Czy dyrektor może na to pozwolić ...
Czy dyrektor może na to pozwolić, aby zbierane były dane uczniów. Zapraszamy do lektury kolejnego z opracować naszego eksperta, tak samo jak i do działu RODO w oświacie. Parę lat temu była już taka historia, że po szkołach chodzili przedstawiciele różnych podmiotów prywatnych świadczących przeróżne usługi i produkty skierowane do uczniów, których praktyka i etyka budziła wiele wątpliwości. Przedstawiciele Ci oferowali np. darmowe lekcje pokazowe lub darmowe próbki dla uczniów pod warunkiem możliwości spotkania z nimi na „chwilę”, aby jednak mogli odbyć taką lekcję pokazową musieli mieć zgodę dyrektora. Bardzo często nie było z tym problemu, gdyż w zamian za niezobowiązującą lekcję pokazową szkoła otrzymywała np. jeden darmowy zestaw tego, co ten przedstawiciel oferował do sprzedaży.
Czysta socjotechnika.
Generalnie brzmi dobrze i niegroźnie, niestety socjotechniki to nie tylko internetowy phishing, ale również manipulacje w życiu codziennym. Przedstawiciel jak już otrzymał szansę przeprowadzenia zajęć lub prezentacji swojego produktu lub usługi najczęściej po zakończeniu chce rozdać ankiety uczniom, aby dowiedzieć się co sądzą o tym co pokazał.
Niby ankieta, a jednak nie ankieta.
Rozdana ankieta nie jest zwykłą ankietą lecz najczęściej:
- Kartą zapisu na zajęcia lub prenumeratę lub darmową próbkę
- Ankietą lecz nie anonimową służącą do zbierania danych marketingowych
- W skrajnych przypadkach nawet akceptacją regulaminu lub zawarciem umowy.
Uczeń poniżej 13 r.ż. nie może zgodnie z prawem wiążąco zawrzeć żadnej umowy innej niż w drobnych bieżących sprawach życia codziennego, więc w tej sytuacji jakikolwiek by nie był zapis takiej umowy byłaby ona po prostu nieważna. Co jednak jeżeli sytuacja dotyczy uczniów niepełnoletnich, powyżej 13 roku życia? Zgodnie z art. 15 Kodeksu Cywilnego taka osoba dysponuje ograniczoną zdolnością do czynności prawnych, jednak aby mogła ona zaciągnąć w swoim imieniu zobowiązanie musi zostać to zobowiązanie potwierdzone przez jego przedstawiciela ustawowego. Tak, więc jeżeli po takich „darmowych” zajęciach do domu ucznia zapuka przedstawiciel jakieś firmy wskazujący, że uczeń zawarł z nim umowę i rodzice zobowiązani są mu za to zapłacić lub w przypadku odstąpienia od umowy zapłacić karę, należy poinformować takiego Pana, iż umowa ta jest nieważna, a swoich roszczeń niech próbuje dochodzić przed sądem. Mówiąc kolokwialnie, jeżeli jednak nie będzie chciał odpuścić taki delikwent należy wezwać zawiadomić organy ścigania, który doskonale wytłumaczą przepisy regulujące taką sytuację.
Zgodnie z art. 17 Kodeksu Cywilnego,
cyt.: „(…)„Z zastrzeżeniem wyjątków w ustawie przewidzianych, do ważności czynności prawnej, przez którą osoba ograniczona w zdolności do czynności prawnych zaciąga zobowiązanie lub rozporządza swoim prawem, potrzebna jest zgoda jej przedstawiciela ustawowego.”(…)”.
Co więc z tymi danymi w ankietach wypełnionych.
Przecież to nie powoduje zawarcia umowy ani żadnych zobowiązań wobec dziecka czy rodziców. Tu pojawia się kwestia podstawy prawnej na podstawie, której przedstawiciel chciałby pozyskać dane. Dane nie mogą być przetwarzane na podstawie art. 6 ust. 1 lit c ani e RODO – gdyż przepis prawa nie nakłada takiego obowiązku na przedstawiciela ani nie daje mu takich uprawnień. Podobnie w przypadku art. 6 ust. 1 lit. b RODO – czyli zawarcie umowy, gdyż do zawarcia umowy nie dochodzi, a osoba, z którą miało by dojść do zawarcia umowy również nie podjęła czynności do jej zawarcia. Art. 6 ust. 1 lit. d RODO oczywiście też w grę nie wchodzi, gdyż takie przetwarzanie nie służy ochrony żadnych interesów osoby fizycznie, a jedynie do wzbogacenia się przedstawiciela.
