Pierwsze wyniki sprawdzeń ABI

Są już pierwsze wyniki ze sprawdzeń ABI. Sprawdzenia zostały przeprowadzone w bankach i przede wszystkim wykazały błędy w formułowaniu treści klauzul zgody.

Okazuje się, w treści jednej klauzuli łączone są zgody na przetwarzanie marketingowe, przesyłanie informacji handlowych drogą elektroniczną oraz używanie telekomunikacyjnych urządzeń końcowych. Do tego dochodzi jeszcze łączenie zgód na przetwarzanie w celach własnych i podmiotów trzecich.

Zgoda na przetwarzanie danych nie może mieć charakteru abstrakcyjnego, lecz winna odnosić się do skonkretyzowanego stanu faktycznego, obejmując tylko określone dane oraz sprecyzowany sposób i cel ich przetwarzania. Osoba nie może być  wprowadzona w błąd. Jeżeli zatem oświadczenie woli dotyczyć ma różnych celów przetwarzania, zgoda powinna być wyrażona wyraźnie pod każdym z tych celów przetwarzania.

Chodzi o to, aby osoba, której dane dotyczą miała swobodę wyboru wyrażenia zgody na przetwarzanie jej danych osobowych w różnych celach. Zgoda nie może być wymuszona.

Jak poradzili sobie ABI ze sprawdzeniami i sprawozdaniami z nich. Czytamy więc:

Treść sprawozdań wskazywała także na niepełną wiedzę ABI w zakresie ochrony danych osobowych niezbędną do sporządzenia sprawozdania ze sprawdzenia, w szczególności w zakresie zgromadzenia adekwatnych dowodów w stosunku do istniejącego stanu faktycznego.”

i kolejna ciekawostka:

Spośród 20 administratorów bezpieczeństwa informacji, którzy dokonali sprawdzenia przetwarzania danych osobowych przez banki w zakresie marketingu kierowanego do klientów oraz osób nie będących klientami banków, tylko jeden z nich stwierdził naruszenie przepisów o ochronie danych osobowych, mimo iż w wielu przypadkach ustalenia dokonane przez administratorów bezpieczeństwa informacji w toku sprawdzeń dawały podstawę do stwierdzenia takich uchybień

Czy mnie to dziwi? A więc nie dziwi zupełnie. W środowisku od początku nowelizacji uodo mówiło się, że sprawozdania ABI dla GIODO to będą laurki, co aktualne wyniki potwierdziły.

Pełen raport w powyższym temacie znajdziesz Tutaj.

Inspektor Ochrony Danych Osobowych nie może być figurantem

O wiedzy fachowej Inspektora Ochrony Danych osobowych pisałam Tutaj, kładąc nacisk na wysoki poziom tej wiedzy.

Już po napisaniu artykułu zadzwonił do mnie ABI zaznaczając, że jest świeżo nominowanym ABI, z pytaniem o poradnik dla początkującego ABI. Ów ABI został najpierw powołany i dopiero potem rozpoczął zdobywanie wiedzy niezbędnej dla wykonywania obowiązków.

Czy osoba, tak jak w tym przypadku nie dysponująca od początku odpowiednią wiedzą, jest w stanie zapewnić zgodność przetwarzania danych osobowych z przepisami o ochronie danych osobowych, czy podoła wyzwaniom stawianym przez nowe prawo ochrony danych osobowych, czy wreszcie administrator danych zapewni mu środki i narzędzia niezbędne do należytego wykonywania tych zadań. Mam spore  wątpliwości.

Powoływanie ABI w taki, jak opisany wyżej, sposób jest kolejnym dowodem na ignorancję administratorów danych w sferze prawa ochrony danych osobowych. A co tam powołamy sobie ABI a potem będziemy go szkolić lub sam się będzie szkolił, najlepiej w internecie.

W aktualnym stanie prawnym nie ma obwiązku powoływania ABI, po co więc powoływać ABI, który nie dysponuje odpowiednią wiedzą i doświadczeniem. Niewykluczone, że administratorzy danych powołują ABI w przeświadczeniu istnienia takiego obowiązku.

Zadziwiający jest też fakt, że osoby często przypadkowe nie mające odpowiedniej wiedzy a bywa, że żadnej wyrażają zgodę na pełnienie funkcji ABI i przyjmują związaną z tym odpowiedzialność.

Trudno wyobrazić sobie, aby na stanowisko głównego księgowego pracodawca zatrudnił osobę, która nie ma odpowiedniego wykształcenia, doświadczenia i wiedzy. Trudno też sobie wyobrazić, aby jakikolwiek pracownik przyjął na siebie obowiązki głównego księgowego nie mając wcześniej do czynienia z księgowością.

Jednak okazuje się z funkcją ABI jest inaczej i gdy szef wskazuje jakiegoś przypadkowego pracownika jako kandydata na ABI to pracownik ów taką ofertę przyjmuje, może i  nie do końca chętnie, ale się godzi. Czasami wręcz uważa, że może to być dla niego korzystne i wzmocni jego pozycję w firmie a czasami ne ma wyboru.

W aktualnym stanie prawnym nie ma obowiązku powołania ABI i nie należy tego czynić wybierając  przypadkową osobę do pełnienia tej funkcji. W szczególności z uwagi na nowe prawo ochrony danych osobowych, które już wkrótce wejdzie w życie a  które wymusi zmianę stosunku administratorów danych do obowiązków w zakresie ochrony danych osobowych.

ABI to przyszły Inspektor Danych Osobowych i w świetle nowego prawa ma stanowić fundament nowego, skutecznego systemu ochrony danych osobowych. Jednakże solidny fundament oznacza przede wszystkim odpowiednią wiedzę i doświadczenie.

Rozpoczęcie stosowania, od 25 maja 2018 r., przepisów ogólnego rozporządzenia o ochronie danych (RODO) oznacza, że obowiązki i odpowiedzialność administratorów danych za zgodne z prawem przetwarzanie danych osobowych znacznie się zwiększą.

Tym zaś, którzy nie będą respektowali nowych zasad ochrony danych, grozić będą wysokie kary finansowe. Stąd też sprostanie nowym wymogom, m.in. dzięki wsparciu kompetentnego inspektora ochrony danych, mającego zarówno bogatą wiedzę teoretyczną, jak i konkretne umiejętności praktyczne, nabiera coraz większego znaczenia.

Jednakże świadomośc powyższego jest jeszcze wśród przedsiębiorców bardzo słaba, stąd w dalszym ciągu przypadkowe powołania ABI, którzy nie są oraz nie będą w stanie zapewnić wymaganej przez przepisy RODO  zgodności przetwarzania danych.

Odpowiedzialność za niestosowanie lub nieprawidłowe stosowanie RODO i konsekwencje w postaci kar finansowych spocznie na administratorach danych a nie osobach sprawujących funkcje Inspektora Danych Osobowych.

W wytycznych Grupy Roboczej Art. 29 dotyczących DPO czytamy:

“Choć artykuł 37(5) nie wskazuje konkretnych kwalifikacji zawodowych, jakie należy brać pod uwagę wyznaczając DPO, to jednak istotne jest, by DPO posiadał odpowiednią wiedzę z zakresu krajowych i europejskich przepisów o ochronie danych osobowych i praktyk, jak również dogłębną znajomość RODO

i dalej

Zalecana jest również wiedza biznesowa i sektorowa dotycząca administratora. DPO powinien również posiadać odpowiednią wiedzę na temat procesów przetwarzania danych, systemów informatycznych oraz zabezpieczeń stosowanych u administratora i jego potrzeb w zakresie ochrony danych”.

Jak widać powyżej wymagania wobec przyszłego DPO są duże w szczególności w zakresie znajomości przespisów o ochronie danych osobowych tak europejskich jak i krajowych. Tutaj wymagana jest dogłębna znajomości.

Zalecana jest również wiedza w zakresie przetwarzania danych w systemach informatycznych oraz stosowanych zabezpieczeń u administratora danych. Nie oznacza to w mojej ocenie, że DPO musi zdobyć szczegółową czy techniczną wiedzę dotyczącą  bezpieczeństwa systemów informatycznych czy znać treść norm regulujących te zagadnienia.

Ważne jest jednak, aby posiadł ogólną wiedzę teoretyczną oraz praktyczną dotyczącą przetwarzania danych w systemach informatycznych u administratora danych, potrafił dokonać kwalifikacji prawnej stosowanych sposobów przetwarzania danych w szczególności z zakresu nowych technologii.

Na koniec należy podkreślić, iż  w świetle RODO powołanie DPO także nie będzie obowiązkowe i nie należy tego czynić bez szczegółowej analizy  procesów przetwarzania danych osobowych u danego administratora ze szczególnym uwzględnieniem ryzyka tego przetwarzania dla praw i wolności osób fizycznych.

Inspektor Danych Osobowych ma konkretne przepisami określone zadania do wypełnienia. Nie jest i nie może być tylko figurantem pozorującym zgodność przetwarzania danych osobowych. Jego działania muszą być realne i skuteczne a administrator danych jest zobowiązany mu to umożliwić.

Powoływanie na stanowisko Inspektora Danych Osobowych osób niekompetentnych w świetle RODO będzie działaniem bardzo ryzykowanym, gdyż  nieprawidłowe wykonywanie zadań przez Inspektora to ryzyko kar finansowych dla administratora danych.

Wiedza fachowa Inspektora Ochrony Danych Osobowych (DPO)

Wiemy już, że dzisiejszego ABI zastąpi DPO czyli inspektor ochrony danych osobowych. Wprawdzie jego powołanie w organizacji nie w każdym przypadku będzie obowiązkiem, jednakże każdy administrator danych osobowych powinien przeanalizować ewentualną potrzebę powołania DPO w swojej organizacji.

Inspektor ochrony danych jest wyznaczany na podstawie kwalifikacji zawodowych, w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań.

Wymagany poziom wiedzy fachowej nie jest nigdzie jednoznacznie określony, ale musi być to poziom współmierny do charakteru, skomplikowania i ilości danych przetwarzanych w ramach jednostki.

Słowem poziom wiedzy DPO powinien być wprost proporcjonalny do poziomu skomplikowania przetwarzania danych w ramach danej jednostki. Wyższy poziom skomplikowania implikuje wyższy poziom fachowości ABI.

Rekrutacja odpowiedniego dla swojej organizacji DPO spoczywa na administratorze danych, który ponosząc odpowiedzialnośc za zagodność przetwarzania z prawem będzie musiał podołać i temu obowiązkowi.

Powołanie kompetentnego DPO to w mojej ocenie jedna z najważniejszych o ile nie najważniejsza czynność administratora danych osobowych, gdyż to DPO będzie stał na straży  zgodności przetwarzania danych osobowych z przepisami. I to od jego wiedzy, kompetencji oraz doświadczenia będzie zależał poziom zgodności przetwarzania w jednostce.

Z mojego doswiadczenia wynika, iż stan wiedzy z zakresu ochrony danych osobowych w większości firm jest bardzo niski. ABI w chwili obecnej jest chyba jedyną osobą w firmie, która ma jakąś wiedze na temat prawa i praktyk w dziedzinie ochrony danych osobowych. Niestety często nie jest to wiedza w mojej ocenie odpowiednia, z czego sami ABI doskonale zdają sobie sprawę.

W mojej ocenie odpowiednia wiedza i doświadczenie DPO jest jedną z najbardziej kluczowych kwestii nie tylko w kategoriach “być lub nie być”  DPO ale i “być lub nie być” dla administratora danych, który finalnie będzie finansowo odpowidał za błędy swojego DPO.

Reasumując wybór przez administratora danych osobowych DPO bez odpowiedniej wiedzy na temat prawa oraz praktyk w dziedzinie ochrony danych osobowych, może firmę bardzo dużo kosztować.

Dotychczas w polskim porządku prawnym dotyczącym ochrony danych osobowych brakowało tak naprawdę sankcji za brak zgodności przetwarzania danych osobowym z prawem. Brak sankcji przekładał się na stosunek administratorów danych do wymaganych prawem obowiązków, które w ogromnej mierze były lekceważone. Tak samo ABI to częściej osoba z tzw. “łapanki” z przypadkowego rozdania niż naprawdę świadomy wybór stąd braki w zakresie odpowiedniej wiedzy ABI.

Czas szybko mija, do 25 maja 2018 r. zostało już bardzo niewiele czasu ale jednocześnie na tyle dużo, żeby ABI, którzy na poważnie myślą o swojej przyszłości w tym zawodzie dołożywszy odpowiednich starań podniesili poziom swojej wiedzy tak, by był on odpowiedni na podjęcie nowych wyzwań w dziedzinie ochrony danych, a ADO w obawie przed konskewencjami braku tej wiedzy powinien  wysiłki swoich ABI aktywnie wspierać.

Czas Sprawozdań

Koniec jednego roku i początek drugiego to dla przesiębiorców trudny czas choćby z powodu różnorakich obowiązków związanych z zamknięciem, podsumowaniem, sprawdzeniem działań w starym roku i obowiązkiem podsumowania tych działań.

W obszarze ochrony danych osbowych koniec roku wiąże się obowiązkiem sprawdzenia zgodności przetwarzania danych osobowych z przepisami.

Wykonywanie sprawdzeń zgodności przetwarzania danych osobowych z przepisami o ochronie danych jest powiązane z realizacją obowiązków zabezpieczenia danych osobowych. Wymagania dotyczące wykonywania sprawdzeń są obowiązkiem każdego administratora danych i procesora.

W przypadku, gdy administrator danych osobowych powołał u siebie ABI to on właśnie będzie odpowiedzialny za okresowe sprawdzenia zgodności przetwarzania danych. Ci ADO, którzy nie powołali u siebie ABI sami  będą odpowiedzialni za dokonywanie sprawdzeń.

Rodzaje sprawdzeń oraz szczegółowe wymagania wobec sprawdzeń dokonywanych przez ABI zawarte są w przepisach wykonawczych.

Brak szczegółówych regulacji prawnych odnośnie sprawdzeń dokonywanych przez administratorów danych osobowych nie oznacza, że przewidziana jest dla nich  taryfa ulgowa w wykonywaniu tych obowiązków. Sprawdzanie stanu zgodności przetwarzania danych osobowych jest to ustawowy obowiązek ADO, który nie powołał ABI. Wywiązanie się z tego obowiązku a także wykazanie tego wobec GIODO spoczywa na samym ADO.

Z ustawy nie wynika, aby ADO  był zobowiązany sam sobie składać sprawozdanie ze sprawdzenia, ale czy oznacza, że nie powinien ich robić. W mojej ocenie trudno w lepszy sposób wykazać wywiązanie się z obowiązku sprawdzania stanu zgodności przetwarzania danych niż w sprawozdaniu właśnie. Ustna deklaracja czy oświadczenie kierownika jednostki czy prezesa firmy, że sprawdzono stan zgodności może okazać się w czasie kontroli GIODO zupełnie niewystarczająca.

Pamiętajmy, że ADO musi być w stanie wykazać, że sprawdza stan zgodonści przetwarzania danych, udowodnić to, z tego powodu nie ma ucieczki przed formalizcją czynności sprawdzających i sprawozdaniem.

Zatem wszyscy administratorzy danych osobowych i procesorzy powinni dokonywać cyklicznego sprawdzania, przynajmniej raz do roku stanu zgodności przetwarzania danych, a wyniki takiego sprawdzenia zamieszczać w corocznym sprawozdaniu.

Jeśli nie przygotowałeś jeszcze sprawozdania ze sprawdzenia zgodności przetwarzania danych osobowych w Twojej firmie i nie do końca wiesz jak się do tego zabrać zachęcam do lektury mojego Poradnika ABI nr 1 , który taki pomocny wzór zawiera. Znajdziesz go TUTAJ.