Na kogo liczy GIODO…

Tym tajemniczym tytułem chcę rozpocząć kolejny wpis na moim blogu.

Zastanawiam się czy domyślasz się o kogo może chodzić. Sądzę też, że większość z czytelników mojego bloga się domyśla . No więc tak rzeczywiście macie rację chodzi o ABI.

Administrator bezpieczeństwa informacji a krótko mówiąc ABI jest od wielu miesięcy na językach wielu osób zaangażowanych w ochronę danych osobowych. Kim będzie i czy rzeczywiście GIODO ma wobec niego jakieś plany.

Krążące od miesięcy mity, że powołanie ABI oznacza narażenie się na kontrolę lub odwrotnie niepowołanie ABI to pewna kontrola GIODO i brak pewności która opcja okaże się prawdą.

Nowe przepisy tak naprawdę stworzyły ABI. Pisałam już na blogu, że takiego ABI jeszcze nie było. Wiele wątpliwości, podejrzliwość wobec ABI, który ma być “wtyczką” GIODO. No i niewiele do dzisiaj wiadomo, co tak naprawdę przyniesie przyszłość.

Mamy już  jednak pierwsze informacje płynące z biura GIODO. No więc na konferencji 18 września 2015 r.  dowiedzieliśmy się, że GIODO liczy na ABI, liczy, że będzie on łącznikiem pomiędzy organem a podmiotem, który ABI powołał. GIODO widziałby też ABIego, który jako pierwszy mógłby analizować skargi dotyczące nieprawidłowości w przetwarzaniu danych u administratora, który go powołał.

Do tego potrzebna jest jednak współpraca i wola ze strony administratorów danych, by wyznaczani oficerowie byli kompetentni. No właśnie moi drodzy GIODO chce mieć kompetentnych partnerów do współpracy, aby zająć się kontrolami tych, administratorów, którzy ABI nie powołali. Wychodzi bowiem z założenia, że poziom ochrony danych osobowych u podmiotów, które zdecydowały się na powołanie ABI jest wysoki.

ABI ma być kompetentny, ABI ma posiadać odpowiednią wiedzę, ABI ma być partnerem GIODO oraz jako pierwszy analizować skargi dotyczące działalności administratora, który go powołał. Wymagania takie wobec ABI oznaczają, że GIODO tego będzie wymagał odpowiedniej wiedzy w zakresie przepisów ochrony danych osobowych i będzie to weryfikował.

No więc nie ma przeproś trzeba się szkolić, trzeba się edukować, trzeba być na bieżąco, aby temu partnerstwu sprostać zwłaszcza w przeddzień wielkiej reformy prawa ochrony danych osobowych, która czeka całą Europę.

W ramach podnoszenia poziomu wiedzy niezbędnej do pełnienia funkcji możesz nabyć mój poradnik o nowych obowiązkach ABI z najświeższymi informacjami po naukowej konferencji w GIODO wraz ze specjalnymi bonusami. Szczegóły przeczytasz tutaj.

Nowy poradnik dla ABI

Stworzyłam nowy, unikalny poradnik dla administratora bezpieczeństwa informacji (ABI). Poradnik poświęcony jest praktycznie w całości obowiązkom nałożonym na ABI w związku z ostatnią nowelizacją ustawy o ochronie danych osobowych. Poradnik będzie również bardzo pomocny dla osób, które formalnie nie nazywają się ABI, ale w praktyce wykonują w swojej organizacji obowiązki przypisane ABI. Te osoby również zachęcam do zapoznania się z nową publikacją.

Dlaczego warto go mieć?

Poradnik wyjaśnia oraz instruuje jak krok po krok wywiązać się z nowych obowiązków a jest ich nie mało. Podstawowym obowiązkiem jest sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych. Równie ważne są nowe obowiązki sprawozdawcze.

Czym jest sprawdzenie?

