ABI powinien mieć wsparcie

Ostatnia nowelizacja ustawy o ochronie danych osobowych wyśrubowała wymagania wobec ABI. Rozbudowany katalog zadań doprecyzowanych w przepisach wykonawczych dowodzi, iż ustawodawca chce by była to osoba o wiedzy eksperckiej. Taki kierunek będzie się utrzymywał, bowiem przepisy procedowanego właśnie w organach Unii rozporządzenia w sprawie ochrony danych osobowych, utrzymają ten kierunek.

Jednak większość administratorów danych nie przyjmuje tego do wiadomości. Mamy wskutek tego sytuacje, że obowiązki ABI są traktowane jako dodatkowe, wykonywane niejako przy okazji wykonywania innych, tych właściwych i ważniejszych obowiązków. W niedużych organizacjach to się może nawet sprawdzić, jednak w większych czy takich, gdzie przetwarzanie danych osobowych jest kluczową sferą działalności, nie powinno to mieć miejsca.

ABI radzą sobie jak mogą, adaptują się do nowych regulacji, dokształcają, szukają dobrych źródeł wiedzy czy czasami też konkretnego wsparcia. Jednak fakty są takie, że często ABI pozostawieni są samym sobie, że administratorzy danych nie zapewniają im należytego wsparcia.

Zgłaszają się do mnie ABI, którzy takiej właśnie pomocy szukają i wspólnie razem udaje się nam stworzyć dobre, pożyteczne rozwiązania, tak potrzebne w natłoku obowiązków służbowych ABI a także wobec presji czasu a także wymagań przełożonych. Czasami takie właśnie dobre praktyki są nieodzowne, aby tym wszystkim obowiązkom sprostać a jednocześnie wywiązać się z nich należycie. I to właśnie dzięki ABI, z którymi mam przyjemność współpracować poznaję jakie ABI mają potrzeby i jakie praktyczne rozwiązania mogą tym potrzebom sprostać.

Poradnik ABI nowy numer już dostępny

Nowy numer Poradnika ABI jest już dostępny.

W nowym numerze szczegółowo omawiana jest kwestia powierzenia danych do przetwarzania. Instytucja powierzenia nabiera coraz większego znaczenia. Jest to związane z powszechnym zlecaniem różnych usług na zewnątrz.

Wiele małych, ale i większych przedsiębiorców decyduje się korzystać z usług firm zewnętrznych i cedować na nie cześć swoich obowiązków. Najczęściej zlecana na zewnątrz jest obsługa księgowo-kadrowa, wsparcie IT, marketing, ale i inne.

Z tymi typowymi usługami związana jest konieczność powierzenia danych osobowych swoich klientów, pracowników czy kontrahentów. Coraz większa świadomość w sferze ochrony danych osobowych sprawia, że przedsiębiorcy szukają informacji na temat powierzenia, które byłoby zgodne z prawem.

Temu zagadnieniu więc nowy poradnik poświęca wiele miejsca. Omawiane są szczegółowe przypadki powierzenia takie jak powierzenie danych przez wspólnotę mieszkaniową, powierzenie w celach windykacyjnych, powierzenie w przypadku hostingu.

Omawiam też kwestię podpowierzenia czyli sytuacji, w której to główny procesor dla realizacji zleconych mu usług korzysta z podwykonawców czyli podpowierzających. Zagadnienie to jest o tyle trudne, że nie zostało uregulowane wprost w przepisach prawa ochrony danych osobowych. Należy więc dokonać oceny i kwalifikacji prawnej tego rozwiązania w oparciu o przepisy obowiązujące, co może być trudne dla osób nie posiadających wykształcenia prawniczego.

No i na koniec rzecz, która niedługo stanie się, w sferze ochrony danych osobowych, najważniejsza a więc reforma ochrony danych osobowych. Omawiam pierwsze instytucje, które legły u podstaw nowego prawa takie jak podejście oparte na ryzyku, ocena wpływu na ochronę danych czy pseudonimizację.

Szczegółowy spis treści nowego numeru  i warunki nabycia znajdziesz Tutaj.

Podejście oparte na ryzyku czyli Risk Based Approach

Rozporządzenie unijne w sprawie ochrony danych osobowych osób fizycznych weszło w fazę trilogu, co oznacza, że doszło do ostatniego etapu legislacyjnego, który lada moment powinien zakończyć się przyjęciem ostatecznego tekstu.

Przyjęcie rozporządzenia rozpocznie dyskusję nad nim, gdyż część wprowadzanych rozwiązań nie występuje w dotychczasowym systemie prawa ochrony danych osobowych.

Dzisiaj chciałabym wspomnieć o podejściu opartym na ryzyku. Aktualnie polska ustawa o ochronie danych osobowych nie zna takiego podejścia i wszystkich administratorów danych osobowych traktuje równo to znaczy nakłada na nich takie same obowiązki. Większość małych administratorów danych osobowych uważa, iż obowiązki te są przesadą w stosunku do skali ich działalności.

Każdy administrator danych osobowych powinien przetwarzać dane z poszanowaniem wszystkich zasad ustalonych w przepisach prawa, zapewnić odpowiednie środki techniczne oraz organizacyjne w celu zabezpieczenia danych przed nieupoważnionym dostępem, prowadzić szczegółową dokumentację przetwarzania danych osobowych.

Obowiązków jest sporo, dodatkowo realizacja tych wszystkich obowiązków w sposób zgodny z prawem nie jest zadaniem łatwym, jeśli nie posiada się specjalistycznej wiedzy w zakresie ochrony danych osobowych. Wszystko to oraz dodatkowo brak właściwie brak sankcji za niestosowanie zasad powoduje, iż większość małych administratorów w swojej działalności w zasadzie nie uwzględnia prawa ochrony danych osobowych.

Rozporządzenie ustanawia mechanizmy mające na celu różnicowanie ryzyka związanego z przetwarzaniem danych osobowych przez poszczególnych administratorów danych osobowych. Jednym z takich mechanizmów jest podejście oparte na ryzyku czyli risc based approach.

Koncepcja risk based approach sprowadza się do uzależnienia zakresu obowiązków nałożonych na administratora danych od specyfiki przetwarzania danych w organizacji tego administratora oraz od ryzyka, jakie może wiązać się z ewentualnym naruszeniem bezpieczeństwa danych.

Koncepcja, która ma być ułatwieniem dla małych i średnich administratorów danych osobowych jednocześnie jest obowiązkiem dla tych właśnie administratorów przeprowadzenia takiej wstępnej analizy ryzyka. Biorąc jednak pod uwagę, że przeprowadzenie takiej analizy wymaga specjalistycznej wiedzy,  wykonanie tego obowiązku bez wsparcia specjalistów, może być po prostu niemożliwe.

Ochrona danych osobowych w spółdzielni mieszkaniowej – poradnik

Spółdzielnie mieszkaniowe to administratorzy danych przetwarzający zazwyczaj bardzo duże ilości danych osobowych w związku ze swoją działalnością statutową. Głównym celem działania spółdzielni mieszkaniowej jest zaspakajanie potrzeb mieszkaniowych jej członków przez dostarczanie członkom samodzielnych lokali mieszkalnych lub domów jednorodzinnych, a także lokali o innym przeznaczeniu.

W Spółdzielni znajdują się dane osobowe członków Spółdzielni, osób niebędących członkami, którym przysługuje tytuł prawny do lokalu znajdującego się w zasobach Spółdzielni, dane osobowe najemców, osób zajmujących lokal bez tytułu prawnego, dane osobowe kontrahentów, dane osobowe pracowników czy też inne jeszcze dane. Są to min.:

  • dane  identyfikacyjne takie jak imię, nazwisko, numer pesel, adres zamieszkania, numer telefonu, adres e-mail,
  • informacje dotyczące tytułu prawnego do lokalu (określenie rodzaju prawa do lokalu)
  • informacje związane z rozliczaniem kosztów związanych z eksploatacją i utrzymaniem lokalu oraz nieruchomości wspólnych,
  • informacje związane z windykacją należności (m.in. wykaz zadłużeń, analiza dłużnika, wezwania do zapłaty, naliczanie odsetek) i inne.

Spółdzielnia przetwarza dane osobowe w zbiorach w szczególności przy pomocy dedykowanych systemów informatycznych. Jako administrator danych spółdzielnia jest podmiotem odpowiedzialnym za przetwarzanie danych zgodnie z przepisami o ochronie danych osobowych.

Ważną kwestią jest obowiązek zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych czyli obowiązek ich przeszkolenia. Jest to o tyle ważne, że od osób upoważnionych odbierane są oświadczenia o zachowaniu tajemnicy i zapoznaniu z zasadami ochrony danych osobowych wraz z pouczeniem o odpowiedzialności w przypadku niedochowania tajemnicy.

Osoby upoważnione do przetwarzania powinny więc dysponować wiedzą na temat zasad ochrony danych osobowych w spółdzielni. Zapoznanie osób upoważnionych może nastąpić w ramach wewnętrznie prowadzonych szkoleń, przez udostępnienie szkoleń e-learningowych czy dedykowanych spółdzielniom poradników.

W celu spełnienia obowiązku w zakresie zapoznania osób upoważnionych z zasadami ochrony danych zachęcam do zapoznania się z ofertą poradnika “Ochrona danych osobowych w spółdzielniach mieszkaniowych”, który w prosty i przejrzysty sposób omawia wszystkie najważniejsze zagadnienia z zakresu prawa ochrony danych osobowych z odniesieniem do branży spółdzielczej.

Szczegółowa oferta tutaj.