Szczegół bywa istotny

Wczoraj Prezes Urzędu Ochrony Danych Osobowych opublikował swoje stanowisko w sprawie… stanowiska Europejskiej Rady Ochrony Danych (https://lnkd.in/gHhvFhP). W 8820 znakach (jedna z dłuższych, jeśli nie najdłuższa publikacja ever) możemy przeczytać, jak bardzo PUODO jest zdegustowany działaniami prasy oraz Europejskiego Inspektora Ochrony Danych i że ostatecznie EROD stanął w obronie niezależności PUODO i chce go wspierać (ja polecam jednak treści źródłowe EROD – https://lnkd.in/guG5Bmq oraz https://lnkd.in/g-ykbT3). Mamy stanowisko o stanowisku i deklarację niepodległości.

Można jednak wynieść z tego tekstu coś poza metadanymi i manifestem. Ja zacząłem się zastanawiać, czy art. 75 RODO został właściwie przetłumaczony 😉 Prezes pisze w swojej relacji: “Sekretariat EROD, którego obsługę zapewnia Europejski Inspektor Ochrony Danych Osobowych – Wojciech Wiewiórowski“, co może sugerować, że dr Wiewiórowski obsługuje sekretariat w EROD… brzmi to dwuznacznie, ale tak właśnie w polskiej wersji stanowi art. 75 RODO: “zapewnia obsługę sekretariatu“. Co oznacza obsługa sekretariatu: kupowanie papieru i spinaczy, odbieranie telefonów, kserowanie dokumentów? Jak właściwie obsługuje się sekretariat?

W angielskiej wersji art. 75 czytamy: “The Board shall have a secretariat, which shall be provided by the European Data Protection Supervisor”. Można to tłumaczyć raczej jako zapewnienie sekretariatu Radzie, a nie obsługi sekretariatu. W angielskiej wersji tego motywu też jest tak, jak w art. 75: “a secretariat provided by the European Data Protection Supervisor” – nadal bez “obsługi”. Skąd w polskiej wersji wzięła się “obsługa”? Jest to wątpliwe tłumaczenie, tym bardziej, że zgodnie z polskim tłumaczeniem motywu 140 “Europejską Radę Ochrony Danych powinien wspierać sekretariat, zapewniany przez Europejskiego Inspektora Ochrony Danych“. Mamy dwa analogiczne zapisy (motyw 140 i art. 75) ale różnie przetłumaczone (“zapewnia sekretariat” i “zapewnia obsługę sekretariatu”).

Czemu to ważny szczegół? Otóż PUODO uznał za istotne w swoim stanowisku, m.in. by odnieść się do niewłaściwego użycia słowa “interwencja” przez dziennikarzy. Możliwe, że słusznie, nie wnikam. Ale skoro zwracamy uwagę na szczegóły, to w treści będącej de facto krytyką działań EIOD, pisanie o tym, że obsługuje on sekretariat EROD też może być nieprzypadkowe. Oczywiście nie zakładam celowego deprecjonowania EIOD, jednak w tym kontekście przyjęte tłumaczenie wzbudziło moje wątpliwości.

Przymusowy pomiar temperatury ciała

Sporo osób powtarza ostatnio, że nie szkoda róż gdy płonie las. Mi szkoda. I lasu i róż. Stąd kilka zdań, z przymrużeniem oka, o ostatnim stanowisku PUODO.

5 maja, czyli 52 dni po wprowadzeniu w Polsce stanu zagrożenia epidemicznego, Prezes Urzędu Ochrony Danych Osobowych opublikował stanowisko w sprawie Sprawdzania temperatury w celu zapobiegania rozprzestrzeniania się COVID-19. Na falę krytyki nie musiał jednak czekać półtora miesiąca. Czy słusznie?

W skrócie, w swoim stanowisku PUODO wskazuje, że pomiar temperatury w zakładzie pracy będzie zgodny z przepisami o ochronie danych osobowych, jeżeli będzie wykonywany na podstawie decyzji, wytycznych lub zaleceń Głównego Inspektora Sanitarnego (art. 9 ust. 2 lit. i w związku z art. 17 ustawy covidowej z 2 marca br.). Innych podstaw nie podaje, natomiast podkreśla, że zgoda pracownika będzie niewłaściwą przesłanką z uwagi na brak jej dobrowolności. Tyle.

