ABI powinien mieć wsparcie

Ostatnia nowelizacja ustawy o ochronie danych osobowych wyśrubowała wymagania wobec ABI. Rozbudowany katalog zadań doprecyzowanych w przepisach wykonawczych dowodzi, iż ustawodawca chce by była to osoba o wiedzy eksperckiej. Taki kierunek będzie się utrzymywał, bowiem przepisy procedowanego właśnie w organach Unii rozporządzenia w sprawie ochrony danych osobowych, utrzymają ten kierunek.

Jednak większość administratorów danych nie przyjmuje tego do wiadomości. Mamy wskutek tego sytuacje, że obowiązki ABI są traktowane jako dodatkowe, wykonywane niejako przy okazji wykonywania innych, tych właściwych i ważniejszych obowiązków. W niedużych organizacjach to się może nawet sprawdzić, jednak w większych czy takich, gdzie przetwarzanie danych osobowych jest kluczową sferą działalności, nie powinno to mieć miejsca.

ABI radzą sobie jak mogą, adaptują się do nowych regulacji, dokształcają, szukają dobrych źródeł wiedzy czy czasami też konkretnego wsparcia. Jednak fakty są takie, że często ABI pozostawieni są samym sobie, że administratorzy danych nie zapewniają im należytego wsparcia.

Zgłaszają się do mnie ABI, którzy takiej właśnie pomocy szukają i wspólnie razem udaje się nam stworzyć dobre, pożyteczne rozwiązania, tak potrzebne w natłoku obowiązków służbowych ABI a także wobec presji czasu a także wymagań przełożonych. Czasami takie właśnie dobre praktyki są nieodzowne, aby tym wszystkim obowiązkom sprostać a jednocześnie wywiązać się z nich należycie. I to właśnie dzięki ABI, z którymi mam przyjemność współpracować poznaję jakie ABI mają potrzeby i jakie praktyczne rozwiązania mogą tym potrzebom sprostać.

Odpowiedzialność ABI część II

Wraz z ostatnią nowelizacją do życia powołany został ABI profesjonalista. Nowelizacja, która weszła w życie 1 stycznia 2015 r. w zasadniczej części została poświęcona ABI. Określiła więc szczegółowo katalog zadań ABI, zakres formalnych wymagań wobec ABI, wyposażyła też ABI w niezależność w wykonywaniu zadań. Na podstawie nowych przepisów zostały wydane rozporządzenia, które precyzują sposób i tryb wykonywania zdań czy sposób prowadzenia rejestru przez ABI.

Pisałam już, że na skutek tych zabiegów powstał ABI jakiego wcześniej w naszym systemie prawnym nie było. Bez wątpienia ABI musi być znawcą tematu, posiadać odpowiednią wiedzę w zakresie ochrony danych osobowych. Ustawa jednak nie wymaga od ABI posiadania określonych certyfikatów, ukończenia studiów czy szkoleń. Wymaga jednak odpowiedniej wiedzy w tym zakresie.

Decyzję o powołaniu ABI podejmuje administrator danych osobowych i to on musi ocenić poziom wiedzy i doświadczenia ABI.

Zatrudniając księgową, kadrową, informatyka w zasadzie pracodawca również nie ma ustawowych wskazówek jakiego rodzaju osoby zatrudnić,  a jednak w praktyce nie stwarza to większych problemów.

Sprawa z ABI jest może o tyle trudniejsza, że w firmie zwykle nie ma osób włącznie z szefostwem, które byłyby w stanie rzetelnie ocenić poziom wiedzy ABI i możliwości zapewnienia firmie bezpieczeństwa w obszarze danych osobowych.

Czy poziom wiedzy ABI w zakresie ochrony danych osobowych jest odpowiedni. Oto jest pytanie.

W praktyce zauważyłam skrajne postawy od ABI, którzy zostali wyrwani z tzw. łapanki do pełnienia funkcji i ogólnie mają słabą orientację w temacie, ale też nie specjalnie ich to martwi do ABI, którzy są bardzo zmotywowani, świadomi odpowiedzialności, która z wykonywanie funkcji może by związana.

Odpowiedzialność ABI to jeden z tematów, który bardzo interesuje samych ABI ale także administratorów danych osobowych. Odpowiedzialność ABI może być więc  cywilna (outosurcing ABI), pracownicza, administracyjna a nawet karna.

W konsekwencji nałożenia na ABI konkretnych obowiązków, związana z nimi odpowiedzialność administracyjna może spoczywać bezpośrednio na ABI. W doktrynie pojawiają się stanowiska, iż ABI może być adresatem decyzji wydawanych przez GIODO w przypadku naruszenia przepisów o ochornie danych osobowych. Do takiego naruszenia może dojść na skutek niewykonywania przez ABI swoich obowiązków.

Istnieje ryzyko odpowiedzialności karnej ABI w przypadku nieumyślnego naruszenia przepisów ochrony danych osobowych poprzez udostępnienie danych osobom nieupoważnionym. Jednak należy pamiętać, że odpowiedzialność karna jest odpowiedzialnością osobistą i wymaga osobistej zarzucalności popełnionego czynu konkretnej osobie.

Odpowiedzialność pracownicza, podobnie jak w przypadku innych pracowników, może skutkować nawet rozwiązaniem umowy o pracę w przypadku utraty zaufania w związku z niewłaściwym wykonywaniem obowiązków pracowniczych. W przypadku, gdyby pracodawca poniósł szkodę w związku z wykonywaniem przez ABI jego obowiązków, mógłby również pociągnąć go do odpowiedzialności materialnej do wysokości trzykrotnego wynagrodzenia za pracę.

Odpowiedzialność ABI to rozległe zagadnienie ściśle związane z jego kompetencjami i poziomem wymaganej w zakresie ochrony danych osobowych wiedzy. Zagadnienie to będzie miało coraz większe znaczenie. Należy o tym pamiętać  zwłaszcza w kontekście rozporządzenia w sprawie ochrony danych osobowych, nad którym prace legislacyjne w organach Unii wkroczyły w ostatnią fazę.

Zachęcam do nabycia nowego poradnika ABI z wzorami dokumentów, comiesięcznym raportem o reformie prawa unijnego (6 raportów) zaopatrzonym moim komentarzem oraz możliwością rozwiązania jakiegoś trapiącego Cię problemu prawnego z zakresu przepisów ochrony danych osobowych.Więcej tutaj.

A z ostatnim raportem otrzymasz ode mnie super niespodziankę. Uchylając rąbka tajemnicy powiem Ci, że oczywiście będzie to potężny zastrzyk wiedzy z zakresu ochrony danych osobowych. Jednak o szczegółach dowiesz się w swoim czasie pod warunkiem oczywiście złożenia zamówienia na nowy poradnik ABI.

Koszt poradnika ze wszystkimi bonusami to jedyne 49 złotych netto.

Zamówienia proszę składać na adres: kancelaria@przetwarzaniedanych.pl

Sprawdzanie zgodności przetwarzania danych jako nowy obowiązek

Z początkiem nowego roku weszły w życie nowe przepisy o ochronie danych osobowych. Nowelizacja dotyczy przede wszystkim administratora bezpieczeństwa informacji i określa jego status, zadania, wymagania. ABI ma zapewniać przestrzeganie przepisów o ochronie danych osobowych w swojej firmie. Jednak powołanie ABI jest prawem a nie obowiązkiem administratora danych osobowych, może on więc ale nie musi powoływać ABI.

W przypadku jednak, gdy administrator danych nie powoła ABI w swojej organizacji, sam wykonuje jego zadania. Jednym z takich zadań jest sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych.

Sprawdzenie rozumiane jest jako czynności mające na celu zweryfikowanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych.

Typowe sprawdzenie powinno obejmować inwentaryzację zbiorów/zasobów danych osobowych, które są przetwarzane u administratora danych lub procesora. Jest to jedna z ważniejszych czynności podczas sprawdzenia, bo rzutująca na całość procesu. Dla zidentyfikowanych zbiorów sprawdzamy wypełnianie obowiązków związanych z przetwarzaniem danych w tym:

  • podstawy prawne przetwarzania danych osobowych
  • cel i zakres przetwarzania danych osobowych,
  • zasady zbierania danych osobowych (od osoby,której dane dotyczą lub z innych źródeł)
  • zasady wypełniania obowiązku informacyjnego przy zbieraniu danych,
  • zasady udostępniania danych osobowych innym podmiotom,
  • zasady powierzania przetwarzania danych osobowych innym podmiotom.

Kolejnym etapem jest sprawdzenie zgodności przetwarzania z zasadami dotyczącymi zabezpieczenia danych osobowych, co w szczególności obejmuje:

  • wypełnienie obowiązku zabezpieczenia danych przed ich udostępnieniem osobom nieupoważnionym,
  • wypełnienie obowiązków w zakresie nadawania upoważnień do przetwarzania danych osobowych
  • wypełnianie obowiązków technicznych i organizacyjnych zabezpieczenia danych osobowych, w tym kompletności i aktualności dokumentacji dotyczącej przetwarzania danych osobowych tj. polityki bezpieczeństwa danych osobowych oraz instrukcji zarządzania systemem informatycznym.

No i oczywiście sprawdzamy wykonywanie obowiązków związanych z rejestracją zbiorów danych osobowych, co może obejmować zbadanie poprawności zgłaszania zbiorów danych do rejestracji GIODO oraz uaktualniania wniosków rejestracyjnych.

Jak widzimy proces sprawdzania zgodności przetwarzania danych z przepisami prawa może być pracochłonny oraz czasochłonny, wymagać będzie również zaangażowania osób i środków w celu rzetelnej weryfikacji stanu faktycznego z wymaganiami prawa.

Zakres sprawdzenia i czynności podejmowane w jego toku w zasadzie powinny u wszystkich administratorów danych być takie same, nieważne czy powołali ABI czy też sami wykonują jego obowiązki. Oczywistym jest, że w zdecydowanej większości przypadków administrator danych nie będzie osobiście sprawdzał zgodności a wyznaczy do tych zadań inne osoby. Osoby te będą wówczas odpowiedzialne wobec swojego pracodawcy za kompetentne wykonywanie tych zadań, dlatego powinny nie mniej niż profesjonalni ABI być do tego przygotowani.

W praktyce oczywiście bywa z tym różnie i o ile powołany i zarejestrowany ABI może liczyć przynajmniej na zapewnienie odpowiednich środków do wykonywania zadań, niezależność organizacyjną to ABI nieformalny musi używać własnej siły perswazji, aby coś wyegzekwować.

Zachęcam do nabycia nowego poradnika ABI  z wzorami dokumentów, comiesięcznym raportem o reformie prawa unijnego (6 raportów) zaopatrzonym moim komentarzem oraz możliwością rozwiązania jakiegoś trapiącego Cię problemu prawnego z zakresu przepisów ochrony danych osobowych. Więcej tutaj.

A z ostatnim raportem otrzymasz ode mnie super niespodziankę. Uchylając rąbka tajemnicy powiem Ci, że oczywiście będzie to potężny zastrzyk wiedzy z zakresu ochrony danych osobowych. Jednak o szczegółach dowiesz się w swoim czasie pod warunkiem oczywiście złożenia zamówienia na nowy poradnik ABI.

Koszt poradnika ze wszystkimi bonusami to jedyne 49 złotych netto.

Zamówienia proszę składać na adres: kancelaria@przetwarzaniedanych.pl

 

Szkolenie ABI Warszawa

kopernika 30

W dniach 3 i 4 sierpnia odbyło się w Warszawie szkolenie dla ABI tj. administratorów bezpieczeństwa informacji. W tym miejscu pragnę serdecznie podziękować wszystkim uczestnikom, z którymi przez dwa dni szkoleniowe zgłębialiśmy tajniki prawa ochrony danych osobowych z uwzględnieniem nowych obowiązków ABI.

Sporo czasu poświęciliśmy na analizę nowych obowiązków ABI  w zakresie przeprowadzania  sprawdzeń zgodności przetwarzania danych oraz sprawozdawczości w tym zakresie. Studiowaliśmy nowe obowiązki na przykładowych dokumentach, co pozwoliło wyłapać różne niuanse w zakresie brzmienia czy interpretacji nowych przepisów.

Jak to bywa wśród praktyków co chwila wyłaniały się jakieś praktyczne zagadnienia z interesującego nas obszaru z różnych branż. Okazuje się, że w zależności od branży przetwarzanie danych osobowych wygląda nieco odmiennie. Przepisy jednak wszystkich obowiązują te same a kwalifikacje prawne nie zawsze są oczywiste.

Czy dane osobowe osób składających podania do spółdzielni podlegają ochronie, czy są zbiorem lub w jaki sposób wspólnota mieszkaniowa powinna podejmować uchwały lub może jak chronić kontrahentów w zamówieniach publicznych. To tylko nieliczne z rozważanych zagadnień.

W bardzo miłej atmosferze udało się dyskutować i rozważać poszczególne przypadki przetwarzania i ochrony danych osobowych. Reprezentacja różnych branż na szkoleniu była o tyle cenna, że pozwoliła uczestnikom zyskać ogląd na problem przetwarzania danych poza swoim własnym podwórkiem.

Bardzo cenne dwa dni pracy i nauki dla uczestników ale i dla mnie jako szkoleniowca, który miał możliwość konfrontacji z różnorodnością problematyki w interesującej dziedzinie.

 

ABI muszisz się szkolić

W ostatnim artykule pisałam o nowym ABI, którego nie znamy. ABI w nowym wydaniu to niezależny, kompetenty specjalista dbający o całokształ zagadnień dotyczących ochrony danych osobowych w firmie.

Nowy ABI to ekspert i wymaga wiedzy eksperckiej.

Tymczasem pospolitość skrzeczy. Przepisy sobie a rzeczywistość sobie. Wielu dotychczasowych ABI nie posiada odpowiedniej wiedzy. Stwierdzam to z przykrością na podstawie osobistych kontaktów i obserwacji. Wyłączam niektóre firmy, profesjonalnie świadczące usługi konsultigowe zakresie ochrony danych osobowych. Jednak ABI wewnątrz firm często mają bardzo pobieżną wiedzę w zakresie ochrony danych osobowych, daleką od wymaganego poziomu eksperckiego.

Sytuacja taka ma miejsce nie z ich winy. Z reguły zatrudniani byli na zupełnie innych stanowiskach. Jak wielokrotnie pisałam ABI dotychczas z reguły był takim złem koniecznym. Jeśli już musiał być to z łapanki nominowano panią kadrową, księgową czy kogoś z działu informatyki.

Bardzo często tym ludziom pracodawca nie zapewniał odpowiednich szkoleń zapewniających odpowiednią wiedzę. Bywają chlubne wyjątki to jasne. W aktualnym stanie prawnym dotychczasowi ABI czyli panie księgowe, kadrowe, informatycy  z reguły będą kontynuować misję ABI w swojej firmie.

Jednak jak już pisałam, sytuacja zmieniła się diametralnie. Nowy ABI jest dokłądnie uregulowany. Wiemy kim jest i czego możemy od niego wymagać. Z tą wiedzą związana też będzie odpowiednio większa odpowiedzialność ABI. Adminsitrator danych, który powołuje ABI w swojej organizacji będzie miał prawo wskazać ABI jako osobę odpowiedzialną za ten obszar w swojej organizacji.

Nowy ABI powołany i zarejestrowany będzie podlegał też kontroli zewnętrznej GIODO a brak odpowiedniej wiedzy jest warunkiem rejestracji oraz może być powodem wykreślenia z rejestru. GIODO oczekuje, że ABI, który zostanie zarejestrowany sprawnie przeprowadzi kontrolę w firmie na jego wniosek. Podczas takiej kontroli brak odpowiedniej wiedzy u ABI będzie nie do ukrycia. Jedno zdanie może obnażyć brak odpowiedniej wiedzy.

Jeśli już zostałeś powołany do pełnienia funkcji ABI a nie czujesz się ekspertem musisz domagać się od swojego pracodawcy szkoleń. Pracodawca ma obowiązek zapewnić ABI środki niezbędne do należytego pełnienia funkcji ABI a jednym z takich środków będzie zapewnienie szkolenia. Bez nich nigdy nie osiągniesz wymaganej wiedzy eksperckiej. Dziedzina ochrony danych osbowych nie należy do najłatwiejszych, dlatego wymaga gruntownej edukacji.

Jeśli jesteś informatykiem, księgową, kadrową lub piastujesz inne stanowisko w firmie nie masz obowiązku być ekspertem w zakresie ochrony danych osbowych. Jesteś specjalistą w zakresie swoich zadań, znasz się na kadrach, rozliczeniach finansowych czy systemach informatycznych i wiesz na czym ta praca polega. Wiesz również, iż masz odpwiednią wiedzę i doświadczenie, aby zajmować te stanowiska i świadczyć tego rodzaju pracę.

Dodatkowe zajęcia ABI to nie może być jakaś kula u nogi czy piąte koło, gdyż finalnie może stanąć kością w gardle, czego oczywiście Ci nie życzę. Każda praca wymga wiedzy, z każdą pracą związana jest odpwiedzialność a dodatkowo jeśli nasza praca i my personalnie jesteśmy zgłaszani do urzędu jako eksperci z danej dziedziny to po prostu musimy nimi być.

Bodźcem do napisania tego artykułu był telefon jednego wewnętrznego ABI, który zadał mi pytanie kto w spółce z ograniczoną odpowiedzialnością jest administratorem danych osobowych. Takich pytań ABI nie może stawiać.

Zachęcam do nabycia nowego poradnika ABI  z wzorami dokumentów, comiesięcznym raportem o reformie prawa unijnego (6 raportów) zaopatrzonym moim komentarzem oraz możliwością rozwiązania jakiegoś trapiącego Cię problemu prawnego z zakresu przepisów ochrony danych osobowych. Więcej tutaj.

A z ostatnim raportem otrzymasz ode mnie super niespodziankę. Uchylając rąbka tajemnicy powiem Ci, że oczywiście będzie to potężny zastrzyk wiedzy z zakresu ochrony danych osobowych. Jednak o szczegółach dowiesz się w swoim czasie pod warunkiem oczywiście złożenia zamówienia na nowy poradnik ABI.

Koszt poradnika ze wszystkimi bonusami to jedyne 49 złotych netto.

Zamówienia proszę składać na adres: kancelaria@przetwarzaniedanych.pl

ABI jakiego nie znamy

“Jak kontrolować przetwarzanie danych osobowych przez ABI.”

Frazy o treści dokładnie takiej jak w tytule są wpisywane do wyszukiwarek. Oznacza to, że mnożą się kolejne pytania dotyczące funcjonowania nowego ABI. Bowiem podniesienie rangi ABI przez wyznaczenie katalogu zadań, zapewnienie niezależności, wyposażenie w środki prawne to jedno. Inną kwestią jest to, że przepisy właściwie nie wymagają, aby ABI legitymował się konkretnymi kwalifikacjami na przykład był prawnikiem czy informatykiem, miał certyfikaty czy inne dokumenty potwierdzające jego kompetencje.

W stanie prawnym sprzed nowelizacji, gdy przepisy poświęcały regulacji ABI w sumie jedno zdanie, jego kwalifikacje nie miały aż tak wielkiego znaczenia. Sam ABI w organizacji nie był specjalnie na świeczniku a jego wybór był zupełnie odformalizowany, no poza samym obowiązkiem jego powołania.

Aktualnie oblicze ABI przechodzi totalną metamorfozę. I nie ma znaczenia fakt, że profesjonalnie świadczące usługę ABI firmy wykonywały już wcześniej większość zadań w zakresie i w sposób określony w nowych przepisach. Metamorfoza ABI jest niekwestionowana w świetle prawa.

W stanie prawnym sprzed nowelizacji instytucji ABI przepisy prawne poświęcały jedno zdanie. W aktulanym stanie prawnym jest to cały rozdział w ustawie oraz trzy rozporządzenia wykonawcze. I tak rozbudowana regulacja prawna kładzie podwaliny moim zdaniem pod rozwój bardzo ważnej w organizacji funcji.

Większość firm w zakresie ochrony danych osobowych oczywiście śpi i nie jest w ogóle świadoma, że coś się zmienia. Inne wiedzą, że coś się zmienia, ale nie są świadome jakie ma to dla nich znaczenie i niechętnie zajmują się tematem. Nieliczne tylko już wiedzą, że wkracza nowe.

I taka jest prawda. Wkracza zupełnie nowy ABI, w nowym prawnym uniformie, uzbrojony w narzędzia służące do wykonywania jego funkcji.

Jednak od takiego ABI można i trzeba dużo wymagać. Taki ABI będzie wobec administratora odpowiedzialny za zapewnianie zgodności przetwarzania danych osobowych z prawem. Administrator w szczególności od zewnętrzengo ABI ma prawo wymagać nie tylko potwierdzenia kompetencji, ale też i odpowiedniej polisy OC związanej z wykonywaną działalnością. Napiszę o tym jeszcze szerzej, gdyż ta fraza również jest wpisywana w wyszukiwarkę na moim blogu.

Reasumując jak kontrolować czy ABI właściwie wypełnia swoje obowiązki. Najpierw należy wybrać odpowiednią osobę, firmę. Poprosić o potwierdzenie wykształcenia, doświadczenia, rekomendacje, ukończone szkolenia, kursy, certyfikaty.

W aktualnym stanie prawnym oraz w przeddzień wprowadzenia w życie unijnego rozporządzenia w sprawie ochrony danych osobowych ABI nie może być osobą przypadkową. Z funkcją ABI bowiem związana będzie większa niż dotychczas odpowiedzialność. Dodatkowo w momencie wejścia w życie rozporządzenia a wraz z nim kar pieniężnych, kwestia odpowiedzialności ABI za powierzone w ramach funkcji zadania stanie się z pewnością ważnym zagadnieniem prawnym.