Spółdzielnie Mieszkaniowe, Wspólnoty Mieszkaniowe – obowiązek powołania IODO

wpis w: Uncategorized | 0
W opublikowanym Sprawozdaniu z działalności Prezesa UODO w roku 2018 możemy dowiedzieć się na temat zakresu przeprowadzonych kontroli w spółdzielniach i wspólnotach mieszkaniowych. Z przeprowadzonych kontroli stwierdzono naruszenie postanowienia art. 6 ust. 1 pkt f ogólnego rozporządzenia o ochronie danych oraz fakt nie wyznaczenia inspektora ochrony danych.
Podmioty kontrolowane podnosiły fakt iż w ich ocenie przesłanki, o których mowa w art. 37 ust. 1 lit. a, b i c ogólnego rozporządzenia o ochronie danych nie mają w stosunku do nich zastosowania, gdyż nie są organem publicznym i nie przetwarzają danych osobowych na tzw. dużą skalę.
Zgodnie z przesłanką, o której mowa w art. 37 ust. 1 lit. a należy stwierdzić iż spółdzielnie nie są organem lub podmiotem publicznym.
Co do pozostałych przesłanek, o których mowa w art. 37 ust. 1 lit. b i lit. c ogólnego rozporządzenia o ochronie danych, należy wskazać iż podmioty kontrolowane nie dokonały należytej oceny co skutkowało przyjęciem błędnych założeń.
Należy wskazać co podkreślił UODO iż kontrolowane podmioty w związku ze stosowaniem monitoringu wizyjnego spółdzielnie wykonują operacje na danych (zapisywanie, przeglądanie, udostępnianie, kasowanie nagrań zarejestrowanych zdarzeń i osób) na tzw. dużą skalę.
Należy tutaj podkreślić iż podmioty stosujące monitoring wizyjny przetwarzają dane osobowe (wizerunek), nie tylko samych lokatorów w przypadku spółdzielni mieszkaniowych ale również innych osób.
Na powyższej podstawie w ocenie Prezesa UODO spółdzielnie i wspólnoty mieszkaniowe są zobowiązanie do wyznaczenia inspektora ochrony danych danych.
W naszym przekonaniu adekwatnie do monitoringu wizyjnego należy się odnieść w przypadku stosowania przez podmioty systemu do rejestrowania rozmów telefonicznych.
Ponieważ postępowania są w toku, czekamy na pierwsze kary nałożone przez UODO na spółdzielnie i wspólnoty mieszkaniowe.

Po co to całe RODO

wpis w: Doświadczenie | 0

Sporo osób zadaje pytanie :„Po co to całe RODO, tylko same kłopoty i koszty”

Aby przybliżyć problematykę i za każdym razem nie tłumaczyć od początku, postanowiłem w sposób przejrzysty to wytłumaczyć.

Na początku należy zadać sobie pytanie, po co montujemy zamki w drzwiach i po co mamy w domu szuflady i szafki na kluczyk. Większość osób odpowiada, żeby chronić naszą prywatną własność przed osobami nie powołanymi. No dobrze ale jaką własność, przecież pieniądze są w banku, a telewizor i DVD mają swoje lata.  Okazuje się, że po dłuższym zastanowieniu to zależy nam najbardziej na pamiątkach, danych które z naszego punktu widzenia są bezcenne, a ich utrata może być nie odwracalna.

Do tego należy sobie uświadomić fakt iż obecny model złodzieja/przestępcy to nie tajemnicza postać w opasce na oczach i z workiem na plecach tylko osoba z komputerem, a nawet i sam komputer. Oczywiście komputer w obecnym modelu przestępstwa internetowego to również już przestarzałe stwierdzenie, bardziej pasowało by tutaj wskazanie urządzenia podłączonego do magistrali danych (zazwyczaj internet).

Więc zanim podłączymy nasz nowy ekspres do kawy, mikser, telewizor, kamerę itp. do internetu zastanówmy się czy jest to niezbędne i czy takie łącze musi być na stałe.

Wracając do tematu RODO, należy wskazać iż przestępca aby mógł działać potrzebuje danych wyjściowych, niekiedy wydawać by się mogło, że całkiem podstawowych. Musimy wiedzieć ,że Systemy informatyczne potrafią bez najmniejszych problemów łączyć okruszki danych w całkiem pokaźne i bogate zbiory. Ludzie nie świadomi powyższych faktów bardzo niefrasobliwie podchodzili do problematyki ochrony danych osobowych. Częstym stwierdzeniem było iż przecież to nikomu nie zaszkodzi jak dane zostaną ujawnione w niewielkim stopniu.

Obecnie przestępcy ukierunkowują swoje działania na globalny atak dużej grupy społecznej, posiadając dane osobowe w podstępny sposób uwiarygodniają swoje działania podszywając się pod inne osoby lub instytucje.

