Category Archives: Wpisy z 2017 roku

22 mar

Listy poparcia a dane osobowe

Przez zagadnienie “listy poparcia” rozumiem wszelkiego rodzaju tabelki, w których podajemy swoje dane, w celu poparcia jakiejś inicjatywy, kandydata politycznego albo zadeklarowania jakiegoś stanowiska (np. płatności na rzecz organizacji charytatywnej). Ostatnio też spotkałam się z taką listą robioną na potrzeby informacji dla mojej parafii, czy kupiłam opłatek od jego przedstawiciela (należało wpisać imię, nazwisko, adres oraz kwotę, którą postanowiło się zapłacić).

Wszystkie te listy mają wspólną cechę, jest to pusta kartka z dużą tabelką. I za każdym razem skłaniają mnie do długiej, często niemiłej i zakończonej pisemną lub mailową skargą do organizatora zbierania danych, rozmową.

Większość ludzi nie zastanawia się nad tym: dla kogo i przez kogo są zbierane oraz czy zostaną wykorzystane we wskazanym celu. Na razie nie przechodzę do obowiązków wynikających z przepisów prawa, a jedynie do czystej logiki i zaufania do osoby zbierającej. Czy ktokolwiek z Was zadał sobie pytanie, czy jeżeli wpisuje swoje dane na listę, która nie ma żadnego nagłówka ani określonego celu zbierania, to może ona zostać wykorzystana w zupełnie inny sposób niż Was zapewniono? Chociażby do poparcia zupełnie innego kandydata lub inicjatywy, niż ta pod którą się podpisaliście. To jest właśnie główny powód moich “niemiłych” rozmów z osobami, które zbierają dane.

Read More

08 mar

Kto musi powołać ABI/IOD?

Aktualna ustawa o ochronie danych osobowych określa, że powołanie ABI (administratora bezpieczeństwa informacji) jest przywilejem administratora danych. Oznacza to, że ma on możliwość, a nie obowiązek powołania ABI. Warto podkreślić, że w podmiotach, które przetwarzają dane na dużą skalę lub przetwarzają dane wrażliwe, ABI zdecydowanie powinien być powołany, bo pomimo że nie ma tego obowiązku, trudno jest wyobrazić sobie, jak taki podmiot będzie w stanie wywiązać się z obowiązku zapewnienia poufności danych bez osoby odpowiedzialnej za nadzór nad procesami przetwarzania.

Powołanie ABI przez podmioty publiczne (urzędy, szpitale, ośrodki pomocy społecznej, itd), banki, operatorów telekomunikacyjnych, agencje badawcze oraz inne podmioty, które przetwarzają dane w szerokim zakresie i na dużą skalę powinno być obligatoryjne już dzisiaj. Jest to kwestia chociażby zaufania do tych podmiotów oraz dawania przez nie gwarancji należytej świadomości i stosowanych środków w celu ochrony danych. Przekazywanie im danych wiąże się z kwestią zaufania w złożone deklaracje. Pomimo, że nie ma obowiązku powołania ABI, zdecydowanie jest to zalecane w tego typu podmiotach.

Nowelizacja przepisów o ochronie danych osobowych wprowadza w miejsce ABI inspektora ochrony danych osobowych (IOD). Jest to rola rozszerzona w stosunku do obecnych obowiązków ABI. Szerzej omówię to w oddzielnym artykule.  Read More

02 mar

Jak „ugryźć” RODO?

Świadomie od pewnego czasu unikałam szerszego omawiania zagadnienia tematu RODO (unijnego rozporządzenia o ochronie danych osobowych, które od maja 2018 roku zastąpi naszą ustawę o ochronie danych osobowych). Po pierwsze byłam odrobinę ciekawa „jakie szaleństwo narośnie dookoła tego tematu”, po drugie naprawdę liczyłam na to, że przeczytacie RODO. Rzeczywistość wygląda tak, że jesteście na każdym kroku straszeni przez różne firmy wysokimi karami oraz nieobliczalnymi kontrolami, które rozpoczną się już za niecały rok. W efekcie… zasypujecie mnie pytaniami. W większości z nich pytacie co robić? jak się nie dać? oraz co powinien zrobić człowiek, którego właśnie powołano na ABI?

Bardzo staram Wam się pomóc i skrupulatnie, chociaż z ogromnym opóźnieniem odpowiadam na Wasze wiadomości. Jednakże nawet najlepsze rady nie zdadzą się na nic, jeżeli osoba, która jest odpowiedzialna za nadzór nad przestrzeganiem przepisów i za zapewnienie ciągłości działania systemów bezpieczeństwa nie zapoznała się z przepisami. Prawda jest taka, że najlepsze szkolenie nie nauczy Was tego co jest konieczne, jeżeli nie przeczytacie:

Read More

26 lut

Kontrola zarządcza – fakty i mity

Dzisiaj nietypowo, bo gościnnie 🙂  Artykuł Łukasza Wojciechowskiego (Statuo.pl) na temat kontroli zarządczej. Moim zdaniem tekst bardzo dobry, konkretny i pomocny. Świetnie pokazujący „chęci” i „wyniki” związane z obowiązkiem przeprowadzania kontroli zarządczej przez podmioty publiczne. Ze swojej strony dodam także, że Łukasz jest świetnym wykładowcą i trenerem, z którym miałam przyjemność współpracować.

Autor: Łukasz Wojciechowski

Kontrola zarządcza to jeden z najbardziej problematycznych obszarów funkcjonowania administracji rządowej i samorządowej. Wprowadzanie jej mechanizmów wiąże się z różnorakimi problemami. Ale nie tylko, ponieważ wiele podmiotów nie rozumie różnicy pomiędzy kontrolą zarządczą a innymi kontrolami (wewnętrznymi i zewnętrznymi). Różnica ta jest bardzo znacząca i nawet pobieżne zapoznanie się z tematem pozwala ją jasno wskazać.

Czym tak naprawdę jest kontrola zarządcza

Kontrola zarządcza to zbiór zasad, procedur, metod, mechanizmów i instrukcji wspomagających zarządzanie. U jej podstaw leży przemiana kultury stosowania prawa w kulturę osiągania rezultatów. Podstawą prawną jest zaś art. 68 ustawy o finansach publicznych, jednak kontrola zarządcza nie odnosi się tylko do finansów. Wprowadza się ją po to, żeby kierownicy jednostek administracji publicznej zmienili wizję i sposób zarządzania – z doraźnego administrowania skoncentrowanego na procedurach w długoterminowe planowanie. Kontrola zarządcza nie jest zjawiskiem jednorazowym. Nie jest też typowym sprawdzeniem, po którym ma powstać raport. Wśród jej najważniejszych cech wskazać należy: Read More

20 lut

Czym jest System Zarządzania Bezpieczeństwem Informacji (SZBI)?

Pojęć związanych z bezpieczeństwem informacji jest bardzo dużo, a nim głębiej w las, tym ciemniej. Ja sama na początku miałam problem, żeby połapać się w tym co jest czym, co być musi, co być może, a co być powinno (mimo że nie musi).

Fundamentalnym jest System Zarządzania Bezpieczeństwem Informacji, czyli strategia działania w zakresie zapewniania właściwej ochrony informacji poufnych. Strategia ma zapewnić ciągłe doskonalenie podjętych działań i procedur w celu optymalizacji ryzyk związanych z naruszeniem poufności. Mówiąc krótko, na SZBI składają się wszystkie procedury, polityki, regulaminy i instrukcje bezpieczeństwa informacji, które wdrożyliśmy w naszej jednostce organizacyjnej. Read More

12 lut

Jak często ABI powinien się szkolić?

Pytanie o to, jak często i jak bardzo powinien doskonalić się zawodowa administrator bezpieczeństwa informacji pojawia się często w kontekście tego, czy pracodawca który powołał ABI ma obowiązek zapewnić mu odpowiednie szkolenia. W mojej ocenie ABI powinien przynajmniej raz do roku doskonalić swoje umiejętności oraz poszerzać wiedzę, a nawet ośmielę się twierdzić, że dla ABI w dużych podmiotach, który musi szacować ryzyko i zapewnić ciągłość działania, raz do roku to zdecydowanie za mało. Obowiązek doskonalenia zawodowego nie wynika wprost z przepisów, jednakże pośrednio możemy go z nich wywodzić. Przede wszystkim z ustawy o ochronie danych osobowych:

Art. 36a ust. 5. Administratorem bezpieczeństwa informacji może być osoba, która:
1) ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych;
2) posiada odpowiednią wiedzę w zakresie ochrony danych osobowych;
3) nie była karana za umyślne przestępstwo.

Zgodnie z rozporządzeniem MAiC z dnia 10 grudnia 2014 r. w sprawie wzorów zgłoszeń powołania i odwołania administratora bezpieczeństwa informacji, w momencie zgłaszania ABI do rejestru GIODO administrator danych składa oświadczenie: Read More

26 sty

Jak wysokie są kary za naruszenie ustawy o ochronie danych osobowych?

Ze względu na to, że reforma przepisów w zakresie ochrony danych osobowych (tzn. ogólne rozporządzenie o ochronie danych) przewiduje duże zmiany w zakresie nakładania kar za naruszenia przepisów o ochronie danych osobowych, postanowiłam szerzej omówić zmiany. Tym bardziej, że już w sieci pojawiło się sporo mniej lub bardziej prawdziwych informacji na ten temat. Moim zdaniem kary są obecnie zdecydowanie za niskie, za mało dotkliwe i przede wszystkim nieadekwatne do czynu i budżetu podmiotu (dla małych są za wysokie, dla dużych za niskie). Inspiracją do tego wpisu był także artykuł opublikowany w serwisie Sekurak Firma z UK dostała karę ~750 000 PLN. Ukradli im nieszyfrowany dysk, który rozpoczyna się, jakże mocno działającym na emocje zdaniem: Czyżby była to rozgrzewka przed potencjalnymi wysokimi karami (do 10 milionów EUR) związanymi z nowymi wytycznymi odnośnie danych osobowych? Artykuł straszy potencjalnych klientów konsekwencjami zmian przepisów. Demonizuje je i buduje negatywny odbiór. Artykuł jest w swoim przekazie bardzo nierzetelny, gdyż szczegółowa analiza sytuacji, tzn. tego co się wydarzyło, wielkości strat oraz przede wszystkim sytuacji finansowej i możliwości technologicznych „firmy z UK”, wskazują że jest to kara co najmniej adekwatna, jeżeli nie za niska. Jest mi przykro, że w Polsce nie doczekaliśmy się takich kar.

Omawiając zagadnienie skupię się  na karach wynikających bezpośrednio z przepisów o ochronie danych osobowych, pomijając te wynikające chociażby z Kodeksu Cywilnego (za naruszenie dóbr osobistych), czy Kodeksu Karnego (np. za cyberprzestępstwo). Zainteresowanych szerszym spojrzeniem odsyłam do bardzo dobrego omówienia Dochodzenia roszczeń wynikających z cyberprzestępstwa. Read More

18 sty

Czy wysyłanie pracowników na szkolenie BHP wymaga zawarcia umowy powierzenia danych?

Dzisiaj omówię pytanie otrzymane przez mój fanpage od jednego z zaprzyjaźnionych ABI: czy wysyłając pracowników na szkolenie bhp prowadzone przez firmę zewnętrzną, przy przekazywaniu danych pracowników niezbędnych do przeprowadzenia szkolenia należy też sporządzić umowę powierzenia danych? Szkolenia takie są ustawowo obowiązkowe.

Pytanie bardzo mi się spodobało, bo stanowi problem, z którym musi zmierzyć się nie jeden ABI. I jak to w życiu bywa, to co w teorii wydaje się zrozumiałe, w praktyce budzi wątpliwości. Przede wszystkim należy zwrócić uwagę, że szkolenia rzeczywiście są obowiązkowe, ale przecież nie musi ich robić zewnętrzna firma, tylko zatrudniony przez administratora danych specjalista ds. BHP.
Jeżeli firma zdecydowała się jednak na zewnętrzny podmiot, który obsługuje ją w tym zakresie, moim zdaniem, należy podpisać umowę powierzenia (to może być część umowy na usługi lub zlecenia, nie ma obowiązku podpisywania oddzielnego dokumentu). Mówiąc krótko – ADO powierza zadanie, które mógłby zrealizować samodzielnie (i z którym wiąże się przetwarzanie danych, dla których jest ADO), innemu podmiotowi.

Read More

09 sty

Czy można umieścić zgodę na przetwarzanie danych w regulaminie

Nie, nie i jeszcze raz nie. Najchętniej właśnie tak zakończyłabym ten wpis, jednakże jest to tak częsta praktyka, że wymaga szerszego omówienia. Zanim wyjaśnię dlaczego zaznaczę, że taka zgoda jest nieważna, więc nie jest to sprytny sposób na ominięcie problemu pozyskania zgody, a zamienienie małego kłopotu na duży. Zwłaszcza, że często pozyskać zgodę wcale nie jest tak trudno, wszystko jest kwestią chęci. Ale o tym za chwilę 🙂

Zgodnie z art. 7 pkt 5 ustawy o ochronie danych osobowych zgoda to oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści; zgoda może być odwołana w każdym czasie. Zgoda nie może wynikać z oświadczenia woli o innej treści – czyli zgoda nie może być zawarta w regulaminie, którego zaakceptowanie wiąże się ze zgodą na warunki świadczenia usługi. Umieszczenie w regulaminie zgody, oznacza że wynika ona z „oświadczenia woli zgody na zasady świadczenia usługi określone w regulaminie”. Zatem taka zgoda jest domniemana i nieważna. A jeżeli została pozyskana właśnie w ten sposób, to został złamany art. 49.1. ustawy o ochronie danych osobowych Kto przetwarza w zbiorze dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do których przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.

Read More