GIS generalnych wytycznych w tym zakresie nie wydał. Nie dziwne, bo temperatura ciała wcale nie musi być dobrą i skuteczną metodą wykrywania osób zakażonych (okres wylęgania choroby, przebieg bezobjawowy, podwyższona temperatura z innych powodów), ale to temat dla epidemiologów. Ponadto praktyka pokazuje, że nie GIS jest skory do wydawania takich decyzji w indywidualnych przypadkach zakładów pracy. Nawet jeśli by się ktoś uparcie dopraszał, to wpada w machinę administracyjną. Przypominam, że końca dobiega drugi miesiąc z epidemią. W związku z powyższym wydaje się, że stanowisko PUODO wskazuje – jako jedyną możliwą – mało praktyczną ścieżkę postępowania. W mojej ocenie, nie jest to jednak największy problem…

W stanowisku zabrakło jakiejkolwiek wzmianki o ocenie skutków przetwarzania (art. 35 RODO) lub przynajmniej analizie ryzyka naruszenia praw i wolności osób fizycznych (art. 24 RODO). Szkoda, bo to bardzo ważny obszar! Wyobraźmy sobie taką scenę:

Przy wejściu do pracy siedzi ochroniarz z termometrem. Osoby z temperaturą ciała do 37*C wchodzą, reszta jest odnotowywana w rejestrze i może wracać do domu. Do tego jest ankieta dot. objawów – na jej podstawie osoby są kierowane na szybkie testy kupione przez pracodawcę.

Pierwsza jest Pani Anna, której bardzo zależy aby być tego dnia w pracy na ważnym spotkaniu. Niestety ma 37,3*C. Na szczęście zna ochroniarza, tłumaczy mu, że podwyższona temperatura, to drugi etap objawów kiły i jest w trakcie leczenia. Wchodzi.

Drugi jest Pan Andrzej. Co prawda ma 36,6*C, jednak wchodząc zakasłał, bo jest palaczem. Ochroniarz nie lubi palaczy, więc kieruje Pana Andrzeja na przesiewowe badanie na covid – ma przecież wszystkie syndromy bezobjawowego covid-19 plus kaszel.

Tak to niestety może wyglądać. Może to być realizowane na podstawie decyzji GIS, może być z wykorzystaniem kamer termowizyjnych, może być w słusznej sprawie. Ale może też wkraczać w naszą prywatność z butami. Niestety model rekomendowany przez PUODO (bo stanowiska tego organu nie są wiążące) pozbawia nas jakichkolwiek gwarancji ochrony prywatności. Wszystko zależy od GIS i tego, czy w swoich decyzjach, wytycznych lub zaleceniach uwzględni ochronę prywatności.

A nie musi tak być. Jest jeszcze opcja alternatywna. Zgodnie z art. 9 ust. 2 lit. h RODO przetwarzanie danych wrażliwych jest dopuszczalne, jeżeli „jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa Unii lub prawa państwa członkowskiego lub zgodnie z umową z pracownikiem służby zdrowia i z zastrzeżeniem warunków i zabezpieczeń, o których mowa w ust. 3”, czyli „są przetwarzane przez – lub na odpowiedzialność – pracownika podlegającego obowiązkowi zachowania tajemnicy zawodowej”. Taki pracownik zobowiązany do zachowania tajemnicy zawodowej (np. pielęgniarka) stanowiłby bufor pomiędzy osobą fizyczną, a przedsiębiorcą (pracodawcą). Gwarantowałby profesjonalizm działań i zapewniał poszanowanie prywatności. Co ciekawe, w niektórych zakładach pracy są zatrudnione takie osoby.

Niestety zalecenie zatrudniania pracowników służby zdrowia w firmach, w okresie epidemii działa na niekorzyść służby zdrowia, która boryka się z problemami kadrowymi i mogłoby być źle widziane przez przedsiębiorców w kryzysie ekonomicznym. Dlatego tego modelu nie zobaczymy w stanowisku PUODO. Szkoda, bo choć wcale nie jest prosty, to w mojej ocenie jest najwłaściwszy i daje największe gwarancje ochrony danych osobowych. A przecież wygoda lub koszty nie powinny być argumentem za pozbawianiem nas prawa do prywatności.

Podsumowując, przez lata patrzyliśmy na Chiny z przerażeniem, kiedy w przestrzenia publicznej montowano monitoring rozpoznający twarze, obywatelom przyznawano punkty, a prywatność była ostatnim elementem branym pod uwagę. Teraz Chiny patrzą na nas z zaciekawieniem, jak dalece skręcimy w ich kierunku? Jak pisał Nietzsche, kiedy spoglądasz w otchłań ona również patrzy na ciebie 😉

Poradnik dla pracownika – praca zdalna

Stan epidemii zmusił wiele organizacji do przejścia w tryb pracy zdalnej. Te podmioty, które dotychczas przewidywały opcję tzw. home office nie są dziś zaskoczone nową sytuacją. Jest jednak sporo firm i urzędów, które stanęły przed nowym wyzwaniem. Wiąże się to zarówno z inną organizacją pracy przez pracodawcę ale również dla pracownika z pracą w nowym środowisku.

Takie „elastyczne” warunki pracy oznaczają niestety nowe ryzyka dla bezpieczeństwa danych. Transport sprzętu lub dokumentów, nadzór nad nimi w domu, kwestie związane z IT i ograniczony dostęp do wsparcia ze strony pracodawcy to obszary, na które warto zwrócić uwagę w kontekście ochrony danych. To w tych miejscach powstały nowe podatności, które dotychczas nie występowały w bieżącej pracy.

Dlatego właśnie tak istotne, by każdy pracownik wykonujący pracę zdalną zapoznał się z poniższymi radami i uwagami dotyczącymi bezpieczeństwa danych podczas pracy zdalnej. Niezależnie od trybu pracy, dane osobowe muszą być właściwie chronione, tak by nie okazało się, że brak świadomości lub niewłaściwe praktyki doprowadziły do naruszenia i jego konsekwencji.

Poradnik jest przeznaczony zarówno dla osób rozpoczynających przygodę z pracą zdalną, jak również – jako przypomnienie – dla pracowników zaznajomionych już z taką formą aktywności zawodowej. Przedstawione w nim sugestie oparte są na wieloletnim doświadczeniu i dobrych praktykach zebranych z różnych źródeł. Mam nadzieję, że okażą się pomocne i pozwolą dobrze zorganizować pracę, tak by dane osobowe były bezpieczne.

Poradnik dostępny jest w sekcji -> Publikacje <-


Nowy projekt!!!

Rozpocząłem nowy projekt #RODO4ALL. Pod tym hasztagiem na FB i Li będę publikować wskazówki, schematy, tablica, których celem jest oczywiście ułatwienie stosowania RODO. Więcej szczegółów w zakładce. Zapraszam!

BIMS gra z WOŚP!

BIMS dla specjalistycznych szpitali dziecięcych

W tym roku BIMS zagra w 27 finale Wielkiej Orkiestry Świątecznej Pomocy! Na aukcję Charytatywni Allegro trafiło szkolenie z zakresu bezpieczeństwa informacji, w tym szczególnie ochrony danych osobowych (RODO). 3-godzinne szkolenie zostanie przeprowadzone w siedzibie zwycięzcy aukcji. W razie potrzeby, program szkolenia może być dostosowany do oczekiwań zwycięzcy aukcji. Liczba uczestników jest nieograniczona, a każdy uczestnik otrzyma certyfikat potwierdzający uczestnictwo.

Tu jest aukcja!

100% wylicytowanej kwoty zasili WOŚP – w tym roku celem finału jest zakup nowoczesnego sprzętu medycznego dla specjalistycznych szpitali dziecięcych!

Każdy pomaga jak może: ja – przeprowadzę szkolenie, zwycięzca wylicytuje zawrotną kwotę dla dzieciaków, Ty pomóż tej aukcji, trafić do jak najhojniejszego allegrowicza! Razem możemy dużo!




RODO W ORGANIZACJI Poradnik praktyczny BIMS

W sekcji “Publikacje” udostępniam poradnik skierowany do administratorów danych i podmiotów przetwarzających. Poradnik dotyczy podstawowych kwestii związanych ze stosowaniem RODO.

Starałem się okrasić go licznymi przykładami z życia (przedsiębiorstwa lub podmiotu publicznego) oraz do niezbędnego minimum ograniczyć cytowanie rozporządzenia i posługiwanie się specyficznym językiem branżowym – czyli  wyeliminować to, co najbardziej przeszkadza w opracowaniach tej zawiłej tematyki.

Zapraszam do lektury!

BIMS

Dowiedz się więcej o bezpieczeństwie informacji w swojej firmie – skorzystaj z oferty profesjonalnych audytów bezpieczeństwa.

Zadbaj o wdrożenie RODO lub zweryfikuj poziom zgodności z jego wymogami.

Poznaj arkana bezpieczeństwa informacji, a w szczególności ochrony danych osobowych na dedykowanych szkoleniach.

Masz wątpliwości w konkretnej sprawie? Skorzystaj z pomocy specjalisty w ramach konsultacji lub zlecenia ekspertyzy.

Nie pozwól się zaskoczyć przepisom, ani podatnościom systemu bezpieczeństwa. Odwiedź zakładkę Oferta, aby poznać więcej szczegółów.