Przez sprawdzenie należy rozumieć czynności mające na celu zweryfikowanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych. Jedną z pierwszych czynności, do których zobowiązują ABIego przepisy jest sporządzenie planu sprawdzenia, ale to dopiero początek na drodze weryfikacji zgodności przetwarzania danych z przepisami.

Jakie czynności musi wykonać ABI, aby mieć pewność, że jego sprawdzenie prawidłowo weryfikuje stan przetwarzania danych osobowych. Od czego zacząć, jak sobie pracę uprościć czy zorganizować. Są to dylematy z którymi na codzień boryka się ABI.

Wzór planu sprawdzeń oraz sprawozdania dołączam do Poradnika.

Sprawozdanie jest o tyle ważne, że będzie stanowiło podstawową lekturę w przypadku kontroli GIODO. Umiejętność zgodnego ze sztuką sporządzania sprawozdania będzie więc poddana ocenie GIODO, który dysponuje prawem wykreślenia ABI z rejestru, w przypadku stwierdzenia, że ABI niewłaściwie wykonuje swoje obowiązki.

Poradnik odpowiada na nurtujące pytania, porusza wątpliwe kwestie i stara się je rozstrzygnąć.

A na koniec bonusy specjalne. Każdy nabywca poradnika co miesiąc (6 miesięcy) będzie otrzymywał ode mnie raport o stanie zaawansowania rozporządzenia unijnego jak również pogłębione opracowanie i omówienie jego najważniejszych instytucji. Będziesz więc zupełnie na bieżąco z prawem unijnym, które za chwilę obowiązywać będzie w Polsce. W każdym raporcie postaram się też zamieścić jakiś super temat np. omówię ciekawe orzeczenie czy zinterpretuję jakieś niszowe zagadnienie z zakresu ochrony danych. W każdym razie będzie to coś unikalnego.

A z ostatnim raportem otrzymasz ode mnie super niespodziankę. Uchylając rąbka tajemnicy powiem Ci, że oczywiście będzie to potężny zastrzyk wiedzy z zakresu ochrony danych osobowych. Jednak o szczegółach dowiesz się w swoim czasie pod warunkiem oczywiście złożenia zamówienia na nowy poradnik ABI.

Koszt prenumeraty materiałów przez 6 miesięcy to jedyne 49 złotych netto.

Poradnik_ABI_spis_tresci

Zamówienia można składać na adres: kancelaria@przetwarzaniedanych.pl

Oferta kierowana jest do Przedsiębiorców.

Rozporządzenie unijne w sprawie ochrony danych osobowych jeszcze w tym roku

Rozporządzenie unijne o ochronie danych osobowych znajduje się obecnie w fazie trilogu i po jego zakończeniu należy spodziewać się przyjęcia rozporządzenia jeszcze w tym roku.

Z punktu widzenia GIODO ważnym rozwiązaniem jest przyznanie organom ds. ochrony danych kompetencji do nakładania kar finansowych. Jest to niezbędne do skutecznej realizacji prawa do ochrony danych osobowych, które aktualnie jest słabo egzekwowane i często wręcz lekceważone.

W związku z finalizacją prac nad projektem unijnego rozporządzenia dotyczącego ochrony danych osobowych w GIODO powstała komisja, której zadaniem jest przygotowanie Polski do wdrożenia przepisów unijnych. Trwają także prace nad nowelizacją polskiej ustawy, tak by możliwość wprowadzenia kar finansowych wprowadzić wcześniej. Celem jest łatwiejsze przygotowanie się do nowych przepisów i płynniejsze ich wdrożenie.

18 września b.r w GIODO odbyła się konferencja naukowa poświęcona właśnie nowym przepisom prawa ochrony danych osobowych.

Podczas konferencji ze strony przedstawicieli GIODO  padły informacje, iż aktualnie GIODO będzie przeprowadzał kontrole dwiema drogami – poprzez sprawdzenia czyli kontrole ABI-ch oraz poprzez kontrole jednostek, w których taki urzędnik nie został wyznaczony lub nie działa.

