08 Sie

Czy IOD może wyjechać na wakacje?

Do napisania tego wpisu skłoniły mnie powtarzające się pytania od moich studentów (studia w Białymstoku już trwają, ale macie jeszcze możliwość zapisać się na moje zajęcia w Lublinie) oraz wpis cenionego przeze mnie prawnika i blogera, Wojtka Wawrzaka na jego firmowym fejsbuku (ponieważ jest to post publiczny, z profilu prowadzonego pod hasłem “osoba publiczna” pozwalam sobie na cytat):

Kiedyś przychodzi ten czas, gdy czujesz, że już naprawdę musisz odpocząć. U mnie przyszedł w czerwcu. Po szalonym półroczu wypełnionym nauką, egzaminem zawodowy, a potem RODO. Był taki moment, gdy nad tym całym RODO pracowałem dla klientów po 10-12 godzin dziennie i gdy to szaleństwo się skończyło, poczułem, że w końcu muszę odpocząć.

W założeniach przerwach miała trwać dwa miesiące. W praktyce przez lipiec kończyłem jeszcze to, co obiecałem, że zrobię. Uporałem się z tym, co pilne, resztę w porozumieniu z klientami odłożyłem na wrzesień. Po to, by chociaż ten jeden miesiąc porządnie odpocząć.

(….) Po raz pierwszy od grudnia 2014 r., gdy zacząłem pracować na swoim, poczułem, że potrzebuję totalnego odpoczynku.

Sam w pewnym momencie dałem się ponieść kultowi pracy, byciu wiecznie zajętym, zaangażowaniu ponad swoje siły. Czasem okazuje się, że danie sobie prawa do odpoczynku jest trudniejsze niż ciągłe ciśnięcie na 100%. Daję sobie jednak takie prawo. Potrzebuję i chcę odpocząć. Jestem przekonany, że wyjdzie mi to tylko na dobre. Tym bardziej, że na jesień mam kilka wyzwań… ale o tym już innym razem.

Co prawda Wojtek nie jest IOD, ale ten post… Długo nie dawał mi spokoju. Jego sytuacja i problemy niczym nie różnią się od sytuacji IOD, który sam jest sterem, żeglarzem, okrętem. Wojtek jest profesjonalistą, który świadczy usługi doradcze od 4 lat, jego dostępność niczym nie różni się od dostępności IOD. Kiedy idzie na urlop, nie ma osoby, która byłaby w stanie skutecznie go zastąpić (gdyby było inaczej, nie miałby problemu z urlopem). Dokładnie takie same problemy ma przeciętny IOD, szczególnie ten obsługujący podmioty publiczne lub działający jako firma zewnętrzna. Większość moich studentów pracuje w podmiotach publicznych i obawiają się, że gdy pójdą na urlop “świat się zawali”. Poza tym nagle, gdy zbliża się weekend lub dni wolne pracownicy przypominają sobie o zdarzeniach, które mogą stanowić naruszenia poufności. A na urlopie, to już na pewno będzie naruszenie (kto pracuje jako IOD, wie o czym mówię). Jak żyć?  Read More

09 Lip

Jakie obowiązki ma Inspektor Ochrony Danych?

Nowelizacja „starej” ustawy o ochronie danych osobowych, wprowadzona w 2015 roku miała przygotować administratorów danych osobowych do RODO. Wprowadziła nową, niż dotychczasowa, rolę Administratora Bezpieczeństwa Informacji. Generalny Inspektor Ochrony Danych w wypowiedziach związanych z nowelizacją przepisów, podkreślał, że zmiany mają przygotować przedsiębiorców na projektowane Rozporządzenie o ochronie danych (RODO). Rolę i obowiązki ABI określono w rozdziale  (Zabezpieczenie danych osobowych) „starej” ustawy o ochronie danych osobowych (Dz.U. 2016 poz. 922).

Wśród obowiązków ABI było zapewnienie przestrzegania przepisów o ochronie danych osobowych, w szczególności poprzez:

a) sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych,

b) nadzorowanie opracowania i aktualizowania dokumentacji oraz przestrzegania zasad w niej określonych,

c) zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych;

a także prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych.

