Relacja – śRODOwe śniadanie 6 lutego 2019: analiza ryzyka, rekrutacja, Facebook, biometria

W środę 6 lutego 2019 mieliśmy ponownie przyjemność zaprosić Państwa na śRODOwe śniadanie, czyli spotkanie praktyków ochrony danych osobowych.

Wypiliśmy kawę, porozmawialiśmy, a co najważniejsze poznaliśmy się osobiście.

Rozmowa krążyła wokół aktualnych tematów takich jak: analiza ryzyka, rekrutacja, Facebook, Linkedin, telemarketing, wizerunek, zgoda (zbieranie i przechowywanie), biometria.

Dobrze jest porozmawiać z kimś, kto dobrze nas rozumie, ale ma własną opinię na przykład na temat:

• zbieranie zgody na wykorzystanie wizerunku, od czego zaczynamy każde śniadanie,
  • jak wiadomo ilu prawników, co najmniej tyle opinii...
  • rozmawialiśmy o:
    • potrzebie wymieniania podstaw prawnych w treści zgody, której adresatami są prawnicy i ogólniej o dostosowaniu tekstu do odbiorców,
    • obowiązku informacyjnym, a udostępnianiu zdjęć na Facebooku i transferze danych do państw trzecich,
    • okresie przechowywania, zwykle tyle ile wynosi przedawnienie roszczeń, ale co z dowodzeniem rozliczalności i realizacją praw osób?
  • cyfryzacji zgód i oświadczeń:
    • zgodnie z nowymi przepisami akta pracownicze mogą być prowadzone wyłącznie w formie elektronicznej, tzw. e-teczki,
    • pojawia się problem – jak zawierać umowy o pracę, które zgodnie z kodeksem pracy zawiera się na piśmie,
    • cyfryzacja wymagałaby popularyzacji kwalifikowanego podpisu elektronicznego,
    • co ciekawe od marca br. będzie możliwość uzyskania dowodu osobistego z chipem, który zawierać będzie certyfikat identyfikacji i uwierzytelnienia, a także umożliwi zapis kwalifikowanego certyfikatu podpisu elektronicznego,
    • choć niestety na rynku brakuje urządzeń do jego odczytu, ale od czegoś trzeba zacząć - problem jajka i kury,
  • cyfrowe zbieranie podpisu biometrycznego, czyli z np. z pomiarem siły nacisku rysika, kąta nachylenia rysika, czasu i tempa składania podpisu,
    • Poczta Polska (przy przesyłkach sądowych) i firmy kurierskie podobno zbierają tylko "obrazek" bez rejestracji danych biometrycznych,
      • z drugiej strony czym jest zwykły podpis, jeśli nie obrazkiem,
      • ale świat idzie do przodu, więc jakie są za i przeciw podpisu biometrycznego, skoro można go zbierać,
    • tymczasem szacuje się, że koszt wydruku i archiwizacji 5 stronicowego dokumentu przez 10 lat to około 22 zł, więc potencjalne oszczędności i korzyści mogą być przekonujące,
• analiza ryzyka była jednym z głównych tematów śniadaniowej rozmowy
  • w dużych organizacjach podobnymi analizami zajmował się tradycyjnie dział audytu wewnętrznego, ale też działy bezpieczeństwa informacyjnego - oczywiście z punktu widzenia instytucji, a nie podmiotów danych,
  • w mniejszych organizacjach i firmach zazwyczaj analizuje się ryzyko w poszczególnych procesach dzielonych na np. rekrutację, zatrudnienie, marketing, sprzedaż,
  • w dużych instytucjach podział na obszary i procesy ma wiele poziomów,
    • w każdym z obszarów mamy do czynienia z zespołem, systemami IT, procedurami i obiegiem dokumentów,
    • ciekawym zagadnieniem okazała się gradacja ryzyka - czy "niskie" ryzyko w jednym obszarze jest porównywalne do "niskiego" ryzyka w innym?
  • zgodziliśmy się, że każdy incydent czy nawet poważna wątpliwość związana z ODO powinny skłaniać do przeglądu metodyk analizy ryzyka i środków jego mitygacji,
    • z drugiej strony ciągłe doskonalenie, a więc zmiany, nie zapewniają czasu na ustabilizowanie i na właściwe wprowadzenie wcześniejszych zaleceń,
    • a przecież pracownik oczekuje optymalizacji, a nie mnożenia obowiązków, jednej instrukcji działania raz na zawsze, a nie ciągłych zmian, które trzeba przyswajać i wdrażać,
    • zmiana organizacyjna i komunikacja w ramach zespołu są często największym wyzwaniem przy zapewnianiu zgodności z nowymi przepisami,
    • w gąszczu wewnętrznych regulacji i procedur forma tekstowa jest często pomijana i ignorowana, pojawia się więc pytanie o bardziej skuteczne metody - wizualne, szkoleniowe, w formie konsultacji, ankiet i badań adopcji, czy satysfakcji ze środowiska pracy,
    • dla wprowadzenia nowych rozwiązań istotne jest też ponawianie działań edukacyjnych, konsultacji, okresowe badania i sprawdzenia,
    • przez chwilę rozmowa przeszła do serii anegdot na temat zarządzania licznymi hasłami (np. zalaminowane hasło wiszące na tablicy), metod mnemotechnicznych, systemów zarządzania hasłami, metod biometrycznych, w tym jako alternatywy do metod tradycyjnych - do swobodnego wyboru przez pracowników,
      • na kolejnym poziomie dygresji rozmawialiśmy o testach rozwiązań biometrycznych prowadzonych przez mBank,
      • biometria w telefonach komórkowych również nie umknęła naszej uwagi, prowadząc do prognozy, że niedługo naciśnięcie klamki (samochodu, budynku) będzie zbierało nasze dane biometryczne i oszczędzało wyciągania klucza,
