10:29
13/8/2019

W zeszłym tygodniu spotkaliśmy się z Michałem Kluską, który na codzień pracuje w największej polskiej kancelarii prawnej Domański Zakrzewski Palinka. Michała znamy od lat. Jest wyjątkowym prawnikiem, bo jako jeden z nielicznych świetnie rozumie branżę IT i potrafi przekładać język prawny na “informatyczny”. Postanowiliśmy z nim porozmawiać o tym, jak od kuchni wyglądały wdrożenia RODO/GDPR w polskich i zagranicznych firmach, bo w tematach ochrony danych osobowych Michał specjalizował się na długo przed RODO.

Udało nam się też namówić Michała na to, aby opowiedział nie tylko o kilku wpadkach wdrożeniowych, ale także o tym jak wygląda obsługa incydentu w postaci wycieku danych — od zgłoszenia do PUODO, przez przejście kontroli i komunikację, a niekiedy “walkę” z poszkodowanymi klientami. Zapraszamy do wysłuchania rozmowy, która na pewno zmieni to jak myśleliście o RODO i ochronie danych osobowych do tej pory.

Warto przesłuchać ten odcinek, nawet jeśli się do tej pory RODO nie interesowaliście. Weteranom chyba trochę wywrócimy spojrzenie na to rozporządzenie do góry nogami. Świeżakom, którzy będą musieli się tym tematem zająć sporo ułatwimy implementację pewnych procesów. A wszystkim IOD-om podpowiemy kilka praktycznych sztuczek, które (miejmy nadzieję) uproszczą im życie.

Posłuchaj tego odcinka

Rozmowa jest długa, więc podzieliliśmy ją na 2 odcinki — ale wiemy, że większość z Was po przesłuchaniu pierwszego odcinka nie będzie mogła się doczekać kolejnego, więc oba publikujemy jednocześnie.

Część 1 wywiadu (odcinek #26)
Listen to “NP #026 – ten z 1 częścią wywiadu o kontrolach UODO w firmach, które straciły dane osobowe klientów” on Spreaker.

Część 2 wywiadu (odcinek #27)
Listen to “NP #027 – ten z 2 częścią wywiadu o kontrolach UODO w firmach, które straciły dane osobowe klientów” on Spreaker.

Chcesz więcej?

Bądź na bieżąco i zasubskrybuj nasz podcast w Twojej ulubionej aplikacji do podcastów. Po prostu wyszukaj tam “niebezpiecznik” lub “na podsłuchu“.

Jesteśmy oczywiście w iTunes, na YouTube, oraz Spotify. Jak nas zasubujesz, to o kolejnych odcinkach będziesz informowany automatycznie przez Twój smartfon.

Materiały do tego odcinka

Generalnie, w tym odcinku Piotrek zalewa Michała dziesiątkami niewygodnych pytań i wcielając się raz w klienta-cwaniaczka, a raz w prezesa Janusza Biznesu, szuka dziury w całym. A Michał ujawnia swój warsztat i rzuca sprawdzonymi w boju radami, które pozwalają się przed takimi okołorodowymi problemami zabezpieczyć. Na koniec wspólnie krytykują rozporządzenie RODO — każdy w innym obszarze :)

Dla nieprawników wyjaśniamy, że wyciek danych to jedno z możliwych “naruszeń”, które są podzbiorem incydentów, a incydenty są typami “zdarzeń” (tj. w firmach mogą występować takie incydenty, które nie są związane z “prywatnością” i takie zdarzenia, które nie są związane z bezpieczeństwem). Myślcie o terminie “naruszeniach” jak o incydencie związanym z bezpieczeństwem/prywatnością.