O sprawdzeniu, jako nowym obowiązku ABI ale także administratora danych osobowych, który ABI nie powołał pisałam tutaj.

Według przedstawicieli GIODO brak powołania w jednostce ABI może stanowić domniemanie, iż poziom ochrony danych osobowych w tych jednostkach jest niewystarczający. Kontrole mogą być też przeprowadzane w podmiotach, które mają ABI-ego, jeśli zaistnieją przesłanki świadczące, iż przetwarzanie danych jest niewłaściwe.

Po wejściu w życie nowych przepisów z początkiem roku wszyscy się zastanawiali kto będzie miał więcej kontroli czy firmy, które powołają ABI czy może te, które ABi nie powołają.

Z ostatnich doniesień wynika, że GIODO będzie kontrolował jednak bardziej tych, którzy oficjalnie ABI nie powołali. Jest to już jakieś stanowisko w sprawie niedawnej nowelizacji krajowej ustawy o ochronie danych osobowych.

Sprawdzanie zgodności przetwarzania danych jako nowy obowiązek

Z początkiem nowego roku weszły w życie nowe przepisy o ochronie danych osobowych. Nowelizacja dotyczy przede wszystkim administratora bezpieczeństwa informacji i określa jego status, zadania, wymagania. ABI ma zapewniać przestrzeganie przepisów o ochronie danych osobowych w swojej firmie. Jednak powołanie ABI jest prawem a nie obowiązkiem administratora danych osobowych, może on więc ale nie musi powoływać ABI.

W przypadku jednak, gdy administrator danych nie powoła ABI w swojej organizacji, sam wykonuje jego zadania. Jednym z takich zadań jest sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych.

Sprawdzenie rozumiane jest jako czynności mające na celu zweryfikowanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych.

Typowe sprawdzenie powinno obejmować inwentaryzację zbiorów/zasobów danych osobowych, które są przetwarzane u administratora danych lub procesora. Jest to jedna z ważniejszych czynności podczas sprawdzenia, bo rzutująca na całość procesu. Dla zidentyfikowanych zbiorów sprawdzamy wypełnianie obowiązków związanych z przetwarzaniem danych w tym:

  • podstawy prawne przetwarzania danych osobowych
  • cel i zakres przetwarzania danych osobowych,
  • zasady zbierania danych osobowych (od osoby,której dane dotyczą lub z innych źródeł)
  • zasady wypełniania obowiązku informacyjnego przy zbieraniu danych,
  • zasady udostępniania danych osobowych innym podmiotom,
  • zasady powierzania przetwarzania danych osobowych innym podmiotom.

Kolejnym etapem jest sprawdzenie zgodności przetwarzania z zasadami dotyczącymi zabezpieczenia danych osobowych, co w szczególności obejmuje:

  • wypełnienie obowiązku zabezpieczenia danych przed ich udostępnieniem osobom nieupoważnionym,
  • wypełnienie obowiązków w zakresie nadawania upoważnień do przetwarzania danych osobowych
  • wypełnianie obowiązków technicznych i organizacyjnych zabezpieczenia danych osobowych, w tym kompletności i aktualności dokumentacji dotyczącej przetwarzania danych osobowych tj. polityki bezpieczeństwa danych osobowych oraz instrukcji zarządzania systemem informatycznym.

No i oczywiście sprawdzamy wykonywanie obowiązków związanych z rejestracją zbiorów danych osobowych, co może obejmować zbadanie poprawności zgłaszania zbiorów danych do rejestracji GIODO oraz uaktualniania wniosków rejestracyjnych.

Jak widzimy proces sprawdzania zgodności przetwarzania danych z przepisami prawa może być pracochłonny oraz czasochłonny, wymagać będzie również zaangażowania osób i środków w celu rzetelnej weryfikacji stanu faktycznego z wymaganiami prawa.

