Źle wysłany PIT

 

Pracownik źle zaadresował PIT, który trafił do innego pracownika. Ten poinformował kadry i zwrócił dokument, który był już otwarty. Czy doszło do naruszenia ochrony danych osobowych?

TAK.

Doszło do naruszenia polegającego na nieuprawnionym ujawnieniu danych osobowych.

Administrator (ADO) ma 72 godziny na powiadomienie i wyjaśnienie incydentu UODO oraz zawiadamia osobę, której dane dotyczyły w zgodzie z art. 34 RODO.

Ten incydent uruchamia całą lawinę zdarzeń i czynności u ADO oraz podnosi ryzyko w zapisach Analizy Ryzyka ustalając wartość prawdopodobieństwa na max (przeważnie to wartość 5).

W przypadku PIT wartość skutku jest w okolicy 4 dla 5 punktowej skali co daje ryzyko na poziomie 20 w 25 punktowej skali. Przeważnie IODa ustala czas reakcji na obniżenie ryzyka na 2-3 dni. Po wykonaniu odpowiednich kroków można obniżyć prawdopodobieństwo do 4 co daje ryzyko na poziomie 16. To daje nam 6 dni na kolejne działania i obniżenie prawdopodobieństwa do 3 co daje ryzyko na poziomie 12 a to się przekłada na 15 dni na kolejne działania. Tak realizujemy w praktyce zarządzanie ryzykiem w RODO. 

Detektyw śledzi pracownika na forach

 

Pracodawca zlecił detektywowi śledzenie pracowników w mediach społecznościowych. Jednak ustawa o usługach detektywistycznych nie ma zastosowania do zbierania informacji ze zbiorów ogólnie dostępnych a nimi są media społecznościowe jak Li czy FB. Czyli ten zakres określa samo RODO a to zabrania przetwarzania danych ujawniających światopogląd osoby. Mało tego Konstytucja gwarantuje im prawo do ochrony prawnej życia prywatnego, rodzinnego, czci i dobrego imienia oraz do decydowania o swoim życiu osobistym. Czyli pracodawca swoim regulaminem nie może narzucać co pracownik robi po pracy, ponieważ te zapisy w czasie prywatnym go nie obowiązują. Jest jeden wyjątek z KP, kiedy pracownik narusza zasady współżycia społecznego, dobro zakładu pracy lub narusza tajemnicę przedsiębiorstwa. Wystarczy, że pracownik na portalu nie podpisuje się stanowiskiem i nazwą zakładu pracy (aby jego wypowiedzi nie identyfikowano z pracodawcą) oraz w umiarkowany sposób pisze o swoim pracodawcy lub nie pisze wcale. Jeżeli przestrzega tych zasad a występuje pod Nickiem, to detektyw nie może go jednoznacznie zidentyfikować, bez narusza RODO a światopogląd traktowany jest jako dane wrażliwe. Detektyw tu nie może się zasłonić swoją ustawą, ponieważ w tych zbiorach nie obowiązuje, jak wspomniałem wcześniej. Jeżeli pracodawca zbierze takie dane o pracowniku to musi mu je udostępnić na podstawie art. 15 RODO i tu uwaga artykuł ten nie obowiązuje detektywa ale pracodawca nie podlega pod tą ustawę i musi wskazać agencję detektywistyczną jako odbiorcę danych w ramach monitoringu treści internetowych. Tu dochodzimy do tego co ma zrobić pracodawca, a więc wprowadzić monitoring w zgodzie z KP oraz przeprowadzić OSOD (Ocena skutków dla ochrony danych). Zapisy tej oceny powinny się znaleźć w umowie powierzenia z detektywem, aby nie naraził się na zarzuty nielegalnego przetwarzania jako procesor.

Jeżeli pracownik wyląduje w sądzie to warto poruszyć to zagadnienie przeciwko pracodawcy jak i detektywowi a zwłaszcza jak przestrzegali prawa w tej relacji a „owoce zatrutego drzewa” nie są dopuszczane przez sąd. Jednocześnie można wstąpić na drogę sądową z KC, powiadomić prokuraturę oraz UODO (zarówno wobec Administratora- pracodawcy jak i Procesora – detektywa).

PESEL w punktach sprzedaży węgla

 

Konsumenci zaopatrujący się w węgiel muszą przekazać sprzedawcy opału specjalne oświadczenie zawierające szereg danych osobowych, w tym numer PESEL. Wynika to z zapisów art. 31a ust. 1 pkt 3 ustawy o podatku akcyzowym, czynności podlegające opodatkowaniu, których przedmiotem są wyroby węglowe przeznaczone do celów opałowych przez gospodarstwo domowe zwolnione są od akcyzy.

 

Na bazie tych danych raz na kwartał tworzą listę, która zawiera: imię i nazwisko oraz numer PESEL, a jeżeli nie został nadany – nazwę i numer dokumentu stwierdzającego tożsamość.

 

Skład węgla w obowiązku informacyjnym wskaże podstawę prawną: art 6 ust 1 lit c) RODO oraz art 31a ust 1 pkt 3 ustawy o podatku akcyzowym. Dlaczego nie podaje się ust 3b gdzie wymienia się listę, na której wypisuje się PESEL? Ponieważ RODO wymaga celu przetwarzania danych osobowych a ten punkt wskazuje tylko typy danych a celem jest "Zwolnienie od akcyzy". Czyli wskazanie podstawy, dlaczego pobieramy te dane osobowe. Osoba, która nie korzysta ze zwolnienia z akcyzy nie ma obowiązku podać tych danych.

Badanie trzeźwości od 21 lutego 2023 r.

 

Art. 21 (1c) KP określa, że pracodawca może wprowadzić kontrolę trzeźwości pracowników. W rozumieniu RODO podstawą prawną będzie art. 6 ust 1 lit f) prawnie uzasadniony interes administratora. Motyw 47 nakazuje dokonania dokładnej oceny czy prawnie uzasadniony interes jest nadrzędny nad prawami osób których dane przetwarza. Czyli wykonuje Test Balansu. Jednak tego testu nie można wykonać dla danych dotyczących zdrowia (art. 9 RODO). Dlatego skorzystamy z art. 35 Ocena skutków dla ochrony danych (OSOD). Ust. 7 tego przepisu wyraźnie określa co ma zawierać. Jest to czynność bardzo zbliżona do wspomnianego testu z tą różnicą, że IODa udziela zaleceni do OSOD oraz monitoruje jej wykonanie. W praktyce robi się to tak że powołuje zespół w składzie: kadry, BHP, bezpieczniacy, przedstawiciel kadry kierowniczej i informatyk. Do prac zespołu dołącza IODa, ponieważ i tak będzie to monitorował i opiniował to zasadnym jest, aby od razu rozwiązywano problemy zespołu, co mocno skraca czas.

Programy monitorujące w firmie.

 

W firmach instaluje się programy monitorujące ruch w sieci, sprawdzające konfigurację itp. co jest podyktowane bezpieczeństwem systemów informatycznych. Jednak takie programy mają też swoja „ciemną” stronę jaką jest zapamiętywanie loginów i haseł pracowników. Pracownik zabierając laptopa do domu loguje się z własnej sieci a często korzysta ze służbowego laptopa i wchodzi na Internet poprzez własny profil z konta Google. Kłopot w tym, że monitoring zapamiętuje login i hasło do prywatnego konta osoby. Co oczywiście jest brakiem przestrzegania RODO, ale również prawa do prywatności i tajemnicy korespondencji prywatnej, właściciela konta Google. Można powiedzieć, że pracodawcy takie dane są zbędne, ale czy na pewno? W firmach, gdzie intrygi są powszechne, wiedza o innej osobie jest bezcenna a informatyk może sobie zaskarbić łaski Dyrektorów, Zarządu czy Kluczowych osób w firmie.

Co może zdobyć informatyk mający dostęp do konta Google? Nasz prywatny kalendarz, czyli pozna nasze plany i działania tam zapisane. Ma dostęp do notatek w Keep gdzie zapisujemy wiele informacji jak kody do bramy, adresy ważne informacji. Uzyskuje dostęp do zdjęć i to tych na komórce, bo mamy synchronizowane konto. Te zdjęcia to nie tylko nasz dom, ale wszystko, ponieważ zamiast coś przepisać to fotografujemy a to mocno podnosi wartość takich danych dla naszych wrogów z firmy. Potem dostęp do Gmaila, Mapy itd. Ostatnim bolesnym ciosem jest ten, kiedy opacznie zalogujemy się do banku, aby zapłacić ratę. Po co dostęp do konta jak nie zrobią przelewu, bo wpadną? Ponieważ w firmach a zwłaszcza tych skarbu państwa boją się tych co informują prasę albo współpracują ze służbami. Ponieważ kasy operacyjnej się nie rozlicza z fiskusem to jedynym dojściem jest sprawdzenie konta osoby. Tu też będą wpłaty od prasy czy TV za informację. Można powiedzieć że to niemożliwe ale kto pracował w takich firmach to już takim niedowiarkiem nie jest.

Jak to sprawdzić? Dość banalnie. Jeżeli informatycy nie są za bardzo robotni a ich wpadki się tuszuje i są nie do ruszenia to masz już odpowiedź, dlaczego tak jest. Nic nie bierze się z niczego. W takich przypadkach twoje prawa z RODO stają się twoją bronią przeciwko firmie i to bardzo groźną bronią, ponieważ taki informatyk może odpowiadać z art. 107 ustawy o ochronie danych osobowych i grozi mu grzywna, kara ograniczenia wolności albo pozbawienia wolności do lat dwóch. Jemu i każdemu komu takie dane udostępnił.

Analiza Ryzyka

 

Rozporządzenie nakłada na administratorów ogólny obowiązek 

„uwzględnienia" ryzyka wynikającego z 

proponowanych przez siebie operacji przetwarzania w powiązaniu z obowiązkiem wdrożenia

 „odpowiednich środków technicznych i organizacyjnych", 

by zwalczyć takie ryzyko oraz obowiązkiem „wykazania, że przetwarzanie odbywa się zgodnie z tym Rozporządzeniem", tj. że 

ryzyko zostało faktycznie ocenione 

oraz że środki podjęte w świetle takiej oceny były odpowiednie dla tego typu ryzyka (art. 24(1)), zob. także art. 32). Sprawy te należy również właściwie odnotować.

Czyli w praktyce nie da się zrobić analizy ryzyka jak już zgłosi się po nią UODO. Taka czynność zajmuje trochę czasu i przeważnie powoduje potrzebę wyjaśnienia wielu czynników. 

Sugestie Inspektora Ochrony Danych

 

Warto zatrudnić IODę nawet na zlecenie, ponieważ daje pracownikom wskazówki w postaci „sugestii”. Określa to Podręcznik IOD oraz motyw 77 RODO:

Rozliczalność Administratora Danych Osobowych

 

Przewidziana w art. 5 ust.2, zasada rozliczalności, wymusza obowiązek wykazania przestrzegania wszystkich podstawowych zasad, na których bazuje RODO, a które określono w art. 5 ust. 1, tj. zasady zgodności z prawem, rzetelności i przejrzystości, wąskiego i wyraźnego określenia i ograniczenia celu, minimalizacji danych (z uwzględnieniem adekwatności, stosowności i niezbędności danych), prawidłowości (z uwzględnieniem aktualności), ograniczenia przechowywania (retencja), integralności i poufności oraz bezpieczeństwa.

Zgodnie z podręcznikiem dla IOD, który zatwierdzała Komisja Europejska w lipcu 2019r

Wskazano jak rozliczyć się w zgodzie z RODO:

Najpierw logika później RODO

 

RODO jest proste natomiast komplikuje się, jeżeli nałożymy je na przyjęte rozwiązanie organizacyjne. Każde przetwarzanie wymaga spełnienia wszystkich zapisów artykułu 5 RODO i to na każdym etapie realizacji przetwarzania. 

Wyjaśnijmy to na przykładzie rozliczenia podróży służbowych. Wspomniany dokument był rozliczany poprzez wykonanie 6 dokumentów pomocniczych wypełnienia go 22 podpisami a zagadnienie regulowały 4 różne zarządzenia wewnętrzne. W takim przypadku od razu narzuca się nie tylko brak logiki, ale pełne przeświadczenie, że gdzieś ktoś przetwarza dana nadmiarowe, czyli niedozwolone przetwarzanie w myśl RODO. Najtrudniejszy nie jest fakt udowodnienia, że to jest nielogiczne i wbrew wszelkim regułom organizacyjnym ale udowodnienie w poszczególnych etapach że jest to niezgodne z RODO i na tym skupia się większość działań osób próbujących zablokować działanie inspektora. 

Tylko pytanie brzmi czy rolą inspektora jest robienie porządków organizacyjnych?  

Niestety w praktyce wychodzi tak że porządkując przetwarzanie w myśl RODO dokonuje się porządków organizacyjnych. Może dlatego inspektor ochrony danych jest rozpatrywany jako wróg wszystkich osób w firmie i dlatego jest chroniony art. 38 ust 3 Nie jest on odwoływany ani karany przez administratora ani podmiot przetwarzający za wypełnianie swoich zadań.

Kierownik zbiera dane osobowe a Właściciel zapłaci karę.

 

Od niektórych informacji aż się włos na głowie jeży. Oto przykład zabronionego zbierania danych osobowych (DO) przez Kierownika:

Kierownik od wszystkich swoich " Podwładnych" żąda numer PESEL, adres oraz numer telefonu prywatnego. Zapisuje to do swojego komputera. Nie ma uprawnień i nigdy nie dostanie na przechowywanie danych osobowych.

Takim wpisem podzieliła się kadrowa i przyznam, że jak przeczytałem to aż mnie zatkało, bo za czyn kierownika zapłaci „frycowe” właściciel firmy. Kara będzie surowa, ale może jeszcze pojawić się prokuratura, bo czyn jest karalny z ustawy o ochronie danych osobowych

Art.  107.  [Nielegalne przetwarzanie danych osobowych]

1. Kto przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do ich przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch.

Niezła paleta kar a o samym RODO i karze finansowej od UODO nie ma po co wspominać.

Surowość kary będzie wynikała z niedopuszczalnego przetwarzania ora z braku uprawnień od Administratora (ADO). Sam kierownik też może ponieść karę finansową oraz karną. Jednak na pierwszy ogień pójdzie ADO i to on zbierze pierwsze cięgi.

Co zrobić w takiej sytuacji i gdy jeszcze nie mamy IODy?

Najlepiej zlecić usługę zewnętrznemu IODzie który oszacuje nasze zagrożenia. Najtańsi to „wolni strzelcy”, których jeszcze specjalistyczne firmy nie zatrudniły. W zupełności wystarczy do wstępnej oceny co dalej albo sprawdzenia czy wszystko gra.

 

Firma kontra właściciel danych osobowych

 

Spółka XYZ przetwarza dane osobowe Jana Kowalskiego, ale sam zainteresowany ma wątpliwości czy mogą a ich postepowanie jest nachalne i irytujące. Każda osoba może skorzystać z przysługujących jej praw z RODO i napisać maila o treści:

Powołując się na artykuł 15 RODO proszę o potwierdzenie, czy przetwarzane są moje dane osobowe, a jeżeli ma to miejsce proszę o udostępnienie mi elektronicznej kopii moich danych osobowych. Jednocześnie proszę o wypełnienie w stosunku do mnie obowiązku informacyjnego.

Moje dane identyfikacyjne:

Jan Kowalski

Maile: j.kowalski@poczt.com

lub

Tlf: 123 456 789

lub

Adres zamieszkania: Katowice ul. Prawa 6/3

lub

PESEL: 12345678901

Dane identyfikacyjne podajemy w kolejności od mniej ważnych po najważniejsze tak aby mogli mnie zidentyfikować. Odpowiedź mamy otrzymać bez zbędnej zwłoki, a w każdym razie w terminie miesiąca. Czyli po wysłaniu żądania w dniu 07.02. br odpowiedź ma nadejść najpóźniej 06.03. br. Dla podgrzania atmosfery możemy co 3 dni robocze słać maila o treści:

W związku z brakiem odpowiedzi na moje zapytanie z artykułu 15 RODO z dnia 07.02.br, proszę o przesłanie odpowiedzi i podanie przyczyn opóźnienia.

I tak robimy do końca terminu. Firma nie musi nam wyjaśniać przyczyn opóźnienia, ale w przypadku skargi muszą to wyjaśnić UODO, ponieważ termin bez zbędnej zwłoki jest określony w prawie. Wszystkie maile i odpowiedzi dokumentujemy poprzez wydruk do PDF-u, mogą się przydać w procesie składania skargi. Firma powinna innym kanałem np.: telefonicznie, potwierdzić naszą tożsamość, aby być pewnym do kogo wysyła dane. Fakt przesłania danych bez potwierdzenia będzie istotny w etapie skargi. Dodatkowo innym kanałem powinni uzgodnić hasło do zaszyfrowanego załącznika z danymi osobowymi. Przesłanie mailem odpowiedzi a kolejnym hasła jest uznawane za naruszenie RODO. Dokładnie brak szyfrowania oznacza naruszenie ochrony danych osobowych poprzez nieuprawnione ujawnienie przesyłanych danych nieznanym osobom. Kiedy otrzymamy już dane o sobie należy je przeanalizować. Jak uważamy, że naruszyli nasze prawa i wolności to zgłaszamy żądanie ograniczenia przetwarzania.

Powołując się na artykuł 18 RODO żądam ograniczenia przetwarzania moich danych osobowych oraz żądam podania odbiorców moich danych osobowych.

Po takim żądaniu firma może już tylko przechowywać dane osobowe (co będzie istotne dla UODO po złożeniu skargi, bo dane nie mogą być zniszczone) a o każdej próbie innego przetwarzania muszą nas powiadomić. Kiedy otrzymamy dane odbiorców to możemy powtórzyć procedurę, ale już do nich.

Jak stwierdzimy, że naruszono nasze prawa i wolności to zgłaszamy skargę do UODO.

Składam skargę na niezgodne z przepisami RODO przetwarzanie moich danych osobowych przez firmę XYZ ….. tj tu opis co zrobili. Mając to na względzie wnoszę o przywrócenie stanu zgodnego z prawem.

I wysyłam do UODO poprzez ich stronę internetową oraz dołączam wszystkie zgromadzone dokumenty.

Cofnięcie zgody – odpowiedź negatywna.

 

Pani Krystyna cofnęła zgodę na przetwarzanie danych osobowych i otrzymała taką odpowiedź:

Przeanalizowaliśmy Pani wniosek dokładnie i uprzejmie informujemy, że niestety nie możemy się do niego przychylić.

Każda osoba, która wyraziła zgodę na przetwarzanie danych osobowych, może ją w dowolnym momencie cofnąć bez podawania przyczyny, bez wpływu na zgodność z prawem przetwarzania dokonanego przed jej cofnięciem.

Pani dane osobowe nie są jednak przez nas przetwarzane na podstawie Pani zgody, lecz na innej podstawie: art. 6 ust 1 lit b) RODO. Skoro zatem nie wyrażała Pani zgody na przetwarzanie danych osobowych w wyżej wymienionym celu, nie przysługuje Pani możliwość cofnięcia zgody.

Czyli na podstawie umowy. W takim wypadku żadne dane nie zostaną usunięte i również opcja „prawo do bycia zapomnianym” nie wchodzi w grę, ponieważ są niezbędne do realizacji celu, dla którego zostały zebrane. Przysługuje jej dostęp do danych (najlepiej w postaci elektronicznej, ponieważ nie mogą zażądać opłaty) na podstawie art. 15 ust 1 RODO.

Przechowywanie kopii zapasowych przez księgowe na JDG

Księgowa prowadzi jednoosobową działalność gospodarczą (JDG -biuro rachunkowe) w jednym pomieszczeniu, to gdzie najlepiej przechowywać kopie zapasowe danych IT?

Chcąc uchronić kopie zapasową przed takimi ryzykami jak pożar lub włamanie najlepiej by było przechowywać kopie danych IT w innym pomieszczeniu niż jest przechowywany komputer z oryginalnymi danymi, ale jak to zrobić kiedy dysponuje się tylko jednym pomieszczeniem to gdzie najlepiej przechowywać taką kopię? Sejf nie daje gwarancji w przypadku pożaru i jest kosztowny. Przewożenie wyjmowanego dysku do domu grozi zgubieniem lub może zostać nawet przypadkowo skradziony. 

Art. 24 RODO brzmi:  „uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko
naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane”.

Oznacza to, że księgowa jako administrator danych osobowych powinna samodzielnie ocenić te kwestie. RODO nie stoi na przeszkodzie przechowywaniu danych osobowych w kopii bezpieczeństwa poza miejscem pracy np: w domu. Dla bezpieczeństwa można kopie przegrać na szyfrowany pendrive, który nawet zagubiony po drodze czy jak zaginie w domu daje gwarancji bezpieczeństwa danych. 

Uwaga

Zapisz w dokumentacji miejsce przechowywania kopii danych tj. miejsce zamieszkania księgowej.

Nie musisz podawać adresu zamieszkania w dokumentacji RODO.