Co z przysłowiową eFką?
Co jednak z art. 6 ust. 1 lit. f RODO? Czyli prawnie uzasadniony interes administratora?
Przytoczmy więc cały ten przepis.
f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
Ostatnie słowa są tu kluczowe, w przypadku marketingu bezpośredniego wobec nieletnich nadrzędny interes zawsze będzie po stronie dziecka, a nie wobec marketingu firmy.
Czyli zgoda ...
Pozostaje kwestia zgody, a więc art. 6 ust. 1 lit. a) RODO. Zgodę na przetwarzanie danych osobowych nie może wyrazić uczeń nieletni w swoim imieniu, chyba, że w zakresie usług społeczeństwa informacyjnego, a ponadto uczeń ten skończył lat 16. Ponieważ marketing nie jest usługą społeczeństwa informacyjnego to powyższe i tak nie ma tu zastosowania.
Tak, więc przyjmujemy ogólne warunki zgody. Zgoda wyrażona przez nieletniego jest nieważna, a marketing świadczony na jej podstawie jest nielegalny, samo przechowywanie przez tego przedstawiciela danych uczniów już jest niezgodne z prawem, gdyż jak wykazaliśmy wyżej nie posiada on podstawy prawnej, a zgodnie z art. 5 ust. 1 lit. a) dane muszą być przetwarzane zgodnie z prawem.
Jeśli jesteśmy ofiarą takiego procederu.
Więc jeżeli staniemy się ofiarą takiego procederu to pamiętajmy:
- aby ustalić jak nazywa się firma, która próbuje nas oszukać,
- jeżeli nie uda nam się ustalić nazwy tej firmy to warto uzyskać od innych rodziców i dyrektora jak najwięcej szczegółów,
- a potem warto zawiadomić prokuraturę rejonową o możliwości popełnienia przestępstwa z art. 107 ust. 1 Ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U.2019.0.1781).
Na koniec ostatnie słowo do dyrektorów.
Zgodnie z art. 304 § 2 Ustawy z dnia 06 czerwca 1997r., Kodeksu postępowania karnego
cyt.: „(…)Instytucje państwowe i samorządowe, które w związku ze swą działalnością dowiedziały się o popełnieniu przestępstwa ściganego z urzędu, są obowiązane niezwłocznie zawiadomić o tym prokuratora lub Policję oraz przedsięwziąć niezbędne czynności do czasu przybycia organu powołanego do ścigania przestępstw lub do czasu wydania przez ten organ stosownego zarządzenia, aby nie dopuścić do zatarcia śladów i dowodów przestępstwa(…)”.
Autor: Mariusz Stasiak vel Stasek
Polub naszą stronę na FB
Klauzula Informacyjna RODO oraz Wniosek o zapewnienie dostępności architektonicznej lub informacyjno-komunikacyjnej
Klauzula Informacyjna RODO oraz Wniosek o zapewnienie dostępności architektonicznej lub informacyjno-komunikacyjnej
Pakiet dokumentów zawiera:
- Wzór – Klauzuli Informacyjnej RODO dla osób składających wniosek o zapewnienie dostępności architektonicznej lub informacyjno-komunikacyjnej.
- Wzór – Wniosku o zapewnienie dostępności architektonicznej lub informacyjno-komunikacyjnej
Dokumentacja do Oceny Ryzyka
Dokumentacja do Oceny Ryzyka
Przygotowaliśmy dla Państwa wzorcowy pakiet dokumentów pozwalających na przeprowadzenie analizy ryzyka w organizacji oraz jej udokumentowanie. Pakiet dokumentów składa się z części opisowej, w której szczegółowo opisana została metodologia realizacji procesu oceny ryzyka oraz z arkusza kalkulacyjnego. Arkusza kalkulacyjnego, w którym to dokonywana jest analiza i ocena ryzyka.
