Naruszenie ochrony danych osobowych (tzw. incydent bezpieczeństwa RODO) w praktyce i potencjalne problemy z organem nadzorczym (Prezesem UODO).

Sytuacja niestety nadal dość częsta w realiach polskich małych, a nawet średnich przedsiębiorstw – nagle okazuje się, że pracownik zgłosił nam problem z komputerem – zaszyfrowany dysk, ewentualnie kradzież laptopa/tabletu/telefonu, względnie zagubienie laptopa/przenośnego nośnika danych z danymi firmowymi, ewentualnie dostajemy informację od kontrahenta, że dostał nie swoją fakturę/umowę/dokument  (ciekaw jest kto dostał jego dokumenty ☹) lub zaobserwował, że w mailu który od nas otrzymał widzi wszystkich innych adresatów tej seryjnej wiadomości lub doszło do udostępnienia w internecie naszych zasobów firmowych (np. katalogu z danymi), a więc mamy typowe  naruszenie ochrony danych osobowych (tzw. incydent bezpieczeństwa RODO) i potencjalne problemy z Prezesem Urzędu Ochrony Danych Osobowych (choć zapewne nie tylko☹).

W praktyce w przypadkach wymienionych pierwszym, niejako naturalnym odruchem jest pomysł zbagatelizowania problemu i próba przeczekania – a nuż rozejdzie się po kościach. No może poza zaszyfrowaniem systemów bo wtedy nagle okazuje się, że np. firma nie może realizować podstawowej działalności biznesowej – owszem można przywrócić dane/systemy z kopii zapasowych, ale nie oszukujmy się – jak wielu małych przedsiębiorców faktycznie dba o odpowiednie/regularne wykonywanie i zabezpieczenie kopii – niestety niewielu. W skrajnych przypadkach nawet proste automatyczne systemy wykonywania kopii typu NAS na niewiele się zdadzą jeżeli również NAS został zaszyfrowany. Co ciekawe często w takiej sytuacji okazuje się, że nasz Pan/Pani informatyk to tak naprawdę jedynie hobbysta komputerowy posiadający średnią wiedzę informatyczną, ot taki „fachowiec”, który ogranicza się do instalacji systemu, antywirusa, zarządzania stroną www., ewentualnie wymianą zepsutego nośnika danych …

Oczywiście w takiej sytuacji wielu przedsiębiorców zaciska zęby i płaci okup za odszyfrowanie danych, niemniej jednak nie mogą mieć pewności co do tego czy dane zostaną faktycznie odszyfrowane oraz czy przestępcy nie wykonali ich kopii … Część zarządzających firmami po szybkim reaserchu internetowym, względnie konsultacji z prawnikami, zdaje sobie sprawę, że powyższe „przygody” na ogół stanowią jednak naruszenie ochrony danych osobowych (tzw. incydent bezpieczeństwa RODO) i zaczynają zastanawiać co w tej sytuacji należałoby zrobić (szczególnie zaczynają się zastanawiać jak pracownicy/kontrahenci wyrażają niezadowolenie i obawy związane z zaistniałą sytuacją, a prawnicy określą potencjalne sankcje). Nagle zaczynają zdawać sobie sprawę, że jak sprawa dotrze do Prezesa Urzędu Ochrony Danych Osobowych (skarga) lub sądu (pozew), to zaniedbania w zakresie RODO w firmie mogą grozić nieciekawymi konsekwencjami, a jeżeli poważny kontrahent (np. większa firma) poweźmie wiadomość o nieodpowiednim poziomie zabezpieczeń powierzonych nam danych osobowych to może się skończyć utratą kontraktu (tak, znamy z praktyki takie sytuacje – to się naprawę zdarza – można stracić kontrakt przez niewdrożenie zasad określonych RODO w firmie).

