6 lutego 2019
W środę 6 lutego 2019 mieliśmy ponownie przyjemność zaprosić Państwa na śRODOwe śniadanie, czyli spotkanie praktyków ochrony danych osobowych.
Wypiliśmy kawę, porozmawialiśmy, a co najważniejsze poznaliśmy się osobiście.
Rozmowa krążyła wokół aktualnych tematów takich jak: analiza ryzyka, rekrutacja, Facebook, Linkedin, telemarketing, wizerunek, zgoda (zbieranie i przechowywanie), biometria.
Dobrze jest porozmawiać z kimś, kto dobrze nas rozumie, ale ma własną opinię na przykład na temat:
- zbieranie zgody na wykorzystanie wizerunku, od czego zaczynamy każde śniadanie,
- jak wiadomo ilu prawników, co najmniej tyle opinii...
- rozmawialiśmy o:
- potrzebie wymieniania podstaw prawnych w treści zgody, której adresatami są prawnicy i ogólniej o dostosowaniu tekstu do odbiorców,
- obowiązku informacyjnym, a udostępnianiu zdjęć na Facebooku i transferze danych do państw trzecich,
- okresie przechowywania, zwykle tyle ile wynosi przedawnienie roszczeń, ale co z dowodzeniem rozliczalności i realizacją praw osób?
- cyfryzacji zgód i oświadczeń:
- zgodnie z nowymi przepisami akta pracownicze mogą być prowadzone wyłącznie w formie elektronicznej, tzw. e-teczki,
- pojawia się problem – jak zawierać umowy o pracę, które zgodnie z kodeksem pracy zawiera się na piśmie,
- cyfryzacja wymagałaby popularyzacji kwalifikowanego podpisu elektronicznego,
- co ciekawe od marca br. będzie możliwość uzyskania dowodu osobistego z chipem, który zawierać będzie certyfikat identyfikacji i uwierzytelnienia, a także umożliwi zapis kwalifikowanego certyfikatu podpisu elektronicznego,
- choć niestety na rynku brakuje urządzeń do jego odczytu, ale od czegoś trzeba zacząć - problem jajka i kury,
- cyfrowe zbieranie podpisu biometrycznego, czyli z np. z pomiarem siły nacisku rysika, kąta nachylenia rysika, czasu i tempa składania podpisu,
- Poczta Polska (przy przesyłkach sądowych) i firmy kurierskie podobno zbierają tylko "obrazek" bez rejestracji danych biometrycznych,
- z drugiej strony czym jest zwykły podpis, jeśli nie obrazkiem,
- ale świat idzie do przodu, więc jakie są za i przeciw podpisu biometrycznego, skoro można go zbierać,
- tymczasem szacuje się, że koszt wydruku i archiwizacji 5 stronicowego dokumentu przez 10 lat to około 22 zł, więc potencjalne oszczędności i korzyści mogą być przekonujące,
- Poczta Polska (przy przesyłkach sądowych) i firmy kurierskie podobno zbierają tylko "obrazek" bez rejestracji danych biometrycznych,
- analiza ryzyka była jednym z głównych tematów śniadaniowej rozmowy
- w dużych organizacjach podobnymi analizami zajmował się tradycyjnie dział audytu wewnętrznego, ale też działy bezpieczeństwa informacyjnego - oczywiście z punktu widzenia instytucji, a nie podmiotów danych,
- w mniejszych organizacjach i firmach zazwyczaj analizuje się ryzyko w poszczególnych procesach dzielonych na np. rekrutację, zatrudnienie, marketing, sprzedaż,
- w dużych instytucjach podział na obszary i procesy ma wiele poziomów,
- w każdym z obszarów mamy do czynienia z zespołem, systemami IT, procedurami i obiegiem dokumentów,
- ciekawym zagadnieniem okazała się gradacja ryzyka - czy "niskie" ryzyko w jednym obszarze jest porównywalne do "niskiego" ryzyka w innym?
- zgodziliśmy się, że każdy incydent czy nawet poważna wątpliwość związana z ODO powinny skłaniać do przeglądu metodyk analizy ryzyka i środków jego mitygacji,
- z drugiej strony ciągłe doskonalenie, a więc zmiany, nie zapewniają czasu na ustabilizowanie i na właściwe wprowadzenie wcześniejszych zaleceń,
- a przecież pracownik oczekuje optymalizacji, a nie mnożenia obowiązków, jednej instrukcji działania raz na zawsze, a nie ciągłych zmian, które trzeba przyswajać i wdrażać,
- zmiana organizacyjna i komunikacja w ramach zespołu są często największym wyzwaniem przy zapewnianiu zgodności z nowymi przepisami,
- w gąszczu wewnętrznych regulacji i procedur forma tekstowa jest często pomijana i ignorowana, pojawia się więc pytanie o bardziej skuteczne metody - wizualne, szkoleniowe, w formie konsultacji, ankiet i badań adopcji, czy satysfakcji ze środowiska pracy,
- dla wprowadzenia nowych rozwiązań istotne jest też ponawianie działań edukacyjnych, konsultacji, okresowe badania i sprawdzenia,
- przez chwilę rozmowa przeszła do serii anegdot na temat zarządzania licznymi hasłami (np. zalaminowane hasło wiszące na tablicy), metod mnemotechnicznych, systemów zarządzania hasłami, metod biometrycznych, w tym jako alternatywy do metod tradycyjnych - do swobodnego wyboru przez pracowników,
- na kolejnym poziomie dygresji rozmawialiśmy o testach rozwiązań biometrycznych prowadzonych przez mBank,
- biometria w telefonach komórkowych również nie umknęła naszej uwagi, prowadząc do prognozy, że niedługo naciśnięcie klamki (samochodu, budynku) będzie zbierało nasze dane biometryczne i oszczędzało wyciągania klucza,
- zgodziliśmy się, że tworzenie systemowych rozwiązań jest trudne, ale to dopiero początek - ich wdrożenie w dużej organizacji wymaga sporo wysiłku, urozmaiconych środków, powtarzających się okresowo starań,
- "duży okręt nie zmienia kursu gwałtownie, a wszelkie zmiany kursu wywołują fale i daleko idące konsekwencje, których możemy nawet nie przewidywać"
- zgodziliśmy się też, że szczególnie w większych instytucjach opracowana metodyka analizy ryzyka jest autorskim dziełem osoby ją opracowującej i powinna tak być traktowana i doceniana - z całą pewnością nie jest to kolejny dokument i procedura do bezrefleksyjnego zapożyczania i korzystania, przez osoby poszukujące narzędzi i inspiracji,
- rozmawiając o przetwarzaniu danych w rekrutacji
- mówiliśmy o zbieraniu CV ze zdjęciami na podstawie zgody udzielonej przez kandydata - pytanie komu udzielonej i czy prawidłowo,
- rozważaliśmy, czy wyjątkowych przypadkach stan cywilny i przynależność partyjna mogą stanowić dane wrażliwe, bo może być jakiś powód naszego stanu wolnego, a przynależność do partii może być wyrachowanym oportunizmem,
- zwróciliśmy uwagę na dualizm podejścia RODO do podziałów rasowych - wskazania na brak podziałów rasowych, ale zawarcia rasy w katalogu kategorii danych wrażliwych,
- wracając do portalu Facebook, którego to tematu nie da się uniknąć,
- zastanawialiśmy się, czy FB jest procesorem czy odrębnym ADO danych naszych klientów,
- z jednej strony mógłby być procesorem, bo udostępnia nam swoje systemy IT do przetwarzania danych klientów,
- ale z drugiej strony zapewnia ten system IT nie tylko nam jako ADO, ale i podmiotom danych i to zupełnie niezależnie, w ramach odrębnej relacji prawnej, samodzielnie decydując o celach i środkach przetwarzania,
- pytanie więc czy podmioty zapewniające platformę "ogłoszeniową", takie jak Linkedin, OLX, Allegro, w ramach której prowadzimy swoją działalność, są odrębnymi ADO w innym zakresie, innym celu, a przy okazji zobowiązanymi do realizacji obowiązku informacyjnego i respektowania praw osób, czego w takim razie my nie musimy robić w ich imieniu, a jedynie w swoim - w ramach naszego celu, zakresu przetwarzania,
- orzecznictwo UE zdaje się iść w tym właśnie kierunku, czyli współadministrowania, a więc możemy liczyć na realizację wykonywania praw osób przez FB czy LI,
- przy okazji rozmowy o realizacji naszego obowiązku informacyjnego na stronie lub grupie FB mowa była o optymalnych tego sposobach,
- jeśli post, to przypięty, co jednak budzi niechęć marketerów,
- więc może link w zakładce Informacje, dzięki czemu podmioty dzielą jedynie 2 kliknięcia od zapoznania się z treścią klauzul,
- publikując post z ogłoszeniem rekrutacyjnym możemy już w tym poście zasygnalizować treść klauzuli informacyjnej i odesłać po więcej, informując tym samym na kilku poziomach szczegółowości, optymalizując przyswajalność komunikatu,
- rozmowa przeszła do rekrutacji i okresu przechowywania dokumentów - co najmniej tak długo, ile wynosi okres przedawnienia roszczeń, ale dla celów realizacji praw osób być może dłużej, w zanonimizowanej formie,
- padła też sugestia okresowego usuwania danych z kampanii rekrutacyjnej,
- chociaż przyznaliśmy, że w dużych organizacjach i rozproszonych systemach (skrzynki pocztowe) może to nie być łatwe,
- stąd też być może potrzeba centralizacji przechowywania dokumentów związanych z rekrutacją,
- ciekawy jest wyrok w sprawie karnej uznający stronę WWW, dostępnej bez logowania, za miejsce publiczne, co może prowadzić do konieczności oceny skutków przetwarzania w przypadku monitoringu za pomocą cookies, czy Google Analytics - jak by nie było - miejsca publicznego,
- ciekawa konkluzja płynie też z wyroku Sądu Okręgowego Warszawa - Praga, dotyczącej telemarketingu,
- sprawa dotyczyła możliwości kontaktu z konsumentem, w celu zapytania go o zgodę na przedstawienie treści marketingowych,
- Sąd uznał, że zakaz przewidziany w prawie telekomunikacyjnym, nie obejmuje kontaktu w celu uzyskania takiej zgody,
- Na gruncie tego orzeczenia pojawia się pytania, czy po zebraniu zgody w trakcie rozmowy telefonicznej trzeba się rozłączyć, a następnie połączyć ponownie w celu przedstawienia oferty,
- wykładnia UOKIK zdaje się nie zgadzać z wyrokiem sądu,
- zdrowy rozsądek i efektywność kosztowa podpowiadałyby, że skoro uzyskaliśmy zgodę, to możemy przystąpić do składania oferty,
- skonkludowaliśmy, że nadzoru nad zgodnością z RODO nie sprawuje jedynie UODO - wśród urzędów, które mogą sprawować nadzór, prowadzić postępowania i dochodzić odpowiedzialności przedsiębiorców w związku z przepisami RODO są m.in. PIP, UKE, UOKIK, KNF.
Natępne śRODOwe śniadanie już 20 lutego: https://favitor.pl/srodowe-sniadanie/
Zgłoś swój udział i temat najbliższego śRODOwego śniadania!
Udział jest bezpłatny za emailowym potwierdzeniem ze strony organizatora.