Tarcza prywatności – nowa „Bezpieczna przystań”, czy port przesiadkowy?

Czy to już koniec problemów z przekazywaniem danych do USA? Komisja Europejska przyjęła nowe porozumienie pomiędzy Unią Europejską a Stanami Zjednoczonymi – Tarczę Prywatności, czyli Privacy Shield.

Czy to już koniec problemów po unieważnieniu Safe Harbour? Komisja Europejska przyjęła nowe porozumienie pomiędzy Unią Europejską a Stanami Zjednoczonymi – Tarczę prywatności, czyli Privacy Shield.

Andrus Ansip, wiceprzewodniczący Komisji do spraw jednolitego rynku cyfrowego, powiedział: „Zatwierdziliśmy dzisiaj nową Tarczę Prywatności UE-USA. Będzie ona chronić dane osobowe naszych obywateli i zapewnieni jasne zasady przedsiębiorcom. Ciężko pracowaliśmy ze wszystkimi naszymi partnerami w Europie i w Stanach Zjednoczonych, by osiągnąć to porozumienie oraz by uczynić to jak najszybciej. Przepływ danych pomiędzy naszymi kontynentami ma podstawowe znaczenie dla naszego społeczeństwa i gospodarki – mamy teraz solidne ramy prawne, dające pewność, że taki transfer będzie odbywał się w najlepszych i najbezpieczniejszych warunkach.”

Podstawowe informacje o Tarczy Prywatności:

Zwiększenie obowiązków dla przedsiębiorców:

  • Większa przejrzystość.
  • Mechanizmy nadzoru.
  • Sankcje lub wykluczenie przedsiębiorstwa.
  • Zaostrzone warunki dalszego przekazywania danych.

Dochodzenie roszczeń:

  • Przedsiębiorstwo musi odpowiedzieć w ciągu 45 dni.
  • Bezpłatne, alternatywne metody rozwiązywania sporów.
  • Współpraca organów ochrony danych z Departamentem Handlu USA i Federalną Komisją Handlu.
  • Zostanie wprowadzony dodatkowy mechanizm arbitrażowy, jako ostateczne rozwiązanie zapewniające wykonanie decyzji.

Dostęp amerykańskich organów rządowych:

  • Pierwsze, pisemne zobowiązanie Stanów zjednoczonych, że dostęp władz publicznych do danych będzie podlegał jasnym ograniczeniom.
  • Nie będą stosowane mechanizmy masowego nadzoru.
  • Przedsiębiorstwa będą mogły podać przybliżoną ilość żądań dostępu.
  • Możliwość dochodzenia roszczeń wobec USA poza ich obszarem przez europejskiego Rzecznika Tarczy Prywatności

Mechanizm corocznych przeglądów:

  • Prowadzone przez Komisję Europejską i Departament Handlu USA.
  • Coroczne spotkanie z organizacjami pozarządowymi w celu oceny prawa ochrony prywatności w USA i jego wpływu na Europejczyków.
  • Coroczny raport Komisji Europejskiej i Rady.

 

Niejasności jednak pozostają. Można spotkać się z opiniami, że widoczny jest podział między Parlamentem Europejskim a Komisją Europejską. O ile Parlament podkreśla konieczność ochrony prywatności Europejczyków, to Komisja bierze pod uwagę wymagania biznesu, i jest bardziej skłonna poświęcić część naszej prywatności w imię transatlantyckiej współpracy.

Jednym z podstawowych zarzutów wobec nowego programu jest to, że będzie on nadal opierał się na samocertyfikacji, a mechanizmy kontrolne wydają się nieefektywne.

Max Schrems uznał, że Tarcza prywatności nie różni się istotnie od poprzedniego programu. Cytat za Magazynem Fortune: “It’s the same as Safe Harbor with a couple of additions, and it’s going to fail like the one before,” he said. “It’s better than Safe Harbor, obviously, but far from what the ECJ has asked for.”

Jego zdaniem, to jeszcze nie koniec batalii o uregulowanie zasad wymiany danych pomiędzy UE a USA, a obecna propozycja nie może być ostatecznym rozwiązaniem, gdyż nie jest zgodna unijnym prawem.

Zachęcamy do zapoznania się z materiałami na temat Tarczy prywatności:

 

 

 

Brexit – ICO dalej?

Proaktywne działania ICO dawały mi nadzieję, że polscy przedsiębiorcy nie będą pozostawieni sami sobie, że w przeciwwadze do straszącego karami GIODO, ICO powie im jak w praktyce podejść do stojących przed nimi wyzwań. A może to jest szansa dla GIODO?

Rzecznik brytyjskiego organu ochrony danych (ICO) powiedział:
“If the UK is not part of the EU, then upcoming EU reforms to data protection law would not directly apply to the UK. But if the UK wants to trade with the Single Market on equal terms we would have to prove ‚adequacy’ – in other words UK data protection standards would have to be equivalent to the EU’s General Data Protection Regulation framework starting in 2018. (https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2016/06/referendum-result-response/)
Czyli potwierdził wcześniejsze opinie – wychodząc z Unii Europejskiej, Wielka Brytania zmuszona będzie do zapewnia odpowiedniego poziomu ochrony danych osobowych. W praktyce oznacza to, że podmioty brytyjskie będą stosować Rozporządzenie Ogólne w odniesieniu do usług skierowanych na rynek unijny.
Nie wiemy jak będzie wyglądać współpraca ICO z europejskimi organami nadzoru (nie wiemy nawet, czy za jakiś czas, ICO w ogóle nie przestanie istnieć…), mam jednak nadzieję, że będzie znacząca. Wiele brytyjskich standardów stosujemy na co dzień.
Na pewno jednak, będzie mi brakować informacji ze strony internetowej ICO. Ilość praktycznych porad i prace w celu ułatwienia przedsiębiorcom realizacji obowiązków wynikających z Rozporządzenia Ogólnego zawsze robiła na mnie duże wrażenie. Zwłaszcza w porównaniu do pasywnego podejścia GIODO. Proaktywne działania ICO dawały mi nadzieję, że polscy przedsiębiorcy nie będą pozostawieni sami sobie, że w przeciwwadze do straszącego karami GIODO, ICO powie im jak w praktyce podejść do stojących przed nimi wyzwań. A może to jest szansa dla GIODO? Szansa przejęcia roli wiodącego europejskiego organu? Mamy wyjątkową w Europie liczbę dobrze przygotowanych administratorów bezpieczeństwa informacji, którzy wkrótce zostaną inspektorami, gotowych do wsparcia takich działań. Pani Minister, czekamy!

Doradzać każdy może…

W mediach pojawia się coraz więcej informacji o czekającej nas rewolucji w ochronie danych osobowych. Do mainstreamu dotarła wiadomość, że za dwa lata, przedsiębiorców czeka Armagedon.
Generalny Inspektor powinien już prowadzić bardzo intensywną kampanię skierowaną do przedsiębiorców.

W mediach pojawia się coraz więcej informacji o czekającej nas rewolucji w ochronie danych osobowych. Do mainstreamu dotarła wiadomość, że za dwa lata, przedsiębiorców czeka Armagedon, że będą musieli jakieś straszne obowiązki spełniać. Cóż, zmiany rzeczywiście będą. Pojawia się nowe obowiązki, ale będą tez ułatwienia. Oczywiście, każda zmiana wiąże się z koniecznością dodatkowych działań ze strony przedsiębiorców i w związku z tym jest uciążliwa. Ale ostatnio zdałem sobie sprawę, że przed wszystkimi stanie jeszcze jedno wyzwanie – ci, którzy zdecydują się na skorzystanie ze wsparcia specjalistów, będą musieli w jakiś sposób odróżnić podmioty posiadające rzeczywista wiedzę i doświadczenie, od rzeszy tych, którzy przy okazji reformy zwietrzyli łatwy pieniądz.

Uczestniczyłem ostatnio w konferencji, w trakcie której, przedstawiciel pragnącej wejść na rynek kancelarii prawnej opowiadał o wchodzącym w życie Rozporządzeniu Ogólnym. Musze chyba przeprosić uczestników, ze nie wstałem i nie powiedziałem myślę o poziomie wiedzy prelegenta.

W praktyce, każdy poruszony temat wiązał się z mniejszymi lub większymi błędami.
Rozumiem organizatorów – przecież prelegent reprezentował kancelarię prawną i mówił o podstawach. Nie powinno być tam błędów. Rozumiem też Kancelarię – to jest dobry moment, żeby wejść na rynek. Ale jak mają sobie w takiej sytuacji poradzić szukający informacji przedsiębiorcy? Patrzę tutaj w stronę GIODO. Moim zdaniem, Generalny Inspektor powinien już prowadzić bardzo intensywną kampanię skierowaną do przedsiębiorców. Widzimy, że prowadzone są pewne działania, ale w mojej ocenie, czas już na konkrety.

Jarosław Żabówka

 

 

 

Jak wykorzystać Rozporządzenie w sprawie KRI do tworzenia systemu ochrony danych osobowych

W trakcie zorganizowanej przez PTI Konferencji „Bezpieczeństwo danych w sektorze publicznym” miałem przyjemność wygłosić prelekcją na temat wykorzystania „Rozporządzenia Rady Ministrów w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych”, w tworzeniu systemu ochrony danych osobowych.

Wynikający z Rozporządzenia obowiązek stworzenia systemu zarządzania bezpieczeństwem informacji w podmiotach realizujących zadania publiczne (więc nie tylko w urzędach!), zaczyna powoli przebijać się do świadomości osób odpowiedzialnych za bezpieczeństwo informacji. Skutkuje to, częstym na szkoleniach i konferencjach pytaniem: „Co Pan mówi?! Czego wy od nas chcecie?! Nie dość, że mamy stworzyć politykę bezpieczeństwa danych osobowych, to jeszcze mamy mieć drugą politykę bezpieczeństwa informacji?”.

W trakcie prezentacji starałem się pokazać, że nie tylko nie musimy powielać zapisów z polityki bezpieczeństwa danych osobowych w polityce bezpieczeństwa informacji, ale powinniśmy dążyć do scalenia i ujednolicenia tych systemów. Opracowany na podstawie § 20 Rozporządzenia system zarządzania powinien umożliwić prawidłowy dobór zabezpieczeń.

Zgodnie z ustawą o ochronie danych osobowych „Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną(…)”. Ale jakie środki będą „właściwe”? Podmioty realizujące zadania publiczne, dobierając zabezpieczenia powinny opierać się na analizie ryzyka przeprowadzonej zgodnie z Rozporządzeniem (§ 20 ust. 2. pkt 3)).

Oczywiście, polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznych służącym do przetwarzania danych osobowych muszą zawierać wszystkie wymagane elementy. Przykładowo, wykaz zbiorów danych i opis struktury, nie będą częścią systemu zarządzania bezpieczeństwem informacji. Jednak „określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych”, możemy włączyć już do systemu zarządzania bezpieczeństwem informacji.

Prezentację można pobrać ze strony Konferencji.

Zachęcam również do zapoznania się z pozostałymi prezentacjami i udziału w kolejnych edycjach.

 

Jarosław Żabówka

 

Sprawozdanie GIODO za 2012 rok.

28 października 2013 roku, Generalny Inspektor Ochrony Danych Osobowych złożył sprawozdanie z działalności w 2012 roku.

Tradycyjnie już, przygotowałem dla Państwa mój subiektywny przegląd najważniejszych problemów, na które zwrócili uwagę kontrolerzy GIODO. Mam nadzieję, że ułatwi to nieco pracę tym z Państwa, którzy nie mają czasu na czytanie całego sprawozdania. Trzeba jednak powiedzieć, że sprawozdanie GIODO może być najlepszym źródłem informacji i jest lekturą obowiązkową dla wszystkich profesjonalnie zajmujących się ochroną danych osobowych.

W 2012 r. Generalny Inspektor Ochrony Danych Osobowych przeprowadził łącznie 165 kontroli zgodności przetwarzania danych osobowych z przepisami ustawy o ochronie danych osobowych. W tym:

  • 8 kontroli w podmiotach z sektora administracji publicznej – w Ministerstwie Pracy i Polityki Społecznej, w Wojewódzkim Urzędzie Pracy, Powiatowych Urzędach Pracy, w urzędach miejskich, w Miejskim Ośrodku Pomocy Społecznej oraz w Miejskich Ośrodkach Pomocy Rodzinie.
  • 11 kontroli przetwarzania danych osobowych w Krajowym Systemie Informatycznym (KSI) umożliwiającym organom administracji publicznej i organom wymiaru sprawiedliwości wykorzystywanie danych gromadzonych w Systemie Informacyjnym Schengen oraz w Wizowym Systemie Informacyjnym.
  • 16 kontroli w podmiotach sektora bankowego.
  • 5 kontroli u operatorów publicznej sieci telekomunikacyjnej, dostawców publicznie dostępnych usług telekomunikacyjnych.
  • 9 podmiotów służby zdrowia, w tym siedem ośrodków dawców szpiku.
  • 10 podmiotów należących sektora szkolnictwa wyższego – Ministerstwo Nauki i Szkolnictwa Wyższego, osiem uczelni oraz Ośrodek Przetwarzania Informacji Instytut Badawczy.
  • 11 kontroli w podmiotach prowadzących hotele.
  • 109 kontroli w innych podmiotach.

