10:29
13/8/2019

W zeszłym tygodniu spotkaliśmy się z Michałem Kluską, który na codzień pracuje w największej polskiej kancelarii prawnej Domański Zakrzewski Palinka. Michała znamy od lat. Jest wyjątkowym prawnikiem, bo jako jeden z nielicznych świetnie rozumie branżę IT i potrafi przekładać język prawny na “informatyczny”. Postanowiliśmy z nim porozmawiać o tym, jak od kuchni wyglądały wdrożenia RODO/GDPR w polskich i zagranicznych firmach, bo w tematach ochrony danych osobowych Michał specjalizował się na długo przed RODO.

Udało nam się też namówić Michała na to, aby opowiedział nie tylko o kilku wpadkach wdrożeniowych, ale także o tym jak wygląda obsługa incydentu w postaci wycieku danych — od zgłoszenia do PUODO, przez przejście kontroli i komunikację, a niekiedy “walkę” z poszkodowanymi klientami. Zapraszamy do wysłuchania rozmowy, która na pewno zmieni to jak myśleliście o RODO i ochronie danych osobowych do tej pory.

Warto przesłuchać ten odcinek, nawet jeśli się do tej pory RODO nie interesowaliście. Weteranom chyba trochę wywrócimy spojrzenie na to rozporządzenie do góry nogami. Świeżakom, którzy będą musieli się tym tematem zająć sporo ułatwimy implementację pewnych procesów. A wszystkim IOD-om podpowiemy kilka praktycznych sztuczek, które (miejmy nadzieję) uproszczą im życie.

Posłuchaj tego odcinka

Rozmowa jest długa, więc podzieliliśmy ją na 2 odcinki — ale wiemy, że większość z Was po przesłuchaniu pierwszego odcinka nie będzie mogła się doczekać kolejnego, więc oba publikujemy jednocześnie.

Część 1 wywiadu (odcinek #26)
Listen to “NP #026 – ten z 1 częścią wywiadu o kontrolach UODO w firmach, które straciły dane osobowe klientów” on Spreaker.

Część 2 wywiadu (odcinek #27)
Listen to “NP #027 – ten z 2 częścią wywiadu o kontrolach UODO w firmach, które straciły dane osobowe klientów” on Spreaker.

Chcesz więcej?

Bądź na bieżąco i zasubskrybuj nasz podcast w Twojej ulubionej aplikacji do podcastów. Po prostu wyszukaj tam “niebezpiecznik” lub “na podsłuchu“.

Jesteśmy oczywiście w iTunes, na YouTube, oraz Spotify. Jak nas zasubujesz, to o kolejnych odcinkach będziesz informowany automatycznie przez Twój smartfon.

Materiały do tego odcinka

Generalnie, w tym odcinku Piotrek zalewa Michała dziesiątkami niewygodnych pytań i wcielając się raz w klienta-cwaniaczka, a raz w prezesa Janusza Biznesu, szuka dziury w całym. A Michał ujawnia swój warsztat i rzuca sprawdzonymi w boju radami, które pozwalają się przed takimi okołorodowymi problemami zabezpieczyć. Na koniec wspólnie krytykują rozporządzenie RODO — każdy w innym obszarze :)

Dla nieprawników wyjaśniamy, że wyciek danych to jedno z możliwych “naruszeń”, które są podzbiorem incydentów, a incydenty są typami “zdarzeń” (tj. w firmach mogą występować takie incydenty, które nie są związane z “prywatnością” i takie zdarzenia, które nie są związane z bezpieczeństwem). Myślcie o terminie “naruszeniach” jak o incydencie związanym z bezpieczeństwem/prywatnością.

