W jaki sposób należy oceniać kwalifikacje osoby kandydującej do pełnienia funkcji IOD?

 UODO jasno określiło te wymagania w swojej publikacji:

Cyt "IOD jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań, o których mowa w art. 39 RODO.

Wymagany od inspektora poziom wiedzy fachowej nie jest jednoznacznie określony, ale zgodnie z Wytycznymi dotyczącymi IOD musi być on współmierny do charakteru, skomplikowania i ilości danych przetwarzanych w ramach jednostki. Wyższy poziom wiedzy powinien być wymagany np. w przypadku:

• wyjątkowo skomplikowanych procesów przetwarzania,
• przetwarzania dużej ilości danych szczególnych kategorii,
• podmiotów regularnie przekazujących dane do państw trzecich.

IOD powinien mieć odpowiednią wiedzę z zakresu krajowych, europejskich oraz sektorowych przepisów i praktyk w zakresie ochrony danych osobowych, a także dogłębną znajomość RODO. Jednocześnie powinien posiadać odpowiednią wiedzę na temat:

• procesów przetwarzania, systemów informatycznych oraz zabezpieczeń stosowanych u administratora,
• sektora, w którym działa administrator,
• procedur administracyjnych i funkcjonowania jednostki.

Jeśli chodzi o osobiste cechy IOD kwalifikujące go do wykonywania funkcji, to są to: rzetelne podejście i wysoki poziom etyki zawodowej.

Ocena kompetencji osoby do wykonywania zadań wymaga uwzględnienia charakteru i zakresu zadań inspektora. Zgodnie z przepisami RODO, inspektor będzie miał m.in. obowiązek identyfikowania poszczególnych obowiązków ciążących na mocy RODO na administratorze (w tym kierownictwie i wszystkich osobach przetwarzających dane) oraz podmiocie przetwarzającym (w tym kierownictwie i wszystkich osobach przetwarzających dane osobowe), informowania o nich oraz doradzania w zakresie tych obowiązków. Specjalnego merytorycznego przygotowania wymaga udzielanie administratorowi i podmiotowi przetwarzającemu zaleceń co do oceny skutków dla ochrony danych (więcej na temat roli inspektora w ocenie skutków dla ochrony danych w Wytycznych Grupy Roboczej Art. 29 dotyczących inspektorów ochrony danych (DPO) oraz w Wytycznych Grupy Roboczej Art. 29 dotyczących oceny skutków dla ochrony danych). Ważnym zadaniem IOD jest obowiązek pełnienia roli punktu kontaktowego dla organu nadzorczego i punktu kontaktowego dla osób, których dane dotyczą (art. 38 ust. 4 RODO).

Grupa Robocza Art. 29 w Wytycznych dotyczących inspektorów ochrony danych (DPO)w odniesieniu do umiejętności wykonywania zadań inspektora wskazuje, że priorytetem dla niego powinno być zapewnienie przestrzegania RODO. IOD ma zatem odgrywać kluczową rolę w zakresie wspierania „kultury ochrony danych” oraz pomagać w implementacji niezbędnych elementów RODO, tj.:

• zasad przetwarzania danych osobowych,
• praw osób, których dane dotyczą,
• ochrony danych w fazie projektowania oraz domyślnej ochrony danych,
• rejestru czynności przetwarzania,
• wymogów bezpieczeństwa przetwarzania,
• zgłaszania naruszeń.

Znaczenie fachowej wiedzy w zakresie prawa i praktyki zostało dodatkowo podkreślone przez zobowiązanie administratorów i podmiotów przetwarzających do zapewnienia IOD zasobów niezbędnych do utrzymania wysokiego i aktualnego poziomu wiedzy (art. 38 ust. 2 RODO). Wymóg uaktualniania wiedzy i zapewnienia na to środków finansowych jest uzasadniony wobec zmieniającego się stale stanu wiedzy technicznej, rozwoju technologicznego i postępu wielkoskalowych metod przetwarzania danych.

IOD powinien kształcić się, rozwijać swoje doświadczenia i umiejętności w różnych formach edukacyjnych, a możliwość powołania się na wskazany art. 38 ust. 2 RODO może być mu bardzo pomocny w uzyskaniu niezbędnych na to środków finansowych.

Mimo, iż RODO bardzo mocno akcentuje wymóg wiedzy i fachowości IOD, nie reguluje zasad czy trybu weryfikacji spełnienia tego wymogu. Niemniej certyfikaty, dyplomy oraz inne dokumenty poświadczające wiedzę i doświadczenie inspektora niewątpliwie w większości przypadków będą ważnym kryterium kwalifikacyjnym i argumentem przemawiającym na korzyść osoby wyznaczanej do pełnienia tej funkcji."