Zakres sprawdzenia i czynności podejmowane w jego toku w zasadzie powinny u wszystkich administratorów danych być takie same, nieważne czy powołali ABI czy też sami wykonują jego obowiązki. Oczywistym jest, że w zdecydowanej większości przypadków administrator danych nie będzie osobiście sprawdzał zgodności a wyznaczy do tych zadań inne osoby. Osoby te będą wówczas odpowiedzialne wobec swojego pracodawcy za kompetentne wykonywanie tych zadań, dlatego powinny nie mniej niż profesjonalni ABI być do tego przygotowani.

W praktyce oczywiście bywa z tym różnie i o ile powołany i zarejestrowany ABI może liczyć przynajmniej na zapewnienie odpowiednich środków do wykonywania zadań, niezależność organizacyjną to ABI nieformalny musi używać własnej siły perswazji, aby coś wyegzekwować.

Zachęcam do nabycia nowego poradnika ABI  z wzorami dokumentów, comiesięcznym raportem o reformie prawa unijnego (6 raportów) zaopatrzonym moim komentarzem oraz możliwością rozwiązania jakiegoś trapiącego Cię problemu prawnego z zakresu przepisów ochrony danych osobowych. Więcej tutaj.

A z ostatnim raportem otrzymasz ode mnie super niespodziankę. Uchylając rąbka tajemnicy powiem Ci, że oczywiście będzie to potężny zastrzyk wiedzy z zakresu ochrony danych osobowych. Jednak o szczegółach dowiesz się w swoim czasie pod warunkiem oczywiście złożenia zamówienia na nowy poradnik ABI.

Koszt poradnika ze wszystkimi bonusami to jedyne 49 złotych netto.

Zamówienia proszę składać na adres: kancelaria@przetwarzaniedanych.pl

 

Szkolenie ABI Warszawa

kopernika 30

W dniach 3 i 4 sierpnia odbyło się w Warszawie szkolenie dla ABI tj. administratorów bezpieczeństwa informacji. W tym miejscu pragnę serdecznie podziękować wszystkim uczestnikom, z którymi przez dwa dni szkoleniowe zgłębialiśmy tajniki prawa ochrony danych osobowych z uwzględnieniem nowych obowiązków ABI.

Sporo czasu poświęciliśmy na analizę nowych obowiązków ABI  w zakresie przeprowadzania  sprawdzeń zgodności przetwarzania danych oraz sprawozdawczości w tym zakresie. Studiowaliśmy nowe obowiązki na przykładowych dokumentach, co pozwoliło wyłapać różne niuanse w zakresie brzmienia czy interpretacji nowych przepisów.

Jak to bywa wśród praktyków co chwila wyłaniały się jakieś praktyczne zagadnienia z interesującego nas obszaru z różnych branż. Okazuje się, że w zależności od branży przetwarzanie danych osobowych wygląda nieco odmiennie. Przepisy jednak wszystkich obowiązują te same a kwalifikacje prawne nie zawsze są oczywiste.

Czy dane osobowe osób składających podania do spółdzielni podlegają ochronie, czy są zbiorem lub w jaki sposób wspólnota mieszkaniowa powinna podejmować uchwały lub może jak chronić kontrahentów w zamówieniach publicznych. To tylko nieliczne z rozważanych zagadnień.

W bardzo miłej atmosferze udało się dyskutować i rozważać poszczególne przypadki przetwarzania i ochrony danych osobowych. Reprezentacja różnych branż na szkoleniu była o tyle cenna, że pozwoliła uczestnikom zyskać ogląd na problem przetwarzania danych poza swoim własnym podwórkiem.

Bardzo cenne dwa dni pracy i nauki dla uczestników ale i dla mnie jako szkoleniowca, który miał możliwość konfrontacji z różnorodnością problematyki w interesującej dziedzinie.

