Mentionsy

Dzisiejszy odcinek jest publikowany 28 stycznia, co jakby nie było jest dość konkretnym dniem, które wiąże się z tematem dzisiejszego spotkania, bowiem 28 stycznia mamy taki Europejski Dzień Ochronnych Danych Osobowych.

I w tym temacie pomoże mi mój gość, którym jest Michał Gölke, inspektor ochrony danych osobowych, audytor wiodący w firmie Orleccy, specjalizujący się w usługach związanych z szeroko rozumianym bezpieczeństwem informacji oraz ochroną danych osobowych.

Ja chciałem zapytać, czy BHP-owcy współpracują z Inspektorami Ochrony Danych Osobowych?

Jestem o tym informowany i potem sobie to procedujemy zgodnie z przepisami, a jest taki niestety przykry obowiązek, że niektóre incydenty związane z danymi osobowymi trzeba zgłaszać i to nawet w dwa miejsca czasami, a jest to Urząd Ochrony Danych i osoby, które na nie dotyczą i jakby nie mają tego strachu, bo też wiedzą, że lepiej mieć w tym temacie święty spokój, na przykład coś zgłosić,

jakby wyjść od takiego BHP-owca, pozwolę sobie używać takiego skrótu, wie jakie dane może mieć w rejestrze i de facto to się przekłada na to, że z automatu wie o zasadzie minimalizacji danych z RODO, ale pierwsze są przepisy BHP, a potem RODO gdzieś tam dokłada, że też ma takie zasady i jeżeli BHP-owiec trzyma się rozporządzeń, terminów usunięcia pewnych danych, no to z RODO jest od razu na czysto.

To jest jakby wchodzenie w szczegóły i największe, nazwijmy to delikatnie, nieporozumienia wynikają z definicji danych osobowych.

W sumie danych osobowych tam nie ma, więc puszczam go sobie w formie jakby uczmy się na błędach innych, po czym cała sala robi małe ha-ha-hihi, bo od razu poznają, że to jest przysłowiek Jan Kowalski po tym, nie wiem, pochodzie, po jego gabarytach.

bo to chroni oczywiście, chroni przed wykorzystaniem wizerunku, ale co innego ochrona wizerunku, bo też przy okazji wizerunek jest chroniony przynajmniej trzema ustawami w naszym kraju i pomijając RODO jest to prawo autorskie i kodeks cywilny, gdzie jest wymieniony po prostu jako dobro nasze chronione, to trzeba jeszcze troszkę szerzej iść, czyli zamazywanie twarzy to niekoniecznie zamazanie wszystkich innych danych osobowych, czyli wszystkiego innego przez to bez nadmiernego kosztu czasu i działań dotrę,

A następnie, nie wiem, po paru latach ten telefon nie za dobrze, tak po naszemu trochę powiem, wypędzluje z danych i wystawię na Reliksie.

Bo tak jak powiedziałem, nigdy się nie spotkałem, że BHPowiec robi nadmiarowy, zbiera nadmiarowy materiał na przykład z miejsca wypadku, ale już urządzenie, którym to robił, zostawiało wiele do życzenia.

Tutaj już mimo, że mamy XXI wiek, dodam taką ciekawostkę z innych tam działów, które naruszają, czy z jakichś już spraw sądowych, które wynikają z braku ochrony danych.

czy leci gdzieś tam, mówię, informując, że proszę bardzo, tu mamy stykty, faktycznie, tu musi być Kowalski, bo to Kowalski nie miał okularów, Kowalski pracował na wysokości bez jakichś środków ochrony indywidualnej i my tu teraz Kowalskiego będziemy karać za to, a tu jest pyk, dowód na to, że to jest Kowalski.

no to jeśli nie ma uszczerbku na zdrowiu, czyli nie jest to tam wypadek, już tak może brutalnie polecę czyjaś urwana ręka albo mocne skaleczenie, no to nie ma mowy o tak zwanych danych wrażliwych.

Skoro nie są to dane wrażliwe, to mamy taką ciekawą podstawę prawną do zbierania danych różnego rodzaju.

warto posłużyć się tutaj, może bardzo inaczej, sporo osób nie lubi tej nazwy, ale posłużyć się pewnymi wytycznymi kodeksu karnego, gdzie jedyne przestępstwo na przykład do zbierania tego typu danych, czyli robię komuś zdjęcie, nagrywam go w pracy,

Więc jak jestem na placu budowy, widzę pracownika, który nie ma kasku i nagram go w tym momencie i nie upublicznię tego, tylko wykorzystam wewnętrznie do jakiejś nagany czy czegoś w tym stylu, czy notki BH-powca, to ani nie ma publikacji w mojej ocenie, ani nie ma zbierania danych, do których nie jestem uprawniony.