Dlatego warto sprawdzać jego kwalifikacje przed zleceniem a nawet jak mamy IODę u siebie na pokładzie to można zlecić zewnętrznemu fachowcowi monitoring interesującego nas procesu i tym samym spełnić wymogi art 32 ust 1 lit d) RODO- "regularne testowanie". 

Realizacji swoich praw żądaj najpierw od administratora

Jeżeli uważasz, że ktoś nieprawidłowo postępuje z Twoimi danymi, to z nim (lub z wyznaczonym przez niego IOD) skontaktuj się w pierwszej kolejności i zażądaj wyjaśnień lub spełnienia Twojego żądania, np. sprostowania danych, odnotowania sprzeciwu, usunięcia danych. Całą czynność dokumentuj w postaci maili (w pdf), zrzutów ekranu czy nagrań rozmów.  Większość firm podaje na stronie internetowej dane do Inspektora Ochrony Danych (IOD) tu przykład Orlenu:

oraz dane IOD (zanonimizowane, ponieważ jest inny cel przetwarzania niż cel opublikowania):

Jeżeli nie ma IODy to piszemy na główny maile kontaktowy firmy w zakładce KONTAKTY

jak przeprowadzić kontrolę trzeźwości pracowników?

ChatGPT odpowiedział na pytanie: jak przeprowadzić taką kontrolę trzeźwości pracowników?

Aby przeprowadzić kontrolę trzeźwości pracowników, pracodawca powinien przestrzegać następujących kroków:
1. Uzasadnienie potrzeby przeprowadzenia kontroli: Pracodawca musi mieć uzasadniony interes do przeprowadzenia kontroli trzeźwości pracownika, na przykład w przypadku, gdy pracownik wykonuje prace związane z bezpieczeństwem lub wykonuje prace w warunkach szczególnego zagrożenia.
2. Informowanie pracowników: Pracodawca powinien poinformować pracowników o celu, zakresie i podstawie prawnej przeprowadzania kontroli trzeźwości oraz o ich prawach związanych z ochroną danych osobowych.
3. Przeprowadzanie kontroli: Kontrola powinna być przeprowadzana przez odpowiedni personel, taki jak lekarz lub pielęgniarka, w sposób nienaruszający godności pracownika i przestrzegający jego prywatności. Wynik kontroli powinien być protokółowany.
4. Podejmowanie działań: Jeśli wynik kontroli jest pozytywny, pracodawca może podjąć działania dyscyplinarne zgodnie z przepisami Kodeksu Pracy.
5. Ochrona danych osobowych: Pracodawca powinien zapewnić odpowiednie zabezpieczenie danych osobowych związanych z kontrolą trzeźwości, aby zapewnić przestrzeganie przepisów RODO.

Związek Zawodowy w komisji zakładowej.

 

Pracownik zakładu, który został wyznaczony z ramienia związków zawodowych do komisji do spraw płac reprezentuje w niej interesy związku zawodowego a z punktu widzenia RODO reprezentuje samodzielnego administratora danych osobowych (ADO) czyli związek zawodowy. 

Mamy tutaj sytuację, w której w komisji występuje dwóch niezależnych administratorów, czyli pracodawca i związek zawodowy i każdy z nich musi zadbać od zgodność z RODO. 

Ponieważ w komisji będą przetwarzane informacje o zarobkach pracowników to jedyną podstawą przetwarzania jest zgoda i tą zgodę ma uzyskać każdy z administratorów. 

Pracownik działający z ramienia związków musi pamiętać, że grozi mu nie tylko RODO ale również odpowiedzialność karna z artykułu 107 ustawy o ochronie danych osobowych. Grozi mu grzywna, kara ograniczenia wolności albo pozbawienie wolności do lat 2.

Adres pracownika a organizacja przewozów pracowniczych.

 

Czy przełożony może przetwarzać adres pracownika w celu zorganizowania przewozu pracowniczego?

Nie.

Ponieważ adres pracownika podawany przy zatrudnianiu ma inny cel przetwarzania niż organizacja przewozu pracowniczego a dalsze przetwarzanie niezgodnie z tymi celami jest zabronione. Pracodawca powinien tak zorganizować system aby pracownik mógł zapoznać się z trasami przewozów i sam wybrać przystanek z którego będzie odbierany lub złożyć propozycję takiego przystanku na trasie.

