Pierwsze wyniki sprawdzeń ABI

Są już pierwsze wyniki ze sprawdzeń ABI. Sprawdzenia zostały przeprowadzone w bankach i przede wszystkim wykazały błędy w formułowaniu treści klauzul zgody.

Okazuje się, w treści jednej klauzuli łączone są zgody na przetwarzanie marketingowe, przesyłanie informacji handlowych drogą elektroniczną oraz używanie telekomunikacyjnych urządzeń końcowych. Do tego dochodzi jeszcze łączenie zgód na przetwarzanie w celach własnych i podmiotów trzecich.

Zgoda na przetwarzanie danych nie może mieć charakteru abstrakcyjnego, lecz winna odnosić się do skonkretyzowanego stanu faktycznego, obejmując tylko określone dane oraz sprecyzowany sposób i cel ich przetwarzania. Osoba nie może być  wprowadzona w błąd. Jeżeli zatem oświadczenie woli dotyczyć ma różnych celów przetwarzania, zgoda powinna być wyrażona wyraźnie pod każdym z tych celów przetwarzania.

Chodzi o to, aby osoba, której dane dotyczą miała swobodę wyboru wyrażenia zgody na przetwarzanie jej danych osobowych w różnych celach. Zgoda nie może być wymuszona.

Jak poradzili sobie ABI ze sprawdzeniami i sprawozdaniami z nich. Czytamy więc:

Treść sprawozdań wskazywała także na niepełną wiedzę ABI w zakresie ochrony danych osobowych niezbędną do sporządzenia sprawozdania ze sprawdzenia, w szczególności w zakresie zgromadzenia adekwatnych dowodów w stosunku do istniejącego stanu faktycznego.”

i kolejna ciekawostka:

Spośród 20 administratorów bezpieczeństwa informacji, którzy dokonali sprawdzenia przetwarzania danych osobowych przez banki w zakresie marketingu kierowanego do klientów oraz osób nie będących klientami banków, tylko jeden z nich stwierdził naruszenie przepisów o ochronie danych osobowych, mimo iż w wielu przypadkach ustalenia dokonane przez administratorów bezpieczeństwa informacji w toku sprawdzeń dawały podstawę do stwierdzenia takich uchybień

Czy mnie to dziwi? A więc nie dziwi zupełnie. W środowisku od początku nowelizacji uodo mówiło się, że sprawozdania ABI dla GIODO to będą laurki, co aktualne wyniki potwierdziły.

Pełen raport w powyższym temacie znajdziesz Tutaj.

Czy Inspektor Danych Osobowych będzie “świętą krową”

Inspektor Ochrony Danych (IOD) w świetle prawa  nie może być odwoływany ani karany przez administratora ani podmiot przetwarzający za wypełnianie swoich zadań.

Jest to w mojej ocenie dość niejasne sformułowanie. Czytając zapis literalnie administrator danych nie może odwołać IOD z funkcji czy w jakikolwiek sposób ukarać za wypełnianie przez niego zadań, ale co, gdy IOD wykonuje zadania nieprawidłowo czy wręcz źle. Czy to oznacza, że przyszły IOD będzie miał status nietykalnej “świętej krowy”.

W wytycznych dotyczących IOD opublikowanych przez Grupę Art. 29 d/s Ochrony Danych czytamy:

“Zgodnie z normalnymi regułami, przepisami karnymi i prawa pracy, jak w przypadku każdego innego pracownika, IOD może zostać odwołany w uzasadnionych sytuacjach z przyczyn innych niż wykonywanie obowiązków IOD (np. kradzież, nękanie fizyczne i psychiczne, molestowanie seksualne, ciężkie naruszenie obowiązków).”

W mojej ocenie, jeśli IOD będzie pracownikiem administratora danych będzie on podlegał takim samym regułom oceny jak inni pracownicy określonym w kodeksie pracy również w zakresie prawa pracodawcy do rozwiązania stosunku pracy tak za wypowiedzeniem jak i bez wypowiedzenia.

Sformułowany w treści rozporządzenia zakaz odwoływania oraz karania przez administratora oraz podmiot przetwarzający za wypełnianie swoich zadań należy interpretować w kontekście w/w wspomanianych wytycznych. Przykładowo  “IOD może uznać określone przetwarzanie za wysoce ryzykowne i zalecić administratorowi lub podmiotowi przetwarzającemu, ale administrator lub podmiot przetwarzający nie zgadza się z oceną IOD. W takiej sytuacji IOD nie może zostać odwołany ani karany za udzielenie określonego zalecenia.”

Nie zmienia to faktu, że pracodawca czyli podmiot powołujący IOD nie zostaje pozbawiony prawa oceny jego pracy  i wyciągania wniosków co do jakości tej pracy czy wręcz wyciagania konsekwencji związanych z nienależytym wykonywaniem obowiązków przez Inspektora.

