All posts by Joanna Krawczyk

Urząd Ochrony Danych Osobowych (UODO) poinformował na swojej stronie, że powodem nałożenia kary administracyjnej jest naruszenie przez spółkę przepisów Prawa telekomunikacyjnego oraz rozporządzenia Komisji (UE) nr 611/2013 z dnia 24 czerwca 2013 r. w sprawie środków mających zastosowanie przy powiadamianiu o przypadkach naruszenia danych osobowych, na mocy dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady o prywatności i łączności elektronicznej.

Kara dotyczy 5 uchybień operatora, jedno uchybienie z października 2020, pozostałe z grudnia 2020. Wszystkie zostały wysłane do UODO jako jedna przesyłka i zgłoszone po upływie 24 godzin.

Spółka usprawiedliwiała się tym, że powodem opóźnienia były błędy pracowników kancelarii polegające na braku wpisania korespondencji do książki nadawczej, czego efektem był jej zwrot do operatora pocztowego. Pracownicy ze względu na pandemię pracowali w trybie zdalnym, zdarzenia miały miejsce pod koniec tygodnia, a pierwszym możliwym terminem wysłania zawiadomienia pocztą tradycyjną był poniedziałek.

Prezes uznał, że podane okoliczności nie stanowią podstawy do umorzenia postępowania i nałożył na spółkę karę w wysokości stanowiącej 0,0014 % przychodów, osiągniętych przez firmę w 2020 roku.

„Należy jednak odnotować, że naruszenie terminu zgłoszenia incydentów bezpieczeństwa ochrony danych nie ma charakteru jednorazowego. Zawiadomienia te nie były pierwszymi, jakie spółka składała do organu nadzorczego po upływie 24 godzin od jego wykrycia. UODO niejednokrotnie też kierował do spółki pisma o złożenie wyjaśnień dotyczących zgłaszania naruszeń po upływie terminu.

UODO kilkukrotnie informował spółkę, że zgłoszenia naruszenia danych osobowych można dokonać na dwa sposoby: elektronicznie oraz pocztą tradycyjną, a także wskazywał, że najszybszą drogą jest wysłanie zgłoszenia za pośrednictwem platformy biznes.gov.pl lub platformy ePUAP, co zapewnia dotrzymanie terminu określonego w rozporządzeniu 611/2013.”^[3]

Prezes UODO zwrócił uwagę, że z powodu powtarzających się błędów związanych z przekroczeniem terminu, procedura wysyłki zgłoszeń musiała być w spółce zorganizowana nieprawidłowo. Prezes poinformował spółkę wielokrotnie o możliwości wysyłania zawiadomień elektronicznie poprzez platformę biznes.gov.pl lub platformy ePUAP.

Spółka zastosowała się do zaleceń UODO dopiero w lutym 2021 r.

Pełna treść decyzji Prezesa UODO dostępna jest pod linkiem: https://uodo.gov.pl/pl/138/2082

^[1] art. 174a ust. 1 ustawy Prawo telekomunikacyjne

^[2] Stosownie do  art. 2 ust. 2 rozporządzenia Komisji 611/2013 w sprawie środków mających zastosowanie przy powiadamianiu o przypadkach naruszenia danych osobowych.

Wynikający z rozporządzenia 611/2013 termin 24 godzin na zgłoszenie naruszenia ochrony danych jest nieprzypadkowy. Liczy się umożliwienie UODO odpowiednio szybkiej reakcji na zgłoszone naruszenia, w celu zapobieżenia ewentualnym negatywnym konsekwencjom dla osób, których dane dotyczą, np. kradzieży tożsamości, straty finansowej czy też naruszenia tajemnic prawnie chronionych. W ocenie organu takie sytuacje mogą mieć miejsce, gdy zakres ujawnionych danych obejmuje np. informacje widniejące w dowodach tożsamości, a więc nie tylko imię i nazwisko, ale nr PESEL, nr dokumentu, adres.

^[3] Decyzja PUODO z dn. 8.06.2021 r. znak DKN.5131.10.2020, dostęp: https://www.uodo.gov.pl/decyzje/DKN.5131.10.2020

Pojęcie Sygnalista odnosi się do osoby, która sygnalizuje i zgłasza nieprawidłowości zaobserwowane w miejscu pracy.^[1]

Mimo, że do czasu wejścia w życie nowych przepisów dzieli nas jeszcze trochę czasu to pracodawcy powinni zacząć przygotowania już teraz. Zmiany w przepisach dla wielu będą stanowiły wiele trudności ponieważ dyrektywa reguluje wprowadzenie w firmie odpowiednich procedur, narzędzi i rozwiązań organizacyjnych oraz prawnych.

Nowe przepisy początkowo obejmą tylko część pracodawców tych, którzy zatrudniają co najmniej 250 pracowników. W przypadku mniejszych podmiotów, zatrudniających od 50 pracowników do 249 pracowników obowiązek wdrożenia odpowiednich mechanizmów zacznie obowiązywać dopiero 17 grudnia 2023 r.

Przepisami dyrektywy w pierwszej kolejności zostaną objęte podmioty prawne z sektora publicznego, poza gminami zamieszkiwanymi przez mniej niż 10 tys mieszkańców oraz podmioty z sektora prywatnego, tutaj wyjątek stanowią podmioty, które zatrudniają mniej niż 50 pracowników. Podmioty prawne, które działają w sektorze finansowym będą podlegać dyrektywie niezależnie od liczby zatrudnianych osób, ani w jakim sektorze działają.

Jakich naruszeń mogą dotyczyć zgłoszenia?

Sygnalistą będzie mógł być tak naprawdę każdy, kto będzie chciał dokonać zgłoszenia naruszenia w związku z pracą. Może to być np: pracownik, współpracownik, wspólnik, akcjonariusz. Katalog wszystkich aktów prawnych, których mogą dotyczyć naruszenia to np: ochrona konsumentów, ochrona danych osobowych, sprawy podatkowe i finansowe, zamówienia publiczne, bezpieczeństwo transportu i bezpieczeństwo produktów. Należy mieć jednak na uwadze, że katalog dziedzin naruszeń nie jest stały i może zostać rozszerzony również na wszelkie naruszenia prawa.

Jakie obowiązki będą mieli pracodawcy?

Bez wątpienia najważniejszym obowiązkiem pracodawców będzie wprowadzenie nowych procedur w organizacji i kanałów do dokonywania zgłoszeń zgodnie z rozporządzeniem. W państwach członkowskich będą obowiązywać trzy kanały zgłoszeń. Cała procedura ma na celu zwalczanie korupcji i przeciwdziałanie wszelkim praktykom sprzecznym z prawem oraz ochronę sygnalistów przed działaniami odwetowymi:

• kanał wewnętrzny: głównym założeniem jest, aby w pierwszej kolejności zachęcać do składania zgłoszeń w ramach organizacji, zanim zostaną skierowane one poza organizację do organów zewnętrznych,
• kanał zewnętrzny: do właściwego organu,
• w drodze ujawnienia publicznego (w ostateczności, jeśli wcześniej dokonano zgłoszenia wewnętrznego lub zewnętrznego i nie zostały podjęte żadne działania).

Kanały do przyjmowania zgłoszeń powinny zapewnić całkowitą poufność osobie, która dokonuje zgłoszenia oraz powinny zostać zabezpieczone w taki sposób, aby osoby nieupoważnione nie miały do nich dostępu. To oznacza, że pracodawcy powinni zastanowić się nad wyborem najbezpieczniejszego kanału do zgłoszeń i odpowiednich osób, które te zgłoszenia będą dla nich rozpatrywać. Mogą to być osoby zatrudnione wewnętrznie w organizacji oraz podmioty trzecie, np wyspecjalizowane firmy lub kancelarie.

Poza opracowaniem systemu raportowania nadużyć pozostaje jeszcze sporo innych obowiązków ciążących na pracodawcach. Osoby wyznaczone do obsługi procesu będą zobowiązane do poinformowania osoby zgłaszającej w terminie nie dłuższym niż 7 dni o przyjęciu zgłoszenia. Następnie będą musiały zweryfikować otrzymane informacje i prowadzić rozmowy wyjaśniające. To wszystko po to, aby ustalić czy doszło do naruszenia prawa czy nie. W razie zidentyfikowania nadużycia konieczne będzie pociągnięcie do odpowiedzialności dyscyplinarnej osoby, która dokonała nadużycia lub zgłoszenie incydentu do właściwych organów państwowych. W całym procesie bardzo ważne jest, aby informacje zwrotne dotyczące konkretnej sprawy zostały przekazane sygnaliście w terminie nie dłuższym niż 3 miesiące.

Pracodawcy będą zobowiązani do prowadzenia rejestru zgłoszeń i przechowywania ich przez określony czas.

Unijna dyrektywa może rodzić szereg wyzwań dla pracodawców, mimo to warto podjąć odpowiednie działania już teraz, aby nie powtórzyć błędów sprzed kilku lat, kiedy do ostatniej chwili firmy odkładały wdrożenie przepisów RODO, bo skutek tego był taki, że spora część firm nie była przygotowana do zmiany przepisów.

^[1] P. Trzaskowska – Machalska Ochrona sygnalistów przewidziana w projekcie Dyrektywy Parlamentu Europejskiego i Rady w sprawie ochrony osób zgłaszających przypadki naruszenia prawa Unii oraz projekcie ustawy o jawności życia publicznego oraz projekcie ustawy o odpowiedzialności podmiotów zbiorowych. „Przegląd Ustawodawstwa Gospodarczego” 2019, nr 3, s. 259.

O tym czym jest Spis Powszechny Ludności i Mieszkań oraz jak się ma do tego RODO szerzej w poniższym artykule.

Spis powszechny ludności dostarcza wielu kompletnych informacji opisujących strukturę społeczno-demograficzną naszego kraju oraz służy do analizy zmian, które zaszły w procesach demograficznych, ekonomicznych i społecznych w ciągu ostatniej dekady. 

Obowiązkową formą jest samospis internetowy, aby się spisać wystarczy wypełnić ankietę na stronie https://spis.gov.pl/. Można również to zrobić przez kontakt telefoniczny lub bezpośredni przy pomocy rachmistrza spisowego.

Administratorem Danych jest w tym przypadku Prezes Głównego Urzędu Statystycznego (GUS) i to na nim spoczywa pełna odpowiedzialność za wdrożenie środków organizacyjnych i technicznych, a podstawą do przetwarzania danych osobowych jest ustawa o Narodowym Spisie Powszechnym  Ludności i Mieszkań 2021 r. 

Dane osobowe przetwarza się na podstawie:

– art. 6 ust. 1 lit. c rozporządzenia RODO mówi o tym, że przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze w odniesieniu do art. 28 ust. 1 w związku z art. 10 pkt.1) i 2) i art. 11 pkt.3 ustawy z dnia 9 sierpnia 2019 r. o narodowym spisie powszechnym ludności i mieszkań w 2021 r. (zm. Dz. U. z 2020 r. poz. 1486.,

– art. 6 ust. 1 lit. e rozporządzenia RODO, przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi,

– art. 9 ust. 2 lit. g rozporządzenia RODO, przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym,

– art. 9 ust. 2 lit. j rozporządzenia RODO, przetwarzanie szczególnych kategorii danych osobowych jest niezbędne do celów statystycznych.

Co się stanie jeśli się nie spiszę …?

Przepisy rozporządzenia ochronie danych osobowych nie stanowią podstawy do odmowy udziału w badaniu. Zgodnie z zapisami europejskich aktów prawnych prawo do bycia zapomnianym nie przysługuje, jeśli przetwarzanie danych jest niezbędne do celów statystycznych.

Zgodnie z art. 56 i 57 ustawy z dnia 29 czerwca 1995 r. o statystyce publicznej odpowiedzialność karna za podanie nieprawdziwych informacji wynosi do 2 lat więzienia, a za brak udziału w badaniu grozi kara grzywny nawet do 5 tys. zł. Odpowiedzialność karna grozi także za spisanie się po terminie 30 września 2021 r.

Odwiedzanie niemal każdej strony wiąże się z tym, że po chwili ukazuje się nam okienko z informacją o korzystaniu z plików cookies, wiele informacji dotyczących korzystania z plików cookies znajdziemy na stronach internetowych. Każda osoba, która odwiedza stronę internetową musi zostać poinformowana o plikach cookies. Serwis poprosi o akceptację wymaganych zgód, w przypadku braku akceptacji dostęp do strony może zostać częściowo lub w całości ograniczony przez zablokowanie pełnej widoczności treści lub odmowę dostępu do treści.

Jednym z najczęstszych błędów jest to, że checkboxy do wyrażenia zgód są domyślnie zaznaczone. Jeśli chcemy, aby nie wszystkie pliki były wykorzystywane musimy je samodzielnie odznaczyć. To nie jest prawidłowe działanie również dlatego, że zanim użytkownik zgodę wyrazi, te pliki już działają po wejściu na stronę internetową.

Przepis dotyczący stosowania cookies znajduje się w ustawie Prawa Telekomunikacyjnego,[1] brzmi on następująco:

„przechowywanie informacji lub uzyskiwanie dostępu do informacji już przechowywanej w telekomunikacyjnym urządzeniu końcowym abonenta lub użytkownika końcowego jest dozwolone, pod warunkiem że:

1). Abonent lub użytkownik końcowy zostanie uprzednio bezpośrednio poinformowany w sposób jednoznaczny, łatwy i zrozumiały o:

a). celu przechowywania i uzyskiwania dostępu do tej informacji,

b). możliwości określenia przez niego warunków przechowywania lub uzyskiwania dostępu do tej informacji za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego urządzeniu końcowym lub konfiguracji usługi;

2). Abonent lub użytkownik końcowy, po otrzymaniu informacji, o których mowa w pkt ,1 wyrazi na to zgodę;

3). Przechowywana informacja lub uzyskiwanie do niej dostępu nie powoduje zmian konfiguracyjnych w urządzeniu końcowym abonenta lub użytkownika końcowego i oprogramowaniu zainstalowanym na tym urządzeniu”.

Zgoda na pliki cookies powinna spełniać wymogi przewidziane dla wyrażenia zgód stosownie do obowiązujących przepisów rozporządzenia RODO, oznacza to, że zgoda musi być wyrażona świadomie, dobrowolnie i jednoznacznie. Zgody nie mogą być ukryte, a informacje w jakim celu wykorzystywane są pliki cookies powinny być na tyle jasne i czytelne, aby osoba wiedziała na co wyraża zgodę.

[1] Art. 173 ustawy o Prawie Telekomunikacyjnym z dn. 22 marca 2013 r.

Art. 5 ust. 1 lit. f RODO reguluje zasady przetwarzania danych, w tym zasady dotyczące poufności i integralności. Dane osobowe powinny być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo i ochronę przez ich utratą lub niezgodnym z prawem przetwarzaniem. Administrator danych jest odpowiedzialny za przestrzeganie zasad dotyczących przetwarzania danych, w tym poufności i integralności, a to w praktyce oznacza, że administrator powinien dysponować dowodami potwierdzającymi odpowiednio wdrożone środki bezpieczeństwa. Urządzenia wykorzystywane przez pracowników muszą zostać odpowiednio przygotowane i sprawdzone pod względem sprawności, oprogramowania i zabezpieczeń.

Poniżej przedstawiam listę najczęściej stosowanych środków technicznych:

Komputer służbowy

 – sprzęt komputerowy powinien być odpowiednio zabezpieczony poprzez używanie silnych haseł i wielopoziomowe uwierzytelnianie. Tego typu zabezpieczenia ograniczają dostęp osobom niepowołanym oraz zmniejszają ryzyko utraty danych w przypadku kradzieży sprzętu;

– nakładki prywatyzujące na ekran minimalizują ryzyko wglądu przez osoby postronne;

– program antywirusowy z firewallem;

– wygaszacz ekranu;

– możliwość sprawnego łączenia z firmową siecią poprzez  VPN;

Telefon służbowy

– podobnie jak w przypadku komputera powinien zostać odpowiednio zabezpieczony poprzez blokadę ekranu;

– możliwość szyfrowania danych i możliwość łączenia się z internetem oraz siecią firmową za pomocą łącza VPN;

– blokada karty sim oraz blokada ekranu;

– możliwość szyfrowania danych i automatycznego back’upu.

Firma może dopuścić możliwość pracy na prywatnym sprzęcie pracownika, przepisy RODO tego nie zabraniają. Jednak przy tego typu praktykach zanim to nastąpi powinno się realnie ocenić możliwości zastosowania zabezpieczeń, które pozwolą na sprawowanie chociaż minimalnej kontroli poprzez zdalny dostęp do zasobów sieci firmowej.

Bardzo istotnym elementem jest budowanie świadomości pracowników w zakresie ochrony danych osobowych, w tym prowadzenie szkoleń. W normalnych warunkach szkolenia przeprowadzane są zazwyczaj podczas spotkań, ale obecnie kiedy nie jest to możliwe warto rozważyć prowadzenie szkoleń on-line poprzez aplikacje, platformy e-learningowe lub komunikatory wewnętrzne.

Nie da się ukryć, że praca w systemie home office to szereg obowiązków, ale jedynie świadomość jak ważne jest właściwe ich przestrzeganie, zapewni bezpieczeństwo i nie narazi nikogo na ryzyko wycieku i utraty danych.

Dobrze, ale o co właściwie chodzi w tym powierzeniu? W powierzeniu przetwarzania danych osobowych chodzi o to, że podmiot przetwarzający przetwarza dane w czyimś imieniu, np. firmy po to, aby zrealizować dla niej jakiś cel.

Podmiot przetwarzający może przetwarzać dane jedynie w takim zakresie w jakim zostało mu to powierzone. Tworząc umowę powinniśmy określić w niej co będzie przedmiotem przetwarzania, czyli jakie dane będą przetwarzane na podstawie umowie głównej pomiędzy stronami, jaki będzie cel, czas i charakter przetwarzania, jaki rodzaj danych osobowych i kategorie osób, których dotyczą przetwarzane dane oraz bardzo ważny element – jakie są prawa i obowiązki administratora.

Umowa powinna stanowić w szczególności:

1).  podmiot przetwarzający przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora. Dotyczy to także przekazywania danych osobowych do państw trzecich, organizacji międzynarodowych jeśli taki obowiązek został przez niego nałożony przez prawo Unii lub prawo państwa członkowskiego któremu podmiot przetwarzający podlega;    

2). osoby, które zostały upoważnione do przetwarzania danych, zobowiązały się do zachowania tajemnicy tych danych;

3). biorąc pod uwagę charakter przetwarzana danych, procesor w miarę możliwości pomaga administratorowi wywiązać się z obowiązku odpowiadania na żądania osób, których dane dotyczą w zakresie wykonywania ich praw, w zakresie wykonywania jej praw określonych w rozdziale III RODO;

4). procesor podejmie wszelkie środki zabezpieczające dane wymagane na mocy art. 32 RODO;

5). mając na celu charakter przetwarzania procesor pomaga administratorowi wywiązać się z obowiązków, które zostały określone w art. 32-36 RODO, chodzi tu o przepisy nakładające na administratora obowiązek zapewnienia bezpieczeństwa danych poprzez zastosowanie odpowiednich środków organizacyjnych i technicznych oraz obowiązek zgłaszania naruszeń dotyczących ochrony danych osobowych do organu nadzorczego;

6). w zależności od decyzji administratora po zakończeniu współpracy podmiot przetwarzający zobowiązany jest do zwrotu danych osobowych lub trwałego usunięcia wszystkich istniejących kopii danych;

7). umożliwia administratorowi, audytorowi upoważnionemu przez administratora przeprowadzania inspekcji, audytów i uczestniczy w nich.

Wymienione obowiązki nie stanowią katalogu zamkniętego. W zależności od wzajemnych potrzeb strony mogą dowolnie uzupełniać zapisy umowy o dodatkowe postanowienia. Mogą dodać zapis o odpowiedzialności za uchybienia lub rozszerzyć dokument o punkt dotyczący kar i wysokości tych kar. Każda nieprawidłowość dotycząca powierzenia przetwarzania danych osobowych może skutkować nie tylko nałożeniem kary przez Prezesa Urzędu Ochrony Danych Osobowych, ale również odpowiedzialnością cywilnoprawną względem osoby, której dane zostały nieprawidłowo wykorzystane przez podmiot przetwarzający.

Możliwa do zidentyfikowania osoba to taka osoba, którą będzie można zidentyfikować bezpośrednio lub pośrednio za pomocą imienia i nazwiska, adresu zamieszkania, numeru pesel, adresu IP komputera, lub kilku szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

Danymi osobowymi będą więc wszystkie informacje na podstawie których będziemy w stanie określić tożsamość osoby. Jeśli na podstawie posiadanych informacji jesteśmy w stanie zidentyfikować daną osobę, wówczas należy przyjąć, że mamy do czynienia z danymi chronionymi w świetle RODO.

Jako przykłady danych osobowych należy wskazać między innymi:

– imię i nazwisko,

– adres zamieszkania,

– adres IP komputera danej osoby,

– seria i numer dowodu tożsamości,

– dane o lokalizacji,

– numer pesel / NIP,

– kolor oczu, wzrost, płeć, waga,

– dane o stanie zdrowia,

– dane dotyczące przekonań religijnych i poglądów.

Dyrektywa 95/46/WE oraz RODO wyróżnia kategorie danych, których przetwarzanie co do zasady jest zakazane, są to tak zwane szczególne kategorie danych:

– pochodzenie etniczne lub rasowe,

– poglądy polityczne,

– przekonania religijne.

Ponadto zabronione jest przetwarzanie takich danych jak:

– dane dotyczące zdrowia, seksualności lub orientacji seksualnej,

– dane biometryczne,

– dane genetyczne.

Powyższa kategoria jest szczególną kategorią danych, dane te wymagają specjalnej ochrony ze względu na swoją wartość i nie można ich przetwarzać (chyba że wystąpi ku temu przesłanka).

Do kategorii danych osobowych można również zaliczyć adresy IP, identyfikatory internetowe oraz pliki cookie zbierane przez strony internetowe, aplikacje.

Danymi osobowymi nie będą pojedyncze informacje typu numer domu, nazwa ulicy, ponieważ takie dane są informacjami ogólnymi. Aby dana informacja mogła stanowić daną osobową musi być zestawiona z dodatkowymi informacjami, które w rezultacie mogą stanowić powiązanie z konkretną osobą. Takim przykładem może być np. numer pesel,11-cyfrowy symbol numeryczny, który jednoznacznie identyfikuje osobę fizyczną (art. 15 ust. 2 ustawy z dn. 24.09.2010 r. o ewidencji ludności (Dz.U. z 2015 r. poz. 388). Pierwszych 6 cyfr oznacza datę urodzenia osoby, kolejne 4 cyfry to liczba porządkowa i płeć, a ostatnia cyfra to cyfra kontrolna, która służy do sprawdzenia poprawności całego numeru.

Daną osobową nie będzie wyłącznie numer domu czy nazwa ulicy. Samo imię również nie będzie zaliczało się do danych osobowych, ponieważ pojedyncza informacja nie wskaże jednoznacznie na konkretną osobę.