Ważniejsze problemy, o których mowa w sprawozdaniu:

  • Jako jedną z bardziej interesujących kontroli uznano kontorlę przeprowadzoną w Powiatowym Urzędzie Pracy, w toku której ustalono, że pracownicy PUP mieli dostęp do danych przetwarzanych w MOPS, natomiast pracownicy MOPS mieli dostęp do danych przetwarzanych w PUP. Dostęp był realizowany poprzez system informatyczny.

Pozwolę sobie tutaj na małą dygresję.

Dostęp był realizowany prawdopodobnie poprzez system SEPI. Jest to system, który pozwala na wymianę dowolnych informacji, pomiędzy różnymi podmiotami. Gdy kilka lat temu powstawała pierwsza wersja systemu, była ona oparta o wspólną bazę klientów wszystkich urzędów wymieniających się informacjami. Gdy zwracałem uwagę na niezgodność z prawem takiego rozwiązania, moje uwagi zostały zignorowane – być może dlatego, że prasa przedstawiała już wdrożenie systemu jako wielki sukces. Smutną satysfakcją było dla mnie, gdy Generalny Inspektor zakwestionował przyjęte rozwiązanie i system musiał być przepisany w taki sposób, że umożliwia wymianę informacji pomiędzy urzędami, bez budowania osobnej bazy. To, czy pracownicy jednego z urzędów mają dostęp do bazy drugiego, czy też odbywa się na zupełnie poprawnej tutaj zasadzie występowania w drodze elektronicznej o udostępnienie danych i świadome ich udostępnianie przez drugi z urzędów, jest kwestią konfiguracji systemu. Jest dla mnie niezrozumiałe, że w obecnej sytuacji, wymiana danych była realizowana w taki sposób. Nie stanowi żadnego problemu technicznego odpowiednie skonfigurowanie tego systemu.

Trzeba jednak zwrócić uwagę, że urzędy nie uczą się na błędach. Realizowany obecnie i wdrażany w niektórych urzędach system Jowisz, opiera się na podobnej zasadzie jak pierwsza wersja systemu SEPI. Znowu jest budowana wspólna baza klientów PUP i OPS. Na niektóre problemy zwracałem uwagę na forum grupy ABI, ale jest to tylko część wątpliwości budzonych przez system Jowisz. Sytuacja będzie tu o tyle trudniejsza, że system Jowisz jest budowane ze środków unijnych i w razie braku możliwości jego używania, okazać się może, że poniesione wydatki będą uznane za niekwalifikowane.

Warto zwrócić tu uwagę jeszcze na system Empatia. Prawdopodobnie uzyska on odpowiednie umocowanie w ustawie, ale obecnie, na etapie wdrożenia, jeszcze go nie ma…

  • GODO zwrócił uwagę, że banki powinny bez zbędne zwłoki aktualizować dane przekazywane do BIK.
  • W spółce prowadzącej działalność gospodarczą w zakresie usług ochrony osób i mienia realizowanych w formie bezpośredniej ochrony fizycznej oraz zabezpieczenia technicznego, prowadzono wobec kandydatów na konwojentów i dyspozytorów badania poligraficzne. GIODO stwierdził, że wyrażona przez kandydatów zgodna na piśmie nie stanowi podstawy do przetwarzania danych uzyskanych w trakcie takiego badania.
  • Spółka zbierała dane na temat stanu cywilnego zatrudnionych osób.
  • Kandydaci do pracy otrzymywali formularz aplikacyjny, za pomocą którego spółka uzyskiwała informacje o mocnych i słabych stronach kandydata.
  • Nieadekwatny w stosunku do celu zakres zbieranych danych.
  • Brak dobrowolności wyrażenia zgody.
  • Dane powinny być usuwane niezwłocznie po zrealizowaniu celu przetwarzania.
  • Zawierając umowę powierzenia przetwarzania danych, w sytuacji gdy przepisy szczegółowe stawiają wymagania w stosunku do osób dopuszczonych do przetwarzania danych, należy zapewnić, aby wymagania te były również spełnione przez osoby dopuszczone do przetwarzania danych przez procesora.
  • Zgodnie z ustawą o ochronie danych osobowych, daną osobową może być również nr identyfikacyjny. Udostępnianie danych innemu podmiotowi, w sytuacji gdy dane te będą zawierały jedynie numer identyfikacyjny i potencjalnie odbiorca danych nie będzie w stanie zidentyfikować konkretnej osoby fizycznej, będzie w rozumieniu GIODO stanowiło jednak udostępnianie danych osobowych.
  • Brak aktualizacji zgłoszeń zbiorów danych osobowych.
  • W wypadku uczelni stwierdzono m.in. brak prowadzenia lub aktualizacji polityki bezpieczeństwa, brak wyznaczenia ABI, nie zapewniono by zmiana hasła następowała nie rzadziej niż co 30 dni.
  • Brak dopełnienia obowiązku informacyjnego. W tym brak poinformowania osób o tym, kto jest administratorem danych i jaka jest jego siedziba.
  • Niespełnianie wymagań przez systemy informatyczne – dopuszczenie zbyt krótkich haseł, niekorzystanie z protokołu https.
  • Przechowywanie danych przetwarzanych w formie papierowej w niezamykanych szafkach i na półkach.
  • Bankowe karty przedpłacone wydawane przez stowarzyszenie swoim członkom i będące jednocześnie kartami członkowskimi, uznano za marketing produktów banku.
  • W wypadku spółki, która realizowała obowiązek informacyjny poprzez podanie informacji w regulaminie oraz w treści polityki prywatności zamieszczonej w portalu, uznano, że nie przedstawiła ona wystarczających dowodów realizacji obowiązku informacyjnego.
  • Wyrażenie zgody na przetwarzanie danych osobowych oraz otrzymywanie informacji handlowych drogą elektroniczną, nie może być realizowane w drodze jednego oświadczenia.
  • Uzyskanie przez spółkę danych od sprawców kradzieży w prowadzonych przez spółkę sklepach, w celu zawiadomienia policji o zaistniałej kradzieży, nie stanowi naruszenia obowiązujących przepisów.
  • Administratorzy kilku portali internetowych – w celu umieszczenia ogłoszeń towarzyskich – bezprawnie zamieścili i udostępniali innym osobom na swej stronie internetowej, dane osobowe w zakresie imienia, nazwiska i daty urodzenia osoby.
  • Przetwarzanie danych osobowych przez podmioty prowadzące strony internetowe, bez posiadania podstawy prawnej.
  • Udostępnianie danych osobowych podmiotom nieupoważnionym. Przykładowo udostępnienie danych aptece przez spółdzielnię mieszkaniową, w celu wydania osobom kart rabatowych.
  • Pozostawienie dokumentacji medycznej w lokalu opuszczanym przez podmiot zajmujący się usługami medycznymi.
  • Ujawnienie danych poprzez rozesłanie maila w taki sposób, że widoczne były adresy pozostałych adresatów.
  • Ujawnienie danych przez szpital, na rzecz spółki ubezpieczeniowej.
  • Wykorzystanie danych pracowników na potrzeby kampanii wyborczej.
  • GIODO wydał decyzję nakazującą burmistrzowi udostępnienie skarżącemu danych osobowych w zakresie imion i nazwisk osób, które wniosły na niego do urzędu miasta skargę w przedmiocie zasad współżycia społecznego.
  • Koperty z dokumentami zawierającymi dane osobowe osób były umieszczane przez pracowników urzędu gminy na bramach ich posesji.
  • GODO nakazał usunięcie ze strony internetowej informacji o osobie, która jako mieszkanka przytuliska dla osób bezdomnych opracowała broszurę informacyjną a następnie, jako jej autorka znalazła się w wykazie bibliotecznym. GIODO uznał, że dyrektor placówki prawidłowo przetwarzał dane, jednak wykazana przez osobę jej szczególna sytuacja uzasadnia jej żądanie zaprzestania przetwarzania jej danych.
  • Wywieszanie zawiadomienia o porządku obrad walnego zgromadzenia spółdzielni, zawierające dane osobowe ich członków, na tablicach informacyjnych znajdujących się na klatkach schodowych budynków.
  • Przekazywanie korespondencji członkom spółdzielni w niezaklejonych kopertach. Co prawda inni członkowie spółdzielni mieli prawo do zapoznania się z tymi danymi, ale jedynie na żądanie.
  • Pracodawca nie może żądać od związku zawodowego listy wszystkich pracowników objętych ochroną związkową.
  • Umieszczenie na karcie miejskiej imienia i nazwiska oraz wizerunku jej posiadacza było wystarczające dla umożliwienia weryfikacji, czy daną kartą, jako nośnikiem imiennego biletu komunikacji miejskiej, posługuje się osoba upoważniona do jej używania. Zbędne było kodowanie na karcie nr PESEL.
  • Brak szyfrowania danych przesyłanych przez Internet. Zwłaszcza dotyczy to poczty elektronicznej.
  • Ustawa o ochronie danych osobowych nie ma zastosowania do udostępniania dokumentów, a jedynie do wykonywania operacji na danych osobowych.

Kontroli poddano 280 systemów informatycznych, tj. o 104 mniej niż w roku 2011, w którym skontrolowano 384 systemy informatyczne wykorzystywane do przetwarzania danych osobowych. Większość kontroli należała do kontroli częściowych, które swym zakresem obejmowały jedynie wybrane aspekty przetwarzania danych.

„W przypadku, gdy kontrolowana jednostka opracowała wymagane dokumenty (takie jak polityka bezpieczeństwa oraz instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych), prowadziła ewidencję osób upoważnionych do przetwarzania danych osobowych oraz wdrożyła opisane w tej dokumentacji procedury przetwarzanie danych osobowych w zakresie wymogów formalno-organizacyjnych, realizację wymogu prowadzenia dokumentacji uznawano za prawidłową. Sprawdzano również, czy wyznaczony został administrator bezpieczeństwa informacji oraz czy osoby dopuszczone do przetwarzania danych posiadały stosowne upoważnienia nadane przez administratora danych.”

Niemal wszystkie skontrolowane jednostki przetwarzały dane w systemie informatycznym, a 93% z nich zastosowało wysoki poziom bezpieczeństwa. 22% podmiotów zastosowało całkowity outsourcing systemów informatycznych.

Zauważalny jest wzrost liczby decyzji administracyjnych dotyczących postępowań zainicjowanych skargą.

GODO skierował 12 zawiadomień o podejrzeniu popełnienia przestępstwa.

„W 2012 r. do Departamentu Orzecznictwa, Legislacji i Skarg Biura GIODO wpłynęły 1593 skargi dotyczące naruszenia przepisów o ochronie danych osobowych. W porównaniu z rokiem 2011, w którym wpłynęło 1271 skarg, liczba ta uległa zwiększeniu o 322”

Do GIODO wpłynęło:

  • 75 skarg dotyczących sektora sądów, prokuratury, policji i komorników,
  • 231 skarg dotyczyło sektora banków i innych instytucji finansowych,
  • 179 skarg dotyczyło sektora administracji publicznej.,
  • 227 skarg dotyczących Internetu,
  • 60 skarg dotyczących sektora marketingu,
  • 88 skarg dotyczących mieszkalnictwa,
  • 24 skargi dotyczących sektora ubezpieczeń społecznych, majątkowych i osobowych,
  • 91 skarg dotyczących działalności telekomunikacyjnej
  • 156 skarg dotyczących podmiotów sektora zatrudnienia
  • 462 innych skargi

„W 2012 r. Generalny Inspektor wydał ogółem 99 decyzji administracyjnych zawierających nałożony na strony nakaz do wykonania i podlegających egzekucji administracyjnej.”

„W roku 2012, administratorzy danych wypełniając nałożony przepisami ustawy o ochronie danych osobowych obowiązek, zgłosili do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych 21580 zbiorów, z czego podmioty z sektora administracji publicznej zgłosiły 14917 zbiorów, co stanowi 68 % ogólnej liczby zgłoszeń dokonanych w tym okresie, zaś podmioty z sektora prywatnego 6663 zbiory, co stanowi 32 % ogólniej liczby zgłoszonych zbiorów.”

