09 Lip

Czy i w jakim zakresie IOD powinien przeprowadzać audyt RODO w obszarze IT?

Chyba nikt nie ma wątpliwości, że bezpieczeństwo zasobów informacyjnych, w szczególności tych przetwarzanych elektronicznie ma dzisiaj kluczowe znaczenie dla większości usług. Informacja ma wartość i może mieć istotny wpływ na zyski lub straty firmy. Dane osobowe, jako szczególny rodzaj informacji, stanowią nie tylko cenne aktywo firmy (dane kontaktowe klientów, korespondencja, bazy marketingowe), ale często są podstawą działania (dane pracowników, dane z zamówień klientów). Są to zasoby, które muszą podlegać szczególnej ochronie. Wynika to nie tylko z wymagań RODO, ale przede wszystkim zdrowego rozsądku. Jako audytor często uświadamiam szefom spółek, jak cenne są ich zasoby informacyjne i jakie mogą być konsekwencje utraty ich dostępności lub kradzieży. Bardzo często jest tak, że teoretycznie wszyscy wiedzą, że informacje należy chronić, ale aż do momentu oceny ryzyka utraty tych danych, pracownicy i kierownictwo nie zdają sobie sprawy z tego, jak wielkie znaczenie ma podjęcie niezbędnych działań, aby ochrona była skuteczna.

Zgodnie z art. 39 RODO jednym z podstawowych obowiązków inspektora jest monitorowanie zgodności przetwarzania danych z przepisami, w szczególności, czy administrator wprowadził wystarczające zabezpezpieczenia techniczne i organizacyjne. Przyglądając się wymaganiamo pracodawców poszukujących osób mających pełnić rolę IOD, łatwo zauważyć, że poszukiwani są prawnicy lub inne osoby mające wiedzę w zakresie stosowania prawa. Mile widziana jest znajmość norm ISO. Bardzo rzadko, jako wymaganie pojawia się wiedza w zakresie bezpieczeństwa informatycznego. W praktyce mogę większość IOD, których znam podzielić na dwie grupy: IOD z wiedzą prawną lub IOD z wiedzą informatyczną. Ta druga grupa, to najczęściej informatycy, którzy zostali wyznaczeni na stanowisko IOD. Bardzo rzadko zdarza się, aby inspektor miał rozległą wiedzę w zakresie stosowania prawa oraz cyberbezpieczeństwa. W przypadku IOD/informatyków najczęściej dochodzi dodatkowo do konfilktu interesów, który utrudnia skuteczne realizowanie obowiązków. Moim zdaniem inspektor powinien być przede wszystkim osobą, która zna przepisy prawa w zakresie ochrony danych osobowych, a także wymagania przepisów sektorowych.

Jednak jak taka osoba ma realizować swoje obowiązki w zakresie audytów zabezpieczeń teleinformatycznych? Read More

18 Lut

Obowiązki IOD w związku z ustawą o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości

Doczekaliśmy się uregulowania kwestii przetwarzania danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom, które zgodnie z art. 2 ust. 2 lit d RODO było wyłączone spod jego stosowania. Zasady przetwarzania danych przez te podmioty reguluje ustawa z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (dalej będę używać określenia uodopzzzp). Podkreślenia wymaga fakt, że ustawa odnosi się do przetwarzania danych osobowych do wskazanych celów, czyli w pozostałym zakresie zastosowanie będzie miało RODO, w szczególności do zasad przetwarzania danych pracowników, kandydatów do pracy, kontrahentów, uczestników przetargów.

Nowa ustawa reguluje zasady wyznaczenia, a także obowiązki Inspektora Ochrony Danych Osobowych w podmiocie zobligowanym do jej stosowanie. Nie sposób oprzeć się wrażeniu, że to powrót do korzeni, czyli (uchylonej) ustawy o ochronie danych osobowych z 2015 roku (dalej stara uodo), która miała „przygotować” administratorów danych na przyjście RODO. Być może niektórzy pamiętają jeszcze dwa rozporządzenia wykonawcze do tej ustawy, określające sposób realizacji obowiązków przez ówczesnego ABI:

Read More

08 Sie

Czy IOD może wyjechać na wakacje?

