko z usługi z Office365 zarówno do celów prywatnych, jak i służbowych, ewentualnie zapisuje wydarzenia bezpośrednio w wewnętrznym kalendarzu telefonu.
Prywatne spotkania i tak wpływają na wydarzenia służbowe, a dzięki temu nie ryzykuję zapisania służbowego spotkania z danymi klienta w prywatnym kalendarzu. Pilnuję jednak, żeby raczej nie wpisywać danych osobowych w prywatne spotkania. W przypadku, gdy zatrudniasz osoby możesz w regulaminie zakazać takiego współdzielenia kalendarza. Stwórz regulamin który będzie zawierać spisane wszystkie zasady korzystania z urządzeń w firmie. Służbowa komórka i laptop a rodo
Uprawnienia aplikacji na telefonie
Jest takie powiedzenie, że jednym z dwóch największych kłamstw Internetu jest stwierdzenie „przeczytałem i akceptuję warunki użytkowania„. Niestety prawda jest taka, że niewiele osób zawraca sobie głowę przeczytaniem polityki prywatności. Często nie jest ona napisana najprostszym językiem, mimo że RODO to narzuca. Prowadzi to do sytuacji, że powierzamy nasze dane, często bardzo osobiste, firmom trzecim i tracimy w ten sposób nad nimi kontrolę, a także naszą prywatność.
Jako społeczeństwo mamy nawyk dość lekkomyślnego zgadzania się na dostęp do zgromadzonych na urządzeniu danych o nas i osobach trzecich. Udostępniamy je aplikacji i jej twórcom bez świadomości co się z nimi będzie działo. Jest to ignorancja która powoduje, że nie zapala nam się w głowie żółta ostrzegawcza lampka, gdy aplikacja kalkulatora prosi o dostęp do książki adresowej czy zdjęć. A powinna, bo przecież po co kalkulatorowi dostęp do tych danych?
Warto zachować czujność, gdy nowo zainstalowana na telefonie aplikacja prosi o dostęp do poczty, książki adresowej, kalendarza, zdjęć lub plików. Niebezpieczna może być też zgoda na monitorowanie wykonywanych na telefonie czynności. Aplikacje bankowe czy pozwalające na zamówienie przewozu często proszą o dostęp do książki adresowej, aby ułatwić przelewy czy wybór miejsca docelowego podróży. Zadaj sobie pytanie czy na pewno tego potrzebujesz. Ja rekomenduję, aby takiej zgody nie udzielać, jeżeli jednak chcesz z tych funkcjonalności korzystać, zadbaj o dopełnienie wszystkich wymogów formalnych, które stawia RODO.
Zarówno w życiu prywatnym, jak i w pracy zawodowej, trzeba z wyprzedzeniem myśleć i rozumieć jak działają aplikacje czy strony, którym przekazujemy jakieś dane. Zwracaj uwagę na to, czy masz uzasadniony cel, w którym je przekazujesz i podpisaną umowę powierzenia. Jeżeli aplikacja prosi o dostęp do zasobów pomyśl, czy na pewno jest to konieczne. W szczególności odmawiaj takiego dostępu, gdy wykorzystujesz ją do celów prywatnych. Łatwo w ten sposób możesz udostępnić dane osobowe klientów czy partnerów biznesowych.
Znane jest powiedzenie „lepiej zapobiegać niż leczyć„. Pasuje ono także do ochrony danych osobowych i samego ich przetwarzania. Lepiej zmienić swoje nawyki i nauczyć się nowych bezpiecznych zachowań, niż usuwać skutki incydentu. Wyciek danych może uszczuplić nie tylko Twój portfel, ale co ważniejsze nadszarpnąć reputację. Karę może nałożyć UODO, zadośćuczynienia domagać może się sam poszkodowany. Dlatego przede wszystkim przejrzyj swój telefon oraz laptop i cofnij uprawnienia aplikacjom, które nie są Ci niezbędne. Z części z nich po prostu zrezygnuj. Możesz też zakupić oddzielne urządzenia i całkowicie odseparować swoje sprawy zawodowe od prywatnych.