W tym odcinku poznacie kulisy polskich wdrożeń RODO, dzięki czemu dowiecie się:

  • na ile kasiory mogą liczyć ci, których dane wyciekły i czy warto iść do sądu jeśli nasze dane wyciekły? Czym różni się szkoda od krzywdy i jak oszacować swoją “stratę” w wyniku wycieku naszych danych?
  • z jakimi problemami i incydentami dotyczącymi ochrony danych osobowych najczęściej borykają się polskie firmy, jak kreatywnie sobie z nimi radzą i jakie wpadki zaliczają?
  • jak można dzięki RODO wyciągać z polskich firm cudze dane (nie tylko osobowe) :-D
  • czy zawsze trzeba “niezwłocznie” powiadamiać klientów po wycieku ich danych? Czy w ogóle trzeba?
  • jak oceniać poziom ryzyka (powagi) naruszenia?
  • jak od totalnie nietechnicznej osoby dowiedzieć się czy dysk w skradzionym sprzęcie był szyfrowany?
  • jak informować klientów, do których nie mamy kontaktu typu e-mail/adres/telefon?
  • jak skorzystać z prawa dostępu (jak poprawnie stworzyć wniosek pytający o to jakie dane ma firma na nasz temat)?
  • jak przygotować kopię danych klienta. Co powinno w niej być, a czego w niej wcale nie musi być?
  • jak powinna wyglądać poprawna identyfikacja klienta i w jakich kanałach ją robić? Czy proszenie o dowód osobisty lub ignorowanie tego, że e-maila da się podrobić jest OK?
  • co grozi firmie, do której ktoś się włamał i wykradł dane klientów?
  • co to są adekwatne i wystarczające środki bezpieczeństwa? Jak je poprawnie dobrać?
  • jak prawnikom w kancelarii DZP w ogarnięciu dokumentów klientów pomaga wewnętrzny dział IT (czyli z jakich narzędzi i programów korzystają prawnicy, także do zarządzania projektami)
  • jak zgodnie z prawem do zapomnienia usuwać czyjeś dane (także z dziesiątek backupów) i skąd kontrolerzy UODO będzie wiedziało, że nie zrobiliśmy tego poprawnie?
  • jak UODO dobiera w Polsce firmy do kontroli? I jakie inne instytucje mogą kontrolować (pod kątem zgodności z RODO) polskie firmy?
  • jak przebiega kontrola UODO w firmie? Ile trwa? Co powinien zawierać protokół pokontrolny? Jak przygotować się na kontrolę UODO?
  • na co zwracają uwagę kontrolerzy UDODO i kiedy kontrolerom może towarzyszyć zewnętrzny ekspert lub policja?
  • czy da się “januszować” w kwestii RODO i jak robić to w granicach prawa?
  • jak skarżyć się na firmę z “januszowym” podejściem do RODO?
  • w ile czasu można w ogóle najkrócej ułożyć firmę pod RODO?
  • dlaczego wciąż (i co roku) potrzebne są firmie pieniądze na tematy “okołorodowe”, choć minął już ponad rok od wejścia w życie tego rozporządzenia.
  • na czym może polegać dyskryminacja (i naruszenie RODO) podczas rekrutacji?
  • czy szyfrowanie danych osobowych jest “wystarczające”?
  • czy można trzymać dane klientów na Google Drive?
  • skąd brać rekomendacje dot. dobrych praktyk GDPR dla naszej branży?
  • jak poderwać kogoś na CV?
  • czy faktycznie można “zostać zapomnianym”? Kiedy nie będziemy w stanie skutecznie wymazać naszych danych z systemów jakiejś firmy?
  • Pssst, doradzamy przed wysłaniem wniosku i “zamknięciem konta” zmianę swoich danych, tych, które da się edytować, na jakieś bezsensowne ciągi znaków. Nawet jeśli coś zostanie po nas w bazie, to z reguły w takiej formie, o ile oczywiście firma nie trzyma “wszystkich archiwalnych edycji”
  • jak wyglada kasowanie czyichś danych z backupów? Czy w ogóle trzeba to robić?
  • czy szyfrowanie danych w backupach unikatowymi (per user) kluczami i zapominanie poszczególnych kluczy jest dobrym pomysłem?
  • czym jest depersonalizacja?
  • dlaczego prawnicy nadają swoim klientom pseudonimy?
  • jak sprawdzić, czy firma faktycznie skasowała nasze dane?
  • kim jest steward danych?
  • jak zbudować system kontroli w firmie, który pomoże ograniczyć ryzyko wycieku danych?
  • jakie oprogramowanie, usługi i produkty pomagają ogarnąć procesy RODO w firmach?
  • co dziś powinny robić wszystkie firmy, które już wdrożyły RODO/GDPR?
  • …i dlaczego Michał nie chciałby się spotkać z Piotrkiem podczas kontroli?