 

Zbiór danych osobowych to nie takie proste

Wiadomo, że zbiór danych osobowych to w świetle ustawy posiadający strukturę zestaw danych o charakterze osobowym dostępny według określonych kryteriów niezależnie od tego czy zestaw ten jest rozproszony czy podzielony funkcjonalnie.

Tyle definicja. W praktyce jest to jedno z trudniejszych zagadnień a w szczególności tam, gdzie zbiorów jest bardzo wiele jak np. w administracji publicznej. Do rozstrzygnięcia pozostaje  kwestia czy mamy do czynienia z jednym dużym zbiorem i w jego obrębie mniejszymi podzbiorami czy wieloma odrębnymi zbiorami.

Jeden czy wiele zbiorów ma to o tyle znaczenie, iż zbiór danych osobowych podlega rejestracji w rejestrze GIODO lub też wykazywać go musi powołany i zarejestrowany administrator bezpieczeństwa informacji. Wykaz zbiorów musi również zawierać dokumentacja związana z przetwarzaniem danych osobowych. Ustawa o ochronie danych osobowych czasami też różnicuje obowiązki związane z przetwarzaniem danych osobowych przetwarzanych w zbiorze lub poza nim.

W zakresie zasygnalizowanej wyżej problematyki związanej z identyfikacją zbiorów danych osobowych nie ma jednolitej praktyki. Znajdujemy również nie zawsze spójne stanowiska urzędu oraz orzecznictwo sądowe.

I tak na przykład w jednym z wyroków sąd stwierdził, iż dane osobowe gromadzone w umowach kupna- sprzedaży i dane osobowe zawarte w systemie informatycznym o nazwie “Symfonia 2006 r.”, trzeba traktować jako zbiór danych wówczas, gdy zawierają te same, wspólne dane klientów (choć gromadzone w innym celu, na potrzeby podatkowe i realizacji umów cywilnoprawnych). W świetle tego orzeczenia dane osobowe przetwarzane w rejestrze umów oraz w systemie informatycznym to ten sam zbiór klientów.

Z kolei na stronie internetowej GIODO czytamy, iż dla realizacji różnych celów konieczne będzie przetwarzanie danych osobowych w różnych zakresach, a to oznacza, że zgłoszenie zbioru do rejestracji dotyczy de facto nie jednego, lecz kilku zbiorów prowadzonych w różnych celach.

Jak widać zgodności nie ma. Sprawę komplikuje dodatkowo fakt przetwarzania danych w rozbudowanych systemach informatycznych z wieloma modułami obsługującymi, w którym każdy moduł przetwarza dane w innym celu np. cele księgowo-podatkowe, ewidencyjne, rozliczeniowe, windykacyjne itd. Nawet tradycyjne zbiory w postaci wszelakich rejestrów, ksiąg, ewidencji zawsze będą przetwarzały dane w innym celu oraz w innym zakresie np. rejestr członków spółdzielni i rejestr aktów notarialnych itd. Nie oznacza to przecież automatycznie, że wielomodułowy system informatyczny przetwarza wiele zbiorów.

W związku z powyższym jak to w życiu bywa odpowiedzi nie ma ani jednej ani prostej i każdy przypadek trzeba badać indywidualnie. Wiem, że to nie łatwe dla praktyków np. ABI, którzy muszą  zbiory identyfikować, rejestrować i jeszcze w świetle prawa ponosić za to odpowiedzialność.

Na koniec powiem tylko, że każdą swoją decyzję np. w zakresie ustalenia wykazu zbiorów trzeba umieć uzasadnić logicznie i z poparciem odpowiednią podstawą prawną, stanowiskiem doktryny prawniczej czy orzecznictwa. To daje pewność, że ABI ma odpowiednią wiedzę, której się od niego wymaga, nie działa intuicyjnie, ale w oparciu o prawo, poglądy doktryny czy orzecznictwo.