Autor: mgr Magdalena Waszak
Format: Word / Excell
Edycja: Pliki edytowalne
Wysyłka: bezpośrednio po zaksięgowaniu wpłaty
Dokumentacja SZBI System Zarządzania Bezpieczeństwem Informacji
Dokumentacja SZBI System Zarządzania Bezpieczeństwem Informacji …
Korzystając z przygotowanych przez nas materiałów istotnie przyspieszają Państwo proces opracowania i wdrożenia kompleksowego Systemu Zarządzania Bezpieczeństwem Informacji w zarządzanej Organizacji. Dodatkowo w sytuacji, w której to organ prowadzący chciałby narzucić dla zarządzanej przez Państwa organizacji własne rozwiązania, jesteście Państwo przygotowani na taką sytuację. Analogicznie, w sytuacji audytu realizowanego w ramach działań organu nadrzędnego, zyskują Państwo materiały istotne z punktu widzenia działań audytowych. Nie należy także ukrywać, iż przygotowana przez nas dokumentacja, może przyspieszyć i usprawnić pracę audytorom, czy też inspektorom ochrony danych, którzy mogą z rożnych względów stać się realizatorami działań w obszarze przygotowania do wdrożenia projektów zapisów Dokumentacji SZBI.
Warianty do wyboru …
- Pakiet (1) Dokumentacja SZBI
- Pakiet (2) Dokumentacja SZBI + Ocena Ryzyka w bezpieczeństwie Informacji
Dokumentacja SZBI zgodna z NIS2 …
Oczywiście przygotowując Dokumentację SZBI opracowaliśmy ją zgodnie z wymogami jakie wynikają z treści Dyrektywy Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, zmieniająca rozporządzenie (UE) nr 910/2014 i dyrektywę (UE) 2018/1972 oraz uchylająca dyrektywę (UE) 2016/1148 (dyrektywa NIS 2).
Procedura dokonywania zgłoszeń wewnętrznych
Procedura dokonywania zgłoszeń wewnętrznych dla podmiotu prawnego
W związku z faktem uchwalenia Ustawy z dnia 14 czerwca 2024 r. o ochronie sygnalistów opracowaliśmy dokumentację zawierającą procedury związane z obsługa zgłoszeń wewnętrznych dedykowane dla podmiotu medycznego.
Kto ma obowiązek opracowania procedury dokonywania zgłoszeń wewnętrznych
Obowiązek przygotowania i wdrożenia dokumentacji na gruncie ww. Ustawy o ochronie sygnalistów mają podmioty prawne na rzecz których według stanu na dzień 1 stycznia lub 1 lipca danego roku wykonuje pracę zarobkową co najmniej 50 osób. Uwaga jednak do liczby 50 osób wykonujących pracę zarobkową wlicza się zarówno pracowników w przeliczeniu na pełne etaty oraz wlicza się osoby świadczące pracę za wynagrodzeniem na innej podstawie niż stosunek pracy, jeżeli nie zatrudniają do tego rodzaju pracy innych osób, niezależnie od podstawy zatrudnienia.
Termin na opracowanie i wdrożenie procedur dokonywania zgłoszeń
Podmioty prawne zobowiązane na mocy Ustawy o ochronie sygnalistów mają termin do 25 września 2024 r. na opracowanie i wdrożenie dokumentacji.
Pakiet dokumentów zawiera
- Procedurę dokonywania zgłoszeń naruszeń prawa i podejmowania działań następczych.
- Potwierdzenie:
- dokonania konsultacji z organizacją związkową celem ustalenia procedury zgłoszenia wewnętrznego
- dokonania konsultacji z przedstawicielem załogi celem ustalenia procedury zgłoszenia wewnętrznego
- Wzór:
- informacji o podaniu do wiadomości osób wykonujących pracę procedury zgłoszeń wewnętrznych
- informacja dla osób ubiegających się o pracę / rekrutacja / negocjacje umowy – o procedurze zgłoszeń wewnętrznych
- rejestru zgłoszeń wewnętrznych
- upoważnienia do podejmowania działań następczych i przetwarzania danych osobowych
- upoważnienia do weryfikacji zgłoszeń wewnętrznych i przetwarzania danych osobowych
- transkrypcji rozmowy z linii nagrywanej / z linii nie nagrywanej w ramach której doszło do zgłoszenia wewnętrznego
- wniosek sygnalisty o zorganizowanie bezpośredniego spotkania celem dokonania ustnego zgłoszenia wewnętrznego
- zgłoszenia wewnętrznego
- protokołu ze zgłoszenia wewnętrznego dokonanego ustnie
- oświadczenia sygnalisty o wyrażeniu zgody na ujawnienie jego danych osobowych
- karta weryfikacji zgłoszenia wewnętrznego
- informacji zwrotnej dla osoby sygnalisty wraz ze schematem pytań i odpowiedzi pozwalających na ocenę zgłoszenia
- protokół ze zniszczenia danych osobowych zebranych przypadkowo
- protokół ze zniszczenia danych związanych ze zgłoszeniem (retencja)
- RCPD
- Klauzula Informacyjna art. 13 RODO
- Klauzula Informacyjna art. 14 RODO
- i inne.
Forma dokumentu: dokumenty edytowalne
Czas realizacji: przed terminem 25 września 2024r.
Autor: dr Jakub Rzymowski
Autor: mgr Dominik Spałek
Wzory oświadczeń składanych przez osoby zatrudniane Ustawa o przeciwdziałaniu przestępczości na tle seksualnym
Wzory oświadczeń składanych przez osoby zatrudniane Ustawa o przeciwdziałaniu przestępczości na tle seksualnym
W skład pakiety wchodzą następujące dokumenty:
- Omówienie przepisów – wprowadzenie do tematu
- Oświadczenie – o jakim mowa w art. 21 ust. 7 Lex Kamilek / braku skazania
- Oświadczenie – o jakim mowa w art. 21 ust. 5 Lex Kamilek / państwa zamieszkania
Procedura użytkowania zewnętrznych nośników danych
Procedura użytkowania zewnętrznych nośników danych
Procedura opisuje zasady / powierzania / korzystania / zabezpieczania / testowania / przechowywania / niszczenia / przenośnych pamięci danych wykorzystywanych w pracy personelu administratora danych osobowych. Procedura użytkowania zewnętrznych nośników danych zawiera także zestaw zakazanych praktyk, wskazując na konkretne ryzyka, jakie wynikają z ich nieprzestrzegania, w szczególności w obszarze cyberbezpieczeństwa.
Pakiet dokumentów zawiera:
- Procedura użytkowania zewnętrznych nośników danych
- Materiał edukacyjny / cyberbezpieczeństwo w pracy z urządzeniami elektornicznymi
- Ankieta inwentaryzacyjno / ewaluacyjna
- Umowa użytkowania służbowego nośnika danych
- Protokół przekazania nośnika danych
Materiały szkoleniowe Cyberbezpieczeństwo RODO
Materiały szkoleniowe Cyberbezpieczeństwo RODO
Materiały szkoleniowe Cyberbezpieczeństwo RODO dla pracowników gotowe do wykorzystania przez Administratorów Danych Osobowych lub Inspektorów Ochrony Danych prowadzących działania edukacyjne w firmie. Kupując nasz produkt otrzymują Państwo dostęp do wszystkich materiałów edukacyjno-informacyjnych szkoleniowych, jakie tworzymy na bieżąco. Otrzymują Państwo także gotowy harmonogram szkoleniowy, co pozwala na wykazanie, rozliczenie realizacji obowiązku szkoleniowego IOD.
W skład pakietu wchodzi:
- Harmonogram szkoleniowy – dzięki któremu wykazywana jest rozliczalność działań szkoleniowych
- Materiały edukacyjne szkoleniowe – dedykowane na kolejne 12 miesięcy
Spis treści:
- Styczeń – „Jakie kroki można podjąć po wycieku danych dotyczących zdrowia”.
- Luty – „Oszuswo na BLIKa”.
- Marzec – „Czym jest phishing, jak się przed nim bronić”.
- Kwiecień – „Ochrona danych osobowych a przyczyny nieobecności w pracy pracowników”.
- Maj – „Cyberbezpieczeństwo i problem jednego hasła w wielu serwisach”.
- Czerwiec – „Podstawowe i szczegółowe zasady pracy z pocztą elektroniczną”.
- Lipiec – „Urlop od RODO ! broszura informująca o zagrożeniach podczas wypoczynku”.
- Sierpień – „Przypomnienie zasad przetwarzania danych – w codziennej pracy”.
- Wrzesień – „Jak ułatwić sobie pracę – popularne skróty klawiszowe”
- Październik – „W jaki sposób rozpoznać próbę ataku na zasoby firmy z wykorzystaniem email”
- Listopad – „Korzystanie z przenośnych pamięci danych w pracy, ryzyka i środki zaradcze”.
- Grudzień – „Prywatny adres email do celów służbowych”.
Bezpośrednio po zakupie otrzymają Państwo nw. materiały szkoleniowe. Z uwagi n fakt, iż na bieżąco tworzymy kolejne materiały w odpowiedzi na aktualne wydarzenia, liczba materiałów szkoleniowych stale rośnie. W przypadku kiedy stworzymy materiały, będziemy je przesyłali do Państwa na bieżąco – za darmo, do końca br.
Procedura publikowania informacji w Biuletynie Informacji Publicznej
Procedura publikowania informacji w Biuletynie Informacji Publicznej
Procedura publikowania informacji w Biuletynie Informacji Publicznej opisuje zasady związane z realizacją obowiązku publikowania informacji w BIP, jak również opisuje zasady retencji (okresy przechowywania) opublikowanych informacji. Procedura wprowadza także podział kompetencji pomiędzy poszczególnymi komórkami organizacyjnymi podmiotu, czyniąc je odpowiedzialnymi za realizację poszczególnych obowiązków wynikających z Ustawy z dnia 6 września 2001 r. o dostępie do informacji publicznej.
Dla kogo przygotowana została Procedura publikacji w BIP
Procedurę publikowania informacji w BIP przygotowaliśmy z myślą o wszystkich podmiotach, jakie zobowiązane są do udostępniania informacji publicznej, zgodnie z art. 4 ww. Ustawy o BIP.
Spis treści:
- Postanowienia ogólne.
- Zasady publikowania informacji w BIP.
- Zasady retencji danych informacji opublikowanych w BIP.
- Zasady przygotowywania informacji do opublikowania w BIP.
- Zasady odpowiedzialności i nadzoru.
- Zadania Redaktora BIP.
- Zadania Członków Zespołu Redakcyjnego BIP.
- Zadania osób kierowników / przełożonych komórek organizacyjnych.
- Zadania Działu IT.
Załączniki.
Autor: mgr Magdalena Waszak
Zgłoszenie naruszenia do UODO zalane archiwum
Zgłoszenie naruszenia do UODO zalane archiwum
Jeśli znalazłeś się, w sytuacji, kiedy na skutek awarii, doszło do rozszczelnienia rur w pomieszczeniu archiwum na skutek czego doszło do zalania przechowywanych w nim dokumentów, jako administrator danych osobowych zobowiązany jesteś do wykonania określonych czynności. W naszym poradniku na konkretnym przykładzie opisujemy krok po kroku, jak wyglądał proces analizowania zajścia, jakie informacje trzeba było pozyskać, aby mieć możliwość podjęcia określonych działań naprawczych. Pokazujemy, także jakich ustaleń dokonywano na poszczególnych etapach. Przedstawiamy również treść wzoru zgłoszenia naruszenia ochrony danych osobowych, jakie sporządzone zostało w związku z zalaniem dokumentów w archiwum i częściowym ich zniszczeniem. Otrzymasz także zawiadomienie skierowane do podmiotów danych, których dokumenty zostały zniszczone, jakie przygotowaliśmy w związku z wystąpieniem naruszenia ochrony danych osobowych.
Wiemy, że masz mało czasu …
Dlatego materiał, jaki otrzymasz ma na celu pomóc Ci w ocenie sytuacji i ewentualnym przygotowaniu zgłoszenia naruszenia ochrony danych osobowych do UODO oraz w przygotowaniu zawiadomienia do podmiotów danych. Postawiliśmy na praktyczną stronę i ograniczamy analizy do niezbędnego minimum. Celem jest pomóc Ci w sytuacji, w jakiej się znalazłeś.
Materiały, jakie otrzymasz …
- Listę pytań na które powinieneś uzyskać odpowiedź analizując swój przypadek.
- Omówienie, konkretnej sytuacji związanej ze zniszczeniem na skutek zalania dokumentów przechowywanych w pomieszczeniach archiwum , gdzie krok po kroku pokazujemy co robiliśmy, jakie działania podejmowaliśmy.
- Wzór zgłoszenia do UODO, jakie przygotowane zostało w omawianym stanie faktycznym.
- Wzór zawiadomienia do podmiotów danych, których dokumentacja uległa zniszczeniu na skutek jej zalania.
- Wzór zapisu, jaki został ujęty w rejestrze naruszeń, wewnętrznym.
Dla kogo jest nasze opracowanie …
Jeśli znalazłeś się w sytuacji, kiedy doszło do zalania archiwum i zachodzi ryzyko jej zniszczenia, bądź uległa ona zniszczeniu, opracowany przez nas materiał pozwoli Ci na zrozumienie tego, z jakim zdarzeniem masz do czynienia oraz podjęcie konkretnych kroków. Dzięki lekturze oraz wzorcowym materiałom, będziesz mógł samodzielnie opracować zgłoszenie naruszenia ochrony danych do UODO oraz treść zawiadomienia do podmiotów danych, których dotyczy naruszenie.