Potrzebujesz pomocy w sprawach bezpieczeństwa danych osobowych? Napisz do mnie. Chętnie pomogę Tobie, i Twojej firmie w dostosowaniu do wymogów i przepisów RODO
Jeśli prowadzisz firmę jednoosobową i nie posiadasz jeszcze systemy ochrony danych to tu znajdziesz gotowy pakiet dokumentacji RODO dla jednoosobowej działalności która pozwoli Ci bez wysiłku wdrożyć RODO w Twojej firmie.
Natomiast jeśli zatrudniasz pracowników to odpowiedni będzie dla Ciebie pakiet RODO dla pracodawców w którym znajdziesz dokumentację niezbędną do zachowania zgodności z rozporządzeniem o ochronie danych osobowych.
Tu mnie znajdziesz:
Dołącz do mnie na Facebooku
Nie omieszkaj wbić się na instagram
YT A tu obejrzysz porady wideo
utworzone przez Anna Zamojcin | lip 29, 2021
Co to jest minimalizacja danych
Czy jako przedsiębiorca nie zbierasz zbyt dużo danych od swoich pracowników, klientów, kontrahentów? Czasami wydaje nam się, że jeśli zbierzemy więcej danych to nam się do czegoś przydadzą, jeśli nie od razu to może później. Że dzięki temu nasza wiedza na temat np. Klienta będzie większą i będziemy mogli „lepiej” zrealizować zamówienie, lub zrozumieć potrzeby. Ale czy na pewno takie podejście jest właściwe? Czy nie łamiemy w ten sposób praw osób od których pobieramy dane i czy postępujemy zgodnie z zasadą minimalizacji danych?
Minimalizacja danych jest to jedna z zasad, co do których możliwe są najszersze interpretacje, a która też potencjalnie może na przedsiębiorców ściągnąć bolesne konsekwencje finansowe w przypadku stwierdzenia naruszenia. Minimalizacja jest dokładnie w RODO zdefiniowana, dokładny zapis tego punktu brzmi:
Dane osobowe muszą być: c) adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”);
RODO, Artykuł 5, punkt 1, lit.c)
W praktyce dla każdego administratora danych osobowych oznacza to tyle, że nie może on gromadzić więcej danych osobowych, niż jest to niezbędne do wykonania danej czynności. Określenie tego zbioru minimalnych danych może stanowić problem lub pole do interpretacji. Ważne jest, aby decyzja była podjęta przez przedsiębiorcę świadomie. Dlatego należy ją poprzedzić analizą tego, jakie czynności w przedsiębiorstwie się wykonuje i jakie dane osobowe są do nich niezbędne.
Przyjrzyjmy się trzem sytuacjom, gdzie minimalizacja zbieranych danych ma znaczenie.
Lista mailowa – zbieramy tylko adres e-mail?
Newsletter, czyli lista mailowa, to jedna z najstarszych i najpopularniejszych metod stałego kontaktu z czytelnikiem i promocji swoich produktów i usług. Teraz zadajmy sobie pytanie, jakie dane osobowe są nam potrzebne, aby zapisać kogoś na newsletter.
Odpowiedź wydaje się oczywista – adres e-mail. Co do tego nie ma żadnych wątpliwości. Jednak na wielu stronach prosi się nie tylko o podanie adresu e-mail, lecz także imienia i nazwiska.
Takie podejście nie jest niezgodne z RODO, jeżeli spełnione są dwa warunki:
- Jasno informujemy klienta, w jakim celu chcemy pobrać dane
- Pozwalamy, w przypadku danych, które nie są niezbędne, na dobrowolność ich podania
Nie zawsze jest tak, że zapisując do listy mailowej sam adres e-mail będzie tym minimalnym zbiorem danych. Załóżmy, że prowadzisz sklep internetowy, który działa na terenie całej Polski, lecz oferta asortymentu jest zależna od województwa, w którym znajduje się zamawiający. Także Twoje newslettery są tworzone z myślą o odbiorcach w danym regionie. W takim wypadku proszenie czytelnika o podanie województwa zamieszkania jest uzasadnione do realizacji celu, dla którego zbierasz dane. Minimalizacja danych w tym wypadku obejmuje już dwie cechy, a nie jedną. O tym jak poprawnie zapisywać na newsletter piszę w artykule „Newsletter z godny z RODO”.