W tym odcinku poznacie kulisy polskich wdrożeń RODO, dzięki czemu dowiecie się:

  • na ile kasiory mogą liczyć ci, których dane wyciekły i czy warto iść do sądu jeśli nasze dane wyciekły? Czym różni się szkoda od krzywdy i jak oszacować swoją “stratę” w wyniku wycieku naszych danych?
  • z jakimi problemami i incydentami dotyczącymi ochrony danych osobowych najczęściej borykają się polskie firmy, jak kreatywnie sobie z nimi radzą i jakie wpadki zaliczają?
  • jak można dzięki RODO wyciągać z polskich firm cudze dane (nie tylko osobowe) :-D
  • czy zawsze trzeba “niezwłocznie” powiadamiać klientów po wycieku ich danych? Czy w ogóle trzeba?
  • jak oceniać poziom ryzyka (powagi) naruszenia?
  • jak od totalnie nietechnicznej osoby dowiedzieć się czy dysk w skradzionym sprzęcie był szyfrowany?
  • jak informować klientów, do których nie mamy kontaktu typu e-mail/adres/telefon?
  • jak skorzystać z prawa dostępu (jak poprawnie stworzyć wniosek pytający o to jakie dane ma firma na nasz temat)?
  • jak przygotować kopię danych klienta. Co powinno w niej być, a czego w niej wcale nie musi być?
  • jak powinna wyglądać poprawna identyfikacja klienta i w jakich kanałach ją robić? Czy proszenie o dowód osobisty lub ignorowanie tego, że e-maila da się podrobić jest OK?
  • co grozi firmie, do której ktoś się włamał i wykradł dane klientów?
  • co to są adekwatne i wystarczające środki bezpieczeństwa? Jak je poprawnie dobrać?
  • jak prawnikom w kancelarii DZP w ogarnięciu dokumentów klientów pomaga wewnętrzny dział IT (czyli z jakich narzędzi i programów korzystają prawnicy, także do zarządzania projektami)
  • jak zgodnie z prawem do zapomnienia usuwać czyjeś dane (także z dziesiątek backupów) i skąd kontrolerzy UODO będzie wiedziało, że nie zrobiliśmy tego poprawnie?
  • jak UODO dobiera w Polsce firmy do kontroli? I jakie inne instytucje mogą kontrolować (pod kątem zgodności z RODO) polskie firmy?
  • jak przebiega kontrola UODO w firmie? Ile trwa? Co powinien zawierać protokół pokontrolny? Jak przygotować się na kontrolę UODO?
  • na co zwracają uwagę kontrolerzy UDODO i kiedy kontrolerom może towarzyszyć zewnętrzny ekspert lub policja?
  • czy da się “januszować” w kwestii RODO i jak robić to w granicach prawa?
  • jak skarżyć się na firmę z “januszowym” podejściem do RODO?
  • w ile czasu można w ogóle najkrócej ułożyć firmę pod RODO?
  • dlaczego wciąż (i co roku) potrzebne są firmie pieniądze na tematy “okołorodowe”, choć minął już ponad rok od wejścia w życie tego rozporządzenia.
  • na czym może polegać dyskryminacja (i naruszenie RODO) podczas rekrutacji?
  • czy szyfrowanie danych osobowych jest “wystarczające”?
  • czy można trzymać dane klientów na Google Drive?
  • skąd brać rekomendacje dot. dobrych praktyk GDPR dla naszej branży?
  • jak poderwać kogoś na CV?
  • czy faktycznie można “zostać zapomnianym”? Kiedy nie będziemy w stanie skutecznie wymazać naszych danych z systemów jakiejś firmy?
  • Pssst, doradzamy przed wysłaniem wniosku i “zamknięciem konta” zmianę swoich danych, tych, które da się edytować, na jakieś bezsensowne ciągi znaków. Nawet jeśli coś zostanie po nas w bazie, to z reguły w takiej formie, o ile oczywiście firma nie trzyma “wszystkich archiwalnych edycji”
  • jak wyglada kasowanie czyichś danych z backupów? Czy w ogóle trzeba to robić?
  • czy szyfrowanie danych w backupach unikatowymi (per user) kluczami i zapominanie poszczególnych kluczy jest dobrym pomysłem?
  • czym jest depersonalizacja?
  • dlaczego prawnicy nadają swoim klientom pseudonimy?
  • jak sprawdzić, czy firma faktycznie skasowała nasze dane?
  • kim jest steward danych?
  • jak zbudować system kontroli w firmie, który pomoże ograniczyć ryzyko wycieku danych?
  • jakie oprogramowanie, usługi i produkty pomagają ogarnąć procesy RODO w firmach?
  • co dziś powinny robić wszystkie firmy, które już wdrożyły RODO/GDPR?
  • …i dlaczego Michał nie chciałby się spotkać z Piotrkiem podczas kontroli?

