Problem standaryzacji w ogólnym rozporządzeniu o ochronie danych na tle decyzji PUODO dotyczącej spółki More​le​.net

10 wrze­śnia 2019 r. Pre­zes Urzę­du Ochro­ny Danych Oso­bo­wych wydał decy­zję o sym­bo­lu ZSPR.421.2.2019, któ­ra w swo­jej sen­ten­cji nało­ży­ła na More​le​.net sp. z o.o. karę pie­nięż­ną w wyso­ko­ści 2.830.410 zł. Kara ta zosta­ła uza­sad­nio­na naru­sze­niem prze­pi­sów art. 32 ust. 1 lib b i d oraz art. 32 ust. 2 ogól­ne­go roz­po­rzą­dze­nia o ochro­nie danych (2016/679). Mając na uwa­dze moje kon­se­kwent­ne wyra­ża­ne poglą­dy doty­czą­ce pro­ble­mu … czy­taj dalej »

Relacja z Legal aspects of personal data protection in cyber space

Mia­łem wczo­raj nie­wąt­pli­wą przy­jem­ność wygło­sić wykład otwie­ra­ją­cy kon­fe­ren­cję Legal aspects of per­so­nal data pro­tec­tion in cyber spa­ce, któ­ra odby­ła się pod patro­na­tem Pre­ze­sa Urzę­du Ochro­ny Danych Oso­bo­wych na Wydzia­le Pra­wa i Admi­ni­stra­cji w Poznaniu.

W ten spo­sób ofi­cjal­nie roz­po­czę­ła się ELSA Poznań Law Scho­ol on Cyber Law. Jest to orga­ni­zo­wa­na co roku, już od 5 lat, mają­ca miej­sce w Pozna­niu, szko­ła let­nia doty­czą­ca praw wła­sno­ści inte­lek­tu­al­nej. Być może pamię­tasz, że dwa lata temu w ramach 3 edy­cji tej wła­śnie szko­ły let­niej prze­pro­wa­dzi­łem warsz­tat doty­czą­cy naj­częst­szych błę­dów popeł­nia­nych przez star­tu­py na grun­cie GDPR/RODO. W tego­rocz­nej edy­cji bio­rą udział stu­den­ci z całe­go świa­ta, a co cie­szy mnie szcze­gól­nie – wśród słu­cha­czy dzi­siej­szej kon­fe­ren­cji było cał­kiem spo­ro poznań­skich (i nie tyl­ko) adwo­ka­tów oraz rad­ców praw­nych. Całość natu­ral­nie odby­wa się w języ­ku angiel­skim. Kon­fe­ren­cję otwo­rzył Pro­rek­tor UAM – prof. dr hab. Ryszard Naskręc­ki, a całość pro­wa­dzi­ła kol. Anna Mrozowska.

czy­taj dalej »

10 kroków, które pomogą dostosować system IT do RODO

Na fali popu­lar­no­ści tema­ty­ki jaką jest ochro­na danych oso­bo­wych, chciał­bym dzi­siaj podzie­lić się z czy­tel­ni­ka­mi kil­ko­ma uwa­ga­mi na temat tego jak w prak­ty­ce radzić sobie z sys­te­ma­mi infor­ma­tycz­ny­mi prze­twa­rza­ją­cy­mi dane oso­bo­we. Dosta­ję dość czę­ste pyta­nia pokro­ju „jak zabrać się za RODO w sys­te­mach IT”. Jak wie­cie napi­sa­łem arty­kuł nauko­wy na ten temat, ale nauka to nauka, a prak­ty­ka to prak­ty­ka 😃. Tema­ty­ka jest nie­zwy­kle waż­ka, bo prze­cież RODO jak i inne regu­la­cje doty­czą­ce ochro­ny danych nie powsta­ły­by gdy­by nie roz­wój sys­te­mów IT. Nie trze­ba być tak­że szcze­gól­nie bły­sko­tli­wym, by zorien­to­wać się, iż spo­sób podej­ścia do reali­za­cji wymo­gów RODO przez sys­te­my IT nie został w jed­no­znacz­nie przez RODO spre­cy­zo­wa­ny. Jeśli coś wyni­ka z tych prze­pi­sów, to jedy­nie fakt, iż powin­ny być one neu­tral­ne tech­no­lo­gicz­nie. W prak­ty­ce zaś sys­te­my do wymo­gów RODO dosto­so­wać bez­względ­nie trze­ba. Dziś więc krót­ki, nie­co zajaw­ko­wy arty­kuł na temat sekwen­cji dzia­łań, któ­rą naj­czę­ściej reali­zu­ję dora­dza­jąc moim Klientom.

