Jesteś nieformalnym ABI – zapraszam Cię na szkolenie 3 sierpnia do Warszawy

W związku z nowymi przepisami o ochronie danych osobowych dotyczącymi administratorów bezpieczństwa informacji (ABI) dyskusje w większości koncentrują się wokół ABI, ich praw, obowiązków czy odpowiedniego poziomu wiedzy.

Jak dużą rangę przypisuje się sie nowym przepisom w zakresie wymagania odpowiedniej wiedzy ABI świadczy choćby powołanie przez Instytut Nauk Prawnych PAN w porozumieniu  z GIODO studiów podyplomowych dla administratorów bezpieczeństwa informacji.

Oznacza to, iż wszystko zmierza w kierunku kształtowania się nowego zawodu, którego zdobycie będzie wymagało odpowiednich nakładów ze strony osób, które zapragną go wykonywać. Do przeszłości należeć będą sytuacje, gdy ABI był przypadkową osobą z powierzchowną wiedzą w zakresie przepisów ochrony danych osobowych.

Paradoksalnie zwiększenie wymagań w stosunku do profesjonalnego ABI nie pozostaje bez wpływu na całą resztę administratorów danych osobowych czyli wszelkich podmiotów przetwarzających dane osobowe w celach zarobkowych a którzy nie powołają ABI. Bowiem w przypadku, gdy administrator danych nie powoła ABI sam będzie zobowiązany wykonywać jego obowiązki z małymi wyjątkami.

Podniesienie rangi ABI oraz wymagań wobec niego jest związane z szeregiem nowych obowiązków związanych z zapewnieniem zgodności przetwarzania danych osobowych. Z uwagi na te obowiązki wielu administratorów danych osobowych nie zdecydowało się na formalne powołanie oraz rejestrację ABI.

Oznacza to, że cała rzesza administratorów danych osobowych we własnym zakresie, bez pomocy ABI będzie zobowiązana zapewnić zgodność przetwarzania danych.

W związku z powyższym w organizacjach, gdzie nie powołano ABI równolegle odbywa się organizowanie alternatywnego dla ABI modelu zapewnienia zgodności przetwarzania danych. Związane jest to z wyznaczaniem osób i delegowaniem im tak naprawdę obowiązków ABI.

W świetle znowelizowanych przepisów z ABI czy bez niego administrator danych osobowych musi dostosować swoją firmę do nowych regulacji w zakresie wypełniania nowych obowiązków. Niepowołanie ABI bowiem nie powoduje w żadnym razie uwolnienia się od nowych zadań.

W mojej ocenie szczególnie w tych firmach, bez ABI, niezbędne jest zapewnienie przeszkolenia osób, kóre zostaną wyznaczone do wypełniania jego obowiązków. Nie można usypiać czujności niepowołaniem ABI. Nowa regulacja dotyczy wszystkich. Obowiązków w zakresie zewpnienia zgodności przetwarzania danych osobowych jest więcej, są to nowe obowiązki i z wypełniania tych obowiązków będą rozliczane osoby, które zostały przez kierownictwo wyznaczone do ich wypełniania.

Odpowiednie szkolenie osób odpowiedzialnych za wykonywanie nowych obowiązków w firmie bez ABI jest tym bardziej istotne. Bowiem w firmach z powołanym ABI pewny jest wzrost poziomu ochrony danych osobowych . Każda firma, która powołała lub powoła  ABI jest zobowiązana zapewnić mu odpowiednie środki niezbędne do należytego wykonywania zadań. Takie firmy wysyłają pracowników na szkolenia czy na wspomniane na wstępie studia podyplomowe.

W konsekwencji w firmach z ABI w większości przypadków panował będzie profesjonalny model zapewniania zgodności przetwarzania danych osobowych. Oznacza to, że ogólne standardy zapewniania zgodności przetwarzania danych osobowych, dla wszystkich administratorów wzrosną. Aby im sprostać nawet, jeśli nie jesteś oficjalnie ABI, ale Twój prezes wyznaczył Cię do wykonywania jego obowiązków, musisz mieć wiedzę nie mniejszą niż ABI powołany oficjalnie. Masz  prawie takie same obowiązki do wykonania. Musisz  uświadamiać to swoim zwierzchnikom, którzy nie zawsze to, co wiem z praktyki rozumieją.

Dla wszystkich nieformlanych ABI czyli pracowników IT, kadr i innych, pragnących posiadać należyty poziom wiedzy, nieodbiegający od profesjonalnych ABI będę prowadziła dedykowane szkolenie w dniu 3 sierpnia w Warszawie, na które serdecznie zapraszam.

 

Szkolenie ABI 3-4 sierpnia Warszawa

Ilość odwiedzin mojego bloga bije rekordy. Najwięcej odsłon mają strony z poradnikiem oraz dotyczące szkoleń. Wiele osób zamawia bezpłatny poradnik ABI. To wszystko oznacza, że 30 czerwca zbliża się wielkimi krokami i data ta traktowana jest bardzo poważnie w szczególności przez ABI.

Mimo, iż nowe przepisy dotyczą wszystkich administratorów danych, przełomowe regulacje odnoszą się przede wszystkim do administratorów bezpieczeństwa informacji czyli ABI. W związku z tym ABI dotychczasowi ale i nowo powołani szukają informacji dotyczących nowych przepisów i ich interpretacji. Szukają też szczegółowych informacji odnośnie ochrony i przetwarzania danych osobowych, gdyż za chwilę będzie od nie wymagana wiedza ekspercka.

Poziom wiedzy ABI jest bardzo różny od najwyższej po zupełnie przeciętną czy początkujacą. Jednakże prawo wymaga, aby poziom ten był w miarę wyrównany, gdyż stawia wszystkim ABI te same wymagania i nakłada takie same obowiązki i wszyscy tak samo będą rozliczani z ich wykonywania.

W odpowiedzi na palącą potrzebę podnoszenia wiedzy w zakresie ochorny danych osobowych zapraszam wszystkich zainteresowanych na szkolenie ABI w Warszawie, 3-4 sierpnia 2015 r. z możliwością wyboru opcji szkolenia dla początkujących oraz zaawansowanych.

Szkolenie jest niezbędne przede wszystkim dla początkujących, którzy bez rzetelnych podstaw nie mają szans, aby sprostać obowiązkom wynikającym z nowych regulacji prawnych. Szkolenie, które na konkretnych przykładach przybliża nie zawsze łatwą materię prawną będzie również pożyteczne dla ABI zaawansowanych.

W przypadku, jeśli administrator danych nie zdecydował się na powołanie ABI w świetle prawa sam będzie zobowiązany do ich wykonywania. W praktyce administrator danych z reguły deleguje  takie zadania na innych pracowników, którzy nie mając statusu ABI będą jednak odpowiedzialni za obszar ochrony danych osobowych w jednostce. Do tych osób również kierowane jest moje szkolenie, gdyż są to tak naprawdę z małymi wyjątkami indentyczne obowiązki.

Zapraszam na szkolenie. Zapisy przyjmuję drogą elektroniczną na adres kancelaria@przetwarzaniedanych.pl., również szczegółowy program osobom zainteresowanym szkoleniem przesyłam drogą mailową.

ABI jakiego nie znamy

“Jak kontrolować przetwarzanie danych osobowych przez ABI.”

Frazy o treści dokładnie takiej jak w tytule są wpisywane do wyszukiwarek. Oznacza to, że mnożą się kolejne pytania dotyczące funcjonowania nowego ABI. Bowiem podniesienie rangi ABI przez wyznaczenie katalogu zadań, zapewnienie niezależności, wyposażenie w środki prawne to jedno. Inną kwestią jest to, że przepisy właściwie nie wymagają, aby ABI legitymował się konkretnymi kwalifikacjami na przykład był prawnikiem czy informatykiem, miał certyfikaty czy inne dokumenty potwierdzające jego kompetencje.

W stanie prawnym sprzed nowelizacji, gdy przepisy poświęcały regulacji ABI w sumie jedno zdanie, jego kwalifikacje nie miały aż tak wielkiego znaczenia. Sam ABI w organizacji nie był specjalnie na świeczniku a jego wybór był zupełnie odformalizowany, no poza samym obowiązkiem jego powołania.

Aktualnie oblicze ABI przechodzi totalną metamorfozę. I nie ma znaczenia fakt, że profesjonalnie świadczące usługę ABI firmy wykonywały już wcześniej większość zadań w zakresie i w sposób określony w nowych przepisach. Metamorfoza ABI jest niekwestionowana w świetle prawa.