Sposób realizacji obowiązków ABI określały dwa rozporządzenia wykonawcze do ustawy:

  • Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji
  • Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych

Jednocześnie ustawa dawała możliwość powierzenia ABI innych obowiązków, jeżeli nie naruszy to prawidłowego realizowania przez niego swoich głównych zadań, związanych z nadzorem nad zgodnością przetwarzania danych.

Mówiąc krótko, dotychczasowe przepisy dosyć szczegółowo określały zakres obowiązków ABI.

Jak wyglądają obowiązki nowego ABI, czyli Inspektora Ochrony Danych w świetle przepisów RODO? Read More

20 Maj

Zasady zgłaszania IOD

Na stronie GIODO pojawiły się wytyczne dotyczące zgłaszania Inspektorów Ochrony Danych:  https://giodo.gov.pl/pl/1520281/10506. Poniżej wybrane informacje ze strony GIODO:

  • Zawiadomienia o wyznaczeniu IOD należy dokonywać od 25 maja 2018 r. Od tego dnia nie należy do nas kierować zgłoszeń powołania i odwołania ABI.
  • Zawiadomienia o wyznaczeniu IOD należy dokonywać w postaci elektronicznej i opatrzyć kwalifikowanym podpisem elektronicznym albo podpisem potwierdzonym profilem zaufanym ePUAP. Po 25 maja 2018 r. na stronie internetowej urzędu będzie udostępniony elektroniczny formularz służący do tego celu.

W okresie przejściowym, bezpośrednio po wejściu w życie ustawy, zostały przewidziane różne terminy na dopełnienie tego obowiązku. Zależą one od tego, czy dany podmiot przed 25 maja 2018 r. miał powołanego administratora bezpieczeństwa informacji (ABI), a także od tego, czy nowe przepisy nakładają na niego obowiązek wyznaczenia inspektora ochrony danych. Read More

27 Kwi

Szkolenie “Zostań Inspektorem Ochrony Danych”

Zapraszam Was na szkolenie, które jest perełką wśród szkoleń. Wszyscy prowadzący są praktykami, którzy podzielą się z Wami swoim doświadczeń zawodowym. Jest to szkolenie dające zaawansowaną wiedzę w zakresie nadzorowania procesów przetwarzania danych. Pozwala zrozumieć co, jak i dlaczego. I najważniejsze. Postanowiliśmy je zorganizować, bo nasi klienci bardzo intensywnie poszukują Inspektorów Ochrony Danych, proszą o polecenie kogoś, kto naprawdę zna się na rzeczy, a my nie jesteśmy w stanie polecić nikogo “sensownego” kto miałby wiedzę, kwalifikacje oraz czas, aby zająć się tematem (nie oszukujmy się, większość specjalistów jest teraz maksymalnie obciążona pracą). Szkolenie odbędzie się w lipcu, kiedy (mamy nadzieję) trochę opadanie RODOszaleństwo. Uczestnicy ostatniego dnia otrzymają szansę weryfikacji swojej wiedzy i kwalifikacji. A jeżeli uzyskają co najmniej 80% punktów w naszym teście, będziemy (oczywiście za ich zgodą) przez 12 miesięcy polecać ich naszym klientom (i potencjalnym klientom), a także zamieścimy ich dane na naszej stronie z informacją, że polecamy do wykonywania zadań IOD i zweryfikowaliśmy ich wiedzę w tym zakresie. To szkolenie może być szansą na start w tym zawodzie, dla osób, które wcześniej nie zajmowały się tym zagadnieniem i nie wiedzą od czego zacząć, w szczególności nie mają kontaktów biznesowych. Read More

13 Lip

Inspektor Ochrony Danych – czy będzie praca?

