Ochrona danych osobowych w czym rzecz

Temat ochrony danych osobowych to specyficzny temat, albo traktowany z należytą powagą, na równi z innymi tematami, które podmiot musi w swojej organizacji uporządkować, albo temat zapomniany, zakurzony, wyparty.

Dlaczego tak się dzieje. W dużej mierze jak to w życiu bywa przyczyną tego drugiego podejścia jest brak świadomości i zrozumienia tematu czym ta ochrona danych osobowych jest, czy faktycznie nas dotyczy a jeśli już to dlaczego chronić ją w taki dziwny sposób tworzyć polityki i dokumentacje.

Prawdę mówiąc jako prawnik praktykujący w tej dziedzinie prawa nie dziwię się tym różnym podejściom, bo już wszystko przerabiałam więc wiem jak to wygląda, jednak jest to na tyle ciekawy temat, że chciałbym nieco bardziej szczegółowo go omówić.

Pierwsze podejście oparte na nieznajomości tematu. Podejście to dotyczy większości podmiotów. Wyjątkiem będą duże organizacje, przetwarzające tysiące danych osobowych, mające dostęp do wyspecjalizowanych prawników, którzy zgodnie z prawem zabezpieczają ten obszar. Reszta znajduje się w uśpieniu lub w letargu. Nikt za bardzo nie wie o co tak naprawdę z tymi danymi chodzi poza tym, że trzeba je chronić. Jednak poświęcanie na to czasu, pieniędzy, tworzenie dokumentacji, wprowadzanie polityk czy wyznaczanie odpowiednich osób uważane jest za grubą przesadę i wypierane jest z katalogu obowiązków do wykonania.

Dlaczego się temu nie dziwię. Obserwuję też nastawienie moich znajomych prawników, którzy również niechętnie podchodzą do tematu i źródło niechęci jest to samo. Ba z informacji płynących z GIODO wynika, że grupa zawodowa jaką są prawnicy bardzo słabo wypada, jeśli chodzi o zabezpieczenie obszaru danych osobowych. Często słyszę od swoich kolegów, że to taki dziwny temat, jakaś abstrakcja, w którą nikomu za bardzo nie chce się wnikać. Ba to samo nastawienie widoczne jest bardzo często u większości klientów. Niekiedy nawet na blogu słyszę komentarze, że to są  takie ogólniki.

Były GIODO w odpowiedzi na podobne argumenty powiedział kiedyś, że prawo ochrony danych osobowych jest prawem kontekstowym i w każdym przypadku ważny jest kontekst stosowania przepisów o ochronie danych osobowych. Sama ustawa o ochronie danych osobowych jest ustawą ogólną to znaczy regulującą zasady przetwarzania, prawa i obowiązki dotyczące tego przetwarzania dotyczące wszystkich możliwych sposobów przetwarzania. Oznacza to, że ta ustawa o ochronie danych osobowych obowiązuje w firmie handlowej, usługowej, branży internetowej, bankowości, spółdzielniach, ochronie zdrowia, oświacie itd.

Jednak należy pamiętać, że pomimo stosowania tych samych przepisów wyniki w każdej branży będą inne, gdyż każda branża na swój właściwy dla siebie sposób przetwarza dane, w oparciu o różne podstawy, w różnych celach. Inaczej przetwarzanie wygląda w szpitalu a inaczej w banku, inny jest cel przetwarzania danych przez urzędy a inny przez portale internetowe. Oznacza to, że w każdym indywidualnym przypadku należy dokonać subsumpcji – przyporządkowania danego stanu faktycznego pod ogólną normę prawa ochrony danych osobowych, co nie zawsze jest takie łatwe.

W świetle powyższych rozważań, gdy widzę wzory dokumentacji przetwarzania danych osobowych dla firm, szkół, instytucji razem to wiem, że zakup takiego wzoru nic pomoże. Będzie to ogólny wzór, bez zakwalifikowania go do konkretnych stanów faktycznych a dokonanie takiej kwalifikacji jest rzeczą najtrudniejszą. Aby wzór spełnił swoją rolę a pieniądze wydane nie były stracone może to być wyłącznie wzór dedykowany danej branży.

Opisałam powyżej tylko jeden aspekt niezrozumienia tematu ochrony danych osobowych, co oczywiście ma wpływ na niechętne podejście do zagadnień. Jest to temat dotyczący braku świadomości prawnego aspektu ochrony danych osobowych. O niechęci do porządkowania spraw ochrony danych osobowych, która ma swoje głębsze korzenie, bo tkwiące w niezrozumieniu samego sensu takiej ochrony oraz w sposób przewidziany prawem napiszę następnym razem.