Do napisania tego wpisu skłoniły mnie powtarzające się pytania od moich studentów (studia w Białymstoku już trwają, ale macie jeszcze możliwość zapisać się na moje zajęcia w Lublinie) oraz wpis cenionego przeze mnie prawnika i blogera, Wojtka Wawrzaka na jego firmowym fejsbuku (ponieważ jest to post publiczny, z profilu prowadzonego pod hasłem „osoba publiczna” pozwalam sobie na cytat):

Kiedyś przychodzi ten czas, gdy czujesz, że już naprawdę musisz odpocząć. U mnie przyszedł w czerwcu. Po szalonym półroczu wypełnionym nauką, egzaminem zawodowy, a potem RODO. Był taki moment, gdy nad tym całym RODO pracowałem dla klientów po 10-12 godzin dziennie i gdy to szaleństwo się skończyło, poczułem, że w końcu muszę odpocząć.

W założeniach przerwach miała trwać dwa miesiące. W praktyce przez lipiec kończyłem jeszcze to, co obiecałem, że zrobię. Uporałem się z tym, co pilne, resztę w porozumieniu z klientami odłożyłem na wrzesień. Po to, by chociaż ten jeden miesiąc porządnie odpocząć.

(….) Po raz pierwszy od grudnia 2014 r., gdy zacząłem pracować na swoim, poczułem, że potrzebuję totalnego odpoczynku.

Sam w pewnym momencie dałem się ponieść kultowi pracy, byciu wiecznie zajętym, zaangażowaniu ponad swoje siły. Czasem okazuje się, że danie sobie prawa do odpoczynku jest trudniejsze niż ciągłe ciśnięcie na 100%. Daję sobie jednak takie prawo. Potrzebuję i chcę odpocząć. Jestem przekonany, że wyjdzie mi to tylko na dobre. Tym bardziej, że na jesień mam kilka wyzwań… ale o tym już innym razem.

Co prawda Wojtek nie jest IOD, ale ten post… Długo nie dawał mi spokoju. Jego sytuacja i problemy niczym nie różnią się od sytuacji IOD, który sam jest sterem, żeglarzem, okrętem. Wojtek jest profesjonalistą, który świadczy usługi doradcze od 4 lat, jego dostępność niczym nie różni się od dostępności IOD. Kiedy idzie na urlop, nie ma osoby, która byłaby w stanie skutecznie go zastąpić (gdyby było inaczej, nie miałby problemu z urlopem). Dokładnie takie same problemy ma przeciętny IOD, szczególnie ten obsługujący podmioty publiczne lub działający jako firma zewnętrzna. Większość moich studentów pracuje w podmiotach publicznych i obawiają się, że gdy pójdą na urlop „świat się zawali”. Poza tym nagle, gdy zbliża się weekend lub dni wolne pracownicy przypominają sobie o zdarzeniach, które mogą stanowić naruszenia poufności. A na urlopie, to już na pewno będzie naruszenie (kto pracuje jako IOD, wie o czym mówię). Jak żyć?  Read More

09 Lip

Jakie obowiązki ma Inspektor Ochrony Danych?

Nowelizacja „starej” ustawy o ochronie danych osobowych, wprowadzona w 2015 roku miała przygotować administratorów danych osobowych do RODO. Wprowadziła nową, niż dotychczasowa, rolę Administratora Bezpieczeństwa Informacji. Generalny Inspektor Ochrony Danych w wypowiedziach związanych z nowelizacją przepisów, podkreślał, że zmiany mają przygotować przedsiębiorców na projektowane Rozporządzenie o ochronie danych (RODO). Rolę i obowiązki ABI określono w rozdziale  (Zabezpieczenie danych osobowych) „starej” ustawy o ochronie danych osobowych (Dz.U. 2016 poz. 922).

Wśród obowiązków ABI było zapewnienie przestrzegania przepisów o ochronie danych osobowych, w szczególności poprzez:

a) sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych,

b) nadzorowanie opracowania i aktualizowania dokumentacji oraz przestrzegania zasad w niej określonych,

c) zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych;

a także prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych.

Sposób realizacji obowiązków ABI określały dwa rozporządzenia wykonawcze do ustawy:

  • Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji
  • Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych

Jednocześnie ustawa dawała możliwość powierzenia ABI innych obowiązków, jeżeli nie naruszy to prawidłowego realizowania przez niego swoich głównych zadań, związanych z nadzorem nad zgodnością przetwarzania danych.

Mówiąc krótko, dotychczasowe przepisy dosyć szczegółowo określały zakres obowiązków ABI.

Jak wyglądają obowiązki nowego ABI, czyli Inspektora Ochrony Danych w świetle przepisów RODO? Read More

20 Maj

Zasady zgłaszania IOD

Na stronie GIODO pojawiły się wytyczne dotyczące zgłaszania Inspektorów Ochrony Danych:  https://giodo.gov.pl/pl/1520281/10506. Poniżej wybrane informacje ze strony GIODO:

  • Zawiadomienia o wyznaczeniu IOD należy dokonywać od 25 maja 2018 r. Od tego dnia nie należy do nas kierować zgłoszeń powołania i odwołania ABI.
  • Zawiadomienia o wyznaczeniu IOD należy dokonywać w postaci elektronicznej i opatrzyć kwalifikowanym podpisem elektronicznym albo podpisem potwierdzonym profilem zaufanym ePUAP. Po 25 maja 2018 r. na stronie internetowej urzędu będzie udostępniony elektroniczny formularz służący do tego celu.

W okresie przejściowym, bezpośrednio po wejściu w życie ustawy, zostały przewidziane różne terminy na dopełnienie tego obowiązku. Zależą one od tego, czy dany podmiot przed 25 maja 2018 r. miał powołanego administratora bezpieczeństwa informacji (ABI), a także od tego, czy nowe przepisy nakładają na niego obowiązek wyznaczenia inspektora ochrony danych. Read More

27 Kwi

Szkolenie „Zostań Inspektorem Ochrony Danych”

Zapraszam Was na szkolenie, które jest perełką wśród szkoleń. Wszyscy prowadzący są praktykami, którzy podzielą się z Wami swoim doświadczeń zawodowym. Jest to szkolenie dające zaawansowaną wiedzę w zakresie nadzorowania procesów przetwarzania danych. Pozwala zrozumieć co, jak i dlaczego. I najważniejsze. Postanowiliśmy je zorganizować, bo nasi klienci bardzo intensywnie poszukują Inspektorów Ochrony Danych, proszą o polecenie kogoś, kto naprawdę zna się na rzeczy, a my nie jesteśmy w stanie polecić nikogo „sensownego” kto miałby wiedzę, kwalifikacje oraz czas, aby zająć się tematem (nie oszukujmy się, większość specjalistów jest teraz maksymalnie obciążona pracą). Szkolenie odbędzie się w lipcu, kiedy (mamy nadzieję) trochę opadanie RODOszaleństwo. Uczestnicy ostatniego dnia otrzymają szansę weryfikacji swojej wiedzy i kwalifikacji. A jeżeli uzyskają co najmniej 80% punktów w naszym teście, będziemy (oczywiście za ich zgodą) przez 12 miesięcy polecać ich naszym klientom (i potencjalnym klientom), a także zamieścimy ich dane na naszej stronie z informacją, że polecamy do wykonywania zadań IOD i zweryfikowaliśmy ich wiedzę w tym zakresie. To szkolenie może być szansą na start w tym zawodzie, dla osób, które wcześniej nie zajmowały się tym zagadnieniem i nie wiedzą od czego zacząć, w szczególności nie mają kontaktów biznesowych. Read More

13 Lip

Inspektor Ochrony Danych – czy będzie praca?

Wiem, że niecierpliwie czekacie na kolejne wpisy. Dłuższe odstępy między nowymi artykułami to nie efekt mojego lenistwa, tylko lawiny pracy i artykułów (w tym jednego bardzo ciekawego, naukowego, który ukaże się jesienią). Powtarzałam to i będę powtarzać, że w tej branży, dla ludzi pracowitych i zdolny, jest praca i dobre zarobki. Jeżeli interesuje Was ta tematyka ochrony danych osobowych, bezpieczeństwa informacji, ciągłości działania, cyberbezpieczeństwa, naprawdę polecam Wam profesjonalizację w kierunku wykonywania zawodu Inspektora Ochrony Danych. Opierając się na własnych doświadczeniu, mogę Wam powiedzieć, że na rynku jest bardzo mało dobrych specjalistów zajmujących się tematyką ochrony danych osobowych, a znalezienie dobrego administratora bezpieczeństwa informacji, który docelowo będzie ustawowym inspektorem ochrony danych graniczy z cudem. Ja sama współpracuję z trzema specjalistami w tej dziedzinie, gdyż potencjalnych klientów jest tak dużo, że nie jestem w stanie sama zrealizować zleceń, a nie chcę zostawiać ich z niczym. Read More

29 Mar

Komentarz: Projekt MAiC ustawy o ochronie danych osobowych

Ministerstwo Administracji i Cyfryzacji po przeprowadzeniu konsultacji z GIODO, związkami przedsiębiorców oraz Stowarzyszeniem ABI postanowiło opublikować bardzo wstępny projekt nowej ustawy o ochronie danych osobowych. Warto podkreślić, że nowa ustawa ma na celu doprecyzowanie tych elementów RODO, w których unijny ustawodawca pozostawił swobodę krajom członkowskim. Mówiąc krótko nie jest to transpozycja unijnego przepisu, który obowiązuje nas w opublikowanej treści, a zapewnienie skuteczności normom przewidzianym w RODO. Projekt może jeszcze ulec wielu zmianom, więc nie należy traktować jego treści jako wiążącej, jednakże na pewno ujawnia kierunek, w którym zmierza ustawodawca i pozwala lepiej przygotować się na jego wprowadzenie i późniejsze stosowanie.

Przed przeczytaniem treści ustawy, warto najpierw sięgnąć po bardzo przystępnie napisane wprowadzenie do projektu ustawy. Moim zdaniem po jego przeczytaniu bardzo łatwo przyjdzie przyswojenie treści samego projektu. Jakie zmiany? Read More

08 Mar

Kto musi powołać ABI/IOD?

Aktualna ustawa o ochronie danych osobowych określa, że powołanie ABI (administratora bezpieczeństwa informacji) jest przywilejem administratora danych. Oznacza to, że ma on możliwość, a nie obowiązek powołania ABI. Warto podkreślić, że w podmiotach, które przetwarzają dane na dużą skalę lub przetwarzają dane wrażliwe, ABI zdecydowanie powinien być powołany, bo pomimo że nie ma tego obowiązku, trudno jest wyobrazić sobie, jak taki podmiot będzie w stanie wywiązać się z obowiązku zapewnienia poufności danych bez osoby odpowiedzialnej za nadzór nad procesami przetwarzania.

Powołanie ABI przez podmioty publiczne (urzędy, szpitale, ośrodki pomocy społecznej, itd), banki, operatorów telekomunikacyjnych, agencje badawcze oraz inne podmioty, które przetwarzają dane w szerokim zakresie i na dużą skalę powinno być obligatoryjne już dzisiaj. Jest to kwestia chociażby zaufania do tych podmiotów oraz dawania przez nie gwarancji należytej świadomości i stosowanych środków w celu ochrony danych. Przekazywanie im danych wiąże się z kwestią zaufania w złożone deklaracje. Pomimo, że nie ma obowiązku powołania ABI, zdecydowanie jest to zalecane w tego typu podmiotach.

Nowelizacja przepisów o ochronie danych osobowych wprowadza w miejsce ABI inspektora ochrony danych osobowych (IOD). Jest to rola rozszerzona w stosunku do obecnych obowiązków ABI. Szerzej omówię to w oddzielnym artykule.  Read More