Wiem, że niecierpliwie czekacie na kolejne wpisy. Dłuższe odstępy między nowymi artykułami to nie efekt mojego lenistwa, tylko lawiny pracy i artykułów (w tym jednego bardzo ciekawego, naukowego, który ukaże się jesienią). Powtarzałam to i będę powtarzać, że w tej branży, dla ludzi pracowitych i zdolny, jest praca i dobre zarobki. Jeżeli interesuje Was ta tematyka ochrony danych osobowych, bezpieczeństwa informacji, ciągłości działania, cyberbezpieczeństwa, naprawdę polecam Wam profesjonalizację w kierunku wykonywania zawodu Inspektora Ochrony Danych. Opierając się na własnych doświadczeniu, mogę Wam powiedzieć, że na rynku jest bardzo mało dobrych specjalistów zajmujących się tematyką ochrony danych osobowych, a znalezienie dobrego administratora bezpieczeństwa informacji, który docelowo będzie ustawowym inspektorem ochrony danych graniczy z cudem. Ja sama współpracuję z trzema specjalistami w tej dziedzinie, gdyż potencjalnych klientów jest tak dużo, że nie jestem w stanie sama zrealizować zleceń, a nie chcę zostawiać ich z niczym. Read More

29 Mar

Komentarz: Projekt MAiC ustawy o ochronie danych osobowych

Ministerstwo Administracji i Cyfryzacji po przeprowadzeniu konsultacji z GIODO, związkami przedsiębiorców oraz Stowarzyszeniem ABI postanowiło opublikować bardzo wstępny projekt nowej ustawy o ochronie danych osobowych. Warto podkreślić, że nowa ustawa ma na celu doprecyzowanie tych elementów RODO, w których unijny ustawodawca pozostawił swobodę krajom członkowskim. Mówiąc krótko nie jest to transpozycja unijnego przepisu, który obowiązuje nas w opublikowanej treści, a zapewnienie skuteczności normom przewidzianym w RODO. Projekt może jeszcze ulec wielu zmianom, więc nie należy traktować jego treści jako wiążącej, jednakże na pewno ujawnia kierunek, w którym zmierza ustawodawca i pozwala lepiej przygotować się na jego wprowadzenie i późniejsze stosowanie.

Przed przeczytaniem treści ustawy, warto najpierw sięgnąć po bardzo przystępnie napisane wprowadzenie do projektu ustawy. Moim zdaniem po jego przeczytaniu bardzo łatwo przyjdzie przyswojenie treści samego projektu. Jakie zmiany? Read More

08 Mar

Kto musi powołać ABI/IOD?

Aktualna ustawa o ochronie danych osobowych określa, że powołanie ABI (administratora bezpieczeństwa informacji) jest przywilejem administratora danych. Oznacza to, że ma on możliwość, a nie obowiązek powołania ABI. Warto podkreślić, że w podmiotach, które przetwarzają dane na dużą skalę lub przetwarzają dane wrażliwe, ABI zdecydowanie powinien być powołany, bo pomimo że nie ma tego obowiązku, trudno jest wyobrazić sobie, jak taki podmiot będzie w stanie wywiązać się z obowiązku zapewnienia poufności danych bez osoby odpowiedzialnej za nadzór nad procesami przetwarzania.

Powołanie ABI przez podmioty publiczne (urzędy, szpitale, ośrodki pomocy społecznej, itd), banki, operatorów telekomunikacyjnych, agencje badawcze oraz inne podmioty, które przetwarzają dane w szerokim zakresie i na dużą skalę powinno być obligatoryjne już dzisiaj. Jest to kwestia chociażby zaufania do tych podmiotów oraz dawania przez nie gwarancji należytej świadomości i stosowanych środków w celu ochrony danych. Przekazywanie im danych wiąże się z kwestią zaufania w złożone deklaracje. Pomimo, że nie ma obowiązku powołania ABI, zdecydowanie jest to zalecane w tego typu podmiotach.

Nowelizacja przepisów o ochronie danych osobowych wprowadza w miejsce ABI inspektora ochrony danych osobowych (IOD). Jest to rola rozszerzona w stosunku do obecnych obowiązków ABI. Szerzej omówię to w oddzielnym artykule.  Read More