Sylwia Czub bloguje o danych osobowych

03 kwi

Jak wprowadzić nowy wzór upoważnienia do przetwarzania danych?

Ostatnio otrzymałam takie pytanie od Pani Samanty i uświadomiłam sobie, że nie jest to banalny problem, bo sama musiałam się z nim zmierzyć na początku mojej przygody w roli ABI. Wtedy niestety nie wyszło mi to najlepiej…

Zasady nadawania/zmiany/odwołania upoważnień są istotnym elementem, którego nie powinno zabraknąć w polityce bezpieczeństwa (jest to jeden ze stosowanych przez administratora danych środków organizacyjnych mających na celu zapewnienie poufności informacji). Ja w mojej ówczesnej polityce nie miałam przewidzianej sytuacji zmiany wzoru upoważnienia. Dlatego za pierwszym razem odwoływałam wszystkie upoważnienia i nadawałam wszystkim nowe. Wyobraźcie sobie ile było z tym pracy i zamieszania przy ponad 100 osobowej organizacji i ponad 20 zbiorach danych, gdzie stosowałam zasadę nadawania upoważnienia do każdego zbioru. Koszmar. W dodatku ciągle mi czegoś brakowało, nie zgadzało się, itd. Nie wiedziałam co zrobić ze starymi upoważnieniami (niszczyć, czy trzymać?) oraz jak wpisać zmianę do ewidencji upoważnień. To doświadczenie nauczyło mnie, że najpierw należy zastanowić się nad przebiegiem procesu, następnie zacząć działać. Read More →

29 mar

Komentarz: Projekt MAiC ustawy o ochronie danych osobowych

Ministerstwo Administracji i Cyfryzacji po przeprowadzeniu konsultacji z GIODO, związkami przedsiębiorców oraz Stowarzyszeniem ABI postanowiło opublikować bardzo wstępny projekt nowej ustawy o ochronie danych osobowych. Warto podkreślić, że nowa ustawa ma na celu doprecyzowanie tych elementów RODO, w których unijny ustawodawca pozostawił swobodę krajom członkowskim. Mówiąc krótko nie jest to transpozycja unijnego przepisu, który obowiązuje nas w opublikowanej treści, a zapewnienie skuteczności normom przewidzianym w RODO. Projekt może jeszcze ulec wielu zmianom, więc nie należy traktować jego treści jako wiążącej, jednakże na pewno ujawnia kierunek, w którym zmierza ustawodawca i pozwala lepiej przygotować się na jego wprowadzenie i późniejsze stosowanie.

Przed przeczytaniem treści ustawy, warto najpierw sięgnąć po bardzo przystępnie napisane wprowadzenie do projektu ustawy. Moim zdaniem po jego przeczytaniu bardzo łatwo przyjdzie przyswojenie treści samego projektu. Jakie zmiany? Read More →

22 mar

Listy poparcia a dane osobowe

Przez zagadnienie “listy poparcia” rozumiem wszelkiego rodzaju tabelki, w których podajemy swoje dane, w celu poparcia jakiejś inicjatywy, kandydata politycznego albo zadeklarowania jakiegoś stanowiska (np. płatności na rzecz organizacji charytatywnej). Ostatnio też spotkałam się z taką listą robioną na potrzeby informacji dla mojej parafii, czy kupiłam opłatek od jego przedstawiciela (należało wpisać imię, nazwisko, adres oraz kwotę, którą postanowiło się zapłacić).

Wszystkie te listy mają wspólną cechę, jest to pusta kartka z dużą tabelką. I za każdym razem skłaniają mnie do długiej, często niemiłej i zakończonej pisemną lub mailową skargą do organizatora zbierania danych, rozmową.

Większość ludzi nie zastanawia się nad tym: dla kogo i przez kogo są zbierane oraz czy zostaną wykorzystane we wskazanym celu. Na razie nie przechodzę do obowiązków wynikających z przepisów prawa, a jedynie do czystej logiki i zaufania do osoby zbierającej. Czy ktokolwiek z Was zadał sobie pytanie, czy jeżeli wpisuje swoje dane na listę, która nie ma żadnego nagłówka ani określonego celu zbierania, to może ona zostać wykorzystana w zupełnie inny sposób niż Was zapewniono? Chociażby do poparcia zupełnie innego kandydata lub inicjatywy, niż ta pod którą się podpisaliście. To jest właśnie główny powód moich “niemiłych” rozmów z osobami, które zbierają dane.

Jaka przyszłość czeka prawo do prywatności?

Serdecznie zapraszam do Was do obejrzenia mojego wystąpienia na konferencji Fenomenalna Biblioteka, która odbyła się w zeszłym roku w Łodzi. Miałam zaszczyt wystąpić pierwszego dnia konferencji.

08 mar

Kto musi powołać ABI/IOD?

Aktualna ustawa o ochronie danych osobowych określa, że powołanie ABI (administratora bezpieczeństwa informacji) jest przywilejem administratora danych. Oznacza to, że ma on możliwość, a nie obowiązek powołania ABI. Warto podkreślić, że w podmiotach, które przetwarzają dane na dużą skalę lub przetwarzają dane wrażliwe, ABI zdecydowanie powinien być powołany, bo pomimo że nie ma tego obowiązku, trudno jest wyobrazić sobie, jak taki podmiot będzie w stanie wywiązać się z obowiązku zapewnienia poufności danych bez osoby odpowiedzialnej za nadzór nad procesami przetwarzania.

Powołanie ABI przez podmioty publiczne (urzędy, szpitale, ośrodki pomocy społecznej, itd), banki, operatorów telekomunikacyjnych, agencje badawcze oraz inne podmioty, które przetwarzają dane w szerokim zakresie i na dużą skalę powinno być obligatoryjne już dzisiaj. Jest to kwestia chociażby zaufania do tych podmiotów oraz dawania przez nie gwarancji należytej świadomości i stosowanych środków w celu ochrony danych. Przekazywanie im danych wiąże się z kwestią zaufania w złożone deklaracje. Pomimo, że nie ma obowiązku powołania ABI, zdecydowanie jest to zalecane w tego typu podmiotach.

Nowelizacja przepisów o ochronie danych osobowych wprowadza w miejsce ABI inspektora ochrony danych osobowych (IOD). Jest to rola rozszerzona w stosunku do obecnych obowiązków ABI. Szerzej omówię to w oddzielnym artykule. Read More →

02 mar

Jak „ugryźć” RODO?

Świadomie od pewnego czasu unikałam szerszego omawiania zagadnienia tematu RODO (unijnego rozporządzenia o ochronie danych osobowych, które od maja 2018 roku zastąpi naszą ustawę o ochronie danych osobowych). Po pierwsze byłam odrobinę ciekawa „jakie szaleństwo narośnie dookoła tego tematu”, po drugie naprawdę liczyłam na to, że przeczytacie RODO. Rzeczywistość wygląda tak, że jesteście na każdym kroku straszeni przez różne firmy wysokimi karami oraz nieobliczalnymi kontrolami, które rozpoczną się już za niecały rok. W efekcie… zasypujecie mnie pytaniami. W większości z nich pytacie co robić? jak się nie dać? oraz co powinien zrobić człowiek, którego właśnie powołano na ABI?

Bardzo staram Wam się pomóc i skrupulatnie, chociaż z ogromnym opóźnieniem odpowiadam na Wasze wiadomości. Jednakże nawet najlepsze rady nie zdadzą się na nic, jeżeli osoba, która jest odpowiedzialna za nadzór nad przestrzeganiem przepisów i za zapewnienie ciągłości działania systemów bezpieczeństwa nie zapoznała się z przepisami. Prawda jest taka, że najlepsze szkolenie nie nauczy Was tego co jest konieczne, jeżeli nie przeczytacie:

Kontrola zarządcza – fakty i mity

Dzisiaj nietypowo, bo gościnnie 🙂 Artykuł Łukasza Wojciechowskiego (Statuo.pl) na temat kontroli zarządczej. Moim zdaniem tekst bardzo dobry, konkretny i pomocny. Świetnie pokazujący „chęci” i „wyniki” związane z obowiązkiem przeprowadzania kontroli zarządczej przez podmioty publiczne. Ze swojej strony dodam także, że Łukasz jest świetnym wykładowcą i trenerem, z którym miałam przyjemność współpracować.

Autor: Łukasz Wojciechowski

Kontrola zarządcza to jeden z najbardziej problematycznych obszarów funkcjonowania administracji rządowej i samorządowej. Wprowadzanie jej mechanizmów wiąże się z różnorakimi problemami. Ale nie tylko, ponieważ wiele podmiotów nie rozumie różnicy pomiędzy kontrolą zarządczą a innymi kontrolami (wewnętrznymi i zewnętrznymi). Różnica ta jest bardzo znacząca i nawet pobieżne zapoznanie się z tematem pozwala ją jasno wskazać.

Czym tak naprawdę jest kontrola zarządcza

Kontrola zarządcza to zbiór zasad, procedur, metod, mechanizmów i instrukcji wspomagających zarządzanie. U jej podstaw leży przemiana kultury stosowania prawa w kulturę osiągania rezultatów. Podstawą prawną jest zaś art. 68 ustawy o finansach publicznych, jednak kontrola zarządcza nie odnosi się tylko do finansów. Wprowadza się ją po to, żeby kierownicy jednostek administracji publicznej zmienili wizję i sposób zarządzania – z doraźnego administrowania skoncentrowanego na procedurach w długoterminowe planowanie. Kontrola zarządcza nie jest zjawiskiem jednorazowym. Nie jest też typowym sprawdzeniem, po którym ma powstać raport. Wśród jej najważniejszych cech wskazać należy: Read More →

20 lut

Czym jest System Zarządzania Bezpieczeństwem Informacji (SZBI)?

Pojęć związanych z bezpieczeństwem informacji jest bardzo dużo, a nim głębiej w las, tym ciemniej. Ja sama na początku miałam problem, żeby połapać się w tym co jest czym, co być musi, co być może, a co być powinno (mimo że nie musi).

Fundamentalnym jest System Zarządzania Bezpieczeństwem Informacji, czyli strategia działania w zakresie zapewniania właściwej ochrony informacji poufnych. Strategia ma zapewnić ciągłe doskonalenie podjętych działań i procedur w celu optymalizacji ryzyk związanych z naruszeniem poufności. Mówiąc krótko, na SZBI składają się wszystkie procedury, polityki, regulaminy i instrukcje bezpieczeństwa informacji, które wdrożyliśmy w naszej jednostce organizacyjnej. Read More →

12 lut

Jak często ABI powinien się szkolić?

Pytanie o to, jak często i jak bardzo powinien doskonalić się zawodowa administrator bezpieczeństwa informacji pojawia się często w kontekście tego, czy pracodawca który powołał ABI ma obowiązek zapewnić mu odpowiednie szkolenia. W mojej ocenie ABI powinien przynajmniej raz do roku doskonalić swoje umiejętności oraz poszerzać wiedzę, a nawet ośmielę się twierdzić, że dla ABI w dużych podmiotach, który musi szacować ryzyko i zapewnić ciągłość działania, raz do roku to zdecydowanie za mało. Obowiązek doskonalenia zawodowego nie wynika wprost z przepisów, jednakże pośrednio możemy go z nich wywodzić. Przede wszystkim z ustawy o ochronie danych osobowych:

Art. 36a ust. 5. Administratorem bezpieczeństwa informacji może być osoba, która:
1) ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych;
2) posiada odpowiednią wiedzę w zakresie ochrony danych osobowych;
3) nie była karana za umyślne przestępstwo.

Zgodnie z rozporządzeniem MAiC z dnia 10 grudnia 2014 r. w sprawie wzorów zgłoszeń powołania i odwołania administratora bezpieczeństwa informacji, w momencie zgłaszania ABI do rejestru GIODO administrator danych składa oświadczenie: Read More →

26 sty

Jak wysokie są kary za naruszenie ustawy o ochronie danych osobowych?

Ze względu na to, że reforma przepisów w zakresie ochrony danych osobowych (tzn. ogólne rozporządzenie o ochronie danych) przewiduje duże zmiany w zakresie nakładania kar za naruszenia przepisów o ochronie danych osobowych, postanowiłam szerzej omówić zmiany. Tym bardziej, że już w sieci pojawiło się sporo mniej lub bardziej prawdziwych informacji na ten temat. Moim zdaniem kary są obecnie zdecydowanie za niskie, za mało dotkliwe i przede wszystkim nieadekwatne do czynu i budżetu podmiotu (dla małych są za wysokie, dla dużych za niskie). Inspiracją do tego wpisu był także artykuł opublikowany w serwisie Sekurak Firma z UK dostała karę ~750 000 PLN. Ukradli im nieszyfrowany dysk, który rozpoczyna się, jakże mocno działającym na emocje zdaniem: Czyżby była to rozgrzewka przed potencjalnymi wysokimi karami (do 10 milionów EUR) związanymi z nowymi wytycznymi odnośnie danych osobowych? Artykuł straszy potencjalnych klientów konsekwencjami zmian przepisów. Demonizuje je i buduje negatywny odbiór. Artykuł jest w swoim przekazie bardzo nierzetelny, gdyż szczegółowa analiza sytuacji, tzn. tego co się wydarzyło, wielkości strat oraz przede wszystkim sytuacji finansowej i możliwości technologicznych „firmy z UK”, wskazują że jest to kara co najmniej adekwatna, jeżeli nie za niska. Jest mi przykro, że w Polsce nie doczekaliśmy się takich kar.

Omawiając zagadnienie skupię się na karach wynikających bezpośrednio z przepisów o ochronie danych osobowych, pomijając te wynikające chociażby z Kodeksu Cywilnego (za naruszenie dóbr osobistych), czy Kodeksu Karnego (np. za cyberprzestępstwo). Zainteresowanych szerszym spojrzeniem odsyłam do bardzo dobrego omówienia Dochodzenia roszczeń wynikających z cyberprzestępstwa. Read More →