 

Godzina porad prawnika-eksperta z tak zacnej kancelarii jak DZP sporo kosztuje. W tym (i następnym) odcinku macie łącznie 2,5 godziny GDPR-owego “mięsa”. Opłaty dokonajcie na dowolną organizację charytatywną :)

Archiwalne odcinki

Aby zapoznać się z poprzednim odcinkami odwiedź stronę podcastu “Na Podsłuchu”. Znajdziesz na niej player pozwalający odsłuchać wszystkie odcinki oraz listę linków do postów z dodatkowymi informacjami dla każdego z poprzednich odcinków (m.in. ze spisem omawianych artykułów oraz narzędzi).

Strona podcastu Na Podsłuchu

Zapisz się na kolejne odcinki

Aby otrzymywać kolejne odcinki naszego podcastu, zaraz po tym jak zostaną opublikowane, zasubskrybuj nas przez:

Będziemy też superwdzięczni, jeśli ocenisz nasz podcast na 5 gwiazdek. Dzięki temu “zhackujesz” algorytm poleceń i więcej osób będzie w stanie nas usłyszeć, a w konsekwencji zabezpieczyć się przed internetowymi oszustwami. Win – Win.

Do podsłuchania!

Przeczytaj także:

19 komentarzy

Dodaj komentarz
  1. Kiedy odcinki 25, 26, 27 będą dostępne na YT?

  2. Na castbox nie widzę odcinka nr 25. Są 1-14, 26-27.

    • Na początku 26 odcinka wyjaśniamy, co się stało z 25 :)

    • Taa, dysk poszedł, a backupu nie mieli ;)

    • Rozpocznijmy wątek z teoriami spiskowymi. Oczywiście nasze wyjaśnienie na początku odcinka 26 jest zmyślone :) Nie jest też prawdą, że padł nam dysk, jak sugeruje kukulolo. Ciekawe czy zgadniecie, jak z odcinkiem 25 było naprawdę…

    • Zgaduję: cały ten wywiad to był odc. 25, a jak go podzieliliście, to z przyczyn technicznych na którejś platformie podcastowej nie mogliście dać drugiego podcastu o tym samym tytule.

  3. tak BTW waszej rekrutacji to nie macie w zwyczaju odpowiadać na wysłane list rekrutacyjne? Bo znajoma wysłała i nic….

    • Nie mamy, zwłaszcza w przypadkach, w których zastrzegamy, że odpowiemy wybranym kandydatom.

  4. OK…

  5. Są jakieś szanse na transkrypty?

    • Nie. Zrezygnowaliśmy z tego pomysłu.

  6. Pan Michał pomylił artykuły z RODO, nie 35 a 32 :)

    • To prawda. Ależ wstyd :)

  7. Przydałoby się więcej porad dot. skutecznego usuwania danych bo wsród IOD też są “janusze” i odmawiają zasłaniając się swoimi przepisami.

  8. Super podcast, Pan Michał bardzo rzeczowy i dobrym podejściem do tematu!

  9. > jak od kuchni wyglądały wdrożenia RODO/GDPR w polskich i zagranicznych firmach

    W polskich *małych* firmach najczęściej wyglądały symbolicznie albo nie było ich wcale.

  10. Generalnie jako osoba współodpowiedzialna za wdrażanie RODO i dostosowanie procesów w jakiejśtam organizacji mogłam tylko kiwać głową. Bardzo dobrze się słucha.

  11. Bard\o fajnie się opowiada jak zrobić dobrze i jak potem prowadzić rodo w korpo zatrudniających 200-20k osób i budżet możliwy do wygospodarowania idący w setki tysięcy ale jak to zrobić w firmie 5-10 osób z budżetem na rodo max 2-3 tys

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: