Zniszczenie, a usunięcie danych osobowych

Zniszczenie, a usunięcie danych osobowych

Zniszczenie, a usunięcie danych osobowych

Zawsze nadejdzie taki moment, kiedy zaprzestaniesz przetwarzać dane, które zapisałeś w chmurze, na dyskach komputerów czy na kartkach zgromadzonych w segregatorze. Gdy wygaśnie podstawa do ich przetwarzania, nie wystarczy po prostu je ignorować. RODO nakłada na Ciebie konkretne obowiązki. Jeżeli to możliwe warto zaplanować, co zrobisz z danymi, najlepiej już na etapie projektowania procesu ich przetwarzania. Pamiętaj, że przechowywanie danych samo w sobie jest czynnością przetwarzania. Usunięcie ich to minimum tego, co musisz zrobić. Czasem jednak będzie to niewystarczające.

Czytaj dalej
Wniosek o udostępnienie danych rodzi ryzyko złamania RODO

Wniosek o udostępnienie danych rodzi ryzyko złamania RODO

Wniosek o udostępnienie danych rodzi ryzyko złamania RODO

Firmy kolekcjonują bardzo duże ilości danych o użytkownikach swoich serwisów, nabywcach usług lub produktów, czy po prostu osobach odwiedzających strony internetowe. Może Ci się wydawać, że przetwarzasz zupełnie nieistotne dane. Adres e-mail czy adres do korespondencji może w Twoich oczach być mało interesującą informacją o danej osobie. Dla kogoś, kto buduje profil osoby, lub – co gorsza – próbuje jej skraść tożsamość, dane, które przetwarzasz, mogą być bezcenne. Włamanie się do serwisów internetowych, czy Twojego laptopa, w cale nie musi być najprostszą formą ich zdobycia. Para badaczy z branży cybersecurity i infosec udowodniła, że niefrasobliwość przedsiębiorców w wypełnianiu ich obowiązków wynikających z RODO, może działać na szkodę obywateli powierzających swoje dane. A udostępnienie danych nieuprawnionej osobie może na administratora danych osobowych ściągnąć duże kary finansowe.

Czytaj dalej
RODO przy rezygnacji z newslettera

RODO przy rezygnacji z newslettera

RODO przy rezygnacji z newslettera

W jednym z poprzednich artykułów opisywałem przykład pułapki, w którą możesz wpaść, gdy nowa osoba zapisuje się jako odbiorca Twojego newslettera. Ważne jest odpowiednie wypełnienie obowiązku informacyjnego w stosunku do osoby zapisującej się na naszą listę – zdecydowanie nie wystarczy zapisać stosowne informacje w polityce prywatności. Należy jasno w formularzu, w którym zbieramy dane wyjaśnić cel ich przetwarzania. Jednak pułapki czają się też, gdy ktoś rezygnuje z Twojego newslettera. Sam doświadczyłem takiej sytuacji i chcę Ci o niej opowiedzieć. Może ona potencjalnie sprowadzić na Ciebie kłopoty.

Czytaj dalej
Szyfrowanie dysku, czyli jak unikniesz zgłaszania incydentu

Szyfrowanie dysku, czyli jak unikniesz zgłaszania incydentu

Szyfrowanie dysku, czyli jak unikniesz zgłaszania incydentu

Nawet dla laika komputerowego jest dość oczywistym stwierdzenie, że dane, które zapisujemy w postaci zaszyfrowanej, są bezpieczniejsze. Jeżeli nie zaszyfrowaliśmy nośnika, niezależnie czy to jest dysk twardy, karta pamięci, czy pendrive, każda osoba, która go znajdzie i podłączy uzyska dostęp do zapisanych na nim danych. Dlatego szyfrowanie dysku w komputerze powinno być jedną z podstawowych rzeczy, które robi na firmowych komputerach każdy przedsiębiorca.

Przetwarzanie danych to między innymi czynności takie jak zapisywania, przechowywanie, odczytywania czy usuwanie. Oznacza to, że arkusz Excela na Twoim laptopie, nawet gdy z niego nie korzystasz, to nadal jest to czynność przetwarzania danych. Każda kradzież komputera, telefonu czy tabletu, na którym były zapisane dane osobowe, jest w RODO incydentem. Każdy incydent musisz odnotować, lecz nie każdy musisz zgłaszać do Urzędu Ochrony Danych Osobowych. Szyfrowanie dysku oraz przestrzeganie jednej prostej zasady Cię przed tym uchroni.

Czytaj dalej
Proste zasady używanie komórki i laptopa, które uchronią cię przed karami z rodo (część I)

Proste zasady używania komórki i laptopa, które uchronią Cię przed karami z RODO (część I)

Proste zasady używanie komórki i laptopa, które uchronią cię przed karami z rodo (część I)

W ostatnich dniach głośnym echem przez media przeszła sprawa aplikacji FaceApp pozwalającej na modyfikację wizerunku osoby ze zdjęcia. Niezwykle popularna stała się funkcja pozwalająca zobaczyć, jak osoba ze zdjęcia może wyglądać za 20-30 lat. Odezwały się głosy urzędników z Ministerstwa Cyfryzacji o niebezpieczeństwa utraty danych z telefonu, czy specjalistów od bezpieczeństwa z Niebezpiecznika o tym, jak sprzedajemy swoje dane w zamian za darmowe aplikacje. A co jeżeli w taki sam nierozważny sposób używamy służbowego telefonu? Czy narażamy się na wyciek danych, incydent przetwarzania, kary i utratę reputacji? Zdecydowanie tak, dlatego musisz zmienić swoje przyzwyczajenia i na początek wdrożyć proste zasady używania komórki i laptopa.

