Sylwia Czub – Strona 21 – Sylwia Czub bloguje o danych osobowych

02 mar

Jak „ugryźć” RODO?

Świadomie od pewnego czasu unikałam szerszego omawiania zagadnienia tematu RODO (unijnego rozporządzenia o ochronie danych osobowych, które od maja 2018 roku zastąpi naszą ustawę o ochronie danych osobowych). Po pierwsze byłam odrobinę ciekawa „jakie szaleństwo narośnie dookoła tego tematu”, po drugie naprawdę liczyłam na to, że przeczytacie RODO. Rzeczywistość wygląda tak, że jesteście na każdym kroku straszeni przez różne firmy wysokimi karami oraz nieobliczalnymi kontrolami, które rozpoczną się już za niecały rok. W efekcie… zasypujecie mnie pytaniami. W większości z nich pytacie co robić? jak się nie dać? oraz co powinien zrobić człowiek, którego właśnie powołano na ABI?

Bardzo staram Wam się pomóc i skrupulatnie, chociaż z ogromnym opóźnieniem odpowiadam na Wasze wiadomości. Jednakże nawet najlepsze rady nie zdadzą się na nic, jeżeli osoba, która jest odpowiedzialna za nadzór nad przestrzeganiem przepisów i za zapewnienie ciągłości działania systemów bezpieczeństwa nie zapoznała się z przepisami. Prawda jest taka, że najlepsze szkolenie nie nauczy Was tego co jest konieczne, jeżeli nie przeczytacie:

Kontrola zarządcza – fakty i mity

Dzisiaj nietypowo, bo gościnnie 🙂 Artykuł Łukasza Wojciechowskiego (Statuo.pl) na temat kontroli zarządczej. Moim zdaniem tekst bardzo dobry, konkretny i pomocny. Świetnie pokazujący „chęci” i „wyniki” związane z obowiązkiem przeprowadzania kontroli zarządczej przez podmioty publiczne. Ze swojej strony dodam także, że Łukasz jest świetnym wykładowcą i trenerem, z którym miałam przyjemność współpracować.

Autor: Łukasz Wojciechowski

Kontrola zarządcza to jeden z najbardziej problematycznych obszarów funkcjonowania administracji rządowej i samorządowej. Wprowadzanie jej mechanizmów wiąże się z różnorakimi problemami. Ale nie tylko, ponieważ wiele podmiotów nie rozumie różnicy pomiędzy kontrolą zarządczą a innymi kontrolami (wewnętrznymi i zewnętrznymi). Różnica ta jest bardzo znacząca i nawet pobieżne zapoznanie się z tematem pozwala ją jasno wskazać.

Czym tak naprawdę jest kontrola zarządcza

Kontrola zarządcza to zbiór zasad, procedur, metod, mechanizmów i instrukcji wspomagających zarządzanie. U jej podstaw leży przemiana kultury stosowania prawa w kulturę osiągania rezultatów. Podstawą prawną jest zaś art. 68 ustawy o finansach publicznych, jednak kontrola zarządcza nie odnosi się tylko do finansów. Wprowadza się ją po to, żeby kierownicy jednostek administracji publicznej zmienili wizję i sposób zarządzania – z doraźnego administrowania skoncentrowanego na procedurach w długoterminowe planowanie. Kontrola zarządcza nie jest zjawiskiem jednorazowym. Nie jest też typowym sprawdzeniem, po którym ma powstać raport. Wśród jej najważniejszych cech wskazać należy: Read More →

20 lut

Czym jest System Zarządzania Bezpieczeństwem Informacji (SZBI)?

Pojęć związanych z bezpieczeństwem informacji jest bardzo dużo, a nim głębiej w las, tym ciemniej. Ja sama na początku miałam problem, żeby połapać się w tym co jest czym, co być musi, co być może, a co być powinno (mimo że nie musi).

Fundamentalnym jest System Zarządzania Bezpieczeństwem Informacji, czyli strategia działania w zakresie zapewniania właściwej ochrony informacji poufnych. Strategia ma zapewnić ciągłe doskonalenie podjętych działań i procedur w celu optymalizacji ryzyk związanych z naruszeniem poufności. Mówiąc krótko, na SZBI składają się wszystkie procedury, polityki, regulaminy i instrukcje bezpieczeństwa informacji, które wdrożyliśmy w naszej jednostce organizacyjnej. Read More →

12 lut

Jak często ABI powinien się szkolić?

