Proste zasady używanie komórki i laptopa, które uchronią cię przed karami z rodo (część I)

Proste zasady używania komórki i laptopa, które uchronią Cię przed karami z RODO (część I)

Proste zasady używanie komórki i laptopa, które uchronią cię przed karami z rodo (część I)

W ostatnich dniach głośnym echem przez media przeszła sprawa aplikacji FaceApp pozwalającej na modyfikację wizerunku osoby ze zdjęcia. Niezwykle popularna stała się funkcja pozwalająca zobaczyć, jak osoba ze zdjęcia może wyglądać za 20-30 lat. Odezwały się głosy urzędników z Ministerstwa Cyfryzacji o niebezpieczeństwa utraty danych z telefonu, czy specjalistów od bezpieczeństwa z Niebezpiecznika o tym, jak sprzedajemy swoje dane w zamian za darmowe aplikacje. A co jeżeli w taki sam nierozważny sposób używamy służbowego telefonu? Czy narażamy się na wyciek danych, incydent przetwarzania, kary i utratę reputacji? Zdecydowanie tak, dlatego musisz zmienić swoje przyzwyczajenia i na początek wdrożyć proste zasady używania komórki i laptopa.

Czytaj dalej
Naruszenie ochrony danych

Naruszenie ochrony danych – nie panikuj, tylko się przygotuj

Naruszenie ochrony danych

Odpowiedzialny administrator danych osobowych dba o to, by odpowiednio zabezpieczyć wszystkie zagadnienia związane z przetwarzaniem danych osobowych. Polega to zarówno na wprowadzeniu odpowiednich technicznych środków ochrony, procedur, szkoleniu pracowników i współpracowników, jak i podpisaniu odpowiednich upoważnień czy umów powierzenia. Odpowiedzialny administrator jest też przygotowany na sytuację, gdy nastąpi incydent związany z naruszeniem ochrony danych. Specjaliści od analizy ryzyka i bezpieczeństwa są zgodni, że należy myśleć w kategoriach „kiedy nastąpi”, a nie „czy nastąpi” takie naruszenie. Po prostu żyjemy i pracujemy w świecie elektroniki i technologii, a najbardziej zawodnym zawsze będzie czynnik ludzki. Dlatego ważne jest, aby administrator danych osobowych wiedział, jakie ciążą w takiej sytuacji na nim obowiązki. To właśnie z tytułu niewłaściwego postępowania, czy wręcz próby zatajenia informacji o naruszeniu, UODO może nakładać najbardziej dotkliwe kary finansowe.

Czytaj dalej
Umowa powierzenia w Google G Suite

Umowa powierzenia w Google G Suite

Umowa powierzenia w Google G Suite

Każdy przedsiębiorca korzysta z usług firm trzecich. Mogą to być dostawcy towarów, kurierzy czy biuro prowadzące księgowość, a także dostawca poczty elektronicznej. Jeżeli firma ta ma dostęp do danych osobowych, musisz podpisać z nią umowę powierzenia. Umowa taka reguluje relacje pomiędzy administratorem danych osobowych (czyli Tobą), a podmiotem przetwarzającym, czyli firmą realizującą dla Ciebie usługi. Jeżeli korzystasz z pakietu biurowego czy komercyjnej poczty GMail to stosowną umowę musisz podpisać z Google. Nie robisz tego jedna w tradycyjny, papierowy sposób. W tym artykule pokarzę jak wygląda umowa powierzenia w Google G Suite oraz jak odczytać jej treść i ją zaakceptować.

