kancelaria@przetwarzaniedanych.pl

Kancelaria na Facebooku

Kancelaria na Linkedin

Latest Posts

Czy masz dowody…

Czy masz dowody na zgodność z RODO. Dzisiaj o sprawie wydawałoby się oczywistej a jednak jak sie okazuje w praktyce nie do końca.

Każdy wie, że aby wygrać w sądzie trzeba mieć dowody na popracie swojego stanowiska. Trzeba mieć dowody winy, aby kogoś skazać. W procesie karnym wątpliwości nie dające się rozstrzygnąć intrepretuje się na korzyść oskrażonego. W procesie cywilnym ciężar udowodnienia faktu spoczywa na osobie, która z tego faktu wywodzi skutki prawne.

W życiu też często poszukujemy dowodów na popracie swoich racji lub podejrzeń. Nawet małe dzieci, jeśli chodzi o dowody, wiedzą, że coś jest na rzeczy. Moja 7-letnia córka, gdy jej zarzucam, że jakaś wykryta przeze mnie psota jest na pewno jej dziełem patrząc na mnie bardzo poważnie z wyrzutem pyta czy mam na to dowody. Hm no faktycznie  namacalnych dowdów nie miałam.

To tak humorystycznie oczywiście, bo zmierzam do tego, że wykazanie zgodności przetwarzania danych osobowych z RODO również wymaga gromadzenia różnych dowodów.

Na przykład jeśli przetwarzasz dane na podstawie zgody muisz być w stanie wykazać, że osoba, której dane przetwarzasz rzeczywiście tę zgodę wyraziła. Musisz utrwalać dowody uzyskiwania zgód na przetwarzanie danych i je przechowywać tak, aby móc je okazać na przykład w razie kontroli urzędu lub w przypadku zgłoszenia roszczeń przez podmiot danych.

Czy gromadzisz  dowody pozyskiwania zgód, czy je utrwalasz, czy może tylko zabepieczasz się umownie obciążając odpowiedzialnością za proces zbierania zgód oraz ich utrwalania i przechowywania kontrahenta, który Ci dane udostępnia. Takie postanowienia w umowach są oczywiście pożądane w przypadku pozyskiwania danych od podmiotów trzecich. Jednak niestety nie są wystarczające.

Pamiętaj, że jako administrator to ty jesteś zobowiązany do wykazania dowódów, że osoba, której dane przetwarzasz wyraziła zgodę. W razie kontroli urzędu, jeśli twój kontrahent nie dostarczy Ci dowódów uzyskania zgód, do czego zobowiązał się w umowie, to ty jako administrator będziesz odpowiadał przed urzędem za uchybienia w tym zakresie. A także przed osobą, która doznała szkody, na skutek przetwarzania niezgodnie z prawem jej danych.

Czy coś daje ci w takiej sytuacji zawarta umowa oraz postanowienia w zakresie odpowiedzialności kontraktowej. Z pewnością, w zależności od treści umowy, będziesz mógł żądać od swojego kontrahenta naprawienia szkody, którą poniosłeś, bo na przykład urząd ukarał cię karą finansową lub zapłaciłeś odszkodowanie podmiotowi danych.

Jednakże twój kontrahent może podnosić swoje argumenty i niewykluczone, że dopiero na drodze sądowej uda Ci się odzyskać stracone pieniądze, o ile oczywiście, w sądzie przedstawisz odpowiednie dowody na poparcie swoich racji.

Szeroko w prasie omawiana była ostatnia kara, którą  UKE nałożył na Orange, gdyż firma nie wykazała dowdów pozyskania zgód osób, do których kierowała wiadomości SMS/MMS w ramach kampanii marketingwej. Na blogu również poruszałam ten przypadek TUTAJ.

Jak widać kwestia wydawałoby się oczywista, może umknąć lub zostać zaniedbana przez największę nawet firmy a konsekwencje takich zaniedbań, co widzimy na przykładzie Orange mogą być bardzo dotkliwe. Warto więc pamiętać i utrwalać niezbędne dowody na wykazanie zgodności przetwarzania z RODO.

Zgubienie pamięci USB z danymi osobowymi

Brytyjski organ nadzoru zajmujący się m.in. kwestiami ochrony danych osobowych, po przeprowadzeniu postępowania wydał w październiku br. decyzję nakładającą na operatora lotniska Heathrow karę pieniężną w wysokości równowartości 600 tys. zł.

Sprawa, którą badał brytyjski organ, wiązała się z zagubionym pendrive’em. Jeden z niższych rangą pracowników w drodze do pracy zgubił pendrive’a. Znalazca urządzenia przejrzał jego zawartość, a następnie przekazał je redakcji jednej z gazet.

W ocenie organu operator lotniska nie wdrożył, środka organizacyjnego w postaci zapewnienia odpowiedniego przeszkolenia personelu w zakresie ochrony danych. Osoba, która zgubiła nośnik USB, nie otrzymała przeszkolenia w tym zakresie.

Kara została nałożona na administratora nie za to, że doszło do zgubienia pendrive’a, ale przede wszystkim dlatego, że nie wdrożono wystarczających środków, by zapobiec temu incydentowi.

Podobno aż 87 proc. pracowników zdarzyło się przynajmniej raz zgubić pamięć USB, na której zapisane były firmowe dane. Czym jest zagubienie nośnika z danymi osobowymi w świetle przepisów RODO. Czy należy w takiej sytuacji podjąć jakieś działania a jeśli tak to jakie spróbuję dzisiaj odpowiedzieć na te pytania.

Przypadkowe lub niezgodne z prawem utracenie danych osobowych RODO definiuje jako naruszenie bezpieczeństwa danych osobowych.

„Utratę” danych osobowych należy rozumieć jako sytuację, w której dane mogą nadal istnieć, ale administrator utracił kontrolę nad nimi lub dostęp do nich, lub nie jest już w ich posiadaniu. Czyli sytuacja, w której na przykład pracownik firmy gubi nośnik z danymi oznacza utracenie tych danych przez administratora, z czym związne są określone skutki prawne.

Zgubienie nośnika z danymi osobowymi może mieć szereg negatywnych skutków dla osób fizycznych, prowadząc do szkód fizycznych, materialnych i niematerialnych. RODO objaśnia, że może to obejmować utratę kontroli nad swoimi danymi osobowymi, ograniczenie przysługujących praw, dyskryminację, kradzież lub sfałszowanie tożsamości, straty finansowe, nieupoważnione odwrócenie pseudonimizacji, naruszenie dobrego imienia oraz utratę poufności danych osobowych chronionych tajemnicą zawodową.

Jak widać katalog negatywnych konsekwencji jest bardzo szeroki a rodzaj i dolegliwość szkód dla podmiotu danych będzie też uzależniona od rodzaju ujawnionych danych osobowych a także zakresu tych danych. W każdym przypadku, gdy zagubiony nośnik danych zawierał dane wrażliwe lub szczególnie poufne dotyczące sytuacji osobistej czy majątkowej podmiotu danych, ryzyko poważnych szkód dla podmiotu danych może być bardzo wysokie..

Zgodnie z RODO w przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.

Ryzyko naruszenia praw i wolności dla każdego stwierdzonego naruszenia musi być oszacowane i udokumentowane przez administratora danych. Zgodnie bowiem z ogólną zasadą rozliczalności to administrator danych musi być w stanie wykazać przestrzeganie przepisów RODO również w zakresie właściwej identyfikacji naruszeń bezpieczeństwa danych osobowych.

W przypadku utraty nośnika danych USB z niezaszyfrowanymi danymi osobowymi często nie da się ustalić, czy osoby nieupoważnione uzyskały dostęp do tych danych. Mimo że administrator danych może nie być wstanie stwierdzić, czy doszło do naruszenia poufności, taki przypadek wymaga zgłoszenia, ponieważ istnieje wystarczający stopień pewności co do tego, że doszło do naruszenia dostępności. Administrator „stwierdza” naruszenie w chwili, gdy zdaje sobie sprawę z utraty nośnika danych USB.

Warunki, w których nie jest wymagane zgłoszenie

Jeżeli odczyt danych osobowych jest co do zasady niemożliwy dla osób nieupoważnionych i jeśli istnieje kopia lub kopia zapasowa tych danych, wówczas nie ma obowiązku zgłaszania organowi nadzorczemu naruszenia poufności odpowiednio zaszyfrowanych danych osobowych. Wynika to z faktu, że prawdopodobieństwo, aby naruszenie takie stwarzało ryzyko dla praw i wolności osób fizycznych jest niskie. Oznacza to, że nie trzeba również zawiadamiać osoby fizycznej, ponieważ najprawdopodobniej nie występuje wysokie ryzyko.

Jednak każdy przypadek naruszenia bezpieczeństwa danych osobowych należy badać ad casum i oceniać jego charakter, a także ryzyko naruszenia praw i wolności podmiotów danych. Dopiero w następstwie takiej oceny i przeprowadzonej analizy w zakresie ryzyka, otrzymamy odpowiedź czy dane naruszenie należy zgłosić organemu nadzorczemu jak również osobie, której dane zostały naruszone.

Pamiętaj, że błędy zdarzają się każdemu, a błąd ludzki to najczęstsza przyczyna naruszeń bezpieczeństwa danych osobowych. Co może lub powinien uczynić administrator w świetle danych, że ponad 80% pracowników zgubiło chociaż raz nośnik z danymi firmowymi. Najbezpieczniej oczywiście byłoby zakazać kopiowania danych osobowych na niezbezpieczone nośniki danych i wynoszenia ich przez pracowników poza firmę, jednak nie zawsze jest to możliwe.

Przede wszystkim należy wdrożyć wewnętrzne procedury. Powinny one nakazywać pracownikom m.in. maksymalne ograniczenie używania przenośnych nośników danych, szczególną ostrożność w używaniu nośników przenośnych w celu minimalizacji ryzyka ich zgubienia, kradzieży etc., a także szyfrowanie danych zapisywanych na nośnikach przenośnych.

Kolejną bardzo istotną kwestią jest szkolenie pracowników, zapoznawanie ich z zasadami bezpiecznego przetwarzania danych, uświadamianie konsekwencji niestosowania procedur to jedno z podstawowych zadań administratora w celu zapewnienia zgodności przetwarzania z wymaganiami prawa.

Operator brytyjskiego lotniska otrzymał karę właśnie nie tyle za brak procedur co za niezapoznanie z nimi swojego personelu w tym niezapewnienie szkolenia w zakresie ochrony danych osobowych. 

Jeśli jeszcze nie przeszkoliłeś swojego personelu zrób to jak najszybciej. Przysłowie, że człowiek jest najsłabszym ogniwem systemu bezpieczeństwa, zbyt często sprawdza się w życiu, aby ryzykować. Pamiętaj, że w świetle prawa takie błędy jak zgubienie pendriv’a z danymi osobowymi musisz zgłaszać do urzędu.

Potrzebujesz pomocy w przeszkoleniu pracowników. Możesz skontaktować się z naszą kancelarią. Profesjonalnie i przystępnie zorganizujemy odpowiednie szkolenie dla twojej firmy i zapoznamy twój personel  z zasadami bezpiecznego przetwarzania danych osobowych.

 

 

Kara za brak zgody na SMSy marketingowe

Urząd Komunikacji Elektronicznej nałożył na Orange Polska kary pieniężne w łącznej wysokości 9,1 mln zł za wysyłanie SMS-ów marketingowych bez posiadania zgody klientów.

Zgoda na marketing bezpośredni

Jak to możliwe, że w dobie RODO, w kilka miesięcy po rozpoczęciu stosowania rozporządzenia, kara za nieuprawnione SMSy nałożona na tak duży podmiot. Co ciekawsze w tym przypadku organem, który nałożył karę jest Prezes UKE a nie UODO, gdyż operator naruszył przepisy prawa telekomunikacyjnego, które stosuje się do ochrony praw i wolności osób fizycznych  w odniesieniu do świadczenia usług łączności elektronicznej.

Przepisy prawa telekomunikacyjnego zakazują przesyłania treści marketingowych za pośrednictwem telekomunikacyjnych urządzeń końcowych bez uprzedniej zgody abonenta lub użytkownika końcowego. Przesyłanie SMSów marketingowych powinno odbywać się na podstawie uprzedniej zgody.

Administrator musi udowodnić  zgodę

Orange Polska nie wykazała, że posiadała utrwalone zgody udzielone przez swoich abonentów i użytkowników końcowych na otrzymywanie wiadomości o charakterze marketingowym, przy użyciu automatycznych systemów wywołujących.

Niewykluczone, że osoby, do których były wysyłane SMSy wyraziły nawet zgody na przetwarzanie ich danych osobowych w celach marketingowych, ale, co kluczowe, w niniejszej sprawie Orange nie udowodniła tego.

Na gruncie RODO również zasadą jest, iż w przypadku, gdy przetwarzanie odbywa się na podstawie zgody administrator musi być w stanie wykazać, że osoba, której dane dotyczą, skutecznie wyraziła zgodę.

Administrator powinien wdrożyć środki organizacyjne lub techniczne umożliwiające udowodnienie otrzymania zgody od podmiotu danych, w szczególności w sposób pozwalający na utrwalenie faktu otrzymania zgody.

Kupowanie baz marketingowych

Pamiętaj, że ta sama zasada dotyczy sytuacji, gdy kupujesz bazy danych od podmiotów trzecich. Jeśli dane mają być wykorzystywane w celach marketingowych najczęściej podstawą przetwarzania będzie zgoda podmiotu danych. Jako odbiorca danych musisz pamiętać, aby weryfikować czy osoby, których dane są Ci udostępniane, wyraziły odpowiednie zgody. Co ważniejsze, czy w momencie sporu, kontroli urzędu, skragi będziesz w stanie wykazać, iż dysponujesz odpowiednim dowodem uzyskania zgód.

Wydawałoby się oczywista rzecz, a jednak na ostatnim przykładzie Orange widzimy, iż praktyka rynkowa nie spełnia tych oczywistych wymagań. A idę o zakład, że przykład Orange jest jednym z wielu na rynku.

Zastanawiasz się, czy Twoje działania marketingowe są prawidłowe, czy  w przypadku kontroli tego czy innego urzędu nie narażasz się na ryzyko nałożenia kar zawsze możesz skorzystać z pomocy a także usług naszej Kancelarii by oszacować ryzyko prawne związane z przetwarzaniem danych osobowych.

 

Ściszonym głosem do pacjenta

Czy poszanowanie godności pacjenta ma coś wspólnego z RODO, czy RODO nakazuje szanować godność pacjenta czy może tylko chronić dane osobowe tego pacjenta. Czy są to różne czy zbieżne zagadnienia.

Prawo do poszanowania godności i intymności pacjenta wynika z przepisów ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta. Natomiast prawo do ochrony danych osobowych wynika z przepisów Ogólnego Rozporządzenia o Ochronie Danych Osobowych (RODO). Prawa te mogą się krzyżówać i w przypadku, gdy zostaną naruszone prawa pacjenta w związku z przetwarzaniem jego danych osobowych prawie zawsze zostanie też naruszone prawo do poszanowania godności i intymności pacjenta.

Poszanowanie godności pacjenta oraz przetwarzanie danych pacjentów zgodne z wymogami prawa to kwestia fundamentalna w sektorze zdrowia. Podmioty udzielające świadczeń zdrowotnych mające dostęp do najbardziej wrażliwych danych, bo dotyczących stanu zdrowia powinny dochować najwyższej staranności, aby przetwarzać dane pacjentów zgodnie z przepisami prawa. Czytaj więcej

Ewentualne roszczenia po zakończeniu rekrutacji – uwagi do Poradnika PUODO

Nie milkną komentarze do wydanego ostatnio przez PUODO Poradnika dla pracodawców. Jedną z kwestii budzącą wątpliwości komentujących, była zawarta w Poradniku opinia o braku możliwości przetwarzania przez pracodawców danych kandydatów do pracy, po zakończeniu rekrutacji, w celu zabezpieczenia się przed ich ewentualnymi roszczeniami.

„Niedopuszczalne jest przetwarzanie danych tylko w celu zabezpieczenia się przed ewentualnym przyszłym i niepewnym roszczeniem osoby, której dotyczą”

W uzasadnieniu dla tak postawionej tezy czytamy:

„W przeciwnym razie może pojawić się wątpliwość jak długo należy przetwarzać dane osobowe, jeżeli ta osoba nie zdecyduje się na wytoczenia powództwa przeciwko pracodawcy. W toku rekrutacji nie powstaje żaden stosunek zobowiązaniowy pomiędzy kandydatem do pracy, a pracodawcą. Brak jest dokonania wzajemnych rozliczeń lub możliwości zarzucenia drugiej stronie niewykonania umowy lub nieprawidłowego jej wykonania. Nie ma więc podstaw do uznania, że pracodawca jest uprawniony do przetwarzania danych z uwagi na konieczność ustalenia bądź nie, istnienia roszczenia. Działanie pracodawcy stanowiłoby przetwarzanie danych kandydata „na wszelki wypadek”.  Czytaj więcej

Udostępnianie danych osobowych w celach marketingowych

Dzisiaj chciałabym się podzielić, kolejny już raz, refleksją  na temat udostępniania danych osobowych w celach marketingowych i poruszyć dla praktyków ochrony danych rzeczy oczywiste, a dla innych pewnie abstrakcyjne.

Udostępnianie  danych  w celach marketingowych przez jednego administarotra innym administratorom skutkuje tym, że określone dane osobowe od jednego administratora są przekazywane do innego, który wykorzystuje dane do własnych celów marketingowych. W literaturze podkreśla się, że udostępnianie obejmuje swoim zakresem nie tylko fizyczne przekazanie danych innemu podmiotowi, lecz również zapewnienie mu dostępu do treści danych, bez elementu fizycznego ich przekazywania.

W praktyce obrotu gospodarczego udostępnianie danych osobowych najczęściej odbywa się właśnie w celach marketingowych i nierozerwalnie z tą działalnością jest związane. Ilość działań marketingowych i specyfika tych działań zwłaszcza w internecie jak wiemy jest bardzo różnorodna i o różnym też stopniu skomplikowania. Ma to oczywiście wpływ na ocenę dopuszczalności udostępniania danych. Czytaj więcej