„W okresie sprawozdawczym do ogólnokrajowego, jawnego rejestru zbiorów danych osobowych prowadzonego przez Generalnego Inspektora Ochrony Danych Osobowych zostało wpisanych 16267 zbiorów danych”

„rozpatrzonych zostało 4090 zgłoszeń aktualizacyjnych”

„Przełomowe z punktu widzenia przetwarzania danych osobowych w omawianych sektorze było stwierdzenie Naczelnego Sądu Administracyjnego zawarte w uzasadnieniu do wyroku z dnia 19 maja 2011 r. (sygn. akt: I OSK 1079/10), że cyt.: „(…) Internet często pozornie, a czasami faktycznie zapewnia anonimowość jego użytkownikom. Stanowi medialne forum, na którym prezentowane są treści naruszające ludzką godność, cześć i dobre imię. Dlatego też wszędzie tam gdzie numer IP pozwala pośrednio na identyfikację konkretnej osoby fizycznej powinien on być uznany za dane osobowe w rozumieniu art. 6 ust. 1 i 2 ustawy o ochronie danych osobowych. Odmienna interpretacja byłaby sprzeczna z normami konstytucyjnymi zawartymi w art. 30 i 47 Konstytucji RP (…)”. Skład sędziowski w ww. wyroku jako pierwszy jednoznacznie stwierdził, że adres IP (Internet Protocol Address) jest daną osobową.”

Korzystając ze swoich uprawnień, Generalny Inspektor Ochrony Danych Osobowych skierował w 2012 roku szereg wystąpień do centralnych organów państwa i do innych podmiotów z sektora publicznego. Przykładowe wystąpienia:

  • Generalny Inspektor wystąpił do Ministra Zdrowia – jako podmiotu odpowiedzialnego za nadzór nad stosowaniem przepisów ustawy transplantacyjnej – o wydanie opinii, czy w jego ocenie przekazywanie przez ośrodek dawców szpiku danych osobowych potencjalnych dawców do innych, niż Centralny Rejestr, rejestrów potencjalnych dawców szpiku, było dopuszczalne w świetle przepisów ustawy transplantacyjnej, przy założeniu, iż uprzednio osoba, której dane dotyczą, wyraziła zgodę na ich przekazanie.
  • Generalny Inspektor wystąpił do Ministra Nauki i Szkolnictwa Wyższego wskazując, iż powinien on przekazywać uczelniom dokumentację, która zawierałaby pełny opis funkcjonalności systemu POL-on, a także przeprowadzał szkolenia dla użytkowników systemu POL-on, co będzie stanowiło realizację obowiązków nałożonych na administratora danych przez przepis art. 36 ust. 1 ustawy.
  • Prośba o zasygnalizowanie członkom samorządu lekarskiego konieczności respektowania prawa do prywatności oraz ochrony informacji związanych z pacjentem podczas wykonywania praktyk lekarskich, jak również organizowania obsługi pacjentów, w szczególności w sytuacjach rejestrowania pacjentów na wizyty lekarskie, wydawania im wyników badań, ustalania harmonogramu zabiegów w sanatoriach, wywoływania do gabinetów lekarskich lekarzy specjalistów.
  • Wystąpienie w sprawie wyeliminowania praktyki umieszczania przy łóżkach pacjentów kart gorączkowych.

Istotna cześć sprawozdania dotyczy opiniowania przez GIODO aktów prawnych, m.in. dotyczących europejskiej i krajowej reformy ochrony danych osobowych. Również informacje dotyczące współpracy GIODO z instytucjami międzynarodowymi, są interesujące, gdyż zwracają uwagę na najistotniejsze, europejskie problemy ochrony danych. GIODO zajmował się zagadnieniami dotyczącymi biometrii, monitoringu, sieci inteligentnych, projektu INDECT, profilowania, izb dziecka, izb wytrzeźwień, wymagań systemów informatycznych pozwalających na umawianie wizyt pacjentów, itd.

Podsumowanie może stanowić kolejny cytat ze sprawozdania:

„W podsumowaniu, na podstawie ustaleń z kontroli przeprowadzonych w 2012 r. należy stwierdzić, że w porównaniu z latami ubiegłymi osoby odpowiedzialne za przetwarzanie danych osobowych wykazały większą świadomość zagrożeń związanych z przetwarzaniem danych osobowych, a tym samym świadomość konieczności zapewnienia odpowiednich środków organizacyjnych i technicznych zapewniających ochronę tych danych. Konsekwencją było większe wyczulenie na prawidłowe dopełnienie obowiązków wynikających z przepisów o ochronie danych osobowych. Niestety, powyższe spostrzeżenia nie dotyczą wszystkich podmiotów, w których przeprowadzono kontrole. Zdarzały się bowiem kontrole, które wykazywały, że jednostki kontrolowane nie wykonywały większości obowiązków wynikających z przepisów o ochronie danych osobowych. Uchybienia te dotyczyły zarówno zastosowanych rozwiązań organizacyjnych, jak i aspektów technicznych.”

Mam wrażenie, że sprawozdanie GIODO za 2012 rok, jest wyjątkowo bogate w praktyczne informacje, przydatne osobom zajmującym się ochroną danych osobowych. Zachęcam do zapoznania się z pełną treścią sprawozdania.

 

Jarosław Żabówka

 

 

Sprawozdanie GIODO za 2011 rok.

Sprawozdania Generalnego Inspektora Ochrony Danych Osobowych stanowią doskonałe źródło wiedzy dla osób zajmujących się ochroną danych. Warto przyjrzeć się, na co zwracają uwagę kontrolerzy GIODO w 2011 roku.

Postanowiłem zamieścić poniżej moje, jak najbardziej subiektywne, zestawienie zagadnień i błędów Administratorów danych, wskazywanych w sprawozdaniu GIODO za 2011 rok.

Biorąc pod uwagę ilość realizowanych zadań, poziom zatrudnienia w Biurze GIODO wydaje się umiarkowany. Jeżeli spojrzeć na średnią płacę, też nie jest ona powalająca.

W 2011 roku przeprowadzono 199 kontroli w tym

  • 21 w podmiotach należących do administracji publicznej,
  • 10 kontroli przetwarzania danych w KSI,
  • 15 kontroli w podmiotach świadczących usługi doradztwa podatkowego i finansowego,
  • 5 kontroli podmiotach świadczących usługi w obszarze służby zdrowia,
  • 17 kontroli w sektorze agencji pracy,
  • 14 kontroli w podmiotach zajmujących się organizacją imprez masowych na stadionach,
  • 10 kontroli u operatorów publicznej sieci telekomunikacyjnej oraz dostawców publicznie dostępnych usług telekomunikacyjnych,
  • 12 przedszkoli,
  • 95 innych podmiotów

Ważniejsze problemy:

  • Zlecenie podmiotowi prywatnemu przetwarzania danych z fotoradarów i wypełniania kart rejestracyjnych. Przekazanie takich danych jest możliwe dla wykonywania czynności z zakresu obsługi administracyjno-technicznej, jednak nie czynności zastrzeżonych dla Straży Gminnej.
  • Przetwarzanie danych w zakresie nieadekwatnym do celu przetwarzania – np. przetwarzanie nr PESEL potencjalnych klientów w celu przedstawienia tym osobom oferty
  • przetwarzaniu danych osobowych z naruszeniem art. 22¹ Kodeksu pracy – osoby aplikujące na stanowiska kierownicze w podmiocie były poddawane badaniu którego celem było zbadanie roli i hierarchii postaw pracownika/kandydata w miejscu pracy.
  • Najczęściej występującymi uchybieniami stwierdzonymi podczas kontroli było niezapewnienie, aby systemy informatyczne służące do przetwarzania danych osobowych umożliwiały odnotowanie daty pierwszego wprowadzenia danych do systemu oraz identyfikatora użytkownika wprowadzającego te dane
  • Przechowywanie danych w plikach, do których dostęp mieli wszyscy użytkownicy.
  • Szpital nie sprawował kontroli nad przechowywaniem i zabezpieczeniem zaświadczeń lekarskich o czasowej niezdolności do pracy wystawionych pacjentom szpitala twierdząc, że obowiązek w tym zakresie spoczywa na lekarzach, którzy je wystawili.
  • Wskazano, że zwolnienie wskazane w art. 43 ust. 1 pkt 5 ustawy o ochronie danych osobowych (Z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych dotyczących osób korzystających z ich usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta.) dotyczy podmiotów które samodzielnie świadczą te usługi.
  • Niedopełnianie obowiązków informacyjnych oraz błędne klauzule zgody na przetwarzanie danych osobowych w agencjach pośrednictwa pracy. Brak informacji o odbiorcach danych.
  • Brak umów powierzenia z dostawcą usług hostingowych.
  • Nieadekwatny zakres danych zbieranych od kandydatów do pracy (informacje o niekaralności dla pracowników zatrudnionych na stanowisku montera lub spawacza).
  • Niezabezpieczanie za pomocą środków ochrony kryptograficznej, danych osobowych, podczas ich przesyłania poprzez sieć publiczną.
  • Błędy w prowadzonej przez administratorów danych dokumentacji opisującej sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych, polegające na niezawarciu w niej wszystkich elementów określonych w § 4 i § 5 rozporządzenia.
  • Niespełnianie przez systemy informatyczne wymogów nakładanych przez § 7 rozporządzenia.
  • Niestosowanie środków ochrony kryptograficznej podczas przesyłania danych przez sieć publiczną.
  • Braki w prowadzonej dokumentacji, w tym brak opisu struktury zbiorów danych.
  • Zbyt długie przechowywanie danych retencyjnych, ze względu na przyjętą politykę tworzenia kopii bezpieczeństwa.
  • Na karcie przedszkolaka bywają przetwarzane dane nieadekwatne w stosunku do celu przetwarzania.
  • Zgoda na objęcie dziecka opieką medyczną nie może być rozumiana jako zgoda na przetwarzanie danych o jego stanie zdrowia.
  • „(…)GIODO wydał także decyzję nakazującą Narodowemu Funduszowi Zdrowia udostępnienie oddziałowi kardiochirurgii uniwersytetu medycznego, danych osobowych w zakresie daty i przyczyny hospitalizacji po wypisie z tego oddziału (zwłaszcza wszystkich postaci choroby wieńcowej, udaru mózgu, migotania przedsionków, cukrzycy) oraz wykonania procedur rewaskularyzacji przezskórnej (z lub bez implantacji stentu) oraz pomostowania aortalno-wieńcowego dotyczących powtórnych hospitalizacji chorych, osób uprzednio leczonych w ww. oddziale.
    W uzasadnieniu tego rozstrzygnięcia organ stwierdził, iż okoliczność, że art. 188 ustawy o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych wskazywał cele, w jakich NFZ mógł przetwarzać dane osobowe ubezpieczonych, nie wykluczała legalności udostępnienia danych w celu prowadzenia badań naukowych w sytuacji, gdy publikowanie wyników badań naukowych nastąpi w sposób uniemożliwiający identyfikację osób, których dane zostaną udostępnione, bowiem przesłanką legalizującą takie udostępnienie będzie art. 27 ust. 2 pkt 9 ustawy o ochronie danych osobowych.”
  • Brak aktualizacji przez baki informacji w bazie Biura Informacji Kredytowej S.A.
  • Znamienne jest zdanie – „Analizując wyniki kontroli przeprowadzonych w 2011 roku należy stwierdzić, że w większości skontrolowanych podmiotów wystąpiły nieprawidłowości w procesie przetwarzania danych osobowych. Uchybienia te dotyczyły zarówno zastosowanych rozwiązań organizacyjnych, jak i aspektów technicznych.”
  • „(…)stwierdzenie Naczelnego Sądu Administracyjnego zawarte w uzasadnieniu do wyroku z dnia 19 maja 2011 r.83, że cyt.: „(…) Internet często pozornie, a czasami faktycznie zapewnia anonimowość jego użytkownikom. Stanowi medialne forum, na którym prezentowane są treści naruszające ludzką godność, cześć i dobre imię. Dlatego też wszędzie tam gdzie numer IP pozwala pośrednio na identyfikację konkretnej osoby fizycznej powinien on być uznany za dane osobowe w rozumieniu art. 6 ust. 1 i 2 ustawy o ochronie danych osobowych. Odmienna interpretacja byłaby sprzeczna z normami konstytucyjnymi zawartymi w art. 30 i 47 Konstytucji RP (…)”. Skład sędziowski w ww. wyroku jako pierwszy jednoznacznie stwierdził, że adres IP (Internet Protocol Address) jest daną osobową.
  • Zbierania zgody na przetwarzanie danych osobowych powinno być poprzedzone dopełnieniem obowiązku informacyjnego. Klauzule obowiązku informacyjnego nie powinny być łączone ze zgodą.
  • Żądanie przesłania skanu dowodu tożsamości od osoby chcącej usunąć swoje konto w portalu randkowym.
  • Pomimo wyrażenia sprzeciwu przeciwko przetwarzaniu danych w celu marketingowym, do osób były nadal kierowane SMS-y informujące o możliwości przedłużenia umowy czy skorzystania z nowej oferty. Zdarzyło się również dołączanie oferty do przesyłanej faktury VAT.
  • Udostępnianie danych osobowych mieszkańców osobom nieupoważnionym. W tym danych wrażliwych, dotyczących stanu zdrowia, wyroków lub decyzji administracyjnych.
  • Przekazywanie przez operatora telekomunikacyjnego numerów zastrzeżonych podmiotom trzecim.
  • W sprawozdaniu umieszczono dużą ilość informacji o nakazaniu przez GIODO udostępnienia danych osobowych. Może to świadczyć o niejasności przepisów i wynikających z tego problemom administratorów danych, w tym administratorom ze sfery publicznej w ocenie, czy są zobowiązani do udostępnienia danych, czy do ich zachowania w tajemnicy.
  • Przekazywanie pracodawcom przez związki zawodowe listy wszystkich pracowników podlegających ochronie związku.
  • GIODO nakazał usunięcie adresu poczty elektronicznej, zawierającego imię i nazwisko osoby, która nie była już pracownikiem spółki. Pomimo, że adres ten był wykorzystywany jedynie do odbierania wiadomości.
  • Niedopełnianie przez administratorów obowiązku informacyjnego wynikającego z art. 24, art. 25 i art. 33 ustawy o ochronie danych osobowych.

