Nowy rok szkolny – nowe szkolenia ABI

Dzieci wesoło pobiegły do szkoły. Minęły wakacje. Czas powrotów do pracy, obowiązków, rzeczywistości. Widać to też po moim blogu, którego statystyki odwiedzin gwałtownie wzrastają.

Administratorzy bezpieczeństwa informacji (ABI) oraz inne osoby odpowiedzialne za te zagadnienia również wracając do swoich obowiązków odwiedzają częściej moją stronę w poszukiwaniu informacji w zakresie prawa ochrony danych osobowych.

Wszystkim, którzy powrócili z wakacji, urlopów i szukają wartościowych źródeł wiedzy zachęcam do zapisywania się na tematyczne szkolenia, które należy zaliczyć do najbardziej cennych metod zgłębiania wiedzy.

Tegoroczna nowelizacja wyśrubowała wymagania wobec ABI i wprowadziła sporo nowych obowiązków związanych z zapewnianiem zgodności przetwarzania z przepisami, wzrosła więc potrzeba zgłębienia tematów lub weryfikacji w większym gronie kwestii wątpliwych. Szkolenia zapewniają taką możliwość.

Jeśli więc czujesz niedosyt wiedzy w zakresie przepisów o ochronie danych osobowych, bo jesteś świeżo mianowanym ABI lub osobą odpowiedzialną za ten obszar tylko nazywasz się inaczej, dobrze trafiłeś. W tym sezonie mamy nowe terminy szkoleń.

Nawet najlepsze szkolenie nie rozwiąże wszystkich problemów, z którymi borykasz się jako ABI na co dzień. Jednak posiadając solidne podstawy wiedzy zdobywasz oręż do wykonywania swoich obowiązków z odwagą. Po szkoleniu czujesz się pewniej, w rozmowie na tematy zawodowe, w rozwiązywaniu problemów wreszcie samodzielnym podejmowaniu decyzji.

Każda wiedza, aby się ugruntowała oraz przynosiła owoce potrzebuje powtarzania -„Repetitio est mater studiorum” powtarzanie jest matką studiujących. Chcesz się czegoś nauczyć musisz zacząć się uczyć, ale potem powtarzać i powtarzać aż okaże się, że jesteś biegłym specjalistą ABI.

 

 

Nie ma najmniejszej wątpliwości, że spółdzielnia mieszkaniowa jest administratorem danych osobowych. Głównym zadaniem spółdzielni mieszkaniowych jest zaspakajanie potrzeb mieszkaniowych swoich członków. Buduje więc spółdzielnia lokale mieszkalne, do których prawa nabywają członkowie zawierający ze spółdzielnią stosowne umowy. Jak wiadomo zarządza później tymi nieruchomościami a często całymi osiedlami, co związane jest z przetwarzaniem setek i tysięcy danych osobowych lokatorów.

Członkowie spółdzielni udostępniają jej swoje dane osobowe w celu uzyskania statusu członka oraz w związku z obowiązkiem uczestniczenia w wydatkach dotyczących eksploatacji i utrzymania lokali oraz ponoszeniem innych wydatków związanych z działalnością spółdzielni.

Spółdzielnia więc jako administrator danych osobowych tysięcy danych osobowych swoich członków zobowiązana jest przetwarzać dane osobowe zgodnie z przepisami prawa o ochronie danych osobowych.

Podstawą prawną przetwarzania danych przez spółdzielnię najczęściej będzie realizacja obowiązku lub prawa wynikającego z  przepisów prawa spółdzielczego czy ustawy o spółdzielniach mieszkaniowych. Przetwarzanie danych przez spółdzielnię może też być niezbędne dla realizacji umowy pomiędzy spółdzielnią a członkiem np. umowy o wybudowanie lokalu mieszkalnego, umowy o ustanowienie spółdzielczego prawa do lokalu czy umowy najmu.

Niejednokrotnie spółdzielnia może powołać się na usprawiedliwiony cel przetwarzania danych osobowych jak w przypadku dochodzenia roszczeń z tytułu zaległych opłat eksploatacyjnych. Niewykluczone, że dla przetwarzania w szerszym zakresie lub w innych niż wymienione wyżej cele spółdzielnia będzie pozyskiwała odrębną zgodę uprawniającą ją do tego przetwarzania.