Pytanie o to, jak często i jak bardzo powinien doskonalić się zawodowa administrator bezpieczeństwa informacji pojawia się często w kontekście tego, czy pracodawca który powołał ABI ma obowiązek zapewnić mu odpowiednie szkolenia. W mojej ocenie ABI powinien przynajmniej raz do roku doskonalić swoje umiejętności oraz poszerzać wiedzę, a nawet ośmielę się twierdzić, że dla ABI w dużych podmiotach, który musi szacować ryzyko i zapewnić ciągłość działania, raz do roku to zdecydowanie za mało. Obowiązek doskonalenia zawodowego nie wynika wprost z przepisów, jednakże pośrednio możemy go z nich wywodzić. Przede wszystkim z ustawy o ochronie danych osobowych:

Art. 36a ust. 5. Administratorem bezpieczeństwa informacji może być osoba, która:
1) ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych;
2) posiada odpowiednią wiedzę w zakresie ochrony danych osobowych;
3) nie była karana za umyślne przestępstwo.

Zgodnie z rozporządzeniem MAiC z dnia 10 grudnia 2014 r. w sprawie wzorów zgłoszeń powołania i odwołania administratora bezpieczeństwa informacji, w momencie zgłaszania ABI do rejestru GIODO administrator danych składa oświadczenie: Read More →

26 sty

Jak wysokie są kary za naruszenie ustawy o ochronie danych osobowych?

Ze względu na to, że reforma przepisów w zakresie ochrony danych osobowych (tzn. ogólne rozporządzenie o ochronie danych) przewiduje duże zmiany w zakresie nakładania kar za naruszenia przepisów o ochronie danych osobowych, postanowiłam szerzej omówić zmiany. Tym bardziej, że już w sieci pojawiło się sporo mniej lub bardziej prawdziwych informacji na ten temat. Moim zdaniem kary są obecnie zdecydowanie za niskie, za mało dotkliwe i przede wszystkim nieadekwatne do czynu i budżetu podmiotu (dla małych są za wysokie, dla dużych za niskie). Inspiracją do tego wpisu był także artykuł opublikowany w serwisie Sekurak Firma z UK dostała karę ~750 000 PLN. Ukradli im nieszyfrowany dysk, który rozpoczyna się, jakże mocno działającym na emocje zdaniem: Czyżby była to rozgrzewka przed potencjalnymi wysokimi karami (do 10 milionów EUR) związanymi z nowymi wytycznymi odnośnie danych osobowych? Artykuł straszy potencjalnych klientów konsekwencjami zmian przepisów. Demonizuje je i buduje negatywny odbiór. Artykuł jest w swoim przekazie bardzo nierzetelny, gdyż szczegółowa analiza sytuacji, tzn. tego co się wydarzyło, wielkości strat oraz przede wszystkim sytuacji finansowej i możliwości technologicznych „firmy z UK”, wskazują że jest to kara co najmniej adekwatna, jeżeli nie za niska. Jest mi przykro, że w Polsce nie doczekaliśmy się takich kar.

Omawiając zagadnienie skupię się na karach wynikających bezpośrednio z przepisów o ochronie danych osobowych, pomijając te wynikające chociażby z Kodeksu Cywilnego (za naruszenie dóbr osobistych), czy Kodeksu Karnego (np. za cyberprzestępstwo). Zainteresowanych szerszym spojrzeniem odsyłam do bardzo dobrego omówienia Dochodzenia roszczeń wynikających z cyberprzestępstwa. Read More →

18 sty

Czy wysyłanie pracowników na szkolenie BHP wymaga zawarcia umowy powierzenia danych?

Dzisiaj omówię pytanie otrzymane przez mój fanpage od jednego z zaprzyjaźnionych ABI: czy wysyłając pracowników na szkolenie bhp prowadzone przez firmę zewnętrzną, przy przekazywaniu danych pracowników niezbędnych do przeprowadzenia szkolenia należy też sporządzić umowę powierzenia danych? Szkolenia takie są ustawowo obowiązkowe.

Pytanie bardzo mi się spodobało, bo stanowi problem, z którym musi zmierzyć się nie jeden ABI. I jak to w życiu bywa, to co w teorii wydaje się zrozumiałe, w praktyce budzi wątpliwości. Przede wszystkim należy zwrócić uwagę, że szkolenia rzeczywiście są obowiązkowe, ale przecież nie musi ich robić zewnętrzna firma, tylko zatrudniony przez administratora danych specjalista ds. BHP.

Jeżeli firma zdecydowała się jednak na zewnętrzny podmiot, który obsługuje ją w tym zakresie, moim zdaniem, należy podpisać umowę powierzenia (to może być część umowy na usługi lub zlecenia, nie ma obowiązku podpisywania oddzielnego dokumentu). Mówiąc krótko – ADO powierza zadanie, które mógłby zrealizować samodzielnie (i z którym wiąże się przetwarzanie danych, dla których jest ADO), innemu podmiotowi.

Czy można umieścić zgodę na przetwarzanie danych w regulaminie

Nie, nie i jeszcze raz nie. Najchętniej właśnie tak zakończyłabym ten wpis, jednakże jest to tak częsta praktyka, że wymaga szerszego omówienia. Zanim wyjaśnię dlaczego zaznaczę, że taka zgoda jest nieważna, więc nie jest to sprytny sposób na ominięcie problemu pozyskania zgody, a zamienienie małego kłopotu na duży. Zwłaszcza, że często pozyskać zgodę wcale nie jest tak trudno, wszystko jest kwestią chęci. Ale o tym za chwilę 🙂

Zgodnie z art. 7 pkt 5 ustawy o ochronie danych osobowych zgoda to oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści; zgoda może być odwołana w każdym czasie. Zgoda nie może wynikać z oświadczenia woli o innej treści – czyli zgoda nie może być zawarta w regulaminie, którego zaakceptowanie wiąże się ze zgodą na warunki świadczenia usługi. Umieszczenie w regulaminie zgody, oznacza że wynika ona z „oświadczenia woli zgody na zasady świadczenia usługi określone w regulaminie”. Zatem taka zgoda jest domniemana i nieważna. A jeżeli została pozyskana właśnie w ten sposób, to został złamany art. 49.1. ustawy o ochronie danych osobowych Kto przetwarza w zbiorze dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do których przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.

Czy administrator danych może upoważnić do przetwarzania danych kogoś kto nie jest jego pracownikiem?

Nadawanie upoważnień do przetwarzania danych osobowych jest jednym z podstawowych obowiązków administratora danych, wynikających z ustawy o ochronie danych osobowych.

Informację jak nadawać upoważnienia oraz wzór upoważnienia znajdziesz tutaj

Większość administratorów danych nie ma wątpliwości, że obowiązkiem otrzymania upoważnienia są objęci jego pracownicy i współpracownicy. Nawet jeżeli przetwarzanie danych wynika bezpośrednio z obowiązku narzuconego przez przepisy prawa (opisywałam to na przykładzie upoważniania nauczycieli przez szkołę). Jednakże w podanym przykładzie zabrakło odpowiedzi na pytanie, kto powinien upoważnić osobę, która nie jest pracownikiem szkoły, np. pielęgniarkę szkolną lub pracownika ochrony. Zgodnie z art. 29 RODO do przetwarzania danych mogą być dopuszczone wyłącznie osoby działające z polecenia administratra, posiadające upoważnienie nadane przez administratora danych. Nawet jeżeli osoba, która otrzyma dostęp do danych nie jest pracownikiem administratora, powinna otrzymać dostęp do danych na podstawie upoważnienia. Read More →

08 gru

Czy instytucje przetwarzające informacje niejawne są „zwolnione z ochrony danych osobowych”?

Spotkałam się z opinią, że podmioty przetwarzające informacje niejawne są zwolnione z obowiązków wynikających z ustawy o ochronie danych osobowych. Jest to oczywiście błędne przeświadczenie, ale warto omówić jego genezę i wyjaśnić dlaczego tak nie jest. Zwłaszcza, że wiele takich podmiotów stosuję tę „zasadę zwolnienia” i nie wypełnia obowiązków wynikających z przepisów prawa.

Miejska legenda wywodzi się z art. 43. 1. ustawy: Z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych zawierających informacje niejawne. Z treści cytowanego przepisu wyraźnie wynika, że zwolnienie dotyczy tylko zbiorów danych zawierających informacje niejawne, nie dotyczy pozostałych zbiorów danych, nie oznacza także, że taki administrator danych jest zwolniony z pozostałych obowiązków wynikających z ustawy (stworzenia polityki bezpieczeństwa, instrukcji zarządzania systemami informatycznymi, upoważnienia, zobowiązania do poufności, itd.). Read More →

26 lis

Jak zrobić rejestr zbiorów ABI

Bardzo długo nie poruszałam tego tematu, bo wydawało mi się, że to oczywista oczywistość, jednak liczne wiadomości od Was pełne wątpliwości jak stworzyć i prowadzić rejestr ABI, uświadomiły mi, że taki wpis jest Wam potrzebny. Wobec tego oddaję Wam instrukcję, jak stworzyć i prowadzić rejestr zbiorów danych osobowych ABI.

Po pierwsze rejestr zbiorów ABI to nie jest to samo co wykaz zbiorów danych osobowych, tworzony na potrzeby polityki. Dokładnie tłumaczyłam to tutaj. Wykaz zbiorów obejmuje wszystkie zbiory, a rejestr tylko te, które nie zostały zwolnione z obowiązku wpisania do rejestru. Oznacza to, że w niektórych podmiotach rejestr ABI może być pusty. Po drugie do rejestru ABI wpisuje się tylko zbiory danych zwykłych, zbiory danych wrażliwych w dalszym ciągu należy zgłaszać do GIODO. Zasady prowadzenia rejestru ABI określa ustawa o ochronie danych osobowych oraz Rozporządzenie w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych. Read More →