Szkolenie ABI

Na jednym ze szkoleń podczas prezentowania nowych uprawnień i obowiązków dla ABI, jedna z uczestniczących ABI zadała proste ale kluczowe pytanie “kto będzie nas wspierał czy może w GIODO zostanie stworzona jakaś komórka doradzająca ABIm”.

Są bowiem osoby pełniące funkcję ABI, które takiego wsparcia potrzebują, które słuchając o tych rozlicznych nowych obowiązkach trochę czują się przerażone.

Ustawa podnosząc rangę ABI wyposaża go w niezależność, precyzuje katalog zadań. Oczywistym jest, iż tylko osoba, która posiada solidną wiedzę w zakresie ochrony danych osobowych będzie w stanie sprostać wymaganiom Ustawy.

Z drugiej strony ustawa nie precyzuje jakichkolwiek wymagań formalnych co do kompetencji ABI pozostawiając ocenę w tym zakresie w gestii administratora danych. Jednakże nawet administrator danych może mieć nie lada zagwozdkę w weryfikacji eksperckiej wiedzy kandydatów na ABI.

Inne też kryteria oceny należy stosować wobec firmy, która zawodowo zajmuje się świadczeniem usług ABI a inne wobec osoby, która ma wykonywać zadania jako ABI wewnętrzny.

Ze strony ustawodawcy mamy jeden zapis, który mówi, iż to administrator danych zapewnia środki i organizacyjną odrębność administratora bezpieczeństwa informacji niezbędne do niezależnego wykonywania zadań. Jednakże przepis ten w mojej ocenie oznacza tylko tyle lub aż tyle, że na ADO spoczywa obowiązek zapewnienia ABI niezależnego pełnienia tej funkcji i zapewnienie środków oraz organizacyjnej odrębności ma temu służyć. Na temat jednak kompetencji ABI i kryteriów ich oceny ustawa milczy.

Oznacza to, że administrator danych samodzielnie musi dokonać oceny wiedzy i fachowości kandydata na ABI. Łatwiejsze to będzie w stosunku do osób, firm, które zawodowo  świadczą tego rodzaju usługi i mają udokumentowane doświadczenie.

W przypadku wewnętrznych ABI kryteria oceny mogą być podobne jednakże jak sądzę w przypadku tej grupy pomoc ze strony ADO powinna być większa w zakresie zapewnienia odpowiednich szkoleń czy wsparcia eksperckiego. Bowiem na biuro GIODO w tym zakresie raczej bym nie liczyła biorąc pod uwagę fakt, iż to GIODO liczy na pomoc ABI w sprawdzaniu przedsiębiorców.

Wszystkich zainteresowanych pogłębieniem lub usystematyzowaniem wiedzy w zakresie ochrony danych osobowych oraz przygotowaniem do pełnienia funkcji ABI i wypełnianiem obowiązków zgodnie z najnowszymi przepisami zapraszam na szkolenie 3-4 sierpnia do Warszawy. Więcej na:

Szkolenie ABI 3-4 sierpnia Warszawa

Rejestracja ABI – nowelizacja ustawy o ochronie danych osobowych z dniem 1 stycznia 2015 r.

Nowelizacja ustawy o ochronie danych osobowych (OchrDanOsobU) wejdzie  w życie już lada chwila, bo z dniem 1 stycznia 2015 r. Długo oczekiwana nowelizacja, której przedmiotem jest w głównej mierze uregulowanie statusu administratora bezpieczeństwa informacji (ABI) stanie się faktem.

Jednak już w przeddzień wejścia w życie nowych przepisów nie brakuje głosów krytycznych czy wątpliwości rzucających pewien cień na nową regulację. Wszyscy są zgodni, że stanowi ona istotne novum w krajowym prawie ochrony danych osobowych. Bezsprzecznie nowelizacja podnosi rangę ABI przez wyznaczenie katalogu jego zadań, podległość bezpośrednio kierownikowi jednostki organizacyjnej, obowiązek zapewnienia ABI środków niezbędnych do realizacji jego zadań.

Mnożą się wątpliwości odnośnie wprowadzanych nowelą instytucji. Jakie skutki w odniesieniu do wcześniej zgłoszonych zbiorów danych będzie miało wyznaczenie ABI i zgłoszenie tego faktu do GIODO, czy zbiory wcześniej zgłoszone podlegają aktualizacji a może tylko wykreśleniu.