W roku 2011 administratorzy danych wypełniając nałożony przepisami ustawy o ochronie danych osobowych obowiązek, zgłosili do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych 15643 zbiory, z czego podmioty z sektora administracji publicznej zgłosiły 10690 zbiorów, co stanowi 68 % ogólnej liczby zgłoszeń dokonanych w tym okresie, zaś podmioty z sektora prywatnego 4953 zbiory, co stanowi 32 % ogólniej liczby zgłoszonych zbiorów.

 

 

 

 

 

 

 

Przetwarzanie danych osobowych w marketingu. Dysonans poznawczy, czy zła wola?

Niezwykle często obserwujemy przedziwną różnicę w opiniach osoby na temat ochrony danych osobowych w zależności od tego czy mówimy o naruszeniu jej prywatności, czy też o konieczności podjęcia działań niezbędnych dla ochrony własnej prywatności.

Powszechne oburzenie spowodowało ujawnienie skali inwigilacji prowadzonej przez amerykańskie agencje. Dlaczego Minister Spraw Zagranicznych nic z tym nie zrobi? Co na to GIODO? Nie spotkałem osoby, która godziłaby się na to, by ktoś czytał jej maile i podsłuchiwał rozmowy. Rozmawiamy o potwornych ilościach danych zbieranych przez portale społecznościowe. Boimy się korzystać z kart zbliżeniowych, metek RFID, kamer w przymierzalni, itd.

Powiedzmy sobie jednak szczerze, ile z tych narzekających osób zrezygnuje z podania swojego adresu e-mail, jeżeli w zamian uzyska zniżkę w sklepie? Ile z tych osób umieściło w sieci zdjęcie swojego dziecka? Ile zablokowało możliwość zbliżeniowego płacenia kartą?

A ilu zrezygnowało z wejścia na stronę internetową, mimo że przeglądarka ostrzegała o nieaktualnym certyfikacie? O czym?! A co to jest certyfikat?! No dobrze, nie wymagajmy zbyt wiele…

Ciągle oczekujemy, że ktoś zadba o naszą prywatność. Że przyjdzie GIODO i zrobi z nimi porządek. Ale niech nam nie zawracają głowy jakimiś klauzulami informacyjnymi! Nie chcemy podejmować decyzji, czy zgadzamy się na przetwarzanie naszych danych! Niech ktoś zdecyduje za nas!

Niestety, to nie działa w ten sposób. GIODO nie jest szeryfem, który zaprowadzi porządek i sam pokona wszystkich bandziorów. O naszą prywatność musimy zadbać sami. Jak na razie, każdy, kto nie chce, aby jego dane były gdzieś wykorzystywane, kto nie chce, aby ktoś dokonywał jakichkolwiek operacji, podszywając się pod jego tożsamość – musi samodzielnie zadbać o swoje interesy. Każdy musi poznać podstawy zasad ochrony prywatności, dowiedzieć się, jakie prawa mu przysługują i jak je egzekwować. A gdy z tym egzekwowaniem będą jakieś problemy – GIODO zapewne pomoże.

Bardzo ciekawe jest obserwowanie postaw osób zajmujących się zawodowo przetwarzaniem danych. Czy pracodawca instalujący kamerę w toalecie narusza prywatność swoich pracowników? Jego zdaniem oczywiście nie. W swojej ocenie, jest on pozytywnym bohaterem, działającym na korzyść przedsiębiorstwa. Przecież należy potępiać obiboków, ukrywających się w ubikacji.

Czy rozsyłający spam marketingowiec wie, że działa niezgodnie z prawem? Tak, ale nie ma z tego powodu poczucia winy. Po pierwsze, prawo jest złe, bzdurne i nie działa. Amerykanie i tak zbierają te dane. A ustawodawca działa tylko po to by utrudnić nam życie… Po drugie, marketingowiec działa przecież dla dobra osób, które otrzymają spam – chodzi o to, by żadna ciekawa oferta ich nie ominęła. Po trzecie, on też dostaje spam i w ogóle mu to nie przeszkadza. Po czwarte, ci którzy nie chcą otrzymywać spamu, są niedouczeni, bo powinni filtry w przeglądarce skonfigurować…

Co pomyśli o takiej argumentacji osoba, nie zajmująca się na co dzień rozsyłaniem spamu? Na pierwszy rzut oka, argumenty są takie, że aż trudno z nimi polemizować. Czy oni naprawdę w to wierzą? Zrozumienie takich postaw może nam ułatwić teoria dysonansu poznawczego.

Jestem wewnętrznie przekonany, że ludzie naruszający naszą prywatność, nie muszą działać ze złych pobudek. Ich celem nie jest wyrządzenie nam krzywdy. Mają do wykonania określone zadanie, a nie znają innych narzędzi do jego realizacji, niż te, którą godzą w naszą prywatność. Nie dopuszczając do swojej świadomości informacji o wpływie ich działań na wolność innych osób i na ich prawo do decydowania o swojej prywatności, obarczają winą obowiązujące prawo lub wręcz osoby, których dobra naruszają! Klasyczny przypadek obwiniania ofiary…

Racjonalizacja postępowania wymaga, aby w jakiś sposób przekonać siebie, że podejmowanie działanie jest sensowne. Czy nie ma lepszego sposobu przekonania klientów by kupili określony produkt, niż rozsyłanie milionów maili? Marketingowcy nie będą brali pod uwagę statystyk skuteczności. Przecież oni działają dla dobra otrzymujących spam…

Być może szansa zwiększenia skuteczności działania ustawy o ochronie danych osobowych kryje się nie w podniesieniu jej represyjności, a w wykorzystaniu technik poznanych przy okazji badań nad zjawiskiem dysonansu poznawczego?

Ciekawy jest jeszcze jeden aspekt zagadnienia. Osoba, która nierozważnie zgodziła się na przetwarzanie swoich danych osobowych, będzie twierdziła, że tak naprawdę, to jej w ogóle na tym nie zależy. Że jej dane są nieistotne i tak naprawdę, to nie ma nic do ukrycia.

 

Wikipedia – Dysonans poznawczy

Wikipedia – Teoria spostrzegania siebie

 

Informowanie klienta o fizycznej lokalizacji przetwarzanych w chmurze danych.

Czy przetwarzając dane w chmurze powinniśmy żądać od dostawcy informacji w jakiej lokalizacji przetwarzane są nasze dane?

Mamy tu do czynienia z pewną sprzecznością. Korzystający z usług dostarczanych w modelu cloud computing powinni postrzegać chmurę jako zasób nieograniczony, dostępny z dowolnej lokalizacji, niezależny od systemu działającego po stronie klienta. Z drugiej strony, klient żąda podania fizycznej lokalizacji w której przetwarzane są jego dane.

Część dostawców sytuacji protestuje: „Przecież to jest chmura i w jej naturze leży to, że dane mogą być przenoszone pomiędzy lokalizacjami w sposób przeźroczysty dla klienta!”, „Ze względów bezpieczeństwa nie możemy powiedzieć gdzie przetwarzamy dane.”

Czy podanie informacji o lokalizacji centrum przetwarzania może w jakikolwiek sposób obniżyć bezpieczeństwo danych? A może chodzi o to, żeby klient nie był w stanie zweryfikować, że deklarowane zabezpieczenia w rzeczywistości nie istnieją? A może w ogóle nie istnieje centrum przetwarzania, a dane przechowujemy na dysku laptopa u szwagra na strychu? Dostawców twierdzących, że ze względów bezpieczeństwa nie udzielają informacji o miejscu przetwarzania danych skreślam od razu.

Prawdą jest jednak, że możliwość przenoszenia danych pomiędzy lokalizacjami jest charakterystyczna dla chmury. Nie zapominajmy jednak, że to do klienta należy decyzja jak ma wyglądać usługa którą kupuje. Nie możemy przedkładać ideologii chmury nad rzeczywiste oczekiwania klienta. Jeżeli oczekuje on, że będzie miał możliwość weryfikacji fizycznych zabezpieczeń w każdej z deklarowanych przez dostawcę lokalizacji, to dostawca powinien mu to umożliwić.

Zaraz, zaraz… Czy mamy wpuszczać każdego potencjalnego klienta do naszego centrum przetwarzania? Na pewno nie każdego. Ale być może, jeżeli umożliwimy to bardziej znaczącym klientom, pozostałym wystarczy nasza renoma. A jeżeli nie wystarczy? Myślę, że centra przetwarzania muszą znaleźć rozwiązania, pozwalające klientom zweryfikować stosowane zabezpieczenia fizyczne, bez obniżania poziomu bezpieczeństwa. Z mojej strony podpowiedziałbym oparcie się o zaufanie, którym klienci mogą obdarzyć trzecią stronę – dostawcę certyfikatu potwierdzającego spełnianie wymogów normy PN 27001.

Pozostaje jam jeszcze odpowiedzieć na pytanie, czy klientowi w ogóle potrzebna jest informacja o fizycznej lokalizacji jego danych. Spójrzmy najpierw na dane osobowe. To, co klient musi wiedzieć na pewno, to jest czy dane nie są przekazywane do państwa trzeciego (poza Europejski Obszar Gospodarczy). Klient powinien również posiadać informację na temat podpowierzania przetwarzania danych kolejnym podmiotom. W jaki sposób konstruować umowę powierzenia przetwarzania danych osobowych, napiszę innym razem.

Zaleca się, aby klient miał możliwość zweryfikowania stosowanych zabezpieczeń. Oczywiście, jak pisałem wcześniej, nie zawsze jest to możliwe. Decyzja musi być jednak pozostawiona klientowi i zależeć będzie m.in. od jego „apetytu na ryzyko”. Jeden klient zaufa deklaracjom i renomie dostawcy, a inny będzie chciał zweryfikować, czy centrum przetwarzania nie leży przypadkiem na terenach zalewowych.

Opisywany jest wypadek odłączenia przez FBI całego centrum przetwarzania, ponieważ należało zabezpieczyć dane jakiegoś przestępcy, a dostawca nie był w stanie wystarczająco szybko powiedzieć gdzie znajdują się te dane… Czasami może się opłacać wybrać dostawcę, który zarządza systemem w taki sposób, że zawsze wie, w gdzie znajdują się dane konkretnego klienta.

Ostatecznie to klient podejmuje decyzję, czy zaakceptować ryzyka związane z korzystaniem z usługi hostingu czy też usługi w modelu cloud computing. Problemem niejednokrotnie okazuje się brak świadomości istnienia tych ryzyk. Pewną pomocą mogą stanowić dokumenty:

 

 

 

Orzecznictwo

Prawidłowa interpretacje przepisów dotyczących ochrony danych osobowych nastręcza wiele problemów. Niejednokrotnie, nie możemy ufać nawet uznanym autorytetom, publikującym swoje opinie w coraz większej ilości książek i poradników. Cóż z tego, że publikacji jest coraz więcej, skoro wyrażane w nich opinie te są nieraz sprzeczne ze sobą, albo co gorsza – z orzeczeniami sądów. Nic więc dziwnego, że najlepszym źródłem informacji bywają orzeczenia sądów oraz decyzje i sprawozdania Generalnego Inspektora.