No dobrze mleko się rozlało mamy problem, ale czy powinniśmy się poddać i czekać aż kat opuści topór ? Nie, zdecydowanie nie, szybka i fachowa ocena wagi naruszenia oraz  podjęcie działań naprawczych i wdrożeniowych pozwoli ograniczyć potencjalne ryzyka biznesowe, a w części przypadków nawet uniknąć ryzyka postępowań wyjaśniających/administracyjnych ze strony organu nadzorczego (Prezesa UODO) lub zakończyć postępowania na etapie udzielenia wyjaśnień. Trzeba jednak pamiętać aby działania te podjąć niezwłocznie, poczynając od analizy rodzaju naruszenia, jego skali i wagi oraz zidentyfikować przyczynę/źródło naruszenia – nie zawsze bowiem naruszenie miało miejsce bezpośrednio w naszej organizacji często zdarza się, że zawinił nasz podwykonawca (biuro księgowe, dostawca rozwiązań chmurowych, dostawca aplikacji, nasz informatyk na kontrakcie B2B itp.), co niestety nie wyłącza naszej odpowiedzialności. W takim przypadku okazuje się bardzo istotną kwestia dokonanej przez nas weryfikacji zgodności kontrahenta przed powierzeniem mu przetwarzania w naszym imieniu danych osobowych, jak również systematyczne weryfikowanie zgodności w toku realizacji usługi, a szczególnie możliwość udokumentowania dokonywania tych weryfikacji.  To z kolei pokazuje, że nie zawsze cena usługi powinna być podatkowym kryterium wyboru dostawcy/partnera, Co z tego że partner zaoferował usługę/aplikację, która posiada biznesowo wymagane funkcjonalności i ładnie wygląda, jest przyjazna w obsłudze, jeżeli dane wprowadzone do aplikacji są przechowywane np. poza EOG np. na Białorusi lub w Indiach bez odpowiednich zabezpieczeń i gwarancji formalnych, a za wybór właściwego dostawcy/partnera odpowiadamy przecież my …

Oczywiście, w sytuacji idealnej mamy wdrożone zasady RODO, procedury działają, pracownicy są przeszkoleni i nie otwierają podejrzanych wiadomości instalując jednocześnie szkodliwe oprogramowanie, a jak zdarzy się błąd ludzki typu pomyłka pola UDW i DW w mailu to nie chowają głowy w piasek tylko raportują to niezwłocznie przełożonym, a ci odpowiednio do wagi naruszenia w terminie do 72 godzin podejmują decyzję jak dalej postępować, ale czy w Twojej firmie tak właśnie jest ?  Jeżeli nie to najwyższy czas nadrobić zaległości, nawet jeżeli już masz do czynienia z naruszeniem to jest jeszcze czas na zminimalizowanie jego skutków i warto zwrócić się w tej kwestii do ekspertów mających długoletnie praktyczne doświadczenie, w tym nabyte podczas postępowań przed organem nadzorczym (Prezesem Urzędu Ochrony Danych Osobowych, a wcześniej GIODO), na samodzielne wypracowanie rozwiązań/zarządzanie zaistniałym naruszeniem i jego odpowiednią obsługą może nie być już czasu, a niefachowe działanie zamiast zminimalizować skutki i konsekwencje naruszenia mogą je jeszcze zwiększyć ….

 

Andrzej Grzeszczuk

Inspektor ochrony danych

Ekspert akredytowany przez PARP – Phare 2002 Program: Dostęp do innowacyjnych usług doradczych, Działanie: Ochrona danych osobowych

Kontakt:

Tel. 509 720 666

a.grzeszczuk@polguard.pl

 

 

NNW Szkolne – Konieczność czy Obowiązek?

Czym jest Polisa NNW?

Polisa NNW (Następstwo Nieszczęśliwego Wypadku) – to nieobowiązkowe finansowe zabezpieczenie, które jest dobrze znane rodzicom ze szkół, w których istnieje możliwość wykupienia pakietu ubezpieczenia grupowego (o ile taką chęć wyrazi określona w warunkach ubezpieczenia ilość osób). Co ważne – a czego nie wszyscy rodzice mają świadomość – polisa ta działa przez całą dobę i to nie tylko na terenie szkoły, ale również poza nią i – co równie ważne – nie tylko w czasie trwania roku szkolnego, ale przez cały rok. Umożliwia to dochodzenie odszkodowania również w wakacje poza domem.