Jaka będzie praktyka GIODO w zakresie prawa zlecenia ABI przeprowadzenia kontroli i przedstawienia organowi sprawozdania z tej kontroli.

Jaki status ma ABI w okresie przejściowym tj. do 30 czerwca 2015 r. Jakie zadania musi a jakie może w tym okresie wykonywać. To najważniejsze, ale niestety nie jedyne zagadnienia wzbudzające najwięcej emocji i kontrowersji.

Wszystkich zainteresowanych pogłębieniem lub usystematyzowaniem wiedzy w zakresie ochrony danych osobowych oraz przygotowaniem do pełnienia funkcji ABI i wypełnianiem obowiązków zgodnie z najnowszymi przepisami zapraszam na szkolenie 3-4 sierpnia do Warszawy. Więcej na:

Szkolenie ABI 3-4 sierpnia Warszawa

ABI po nowemu…

Z dniem 1 stycznia 2015 r. wejdą w życie przepisy zmieniające ustawę o ochronie danych osobowych. Zmiany będą dość istotne i dotyczyć będą między innymi pozycji administratora bezpieczeństwa informacji (ABI). Ustawa w dotychczasowym brzmieniu nie reguluje szczegółowo kompetencji ABI. Niemniej jednak praktyka wypracowała określony dla tej funkcji zakres obowiązków.

Faktem jest też, że wiele firm decyduje się na zlecenie zadań ABI firmie zewnętrznej.

Ustawa w brzmieniu dotychczasowym lakonicznie reguluję pozycję ABI ograniczając się do stwierdzenia, że administrator danych wyznacza administratora bezpieczeństwa informacji, nadzorującego przestrzeganie zasad ochrony. Z kolei nowe przepisy szczegółowo wymieniają zakres zadań należący do kompetencji ABI.

Zadania ABI

Do zadań ABI należy zapewnianie przestrzegania przepisów o ochronie danych osobowych. ABI będzie zobowiązany do sprawdzania zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych, nadzorowania opracowywania i aktualizowania dokumentacji, zapewniania zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych.

Powołanie ABI

Administrator danych osobowych może, ale nie musi wyznaczyć ABI. W przypadku niepowołania ABI jego zadania wykonuje jednak sam, co oznacza, że ponosi również odpowiedzialność za wszelkie uchybienia w zakresie przetwarzania danych osobowych.

Powołanie ABI jest dla wielu firm kuszące. Sfera zapewnienia zgodności przetwarzania danych osobowych z przepisami jest przez przedsiębiorców mało znana.  Chętnie, więc wyznaczają ABI poza swoją organizacją zawierając stosowną umowę cywilno-prawną. W umowie takiej  regulowane są prawa i obowiązki stron. Wobec braku dotychczas katalogu ustawowych zadań, strony same w umowie precyzowały ich zakres.

 Nowe przepisy w dalszym ciągu, w zakresie powołania ABI, pozostawiają swobodę wyboru administratorowi danych. Administrator danych jednak, jest obowiązany zgłosić do rejestracji GIODO powołanie i odwołanie ABI w terminie 30 dni od dnia jego powołania lub odwołania.

W świetle nowych przepisów ABI podlega bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych.

Zwolnienie z obowiązku rejestracji

Dla administratorów danych, którzy powołają i zgłoszą ABI ustawa przewiduje bonus w postaci zwolnienia ich z obowiązku rejestracji zbiorów danych osobowych, z wyjątkiem zbiorów zawierających dane wrażliwe.

Reasumując, wprowadzane zmiany takie jak określenie kompetencji ABI, a tym samym zakresu jego odpowiedzialności, zwolnienie z obowiązku rejestracji zbiorów,  wprowadzenie rejestru ABI należy zaliczyć do plusów noweli.

Z uwagi na ogromne zainteresowanie tematem a jednocześnie niezbyt dużą podaż informacji w omawianym zakresie, postanowiłam stworzyć profesjonalny Poradnik, który w sposób kompleksowy omówi najważniejsze zagadnienia oraz te, które wzbudzają najwięcej wątpliwości i nie są powszechnie komentowane.