Poniżej, krótką listę źródeł w których można rozpocząć przeglądanie:

 

IT Security Management GIGACON 2012 już za nami…

Czy warto uczestniczyć w bezpłatnych konferencjach? Przyznam się, że często miewam opory przed poświęceniem czasu i spędzeniem kolejnego dna na słuchaniu powtarzanych w kółko, tych samych marketingowych frazesów.

Tym razem jednak pozytywnie się zaskoczyłem (i nie tylko dlatego, że pierwszą z prezentacji przedstawiałem ja ;)). Organizatorom udało się w znaleźć złoty środek pomiędzy różnymi zagadnieniami – tymi bardziej technicznymi, tymi bliższymi zarządzaniu bezpieczeństwem i tymi dotyczącymi danych osobowych.

Niemały udział w powodzeniu konferencji mieli prowadzący prezentacje – nie było mowy o tym, żeby chociaż na chwilę oderwać się od tematu i „odpłynąć” myślami.

To że Pan Krzysztof Wagner z TÜV NORD przykuje naszą uwagę, było oczywiste. Ale sprawienie, że będę z zainteresowaniem po raz kolejny słuchać w jaki sposób radzić sobie z nadmiarem ciepła w DataCenter wymagało już wyjątkowych umiejętności prelegenta. Pan Michał Pyter z APC dał radę :).

Ale to wszystko nie spowodowałoby, żeby tak dobrze wspominał konferencję, gdyby pozostali prelegenci nie stali na równie wysokim poziomie.

Zapraszam Was do dzielenia się opiniami na temat konferencji.

Zgodnie z obietnicą Organizatorów, prezentacje można pobrać ze strony – http://gigacon.org/itsec/2012

Jarosław Żabówka

Refleksje po debacie „Od Administratora do Inspektora”

19 października odbyła się, zorganizowana przez SABI, niezwykle interesująca debata pod hasłem „Od Administratora do Inspektora”. Więcej informacji na temat spotkania oraz materiały znajdziecie na stronie Stowarzyszenia – http://www.sabi.org.pl/page22.php. Poniżej, jedynie kilka moich refleksji.

Debata, była jedną z najciekawszych imprez zorganizowanych w ostatnim czasie. Na Sali 200 osób – najbardziej zaangażowanych w ochronę danych w naszym kraju. Prelegenci – najlepsze możliwe źródło informacji o tym, co nas czeka w najbliższym czasie. I oczywiście najważniejsze – nieocenione wypowiedzi Generalnego Inspektora.

Takie spotkania są świetną okazją do przekazania informacji na temat prac prowadzonych w związku z reformą systemu ochrony danych osobowych. Zbyt często, informacje te docierają do jednie do bardzo wąskiego grona osób. I przy całym uznaniu dla ostatnich działań Stowarzyszenia ABI (chciałoby się powiedzieć – nareszcie jakieś widoczne działania), istnieje liczne grono osób zajmujących się ochroną danych, które nie są członkami Stowarzyszenia.

Debata miała jeszcze inne korzyści – pozwoliła wypowiedzieć się części osób, które najwyraźniej nie miały dotąd takiej możliwości. Wypowiedzi takie, pozwalają zwrócić uwagę na specyficzne problemy występujące w niektórych organizacjach – nie tylko innych ABI-ich, ale również osób pracujących nad reformą.

Bardzo brakowało mi informacji na temat propozycji nowelizacji rozporządzenia „technicznego”. Wiem, że nie taki był temat debaty, ale skoro już wspomniano o tej propozycji, wydawałoby się, że warto przekazać nieco więcej informacji. Tym bardziej, że Generalny Inspektor wykazał zainteresowanie propozycją SABI. Uważam, że propozycja taka powinna być poddana szerokim konsultacjom. Zapewne, będą one prowadzone przez Ministerstwo, jednak przy tak dużej złożoności problemu, wydaje się, że powinien być zagwarantowany wystarczający czas takich konsultacji – a różnie z tym bywa…

Mam nadzieję, że takie imprezy będą się odbywały częściej. Może planowane w najbliższym czasie „Dni Otwarte” będą dobrą okazją do dyskusji?

Dziękując Organizatorom za udaną imprezę, apeluję o więcej takich spotkań!

 

Jarosław Żabówka

 

Normy i standardy bezpieczeństwa informacji.

Spora ilość norm i standardów związanych z bezpieczeństwem informacji i zapewnieniem ciągłości działania bywa przytłaczająca dla osób rozpoczynających swoją przygodę z tą tematyką.

Pod adresem http://wiki.iso27001standard.com/index.php… znajdziecie zwięzłe zestawienie najważniejszych standardów z tej dziedziny.

Sejm przyjął sprawozdanie Generalnego Inspektora Ochrony Danych Osobowych z działalności w roku 2009 i 2010

17 lutego 2012 roku, Sejm przyjął sprawozdanie Generalnego Inspektora Ochrony Danych Osobowych z działalności w roku 2009 i 2010.
Wystąpienie GIODO, opinie Klubów Parlamentarnych, pytania Posłów oraz odpowiedzi Ministra Wiewiórowskiego można wysłuchać pod tym adresem:
http://www.tvpparlament.pl/retransmisje/sejm-rp/8-posiedzenie-sejmu-rp-17022012-godz-0900/6525176  

Na wysłuchanie całości materiału, trzeba poświęcić nieco czasu. Poniżej pozwalam sobie przedstawić wybór, moim zdaniem najważniejszych tematów, na które w swojej wypowiedzi zwrócił uwagę GIODO:

  • Zauważalny jest wzrost liczby wpływających do Biura GIODO skarg i zapytań.
  • Występują problemy z ustawą o dostępie do informacji publicznej. Zbyt często, urzędy, zwłaszcza samorządowe, zasłaniają się ustawą o ochronie danych osobowych, by nie udostępniać informacji publicznych.
  • Bardzo często brak jest realizowania obowiązku informacyjnego, lub jest on realizowany w sposób niedbały.
  • Występują problemy w zabezpieczaniu danych.
    • Operatorzy telekomunikacyjni i urzędy miejskie – przesyłają niezabezpieczoną korespondencję i w wypadku nieobecności adresata zostawiają ją u sąsiada lub w drzwiach.
    • Komornicy sądowi i naczelnicy urzędów skarbowych przesyłają wezwania pozbawione koperty.
    • Zdarza się ujawnianie danych wrażliwych w opisach na kopertach.
  • Nastąpił spadek liczby skarg w stosunku do podmiotów działających na rynku marketingu bezpośredniego i na rynku finansowym.
  • Nastąpił wzrost liczby skarg względem podmiotów przetwarzających dane w Internecie (na podstawie prawa telekomunikacyjnego i ustawy o świadczeniu usług drogą elektroniczną).
  • W latach których dotyczyły sprawozdania, nastąpiło nieznaczne zmniejszenie ilości przeprowadzanych kontroli.
  • Zdaniem GIODO liczba przeprowadzanych kontroli jest zdecydowanie za niska.
  • Utrzymywał się stały poziom liczby decyzji administracyjnych oraz kierowanych do Biura GIODO projektów aktów prawnych (2009r. – 624, 2010r. – 614)
  • Bardzo niepokoi GIODO tendencja do tworzenia przez organy megabaz danych osobowych, jak również próby zbierania danych jedynie dla usprawnienia funkcjonowania, co stanowi naruszenie konstytucyjnego prawa obywateli.
  • Nastąpił zdecydowany wzrost liczby zgłaszanych do rejestracji zbiorów danych osobowych.
  • GIODO uważa, że przepisy karne ustawy powinny być zamienione na przepisy o charakterze karno-administracyjnym.
  • GIODO zwrócił uwagę, że ochrona danych osobowych to nie tylko przymus. Ochrona danych osobowych to wiarygodność wobec klientów i wobec kontrahentów. A zgodnie z Agendą cyfrową „Europejczycy nie będą korzystali z usług którym nie ufają”.
  • Generalny Inspektor uważa, że w sytuacji gdy administracja nie jest konkurencyjnym pracodawcą (w szczególności dla prawników i informatyków), praca w Biurze GIODO jest traktowana jako przygotowanie do życia w prywatnych firmach.
  • Problemem niedostatecznie uregulowanym w polskim prawie jest jawny dostęp do danych i otwarty dostęp do danych w Internecie. Cały czas posługujemy się pojęciem jawności formalnej rejestrów publicznych, które pochodzi z lat 30 XX wieku.
  • Należy zwrócić uwagę na retencję danych telekomunikacyjnych.
  • Konieczne są działania uświadamiające, skierowane do młodego pokolenia.
  • Jeszcze nierozpoznane są problemy wynikające ze stosowania inteligentnych liczników energii.

W wygłoszonych opiniach Klubów Poselskich, odniesiono się bardzo pozytywne  do przedstawionych sprawozdań oraz deklarowano większe zaangażowanie – oby rzeczywiście miało to miejsce.

Odpowiadając na pytania Posłów, Generalny Inspektor zwrócił uwagę na kolejne problemy:

  • System informacji oświatowej.
  • Przetwarzanie danych osobowych przez kościoły i związki wyznaniowe.
  • System informacji w ochronie zdrowia.
  • Problem nielegalności rejestrów medycznych.
  • Biometria i wykorzystanie danych biometrycznych w stosunkach pracy.
  • Kontrole w urzędach kontroli skarbowej – problemy informatyczne powodowane przez software dostarczony przez ministra finansów.
  • Monitoring losów absolwentów przez szkół wyższych – będzie prowadzony jedynie za zgodą absolwenta.
  • ACTA.
  • Współpraca GIODO z Parlamentem i Rządem.
  • Ustawa fotoradarowa.
  • Trudna sytuacja finansowa i kadrowa odpowiedników GIODO w innych państwach UE – czy nie grożą nam takie same problemy.
  • Karty zdrowia przy łóżku chorego.
  • Wyłączenie IPN spod kontroli GIODO.
  • Konieczność stworzenia precyzyjnych przepisów dotyczących przetwarzania danych osobowych w Policji i służbach bezpieczeństwa.

Na przesłuchanie całości materiału trzeba poświęcić trochę czasu, ale moim zdaniem warto. Mam również nadzieję, że Posłowie dotrzymają swojego zobowiązania i sprawozdanie GIODO za 2011 rok, zostanie przyjęte jeszcze w tym półroczu.

ABI – teraźniejszość i przyszłość

Tekst został opublikowany 21 stycznia 2012 i nie uwzględnia nowelizacji ustawy o ochronie danych osobowych, która weszła w życie 1 stycznia 2015.

ABI

Badania pokazują, że nasze społeczeństwo jest coraz bardziej świadome swoich praw wynikających z ustawy o ochronie danych osobowych. Świadomość ta zwykle koncentruje się wokół kilku pojęć. „Zgoda na przetwarzanie danych osobowych”, „GIODO”, „ABI” – są najczęściej używanymi słowami-kluczami, z którymi ludzie kojarzą ochronę danych. W praktyce, niejednokrotnie przedsiębiorcy ograniczają się jedynie do wyznaczenia Administratora Bezpieczeństwa Informacji, traktując to jako dopełnienie swoich obowiązków oraz jako przerzucenie ewentualnej odpowiedzialności na inną osobę.

Ale kim zgodnie z ustawą jest ABI? Jakie zadania pełni w praktyce? Jakie zmiany w tym zakresie są niezbędne? W założeniu tent tekst miał odpowiadać na te pytania oraz pokrótce zebrać opinie pojawiające się w toczonych ostatnio na różnych forach dyskusjach o przyszłości tej profesji. W międzyczasie pojawiły się „przecieki” o planowanych zmianach w europejskim prawie ochrony danych, w tym dotyczących pozycji i zadań ABI. Ponieważ zmiany te w dużym stopniu wydają się wychodzić naprzeciw oczekiwaniom środowiska (w każdym razie, ja uważam je za interesujące), postanowiłem nie zmieniać istotnie tego tekstu, a jedynie dodać fragment mówiący o planowanych zmianach.

TERAŹNIEJSZOŚĆ

KIM JEST OFICJALNIE

DYREKTYWA

Europejskie prawo ochrony danych osobowych opiera się na dyrektywie 95/46/WE Parlamentu Europejskiego I Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych.