Oprócz legitymowania się podstawą prawną uprawniającą do przetwarzania danych osobowych spółdzielnia musi wypełnić wszystkie obowiązki ciążące na administratorze danych osobowym w tym dotyczące zabezpieczenia danych przed nieuprawnionym dostępem.

Ostatnia nowelizacja przepisów o ochronie danych osobowych wprowadziła dla administratorów danych osobowych nowe obowiązki. Administrator danych osobowych ma obowiązek sprawdzania zgodności przetwarzania danych z przepisami o ochronie danych osobowych, obowiązek nadzoru nad dokumentacją w zakresie przetwarzania danych osobowych jak również obowiązek zapoznawania osób upoważnionych do przetwarzania danych z przepisami.

Spółdzielnia, która powołała i zarejestrowała administratora bezpieczeństwa informacji w wykonywaniu wyżej opisanych obowiązków jest przez niego wyręczana. Jednak spółdzielnia, która nie powołała ABI jest odpowiedzialna za wykonywanie tych obowiązków.

Zważywszy, że skarga jednego lokatora może sprowadzić do spółdzielni kontrolę GIODO ryzyko kontroli w spółdzielniach, gdzie lokatorów są setki i tysiące,  jest znacząco wyższe niż w innych podmiotach. Pamiętając o tym oraz dla poszanowania praw swoich lokatorów spółdzielnie powinny przetwarzać ich dane zgodnie z przepisami o ochronie danych osobowych uwzględniając najnowsze w tym zakresie obowiązki.

W ostatnim wpisie pisałam, że umowy w sprawach z zamówień publicznych są jawne i podlegają udostępnieniu na zasadach określonych w przepisach o dostępie do informacji publicznej.

Gwoli przypomnienia informacją publiczną jest „wszelka informacja o sprawach publicznych”, w tym informacja o treści dokumentów urzędowych oraz o majątku publicznym, w tym treść umów zawieranych na zasadach określonych przepisami o zamówieniach publicznych.

Powstaje wobec tego pytanie czy możemy poznać dane personalne kontrahentów wybranych w trybie zamówień publicznych do wykonania określonych usług lub dostarczenia określonych towarów na potrzeby określonego organu administracji publicznej (w tym np. jednostki samorządu terytorialnego).

Do pewnego momentu linia orzecznicza co do powyższego nie była zgodna. Miało to miejsce z uwagi na ograniczenie zawarte w ustawie o dostępie do informacji publicznej sprowadzające się do wyłączenia jawności, jeśli to ujawnienie naruszało prawo do prywatności osób, których to ujawnienie dotyczy.

Bazując na ochronie prywatności nie ujawniono danych osobowych osób, z którymi organy administracji zawierały umowy. Ograniczano się do ujawniania treści umów a dane personalne poddawano anonimizacji.

Problem dotarł do Sądu Najwyższego, który stwierdził, iż ujawnienie imion i nazwisk osób zawierających umowy cywilnoprawne z jednostką samorządu terytorialnego nie narusza prawa do prywatności tych osób.

W podobnym duchu rozstrzygnął NSA stwierdzając w dość świeżym orzeczeniu, że dane o kontrahentach jednostki samorządu terytorialnego, takie jak ich imiona i nazwiska, podlegają udostępnieniu w trybie informacji publicznej  i nie podlegają wyłączeniu z uwagi na prywatność tych osób.

 

Umowy w sprawach z zamówień publicznych są jawne i podlegają udostępnieniu na zasadach określonych w przepisach o dostępie do informacji publicznej.

Informacją publiczną jest „wszelka informacja o sprawach publicznych”, w tym informacja o treści dokumentów urzędowych oraz o majątku publicznym. W tym zakresie mieści się również treść umów zawieranych na zasadach określonych przepisami o zamówieniach publicznych.

Administrator bezpieczeństwa informacji (ABI) w administracji publicznej lub jednostkach realizujących cele publiczne musi rozstrzygnąć w jakim zakresie zezwolić na udostępnianie danych osobowych znajdujących się w umowach zawieranych w trybie zamówień publicznych.

Z pomocą przychodzą mu przepisy prawa, które wprost mówią, iż umowy w sprawach zamówień publicznych są jawne i podlegają udostępnianiu.  Niemniej jednak przepisy nie regulują szczegółowego sposobu i trybów udostępniania przedmiotowych umów.

Umowy w sprawach z zamówień publicznych nie zostały objęte obowiązkiem udostępniania w Biuletynie Informacji Publicznej, należy zatem przyjąć, że udostępniane są jedynie na wniosek – na zasadach określonych w ustawie o dostępie do informacji publicznej.

O sposobie udostępniania umów w sprawach z zamówień publicznych, zakresie informacji w tym informacji o danych osobowych podlegających  udostępnieniu napiszę już w kolejnym artykule na blogu.

 

Szkolenie ABI Warszawa

kopernika 30

W dniach 3 i 4 sierpnia odbyło się w Warszawie szkolenie dla ABI tj. administratorów bezpieczeństwa informacji. W tym miejscu pragnę serdecznie podziękować wszystkim uczestnikom, z którymi przez dwa dni szkoleniowe zgłębialiśmy tajniki prawa ochrony danych osobowych z uwzględnieniem nowych obowiązków ABI.

Sporo czasu poświęciliśmy na analizę nowych obowiązków ABI  w zakresie przeprowadzania  sprawdzeń zgodności przetwarzania danych oraz sprawozdawczości w tym zakresie. Studiowaliśmy nowe obowiązki na przykładowych dokumentach, co pozwoliło wyłapać różne niuanse w zakresie brzmienia czy interpretacji nowych przepisów.

Jak to bywa wśród praktyków co chwila wyłaniały się jakieś praktyczne zagadnienia z interesującego nas obszaru z różnych branż. Okazuje się, że w zależności od branży przetwarzanie danych osobowych wygląda nieco odmiennie. Przepisy jednak wszystkich obowiązują te same a kwalifikacje prawne nie zawsze są oczywiste.

Czy dane osobowe osób składających podania do spółdzielni podlegają ochronie, czy są zbiorem lub w jaki sposób wspólnota mieszkaniowa powinna podejmować uchwały lub może jak chronić kontrahentów w zamówieniach publicznych. To tylko nieliczne z rozważanych zagadnień.

W bardzo miłej atmosferze udało się dyskutować i rozważać poszczególne przypadki przetwarzania i ochrony danych osobowych. Reprezentacja różnych branż na szkoleniu była o tyle cenna, że pozwoliła uczestnikom zyskać ogląd na problem przetwarzania danych poza swoim własnym podwórkiem.

Bardzo cenne dwa dni pracy i nauki dla uczestników ale i dla mnie jako szkoleniowca, który miał możliwość konfrontacji z różnorodnością problematyki w interesującej dziedzinie.

 

Wiadomo, że zbiór danych osobowych to w świetle ustawy posiadający strukturę zestaw danych o charakterze osobowym dostępny według określonych kryteriów niezależnie od tego czy zestaw ten jest rozproszony czy podzielony funkcjonalnie.

Tyle definicja. W praktyce jest to jedno z trudniejszych zagadnień a w szczególności tam, gdzie zbiorów jest bardzo wiele jak np. w administracji publicznej. Do rozstrzygnięcia pozostaje  kwestia czy mamy do czynienia z jednym dużym zbiorem i w jego obrębie mniejszymi podzbiorami czy wieloma odrębnymi zbiorami.

Jeden czy wiele zbiorów ma to o tyle znaczenie, iż zbiór danych osobowych podlega rejestracji w rejestrze GIODO lub też wykazywać go musi powołany i zarejestrowany administrator bezpieczeństwa informacji. Wykaz zbiorów musi również zawierać dokumentacja związana z przetwarzaniem danych osobowych. Ustawa o ochronie danych osobowych czasami też różnicuje obowiązki związane z przetwarzaniem danych osobowych przetwarzanych w zbiorze lub poza nim.

W zakresie zasygnalizowanej wyżej problematyki związanej z identyfikacją zbiorów danych osobowych nie ma jednolitej praktyki. Znajdujemy również nie zawsze spójne stanowiska urzędu oraz orzecznictwo sądowe.

