To się nazywa “wyjść przed szereg”…

Gdybym nie przeczytała tego w oficjalnym oświadczeniu na stronie GIODO to bym nie uwierzyła.

Moje prawdziwe zdumienie wywołała poniższa informacja podana na stronach GIODO:

W ostatnim czasie do Biura Generalnego Inspektora Ochrony Danych Osobowych wpływają sprawozdania z przygotowywanych przez administratorów bezpieczeństwa informacji (ABI) sprawdzeń planowych i doraźnych.

Oznacza to niestety, że ci ABI, którzy wysłali  sprawozdania do GIODO niewystarczająco znają przepisy ustawy o ochronie danych osobowych. Nie zdzwiłabym się zatem, gdyby w następstwie przesłanych (niepotrzebnie) sprawozdań GIODO zapragnął bliżej się przyjrzeć podmiotom, które takich ABI powołały.

Skąd w ogóle pomysł, aby sprawozdanie z wewnętrznego sprawdzenia stanu zgodności przesyłać do GIODO. Rzecz w tym, że w jednym, jedynym przypadku przepisy o ochronie danych osobowych przewidują obowiązek przedstawienia GIODO sprawozdania ze sprawdzenia.

Zgodnie z przepisami GIODO może zwrócić się do zarejestrowanego ABI o dokonanie sprawdzenia zgodności przetwarzania danych osobowych z przepisami prawa, u administratora danych, który go powołał. Po dokonaniu tego sprawdzenia ABI  przedstawia GIODO sprawozdanie, ale wyłącznie w tym przypadku.

Zasadą jest sprawdzanie przez ABI stanu zgodności przetwarzania danych z przepisami. Zasadą jest również opracowywanie sprawozdań z takich sprawdzeń. Jednak  zasadą jest również, że są to czynności wewnętrzne, tworzone na użytek danego podmiotu a nie dla GIODO. Poza przypadkiem, gdy GIODO sam zwróci się do ABI o dokonanie sprawdzenia.  Wówczas i tylko wówczas sprawozdanie z takiego sprawdzenia musi trafić do GIODO.

Jaki z tego morał. A no taki, że  niektórzy ABI niewystarczająco znają przepisy o ochronie danych osobowych czyli można im postawić zarzut braku odpowiedniej wiedzy, która z kolei jest jedną z ustawowych przesłanek  powołania i istnienia ABI.

Zdemaskowanie się przed GIODO ze swoją niewiedzą to w mojej ocenie trochę słabe jak na profesjonalnego ABI. Nie zdziwiłabym się kontrolom GIODO w  podmiotach, od których wpłynęły sprawozdania.

W następnym wpisie postaram się przedstawić warunek odpowiedniej wiedzy wymaganej od ABI, ale już w świetle rozporządzenia unijnego. Widać, że jest potrzeba pochylenia się nad tym jakże ważnym tematem.

 

Czas Sprawozdań

Koniec jednego roku i początek drugiego to dla przesiębiorców trudny czas choćby z powodu różnorakich obowiązków związanych z zamknięciem, podsumowaniem, sprawdzeniem działań w starym roku i obowiązkiem podsumowania tych działań.

W obszarze ochrony danych osbowych koniec roku wiąże się obowiązkiem sprawdzenia zgodności przetwarzania danych osobowych z przepisami.

Wykonywanie sprawdzeń zgodności przetwarzania danych osobowych z przepisami o ochronie danych jest powiązane z realizacją obowiązków zabezpieczenia danych osobowych. Wymagania dotyczące wykonywania sprawdzeń są obowiązkiem każdego administratora danych i procesora.

W przypadku, gdy administrator danych osobowych powołał u siebie ABI to on właśnie będzie odpowiedzialny za okresowe sprawdzenia zgodności przetwarzania danych. Ci ADO, którzy nie powołali u siebie ABI sami  będą odpowiedzialni za dokonywanie sprawdzeń.

Rodzaje sprawdzeń oraz szczegółowe wymagania wobec sprawdzeń dokonywanych przez ABI zawarte są w przepisach wykonawczych.

Brak szczegółówych regulacji prawnych odnośnie sprawdzeń dokonywanych przez administratorów danych osobowych nie oznacza, że przewidziana jest dla nich  taryfa ulgowa w wykonywaniu tych obowiązków. Sprawdzanie stanu zgodności przetwarzania danych osobowych jest to ustawowy obowiązek ADO, który nie powołał ABI. Wywiązanie się z tego obowiązku a także wykazanie tego wobec GIODO spoczywa na samym ADO.