Dyrektywa wprowadza pojęcie Urzędnika do spraw ochrony danych, któremu w ustawie o ochronie danych osobowych odpowiada Administrator bezpieczeństwa informacji. Od razu należy jednak zwrócić uwagę na kilka szczegółów. Angielska wersja Dyrektywy, mówi o „data protection official” (DPO) czemu w polskim tłumaczeniu odpowiada „Urzędnik odpowiedzialny za ochronę danych”. Jednak w art. 18 tłumaczenia pojawia się „Urzędnik do spraw ochrony danych”. Czy jest to celowe rozróżnienie? Tym bardziej, że w wersji angielskiej też pojawia się drobna różnica. Mamy tutaj „personal data protection official”.

Jednak nieco więcej zamieszania może wyniknąć z rozporządzenia Nr 45/2001 Parlamentu Europejskiego I Rady z dnia 18 grudnia 2000 r. o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje i organy wspólnotowe i o swobodnym przepływie takich danych. Rozporządzenie mówi o „Data Protection Officer”, co zostało przetłumaczone jako „inspektor ochrony danych”. Powrócę do tego tematu na końcu tekstu.

Co Dyrektywa mówi o DPO:

  • Musi mieć on możliwość wykonywania swoich obowiązków w sposób niezależny od Administratora danych (pkt 49 preambuły).
  • Współpracuje z GIODO przed przetworzeniem danych (pkt 54 preambuły).
  • Odpowiada za zapewnienie stosowania przepisów krajowych przyjętych na mocy Dyrektywy (art. 18 pkt 2).
  • Odpowiada za prowadzenie rejestru operacji przetwarzania danych (art. 18 pkt 2).
  • W wypadku powołania DPO, administrator może zostać zwolniony z obowiązku zawiadamiania o przetwarzaniu danych (u nas – rejestracji zbiorów).
  • Współpracuje z GIODO w trakcie kontroli wstępnych.
USTAWA

W polskiej ustawie ABI pojawia się w wyniku nowelizacji z 2004 roku. Nie będę tutaj rozważał sytuacji sprzed tej nowelizacji. Zgodnie z art. 36 ustawy o ochronie danych osobowych, administrator bezpieczeństwa musi być wyznaczony przez administratora danych osobowych, chyba, że ADO sam będzie wykonywał jego czynności. Zgodnie z ustawą, ABI nadzoruje przestrzeganie środków technicznych i organizacyjnych przetwarzania danych osobowych przyjętych u administratora danych. Zapis ten możemy uznać za bardzo ogólny i w rzeczywistości zakres zadań realizowanych przez ABI bywa bardzo różny. Warto zwrócić uwagę, że w innych państwach europejskich, wymogi co do zadań i kwalifikacji ABI (DPO), zostały niejednokrotnie bardziej szczegółowo określone.

Z obowiązku powołania ABI (lub samodzielnego pełnienia jego zadań) zwolnieni są administratorzy pełniący działalność dziennikarską, literacką lub artystyczną.

„Nadzór” oznacza, że ABI powinien mieć możliwość ingerencji, wydawania poleceń, itd. w sytuacji gdy zasady przetwarzania danych nie są przestrzegane lub w celu zapewnienia zgodnego z tymi zasadami przetwarzania danych.

ABI może, ale nie musi być pracownikiem administratora danych. Należy jednak zwrócić uwagę, że powinien być konkretną osobą fizyczną, wyznaczoną przez ADO. Nic nie stoi na przeszkodzie, żeby pełnił jednocześnie inne funkcje. Nie powinny one jednak powodować powstania konfliktu interesu, który mógłby utrudnić administratorowi bezpieczeństwa informacji realizowanie jego zadań. Zwykle postuluje się tutaj, że nie powinien on być pracownikiem pionu IT, podlegającego zwykle szczególnej uwadze ABI. Ze względów dowodowych, wyznaczenie ABI powinno mieć formę pisemną.

Mimo, że nie jest to określone wprost, ABI powinien być w taki sposób umocowany w strukturze organizacji, by móc w sposób prawidłowy realizować swoje zadania, kontaktować się z kierownictwem działów i w sposób niezależny nadzorować przetwarzanie w nich danych.

Istnieją podzielone opinie, co do tego, czy ADO może wyznaczyć kilku ABI. Ja skłaniałbym się do tego, że jest dopuszczalne, a w wielu organizacjach nawet wskazane.

Przyjmuje się, że niewłaściwe realizowanie obowiązków przez ABI, jako osobę zobowiązaną do ochrony danych osobowych może podlegać karze zgodnie z art.51 ustawy.

Art. 51.
1. Kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.
2. Jeżeli sprawca działa nieumyślnie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.

KIM JEST W RZECZYWISTOŚCI

W rzeczywistości zakres zadań realizowanych przez ABI bywa bardzo szeroki. Chciałbym jednak zwrócić uwagę na jeszcze jeden aspekt jego roli – bardzo często, ochrona danych osobowych bywa utożsamiana z powołaniem ABI (obok zgłoszenia zbioru i zgody na przetwarzanie danych), szkoda, że często administratorem bezpieczeństwa informacji staje się osoba przypadkowa, niezdająca sobie sprawy ze spoczywających na niej obowiązków i co gorsza, z grożącej jej odpowiedzialności. Na szczęście wydaje się, że możemy obserwować stałą poprawę tej sytuacji.

Zbyt często jednak, moim zdaniem, ABI znajduje się w sytuacji konfliktu interesów. Bardzo trudno jest pełnić tę rolę będąc jednocześnie kierownikiem, lub co gorsza, pracownikiem działu IT. Wyobraźmy sobie takiego ABI-ego, przychodzącego do swojego szefa:

-(ABI/Informatyk) Szefie, musimy w naszych systemach wdrożyć mechanizm pozwalający użytkownikom na zmianę haseł.
-(Kierownik IT) Zgadzam się całkowicie. Jesteś informatykiem, zrób to.
-Ale tego się nie da zrobić narzędziami które mamy…
-To, po co do mnie przychodzisz?!

Niejednokrotnie też, ABI jest autorem procedur, których funkcjonowanie musi później nadzorować. Czy jest w stanie dobrze i wiarygodnie to robić?

Rola administratora bezpieczeństwa ma wiele twarzy:

  • Prawnik – tworzy umowy powierzenia, upoważnienia, itd.
  • Pracownik biurowy – prowadzi szereg rejestrów.
  • Audytor bezpieczeństwa.
  • Specjalista od analizy ryzyka.
  • Twórca polityki bezpieczeństwa.
  • Informatyk – administrator bezpieczeństwa systemu.
  • Trener.

Zwykle ABI musi łączyć wszystkie lub większość z tych funkcji. Przykładowe zakresy obowiązków administratora bezpieczeństwa informacji, które możemy znaleźć w literaturze, liczą nieraz po kilka stron. Czy to źle? Myślę, że nie można w ten sposób powiedzieć. Każda organizacja jest inna, a i każdy ABI ma nieco inne predyspozycje i doświadczenie. Moim zdaniem, że dopóki nie obniża to bezpieczeństwa przetwarzanych danych, taka różnorodność może być korzystna. Na szczęście ABI przestał już być utożsamiany z informatykiem.

ABI nie powinien jednak zapominać, że działa na rzecz administratora danych i powinien stanowić jego prawą rękę w rozwiązywaniu problemów ochrony danych.

W Internecie można znaleźć mnóstwo przykładowych zakresów czynności ABI. Ważne żeby nie traktować żadnego z nich jako obowiązującego wzoru. Obowiązująca ustawa nakłada na administratora bezpieczeństwa konkretne obowiązki, nie oznacza to jednak, że konkretny zakres czynności nie może być dostosowany do potrzeb konkretnej organizacji. Czy ABI powinien prowadzić szkolenia? Bardzo dobrze, jeżeli to robi i taka jest potrzeba w konkretnej organizacji. Jeżeli jednak ograniczy się do nadzoru, czy pracownicy posiadają wymaganą wiedzę, a szkolenia będzie prowadzić wyspecjalizowana, zatrudniająca trenerów firma zewnętrzna, to również będzie dobre rozwiązanie.

ABI, zwykle jest osobą, która koordynuje działania związane z ochroną danych osobowych odpowiada za kontakty z GIODO, wspiera pracowników i kierownictwo. I taka rola bardzo mi się podoba. Oby w jak największej ilości organizacji, zarząd rozumiał obowiązki ochrony danych i postrzegał administratorów bezpieczeństwa informacji jako wsparcie w rozwiązywaniu związanych z tym problemów.

JAKIE KWALIFIKACJE SĄ NIEZBĘDNE WSPÓŁCZESNEMU ABI-EMU?

Z powyższych rozważań wynika, że ABI powinien posiadać bardzo szerokie kwalifikacje. Z pewnością powinien dobrze orientować się w zagadnieniach prawa przetwarzania danych osobowych. Powinien posiadać również wiedzę informatyczną, w przeciwnym wypadku może być świetnym specjalistą od zagadnień ochrony danych osobowych, ale we współczesnych organizacjach, trudno będzie mu prawidłowo realizować nakładany przez ustawę obowiązek nadzoru.

Z pewnością nie powinna być to osoba przypadkowa. Umiejętność współpracy i skutecznego prowadzenia nadzoru wydaje się kluczowa. Musi posiadać umiejętność podejmowania decyzji i być gotowym na ponoszenie ich konsekwencji.

ODPOWIEDZIALNOŚĆ

Pełnienie roli administratora bezpieczeństwa informacji wiąże się z dużą odpowiedzialnością. O możliwości odpowiedzialności karnej już wspominałem. Oczywiście, w wyniku zaniedbania swoich obowiązków, ABI może ponieść również konsekwencje służbowe.

Administrator bezpieczeństwa informacji, powinien mieć zawsze świadomość konsekwencji swoich decyzji. Czasami, mogą się one wiązać się ze sporymi kosztami dla pracodawcy. I mam tu na myśli, nie tylko ewentualne odszkodowania, ale np. prowadzone przez niektóre organizacje akcje rozsyłania do tysięcy swoich klientów druków zgody na przetwarzanie danych osobowych, w sytuacjach, gdy taka zgoda w ogóle nie była potrzebna…

„SYSTEMATYKA”

Zadania ABI

PRZYSZŁOŚĆ

JAKI ABI JEST NAM POTRZEBNY

Coraz bardziej widoczna stała się potrzeba uregulowania zadań i pozycji administratora bezpieczeństwa informacji w organizacjach. Na różnych forach przetoczyła się dyskusja i pojawiły się różne, czasami bardzo sprzeczne propozycje uregulowań. Jako o jednym z najbardziej spójnych rozwiązań, wypada wspomnieć o propozycji Stowarzyszenia ABI. Można się z nimi zapoznać na stronie stowarzyszenia.

Wydaje się, że bardziej szczegółowe określenie zadań ABI w ustawie jest wskazane. Nie powinno to jednak oznaczać, że wpisujemy poszczególne czynności, jak prowadzenie szkoleń, czy rejestru pomieszczeń. Zapisy ustawowe powinny stanowić dla administratora bezpieczeństwa informacji narzędzie pozwalające mu skutecznie realizować podstawowy obowiązek, którym jest nadzór nad stosowaniem szeroko rozumianych zabezpieczeń, ale również udział w ich tworzeniu i wdrażaniu. Najważniejsze wydaje się zapewnienie skutecznych mechanizmów gwarantujących administratorowi bezpieczeństwa informacji niezależność w podejmowanych decyzjach. Mechanizmy te nie powinny jednocześnie nakładać dużych obowiązków na administratorów danych.

Rozmawiając o roli nowego ABI, zbyt często, moim zdaniem, koncentrujemy się na dużych organizacjach. Rzecz w tym, że duże organizacje zwykle zagadnienia ochrony danych mają uporządkowane. Nawet, jeżeli powodują one ogromne problemy, to w skali dużego podmiotu, są one rozwiązywalne. Inaczej wygląda sprawa małych organizacji. Niewielki zakład, nawet jeżeli przetwarza jedynie dane pracowników, staje często przed problemami, które w jego skali są nierozwiązywalne. Inny przykład mogą stanowić szkoły – sytuacja jest tutaj katastrofalna, a dane niejednokrotnie bardzo wrażliwe (stan zdrowia, rozwój psychiczny, współpraca z innymi podmiotami, np. ośrodkami pomocy społecznej). Wprowadzenie nowych uregulowań, nie spowoduje automatycznego uzdrowienia sytuacji. Konieczne wydaje się niezbędne wypracowanie rozwiązań możliwych do wdrożenia przez takie podmioty.

Pojawiają się również propozycje, by znieść obowiązek rejestrowania zbiorów danych i w zamian powierzyć administratorom bezpieczeństwa informacji obowiązek prowadzenia rejestru takich zbiorów. Co prawda głównym celem tej zmiany wydaje się odciążenie urzędu, spowoduje to jednak również zmniejszenie ilości pracy wykonywanej przez administratorów bezpieczeństwa informacji. Przecież rejestr zbiorów i tak muszą oni prowadzić. Może warto jednak pomyśleć o jakimś wzmocnieniu pozycji ABI. Wielu administratorów danych utożsamia rejestrację zbiorów z ochroną danych osobowych. Oby nie doszło tu do sytuacji, w której ABI usłyszy od prezesa – „ty mi tu głowy nie zawracaj, przecież tą całą ochronę danych już znieśli”.

Planując zmiany w zakresie przepisów dotyczących ABI, wyróżnić możemy podstawowe obszary:

  • Zadania ABI
  • Uprawnienia ABI
  • Umocowanie ABI w strukturze organizacyjnej

KWALIFIKACJE. ZAWÓD REGULOWANY? CERTYFIKATY?

Z pewnością warto zagwarantować posiadanie przez administratora bezpieczeństwa informacji odpowiednich kwalifikacji. Wydaje się jednak, że wpisanie do ustawy obowiązku posiadania wykształcenia prawniczego lub informatycznego może spowodować więcej szkody niż korzyści. Być może dobrym rozwiązaniem jest prosty zapis mówiący o tym żeby ABI musiał posiadać odpowiednie kwalifikacje w stosunku do konkretnego zakresu realizowanych zadań.

Z pewnością, bardzo ważne jest posiadanie przez ABI odpowiednich cech osobistych. Jakiekolwiek próby odgórnej regulacji, może spowodować, że do zawodu dostaną się osoby nie posiadające odpowiednich predyspozycji.

Kuszącym pomysłem wydaje się początkowo utworzenie nowego zawodu regulowanego. ABI musi zdać egzamin kwalifikujący, uzyskać akceptację GIODO, posiadać odpowiednie certyfikaty zawodowe… Po głębszej analizie, okazuje się jednak, że takie rozwiązanie nie tylko nie ma szansy bycia przyjętym (bo kto się odważy powiedzieć, że w imię ochrony danych osobowych, przedsiębiorcy będą musieli ponosić nowe, wysokie koszty, które w rezultacie przeniosą się na społeczeństwo), ale prawdopodobnie doprowadziłoby do obniżenia poziomu zabezpieczenia danych. Musielibyśmy się liczyć z ukrywaniem faktu przetwarzania danych, z opanowaniem rynku przez pojedyncze podmioty i w konsekwencji dyktowaniem cen i poziomu realizacji usług.

Wydaje się jednak, że posiadanie pewnych uprawnień, np. certyfikatów zawodowych mogłoby być premiowane, np. możliwością prowadzenia rejestru zbiorów danych osobowych i braku konieczności ich zgłaszania GIODO.

Możliwe wydaje się również przyjęcie rozwiązania, zgodnie z którym, w określonych odstępach czasu ABI przesyła GIODO sprawozdanie z prowadzonych kontroli. Z takiego obowiązku mogliby być zwolnieni administratorzy bezpieczeństwa posiadający odpowiednie certyfikaty (zakres wymieniony w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji w sprawie wykazu certyfikatów uprawniających do prowadzenia kontroli projektów informatycznych i systemów teleinformatycznych z dnia 10 września 2010 r. wydaje się dobrym przykładem).

ODPOWIEDZIALNOŚĆ?

Uważam, że uszczegółowienie obowiązków ABI, zapewnienie mu swego rodzaju nienaruszalności, powinno wiązać się również z większą odpowiedzialnością. Chcemy mieć gwarancję, że ABI będzie korzystał ze zwiększenia swoich obowiązków w sposób prawidłowy. Nie koniecznie musi to być odpowiedzialność karna. Podobałaby mi się możliwość ponoszenia odpowiedzialności służbowej, np. jeżeli ABI nie dopełni swoich obowiązków i zostanie to stwierdzone przez GIODO.

ABI – CZŁOWIEK GIODO, CZY ADO?

Do tej pory, administrator bezpieczeństwa informacji działał na rzecz administratora danych. Nadzorował, doradzał, ale zawsze występował po stronie administratora danych. W proponowanych rozwiązaniach, ABI zaczyna pełnić rolę przedstawiciela GIODO w organizacji. Z jednej strony nie chcemy tworzyć nowego zawodu regulowanego, nie chcemy istotnie podnosić kosztów administratora danych, z drugiej jednak strony planujemy wprowadzić obowiązek wyznaczania osoby, która będzie po części pełniła rolę urzędnika biura GIODO. Nie twierdzę że ABI nie powinien mieć pewnych obowiązków, do których spełnienia będzie zobowiązany, nawet gdy ADO będzie miał inne zdanie. Uważam, że danie ABI takich możliwości jest mocno wskazane. W połączeniu z zagwarantowaniem pewnej niezależności i podniesieniem ewentualnej odpowiedzialności, może to dać bardzo dobre efekty. Konieczne jest jednak bardzo dobre wyważenie roli ABI, a jednocześnie podejmowane działania muszą w minimalny sposób nakładać nowe obciążenia na organizacje.

PROJEKT ROZPORZĄDZENIA

Przygotowany przez Komisję Europejską projekt rozporządzenia (General Data Protection Regulation), które być może zastąpi wkrótce naszą krajową, ustawę o ochronie danych osobowych, bardzo szeroko traktuje zadania i prawa ABI, który staje się tutaj „Data protection officer”. Omówmy pokrótce proponowany rozwiązania.

PODSTAWOWE ZNACZENIE MA ROZDZIAŁ 4 – DATA PROTECTION OFFICER.
ART. 32 – WYZNACZENIE DPO
  • DPO musi być wyznaczony przez ADO lub procesora (również art. 19 ust. 2. pkt (e)):
    • Będącego instytucją publiczną
    • Zatrudniającego powyżej 250 pracowników
    • Podstawowa działalność ADO lub procesora polega na regularnym i systematycznym kontrolowaniu osób
  • Inne podmioty mogą wyznaczyć DPO.
  • DPO powinien posiadać adekwatną wiedzę i powinna być ona dostosowana do przetwarzanych danych.
  • ADO i procesor powinni zapewnić, że DPO wykonując swoje zadania nie będzie narażony na konflikty interesów.
  • ADO lub procesor wyznacza DPO na dwuletnią kadencję, która może być następnie przedłużona. W czasie swojego urzędowania, DPO może być zwolniony, jedynie, jeżeli nie spełnia wymagań koniecznych do pełnienia swoich obowiązków.
  • DPO może być zatrudniony przez ADO lub procesora, lub wykonywać swoje zadania w oparciu o umowę o świadczenie usług.
  • Dane DPO powinny być przekazane GIODO, podane do publicznej wiadomości oraz udostępnione osobom, których dane są przetwarzane (również w art. 12 ust. 1. pkt (a)). Osoby te muszą mieć możliwość kontaktu z DPO w wypadku incydentów i w celu skorzystania z praw nadanych przez rozporządzenie.
ART. 33 –DPO W STRUKTURZE ORGANIZACYJNEJ
  • ADO lub procesor zapewnia, że DPO jest zaangażowany we wszystkie zagadnienia związane z ochroną danych.
  • DPO wykonuje swoje zadania niezależnie i podlega bezpośrednio dyrekcji.
  • ADO lub procesor wspierają DPO w realizacji zadań oraz zapewniają niezbędne zasoby.
ART. 34 –ZADANIA DPO
  • Rozporządzenie określa jedynie minimalne zadania DPO.
  • Informuje ADO i kontrolera o ich obowiązkach oraz dokumentuje te działania.
  • Monitoruje wdrażanie i stosowanie polityki, w tym prowadzenie szkoleń, audytów i przypisywanie obowiązków.
  • Monitoruje wdrażanie i stosowanie rozporządzenia.
  • Zapewnia prowadzenie wymaganej rozporządzeniem dokumentacji.
  • Monitoruje skuteczność oceny skutków przetwarzania danych.
  • Monitoruje odpowiedzi na żądania GIODO (supervisory authority) oraz współpracuje z GIODO w zakresie własnych kompetencji.
  • Stanowi osobę kontaktową dla GIODO.

W części przepisów komisja ma prawo wprowadzać dodatkowe wymagania.

ART. 79 – ODPOWIEDZIALNOŚĆ ADMINISTRACYJNA

W wypadku niewyznaczenia DPO lub umyślnego lub nieumyślnego niespełnienia wymagań określonych w art. 32, 33 lub 34, GIODO powinien nałożyć w karę w wysokości 100 tyś. – 1 mln. Euro lub 5% światowego obrotu przedsiębiorstwa.

PKT 62 PREAMBUŁY

DPO może, ale nie musi być pracownikiem ADO. Swoje zadania wykonuje niezależnie.

SPRÓBUJMY PRZEWIDZIEĆ PRZYSZŁOŚĆ

W najbliższym czasie możemy się spodziewać nowej wersji rozporządzenia MSWiA z 29 kwietnia 2004r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służą ce do przetwarzania danych osobowych, a być może również ustawy o ochronie danych osobowych. Generalny Inspektor wydaje się zdeterminowany by przeprowadzić te zmiany, zresztą nie ma innego wyjścia – rozporządzenie w obecnej postaci nie nadaje się do stosowania.

Następnie możemy spodziewać się zastąpienia Dyrektywy i Ustawy przez rozporządzenie UE. Ucieczki nie ma – prawo ochrony danych osobowych musi zostać zmienione albo przestanie funkcjonować.

Jaka będzie po tych zmianach rola Administratorów Bezpieczeństwa Informacji? Starajmy się na to wpłynąć już teraz.

 

 

 

Administrator Bezpieczeństwa Informacji

ABI

Badania pokazują, że nasze społeczeństwo jest coraz bardziej świadome swoich praw wynikających z ustawy o ochronie danych osobowych. Świadomość ta zwykle koncentruje się wokół kilku pojęć. „Zgoda na przetwarzanie danych osobowych”, „GIODO”, „ABI” – są moim zdaniem najczęściej używanymi słowami-kluczami, z którymi ludzie kojarzą ochronę danych. W praktyce, niejednokrotnie przedsiębiorcy ograniczają się jedyne do wyznaczenia ABI, traktując to jako dopełnienie swoich obowiązków oraz jako przerzucenie ewentualnej odpowiedzialności na inną osobę.

Zapraszam do zapoznania się krótkim tekstem na temat roli administratora bezpieczeństwa informacji z punktu widzenia dyrektywy 95/46/WE Parlamentu Europejskiego oraz ustawy o ochronie danych osobowych. Tekst ten stanowi fragment nieco dłuższego opracowania, które wkrótce pojawi się na naszych stronach.

Dyrektywa

Europejskie prawo ochrony danych osobowych opiera się na dyrektywie 95/46/WE Parlamentu Europejskiego I Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych.

Dyrektywa wprowadza pojęcie Urzędnika do spraw ochrony danych, któremu w ustawie o ochronie danych osobowych odpowiada Administrator bezpieczeństwa informacji. Od razu należy jednak zwrócić uwagę na kilka szczegółów. Angielska wersja Dyrektywy, mówi o „data protection official” (DPO) czemu w polskim tłumaczeniu odpowiada „Urzędnik odpowiedzialny za ochronę danych”. Jednak w art. 18 tłumaczenia pojawia się „Urzędnik do spraw ochrony danych”. Czy jest to celowe rozróżnienie? Tym bardziej, że w wersji angielskiej też pojawia się drobna różnica. Mamy tutaj „personal data protection official”.

Jednak nieco więcej zamieszania może wyniknąć z rozporządzenia Nr 45/2001 Parlamentu Europejskiego I Rady z dnia 18 grudnia 2000 r. o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje i organy wspólnotowe i o swobodnym przepływie takich danych. Rozporządzenie mówi o „Data Protection Officer”, co zostało przetłumaczone jako „inspektor ochrony danych”. Powrócę do tego tematu na końcu tekstu.

Co Dyrektywa mówi o DPO:

  • Musi mieć on możliwość wykonywania swoich obowiązków w sposób niezależny od Administratora danych (pkt 49 preambuły).
  • Współpracuje z GIODO przed przetworzeniem danych (pkt 54 preambuły).
  • Odpowiada za zapewnienie stosowania przepisów krajowych przyjętych na mocy Dyrektywy (art. 18 pkt 2).
  • Odpowiada za prowadzenie rejestru operacji przetwarzania danych (art. 18 pkt 2)..
  • W wypadku powołania DPO, administrator może zostać zwolniony z obowiązku zawiadamiania o przetwarzaniu danych (u nas – rejestracji zbiorów).
  • Współpracuje z GIODO w trakcie kontroli wstępnych.

