RODO dla fotografów

Dawno nic nie napisałem... bo pisałem książkę... https://www.ksiegarnia.beck.pl/17417-ochrona-danych-osobowych-przewodnik... - już za kilka dni będzie dostępna. A że skończyłem, mam trochę czasu na ciekawostki...

Cieszy mnie , że jest taki poradnik, bo fotograf nie ma łatwego życia, a jeszcze dodajmy, że w związku z RODO powstała panika… ba, nawet pewna psychoza RODO - wszyscy zastanawiają się, czy ludzi można na weselu filmować, jak zebrać ich zgody, etc. Poradnik zaczyna się od tego:

RODO w dziedzinie fotografii narobiło sporo zamieszania. Stało się tak dlatego, że wizerunek został uznany za daną osobową.

Pieczątka zgodna z RODO? Nie, to nie może działać!

Rozporządzenie w Motywie 26 podkreśla

Zasady ochrony danych nie powinny więc mieć zastosowania do informacji anonimowych, czyli informacji, które nie wiążą się ze zidentyfikowaną lub możliwą do zidentyfikowania osobą fizyczną, ani do danych osobowych zanonimizowanych w taki sposób, że osób, których dane dotyczą, w ogóle nie można zidentyfikować lub już nie można zidentyfikować. Niniejsze rozporządzenie nie dotyczy więc przetwarzania takich anonimowych informacji, w tym przetwarzania do celów statystycznych lub naukowych.

Małe co nieco o ryzyku w RODO czyli Motyw 75

Motyw 75 jest tak zakręcony i pokręcony, że chwilę mi zajęła jego interpretacja.

Dowiadujemy się z niego, że

  • występuje tylko jeden rodzaj ryzyka - ryzyko naruszenia praw lub wolności osób
  • ma ono różne prawdopodobieństwa i wagi (ang. severity)
  • może ono wynikać z.... no i właśnie tutaj jest problem... bo resztę tego zdania trzeba rozbić na mniejsze kawałki...

Dlaczego tyle odnośników w prawie? Co to daje?

Dlaczego nie można było napisać tak: "Prezes Urzędu może nałożyć, w drodze decyzji, administracyjne kary pieniężne w wysokości do 10 000 złotych na państwowe i samorządowe instytucje kultury".

Zgoda wyrażana przez (wyraźne) zamknięcie okna? Da się!

Tak oto wygląda zgoda pewnego portalu : "Drogi Użytkowniku, przypominamy podstawowe informacje z zakresu przetwarzania danych dostarczanych przez Ciebie podczas korzystania z naszych serwisów. Zamykając ten komunikat (kliknięcie w przycisk "Przejdź do serwisu" lub "X"), zgadzasz się na wskazane poniżej działania". 

RODO - tekst ujednolicony

Wiemy, że do RODO - ogólnego rozporządzenia o ochronie danych osobowych w dn. 23 maja 2018 r. opublikowano sprostowanie. Mam problem ze znalezieniem wersji ujednoliconej, więc niewiele myśląc przygotowałem sobie taką wersję. I pomyślałem, że może nie tylko dla mnie będzie przydatna - więc dzielę się.

Zmiany w RODO - dlaczego w polskiej wersji jest ich więcej?

W ostatnich dniach ukazało się oficjalne sprostowanie tłumaczenia RODO. Przyjrzałem się zmianom w wersji EN aby upewnić się czy zmiany mają charakter fundamentalny. Na szczęście nie. Sprawdziłem też zmiany w wersji polskiej, wychodząc z założenia, że jeśli jest ich więcej, to pewnie popełniono omyłki na etapie tłumaczenia. No i nie myliłem się - jest ich więcej!

Czy poprawki do RODO dużo zmieniają?

Taki tweet dzisiaj rzucił mi się w oczy:

na 23 dni przed RODO ukazuje się oficjalne sprostowanie tłumaczenia, a zmiany są fundamentalne (wersja pl od str. 259): np. motyw 75 - ryzyko, definicji danych osobowych, wypada pojęcie zagrożenia z art. 24... http://data.consilium.europa.eu/doc/document/ST-8088-2018-INIT/en/pdf

Okradli go w 5 minut...