czy­taj dalej »

Relacja z CONFidence 2018

W kwiet­niu po raz dru­gi zapra­sza­łem czy­tel­ni­ków blo­ga do udzia­łu w kon­fe­ren­cji CON­Fi­den­ce. I tak jak wspo­mi­na­łem, tym razem nie mogłem się tam wybrać oso­bi­ście – do Kra­ko­wa wybra­ła się Pau­li­na, z któ­rą od bli­sko roku współ­pra­cu­ję świad­cząc usłu­gi praw­ne. Dzi­siaj czy­tel­ni­ków blo­ga zapra­sza­my na rela­cję z wyda­rze­nia. Znaj­du­je się ona poni­żej, a jej autor­ką jest wspo­mnia­na Paulina 🙂

czy­taj dalej »

Kiedy system IT staje się „zgodny z RODO”?

Rewo­lu­cja w ochro­nie danych, koniecz­ność dosto­so­wa­nia sys­te­mów IT do wymo­gów ogól­ne­go roz­po­rzą­dze­nia o ochro­nie danych potocz­nie nazy­wa­ne­go RODO czy wresz­cie strach przed poten­cjal­na moż­li­wo­ścią nało­że­nia sank­cji w posta­ci kar finan­so­wych mogą­cych wynieść do 4% ogól­ne­go świa­to­we­go obro­tu czy 20 mln €. Te i nie tyl­ko te nagłów­ki pra­so­we napę­dza­ją dotych­czas niszo­wy rynek usług praw­nych oraz kon­sul­tin­go­wych doty­czą­cych usług z zakre­su ochro­ny danych oso­bo­wych. Moż­na spo­tkać się z wie­lo­ma opra­co­wa­nia­mi (lub będąc nie­co bar­dziej kry­tycz­nym: nie do koń­ca udol­ny­mi pró­ba­mi stwo­rze­nia takich opra­co­wań) doty­czą­cych tego jak RODO prze­kła­da się na wymo­gi sta­wia­ne sys­te­mom IT. Dzi­siej­szy wpis zosta­nie poświę­co­ny wła­śnie temu zagadnieniu.

czy­taj dalej »

CONFidence 2018

Być może pamię­ta­cie, dwa lata temu mia­łem oka­zję być na CON­Fi­den­ce. To chy­ba naj­star­sza impre­za bran­ży cyber­sec w Pol­sce. Bra­łem w wyda­rze­niu udział w zamierz­chłych cza­sach, gdy byłem jesz­cze stu­den­tem, potem była wspo­mi­na­na edy­cja 2016 – obie dobrze wspo­mi­nam (tutaj jest rela­cja z CON­Fi­den­ce 2016). W 2018 r. oczy­wi­ście CON­Fi­den­ce obę­dzie się ponow­nie, tak­że w Kra­ko­wie – tym razem w Muzeum Lot­nic­twa … czy­taj dalej »

Wyciek danych z OnePlus i obowiązek notyfikacyjny

W grud­niu, po ponad 4 latach codzien­ne­go boju, przy­szedł czas skie­ro­wać moje­go poczci­we­go i zasłu­żo­ne­go Nexu­sa 4 na eme­ry­tu­rę. Jako, że jestem fanem czy­ste­go Andro­ida i lubię mieć wybór to nie prze­pa­dam za nakład­ka­mi pro­du­cen­tów. Jeśli już chcę coś zmo­dy­fi­ko­wać, to wolę raczej sko­rzy­stać z Xpo­sed czy Magi­ska. Wybór zatem padł na One­Plus 5T. Krót­ko po jego zaku­pie oka­za­ło się, … czy­taj dalej »

Prezentacja z mojego wykład na UAM: Ogólne rozporządzenie o ochronie danych w przededniu rozpoczęcia stosowania

Wczo­raj na Uni­wer­sy­te­cie im. Ada­ma Mic­kie­wi­cza w Pozna­niu mia­łem oka­zję wygło­sić wykład Ogól­ne roz­po­rzą­dze­nie o ochro­nie danych w przeded­niu roz­po­czę­cia sto­so­wa­nia. Wykład w zwię­zły spo­sób przed­sta­wił naj­waż­niej­sze zmia­ny wpro­wa­dza­ne przez ogól­ne roz­po­rzą­dze­nie o ochro­nie danych oso­bo­wych potocz­nie nazy­wa­ne RODO. Oczy­wi­ście nie pomi­ną­łem klu­czo­wej nowo­ści – kon­cep­cji rela­ty­wi­za­cji ochro­ny danych oso­bo­wych oraz podej­ścia opar­te­go na ryzy­ku w świe­tle zasa­dy neu­tral­no­ści tech­no­lo­gicz­nej przyj­mo­wa­nej … czy­taj dalej »