 

Godzina porad prawnika-eksperta z tak zacnej kancelarii jak DZP sporo kosztuje. W tym (i następnym) odcinku macie łącznie 2,5 godziny GDPR-owego “mięsa”. Opłaty dokonajcie na dowolną organizację charytatywną :)

Archiwalne odcinki

Aby zapoznać się z poprzednim odcinkami odwiedź stronę podcastu “Na Podsłuchu”. Znajdziesz na niej player pozwalający odsłuchać wszystkie odcinki oraz listę linków do postów z dodatkowymi informacjami dla każdego z poprzednich odcinków (m.in. ze spisem omawianych artykułów oraz narzędzi).

Strona podcastu Na Podsłuchu

Zapisz się na kolejne odcinki

Aby otrzymywać kolejne odcinki naszego podcastu, zaraz po tym jak zostaną opublikowane, zasubskrybuj nas przez:

Będziemy też superwdzięczni, jeśli ocenisz nasz podcast na 5 gwiazdek. Dzięki temu “zhackujesz” algorytm poleceń i więcej osób będzie w stanie nas usłyszeć, a w konsekwencji zabezpieczyć się przed internetowymi oszustwami. Win – Win.

Do podsłuchania!

Przeczytaj także:

37 komentarzy

Dodaj komentarz
  1. Kiedy odcinki 25, 26, 27 będą dostępne na YT?

  2. Na castbox nie widzę odcinka nr 25. Są 1-14, 26-27.

    • Na początku 26 odcinka wyjaśniamy, co się stało z 25 :)

    • Taa, dysk poszedł, a backupu nie mieli ;)

    • Rozpocznijmy wątek z teoriami spiskowymi. Oczywiście nasze wyjaśnienie na początku odcinka 26 jest zmyślone :) Nie jest też prawdą, że padł nam dysk, jak sugeruje kukulolo. Ciekawe czy zgadniecie, jak z odcinkiem 25 było naprawdę…

    • Zgaduję: cały ten wywiad to był odc. 25, a jak go podzieliliście, to z przyczyn technicznych na którejś platformie podcastowej nie mogliście dać drugiego podcastu o tym samym tytule.

    • No i jest wyjaśnienie. No, no… nie spodziewałem się, że służby.

  3. tak BTW waszej rekrutacji to nie macie w zwyczaju odpowiadać na wysłane list rekrutacyjne? Bo znajoma wysłała i nic….

    • Nie mamy, zwłaszcza w przypadkach, w których zastrzegamy, że odpowiemy wybranym kandydatom.

  4. OK…

  5. Są jakieś szanse na transkrypty?

    • Nie. Zrezygnowaliśmy z tego pomysłu.

  6. Pan Michał pomylił artykuły z RODO, nie 35 a 32 :)

    • To prawda. Ależ wstyd :)

  7. Przydałoby się więcej porad dot. skutecznego usuwania danych bo wsród IOD też są “janusze” i odmawiają zasłaniając się swoimi przepisami.

  8. Super podcast, Pan Michał bardzo rzeczowy i dobrym podejściem do tematu!

  9. > jak od kuchni wyglądały wdrożenia RODO/GDPR w polskich i zagranicznych firmach

    W polskich *małych* firmach najczęściej wyglądały symbolicznie albo nie było ich wcale.

  10. Generalnie jako osoba współodpowiedzialna za wdrażanie RODO i dostosowanie procesów w jakiejśtam organizacji mogłam tylko kiwać głową. Bardzo dobrze się słucha.

  11. Bard\o fajnie się opowiada jak zrobić dobrze i jak potem prowadzić rodo w korpo zatrudniających 200-20k osób i budżet możliwy do wygospodarowania idący w setki tysięcy ale jak to zrobić w firmie 5-10 osób z budżetem na rodo max 2-3 tys

    • Też jest to możliwe. Stosowanie tych przepisów wcale nie musi oznaczać projektu wartego miliony monet. W małym podmiocie sam projekt będzie dużo krótszy i mniej angażujący. Śmiem twierdzić że przy dobrym zaangażowaniu obu stron (przedsiębiorcy i doradcy) to projekt na 3-4 tygodnie max. Potem nic tylko utrzymywać :)

    • A odpowiadając konkretnie jak zacząć? Od rejestru czynności. Wzór rejestru można znaleźć na stronie urzędu ochrony danych. Mając to będzie wiadomo gdzie i jakie obowiązki informacyjne są potrzebne. Zidentyfikuje się tez od razu kwestie powierzenia danych. I tak po nitce do kłębka pt rodo.

  12. pomysł z szyfrowaniem danych unikalnym kluczem jest wciąż wadliwy – bo nawet usunięcie klucza zapewne nie usunie klucza z backupu systemu z kluczami. czyli jeden system ma w backupie klucz, drugi system ma w backupie zaszyfrowane dane czyli da się dane wciąż odzyskać.

  13. Jest jakaś szansa ochrony tożsamości będąc właścicielem forum, z jednej strony mamy obowiązek informacyjny (informacja o tym kto i w jaki sposób zbiera dane) a z drugiej osobę fizyczną bez założonej działalności gospodarczej która skutecznie (ale bez podawania wrażliwych z jej punktu widzenia danych – adres administratora to jednak lekka przesada) i bez obaw o prowadzić ową stronę.

  14. Podcast nr 2.
    Art. 35 RODO mówi o DPIA.
    Art. 32 mówi o zabezpieczeniach.

    • Tak, słusznie.

  15. Panie Michale, czy mógłby Pan odnieść się do jednego zagadnienia, które mnie nurtuje, od którego wszyscy na razie uciekają a przypuszczam że kiedyś zrobi się wokół niego szum po tym, gdy NSA uzna, że mój tok rozumowania jest prawidłowy. Bo pamiętam, że kiedyś wszyscy stronili od umów powierzenia w przypadku przekazywania materiału biologicznego dla podwykonawcy, a potem było stanowisko NSA II SA/Wa 666/13 stwierdzające, że próbki DNA to dane osobowe i nagle wszyscy zmienili zdanie.
    Oto moje pytanie. Mianowicie “przetwarzanie” jest definiowane m.in. jako przechowywanie. Mamy firmę A, która wynajmuje lokal na potrzeby prowadzenia działalności gospodarczej od firmy B. Firma B jedynie wynajmuje lokal usługowy. Firma A prowadzi np. biuro turystyczne. Firma A przechowuje w siedzibie swojej firmy (czyli w tym pokoju, który wynajmuje od firmy B) dane osobowe pracowników i klientów. Firma B jako właściciel lokalu nie korzysta z niego z uwagi na to, że jest on wynajmowany, ale np. firma B posiada klucze zapasowe na wypadek potrzeby otwarcia drzwi podczas wizyty straży pożarnej w trakcie pożaru. Czy firma A powinna zawrzeć umowę powierzenia przetwarzania danych osobowych z firmą B?

    • Umowę powierzenia zawieramy gdy zlecamy czynności na danych.
      Jeśli zatem w umowie chodzi o to, że wynajmujemy przestrzeń biurową to nie jest to operacja na danych.
      Jeśli natomiast wynajmowalibyśmy pomieszczenie po to, by mieć tam np. archiwum to wtedy przedmiotem umowy są operacje na danych jakimi jest przechowywanie.

    • Jak widzą to pytanie narazie bez odpowiedzi. Ciekawe pytanie. W sumie to moim zdaniem masz rację. Trudno bowiem zaprzeczyć, że nie zachodzi przetwarzanie danych skoro samo przechowywanie stanowi również przetwarzanie. A przechowywanie to magazynowanie danych w obszarze do którego jest dostęp. No to skoro mamy dostęp do pomieszczenia w którym są przechowywane dane, to przetwarzamy. Ponieważ posiadanie kluczy do tegoż pomieszczenia nakłada na nas odpowiedniego postępowania w celu zapewnienia bezpieczeństwa przechowywanych tam danych, pomimo że nie jesteśmy ich administratorem, bo nie my określiliśmy cele ich przetwarzania. Dlatego też moim zdaniem bezpieczniej byłoby wykluczyć udostępnianie kluczy. Straż pożarna i tak wywali drzwi jak będzie zmuszona gasić. A wtedy tylko w szacowaniu ryzyka ujmujemy parametr związany z pożarem. Odpada nam natomiast szacowanie ryzyka dla przypadku pozyskania kluczy od firmy, którą oznaczyłeś jako “B”.