Czytaj dalej
Programista a RODO

Programista a RODO

Programista a RODO

Programiści stanowią grupę zawodową, która bardzo często ma bezpośredni dostęp do danych osobowych. Zarówno w trakcie utrzymywania aplikacji, jak i jej tworzenia czy testowania. Bardzo często nie są to dane zanonimizowane, lecz te, które administrator wykorzystuje produkcyjnie. RODO narzuca wiele obowiązków związanych z tym, w jaki sposób przetwarzanie danych ma się odbywać, lecz nie narzuca żadnych rozwiązań technicznych.  Programista lub architekt sam musi o nich zadecydować. Stąd niezwykle ważna w tym procesie jego rola. Nie tylko powinien on dbać należycie o przetwarzanie danych, ale o całą architekturę aplikacji czy serwisu WWW.

Czytaj dalej
Naruszenie ochrony danych

Naruszenie ochrony danych – nie panikuj, tylko się przygotuj

Naruszenie ochrony danych

Odpowiedzialny administrator danych osobowych dba o to, by odpowiednio zabezpieczyć wszystkie zagadnienia związane z przetwarzaniem danych osobowych. Polega to zarówno na wprowadzeniu odpowiednich technicznych środków ochrony, procedur, szkoleniu pracowników i współpracowników, jak i podpisaniu odpowiednich upoważnień czy umów powierzenia. Odpowiedzialny administrator jest też przygotowany na sytuację, gdy nastąpi incydent związany z naruszeniem ochrony danych. Specjaliści od analizy ryzyka i bezpieczeństwa są zgodni, że należy myśleć w kategoriach „kiedy nastąpi”, a nie „czy nastąpi” takie naruszenie. Po prostu żyjemy i pracujemy w świecie elektroniki i technologii, a najbardziej zawodnym zawsze będzie czynnik ludzki. Dlatego ważne jest, aby administrator danych osobowych wiedział, jakie ciążą w takiej sytuacji na nim obowiązki. To właśnie z tytułu niewłaściwego postępowania, czy wręcz próby zatajenia informacji o naruszeniu, UODO może nakładać najbardziej dotkliwe kary finansowe.

Czytaj dalej
Umowa powierzenia w Google G Suite

Umowa powierzenia w Google G Suite

Umowa powierzenia w Google G Suite

Każdy przedsiębiorca korzysta z usług firm trzecich. Mogą to być dostawcy towarów, kurierzy czy biuro prowadzące księgowość, a także dostawca poczty elektronicznej. Jeżeli firma ta ma dostęp do danych osobowych, musisz podpisać z nią umowę powierzenia. Umowa taka reguluje relacje pomiędzy administratorem danych osobowych (czyli Tobą), a podmiotem przetwarzającym, czyli firmą realizującą dla Ciebie usługi. Jeżeli korzystasz z pakietu biurowego czy komercyjnej poczty GMail to stosowną umowę musisz podpisać z Google. Nie robisz tego jedna w tradycyjny, papierowy sposób. W tym artykule pokarzę jak wygląda umowa powierzenia w Google G Suite oraz jak odczytać jej treść i ją zaakceptować.

Czytaj dalej
Minimalizacja, czyli jak nie zapłacić kary za zbieranie danych

Minimalizacja, czyli jak nie zapłacić kary za zbieranie danych osobowych

Minimalizacja, czyli jak nie zapłacić kary za zbieranie danych

Artykuł 5 RODO wprowadza kilka zasad dotyczących przetwarzania danych osobowych. Jedną z nich jest zasada minimalizacji danych. Prawdopodobnie jest to jedna z zasad, co do których możliwe są najszersze interpretacje, a która też potencjalnie może na przedsiębiorców ściągnąć bolesne konsekwencje finansowe w przypadku stwierdzenia naruszenia. Minimalizacja jest dokładnie w RODO zdefiniowana, dokładny zapis tego punktu brzmi:

1. Dane osobowe muszą być: c) adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”);

RODO, Artykuł 5, punkt 1, lit.c)

W praktyce dla każdego administratora danych osobowych oznacza to tyle, że nie może on gromadzić więcej danych osobowych, niż jest to niezbędne do wykonania danej czynności. Określenie tego zbioru minimalnych danych może stanowić problem lub pole do interpretacji. Ważne jest, aby decyzja była podjęta przez przedsiębiorcę świadomie. Dlatego należy ją poprzedzić analizą tego, jakie czynności w przedsiębiorstwie się wykonuje i jakie dane osobowe są do nich niezbędne. O samym procesie analizy napisałem w swoim poradniku.

Przyjrzyjmy się trzem sytuacjom, gdzie minimalizacja zbieranych danych ma znaczenie.

Czytaj dalej