I tak na przykład w jednym z wyroków sąd stwierdził, iż dane osobowe gromadzone w umowach kupna- sprzedaży i dane osobowe zawarte w systemie informatycznym o nazwie „Symfonia 2006 r.”, trzeba traktować jako zbiór danych wówczas, gdy zawierają te same, wspólne dane klientów (choć gromadzone w innym celu, na potrzeby podatkowe i realizacji umów cywilnoprawnych). W świetle tego orzeczenia dane osobowe przetwarzane w rejestrze umów oraz w systemie informatycznym to ten sam zbiór klientów.

Z kolei na stronie internetowej GIODO czytamy, iż dla realizacji różnych celów konieczne będzie przetwarzanie danych osobowych w różnych zakresach, a to oznacza, że zgłoszenie zbioru do rejestracji dotyczy de facto nie jednego, lecz kilku zbiorów prowadzonych w różnych celach.

Jak widać zgodności nie ma. Sprawę komplikuje dodatkowo fakt przetwarzania danych w rozbudowanych systemach informatycznych z wieloma modułami obsługującymi, w którym każdy moduł przetwarza dane w innym celu np. cele księgowo-podatkowe, ewidencyjne, rozliczeniowe, windykacyjne itd. Nawet tradycyjne zbiory w postaci wszelakich rejestrów, ksiąg, ewidencji zawsze będą przetwarzały dane w innym celu oraz w innym zakresie np. rejestr członków spółdzielni i rejestr aktów notarialnych itd. Nie oznacza to przecież automatycznie, że wielomodułowy system informatyczny przetwarza wiele zbiorów.

W związku z powyższym jak to w życiu bywa odpowiedzi nie ma ani jednej ani prostej i każdy przypadek trzeba badać indywidualnie. Wiem, że to nie łatwe dla praktyków np. ABI, którzy muszą  zbiory identyfikować, rejestrować i jeszcze w świetle prawa ponosić za to odpowiedzialność.

Na koniec powiem tylko, że każdą swoją decyzję np. w zakresie ustalenia wykazu zbiorów trzeba umieć uzasadnić logicznie i z poparciem odpowiednią podstawą prawną, stanowiskiem doktryny prawniczej czy orzecznictwa. To daje pewność, że ABI ma odpowiednią wiedzę, której się od niego wymaga, nie działa intuicyjnie, ale w oparciu o prawo, poglądy doktryny czy orzecznictwo.

 

Szkolenie ABI pod znakiem Neptuna

Mimo środka wakacji i okresu ogórkowego udało się zebrać grupę osób zdeterminowanych by dwa dni z rzędu zgębiać tajniki wiedzy o ochronie danych osobowych. Szkolenie w Centrum Konferencyjnym Kopernika w Warszawie oraz w sali Neptun już na wstępie zagrzewa do naukowego boju.

A bój jak wiadomo się toczy na arenie ochrony danych osobowych. Po niedawnej nowelizacji ustawy o ochronie danych osobowych i podniesieniu rangi ABI, musi on okiełznać spienione fale przepisów prawnych i mężnie stawić im czoła.

Jestem pewna, że po dwudniowej batalii ze mną w sali Neptun nie będzie dla ABI problemów nie do pokonania w obszarze ochrony danych osobowych, za który jest odpowiedzialny.

W związku z nowymi przepisami o ochronie danych osobowych dotyczącymi administratorów bezpieczństwa informacji (ABI) dyskusje w większości koncentrują się wokół ABI, ich praw, obowiązków czy odpowiedniego poziomu wiedzy.

Jak dużą rangę przypisuje się sie nowym przepisom w zakresie wymagania odpowiedniej wiedzy ABI świadczy choćby powołanie przez Instytut Nauk Prawnych PAN w porozumieniu  z GIODO studiów podyplomowych dla administratorów bezpieczeństwa informacji.

Oznacza to, iż wszystko zmierza w kierunku kształtowania się nowego zawodu, którego zdobycie będzie wymagało odpowiednich nakładów ze strony osób, które zapragną go wykonywać. Do przeszłości należeć będą sytuacje, gdy ABI był przypadkową osobą z powierzchowną wiedzą w zakresie przepisów ochrony danych osobowych.

Paradoksalnie zwiększenie wymagań w stosunku do profesjonalnego ABI nie pozostaje bez wpływu na całą resztę administratorów danych osobowych czyli wszelkich podmiotów przetwarzających dane osobowe w celach zarobkowych a którzy nie powołają ABI. Bowiem w przypadku, gdy administrator danych nie powoła ABI sam będzie zobowiązany wykonywać jego obowiązki z małymi wyjątkami.

Podniesienie rangi ABI oraz wymagań wobec niego jest związane z szeregiem nowych obowiązków związanych z zapewnieniem zgodności przetwarzania danych osobowych. Z uwagi na te obowiązki wielu administratorów danych osobowych nie zdecydowało się na formalne powołanie oraz rejestrację ABI.

Oznacza to, że cała rzesza administratorów danych osobowych we własnym zakresie, bez pomocy ABI będzie zobowiązana zapewnić zgodność przetwarzania danych.

W związku z powyższym w organizacjach, gdzie nie powołano ABI równolegle odbywa się organizowanie alternatywnego dla ABI modelu zapewnienia zgodności przetwarzania danych. Związane jest to z wyznaczaniem osób i delegowaniem im tak naprawdę obowiązków ABI.

W świetle znowelizowanych przepisów z ABI czy bez niego administrator danych osobowych musi dostosować swoją firmę do nowych regulacji w zakresie wypełniania nowych obowiązków. Niepowołanie ABI bowiem nie powoduje w żadnym razie uwolnienia się od nowych zadań.

W mojej ocenie szczególnie w tych firmach, bez ABI, niezbędne jest zapewnienie przeszkolenia osób, kóre zostaną wyznaczone do wypełniania jego obowiązków. Nie można usypiać czujności niepowołaniem ABI. Nowa regulacja dotyczy wszystkich. Obowiązków w zakresie zewpnienia zgodności przetwarzania danych osobowych jest więcej, są to nowe obowiązki i z wypełniania tych obowiązków będą rozliczane osoby, które zostały przez kierownictwo wyznaczone do ich wypełniania.

Odpowiednie szkolenie osób odpowiedzialnych za wykonywanie nowych obowiązków w firmie bez ABI jest tym bardziej istotne. Bowiem w firmach z powołanym ABI pewny jest wzrost poziomu ochrony danych osobowych . Każda firma, która powołała lub powoła  ABI jest zobowiązana zapewnić mu odpowiednie środki niezbędne do należytego wykonywania zadań. Takie firmy wysyłają pracowników na szkolenia czy na wspomniane na wstępie studia podyplomowe.

W konsekwencji w firmach z ABI w większości przypadków panował będzie profesjonalny model zapewniania zgodności przetwarzania danych osobowych. Oznacza to, że ogólne standardy zapewniania zgodności przetwarzania danych osobowych, dla wszystkich administratorów wzrosną. Aby im sprostać nawet, jeśli nie jesteś oficjalnie ABI, ale Twój prezes wyznaczył Cię do wykonywania jego obowiązków, musisz mieć wiedzę nie mniejszą niż ABI powołany oficjalnie. Masz  prawie takie same obowiązki do wykonania. Musisz  uświadamiać to swoim zwierzchnikom, którzy nie zawsze to, co wiem z praktyki rozumieją.

Dla wszystkich nieformlanych ABI czyli pracowników IT, kadr i innych, pragnących posiadać należyty poziom wiedzy, nieodbiegający od profesjonalnych ABI będę prowadziła dedykowane szkolenie w dniu 3 sierpnia w Warszawie, na które serdecznie zapraszam.

 

Studenci na salach szpitalnych, podczas zabiegów medycznych to w szpitalach akademickich codzienność. Z jednej strony to dobrze, bo młodzież poznaje zawód w praktyce a z drugiej związane jest  uczestniczeniem w procesie leczenia osób, których udział nie jest w tym procesie niezbędny. Dodatkowo udział grupy studentów podczas udzielania świadczeń medycznych może krępować pacjenta czyli negatywnie wpływać na sferę jego prywatności.

Przepisy, które umożliwiały przekazywanie informacji o pacjencie, jeśli było to niezbędne dla praktycznej nauki zawodów lub celów naukowych, zostały uchylone. Unormowanie to miało zastosowanie np. w placówkach zajmujących się działalnością dydaktyczną (szpitale kliniczne wyższych uczelni medycznych) oraz dla potrzeb przygotowywania prac naukowych.

W okresie obowiązywania omawianej regulacji wskazywano, iż uchylenie tajemnicy w zakresie kształcenia powinno być poprzedzone poinformowaniem chorego, przyjmowanego do takiej placówki, że w związku z jej dydaktyczną działalnością może dojść do naruszenia sfery jego prywatności. Z kolei udostępnianie danych na potrzeby naukowe warunkowane było w literaturze ich anonimizacją.

Aktualnie brak wyraźnej podstawy uprawniającej do uchylenia tajemnicy w omawianych przypadkach. Uchylenie tej regulacji w praktyce przysparza wielu problemów. Niekiedy nie można dokonać anonimizacji tych informacji.Poza tym, w niektórych przypadkach niezbędne jest również zaprezentowanie wizerunku pacjenta np. jeśli posiada on zmiany chorobowe na twarzy. Całkowita anonimizacja w takich sytuacjach wydaje się niemożliwa.

Stąd też trzeba będzie poszukiwać innej podstawy ujawnienia tajemnicy. Przede wszystkim, konieczne będzie każdorazowe wyjednanie zgody pacjenta, który zgodnie z prawem może upoważnić lekarza do takiego naruszenia chronionej jego sfery.

Szkolenie ABI 3-4 sierpnia Warszawa

Ilość odwiedzin mojego bloga bije rekordy. Najwięcej odsłon mają strony z poradnikiem oraz dotyczące szkoleń. Wiele osób zamawia bezpłatny poradnik ABI. To wszystko oznacza, że 30 czerwca zbliża się wielkimi krokami i data ta traktowana jest bardzo poważnie w szczególności przez ABI.

Mimo, iż nowe przepisy dotyczą wszystkich administratorów danych, przełomowe regulacje odnoszą się przede wszystkim do administratorów bezpieczeństwa informacji czyli ABI. W związku z tym ABI dotychczasowi ale i nowo powołani szukają informacji dotyczących nowych przepisów i ich interpretacji. Szukają też szczegółowych informacji odnośnie ochrony i przetwarzania danych osobowych, gdyż za chwilę będzie od nie wymagana wiedza ekspercka.

Poziom wiedzy ABI jest bardzo różny od najwyższej po zupełnie przeciętną czy początkujacą. Jednakże prawo wymaga, aby poziom ten był w miarę wyrównany, gdyż stawia wszystkim ABI te same wymagania i nakłada takie same obowiązki i wszyscy tak samo będą rozliczani z ich wykonywania.

W odpowiedzi na palącą potrzebę podnoszenia wiedzy w zakresie ochorny danych osobowych zapraszam wszystkich zainteresowanych na szkolenie ABI w Warszawie, 3-4 sierpnia 2015 r. z możliwością wyboru opcji szkolenia dla początkujących oraz zaawansowanych.

Szkolenie jest niezbędne przede wszystkim dla początkujących, którzy bez rzetelnych podstaw nie mają szans, aby sprostać obowiązkom wynikającym z nowych regulacji prawnych. Szkolenie, które na konkretnych przykładach przybliża nie zawsze łatwą materię prawną będzie również pożyteczne dla ABI zaawansowanych.

W przypadku, jeśli administrator danych nie zdecydował się na powołanie ABI w świetle prawa sam będzie zobowiązany do ich wykonywania. W praktyce administrator danych z reguły deleguje  takie zadania na innych pracowników, którzy nie mając statusu ABI będą jednak odpowiedzialni za obszar ochrony danych osobowych w jednostce. Do tych osób również kierowane jest moje szkolenie, gdyż są to tak naprawdę z małymi wyjątkami indentyczne obowiązki.

Zapraszam na szkolenie. Zapisy przyjmuję drogą elektroniczną na adres kancelaria@przetwarzaniedanych.pl., również szczegółowy program osobom zainteresowanym szkoleniem przesyłam drogą mailową.