    • Szkoda, że nie można edytować wpisu po opublikowaniu. Widzę kilka błędów w swoim wpisie. Spróbuję poprawić. I prośba do moderatora. Proszę wadliwy wpis zastąpić poprawioną wersją.

    • [Wpis poprawiony]
      Jak widzę to pytanie narazie bez odpowiedzi. Ciekawe pytanie. W sumie to moim zdaniem masz rację. Trudno bowiem zaprzeczyć, że nie zachodzi przetwarzanie danych skoro samo przechowywanie stanowi również przetwarzanie. A przechowywanie to magazynowanie danych w obszarze do którego jest dostęp (nie ma znaczenia czy to dysk serwera czy pomieszczenie dla papierów lub dysków). No to skoro mamy dostęp do pomieszczenia w którym są przechowywane dane, to przetwarzamy. Ponieważ posiadanie kluczy do tegoż pomieszczenia nakłada na nas bezwzględny obowiązek odpowiedniego postępowania w celu zapewnienia bezpieczeństwa przechowywanych tam danych, pomimo że nie jesteśmy ich administratorem, bo nie my określiliśmy cele ich przetwarzania. Dlatego też moim zdaniem bezpieczniej byłoby wykluczyć udostępnianie kluczy. Straż pożarna i tak wywali drzwi jak będzie zmuszona gasić. A wtedy tylko w szacowaniu ryzyka ujmujemy parametr związany z pożarem. Odpada nam natomiast szacowanie ryzyka dla przypadku pozyskania kluczy od firmy, którą oznaczyłeś jako “B” oraz samego pożaru, bo taki także może wystąpić.

    • O jakim przetwarzaniu mówimy, gdy do tych danych nie ma dostępu? Do maszyn może być, ale do danych niekoniecznie, zwłaszcza gdy klucz deszyfrujący trzymany jest gdzieś indziej.

    • Uważam, ze w opisanej sytuacji (najem biura) nie ma potrzeby zawierania umowy powierzenia. Nie jest intencja stron oddanie do przechowywania (przetwarzania) danych osobowych. Idąc tym tropem za każdym razem jak jadę do hotelu z laptopem to tez powinna być umowa powierzenia.

    • Może trochę spóźnione ale mam bardzo podobny problem który pojawił się u mnie.
      Kupiona usługa u jednego z dostawców – serwery dedykowane. Serwery przeznaczone w całości i wyłącznie na backupy serwerów.
      Staramy się podpisać umowę przetwarzania z nimi ale jest skonstruowana w ten sposób, że należy wymienić rodzaje, kategorie itd przetwarzanych danych
      W tym przypadku będą tam wszystkie dane bo jeden backup serwera bazodanowego to sprawi ale jak wyjaśnić te kwestie z dostawcą?
      Z tego co napisał Pan Michał czy w takim przypadku nie wymagać umowy powierzenia (bo nie ma tam przetwarzania) czy tak jak my starać się o zmianę umowy by zapis brzmiał żę o zakresie decyduje Klient?

  16. Czy ma ktoś link dotyczący anonimizacji danych a trzymaniem backupów ze stron rządowych? Próbowałem to znaleźć, ale jakoś nie mogłem się do tego dokopać – same ładne foldery informacyjne z ładnymi grafikami :(

  17. A czy można prosić o fachową wypowiedź na temat zbierania przez Mariusza Maxa Kolonko podpisów na listach wyborczych przed zarejestrowaniem komitetu wyborczego w PKW jak to ma się do RODO ?

  18. Szkoda, ze nie ma transkrypcji :( poczytalabym sobie w pracy cos takiego…

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: