Archiwum dla miesiąca: luty 2017


Nowe prawo ochrony danych osobowych – rola ABI

Wielkimi krokami zbliżamy się do daty rozpoczęcia stosowania przepisów rozporządzenia PE i Rady (UE) w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych osobowych, RODO). 25 maja 2018 roku administratorzy danych osobowych oraz podmioty przetwarzające dane muszą mieć wdrożony system ochrony danych osobowych, dostosowany do wymogów RODO. Działania w celu dostosowania systemu ochrony danych osobowych do przepisów unijnych powinny być zatem realizowane już dzisiaj. Ważną rolę w przygotowaniu do nowych regulacji mogą stanowić obecni Administratorzy Bezpieczeństwa Informacji (ABI), a w przyszłości Inspektorzy Ochrony Danych (Data Protection Officer).  W świetle ogólnego rozporządzenia, to Inspektorzy Ochrony Danych mają być gwarantem bezpieczeństwa przetwarzanych danych. I podobnie, jak w przypadku ABI mają to być osoby, które dysponują fachową wiedzą i kompetencjami z dziedziny ochrony danych osobowych. Zgodnie z RODO Inspektor Ochrony Danych jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych osobowych oraz umiejętności wypełniania powierzonych mu zadań.

I chociaż obecnie ustawa o ochronie danych osobowych nie wskazuje na obligatoryjność powołania ABI, to jednak wyznaczenie Administratora Bezpieczeństwa Informacji jest postrzegane jako jeden z kluczowych ustawowych elementów systemu bezpieczeństwa danych osobowych, który minimalizuje ryzyko wystąpienia incydentów z udziałem danych osobowych. W podmiotach, w których administrator danych nie powołał ABI ryzyko wystąpienia zagrożeń związanych z danymi osobowymi znacząco wzrasta a realizacja wszystkich obowiązków wynikających z ustawy o ochronie danych osobowych oraz odpowiedzialność za cały system bezpieczeństwa przetwarzanych danych osobowych spoczywa wyłącznie na administratorze danych.

Unijne rozporządzenie, w niektórych przypadkach nie daje administratorowi fakultatywności wyznaczenia Inspektora Ochrony Danych Osobowych. Obligatoryjność powołania Inspektora Ochrony Danych Osobowych będzie dotyczyła:

–  organów i podmiotów publicznych z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;

– administratorów danych oraz podmiotów przetwarzających dane, których główna działalność polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę;

– administratorów oraz podmiotów przetwarzających dane, których główna działalność polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych oraz danych dotyczących wyroków skazujących i naruszeń prawa.

Reforma unijna wprowadza nowe podejście do ochrony danych osobowych. Organizacja ochrony danych osobowych skoncentrowana na identyfikacji istniejącego jak i potencjalnego ryzyka dla ochrony danych osobowych oraz zapewnienie prawa do prywatności osób, których dane dotyczą już na etapie projektowania rozwiązań technicznych bądź organizacyjnych (privacy by desing), a także realizacja pozostałych nowych obowiązków nałożonych na administratora danych ogólnym rozporządzeniem, będzie wymagała od administratorów zaangażowania odpowiedniego specjalisty. Obecni Administratorzy Bezpieczeństwa Informacji wydają się być do nowych zadań doskonale przygotowani. Jednak administrator danych decydując się na model ochrony danych osobowych z ABI (Inspektorem Ochrony Danych) powinien dokonać wyboru takiego kandydata, których oprócz znajomości przepisów prawa związanych z ochroną danych osobowych, co wydaję się kwestią oczywistą, będzie wykazywać się znajomością przepisów branżowych związanych z profilem działalności administratora danych oraz znajomością standardów i metodologii przeprowadzania audytów.

Plan kontroli GIODO na rok 2017

Znamy już administratorów danych, którzy mogą spodziewać się kontroli GIODO. Generalny Inspektor Ochrony Danych Osobowych opublikował plan kontroli sektorowych oraz plan sektorowych sprawdzeń dla ABI na rok 2017. Zgodnie z przyjętym planami GIODO przewiduje przeprowadzenie kontroli w:

  • sklepach stacjonarnych – w zakresie przetwarzania danych osobowych w związku ze stosowaniem monitoringu pozwalającego na profilowaniu klientów.
  • przychodniach i poradniach lekarskich (zarówno w placówkach publicznych jak i niepublicznych) funkcjonujących w strukturach podmiotów wykonujących działalność lecznicą (ustawa o działalności leczniczej z dnia 15 kwietnia 2011 r.)w zakresie przetwarzania danych osobowych w związku z rejestracją pacjentów. Szczególną uwagę GIODO zwróci na problem konieczności podawania przez pacjentów, w obecności innych osób, danych osobowych wymaganych podczas rejestracji w placówkach służby zdrowia oraz na zastosowane środki techniczne i organizacyjne w celu ich zabezpieczenia.
  • organach i służbach uprawnionych do dokonywania wpisów oraz wglądu do danych zawartych w Systemie Informacyjnym Schengen oraz Wizowym Systemie Informacyjnym, w tym audyt bezpieczeństwa SISII/VIS: m.in. Konsulaty, Policja, Straż Graniczna jako podmioty wymienione w ustawie z dnia 24 sierpnia 2007 r. o udziale Rzeczypospolitej Polskiej w Systemie Informacyjnym Schengen oraz Wizowym Systemie Informacyjnym – w zakresie przetwarzania danych osobowych w SISII i VIS, w szczególności kontroli logów systemowych. Celem kontroli jest sprawdzenie m.in. tego, w jaki sposób podmioty te używają logów do analizy pracy systemu, aby dostęp do niego zapewnić wyłącznie osobom upoważnionym, wykrywać próby nieuprawnionego dostępu, wszelkie błędy i nieprawidłowości działającego oprogramowania.
  • Policji w odniesieniu do systemu System Eurodac: na podstawie art. 32 Rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 603/2013 z dnia 26 czerwca 2013 r. w zakresie wniosków Europolu i wyznaczonych krajowych organów ścigania o porównanie danych daktyloskopijnych z danymi przechowywanymi w systemie centralnym na potrzeby porządku publicznego (analiza próbek umotywowanych elektronicznych wniosków wskazanych organów).
  • Policji w odniesieniu do Europolu: w związku z wejściem w życie w dniu 1 maja 2017 r. rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/794 z dnia 11 maja 2016 r. w sprawie Agencji Unii Europejskiej ds. Współpracy Organów Ścigania (Europol), zastępującego i uchylającego decyzje Rady 2009/371/WSiSW, 2009/934/WSiSW,2009/935/WSiSW, 2009/936/WSiSW i 2009/968/WSiSW. Europol jest odpowiedzialny m.in. za wdrożenie i prowadzenie systemu informatycznego umożliwiającego wymianę i analizę danych, w tym danych osobowych.

Źródło: http://www.giodo.gov.pl/1520252/id_art/9279/j/pl/

 

Obowiązek rejestracyjny zbiorów danych

Ustawa o ochronie danych osobowych (uodo) nakłada na administratorów danych szereg obowiązków, do których zaliczają się m. in. obowiązki rejestracyjne względem GIODO, w tym zgłoszenie zbioru danych do rejestracji (art. 40 uodo) oraz obowiązek zgłoszenia powołania i odwołania Administratora Bezpieczeństwa Informacji (ABI, art. uodo).

Co do zasady, administrator danych jest zobowiązany zgłosić zbiór danych do rejestru Generalnemu Inspektorowi Ochrony Danych. Ustawa jednak przewiduje, w niektórych sytuacjach wyłączenia z tego obowiązku. Obowiązkowi rejestracji zborów danych nie podlegają zatem zbiory:

– zawierające informacje niejawne

– które zostały uzyskane w wyniku czynności operacyjno-rozpoznawczych przez funkcjonariuszy organów uprawnionych do tych czynności;

– przetwarzane przez właściwe organy dla potrzeb postępowania sądowego oraz na podstawie przepisów o Krajowym Rejestrze Karnym;

– przetwarzane przez GIODO;

– przetwarzane przez właściwe organy na potrzeby udziału RP w Systemie Informacyjnym Schengen oraz Wizowym Systemie Informacyjnym;

– przetwarzane przez właściwe organy na podstawie przepisów o wymianie informacji z organami ścigania państw członkowskich UE;

– dotyczące osób należących do kościoła lub innego związku wyznaniowego, o uregulowanej sytuacji prawnej, przetwarzanych na potrzeby tego kościoła lub związku wyznaniowego;

– przetwarzane w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się;

– dotyczące osób korzystających z ich usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta;

– tworzone na podstawie przepisów dotyczących wyborów do Sejmu, Senatu, Parlamentu Europejskiego, rad gmin, rad powiatów i sejmików województw, wyborów na urząd Prezydenta Rzeczypospolitej Polskiej, na wójta, burmistrza, prezydenta miasta oraz dotyczących referendum ogólnokrajowego i referendum lokalnego;

– dotyczące osób pozbawionych wolności na podstawie ustawy, w zakresie niezbędnym do wykonania tymczasowego aresztowania lub kary pozbawienia wolności;

– przetwarzane wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej;

– powszechnie dostępne;

– przetwarzane w celu przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego;

– przetwarzane w zakresie drobnych bieżących spraw życia codziennego;

– przetwarzane w zbiorach, które nie są prowadzone z wykorzystaniem systemów informatycznych, z wyjątkiem zbiorów zawierających dane, o których mowa w art. 27 ust. 1.

 

Ponadto z obowiązku rejestracji zbiorów danych osobowych, za wyjątkiem zbiorów zawierających dane sensytywne, zwolniony jest administrator danych, który powołał Administratora Bezpieczeństwa Informacji i zgłosił go GIODO.

Administrator danych oprócz zgłoszenia zbioru do rejestru GIODO jest zobowiązany do zgłaszania każdej zmiany w zbiorze w terminie 30 dni od dnia dokonania zmiany.
W sytuacji, gdy zmiana dotyczy rozszerzenia zakresu danych o dane z pochodzące z katalogu danych szczególnie chronionych, wówczas administrator  jest zobowiązany do zgłoszenia tej zmiany przed przystąpieniem do przetwarzania.