Co jeśli dziecko nie zostało ubezpieczone w szkole? – Nic straconego. Większość polis NNW istnieje również w wariancie indywidualnym, co więcej – z możliwością rozszerzenia pakietu o dodatkowe świadczenia jeżeli zajdzie taka potrzeba. Są to na przykład:

– opłacenie kosztów leczenia za granicą (o czym warto pamiętać wybierając się na wakacje za granicę)

– tzw. ,,Pakiet kleszcz” (w przypadku ugryzienia przez kleszcza i pokrycia kosztów związanych z leczeniem chorób spowodowanych przez nie, m.in. boreliozy),

– dodatkowy pakiet dla sportowców (zawodników kół i klubów sportowych, dostosowywany do dyscypliny uprawianej przez osobę objętą ubezpieczeniem).

 

,,Przez tyle lat nic się nie stało – czemu miałoby się zdarzyć w tym?”

Wypadki przed którymi ma chronić Polisa NNW to sytuacje od Nas niezależne, dlatego nie powinniśmy wychodzić z założenia, że wypadek na który jest statystycznie bardzo mała szansa akurat Nam się nie przydarzy:

–  Wg danych Komendy Głównej Policji w 2021 roku aż o 15,2% rok do roku zwiększyła się liczba wypadków z udziałem dzieci w wieku do 14 roku życia

Z danych Narodowego Instytutu Zdrowia Publicznego – Państwowego Zakładu Higieny wynika, że w 2021 roku wykryto prawie 13 tysięcy przypadków boreliozy (łącznie z niewykrytymi mogło być ich znacznie więcej)

– Nie można zapomnieć o zwichnięciach, złamaniach i skręceniach, które wśród dzieci są najczęstszymi urazami, a dojść do nich może wszędzie – zarówno podczas wspinaczki na trasie górskiej, jak i podczas zabawy na przydomowej huśtawce, trampolinie, czy podczas jazdy rowerem

 

Na co należy zwrócić uwagę wykupując Polisę NNW?

Świadomy rodzic to taki, który przed podjęciem decyzji zapozna się z najważniejszymi informacjami dotyczącymi polisy:

– Warunkami Ubezpieczenia

– Zakresem Ubezpieczenia

– Zasadami wypłaty świadczenia

– Składką ubezpieczenia.

 

 

To właśnie od składki zależy zakres i suma ubezpieczenia – im wyższa składka, tym szerszy zakres i wyższa suma ubezpieczenia. Składka takiego ubezpieczenia jest składką roczną.

Poniżej jest przedstawionych 5 ważnych informacji, o których każdy wykupujący ubezpieczenie NNW dzieci i młodzieży powinien pamiętać:

  1. Ubezpieczenie NNW nie jest obowiązkowe – możesz ubezpieczyć dziecko w szkole lub indywidualnie w wybrany przez siebie sposób – u swojego agenta, odwiedzając wybraną firmę ubezpieczeniową lub przez Internet.
  2. Brak ubezpieczenia to brak pomocy – należy pamiętać że rezygnacja z ubezpieczenia oznacza brak dodatkowego wsparcia finansowego, czyli brak realnej pomocy w momencie wypadku dziecka.
  3. Wartość odszkodowania zależy od sumy ubezpieczenia – atrakcyjne oferty cenowe mogą oznaczać jednocześnie niskie sumy ubezpieczenia, a co za tym idzie – niskie kwoty wypłacanych świadczeń
  4. Kto pyta nie błądzi – o co warto pytać:
  • Ile konkretnie dostanę, gdy dziecko złamie rękę?
  • Czy dostanę pieniądze w trakcie czy dopiero po zakończonym leczeniu i rehabilitacji?
  • Czy dostanę pieniądze za pobyt dziecka w szpitalu w wyniku nieszczęśliwego wypadku lub choroby?
  • Czy dostanę pieniądze za poniesione koszty leczenia i rehabilitacji?
  1. Twoje prawa – masz prawo do:
  • Zapoznania się ze wszystkimi warunkami umowy – w tym z tabelami uszczerbków.
  • Dokładnej rozmowy z pośrednikiem, który oferuje ubezpieczenie.
  • Porównania ofert różnych firm.
  • Spokojnego zapoznania się z ofertą bez presji ze strony oferującego ubezpieczenie.

Dobre Ubezpieczenie NNW to nie tylko pieniądze z uszczerbku na zdrowiu. Oferowana polisa powinna zawierać

  • pokrycie kosztów leczenia (również zakup leków)
  • pokrycie pobytu w szpitalu na skutek choroby (również COVID) jak i NNW za każdy dzień pobytu
  • pokrycie kosztów rehabilitacji
  • pokrycie kosztów prywatnych lekcji lub korepetycji gdy dziecko nie może chodzić do szkoły
  • zakres ubezpieczenia adekwatny do składki

 

NNW w szkole. Dobro dziecka czy kwestie ekonomiczne?

Od lat w szkołach panuje przekonanie, że jeżeli szkoła ubezpiecza swoich uczniów, to musi z tego coś mieć. Wiele razy spotkałem się z sytuacją, gdzie w trakcie rozmowy telefonicznej z przedstawicielami szkoły (kierownictwo lub rada rodziców) dostaję pytanie:

– No dobrze, a co szkoła z tego będzie miała?

Na to pytanie zawsze odpowiadam że ,,Poza bardzo dobrą ofertą dla dzieci profesjonalną obsługę ubezpieczenia.” Praktycznie od razu dostaję informację, że wielu agentów proponuje procentowy zwrot ze składki, który przekazywany jest na radę rodziców. Tutaj otrzymujemy błędne koło, ponieważ te pieniądze nie wezmą się znikąd –  jeżeli rada rodziców ma dostać pieniądze, to automatycznie odbije się to na samej ofercie. Składka za te same świadczenia może iść do góry, lub okrajany jest zakres ubezpieczenia. Kto w tej sytuacji jest najbardziej poszkodowany? – Sami uczniowie oraz Ich rodzice.

Niektóre placówki oświatowe od lat przedstawiają oferty tych samych towarzystw ubezpieczeniowych i zawierają polisy na niekorzyść dziecka, kierując się wartością materialną dla rady rodziców. Dzieje się tak mimo tego, że Rada Rodziców jest Organem Statutowym, który w domyśle działania powinien działać przede wszystkim na korzyść dzieci uczących się w danej szkole. Przez takie działania dochodzi do sytuacji, że rodzic w momencie próby uzyskania odszkodowania dowiaduje się, że dane świadczenie nie jest objęte zakresem ubezpieczenia. Wielu rodziców nie wie niestety nawet jaki jest zakres ubezpieczenia Ich dzieci. Dostają tylko informacje, że jest to ubezpieczenie takiego lub takiego towarzystwa, a składka wynosi tyle lub tyle. Atrakcyjna oferta cenowa ma zachęcić do zakupienia akurat danego ubezpieczenia bez zapoznania się z praktycznie podstawowymi informacjami dotyczącymi go, co uniemożliwia porównanie go z innymi ofertami.

W trosce o dobre imię szkół MEN rozsyła pisma do dyrektorów placówek z informacjami o zakazie podpisywania polis ubezpieczeniowych. Ma to zarówno pozytywne jak i negatywne skutki, ponieważ w przypadku rezygnacji z ubezpieczenia przez szkołę wielu rodziców traci możliwość ubezpieczenia swojej pociechy, ale pojawia się konieczność samodzielnego i bardziej dokładnego zapoznania się z różnymi ofertami – co może pozwolić na wybranie lepszego ubezpieczenia kosztem poświęconego czasu. Sytuacji gdzie szkoły nie podpisują umów ubezpieczenia jest coraz więcej. Rodzice dowiadują się o tym poprzez dziennik elektroniczny lub na wywiadówkach.

 

NNW – jaki mam wybór i co robić dalej?

Należy pamiętać że każdy rodzic „ma prawo wiedzieć”, a dobro dziecka powinno być dla nas PRIORYTETEM. Za niską składkę nie mogę oczekiwać bardzo wysokiej sumy ubezpieczenia lub szerokiego zakresu – czyli czegoś, za co się nie płaci. Chcąc wykupić dobre ubezpieczenie powinno zapoznać się z rynkiem ubezpieczeniowym, a porównując konkretne oferty – z ich OWU, kartą produktu, ofertą ubezpieczenia oraz porównać co najmniej kilka takich ofert od różnych ubezpieczycieli zanim podejmie się decyzję.

Ubezpieczenie „NNW Szkolne” ważne jest przez cały rok, od tego zależy jakie odszkodowanie dostanie nasze dziecko.

Kalkulację ubezpieczenia i samo ubezpieczenie można wykonać u agenta, lub – co jest coraz powszechniejsze – na stronie internetowej agenta ubezpieczeniowego lub towarzystwa ubezpieczeniowego, bez konieczności wychodzenia z domu.

 

 

Stanisław Mikołajczyk

Prezes Zarządu Centrum Polis Sp. z o.o

Kontakt: smikolajczyk@centrumpolis.pl

Tel. 725 314 848

W pandemii Mikołaj potrzebuje pomocy w przygotowaniu prezentów dla karateków.

Pomóż razem z nami przygotować Mikołajowi prezenty dla uczestników  Mikołajkowego Pucharu Polski Dzieci i Młodzieży w Karate Tsunami.
Jak co roku UKS POWA – Stare Miasto i UKS SATO –Kazimierz Biskupi zapraszają 04.12.2021 r., do Starego Miasta k/Konina na Mikołajkowy Pucharu Polski Dzieci i Młodzieży w Karate Tsunami, pod patronatem Wójta Gminy Starego Miasta Dariusza Puchały.
Tradycją tych zawodów karate Tsunami jest to, że po zakończeniu rywalizacji i wręczeniu medali Mikołaj rozdaje uczestnikom zawodów świąteczne prezenty.

Fundacja Promocji Bezpieczeństwa zbiera pieniądze na prezenty dla Mikołaja.

Szczegółowe Informacje o zawodach są podane na stronie UKS „Powa” Sekcja Karate Stare Miasto:

https://www.facebook.com/photo/?fbid=4258099034258627&set=a.639963289405571

Każdy Twój datek — zarówno mały, jak i duży — będzie się liczył. Przyda się każdy grosz. Dziękujemy za wsparcie.

Zbiórkę prowadzimy na Facebooku, link do darowizny:

https://www.facebook.com/donate/831620174197316/

Mikołaj potrzebuje pomocy w przygotowaniu prezentów dla karateków

Pomóż razem z nami przygotować Mikołajowi prezenty dla uczestników Otwartego Mikołajkowego Pucharu Polski Karate Tsunami dla dzieci i młodzieży.
Jak co roku UKS POWA – Stare Miasto i UKS SATO –Kazimierz Biskupi zapraszają 07.12.2019 r., do Starego Miasta k/Konina na Otwarty Mikołajkowy Puchar Polski Karate Tsunami dla dzieci i młodzieży.
Tradycją tych zawodów karate Tsunami jest to, że po zakończeniu rywalizacji i wręczeniu medali Mikołaj rozdaje uczestnikom zawodów świąteczne prezenty.

Fundacja Promocji Bezpieczeństwa zbiera pieniądze na prezenty dla Mikołaja.

Szczegółowe Informacje o zawodach są podane na stronie UKS „Powa” Sekcja Karate Stare Miasto:  https://www.facebook.com/UKS-Powa-Sekcja-Karate-Stare-Miasto-541996192584050/

Każdy Twój datek — zarówno mały, jak i duży — będzie się liczył. Przyda się każdy grosz. Dziękujemy za wsparcie.

Zbiórkę prowadzimy na Facebooku, link do darowizny: https://www.facebook.com/donate/2497542870530152/1289420144570894/

Żądanie spełniania obowiązku informacyjnego

Od 25 maja 2018 r., na podstawie Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE [zwane dalej RODO] każda osoba fizyczna ma prawo oczekiwać, że administratorzy danych przetwarzający jej dane osobowe poinformują ją co dzieje się z jej danymi osobowymi , czyli spełnią tzw. obowiązek informacyjny.

RODO nakazuje spełnianie obowiązku informacyjnego w dwóch sytuacjach. Po pierwsze obowiązek informacyjny należy spełnić w momencie, gdy dane zbierane są bezpośrednio od osoby, której one dotyczą [art. 13 RODO], po drugie w przypadku gromadzenia danych z innych źródeł, tj. nie od osoby, której one dotyczą [art. 14 RODO].

Jeśli ktoś przetwarza nasze dane osobowe, np. wysyła nam ofertę lub dzwoni do nas a nie zostaliśmy poinformowani skąd pozyskał nasze dane osobowe, w jakich celach je przetwarza oraz jakie przysługują nam uprawnienia możemy skorzystać z uprawnienia określonego w art. 15 RODO i zażądać od administratora udzielenia nam wszystkich wymaganych informacji.

Wzór przykładowego wniosku realizacji praw podmiotu danych zamieszczamy poniżej: Wzór wniosku.

Prezes Urzędu Ochrony Danych Osobowych [UODO] na swojej stronie informuje:

Cyt. „Administrator ma obowiązek najszybciej jak to możliwe odpowiedzieć na Twoje żądanie – maksymalnie w terminie miesiąca. Jeżeli z jakiegoś powodu nie będzie to możliwe, musi Cię poinformować, dlaczego przedłuża termin odpowiedzi o nieprzekraczalne kolejne dwa miesiące. Także w ciągu miesiąca administrator powinien Cię poinformować o niespełnieniu żądania i jego przyczynach. Jeżeli administrator zignoruje na Twoje żądanie albo odpowiedź nie będzie dla Ciebie satysfakcjonująca możesz złożyć skargę do Urzędu.”

W przypadku naruszenia przepisów o ochronie danych osobowych, osoba, której dane dotyczą, może złożyć skargę do Prezesa Urzędu Ochrony Danych Osobowych. Po przeprowadzeniu postępowania w sprawie, Prezes Urzędu – jeżeli doszło do naruszenia – w drodze decyzji administracyjnej nakazuje przywrócenie stanu zgodnego z prawem.

Kto, kiedy i w jakiej formie może złożyć skargę do UODO dokładnie jest opisane na stronie https://uodo.gov.pl/pl/83/155.

Niezależnie od postępowania przez UODO każda osoba fizyczna ma prawo do ochrony swoich praw przed sądem cywilnym. Jeżeli uznasz, że przetwarzanie Twoich danych osobowych narusza przepisy prawa, możesz pozwać administratora lub podmiot przetwarzający. Przed sądem możesz żądać odszkodowania za naruszenie przepisów o ochronie danych osobowych, które spowodowało szkodę majątkową lub niemajątkową.

O tym jak dochodzić odszkodowania pisaliśmy pod adresem: link

Jeśli powyższy materiał okazał się przydatny i chcecie Państwo wesprzeć Fundację prosimy o kliknięcie w link lub poniższy baner:
Darowizna dla Fundacji Promocji Bezpieczeństwa

dotpay_logo_napisPL

Dzięki Państwa wsparciu możemy pozostać niezależni i skutecznie promować bezpieczeństwo.

Dziękujemy!