Zakup i dostawa produktu – ile danych potrzebujesz do realizacji zamówienia
Jeżeli prowadzisz sklep internetowy, to musisz od kupującego zebrać pewien zestaw danych osobowych, aby zrealizować transakcję, zgodnie z prawem ją zaksięgować oraz dostarczyć zakupiony produkt. Zatem do zebrania pewnych informacji przedsiębiorca jest zobligowany przepisami prawa. Przykładowo, dane, które musimy umieścić na fakturze, określa art. 106e ust. 1 Ustawy o podatku od towarów i usług. Jeżeli fakturę wystawiamy osobie prywatnej, czy prowadzącej jednoosobową działalność gospodarczą, to bez wątpienia przetwarzamy jej dane osobowe.
Nieco inaczej sytuacja wygląda, jeżeli chodzi o przetwarzanie danych celem dostarczenia towaru. Sprzedający zazwyczaj wymaga podania tych samych danych co do wystawienia faktury (poza numerem NIP), do tego danych kontaktowych – adresu e-mail oraz numeru telefonu. Nie ma wątpliwości, że podanie tych danych jest niezbędne, aby dostarczyć przesyłkę do zamawiającego oraz informować o statusie dostawy lub umożliwić kurierowi kontakt odbiorcą.
A jeżeli pozwalasz na osobisty odbiór zamówienia? W takim przypadku żądanie podania danych adresowych czy kontaktowych należałoby uznać za złamanie zasady minimalizacji. Skoro pozwalasz na odbiór osobisty to jedyne dane, jakie potrzebujesz to imię i nazwisko zamawiającego celem ewentualnego potwierdzenia tożsamości odbierającego. Dane adresowe nie są Ci do tego potrzebne, gdyż one i tak nie znajdują się na dokumentach tożsamości. Z podobną sytuacją mamy do czynienia, gdy klient zamawia dostawę do paczkomatu. Czołowy operator, firma InPost, wymaga jedynie podania adresu e-mail i numeru telefonu odbiorcy (co też budzi pewne wątpliwości, jeżeli chodzi o zasadę minimalizacji) oraz wskazanie paczkomatu, zatem przetwarzanie przez Ciebie większej ilości danych celem wykonania dostawy jest bezzasadne.
Jeżeli dopiero otwierasz sklep internetowy to zwróć uwagę, aby jego system był zgodny z zasadą minimalizacji. W sytuacji, gdy Twój sklep już działa, zapytaj się jego operatora o możliwości jego dostosowania. Zapoznaj się z dokumentacją dla sklepu internetowego w pełni dostosowaną do obowiązujących przepisów prawa.
Minimalizacja danych w umowach – czy pobrać numer dowodu?
Prowadząc własną firmę, nie unikniesz podpisywania różnych umów. Mogą być to umowy z klientami, dostawcami czy podwykonawcami. Zarówno z osobami fizycznymi, jak i prawnymi. Na każdej umowie musisz zawrzeć jasne informacje jednoznacznie identyfikujące strony umowy. W przypadku firmy będzie to numer NIP czy numer wpisu do KRS. Osoby prowadzące jednoosobową działalność gospodarczą możemy ustalić na podstawie numeru NIP lub REGON. A jak postąpić, gdy mamy do czynienia z osobą fizyczną?
W Polsce nadal istnieje błędne przekonanie, że do zawarcia umowy z drugą osobą trzeba od niej zebrać dużo informacji. Dlatego na wielu umowach pojawiają się taki pola jak imię, nazwisko, adres zameldowania, miejsce zamieszkania, imiona rodziców, numer PESEL, data urodzenia, numer dowodu wraz z datą jego ważności i inne. Widziałem również umowy, w których wymagane było podanie danych z dwóch dokumentów tożsamości. Wszystkie te umowy nie są zgodne z RODO.
Do identyfikacji osoby fizycznej wystarczą trzy informacje – jej imię, nazwisko oraz numer PESEL. Zamiast numeru PESEL można wpisać numer dowodu osobistego lub paszportu. Z praktycznego punktu widzenia PESEL jest jednak wygodniejszy, gdyż w przeciwieństwie do numerów dokumentów się nie zmienia. Jednak pamiętaj, że zbieranie jednocześnie numeru PESEL i numeru dokumentu tożsamości najprawdopodobniej zostanie uznane za złamanie reguły minimalizacji, gdyż wystarczająca jest tylko jedna z nich. W żadnym wypadku nie wolno Ci także w żaden sposób przetwarzać kopii dowodu czy paszportu. Taki skan zwierać będzie nie tylko te trzy wymagane do identyfikacji dane, ale znacznie więcej informacji, w tym dane biometryczne w postaci zdjęcia.
Jeśli prowadzisz firmę jednoosobową i nie posiadasz jeszcze systemy ochrony danych to tu znajdziesz gotowy pakiet dokumentacji RODO dla jednoosobowej działalności która pozwoli Ci bez wysiłku wdrożyć RODO w Twojej firmie.
Natomiast jeśli zatrudniasz pracowników to odpowiedni będzie dla Ciebie pakiet RODO dla pracodawców w którym znajdziesz dokumentację niezbędną do zachowania zgodności z rozporządzeniem o ochronie danych osobowych.
Tu mnie znajdziesz:
Dołącz do mnie na Facebooku
Nie omieszkaj wbić się na instagram
YT A tu obejrzysz porady wideo
utworzone przez Anna Zamojcin | cze 16, 2021
Wysłanie maila do złego adresata
to dość powszechna pomyłka. Każdemu się zdarzyła pewnie nie raz, także i mnie. Czasem błąd polega na wybraniu złego odbiorcy z książki adresowej, innym razem na literówce we wpisywanym ręcznie adresie odbiorcy. Serwer pocztowy odbiorcy może zwrócić wiadomość z komunikatem „odbiorca o danym adresie nie istnieje”. Wtedy spada kamień z serca, bo Twój e-mail nie został do nikogo doręczony. Gdy odbiorca jednak istnieje wtedy masz do czynienie z incydentem związanym z przetwarzaniem danych. Czy oznacza to kłopoty?
Mail wewnętrzny i zewnętrzny
Pomyłka w adresie odbiorcy może dotyczyć zarówno wiadomości wysyłanych wewnątrz firmy jak i poza nią. Zazwyczaj, gdy myślimy o tego typu incydentach, mamy na myśli e-maile, które wysyłasz poza swoją organizację. Jednak także maile będące częścią komunikacji wewnętrznej mogą stanowić naruszenie. Pamiętaj, że jest nim każde ujawnienie danych osobowych osobom nieupoważnionym, niezależnie od miejsca ich przebywania czy pracy. Dlatego wysłanie maila do złego odbiorcy także wewnątrz organizacji może być zaklasyfikowane jako incydent. Jako administrator powinieneś uczulić na to swoich pracowników.
Takie naruszenie przetwarzania danych osobowych może nastąpić w każdej firmie niezależnie od jej wielkości. W dużych korporacjach jeżeli wyślesz e-mail z danymi kontrahenta czy listą osób zapisanych do newslettera do osoby z niewłaściwego pionu czy działu będzie to naruszenie. Programista, który jest odbiorcą tej wiadomości nie miał prawa poznać tych danych. Upoważnienie do ich przetwarzania w ramach tych czynności mają odpowiednio pracownicy działu zamówień i marketingu. W małych firmach naruszeniem może być wysłanie danych osobowych umieszczonych na CV kandydata do pracy do złego pracownika. Zatem pamiętaj, że także pomyłki w wewnętrznej korespondencji stanowią naruszenie.
Czy wysłanie maila do złego adresata to naruszenie danych osobowych?