Poradnik jest dostępny odpłatnie, po zapisaniu się na listę subskrybentów bloga i złożeniu zamówienia drogą elektroniczną na adres kancelaria@przetwarzaniedanych.pl  Zachęcam i zapraszam do zamawiania tego kompleksowego materiału pozwalającego na rozwianie wielu mitów już krążących wokół nowelizacji. Więcej informacji o poradniku znajdziesz tutaj.

Zbiór danych osobowych czy zbiory danych osobowych

Większość administaratorów danych osobowych ma niemało problemów ze zrozumieniem kwestii związanych z ochroną danych osobowych w zakresie obowiązków, które na nich ciążą.

Jednym z istotnych zagadnień z zakresu ochrony danych osobowych, ze zrozumieniem którego borykają się przedsiębiorcy jest zbiór danych osobowych.

Wydawałoby się, że pojęcie to nie powinno przysprzarzać problemów z jego zrozumieniem a jednak praktyka pokazuje, iż jest inaczej.

Zbiór danych to w świetle prawa zestaw danych o chrakterze osobowym, posiadający własną strukturę, w którym dane są dostępne według określonych kryteriów.

Zbiorami będą zarówno takie, które są przetwarzane tradycyjnie, manualnie (teczki, kartotetki) jak i te zautomatyzowane przetwarzane w systemach informatycznych (profesjonalne bazy danych).

Wydawałoby się, że sprawa jest prosta i każdy uporządkowany zestaw danych osobowych, przetwarzany w sposób tradycyjny  czy zautomatyzowany jest w miarę łatwy do identyfikacji jako zbiór. Jednak sprawa tylko z pozoru jest łatwa. Często bywa tak, że przedsiębiorcy tworzą wiele różnych zbiorów, które identyfikują jako jeden zbiór.

Na przykład baza klientów sklepu internetowego przetwarzanych w różnych celach, jak np. realizacji zamówień, marketingu, prowadzenia bazy umów cywilnoprawnych, nie może zostać zgłoszona do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych jako jeden zbiór danych osobowych.

Dla realizacji różnych celów konieczne będzie przetwarzanie danych osobowych w różnych zakresach, a to oznacza, że zgłoszenie zbioru do rejestracji dotyczy nie jednego, lecz kilku zbiorów prowadzonych w różnych celach.

W praktyce pojawiają sie takie właśnie trudności w rozstrzyganiu czy w konkretnym przypadku mamy do czynienia z jednym zbiorem, w skład którego wchodzi wiele podzbiorów czy też z wielością zbiorów.

 

Przesłanki przetwarzania danych osobowych część I

przetw dane przesłaniki zdjęcie

W granicach wyznaczonych przez wymienione w ustawie o ochronie danych osobowych  przesłanki, dopuszczalne jest przetwarzanie danych.

Przesłanki legalizujące przetwarzanie danych osobowych zostały wymienione w uodo w następującej kolejności:

1)  osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych,

2) jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa,

 3) jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą,

 4) jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego,

 5) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.

 Za prawnie usprawiedliwiony cel, uważa się w szczególności:

 1) marketing bezpośredni własnych produktów lub usług administratora danych,

 2) dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej.

Wszystkie wymienione wyżej przesłanki są równoprawne i spełnienie się którejkolwiek z nich uprawnia do przetwarzania danych.

Pierwsza przesłanka czyli zgoda osoby, której dane dotyczą jest najbardziej znaną przesłanką, ale należy pamiętać, że wcale nie najważnieszą. Wszystkie przesłanki są równoprawne.

Nie wdając się w cywilistyczne rozważania na temat zgody jako oświadczenia woli należy pochylić się nad wymogami zgody w rozumieniu uodo.

Cechy poprawnie skonstruowanej zgody na przetwarzanie danych osobowych sa następujące:

Zgoda według ustawy nie może być domniemana ani dorozumiana z oświadczeń woli innej treści czyli powinna być wyraźna.

Zgoda powinna być wyrażona jasno i być skonkretyzowana. Osoba udzielająca zgody powinna wiedzieć o jakie dane chodzi jak również o jakie cele, do których dane będą używane.

Zgoda nie może być blankietowa i odnosić się do bliżej nieokreślonych danych osobowych przetwarzanych w bliżej nieokreśłonych celach.

Zgoda może być w każdym czasie cofnięta.

Reasumując zgoda musi mieć charakter wyraźny a jej wszystkie aspekty dla podpisującego powinny być jasne w momencie wyrażenia.

 Omówieniem innych przesłanek poświęcone będą kolejne wpisy na blogu. Zachęcam serdecznie do lektury.