    • zgodziliśmy się, że tworzenie systemowych rozwiązań jest trudne, ale to dopiero początek - ich wdrożenie w dużej organizacji wymaga sporo wysiłku, urozmaiconych środków, powtarzających się okresowo starań,
    • "duży okręt nie zmienia kursu gwałtownie, a wszelkie zmiany kursu wywołują fale i daleko idące konsekwencje, których możemy nawet nie przewidywać"
  • zgodziliśmy się też, że szczególnie w większych instytucjach opracowana metodyka analizy ryzyka jest autorskim dziełem osoby ją opracowującej i powinna tak być traktowana i doceniana - z całą pewnością nie jest to kolejny dokument i procedura do bezrefleksyjnego zapożyczania i korzystania, przez osoby poszukujące narzędzi i inspiracji,
• rozmawiając o przetwarzaniu danych w rekrutacji
  • mówiliśmy o zbieraniu CV ze zdjęciami na podstawie zgody udzielonej przez kandydata - pytanie komu udzielonej i czy prawidłowo,
  • rozważaliśmy, czy wyjątkowych przypadkach stan cywilny i przynależność partyjna mogą stanowić dane wrażliwe, bo może być jakiś powód naszego stanu wolnego, a przynależność do partii może być wyrachowanym oportunizmem,
  • zwróciliśmy uwagę na dualizm podejścia RODO do podziałów rasowych - wskazania na brak podziałów rasowych, ale zawarcia rasy w katalogu kategorii danych wrażliwych,
• wracając do portalu Facebook, którego to tematu nie da się uniknąć,
  • zastanawialiśmy się, czy FB jest procesorem czy odrębnym ADO danych naszych klientów,
  • z jednej strony mógłby być procesorem, bo udostępnia nam swoje systemy IT do przetwarzania danych klientów,
  • ale z drugiej strony zapewnia ten system IT nie tylko nam jako ADO, ale i podmiotom danych i to zupełnie niezależnie, w ramach odrębnej relacji prawnej, samodzielnie decydując o celach i środkach przetwarzania,
  • pytanie więc czy podmioty zapewniające platformę "ogłoszeniową", takie jak Linkedin, OLX, Allegro, w ramach której prowadzimy swoją działalność, są odrębnymi ADO w innym zakresie, innym celu, a przy okazji zobowiązanymi do realizacji obowiązku informacyjnego i respektowania praw osób, czego w takim razie my nie musimy robić w ich imieniu, a jedynie w swoim - w ramach naszego celu, zakresu przetwarzania,
  • orzecznictwo UE zdaje się iść w tym właśnie kierunku, czyli współadministrowania, a więc możemy liczyć na realizację wykonywania praw osób przez FB czy LI,
  • przy okazji rozmowy o realizacji naszego obowiązku informacyjnego na stronie lub grupie FB mowa była o optymalnych tego sposobach,
    • jeśli post, to przypięty, co jednak budzi niechęć marketerów,
    • więc może link w zakładce Informacje, dzięki czemu podmioty dzielą jedynie 2 kliknięcia od zapoznania się z treścią klauzul,
  • publikując post z ogłoszeniem rekrutacyjnym możemy już w tym poście zasygnalizować treść klauzuli informacyjnej i odesłać po więcej, informując tym samym na kilku poziomach szczegółowości, optymalizując przyswajalność komunikatu,
• rozmowa przeszła do rekrutacji i okresu przechowywania dokumentów - co najmniej tak długo, ile wynosi okres przedawnienia roszczeń, ale dla celów realizacji praw osób być może dłużej, w zanonimizowanej formie,
  • padła też sugestia okresowego usuwania danych z kampanii rekrutacyjnej,
  • chociaż przyznaliśmy, że w dużych organizacjach i rozproszonych systemach (skrzynki pocztowe) może to nie być łatwe,
  • stąd też być może potrzeba centralizacji przechowywania dokumentów związanych z rekrutacją,
• ciekawy jest wyrok w sprawie karnej uznający stronę WWW, dostępnej bez logowania, za miejsce publiczne, co może prowadzić do konieczności oceny skutków przetwarzania w przypadku monitoringu za pomocą cookies, czy Google Analytics - jak by nie było - miejsca publicznego,
• ciekawa konkluzja płynie też z wyroku Sądu Okręgowego Warszawa - Praga, dotyczącej telemarketingu,
  • sprawa dotyczyła możliwości kontaktu z konsumentem, w celu zapytania go o zgodę na przedstawienie treści marketingowych,
  • Sąd uznał, że zakaz przewidziany w prawie telekomunikacyjnym, nie obejmuje kontaktu w celu uzyskania takiej zgody,
  • Na gruncie tego orzeczenia pojawia się pytania, czy po zebraniu zgody w trakcie rozmowy telefonicznej trzeba się rozłączyć, a następnie połączyć ponownie w celu przedstawienia oferty,
  • wykładnia UOKIK zdaje się nie zgadzać z wyrokiem sądu,
  • zdrowy rozsądek i efektywność kosztowa podpowiadałyby, że skoro uzyskaliśmy zgodę, to możemy przystąpić do składania oferty,
• skonkludowaliśmy, że nadzoru nad zgodnością z RODO nie sprawuje jedynie UODO - wśród urzędów, które mogą sprawować nadzór, prowadzić postępowania i dochodzić odpowiedzialności przedsiębiorców w związku z przepisami RODO są m.in. PIP, UKE, UOKIK, KNF.

Natępne śRODOwe śniadanie już 20 lutego: https://favitor.pl/srodowe-sniadanie/