Z ustawy nie wynika, aby ADO  był zobowiązany sam sobie składać sprawozdanie ze sprawdzenia, ale czy oznacza, że nie powinien ich robić. W mojej ocenie trudno w lepszy sposób wykazać wywiązanie się z obowiązku sprawdzania stanu zgodności przetwarzania danych niż w sprawozdaniu właśnie. Ustna deklaracja czy oświadczenie kierownika jednostki czy prezesa firmy, że sprawdzono stan zgodności może okazać się w czasie kontroli GIODO zupełnie niewystarczająca.

Pamiętajmy, że ADO musi być w stanie wykazać, że sprawdza stan zgodonści przetwarzania danych, udowodnić to, z tego powodu nie ma ucieczki przed formalizcją czynności sprawdzających i sprawozdaniem.

Zatem wszyscy administratorzy danych osobowych i procesorzy powinni dokonywać cyklicznego sprawdzania, przynajmniej raz do roku stanu zgodności przetwarzania danych, a wyniki takiego sprawdzenia zamieszczać w corocznym sprawozdaniu.

Jeśli nie przygotowałeś jeszcze sprawozdania ze sprawdzenia zgodności przetwarzania danych osobowych w Twojej firmie i nie do końca wiesz jak się do tego zabrać zachęcam do lektury mojego Poradnika ABI nr 1 , który taki pomocny wzór zawiera. Znajdziesz go TUTAJ.

Rozporządzenie unijne przesłanki wyznaczenia inspektora ochrony danych osobowych (DPO) cz. II

W ostatnim wpisie rozpoczęłam omawianie zagadnień związanych z inspektorem danych osobowych (DPO) czyli dotychczasowym znanym polskiemu prawu ABI. Jest to zagadnienie i dość szerokie i nie do końca oczywiste w świetle przepisów nowego rozporządzenie stąd potrzeba wyjaśnień oraz interpretacji.

W świetle nowych przepisów administratorzy danych osobowych nie mają bezwzględnego obowiązku powołania DPO, jednak każdorazowo muszą przeanalizować czy w ich przypadku nie zachodzą jednak przesłanki wskazujące na konieczność powołania ABI.

Rozporządzenie wprowadza obowiązek wyznaczenia DPO, jeśli przetwarzanie danych osobowych prowadzone jest na szeroką skalę i dotyczy działalności polegającej na regularnym i systematycznym monitorowaniu osób. Drugi przypadek to przetwarzanie na dużą skalę danych osobowych szczególnie chronionych. Przepisy nie definiują co oznacza szeroka skala przetwarzania.

Przy ustalaniu  czy przetwarzanie jest prowadzane na szeroką skalę należy wziąć pod uwagę następujące czynniki a w szczególności należy uwzględnić:

  • liczbę osób, których dane dotyczą
  • ilość danych i / lub zakres różnych danych
  • czas trwania lub trwałość procesów przetwarzania danych
  • zakres geograficzny procesów przetwarzania

Ciekawe przykłady przetwarzania na szeroką skalę to:

  • przetwarzanie danych pacjenta w toku zwykłej działalności przez szpital
  • przetwarzanie danych klienta w toku zwykłej działalności przez towarzystwo ubezpieczeniowe lub bank
  • przetwarzanie danych osobowych do celów reklamy behawioralnej przez wyszukiwarkę
  • przetwarzanie danych (zawartość, ruch, lokalizacja) przez dostawców usług telefonicznych lub internetowych

A przykłady, które nie stanowią przetwarzania na dużą skalę to:

  • przetwarzanie danych pacjenta przez indywidualnego lekarza
  • przetwarzanie danych osobowych dotyczących wyroków karnych i wykroczeń przez indywidualnego prawnika

Jak widać brakuje wskazówek co do dokładnej liczby w odniesieniu do ilości przetwarzanych danych lub liczby osób, które będą mogły być stosowane w każdej sytuacji. To nie wyklucza jednak, że w miarę upływu czasu może się rozwinąć standardowa praktyka, która określi pod względem ilościowym, co stanowi “dużą skalę” w odniesieniu do niektórych rodzajów wspólnych działalności przetwarzania danych.

W każdym razie organy doradcze  na poziomie unijnym  planują również przyczynić się do tego rozwoju, na zasadzie udostępniania i rozpowszechniania przykładów odpowiednich progów dla wyznaczenia inspektora ochrony danych.