Priorytety działania

 

Wykonując analizę ryzyka otrzymamy rożne poziomy współczynnika ryzyka, od 0 do 25 (5*5=25). Jednak należy ustalić priorytety działania na zagrożenie. Widomo, że im wyższy tym szybsza reakcja. Dlatego warto określić priorytety i przyporządkować im czas reakcji (rys). Przykładowo A3 to priorytet „czerwony”, ale z realizacją do 7 dni lub reakcją, co 7 dni, jeżeli zagadnienia nie da się szybko rozwiązać. Dla „żółtych” pól mamy B2 czyli czas reakcji do 30 dni. Co w przypadku, kiedy wiemy, że zagadnienie potrwa 6 miesięcy? Ustalamy w kalendarzu powrót do tematu, co 30 dni, aby zapytać, na jakim etapie działań jesteśmy.

RODO A OSOBA ZMARŁA

 

Zgodnie z motywem (27) "Niniejsze rozporządzenie nie ma zastosowania do danych osobowych osób zmarłych. Państwa członkowskie mogą przyjąć przepisy o przetwarzaniu danych osobowych osób zmarłych. " Czyli RODO nie stosujemy do osób zmarłych ale należy pamiętać, że informacje o osobach zmarłych chronione są na gruncie przepisów szczególnych. - Osobom bliskim przysługuje bowiem prawo do ochrony ich dobra osobistego, jakim jest kult pamięci osoby zmarłej.

Prawo to podlega ochronie prawnej na podstawie art. 24 k.c. (por. wyrok SN z dnia 12.07.1968 r., sygn. akt I CR 252/68, publik. OSNC 1970/1/18) 

KC:
Art. 23.
Dobra osobiste człowieka, jak w szczególności zdrowie, wolność, cześć, swoboda sumienia, nazwisko lub pseudonim, wizerunek, tajemnica korespondencji, nietykalność mieszkania, twórczość naukowa, artystyczna, wynalazcza i racjonalizatorska, pozostają pod ochroną prawa cywilnego niezależnie od ochrony przewidzianej w innych przepisach.
Art. 24.
§ 1. Ten, czyje dobro osobiste zostaje zagrożone cudzym działaniem, może żądać zaniechania tego działania, chyba że nie jest ono bezprawne. W razie dokonanego naruszenia może on także żądać, ażeby osoba, która dopuściła się naruszenia, dopełniła czynności potrzebnych do usunięcia jego skutków, w szczególności ażeby złożyła oświadczenie odpowiedniej treści i w odpowiedniej formie. Na zasadach przewidzianych w kodeksie może on również żądać zadośćuczynienia pieniężnego lub zapłaty odpowiedniej sumy pieniężnej na wskazany cel społeczny.
§ 2. Jeżeli wskutek naruszenia dobra osobistego została wyrządzona szkoda majątkowa, poszkodowany może żądać jej naprawienia na zasadach ogólnych.
§ 3. Przepisy powyższe nie uchybiają uprawnieniom przewidzianym w innych przepisach, w szczególności w prawie autorskim oraz w prawie wynalazczym.
Art. 448.
W razie naruszenia dobra osobistego sąd może przyznać temu, czyje dobro osobiste zostało naruszone, odpowiednią sumę tytułem zadośćuczynienia pieniężnego za doznaną krzywdę lub na jego żądanie zasądzić odpowiednią sumę pieniężną na wskazany przez niego cel społeczny, niezależnie od innych środków potrzebnych do usunięcia skutków naruszenia. Przepis art. 445 § 3 stosuje się. 

MONITORING GPS

 

Monitoring GPS pojazdów służbowych może być prowadzony wówczas, gdy jest on niezbędny do zapewnienia organizacji pracy umożliwiającej pełne wykorzystanie czasu pracy oraz właściwego użytkowania udostępnionych pracownikowi narzędzi pracy art. 22 (3) KP §1 . Narzędziem pracy będzie w tym przypadku samochód służbowy. Co ciekawe monitoring ten nie ma ograniczenia do 3 miesięcznego okresu przetwarzania, co wynika z zapisu §3 tego artykułu. Czyli dane z GPS mogą być przechowywane dłużej. Jednak należy być ostrożnym w stosowaniu, ponieważ co, kiedy pracownik pojedzie do lekarza lub wstąpi do domu? Zgodnie ze stanowiskiem Grupy Roboczej Art. 29, należy przeprowadzić test balansu.

IODA A UPOWAŻNIENIA

 

Podstawowy zakres zadań IOD, wśród których na próżno szukać jednak tych związanych z nadawaniem pracownikom administratora upoważnień do przetwarzania danych osobowych, określony został przez unijnego ustawodawcę w art. 39 ust. 1 rozporządzenia 2016/679, niemniej jednak zgodnie z art. 38 ust. 6 ww. rozporządzenia IOD może wykonywać też inne zadania i obowiązki, o ile administrator lub podmiot przetwarzający zapewni, aby te zadania i obowiązki nie powodowały konfliktu interesów. Należy jednak przyjąć, że z uwagi na specyfikę zadań IOD ogniskujących się na doradzaniu oraz kontrolowaniu działalności administratora pod kątem zgodności operacji przetwarzania danych osobowych z przepisami o ochronie danych osobowych, administrator nie powinien przyznawać IOD uprawnień do nadawania w jego imieniu upoważnień do przetwarzania danych osobowych, pozostawiając IOD w procedurze wydawania upoważnień do przetwarzania danych osobowych sprawowanie funkcji doradczej i nadzorczej. Przyjęcie odmiennego założenia, w którym IOD byłby odpowiedzialny za przeprowadzenie tej procedury, a jednocześnie miałby monitorować jej zgodność z przepisami o ochronie danych osobowych, do czego zobowiązuje go unormowanie zawarte w art. 39 ust. 1 lit. b) rozporządzenia 2016/679, doprowadziłoby w efekcie do sytuacji, gdzie IOD sprawowałby nadzór nad własną działalnością, a więc do konfliktu interesów, czego wprost zakazuje art. 38 ust. 6 rozporządzenia 2016/679. Wyraźnego podkreślenia wymaga fakt, iż IOD, cechujący się szczególnym statusem w dziedzinie zapewniania właściwego przestrzegania przepisów o ochronie danych osobowych, musi mieć dla tego celu zagwarantowane odpowiednie warunki funkcjonowania, a więc takie, które pozwolą mu na efektywną, niezależną oraz prawidłową realizację obowiązków wynikających z przepisów prawa, co wynika z art. 38 ust. 2 i3 rozporządzenia 2016/679. 

Decyzja PUODO nr ZWAD.405.31.331.2019 z dnia 22.09.2020r.

COFNIĘCIE ZGODY NA TELEFON

 Pracownik cofnął zgodę na przetwarzanie jego prywatnej komórki.

Zobacz film na You Tube:

https://youtu.be/A58PXGQpfZc

PUBLIKACJA ZDJĘĆ.

 Publikacja danych osobowych (wizerunku) wymaga oparcia o odpowiednią podstawę przetwarzania w RODO. Ale konieczna jest zgoda osoby, której ten wizerunek dotyczy. Zezwolenie nie jest wymagane gdy:

osoba otrzymała umówioną zapłatę za pozowanie,

upubliczniany jest wizerunek osoby fizycznej będącej szczegółem większej całości, takiej jak zgromadzenie, krajobraz lub publiczna impreza.

publikacja dotyczy osoby powszechnie znanej, jeżeli wizerunek wykonano w związku z pełnieniem przez nią funkcji publicznych.

 

W szczególności musimy uważać na zdjęcia ze spotkań czy naszej działalności biznesowej, aby nie znalazły się na nich osoby postronne.

Zdj. istockphoto-1201409294-612x612

Odrębnym zagadnieniem są prawa autorskie do wizerunku, bo co jak pracownik odejdzie z pracy albo zażąda zapomnienia?

WINDYKACJA VS RODO

 

Wymiana zdań na Li z windykacją nasunęła mi koncepcję postu na ten temat. Oczywiście rozumiem chęć obrony firmy, która ma zarówno inspektora ochrony danych jak i prawnicy napisali im politykę ochrony danych osobowych, jednak nasuwa się kilka podstawowych pytań. Czy pracownik przetwarzający dane zna treść umowy powierzenia czy zna analizę ryzyka i czy zna treść testu balansu? Te fundamentalne pytania pozwalają jednoznacznie określić, jak firma zarządza danymi osobowymi.

Po pierwsze:

1.  w procesie windykacji umowa powierzenia określa zasady przetwarzania danych w imieniu administratora tych danych, czyli wierzyciela;
2. analiza ryzyka informuje nas o zagrożeniach w ramach tego przetwarzania, czyli na co mamy zwrócić uwagę szczególną a na co możemy troszeczkę mniej;
3.  test balansu informuje nas w jakich granicach przetwarzania możemy się poruszać i jakich zabezpieczeń musimy użyć, aby móc przetwarzać dane osobowe.

Te wszystkie informacje są niezbędne dla pracownika, aby wiedział co ma zrobić przy windykacji.

Brak znajomości tych informacji sugeruję, że firma nie przygotowała przetwarzania danych osobowych w zgodzie z RODO. A co za tym idzie może naruszać prawa i wolności osób których dane przetwarza.

Co ma zrobić pracownik, który pracuje w takiej firmie a nie ma takiej wiedzy?

Po pierwsze wypisuje sobie upoważnienie do przetwarzania danych osobowych które podpisuje mu administrator, czyli właściciel firmy lub bezpośredni przełożony, następnie prosi, najlepiej mailowo, bezpośredniego przełożonego i wysyłając do wiadomości inspektora ochrony danych o przekazanie mu umowy powierzenia, analizy ryzyka i testu balansu. Jeżeli bezpośredni przełożonych naskoczy na podwładnego to należy przede wszystkim wydrukować sobie swój zakres obowiązków podpisać go z datą i pozostawić sprawę przyszłości. Robi się tak dlatego aby mieć możliwość udowodnienia, że jako pracownik zrobiliście wszystko, aby przetwarzać zgodnie z RODO. To nie pracownik odpowiada za RODO, ale administrator czyli właściciel firmy natomiast pracownik ma tylko dopilnować że zrobił wszystko aby swój fragment przetwarzanie danych osobowych wykonywać zgodnie z ustawą i rozporządzeniem o RODO.  Maile do przełożonego i inspektora ochrony danych czyli IODy należy wydrukować do pdf-u zachować na komputerze i najlepiej na jakiś dysk aby mieć zapewnioną rozliczalność że w tym zakresie zrobiliśmy wszystko co w naszej mocy. Tak przygotowani czekamy na „dzień sądu” czyli kontrolę UODO w tym zakresie.

SPEDYCJA VS RODO

 

Odwiedzając spedycję od razu można usłyszeć my RODO nie przetwarzamy, wszyscy są na giełdzie prowadzą własną działalność więc śmiało możemy posługiwać się ich danymi jako danymi służbowymi. 

Ok to sprawdźmy: 

Czy Kierowca również prowadzi działalność gospodarczą czy jego komórka jest prywatna czy służbowa? Prowadzimy monitoring GPS a co tydzień Kierowca zajeżdża do domu, czyli pod swój prywatny adres. Zapisy GPS mamy długo, czyli możemy scharakteryzować specyfikę pracy danego kierowcy zużycie paliwa czy sposób jazdy, a więc dane określające jego profil pracownika. Bardzo często dla bezpieczeństwa zakładamy monitoring w kabinie zapominając, że w okresie przerwy Kierowca ma czas wolny i nie może być filmowany, a jeżeli już filmujemy dla ciągłości to okres przechowywania musi być krótkotrwały. W przypadku nagrywania dźwięku w kabinie musimy pamiętać, że przy nagraniu rozmowy prywatnej musi być niezwłocznie usunięta. 

Często odbiorcą ładunku jest klient indywidualny i dostarczamy to pod jego adres prywatny o ile z prawa przewozowego możemy przetwarzać adres dostarczenia przesyłki to należy pamiętać, że przy fotografowaniu momentu odbioru możemy uwzględnić własność prywatną odbiorcy to nie jest już dopuszczalne z przepisów RODO. Należy również pamiętać, że klient indywidualny ma 7 dni na reklamację, ale przy braku w jej wniesienia kończy się podstawa przetwarzania jego danych osobowych. Nie zapominajmy również, że umowę odbiorca ładunku zawarł z kim innym, a więc wymagana jest od nas umowa powierzenia ze zlecającym przewóz. Sytuacja mocno się komplikuje w przypadku, kiedy jedna spedycja powierzyła zadanie innej spedycji i tak łańcuch się rozbudował. 

Jak widać z załączonych opisów w spedycji nie można pominąć zapisów RODO i należy nadać upoważnienia do przetwarzania swoim spedytorem, zawrzeć umowy powierzenia ze zlecającym mi przewóz oraz uważać z monitoringiem i fotografowaniem momentów odbioru przesyłki i oczywiście ma wszystkie te podstawy przeprowadzić testy balansu.

Analiza ryzyka RODO w księgowości

 

UOKIK VS RODO

 

do prokuratury skierowano zawiadomienie przez warszawską spółkę Obligacje Społeczne Prosta S.A. – spółka twierdzi, że Urząd Ochrony Konkurencji i Konsumentów dopuścił się przestępstwa ujawnienia danych osobowych

Link do filmu gdyby nie działał: https://youtu.be/Ap6v2WdrWbE

Link do publikacji: https://blog-daneosobowe.pl/rodo-aktualnosci-08-11-2022-r/

Wizyta u fryzjera w kalendarzu.

 

W ramach promocji firmy sfotografowano pracowników w czasie pracy. W czasie realizacji tego zadania na jednym ze zdjęć, z tyłu w tle, został sfotografowany kalendarz Menedżerki. W kalendarzu tym był zaznaczony dzień wizyty u fryzjera wieczorem. Po kilku dniach w czasie wizyty u fryzjera Menadżerka została okradziona i nikt nie powiązał faktu publikacji z kradzieżą. Jednak po kilku miesiącach intensywnego śledztwa złapano sprawców i wyszło na jaw, że informację, kiedy mogli obrabować mieszkanie zdobyli na podstawie wspomnianego zdjęcia. Teraz mamy dylemat z RODO w którym momencie zostało naruszone prawa i wolności a w którym momencie nastąpiły roszczenia pracownika wobec nieroztropnego pracodawcy. Naruszenie praw i wolności nastąpiło z chwilą publikacji zdjęcia i wymagała sprawdzenia czy należało powiadomić UODO. Natomiast roszczenie z artykułu 82 RODO nastąpiło z chwilą zidentyfikowania powodów dzięki którym sprawcy włamali się do mieszkania Menedżerki. Oczywiście zgodnie z kodeksem cywilnym może wystąpić wobec autora zdjęcia jest tutaj dowolna kolejność czy najpierw Autor zdjęcia a później administrator czy na odwrót.

Administrator ma dodatkowy obowiązek ponownego dokonania analizy możliwości naruszenia praw i wolności menedżerki w wyniku publikacji zdjęcia z chwilą, kiedy poinformowała o korelacji między publikacją a kradzieżą. W tym wypadku jednak ryzyka są większe co raczej oznacza, że do takiego zawiadomienia musi dojść. Jednym z dokumentów, których zażąda UODO będzie analiza ryzyka tego przedsięwzięcia. Problem polega na tym czy administrator ma udokumentowaną wykonanie takiej analizy przed zdjęciami i również po. Zadanie wyjaśnienia tego i udowodnienia spoczywa na administratorze, czyli właścicielu firmy.

MONITORING ROZMÓW a NAGRANY GŁOS

 

Kiedy 2 lata temu wyjaśniałem wymogi jakie należy spełnić według RODO w przypadku rejestracji rozmów telefonicznych z punktem obsługi klienta to naskoczyli wtedy na mnie wszyscy ze związkami zawodowymi włącznie. Po ogromnej burzy i ciężkiej walce udało mi się wyjaśnić jakie zasady musimy spełnić i co dopracować, aby takie przetwarzanie mogło zaistnieć w spółce. Proces przetwarzania był tak istotny, że w rejestrze czynności przetwarzania wyróżniłem go jako osobną czynność pod nazwą MONITORING ROZMÓW a głos określono jako kategorie danych. Dziś mogę z satysfakcją stwierdzić, że UODO w najnowszym newsletterze potwierdziło stworzone przeze mnie wtedy tezy i przyjęte rozwiązania. Kontekstowość RODO w stosunku do pozostałych przepisów tworzy ciekawe rozwiązania w praktyce i to jest chyba najistotniejsza rzecz, która Mnie fascynuje w RODO. Pewnie ze względu na to wyzwanie tak mocno zaangażowałem się rozporządzenie i przyjąłem funkcję Inspektora jako swój zawód. Co ciekawe, w stosunku do przepisów chroniących tajemnice państwowe, RODO stwarza mniej wymagań i obostrzeń, ale tak naprawdę jest cząstką ich.  Najbardziej ciekawi Mnie fakt, że rozporządzenie jest bardzo elastyczne i w zależności od dostępnych zastosowań technicznych można inaczej organizować przetwarzanie danych osobowych. Ta właśnie cecha tego rozporządzenia jest najbardziej interesująca i daje najwięcej satysfakcji przy zorganizowaniu takiego przetwarzania. Oczywiście rola inspektora ogranicza się do monitorowania doradzania i szkolenia, ale tak naprawdę to jest to osoba, która daje sugestie jak ma być to rozwiązane bo bez tych sugestii większość ludzi nie jest w stanie opanować przetwarzanie danych osobowych.

ZAPIS GŁOSU

 

„Wystarczy, że wypowiemy kilka zdań a aplikacja w telefonie stwierdzi, czy powinniśmy iść do kardiologa! Przyszłość diagnozowania zaburzeń serca! Dr Daria Hemmerling z AGH University of Science and Technology wykorzystuje biomarkery głosu do diagnostyki chorób serca i choroby Parkinsona! Głos może być naturalny, inspirujący, uwodzicielski, spokojny, wesoły, dojrzały, dziecięcy, subtelny, znany lub mniej znany. Może być też wysoki, albo niski, szepczący lub krzyczący. Okazuje się jednak, że głos może być też diagnostykiem. Bierzemy do ręki smartfona, uruchamiamy aplikację medyczną i wypowiadamy kilka zdań. Po chwili aplikacja informuje nas, czy ból serca który czujemy, wymaga konsultacji kardiologicznej. Dla dr Darii Hemmerling głos to przede wszystkim biomarker, który podlega obiektywnym pomiarom, i którego zmiany odzwierciedlają przebieg procesów biologicznych w naszym organizmie. Najważniejsze są tu samogłoski. Uznaje się, że sygnał, jaki generują ludzie w trakcie wypowiadania samogłosek jest stabilny, a zaburzyć go może właśnie proces chorobowy. Dr Hemmerling zdołała zidentyfikować pewne cechy głosu, które ulegają zmianie w rozwoju choroby Parkinsona. Dziś pracuje nad projektem, który pomoże wykorzystywać głos do diagnostyki chorób kardiologicznych.” Jak w poście na Li napisał Dr Maciej Kawecki. 

Teraz się zastanówmy jakie skutki wprowadzi ta technologia, jeżeli zostanie udostępniona za free i to nawet tylko w częściowej formie a firmy gromadzą nagrania głosowe swoich klientów lub potencjalnych klientów. Zgodnie z art. 32 firma ma obowiązek zapewnić bezpieczeństwo przetwarzania a w tym momencie takie nagranie po poddaniu obróbce może zidentyfikować dane dotyczące zdrowia, czyli art. 9 RODO a te dane przetwarzamy tylko w wyjątkowych sytuacjach a pierwotna zgoda na nagranie tu nie będzie obowiązywać, ponieważ zmienił się cel przetwarzania. A co w przypadku, kiedy pracownicy mający dostęp do tych nagrań zaczną je analizować pod tym względem i handlować z innym firmami takimi danymi? To firma odpowiada za odpowiednie zabezpieczenie a to będzie całkiem nowe ryzyko i zagrożenie do obsłużenia. Postęp technologiczny może diametralnie zmienić zasady funkcjonowania RODO w firmie i to postęp w technologii przetwarzanej przez innych, ale powszechnie dostępnej. To wyzwanie dla ADO i IODów.

GRA a RODO

 

Raczej nie zdajemy sobie sprawę z faktu, że kupując zwykłą grę udostępniamy nasze dane osobowe.  Pierwszy moment, w którym to robimy jest zakup gry, gdzie podajemy swoje dane kontaktowe czy dokonujemy przelewu podając konto bankowe albo jakąkolwiek inną formę płatność (karta kredytowa) w której można jednoznacznie zidentyfikować nasze możliwości płatnicze. Podajemy imię i nazwisko adres poczty elektronicznej adres IP na którym ma być umożliwione instalacja gry. Kiedy już instalujemy grę udostępniamy informacje o konfiguracji własnego sprzętu czyli o możliwości ekonomicznych osoby które zakupiła gry bardzo często do tego są dodawane różnego rodzaju programy które działają w tle i mogą monitorować nie tylko nasze zachowania ale przede wszystkim rozszerzenia, różne programy użytkowe itp. Teoretycznie ich celem jest zabezpieczeń właścicieli gry, ale mają i swoje rozszerzone właściwości.  Samej grze podajemy swój imię nazwisko, płeć, e-maile, kraj pochodzenia czasami datę urodzenia albo stwierdzenie, że jesteśmy pełnoletni. Nawet darmowe gry wymuszają na nas mikropłatności, czyli wtedy podajemy wszystkie dane, żeby dokonać przelewu. Teoretycznie nie musimy tego robić, ale chcąc szybko przejść grę podajemy swoje dane, aby coś kupić tylko w grze. To w jaki sposób to robimy i co zakupujemy oraz nasza aktywność w grze generuje możliwości sprawdzenia naszego zachowania, nawyków czy strategii działania a to przetwarza się później na nasze profile w zakresie zakupów, pracy czy strategii podejmowania decyzji. Nawet nie zdajemy sobie sprawy, że komunikacja w grze w formie zapisu głosowego może pozwolić z tego zapisu określić wiele informacji.  Ostatnie badania pokazały, że nawet można stwierdzić choroby przewlekłe na które chorujemy analizując kilkanaście wypowiedzianych słów. Sztuczna inteligencja mocno rozszerzy możliwości zdobywania o nas informacji i to bez naszej wiedzy. Chociaż należy podkreślić, że kupując grę zgadzamy się na regulaminy i politykę prywatności realizowaną przez firmy a później jesteśmy zaskoczeni telefonami różnych akwizytorów firm czy ofertami z Internetu.

KURS ZAWARCIE I REALIZACJA UMOWY OD A- Z W ZGODZIE Z RODO

 

Kurs przeznaczony jest dla pracowników zajmujących się zawieranie umów, sprzedażą lub ofertowanie usług. Może być też wykorzystany przez kierowników komórek zajmujących się organizację takich czynności w firmie. Jest też przeznaczone dla inspektorów ochrony danych jako swoistego rodzaju test takiego przedsięwzięcia w firmy.
Kurs opisuje w etapach czynności realizacji sprzedaży lub zawieraniu umów, opisuje zakres upoważnia czy analizę ryzyka. Podzielony jest na etap ofertowania, gdzie należy spełnić obowiązek informacyjny zarejestrować newslettera czy oszacować cenę zamówienia. Etap zawarcia i realizacji umowy, gdzie przechodzimy przez proces wniosków przetargowych oraz zawarcie i realizację umowy sprzedaży lub kupna.
Każdy etap je szczegółowo omówione pod względem RODO oraz kolejności czynności jakie należy wykonać. W czynnościach tych opisano postępowanie od upoważnienia do przetwarzania, poprzez obowiązek informacyjny, cykl życia danych, analizę ryzyka oraz umowę powierzenia danych osobowych. Przykłady opisane są na podstawie funkcjonowania firm i w taki sposób, aby były zrozumiałe dla osób początkujących w RODO.
Do kursu dołączono wzory dokumentów, analizy ryzyka, wzór umowy powierzenia itp. Wszystkie niezbędne dokumenty do realizacji w całości procesu zawarcia i realizacji umowy pod względem RODO.
Kurs pozwala zweryfikować sposób rozwiązań RODO w firmie i porównać, czy Wszystko jest zgodnie z rozporządzeniem. Stanowi swoisty test sprawdzeń rozwiązań organizacyjnych w zgodzie z rozporządzeniem co może służyć do weryfikacji przyjętych rozwiązań.

Kupon na 31% zniżki 

Kod

979156780F00062D4131

Łącze

https://www.udemy.com/course/kurs-zawarcie-i-realizacja-umowy-od-a-z-w-zgodzie-z-rodo/?couponCode=979156780F00062D4131

Warto też sprawdzić promocje od Udemy

 
https://www.udemy.com/course/kurs-zawarcie-i-realizacja-umowy-od-a-z-w-zgodzie-z-rodo/?referralCode=56B6A382014459B37AE8


#Autopromocja

COLD MAILING

 

Pozyskanie klienta to istotna sprawa a zwłaszcza dla zaczynającego biznesu. Jednak na wysyłaniu maila jak popadnie brak zgody w przepisach. Na straży stoi ustawa o świadczeniu usług drogą elektroniczną, prawo telekomunikacyjne oraz RODO. 

Legalnie można wysłać maila na adresy typu: biuro@… kontakt@…, sekretariat@ itp, które są umieszczane w zakładkach internetowych opatrzonych nazwą „Kontakt”. Ustawa oświadczeniu usług nie ma zastosowania do osób prawnych. Prawo telekomunikacyjne też nie obowiązuje, bo maile nie jest urządzeniem końcowym, ponieważ firmy mają serwery pocztowe na usługach podmiotów zewnętrznych a tylko ściągają pocztę na urządzenia końcowe jak tablet, komputer czy komórka. Czyli wysyłający maila nie wie nic o urządzeniu końcowym a przekaz trafia na serwer. To dopiero odbiorca decyduje o sposobie przetworzenia (bez wiedzy nadawcy) i odbiera przekaz a przecież może maile oglądać na stronie internetowej operatora. 

RODO też nie obowiązuje, ponieważ adres nie zawiera imienia i nazwiska lub skrótu imienia i pełnego nazwiska, a więc nie można zidentyfikować osoby fizycznej. Jeżeli mamy taki adres np.: an.maj@ to wtedy wkracza RODO, ale wyjściem jest art. 6 ust 1 lit f prawnie uzasadniony interes administratora i robimy test balansu, a jak przejdzie to możemy wysyłać maile z dołączonym obowiązkiem informacyjnym. Jeżeli odbiorca prześle prośbę o powstrzymanie się od takich działań to należy ją uszanować i nie wysyłać. Jak wysłaliśmy maila z adresu np.: an.maj@ to wysyłamy wtedy do niego wniosek o zapomnienie (RODO) w szczególności adresu e-maile oraz jego dane usuwamy z mailingu. Nie można zgłosić wniosku o zapomnienie do maila typu biuro@… kontakt@…, sekretariat@ itp. 

Jak się zabezpieczyć przed spamem, kiedy to my mamy firmę? Wystarczy w zakładce „kontakt” zaznaczyć maila do przesyłania niezamówionych informacji handlowych a zyskamy przewagę nad spamem lub niechcianymi ofertami, ponieważ jednoznacznie wskazaliśmy drogę do takiej komunikacji. 

Prawo ma swoje zalety i wady, ale to nasze rozwiązania organizacyjne pozwalaj prawidłowo funkcjonować w tym świecie.