W stanie prawnym sprzed nowelizacji instytucji ABI przepisy prawne poświęcały jedno zdanie. W aktulanym stanie prawnym jest to cały rozdział w ustawie oraz trzy rozporządzenia wykonawcze. I tak rozbudowana regulacja prawna kładzie podwaliny moim zdaniem pod rozwój bardzo ważnej w organizacji funcji.

Większość firm w zakresie ochrony danych osobowych oczywiście śpi i nie jest w ogóle świadoma, że coś się zmienia. Inne wiedzą, że coś się zmienia, ale nie są świadome jakie ma to dla nich znaczenie i niechętnie zajmują się tematem. Nieliczne tylko już wiedzą, że wkracza nowe.

I taka jest prawda. Wkracza zupełnie nowy ABI, w nowym prawnym uniformie, uzbrojony w narzędzia służące do wykonywania jego funkcji.

Jednak od takiego ABI można i trzeba dużo wymagać. Taki ABI będzie wobec administratora odpowiedzialny za zapewnianie zgodności przetwarzania danych osobowych z prawem. Administrator w szczególności od zewnętrzengo ABI ma prawo wymagać nie tylko potwierdzenia kompetencji, ale też i odpowiedniej polisy OC związanej z wykonywaną działalnością. Napiszę o tym jeszcze szerzej, gdyż ta fraza również jest wpisywana w wyszukiwarkę na moim blogu.

Reasumując jak kontrolować czy ABI właściwie wypełnia swoje obowiązki. Najpierw należy wybrać odpowiednią osobę, firmę. Poprosić o potwierdzenie wykształcenia, doświadczenia, rekomendacje, ukończone szkolenia, kursy, certyfikaty.

W aktualnym stanie prawnym oraz w przeddzień wprowadzenia w życie unijnego rozporządzenia w sprawie ochrony danych osobowych ABI nie może być osobą przypadkową. Z funkcją ABI bowiem związana będzie większa niż dotychczas odpowiedzialność. Dodatkowo w momencie wejścia w życie rozporządzenia a wraz z nim kar pieniężnych, kwestia odpowiedzialności ABI za powierzone w ramach funkcji zadania stanie się z pewnością ważnym zagadnieniem prawnym.

Niby można żyć bez ABI ale co to za życie…

Wielokrotnie na łamach tego bloga podkreślałam, iż w świetle ostatniej nowelizacji OchrDanOsobU powołanie ABI stało się uprawnieniem a nie jak dotychczas obowiązkiem administratora danych.

W związku z powyższym to podmiot odpowiedzialny za przetwarzanie danych osobowych w świetle prawa czyli admisnitrator danych, którym jest spółka, urząd, spółdzielna, fundacja czy inne, podejmują decyzję o powołaniu lub nie ABI.

Czy administrator danych jest w stanie przeżyć bez ABI. Powiem żartobliwie, że w sumie jest to możliwe tylko co to za życie. W mojej ocenie bowiem zdecydowana większość firm nie będzie w stanie podołać obowiązkom zwłaszcza w ich nowej postaci.

W przypadku, gdy ABI formalnie nie zostanie powołany to wyznaczenie osoby lub osób, które będą temat danych osobowych w organizacji koordynować jest niezbędne. Osoby takie również nie powinny być przypadkowe i pozyskane z tzw. “łapanki”. Jeśli miałaby to być takie osoby to w sumie można sobie temat ochrony danych osobowych odpuścić w ogóle wpisąc go w ryzyko ewentualnych konsekwencji w przypadku kontroli GIODO.

Nie można się bowiem łudzić, że osoby w firmie, które nigdy wcześniej nie zajmowały się tematyką ochrony danych osobowych lub mają o niej bardzo powierzchowną wiedzę podołają obowiązkom wynikającym z przepisów prawnych w szczególności w świetle ostatniej nowelizacji. Kierownictwo organizacji powinno mieć tego swiadomość i zapewnić takim osobom odpowiednią pomoc czy w postaci dodatkowych szkoleń, czy konsultacji.

Z moich obserwacji wynika, iż w dalszym ciągu temat ochrony danych osobowych jest traktowany bardzo po macoszemu przez odpowiedzialne podmioty. Zasadą jest, aby się tematem nie zajmować rzynajmniej do czasu, gdy nie będzie zagrożenia karami finansowymi.

Skutek jest taki, że spotykam w firmach uchwały powołujące pracownika działu informatyki na administratora danych osobowych. Włos się jeży to mało powiedziane.

Na koniec trzeba powiedzieć, że tematyka związana z przepisami o ochronie danych osobowych nie jest łatwa. Wymaga sporej wiedzy teoretycznej ale jeszcze większej praktycznej. Nieprawdą jest, że można ten temat opanować łatwo, bez wysiłku i kosztów.

W przypadku, gdy administrator danych nie powoła ABI, wówczas on sam wykonuje obowiązki, które ustawa przyisuje kompetencjom ABI. Obowiązków w związku z nowelizacją przybyło a nie ubyło. Podołanie tym obowiązkom wymaga wiedzy profesjonalnej.

Do kierownictwa firmy oczywiście należy decyzja jak te obowiązki będą wykonywane. Jednak nie należy zapominać, iz mimo braku (jeszcze) dotkliwych kar finansowych obowiązują przepisy karne w przypadku łamania przepisów ochrony danych osobowych.

W mojej ocenie jeszcze bardziej dotkliwe są inne konsekwencje. Trudno wyobrazić sobie firmę, która nie buduje bazy danych osobowych. Wartościowa baza danych osobowych klientów jest dla każdego przedsiębiorcy nieocenioną wartością a czasami w ogóle podstawą biznesu.

W przypadku, gdy na poziomie np. zbierania danych osobowych popełniane są podstawowe błędy może się okazać, że baza nie jest legalna. Na skutek kontroli GIDO (jeden niezadowolony klient) może dojść do decyzji nakazującej przywrócenie stanu zgodnego z prawem.

I jesli na przykład dla pozyskanych danych osobowych nie mamy odpowiednich zgód na przetwarzanie danych osobowych to tak naprawdę mamy bazę, która nie jest legalna. Wsteczne zebranie po latach takich zgód to zadanie prawie nie do wykonania.

Możemy latami nie zajmować się danymi osobowymi, lecz na wskutek takiej opieszałości pewne uchybienia mogą pociągnąć zmiany nieodwracalne w skutkach i bolesne również finansowo, które dopadną nas po latach.

W szczególności Ci wszyscy przedsiębiorcy, którzy budują bazy klientów w celach marketinowych lub tacy, którzy w celach zawodowych przetwarzają duże ilości danych osobowych w systemach informatycznych powinni mieć to na uwadze.

Wszystkich zainteresowanych pogłębieniem lub usystematyzowaniem wiedzy w zakresie ochrony danych osobowych oraz przygotowaniem do pełnienia funkcji ABI i wypełnianiem obowiązków zgodnie z najnowszymi przepisami zapraszam na szkolenie 3-4 sierpnia do Warszawy. Więcej na:

Szkolenie ABI 3-4 sierpnia Warszawa

 

Nowe obowiązki w celu zapewnienia zgodności przetwarzania danych osobowych

Z początkiem nowego roku IV pakiet deregulacyjny znowelizował przepisy ustawy o ochronie danych osobowych. Z założenia nowelizacja miała dotyczyć statusu administratora bezpieczenstwa informacji. Bonusem dla administratorów danych osobowych, którzy zdecydowaliby się na powołanie ABI jest zwolnienie z obowiązku rejestracji i aktualizacji zbiorów danych osobowych w GIODO. Obwiązek ten miałby spocząć na powołanym ABI.

W ustawie został szczegółowo wymieniony katalog zadań ABI.

W świetle nowych przepisów przedsiębiorca ma wybór co do powołania ABI w swoje firmie. W przypadku niepowołania administratora bezpieczeństwa informacji zadania określone w ustawie dla ABI z wyłączeniem sporządzania sprawozdania wykonuje sam przedsiębiorca.

Jakie wiec zadania w świetle noweli należy przypisać przedsiębiorcy w przypadku, gdy nie powoła on do ich wykonywania ABI. Do tych zadań należy:

1) zapewnianie  przestrzegania przepisów o ochronie danych osobowych w szczególności przez:

  • sprawdzanie zgodności przetwarzania danych osobowych z przepisami,
  • nadzorowanie opracowania i aktualizowania dokumentacji wymaganej przepisami,
  • zapewnianie zapoznania osób upoważnionych do przetwarzania danych z przepisami.

W zasadzie wydaje się, że nie jest to dla administratorów nowość. Z mocy samej ustawy o ochronie danych osobowych odpowiedzialność za zgodność przetwarzania danych osobowych z ustawą i odpowiednimi przepisami spoczywa na administratorze danych. Ustawa określa szczegółowe zasady przetwarzania danych osobowych. Odnoszą sie one do wszystkich administratorów danych osbowych.

Aby przetwarzać dane zgodnie z zasadami określonymi w przepisach o ochronie danych osobowych każdy administrator powinien dokonywać sprawdzenia zgodności tego przetwarzania z przepisami o ochronie danych osobowych.

Jednakże ani samo pojęcie sprawdzenia zgodności przetwarzania danych osobowych, jak również sposób realizacji tego zadania nie były określone w przepisach prawnych.

Ostatnia nowelizacja to jednak zmieniła. Sprawdzenie zgodności przetwarzania stało się literą prawa. Zmiana w tym zakresie dotyczy wszystkich administratorów danych osobowych nawet tych, którzy nie powołają ABI. W związku z tym wszystkie podmioty  tak publiczne jak i prywatne przetwarzające dane osobowe powinny zapoznać się z nowymi regulacjami. Jest to jednak  utrudnione, bowiem najważniejsze rozporządzenie wykonawcze precyzujące tryb i sposób wykonywania nowych obowiązków w dalszym ciągu nie zostało uchwalone.

O trybie i sposobie realizacji nowych zadań z pewnością będziemy jeszcze wielokrotnie pisać. Tak z punktu widzenia wypełniania tych zadań przez administratorów bezpieczeństwa informacji (ABI) jak i samych administratorów danych osobowych.

Wszystkich zainteresowanych pogłębieniem lub usystematyzowaniem wiedzy w zakresie ochrony danych osobowych oraz przygotowaniem do pełnienia funkcji ABI i wypełnianiem obowiązków zgodnie z najnowszymi przepisami zapraszam na szkolenie 3-4 sierpnia do Warszawy. Więcej na:

Szkolenie ABI 3-4 sierpnia Warszawa

Życie bez ABI

Czy  w nowej rzeczywistości prawnej tj. w świetle znowelizowanej ustawy o ochronie danych osobowych, da się żyć bez ABI. Mam wrażenie, że ta deregulacyjna nowelizacja, której pierwotnie przyświecał cel ułatwienia przedsiębiorcom prowadzenia działalności, poruszyła przedsiębiorców do działania.

Od początku roku obserwuję wzmożone zainteresowanie nie tylko prawników, profesjonalnych ABI ale też samych przedsiębiorców nową regulacją. Nie da się ukryć, że zainteresowanie to spowite jest strachem przed nowym obliczem ABI. Obowiązków miało być mniej a będzie więcej. ABI musi być ekspertem w dziedzinie ochrony danych osobowych. Za brak odpowiedniej wiedzy GIODO może z urzędu wykreślić go z rejestru. Dla reputacji ABI może to być cios przesądzający losy jego kariery w tym zawodzie. Nowe obowiązki nie ominą nawet administratorów, którzy w ogóle  zrezygnują z powołania ABI. Dylematów jest wiele i okazuje się, że mają je wszyscy począwszy od przedsiębiorcy poprzez ABI a na prawnikach i GIODO kończąc.

Czy wobec tego życie bez ABI nie jest jakąś alternatywą zapytam przewrotnie.

Niektórzy jednak się budzą lub też są budzeni przez spaming firm oferujących usługi w zakresie danych osobowych. Budzą się i jak nie mieli nic tak nagle chcą mieć wszystko łącznie z ABI na etacie. Zalecam jednak zachować spokój, nie ulegać presjom a juz na pewno zachować dystans do  ofert przesyłanych w związku z ostatnią nowelizacją.

Nie oznacza to, że należy się nie przejmować i spać dalej. Jeśli w tym momencie chcesz zrobić porządek w obszarze ochrony danych osobowych w swojej firmie to nie musisz działać w amoku. Najważniejsze to podjąć odpowiednią dla swojej firmy decyzję. Powołanie ABI nie w każdym przypadku jest rozwiązaniem optymalnym. Są sytuacje, gdy bardziej korzystne będzie zapewnienie stanu zgodności bez powołania ABI.

Na koniec muszę jednak też powiedzieć, że rzeczywiście są firmy, dla których profesjonalny ABI to najlepsze z możliwych rozwiązań. Jednak co najlepsze jest dla twojej firmy musi być wyważone a decyzja podjęta w oparciu o anlizę jej działalności, rozmiaru działania, zakresu przetwarzania danych osobowych i ryzk prawnych z tym związanych.