Często dane te są pozyskiwane lub wykradane z firm i organizacji, które ze względu na swój charakter mają dostęp do dużej liczby danych osobowych, np. Spółdzielnie Mieszkaniowe lub Wspólnoty Mieszkaniowe. W pewnym stopniu np. w przypadku spółdzielni i wspólnot mieszkaniowych przestępcy mają ułatwione zadania, ponieważ naturalna tendencja do ograniczania kosztów przez powyższych jest powszechnie znana i w pewnym stopniu logicznie uzasadniona (niższe koszty oznacza niższy czynsz). Do tego dochodzi sytuacja w której to w radach nadzorczych i zarządach zasiadają osoby których świadomość bezpieczeństwa danych jest nie wystarczająca. Wręcz zdarza się iż w organach spółdzielni czy wspólnoty są osoby, które mają znikome doświadczenie z komputerami i informacjami w postaci cyfrowej.

Po analizie obecnie dokonywanych przestępstw oraz danych biorących w nich udział, państwa członkowskie Unii Europejskiej postanowiły podjąć temat i objąć systemowym mechanizmem ochronę danych osobowych. 

Należy pamiętać iż skradzione dane osobowe wcześniej czy później zostaną wykorzystane do popełnienia przestępstwa lub użycia niezgodnie z prawem. Czasami może to być i kilkadziesiąt lat.

 

KS

IODO – prawidłowość powoływania Inspektora Ochrony Danych Osobowych

wpis w: Doświadczenie | 0

Czy istnieje konieczność powołania Inspektora Danych Osobowych, czy wystarczy tylko pełnomocnik zarządu ? Na to pytanie każdy musi odpowiedzieć samodzielnie, nie da się jednoznacznie określić w którym to momencie musi już być inspektor, a w którym nie. Pomocne w tym zakresie są usługi świadczone przez naszą firmę, w ramach których możemy określić jaki model był by najlepszym rozwiązaniem.

Wracając do tematu w którym zajmiemy się już nie samą analizą powołania IODO, ale jego umocowaniem w strukturze firmy, obowiązkach i kompetencjach. Obecnie można stwierdzić iż w większości przypadku stanowiska te były tworzone w pośpiechu bez jakiejkolwiek analizy. Osoby, które zostały wyznaczone nie do końca radzą sobie z tematem lub nawet go nie podejmują chociażby ze względu na inne obowiązki służbowe.

W ramach tworzenia przepisów prawa dotyczącego ochrony danych osobowych powstała jednostka o nazwie „Grupa Robocza art.29 Ochrony Danych” . Grupa Robocza została powołana na mocy art. 29 dyrektywy 95/46/WE. Jest ona niezależnym organem doradczym w zakresie ochrony danych i prywatności. Zadania grupy określone są w art. 30 dyrektywy 95/46/WE oraz art. 15 dyrektywy 2002/58/WE.

Grupa ta stworzyła wytyczne dotyczące inspektorów ochrony danych (Przyjęte w dniu 13 grudnia 2016 r.
,ostatnio zmienione i przyjęte w dniu 5 kwietnia 2017 r.). W wytycznych wskazane jest :

Zgodnie z art. 37(5) „inspektor ochrony danych jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań, o których mowa w art. 39.”

Artykuł 38(2) nakłada obowiązek wspierania „inspektora ochrony danych w wypełnianiu przez niego zadań[..], zapewniając mu zasoby niezbędne do wykonania tych zadań oraz dostęp do danych osobowych i operacji przetwarzania, a także zasoby niezbędne do utrzymania jego wiedzy fachowej.”

Artykuł 38(3) stanowi bowiem, iż „Inspektor ochrony danych bezpośrednio podlega najwyższemu kierownictwu administratora lub podmiotu przetwarzającego.”

Artykuł 38(3) stanowi również, że Inspektor „nie jest odwoływany ani karany przez administratora ani podmiot przetwarzający za wypełnianie swoich zadań.”

Artykuł 38(6) umożliwia DPO wykonywanie „innych zadań i obowiązków”. Dalej w artykule widnieje zapis, iż „administrator lub podmiot przetwarzający zapewniają, by takie zadania i obowiązki nie powodowały konfliktu interesów.”

Wymóg niepowodowania konfliktu interesów jest ściśle związany z wymogiem wykonywania zadań w sposób niezależny. I choć Inspektorzy mogą posiadać inne zadania i obowiązki to jednak te nie mogą powodować konfliktu interesów. Oznacza to, że Inspektor nie może zajmować w organizacji stanowiska pociągającego za sobą określanie sposobów i celów przetwarzania danych. Ze względu na indywidualny charakter każdej organizacji ten aspekt powinien być analizowany osobno dla każdego podmiotu.
Co do zasady, za powodujące konflikt interesów uważane będą stanowiska kierownicze (dyrektor generalny, dyrektor ds. operacyjnych, dyrektor finansowy, dyrektor ds. medycznych, kierownik działu marketingu, kierownik działu HR, kierownik działu IT), ale również niższe stanowiska, jeśli biorą udział w określaniu celów i sposobów przetwarzania danych.