19 listopada 2019 miał miejsce kolejny już Konwent Ochrony Danych i Informacji. Była to już VIII edycja pod hasłem „D(RODO)wskazy, czyli nowe kierunki ochrony danych w biznesie„.
Po raz kolejny miałem zaszczyt uczestniczyć w tym wydarzeniu wraz z Robertem Stańczykiem z ODOonline.pl.
Wydarzenie można określić jako bardzo interesujące i pouczające, stąd postanowiłem je opisać.
Cały konwent tak jak rok temu był podzielony na 2 części:
- Cześć prelekcyjna w ramach której tak wybitne postacie jak Dr Edyta Bielak – Jomaa, Dr Dominik Lubasz, Piotr Kawczyński, Piotr Drobek, oraz Witold Chomiczewski, wygłosiły swoje prelekcje. Odtworzone zostało również specjalnie na potrzeby Konwentu nagrane wystąpienie świeżo wybranego Europejskiego Inspektora Ochrony Danych Dr Wojciecha Wiewiórowskiego. Podczas tej części dostawcy rozwiązań IT z sektora bezpieczeństwa oraz nowych technologi pokazali swoje rozwiązania wspierające zapewnienie zgodności z RODO.
- Druga część to jak zawsze prawdziwa petarda #DataProtectionMixer, czyli cztery sesje tematyczne po 40 minut każda. Uczestnicy, rejestrując się na wydarzenie, mogli wybrać 4 pośród 12 proponowanych przez organizatorów tematów.
My postanowiliśmy wziąć udział w sesjach:
- Jak przy wykorzystaniu narzędzi informatycznych sprawnie przeprowadzić analizę ryzyka?
- Q&A o cyberbezpieczeństwie
- Wyzwania kadr w świetle znowelizowanych regulacji prawnych
- Prawne aspekty stosowania monitoringu wizyjnego
Zacznę jednak od początku. Otwarcia konwentu dokonali wspólnie organizatorzy czyli Dr Dominik Lubasz oraz Piotr Kawczyński, po czym swój wykład na temat „Trendów i wyzwań w Cyberbezpieczeństwie” przeprowadził Piotr Kawczyński z Forsafe
„Ponieważ po roku stosowania RODO, najczęstszymi przyczynami wycieków i naruszeń ochrony danych osobowych były zagubienia lub utrata nośników informacji oraz ujawnienie danych osobowych nieuprawnionemu odbiorcy. To wskazuje, że Administratorzy mają wiele do zrobienia w zakresie nieustannego podnoszenia świadomości pracowników – zarówno w obszarze aktualnych zagrożeń jak i wiedzy o procedurach obowiązujących w organizacjach„. Piotr Kawczyński.
Kolejną prezentację przeprowadziła była Prezes Urzędu Ochrony Danych Osobowych Pani Dr Edyta Bielak – Jomaa na temat „Prewencyjna kontrola trzeźwości pracownika a ochrona danych osobowych„.
Wystąpienie było interesujące, gdyż Pani Prezes wskazała całkowicie odmienne stanowisko od obecnego Prezesa UODO, o którym można było przeczytać w komunikacie „Obecny stan prawny nie pozwala pracodawcy zbadać pracownika alkomatem„.
Dr Edyta Bielak-Jomaa wskazała, że obowiązkiem pracodawcy jest … badanie trzeźwości pracownika.
Należy jednak pamiętać, że takie badanie nie może być dowodem w sprawie, ani podstawą rozwiązania umowy na podstawie Art 52 KP.
Pani Prezes wskazała, że lepszym rozwiązaniem jest zastosowanie diodowego alkomatu niż wprowadzenie organoleptycznej metody, która może być dyskryminująca.
Cyt. „Jak mam podejrzenie, że pracownicy mogą być pod wpływem alkoholu zgodnie z Art 17 ust. 3 uwt mogę wezwać organy uprawnione lub gdy nie mam UZASADNIONEGO PODEJRZENIA mogę przeprowadzić badanie alkomatem, a na żądanie pracownika potwierdzić badanie przez organ uprawniony”
Takie stanowisko może uspokoić wielu pracodawców, dla których taka kontrola jest wręcz niezbędna do zapewnienia bezpieczeństwa pracowników oraz publicznego. Pani Prezes podkreśliła jednak, że badanie takie powinno być przeprowadzane w zakładach, w których jest to uzasadnione.
Następna prelekcja na temat „Przejrzystość i podstawy prawne przetwarzania danych osobowych w reklamie internetowej” została wygłoszona przez Pana Witolda Chomiczewskiego z kancelarii Lubasz i Wspólnicy. Na tej prezentacji można było usłyszeć jak postępować w marketingu internetowym, aby zapewnić zgodność z prawem oraz przejrzystość wymaganą przez RODO w wysyłanych do użytkownika komunikatach, szczególnie, gdy w grę wchodzi profilowanie.