Ale to, tak jak mówię, możemy o tym porozmawiać, ale ja myślę, że to każdy BHP-owiec na każdym szkoleniu z ochrony danych słyszał i już to wie.

Ten artykuł 266 w paragrafie pierwszym jest tak uniwersalny, że można go przypisać de facto do każdego ujawnienia lub wykorzystania danych, które są prawnie chronione, a z którymi zapoznają się w pracy czy podczas wykonywanej usługi.

No dobrze, ale to ja mam pytanie, jak już doszło do tego nieszczęsnego ujawnienia tych danych.

Artykuł 33 RODO to jest zgłaszanie incydentów, taka nowość w polskim porządku prawnym, jeśli chodzi o ochronę danych osobowych, którą wprowadziło w 2018 RODO, bo wcześniej tych obowiązków nie było, a więc jako ten przetwarzający dane.

dwa zdania przy umowie powierzenia, jeśli zewnętrzne BHP, bo to rozumiem dalej, odsyłem w tym przykładzie, jestem podwykonawcą, jeśli ten zewnętrzny BHP-owiec działa na umowie powierzenia, to obowiązek zgłaszania incydentów jest po stronie administratora danych, czyli tego, kto go zatrudnił, ale to i tak nie zwalnia tego BHP-owca z faktu poinformowania tego właściwego administratora, czyli podmiotu, dla którego pracuje,

o całym tym zdarzeniu, łącznie ze szczegółami, żeby on potem mógł podjąć decyzję o ewentualnym procedowaniu tego zgodnie z artykułem 33, czyli zawiadomienia Urzędu Ochrony Danych, bo wtedy to jest zero-jedynkowe must have moim zdaniem.

No i też w przypadku dokumentacji powypadkowej, która zawiera, nie wiem, numery PSL, dane kontaktowe, maile czy jakiś opis urazu, no to też trzeba poinformować podmiot danych.

Jakiekolwiek nawet minimalne ryzyko zgłaszasz do Urzędu Ochrony Danych, jeśli ryzyko jest wysokie i urząd stoi, ja się z tym nie zgadzam, tak po cichu powiem, że jeżeli jest tylko numer PESEL czyjś albo mail, to ryzyko jest wysokie, że ktoś nas będzie spamować, ten numer PESEL wykorzysta, to Bóg jeden wie, jakiego wachlarza przestępstw, no to też z automatu muszę poinformować podmiot danych.

No i tutaj ja zawsze idę zgodnie z wytycznymi, zgłaszam incydenty do Urzędu Ochrony Danych jak trzeba, informujemy podmiot danych i nigdy mi się to nie zemściło, a znam podmioty, które stwierdziły, że nie małe ryzyko, kto tam poinformuje urząd, to do nich nie dojdzie, a poza tym ryzyko według nas jest małe, dziękujemy za interpretację, ale nie idziemy tą drogą, po czym do urzędu trafia skarga.

Urząd sprawdza, czy dostał taką informację od danego administratora, pisze do niego pismo, dostaje odpowiedź, która ciężko jest się wybronić w takiej sytuacji, może tak odpowiem, i wtedy z automatu jest kara, a potem i tak to jest procedowane jak powinni wcześniej.

jeśli po prostu był to wypadek przy pracy, a zrobiłem przecież nieco trzeba, a za niezgłoszony incydent, o którym się dowie Urząd Ochrony Danych, kara zawsze jest i potem i tak jest z nim procedowany.

takie zwyczajowe, że tak to nazwę, bo za niedługo do BHP przyjdą nowe problemy, jak na przykład AI Act, a więc nie wiem, systemy monitoringu rozpoznające nieprzestrzeganie przepisów BHP, które już wchodzą jako produkty komercyjne, a tam są dodatkowe nowe problemy, więc nie bać się tych przepisów, współpracować z IOD-em czy z administratorem danych osobowych i chodzić na szkolenia i słuchać to, co na tych szkoleniach jest.

Przypomnę, że moim gościem był Michał Gielke, inspektor ochrony danych osobowych, który na co dzień wspomaga BH-owców właśnie w tej, jak bym powiedział, nie do końca takiej trudnej pracy, jeśli chodzi o ochronę danych osobowych.