Gdy już stwierdzisz, że wystąpił incydent związany z przetwarzaniem danych osobowych to musisz podjąć decyzję o dalszym postępowaniu. Tu nie masz dużego wyboru, konkretne obowiązki nakłada na Ciebie wprost RODO. Każdą taką sytuację musisz odnotować w rejestrze naruszeń który znajdziesz się w pakiecie RODO dla firm jednoosobowych oraz Pakiecie RODO dla firm zatrudniających pracowników. Jest to jeden z dokumentów, które każde przedsiębiorstwo musi prowadzić. Reguluje to artykuł 33 w punkcie 5.
Administrator dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze. Dokumentacja ta musi pozwolić organowi nadzorczemu weryfikowanie przestrzegania niniejszego artykułu.
Artykuł 33, punkt 5
Ponadto incydent musisz zgłosić do organu nadzorczego, czyli Urzędu Ochrony Danych Osobowych, chyba że jest mało prawdopodobne, by incydent skutkował ryzykiem naruszenia praw lub wolności osób fizycznych. Jeżeli żadna z tych przesłanek nie jest spełniona masz 72 godziny na poinformowanie UODO. Wtedy też bez zbędnej zwłoki, zgodnie z zapisami artykułu 34 RODO, musisz poinformować o tym zdarzeniu osobę poszkodowaną, której dane zostały ujawnione. Samo odnotowanie w rejestrze naruszeń nie wystarczy.
Pamiętaj, jeśli w treści wysłanej wiadomości e-mali lub w załączniku do tej wiadomości, umieszczone były dane osobowe, które mogłyby być wykorzystane przez nieuprawnioną osobę i spowodować jej szkodę, to należy taki zdarzenie zakwalifikować jako incydent naruszenia bezpieczeństwa i jak najszybciej podjąć kolejne kroki. Kolejna ważna rzecz – jeśli wsród wysłanych danych znalazły się te wymienione w art. 9 RODO, czyli w mailu znajdują się dane wrażliwe typu pochodzenie etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych lub dane genetyczne, dotyczące zdrowia lub życia seksualnego, to należy automatycznie uznać, że występuje duże prawdopodobieństwo wystąpienia takiej szkody.
O tym czy wysłanie maila do złego odbiorcy zostanie zaklasyfikowane jako incydent decyduje administrator. Tak samo jest to jego decyzja czy należy powiadomić o zdarzeniu organ nadzorczy i osoby, których dane ujawniono. Jako właściciel przedsiębiorstwa musisz ją podjąć po dokonaniu odpowiedniej oceny zdarzenia. Niektóre sytuacje, jak ujawnienie danych z dowodu osobistego, na pewno będą wymagały takiego zgłoszenia i powiadomienia poszkodowanych. Inne mogą wymagać jedynie dokonania wpisu w rejestrze incydentów. Sprawdź artykuł „72 godziny na zgłoszenie naruszenia” w którym znajdziesz kilka pomocnych przykładów. Zawiera on także rekomendacje, w jaki sposób przedsiębiorca może się przygotować na wystąpienie incydentu. Dowiesz się z niego w jaki sposób przygotujesz swoją firmę na wypadek wystąpienia naruszenia.
Tu mnie znajdziesz:
Dołącz do mnie na Facebooku
Nie omieszkaj wbić się na instagram
YT A tu obejrzysz porady wideo
utworzone przez Anna Zamojcin | gru 4, 2020
Incydent w SGGW – studium przypadku
Musimy mieć świadomość, że do naruszeń dochodzi codziennie, a dane osobowe każdego Polaka gdzieś już zapewne wyciekły. W tym artykule omówimy sobie incydent, który miał miejsce w 2019 r. i w konsekwencji którego w sierpniu 2020 r. PUODO nałożył karę administracyjną w wysokości 50 tys zł. Incydent ten mógłby przejść bez większego echa, gdyby nie dwa czynniki – dotyczył on jednej z największych uczelni w Polsce, i po drugie – popełniono tu wszystkie możliwe podstawowe błędy związane z ochrona danych osobowych. A zaczęło się od prozaicznego zdarzenia jakim była kradzież prywatnego laptopa jednego z pracowników SGGW.
Kradzież urządzenia zawierającego dane osobowe
Kradzież służbowego lub prywatnego komputera, tabletu czy telefonu nie jest zdarzeniem niecodziennym. Może być wynikiem włamania, rozboju czy zwykłej niefrasobliwości, gdy nie będziemy zwracać uwagi na nasze rzeczy lub przez nieuwagę gdzieś je zostawimy. Takie rzeczy się zdarzają i będą zdarzać, dlatego przed skutkami kradzieży urządzenia musimy się zabezpieczać w inny sposób. A dane osobowe to prawdopodobnie nie są jedyne cenne dla Twojej firmy dane, które na takim laptopie mogą się znajdować.
Z komunikatu umieszczonego na stronach uczelni dowiadujemy się, że zbiór danych, które były przetwarzane na laptopie pracownika SGGW był bardzo obszerny.
Na dysku komputera znajdowały się dane osobowe kandydatów obejmujące m.in.: dane identyfikacyjne – imię, drugie imię, nazwisko, nazwisko rodowe, imiona rodziców, pesel, płeć, narodowość, obywatelstwo, adres zamieszkania, seria i numer dowodu/paszportu, seria i numer dowodu osobistego, ukończona szkoła średnia, miejscowość szkoły średniej, nr telefonu komórkowego i stacjonarnego, rok ukończenia szkoły średniej, numer i data świadectwa ukończenia szkoły średniej, organ wydający świadectwo, rok matury i data świadectwa maturalnego, organ wydający świadectwo maturalne, wyniki uzyskane na egzaminie maturalnym, ukończone studia, ukończona uczelnia, ukończony kierunek studiów, ocena na dyplomie, średnia ze studiów, kierunek studiów o który kandydat się ubiega, dane szkoły średniej, informacja o zakwalifikowaniu na studia, punkty kwalifikacyjne kandydata, zbieżność kierunku studiów ukończonego z tym o który się kandydat ubiega.
Uczelnia, po stwierdzeniu naruszenia postępowała zgodnie z nałożonym na nią obowiązkiem wynikającym z artykułu 34 RODO. Poinformowała ona o tym fakcie potencjalnie poszkodowane osoby. Jednak my postarajmy się z jej błędów wyciągnąć odpowiednie wnioski.
Niezaszyfrowany nośnik danych osobowych
Choć informacji tej nie ma w komunikacie, to wszystko wskazuje na to, że dysk twardy w skradzionym komputerze nie był zaszyfrowany. Jest też możliwość, że laptop pracownika SGGW w chwili kradzieży był włączony lub tylko uśpiony. Jest to jednak mniej prawdopodobne. Gdyby dane zapisane na dysku były zaszyfrowane, najprawdopodobniej nie byłoby konieczności informowania o tym i zgłaszania incydentu do UODO. Pisałam o tym szerzej w artykule „Naruszenie ochrony danych – nie panikuj, tylko się przygotuj„. Jeżeli pamięć dowolnego urządzenia byłaby zaszyfrowana, a samo urządzenie wyłączone lub w stanie hibernacji, to dane byłyby bezpieczne i niemożliwe do odczytania przez złodzieja.
Najlepiej, aby szyfrowanie dysków było włączone na każdym urządzeniu, za pomocą którego pracownik ma dostęp do danych firmowych. Tę dobrą praktykę należy stosować zawsze. Postępuj tak, gdy za pomocą urządzenia uzyskuje on dostęp do danych osobowych. Nie zapominaj o innych cennych dla Twojej firmy dokumentów a nawet poczcie elektronicznej. Dostęp do nich także powinien obywać się z urządzenia z włączonym szyfrowaniem. Nie zapomnij także, aby szyfrować wszelkie dyski zewnętrzne czy pamięci typu pendrive.
Brak kontroli i monitoringu dostępu do plików
Tak poważnego incydentu można byłoby uniknąć także poprzez odpowiednią kontrolę i rejestrację dostępu do plików, w których zapisane były dane osobowe. Nie traktuj jednak tego mechanizmu jako alternatywę dla szyfrowania, gdyż ma ono swoje ograniczenia.
Kontrola i monitoring dostępu do plików są dzisiaj o wiele bardziej rozbudowane niż jeszcze parę lat temu. Ten skok był możliwy między innymi dzięki temu, że co raz więcej usług realizujemy w tzw. chmurze. Nie na własnych serwerach a jako usługę, którą kupujesz od zewnętrznej firmy. Jedną z nich jest choćby usługa przechowywania plików Microsoft OneDrive, która jest składnikiem pakietu Microsoft Office 365. Odpowiednia ochrona nie ogranicza się jednak tylko do plików zapisanych na OneDrive. Wykorzystasz ją chroniąc dowolne pliki znajdujące się na komputerach.
Usługa ta to Azure Information Protection, a jej licencja kosztuje 1,70 EUR miesięcznie dla każdego użytkownika. Jest to moim zdaniem bardzo niska cena za zaawansowane narzędzie. Jej działanie polega w skrócie na tym, że do każdego pliku możemy przypisać odpowiednią etykietę. Z tą etykietą powiązana jest polityka, w której zdefiniowanych jest wiele atrybutów bezpieczeństwa. Opcję pozwalającą na skonfigurowanie, co ile dni muszą być odświeżane uprawnienia do pliku. Dzieje się to przez połączenie z centralnym serwerem usługi za pośrednictwem sieci Internet. Sprawdzenie odbywa się automatycznie, o ile uprawniony użytkownik jest zalogowany.
Funkcjonalność pozwalającą na skonfigurowanie swego rodzaju terminu ważności dokumentu. Możemy go ustawić w postaci konkretnej daty lub liczby dni. Gdy tak skonfigurowana ważność dokumentu wygaśnie nikt nie będzie w stanie odczytać jego zawartości.
Oprócz wymuszania samej kontroli administratorzy dostają możliwość śledzenia i raportowania kto i kiedy otwierał wskazany plik. Pozwala to na ocenę, czy nieuprawniony dostęp do danych osobowych z dużym prawdopodobieństwem nastąpił, czy nie.
Zasada minimalizacji w RODO
Pamiętasz o zasadzie minimalizacji? Mówi ona, że administrator nie powinien przetwarzać więcej danych osobowych, niż jest to niezbędne do osiągnięcia celu przetwarzania. Podobnie postępuj, jeżeli chodzi o ilość danych, do których Ty i Twoi pracownicy macie w danej chwili dostęp. Z komunikatu SGGW wynika, że skradziono prywatny laptop, na który dane zostały skopiowane w sposób nieuprawniony. Odpowiednie korzystanie z narzędzi opisanych w poprzednim akapicie powinno pozwolić administratorom wykryć taką sytuację i zapobiec wynoszeniu danych. Przed takim wyzwaniem stoją wszyscy przedsiębiorcy pozwalający na dostęp do firmowych zasobów z prywatnych urządzeń.
Ochrona powinna odbywać się zarówno w warstwie technicznej, jak i przez wdrożenie odpowiednich polityk i procedur w firmie. Twój zespół powinien mieć dostęp jedynie do tych danych, które są niezbędne do wykonania stojącego przed nim zadania. Załóżmy, że pracownikowi SGGW skradziono nie prywatny laptop, na który kopiował dane w sposób nieuprawniony, a służbowy komputer, który wykorzystywał do codziennej pracy.
Jeżeli był on odpowiedzialny za proces rekrutacji na rok akademicki 2019/2020 to raczej nie powinien mieć już dostępu do danych kandydatów z lat ubiegłych, a już na pewno nie do tak szerokiego zbioru danych. Napisanie i wdrożenie odpowiednich polityk i regulaminów to skomplikowane zadanie spoczywające na barkach zarówno administratora danych, jak i zespołu IT. Konieczne są też wartościowe i regularne szkolenia dla osób, które mają dostęp do przetwarzanych danych osobowych.
Przeczytaj też Double opt-in przy zbieraniu zgód
Tu mnie znajdziesz:
Dołącz do mnie na Facebooku
Nie omieszkaj wbić się na instagram
YT A tu obejrzysz porady wideo