Wystarczyło 5 minut od opublikowania w internecie jego spersonalizowanej karty płatniczej i pieniądze zaczęły znikać z karty.  Taki jest wniosek z filmu Maćka Budzicha, znanego jako Mediafun. Tematyka, którą on porusza bardzo lubię, a w tym filmiku (i też w artykule na swoim blogu) porusza temat, który jest mi bardzo bliski - dbania o bezpieczeństwo własnych informacji.

Ograniczenie przetwarzania to nie ograniczenie, ale "oznaczenie" w celu ograniczenia...

Przyglądając się definicji ograniczenia przetwarzania w RODO trochę zgłupiałem... i uznałem, że jednak podzielę się swoimi przemyśleniami... "Na użytek niniejszego rozporządzenia: (...) „ograniczenie przetwarzania” oznacza oznaczenie przechowywanych danych osobowych w celu ograniczenia ich przyszłego przetwarzania". Czyżby według RODO ograniczenie przetwarzania to nie było "ograniczenie", ale jedynie "oznakowanie" informacji..?

Dane wrażliwe wcale nie znikają, a wręcz odwrotnie

Na stronie Infodent24 trafiłem na artykuł wobec którego obojętnie nie udało mi się przejść...

W artykule znajdujemy stwierdzenie dra Kaweckiego - Zastępcy Dyrektora Departamentu Zarządzania Danymi w Ministerstwie Cyfryzacji:

Porcja ciekawostek - bo nic się nie dzieje. A za dwa dni komentarz dra adw. Litwińskiego

Nic ostatnie nie dzieje się wybitnie ciekawego. Tak więc ten artykuł to będzie taka zbieranka rozmaitych ciekawostek.

RODO - minął termin konsultacji społecznych

Na stronach Ministerstwa Cyfryzacji opublikowane zostały projekty ustawy - Przepisy wprowadzające ustawę o ochronie danych osobowych oraz projektu ustawy o ochronie danych osobowych. Jednocześnie Ministerstwo zaprosiło do konsultacji, których celem było zebranie możliwie najszerszego spektrum opinii dotyczących projektowanych rozwiązań. Przepisy dotyczące ochrony danych osobowych dotyczą bowiem bezpośrednio wszystkich Obywateli, ale mają także znaczący wpływ na działalność przedsiębiorców.

Jak rozporządzenie unijne wpłynie na funkcjonowanie IT

Mimo że w internecie są tony rozmaitych opracowań na temat GDPR, to nie udało mi się do tej pory znaleźć opracowania, które całościowo określa w jaki sposób rozporządzenie wpłynie na dział IT, na co zwrócić uwagę, jakie są potencjalne problemy i wyzwania. Dlatego podjąłem próbę takiej analizy, chociaż podejrzewam, że przeanalizowałem zaledwie czubek góry lodowej.

Każdy już słyszał o unijnym rozporządzeniu o ochronie danych, w Polsce zwanym RODO (rozporządzenie ogólne o ochronie danych osobowych), a na świecie GDPR (General Data Protection Regulation). Wszyscy wiedzą już też, że jest to rozporządzenie, a nie dyrektywa... 

Projekt ustawy o ochronie danych osobowych - po raz drugi - zobaczmy, co nowego!

Już jakiś czas temu pisałem o projekcie ustawy o ochronie danych osobowych, a teraz mamy kolejną wersję tego projektu - zobaczmy więc, czym ona różni się od tamtej wersji sprzed mniej więcej pół roku. Zmieniono podejście do ABI, brak reakcji przedłuża im "kadencję". Prezesem Urzędu Ochrony Danych Osobowych może zostać doktor nauk. Niskie kary administracyjne dla sektora publicznego są utrzymane. Powstaje Fundusz Ochrony Danych Osobowych - kary będą finansować program budowania świadomości. No i są dodatkowe kary (w stosunku do unijnego rozporządzenia).

Przepisy wprowadzające ustawę o ochronie danych osobowych - część 3, (prawie) ostatnia

Kolejny wniosek - zamiast grzebać w ponad stu przepisach i odmiennie to regulować w każdym z nich, może lepiej od razu wrzucić to do ustawy o ochronie danych osobowych - że wszystkie podmioty publiczne tak robią i już?

Moim zdaniem informacje o ograniczeniach praw  powinny być zamieszczone na stronie GIODO - obywatel nie powinien poznawać swoje prawa lub ich ograniczenia w dziesiątkach ustaw - poniżej kolejne ograniczenie, jedno z wielu, pojawiające się w ustawie o kinematografii - chodzi o poinformowanie, że prawa są realizowane bezpłatnie co np. 6 miesięcy, że naruszenia bezpieczeńśtwa publikuje się na stronach internetowych czy też że nie stosuje się przepisów art. 14 rozporządzenia.

Przepisy wprowadzające ustawę o ochronie danych osobowych - niezła czytanka! - cz.2

Zaczynam zauważać już pewne ciekawe rzeczy. Przykładowo Ubezpieczeniowy Fundusz Gwarancyjny o naruszeniu bezpieczeństwa nie będzie informował w ogóle, gdyby miało to byś kosztowne. Jak widać z pewnych powodów są równi i równiejsi. No i notorycznie pojawiają się BIPy oraz "własne strony internetowe", na których rozmaite urzędy będą publikować informacje o wyciekach. Sądziłem, że dla mnie, jako obywatela, strona GIODO (a później Prezesa Urzędu) będzie jedynym miejscem, gdzie dowiem sie, komu dane wyciekły i czy mam się czegoś bać. A teraz już wiem, że raczej się nie dowiem, chyba, że będę monitorować BIPy, różne strony internetowe urzędów, a i to nie pomoże, bo niektórzy są równiejsi i nic nie muszą... Jak to było w filmie Sami Swoi - "Sąd sądem a sprawiedliwość musi być po naszej stronie". No ale może wróćmy do czytania.

Przepisy wprowadzające ustawę o ochronie danych osobowych - cz.1

Obecna ustawa nie może zostać w takim kształcie jak jest, zatem "konieczne stało się opracowanie zupełnie nowej regulacji w zakresie ochrony danych osobowych, która odpowiadałaby przepisom i standardom ochrony danych osobowych przyjętym na poziomie UE".

Przyjrzyjmy się jednak najpierw przepisom wprowadzających ustawę. Dowiadujemy się z nich, że zmieni się ustawa o postępowaniu egzekucyjnym - Prezes Urzędu "odziedziczy" dawne egzekucyjne prawa i obowiązki GIODO (art. 2 w § 1 pkt 12 tej ustawy).

Bardzo zaskakuje, że po dodaniu § 4 w tej samej ustawie do egzekucji nie będzie stosować się art. 12-22 i art. 34 RODO. A więc osoby pozbawia się wszelkich praw przyznanych w związku z prowadzeniem postępowania egzekucyjnego, nawet jak dane wyciekną, to nie zostaną one (ani Prezes Urzędu) o tym zawiadomione...

Zdjęcie na identyfikatorze jest "nielegalne", ale...

Dzisiaj wpadłem na artykuł autorstwa Nicoli Zięby (Wojewódka i Wspólnicy Kancelaria Prawa Pracy) z tzw. click baitowym (przyciągającym uwagę) tytułem "Zamieszczanie zdjęć pracowników na identyfikatorach narusza ochronę danych osobowych".

Tłumaczenie GDPR na RODO - dlaczego jest inaczej?

Analizuję paragraf po paragrafie treść Europejskiego Rozporządzenia 2016/679 "w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)" (...) Zauważyłem, że wersja polska brzmi inaczej w niektórych miejscach, podczas gdy w wersji angielskojęzycznej tekst jest identyczny. (...) W niektórych miejscach różnice są, ale wydają się mieć charakter celowy - dane bezpośrednio od osoby są "zebrane", ale z innych źródeł są raczej "pozyskane".

Przetwarzanie danych na podstawie zgody, której nie ma?