Następnie swoje wystąpienie miał Piotr Drobek Dyrektor Zespołu Analiz i Strategii w Urzędzie Ochrony Danych Osobowych na temat „Podstaw prawnych przetwarzania danych osobowych w konkursach”, gdzie niestety wskazał, że urząd jako podstawę prawną przetwarzania danych osobowych uważa zgodę. Wspomniał również, że UODO widzi potrzebę ponownego przeanalizowana tego stanowiska w związku z możliwością przetwarzania danych osobowych uczestników konkursu na podstawie zaakceptowanego regulaminu konkursu (zgodnie z art. 384 KC ). Oczywiście upatrujemy nadzieję w takim stanowisku urzędu, gdyż przetwarzanie danych osobowych jest w wielu konkursach i wydarzeniach elementem niezbędnym do jego zrealizowania, np. konkursy sportowe, gdzie jest wymagane zgłoszenie oraz oświadczenie o braku przeciwwskazań zdrowotnych.
Dane przetwarza się ponieważ jest to niezbędne do realizacji konkursu, a zgoda nie powinna uzależniać wykonania umowy, a więc np. wręczenie nagrody art. 7 ust. 4 RODO „Oceniając, czy zgodę wyrażono dobrowolnie, w jak największym stopniu uwzględnia się, czy między innymi od zgody na przetwarzanie danych nie jest uzależnione wykonanie umowy, w tym świadczenie usługi, jeśli przetwarzanie danych osobowych nie jest niezbędne do wykonania tej umowy.”
Po przerwie zostało odtworzone nagranie EIOD Dr Wojciecha Rafała Wiewiórowskiego na temat ” Śledzenia aktywności pracowników w serwisach społecznościowych. Doświadczenia praktyczne w nadzorze nad instytucjami unijnymi„.
Ostatnią prelekcję tematyczną wygłosił Dr Dominik Lubasz „Analiza ryzyka – jak sprawnie ją przeprowadzić?”
Prelekcja nawiązywała do żmudnej i pracochłonnej pracy jaką należy wykonać przy przeprowadzaniu analizy ryzyka oraz sposobach w jaki sposób ją usprawnić co nawiązuje do nowego rozwiązania IT ułatwiającego pracę osobą przeprowadzającym analizę ryzyka GDPR Risk Tracker. Na temat nowego narzędzia w szczegółach mogliśmy porozmawiać podczas #DataProtectionMixer.
Druga część, w której mieliśmy przyjemność brać udział to były warsztaty tematyczne, gdzie podczas 40 minutowych sesji eksperci omawiali wybrane zagadnienia i odpowiadali na pytania uczestników. Przy stoliku, do którego się nie zapisałem (a bardzo żałuję) na temat „Ochrona danych osobowych a informatyka śledcza, czyli kiedy informacje o przetwarzaniu danych stają się śladami cyfrowymi” opowiadał Maciej Kołodziej.
Przy stolikach zagadnienia i tematy były bardzo zróżnicowane i pokazywały jak bardzo jest zróżnicowany poziom wiedzy wśród osób interesujących się danymi osobowymi.
Od pytań jak oznaczyć pomieszczenie objęte monitoringiem po podstawy prawne stosowania monitoringu w konkretnych podmiotach przetwarzających dane. Na które sprawnie i rzeczowo odpowiadała Joanna Łuczak – Tarka
Ciekawym problemem było również odpowiadanie na pytania przy stoliku HR na temat różnic na temat powierzenia przetwarzania danych, a ich udostępnieniem. Mimo, że od momentu stosowania RODO minęło już 1,5 roku widać, że problemów nie ubyło (a może przybyło).
Bardzo ciekawym i miłym doświadczeniem było również spotkanie z osobami należącymi do Forum Inspektorów Ochrony Danych, na którym aktywnie się udzielam.
Niestety nie jestem w stanie opisać każdego z zagadnień poruszanych na forum, gdyż było ich zbyt dużo, a byłem na nim jedynie uczestnikiem i aktywnie uczestniczyłem, a nie nagrywałem 😉
Mam nadzieję, że tak szczątkowy opis tego wydarzenia pozwoli Państwu zapoznać się ogólnie z tematyką Konwentu i zachęcić do odwiedzenia Łodzi za rok.
Świetna relacja, osobiście czekam na kolejną edycję Konwentu.
Fajnie, fajnie. Ja po zeszłorocznym konwencie miałem wątpliwości co do skrócenia czasu prelegentom do 15 minut – ale jak dla mnie pomysł się wybronił. Dodało to nawet trochę więcej „werwy” wykładom. Nie jestem fanem wystąpień sponsorów, które zazwyczaj znacząco odbiegają poziomem merytorycznym od pozostałych. W tym roku jednak w moim odczuciu Microsoft odrobił lekcje i zaprezentował się 100x lepiej niż rok temu.
Podsumowując: konwent bardzo pozytywnie mnie zaskoczył.
Świetny przekaz informacji.