W świetle rozporządzenia skoro to adminstrator danych powołuje IOD jak również weryfikuje komptencje IOD do pełnienia tej funkcji to oczywistym w mojej ocenie jest korelat tego uprawnienia tj. prawo do oceny jakości pracy IOD jak również prawo do rozliczania go w przypadku niewłaściwego wykonywania tychże obowiązków.

Zważywszy na fakt, że wykwalifikowany IOD ma stanowić fundament dla przestrzegania przepisów RODO w organizacji oraz zważywszy na fakt, że odpowiedzialność za to przestrzeganie spoczywa na ADO nie sposób sobie wyobrazić, aby ADO nie posiadał prawa do odwołania inspektora w przypadku braku oczekiwanych kompetencji oraz doświadczenia.

Inspektor Ochrony Danych Osobowych nie może być figurantem

O wiedzy fachowej Inspektora Ochrony Danych osobowych pisałam Tutaj, kładąc nacisk na wysoki poziom tej wiedzy.

Już po napisaniu artykułu zadzwonił do mnie ABI zaznaczając, że jest świeżo nominowanym ABI, z pytaniem o poradnik dla początkującego ABI. Ów ABI został najpierw powołany i dopiero potem rozpoczął zdobywanie wiedzy niezbędnej dla wykonywania obowiązków.

Czy osoba, tak jak w tym przypadku nie dysponująca od początku odpowiednią wiedzą, jest w stanie zapewnić zgodność przetwarzania danych osobowych z przepisami o ochronie danych osobowych, czy podoła wyzwaniom stawianym przez nowe prawo ochrony danych osobowych, czy wreszcie administrator danych zapewni mu środki i narzędzia niezbędne do należytego wykonywania tych zadań. Mam spore  wątpliwości.

Powoływanie ABI w taki, jak opisany wyżej, sposób jest kolejnym dowodem na ignorancję administratorów danych w sferze prawa ochrony danych osobowych. A co tam powołamy sobie ABI a potem będziemy go szkolić lub sam się będzie szkolił, najlepiej w internecie.

W aktualnym stanie prawnym nie ma obwiązku powoływania ABI, po co więc powoływać ABI, który nie dysponuje odpowiednią wiedzą i doświadczeniem. Niewykluczone, że administratorzy danych powołują ABI w przeświadczeniu istnienia takiego obowiązku.

Zadziwiający jest też fakt, że osoby często przypadkowe nie mające odpowiedniej wiedzy a bywa, że żadnej wyrażają zgodę na pełnienie funkcji ABI i przyjmują związaną z tym odpowiedzialność.

Trudno wyobrazić sobie, aby na stanowisko głównego księgowego pracodawca zatrudnił osobę, która nie ma odpowiedniego wykształcenia, doświadczenia i wiedzy. Trudno też sobie wyobrazić, aby jakikolwiek pracownik przyjął na siebie obowiązki głównego księgowego nie mając wcześniej do czynienia z księgowością.

Jednak okazuje się z funkcją ABI jest inaczej i gdy szef wskazuje jakiegoś przypadkowego pracownika jako kandydata na ABI to pracownik ów taką ofertę przyjmuje, może i  nie do końca chętnie, ale się godzi. Czasami wręcz uważa, że może to być dla niego korzystne i wzmocni jego pozycję w firmie a czasami ne ma wyboru.

W aktualnym stanie prawnym nie ma obowiązku powołania ABI i nie należy tego czynić wybierając  przypadkową osobę do pełnienia tej funkcji. W szczególności z uwagi na nowe prawo ochrony danych osobowych, które już wkrótce wejdzie w życie a  które wymusi zmianę stosunku administratorów danych do obowiązków w zakresie ochrony danych osobowych.

ABI to przyszły Inspektor Danych Osobowych i w świetle nowego prawa ma stanowić fundament nowego, skutecznego systemu ochrony danych osobowych. Jednakże solidny fundament oznacza przede wszystkim odpowiednią wiedzę i doświadczenie.

Rozpoczęcie stosowania, od 25 maja 2018 r., przepisów ogólnego rozporządzenia o ochronie danych (RODO) oznacza, że obowiązki i odpowiedzialność administratorów danych za zgodne z prawem przetwarzanie danych osobowych znacznie się zwiększą.

Tym zaś, którzy nie będą respektowali nowych zasad ochrony danych, grozić będą wysokie kary finansowe. Stąd też sprostanie nowym wymogom, m.in. dzięki wsparciu kompetentnego inspektora ochrony danych, mającego zarówno bogatą wiedzę teoretyczną, jak i konkretne umiejętności praktyczne, nabiera coraz większego znaczenia.

Jednakże świadomośc powyższego jest jeszcze wśród przedsiębiorców bardzo słaba, stąd w dalszym ciągu przypadkowe powołania ABI, którzy nie są oraz nie będą w stanie zapewnić wymaganej przez przepisy RODO  zgodności przetwarzania danych.

Odpowiedzialność za niestosowanie lub nieprawidłowe stosowanie RODO i konsekwencje w postaci kar finansowych spocznie na administratorach danych a nie osobach sprawujących funkcje Inspektora Danych Osobowych.

W wytycznych Grupy Roboczej Art. 29 dotyczących DPO czytamy:

“Choć artykuł 37(5) nie wskazuje konkretnych kwalifikacji zawodowych, jakie należy brać pod uwagę wyznaczając DPO, to jednak istotne jest, by DPO posiadał odpowiednią wiedzę z zakresu krajowych i europejskich przepisów o ochronie danych osobowych i praktyk, jak również dogłębną znajomość RODO

i dalej

Zalecana jest również wiedza biznesowa i sektorowa dotycząca administratora. DPO powinien również posiadać odpowiednią wiedzę na temat procesów przetwarzania danych, systemów informatycznych oraz zabezpieczeń stosowanych u administratora i jego potrzeb w zakresie ochrony danych”.

Jak widać powyżej wymagania wobec przyszłego DPO są duże w szczególności w zakresie znajomości przespisów o ochronie danych osobowych tak europejskich jak i krajowych. Tutaj wymagana jest dogłębna znajomości.

Zalecana jest również wiedza w zakresie przetwarzania danych w systemach informatycznych oraz stosowanych zabezpieczeń u administratora danych. Nie oznacza to w mojej ocenie, że DPO musi zdobyć szczegółową czy techniczną wiedzę dotyczącą  bezpieczeństwa systemów informatycznych czy znać treść norm regulujących te zagadnienia.

Ważne jest jednak, aby posiadł ogólną wiedzę teoretyczną oraz praktyczną dotyczącą przetwarzania danych w systemach informatycznych u administratora danych, potrafił dokonać kwalifikacji prawnej stosowanych sposobów przetwarzania danych w szczególności z zakresu nowych technologii.

Na koniec należy podkreślić, iż  w świetle RODO powołanie DPO także nie będzie obowiązkowe i nie należy tego czynić bez szczegółowej analizy  procesów przetwarzania danych osobowych u danego administratora ze szczególnym uwzględnieniem ryzyka tego przetwarzania dla praw i wolności osób fizycznych.

Inspektor Danych Osobowych ma konkretne przepisami określone zadania do wypełnienia. Nie jest i nie może być tylko figurantem pozorującym zgodność przetwarzania danych osobowych. Jego działania muszą być realne i skuteczne a administrator danych jest zobowiązany mu to umożliwić.

Powoływanie na stanowisko Inspektora Danych Osobowych osób niekompetentnych w świetle RODO będzie działaniem bardzo ryzykowanym, gdyż  nieprawidłowe wykonywanie zadań przez Inspektora to ryzyko kar finansowych dla administratora danych.

Wiedza fachowa Inspektora Ochrony Danych Osobowych (DPO)

Wiemy już, że dzisiejszego ABI zastąpi DPO czyli inspektor ochrony danych osobowych. Wprawdzie jego powołanie w organizacji nie w każdym przypadku będzie obowiązkiem, jednakże każdy administrator danych osobowych powinien przeanalizować ewentualną potrzebę powołania DPO w swojej organizacji.

Inspektor ochrony danych jest wyznaczany na podstawie kwalifikacji zawodowych, w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań.

Wymagany poziom wiedzy fachowej nie jest nigdzie jednoznacznie określony, ale musi być to poziom współmierny do charakteru, skomplikowania i ilości danych przetwarzanych w ramach jednostki.

Słowem poziom wiedzy DPO powinien być wprost proporcjonalny do poziomu skomplikowania przetwarzania danych w ramach danej jednostki. Wyższy poziom skomplikowania implikuje wyższy poziom fachowości ABI.

Rekrutacja odpowiedniego dla swojej organizacji DPO spoczywa na administratorze danych, który ponosząc odpowiedzialnośc za zagodność przetwarzania z prawem będzie musiał podołać i temu obowiązkowi.

Powołanie kompetentnego DPO to w mojej ocenie jedna z najważniejszych o ile nie najważniejsza czynność administratora danych osobowych, gdyż to DPO będzie stał na straży  zgodności przetwarzania danych osobowych z przepisami. I to od jego wiedzy, kompetencji oraz doświadczenia będzie zależał poziom zgodności przetwarzania w jednostce.

Z mojego doswiadczenia wynika, iż stan wiedzy z zakresu ochrony danych osobowych w większości firm jest bardzo niski. ABI w chwili obecnej jest chyba jedyną osobą w firmie, która ma jakąś wiedze na temat prawa i praktyk w dziedzinie ochrony danych osobowych. Niestety często nie jest to wiedza w mojej ocenie odpowiednia, z czego sami ABI doskonale zdają sobie sprawę.

W mojej ocenie odpowiednia wiedza i doświadczenie DPO jest jedną z najbardziej kluczowych kwestii nie tylko w kategoriach “być lub nie być”  DPO ale i “być lub nie być” dla administratora danych, który finalnie będzie finansowo odpowidał za błędy swojego DPO.

Reasumując wybór przez administratora danych osobowych DPO bez odpowiedniej wiedzy na temat prawa oraz praktyk w dziedzinie ochrony danych osobowych, może firmę bardzo dużo kosztować.

Dotychczas w polskim porządku prawnym dotyczącym ochrony danych osobowych brakowało tak naprawdę sankcji za brak zgodności przetwarzania danych osobowym z prawem. Brak sankcji przekładał się na stosunek administratorów danych do wymaganych prawem obowiązków, które w ogromnej mierze były lekceważone. Tak samo ABI to częściej osoba z tzw. “łapanki” z przypadkowego rozdania niż naprawdę świadomy wybór stąd braki w zakresie odpowiedniej wiedzy ABI.

Czas szybko mija, do 25 maja 2018 r. zostało już bardzo niewiele czasu ale jednocześnie na tyle dużo, żeby ABI, którzy na poważnie myślą o swojej przyszłości w tym zawodzie dołożywszy odpowiednich starań podniesili poziom swojej wiedzy tak, by był on odpowiedni na podjęcie nowych wyzwań w dziedzinie ochrony danych, a ADO w obawie przed konskewencjami braku tej wiedzy powinien  wysiłki swoich ABI aktywnie wspierać.

To się nazywa “wyjść przed szereg”…

Gdybym nie przeczytała tego w oficjalnym oświadczeniu na stronie GIODO to bym nie uwierzyła.

Moje prawdziwe zdumienie wywołała poniższa informacja podana na stronach GIODO:

W ostatnim czasie do Biura Generalnego Inspektora Ochrony Danych Osobowych wpływają sprawozdania z przygotowywanych przez administratorów bezpieczeństwa informacji (ABI) sprawdzeń planowych i doraźnych.

Oznacza to niestety, że ci ABI, którzy wysłali  sprawozdania do GIODO niewystarczająco znają przepisy ustawy o ochronie danych osobowych. Nie zdzwiłabym się zatem, gdyby w następstwie przesłanych (niepotrzebnie) sprawozdań GIODO zapragnął bliżej się przyjrzeć podmiotom, które takich ABI powołały.

Skąd w ogóle pomysł, aby sprawozdanie z wewnętrznego sprawdzenia stanu zgodności przesyłać do GIODO. Rzecz w tym, że w jednym, jedynym przypadku przepisy o ochronie danych osobowych przewidują obowiązek przedstawienia GIODO sprawozdania ze sprawdzenia.

Zgodnie z przepisami GIODO może zwrócić się do zarejestrowanego ABI o dokonanie sprawdzenia zgodności przetwarzania danych osobowych z przepisami prawa, u administratora danych, który go powołał. Po dokonaniu tego sprawdzenia ABI  przedstawia GIODO sprawozdanie, ale wyłącznie w tym przypadku.

Zasadą jest sprawdzanie przez ABI stanu zgodności przetwarzania danych z przepisami. Zasadą jest również opracowywanie sprawozdań z takich sprawdzeń. Jednak  zasadą jest również, że są to czynności wewnętrzne, tworzone na użytek danego podmiotu a nie dla GIODO. Poza przypadkiem, gdy GIODO sam zwróci się do ABI o dokonanie sprawdzenia.  Wówczas i tylko wówczas sprawozdanie z takiego sprawdzenia musi trafić do GIODO.

Jaki z tego morał. A no taki, że  niektórzy ABI niewystarczająco znają przepisy o ochronie danych osobowych czyli można im postawić zarzut braku odpowiedniej wiedzy, która z kolei jest jedną z ustawowych przesłanek  powołania i istnienia ABI.

Zdemaskowanie się przed GIODO ze swoją niewiedzą to w mojej ocenie trochę słabe jak na profesjonalnego ABI. Nie zdziwiłabym się kontrolom GIODO w  podmiotach, od których wpłynęły sprawozdania.

W następnym wpisie postaram się przedstawić warunek odpowiedniej wiedzy wymaganej od ABI, ale już w świetle rozporządzenia unijnego. Widać, że jest potrzeba pochylenia się nad tym jakże ważnym tematem.