Popełniłem artykuł – ochrona danych osobowych w systemach informatycznych

W naj­now­szym nume­rze Mło­dej Pale­stry – Cza­so­pi­śmie Apli­kan­tów Adwo­kac­kich opu­bli­ko­wa­ny został arty­kuł moje­go autor­stwa doty­czą­cy pra­wa ochro­ny danych oso­bo­wych pod tytu­łem Pro­blem dobo­ru środ­ków tech­nicz­nych i orga­ni­za­cyj­nych w sys­te­mach infor­ma­tycz­nych w per­spek­ty­wie ogól­ne­go roz­po­rzą­dze­nia o ochro­nie danych (GDPR).

W arty­ku­le sta­wiam tezę opo­nu­ją­cą do poja­wia­ją­cych się wśród pol­skich praw­ni­ków poglą­dów – moim zda­niem moż­na speł­nić wymo­gi pri­va­cy by design bez spe­cjal­nej doku­men­ta­cji, zaś wymo­gi oce­ny skut­ków prze­twa­rza­nia danych oso­bo­wych w przy­pad­ku sys­te­mów infor­ma­tycz­nych mogą zostać speł­nio­ne w przy­pad­ku zacho­wa­nia odpo­wied­nich mate­ria­łów z eta­pu roz­wo­jo­we­go opro­gra­mo­wa­nia. Wska­zu­ję tak­że, w jaki spo­sób postę­po­wać w okre­sie przej­ścio­wym – wycho­dząc z pol­skiej usta­wy, a wcho­dząc w GDPR (potocz­nie nazy­wa­ne RODO). GDPR jest prze­ze mnie jed­no­znacz­nie oce­nia­ny jako wiel­ka szan­sa pozwa­la­ją­ca ode­rwać się od skost­nia­łych z tech­no­lo­gicz­ne­go punk­tu widze­nia prze­pi­sów pol­skie­go pra­wa, któ­re w absur­dal­ny spo­sób wymu­sza­ją zmia­nę haseł co 30 dni czy sto­so­wa­nie opro­gra­mo­wa­nia anty­wi­ru­so­we­go w każ­dym systemie.

czy­taj dalej »

Pojawił się pierwszy projekt nowej ustawy o ochronie danych osobowych

Jak pew­nie uda­ło się Tobie zauwa­żyć, spo­ro uwa­gi na moim blo­gu poświę­cam zagad­nie­niom zwią­za­nym z pra­wem ochro­ny danych oso­bo­wych. Robię to, ponie­waż uwa­żam, że ochro­na danych oso­bo­wych jest taką gałę­zią pra­wa, któ­ra aktyw­nie sty­mu­lu­je adop­cję roz­wią­zań zapew­nia­ją­cych cyber­bez­pie­czeń­stwo w orga­ni­za­cjach. Dane oso­bo­we prze­twa­rza­my prak­tycz­nie w każ­dej orga­ni­za­cji i czę­sto doty­czą one wie­lu osób. Spo­sób ich ochro­ny, podej­mo­wa­ne środ­ki ochron­ne i sta­wia­ne im wymo­gi praw­ne to ide­al­ny punkt wyj­ścia, by roz­ma­wiać o cyber­bez­pie­czeń­stwie. Zresz­tą – jed­nym z uni­wer­sal­nych celów, któ­re przy­świe­ca­ły powsta­wa­niu pierw­szych tego typu ustaw na świe­cie (w latach ’70 i ’80) była chęć zapew­nie­nia bez­pie­czeń­stwa i ochro­ny użyt­kow­ni­kom nowo­cze­snych roz­wią­zań ICT. Od oko­ło roku wszy­scy mówią o nad­cho­dzą­cej euro­pej­skiej refor­mie pra­wa ochro­ny danych oso­bo­wych. Roz­po­czę­cie sto­so­wa­nia unij­nej refor­my wymu­sza przy­ję­cie w Pol­sce nowej usta­wy o ochro­nie danych oso­bo­wych. Dzi­siaj poja­wił się pierw­szy, ofi­cjal­ny pro­jekt tej usta­wy i jemu poświę­cę kil­ka uwag w tym wpisie.

czy­taj dalej »