Ostatnio zgłaszałem szkodę z ubezpieczenia i - jak to bywa - musiałem wypełnić formularz zgłoszenia szkody. Na samym końcu formularza znalazły się moje oświadczenia

GIODO uważa, że stosowanie atrap kamer w szkołach powinno być zakazane

GIODO we współpracy z Ministrem Edukacji Narodowej opublikowało Wytyczne GIODO dotyczące wykorzystania monitoringu wizyjnego w szkołach. Dokument został właśnie przekazany do kuratoriów w Polsce. Zobaczmy, co ciekawego mogą dowiedzieć się z niego dyrektorzy szkół oraz nauczyciele.

Jest następca Truecrypt - szyfrowanie (znowu) za darmo!

Szyfrowanie dysków komputera zawsze stanowiło wyzwanie dla małych przedsiębiorstw, osób prowadzących działalność gospodarczą jednoosobowo oraz osób prywatnych. Szanse na szyfrowanie dysku mieli Ci, którzy albo posiadali Windows w wersji conajmniej Professional, bądź użytkownicy Linuxa lub systemu OSX, gdyż tam odpowiednie narzędzia są już wbudowane.
 
Kiedyś było lepiej, bo był TrueCrypt, ale zwinął się z rynku - w maju 2014 zaprzestano rozwoju tego oprogramowania i informowano, że używanie jego nie jest bezpieczne, gdyż posiada nie połatane dziury.

Profilowanie? Hm, komputer mówi "nie"

Jest tyle dyskusji  tym czym profilowanie jest, a czym nie jest. A to wideo mówi wszystko - https://www.youtube.com/watch?v=AJQ3TM-p2QI

Zgubiłeś dowód? Co robić?

Zgubiłeś dowód? Wyłącz go z obiegu i zgłoś to jak najszybciej. Jeśli to była kradzież - zgłoś na Policję, jeśli nie - zgłoś w najbliższym organie gminy albo przez Internet korzystając z ePUAP. I jeszcze...

Kancelaria poszukuje, ale zgody nie chce!

Na LinkedIn można znaleźć taki wpis

Kancelaria [...] poszukuje aplikanta adwokackiego w celu nawiązania stałej współpracy.
Wymagania:
   • co najmniej I rok aplikacji adwokackiej,
   • doświadczenie w prowadzeniu spraw sądowych: cywilnych i karnych.
Oferty współpracy (CV i list motywacyjny) prosimy przesyłać na adres [...]
W ofercie prosimy nie zamieszczać klauzuli zgody na przetwarzanie danych osobowych dla celów rekrutacji – a dlaczego, tego można się dowiedzieć współpracując z nami.

Tylko rok do RODO - raport Deloitte

Na stronach internetowych Deloitte znajdujemy raport "Rok do RODO - ochrona danych osobowych oczami polskich konsumentów". Wnioski z badania są następujące:

Nic nie stoi na przeszkodzie, aby rolę Inspektora Ochrony Danych zlecać podmiotom zewnętrznym

Gdyby nie chciano, aby usługowo pełniono rolę Inspektora Ochrony Danych Osobowych, to w RODO nie pojawiłby się art. 37 ust. 6, w którym określa się, że rolę inspektora może pełnić pracownik administratora lub procesora lub może to być umowa o świadczenie usług. Wersja angielska lepiej to ujmuje bo mówi o  "service contract" - u nas umowa o świadczenie usług często kojarzy się z umowami cywilnoprawnymi takimi jak umowa zlecenie czy o dzieło.

Ustawa o ochronie danych osobowych - dodatek do RODO

Przed każdym z państw Unii Europejskiej stoi wyzwanie wdrożenia do krajowego porządku prawnego ogólnego rozporządzenia unijnego o ochronie danych osobowych (rozporządzenie 2016/679).  Przepisy ustawy o ochronie danych osobowych, mają zapewnić skuteczne stosowanie w polskim porządku prawnym rozporządzenia 2016/679. Udostępniony projekt wskazuje na proponowany przez Ministra Cyfryzacji sposób realizacji tego celu.

Tak włanie czytamy na stronie internetowej Ministerstwa Cyfryzacji, gdzie udostępniono projekt ustawy o ochronie danych osobowych... 

Strony

Subscribe to Administratorzy Bezpieczeństwa Informacji RSS