Czytaj dalej
Minimalizacja, czyli jak nie zapłacić kary za zbieranie danych

Minimalizacja, czyli jak nie zapłacić kary za zbieranie danych osobowych

Minimalizacja, czyli jak nie zapłacić kary za zbieranie danych

Artykuł 5 RODO wprowadza kilka zasad dotyczących przetwarzania danych osobowych. Jedną z nich jest zasada minimalizacji danych. Prawdopodobnie jest to jedna z zasad, co do których możliwe są najszersze interpretacje, a która też potencjalnie może na przedsiębiorców ściągnąć bolesne konsekwencje finansowe w przypadku stwierdzenia naruszenia. Minimalizacja jest dokładnie w RODO zdefiniowana, dokładny zapis tego punktu brzmi:

1. Dane osobowe muszą być: c) adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”);

RODO, Artykuł 5, punkt 1, lit.c)

W praktyce dla każdego administratora danych osobowych oznacza to tyle, że nie może on gromadzić więcej danych osobowych, niż jest to niezbędne do wykonania danej czynności. Określenie tego zbioru minimalnych danych może stanowić problem lub pole do interpretacji. Ważne jest, aby decyzja była podjęta przez przedsiębiorcę świadomie. Dlatego należy ją poprzedzić analizą tego, jakie czynności w przedsiębiorstwie się wykonuje i jakie dane osobowe są do nich niezbędne. O samym procesie analizy napisałem w swoim poradniku.

Przyjrzyjmy się trzem sytuacjom, gdzie minimalizacja zbieranych danych ma znaczenie.

Czytaj dalej
Czy darmowa skrzynka e-mail jest zgodna z RODO?

Darmowa skrzynka e-mail a RODO

Czy darmowa skrzynka e-mail jest zgodna z RODO?

Praktycznie nie istnieją już chyba przedsiębiorstwa, które mogą obejść się bez poczty elektronicznej. Służy nam ona do kontaktu z klientami, partnerami handlowymi czy urzędami administracji publicznej. W samych listach znajdują się natomiast dane osobowe, które przetwarzamy poprzez odbieranie, przechowywanie, przesyłanie czy kasowanie wiadomości. Zatem usługa poczty elektronicznej musi być zgodna z RODO. Czy zatem darmowy e-mail możemy za taki uznać?

Czytaj dalej

Pułapki technicznych zapisów w polityce prywatności, których chcesz unikać

Formą wypełnienia obowiązku informacyjnego ciążącego na przedsiębiorcy jest publicznie dostępna polityka prywatności. Jest to dokument opisujący jakie dane przedsiębiorca przetwarza, w jakim celu, jak długo czy jakim podwykonawcom dane przekazuje. RODO stawia tylko jeden warunek dotyczący realizacji obowiązku informacyjnego – forma przekazu ma być jasna i zrozumiała dla odbiorcy. Dlatego oprócz tradycyjnych regulaminów możemy też spotkać polityki prywatności w formie piktogramów i innych graficznych form przekazu. Niezależnie od tego, jaką formę przekazu wybierzesz, musisz pamiętać, że polityka prywatności nie jest zbiorem życzeń. Nie może opisywać tego, co chcielibyśmy z danymi osobowymi robić tylko to, co rzeczywiście robimy. 

Często w polityce prywatności zawartych jest sporo szczegółów technicznych opisujących wykorzystywane systemy teleinformatyczne czy zasady postępowania osób zatrudnionych. Warto czasem wyjść z butów przedsiębiorcy i spojrzeć od strony konsumenta czy wszystkie informacje umieszczone w dokumencie niosą dla niego konkretną wartość, czy może jedynie bez potrzeby rozbudowują objętość dokumentu. Szczegółowe zapisy, w przypadku gdy ich nie spełniamy, mogą być też przyczyną nałożenia na nas kar przez UODO w przypadku kontroli i utraty wiarygodności, gdyby doszło do wycieku danych.

Przyjrzyjmy się zatem kilku zapisom, które można w politykach prywatności spotkać – zarówno od wartości merytorycznej ich umieszczania, jak i informatycznej strony ich spełnienia. Pamiętaj, proszę, że za to, co znajduje się w dokumencie, odpowiadasz Ty jako przedsiębiorca i musi ona odzwierciedlać sposób, w jaki Twoja firma działa oraz jak budujesz jej wizerunek. Dobrze skonstruowana polityka prywatności jest elementem wizerunkowym.

Czytaj dalej...