Ustawa

W polskiej ustawie ABI pojawia się w wyniku nowelizacji z 2004 roku. Nie będę tutaj rozważał sytuacji sprzed tej nowelizacji. Zgodnie z art. 36 ustawy o ochronie danych osobowych, administrator bezpieczeństwa musi być wyznaczony przez administratora danych osobowych, chyba, że ADO sam będzie wykonywał jego czynności. Zgodnie z ustawą ABI nadzoruje przestrzeganie środków technicznych i organizacyjnych przetwarzania danych osobowych przyjętych u administratora danych. Zapis ten możemy uznać za bardzo ogólny i w rzeczywistości zakres zadań realizowanych przez ABI bywa bardzo różny. Warto zwrócić uwagę, że w innych państwach europejskich, wymogi co do zadań i kwalifikacji ABI (DPO), zostały niejednokrotnie bardziej szczegółowo określone.

Z obowiązku powołania ABI (lub samodzielnego pełnienia jego zadań) zwolnieni są administratorzy pełniący działalność dziennikarską, literacką lub artystyczną.

„Nadzór” oznacza, że ABI powinien mieć możliwość ingerencji, wydawania poleceń, itd. w sytuacji gdy zasady przetwarzania danych nie są przestrzegane lub w celu zapewnienia zgodnego z tymi zasadami przetwarzania danych.

ABI może, ale nie musi być pracownikiem administratora danych. Należy jednak zwrócić uwagę, że powinien być konkretną osobą fizyczną, wyznaczoną przez ADO. Nic nie stoi na przeszkodzie, żeby pełnił jednocześnie inne funkcje. Nie powinny one jednak powodować powstania konfliktu interesu, który mógłby utrudnić administratorowi bezpieczeństwa informacji realizowanie jego zadań. Zwykle postuluje się tutaj, że nie powinien on być pracownikiem pionu IT, podlegającemu zwykle szczególnej uwadze ABI. Ze względów dowodowych, wyznaczenie ABI powinno mieć formę pisemną.

Mimo, że nie jest to określone wprost, ABI powinien być w taki sposób umocowany w strukturze organizacji, by móc w sposób prawidłowy realizować swoje zadania, kontaktować się z kierownictwem działów i w sposób niezależny nadzorować przetwarzanie w nich danych.

Istnieją podzielone opinie, co do tego, czy ADO może wyznaczyć kilku ABI. Ja skłaniałbym się do tego, że jest dopuszczalne, a w wielu organizacjach nawet wskazane.

Przyjmuje się, że niewłaściwe realizowanie obowiązków przez ABI, jako osobę zobowiązaną do ochrony danych osobowych może podlegać karze zgodnie z art.51 ustawy.

Art. 51.

  1. Kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat
  2. Jeżeli sprawca działa nieumyślnie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.

 

10 niezmiennych reguł bezpieczeństwa

W 2000 roku Scott Culp z Microsoft Security Response Center opublikował „10 niezmiennych reguł bezpieczeństwa”. Czy pomimo upływających lat są one nadal obowiązujące? Oceńcie sami.
W tym samym roku opublikowano „10 niezmiennych reguł administratora bezpieczeństwa”. Na pewno warto się z nimi zapoznać i pamiętać o nich w codziennej pracy.

10 niezmiennych reguł bezpieczeństwa:

1-Jeżeli zły facet może Cię zmusić do zainstalowania jego programu na Twoim komputerze, to nie jest już Twój komputer.

Law #1: If a bad guy can persuade you to run his program on your computer, it’s not your computer anymore.

2-Jeżeli zły facet może zmodyfikować system operacyjny na Twoim komputerze, to nie jest już Twój komputer.

Law #2: If a bad guy can alter the operating system on your computer, it’s not your computer anymore

3-Jeżeli zły facet ma nieograniczony dostęp fizyczny do Twojego komputera, to nie jest już Twój komputer.

Law #3: If a bad guy has unrestricted physical access to your computer, it’s not your computer anymore

4-Jeżeli dopuścisz, by zły facet umieścił program na Twojej stronie internetowej, to nie jest już Twoja Stronia.

Law #4: If you allow a bad guy to upload programs to your website, it’s not your website any more

5-Słabe hasła niwelują silne zabezpieczenia

Law #5: Weak passwords trump strong security

6-Komputer jest tylko na tyle bezpieczny, na ile administrator jest godny zaufania.

Law #6: A computer is only as secure as the administrator is trustworthy

7-Zaszyfrowane dane są jedynie tak bezpieczne, jak bezpieczny jest klucz deszyfrujący.

Law #7: Encrypted data is only as secure as the decryption key

8-Używanie nieaktualizowanego oprogramowania antywirusowego jest tylko nieznacznie lepsze niż nieużywanie takiego oprogramowania.

Law #8: An out of date virus scanner is only marginally better than no virus scanner at all

9-Całkowita anonimowość jest niepraktyczna, zarówno w życiu jaki i w Internecie.

Law #9: Absolute anonymity isn’t practical, in real life or on the Web

10-Technologia nie stanowi panaceum.

Law #10: Technology is not a panacea

Oryginalny, pełny tekst pod adresem:
http://technet.microsoft.com/pl-pl/library/cc722487%28en-us%29.aspx

10 niezmiennych reguł administratora bezpieczeństwa:

1-Nikt nie wierzy, że to właśnie jemu przydarzy się coś złego, dopóki to się nie stanie.

Law #1: Nobody believes anything bad can happen to them, until it does

2-Bezpieczeństwo funkcjonuje tylko wtedy, gdy “bezpieczny sposób” oznacza również “łatwy sposób”.

Law #2: Security only works if the secure way also happens to be the easy way

3-Jeżeli nie instalujesz na bieżąco poprawek bezpieczeństwa, Twoja sieć już niedługo przestanie należeć do Ciebie.

Law #3: If you don’t keep up with security fixes, your network won’t be yours for long

4-Na niewiele zda się instalowanie poprawek bezpieczeństwa na komputerze, który nie był zabezpieczony od początku.

Law #4: It doesn’t do much good to install security fixes on a computer that was never secured to begin with

5-Nieustanna czujność jest ceną bezpieczeństwa.

Law #5: Eternal vigilance is the price of security

6-Naprawdę istnieje ktoś, kto próbuje odgadnąć Twoje hasła.

Law #6: There really is someone out there trying to guess your passwords

7-Najbardziej bezpieczna sieć, to dobrze administrowana sieć.

Law #7: The most secure network is a well-administered one

8-Stopień trudności obrony sieci jest wprost proporcjonalna do jej złożoności.

Law #8: The difficulty of defending a network is directly proportional to its complexity

9-W bezpieczeństwie nie chodzi o unikanie ryzyka, a o zarządzanie ryzykiem.

Law #9: Security isn’t about risk avoidance; it’s about risk management

10-Technologia nie stanowi panaceum.

Law #10: Technology is not a panacea

Oryginalny, pełny tekst pod adresem:

http://technet.microsoft.com/en-us/library/cc722488.aspx

 

 

Sprawozdanie GIODO za 2010 rok

Roczne sprawozdanie Generalnego Inspektora Ochrony Danych Osobowych stanowiły zawsze bardzo ciekawe źródło wiedzy dla osób zajmujących się ochroną danych. Nie inaczej jest w wypadku sprawozdania za rok 2010 (dostępne pod adresem – http://www.giodo.gov.pl/1520113/j/pl/). Warto przyjrzeć się, na co zwracają uwagę kontrolerzy GIODO i w związku z jakimi problemami Generalny Inspektor kierował wystąpienia. Sprawozdanie zawiera informacje, z czym mieli najczęściej problemy Administratorzy danych skontrolowani przez GIODO.

Postanowiłem zamieścić poniżej moje, jak najbardziej subiektywne, zestawienie zagadnień i błędów Administratorów danych, wskazywanych w sprawozdaniu GIODO za 2010 rok:

  • Niespełnianie przez systemy służące do przetwarzania danych wymogów określonych w §7 rozporządzenia.
  • Nieodnotowywanie przekazywania dokumentów pomiędzy jednostkami organizacyjnymi Administratora danych.
  • Nieodnotowywanie wynoszenia dokumentów poza obszar przetwarzania.
  • Brak rejestru pobierania i zdawania kluczy do pomieszczeń.
  • Brak szyfrowania danych przesyłanych w sieci publicznej.
  • Nieprzestrzeganie zasady ograniczenia czasowego.
  • Niestosowanie haseł o wymaganej złożoności oraz niezmienianie haseł z wymaganą częstotliwością.
  • Ustawienie monitorów umożliwiające zapoznanie się danymi przez osoby nieupoważnione.
  • Przesyłanie niezaszyfrowanych danych pocztą elektroniczną.
  • Niekompletna dokumentacja.
  • Brak procedur przechowywania danych archiwalnych.
  • Niewyznaczenie ABI.
  • Dopuszczenie do przetwarzania danych osób nieupoważnionych.
  • Brak umów powierzenia.
  • Brak opisów struktur zbiorów i przepływu danych pomiędzy systemami.
  • Brak swobody wyrażenia zgody na przetwarzanie danych – zgody zawierające różne cele, niewskazanie celu.
  • Pozyskiwanie zgody na marketing własnych produktów.
  • Niedopełnienie obowiązku informacyjnego.
  • Niezarejestrowanie zbioru.
  • Niedołożenie szczególnej staranności, a w szczególności niezapewnienie, aby dane były przetwarzane zgodnie z prawem – przetwarzanie danych w szerszym zakresie niż to wynika z przepisów prawa.
  • Stosowanie procedur zgodnie z którymi hasła są znane osobom innym niż użytkownicy.
  • Zatrzymywanie dowodów i legitymacji jako zastawu.
  • Przesyłanie przez bank karty kredytowej, bez zawarcia umowy o kartę kredytową.
  • Nieprzestrzeganie trzydziestodniowego terminu udzielenia informacji wynikających z obowiązku informacyjnego.
  • Publikowanie danych osobowych na stronie internetowej parafii.
  • Stosowanie monitoringu w sposób naruszający prywatność osób.
  • Naruszenie prywatności w trakcie programu „Uwaga Pirat”.
  • Zatrzymanie przez izbę wytrzeźwień, telefonu komórkowego z kartą pamięci jako zastawu.
  • Wymaganie zgody na przetwarzanie danych osobowych w wypadkach, gdy dane są przetwarzane w celu realizacji obowiązku wynikającego z przepisów prawa.
  • Naruszenie prywatności polegające na głośnym podawaniu danych osobowych w rejestracji przychodni.
  • Przesyłanie ofert do osób, których dane zostały zebrane w innym celu.
  • Wykraczający poza określony w ustawie, zakres danych zbieranych przez przedszkola na podstawie uchwał rady gminy.
  • Udostępnianie przez pracodawców, danych pracowników związkom zawodowym.
  • Naruszanie prywatności, przez instalowanie na osiedlach mieszkaniowych kamer.
  • Udostępnianie danych zgromadzonych na komputerze firmie serwisowej.

 

Bardzo pozytywne zaskoczenie przy rejestracji zbioru danych.

Zgłoszenie zbioru, niemal rutynowe działanie osób zajmujących się ochroną danych osobowych, wymagało zawsze ogromnej cierpliwości. Po wysłaniu wypełnionego formularza rejestracyjnego, należało odczekać kilka miesięcy zanim zbiór został zarejestrowany. Stanowiło poważny problem dla przedsiębiorców. W jaki sposób mieli przetwarzać dane wrażliwe, jeżeli dla rozpoczęcia przetwarzania wymagane jest wcześniejsze zarejestrowanie zbioru? Również przy zgłaszaniu danych zwykłych można było odczuć lekki dreszczyk emocji – inwestuję pieniądze, a za kilka miesięcy okaże się, że muszę wstrzymać działalność, bo GIODO nie zarejestruje mi zbioru… A urzędy? Sejm uchwala nowelizację i za miesiąc urząd ma przetwarzać dane wrażliwe… A gdzie wdrożenie oprogramowania? Przygotowanie dokumentacji? I wreszcie, oczekiwanie na zarejestrowanie zbioru?

Wydawało się, że Biuro GIODO nigdy nie wygrzebie się spod góry zgłoszeń. I co? Dało się! Moje ostatnie zgłoszenie (zbioru zwykłego), zostało zarejestrowane w ciągu ośmiu(!) dni od wpłynięcia zgłoszenia. Gratulacje dla Biura GIODO!

W tym tygodniu wysyłam zgłoszenie zbioru z danymi wrażliwymi. Mam nadzieję, że rejestracja przebiegnie równie sprawnie.

Naprawdę, dawno mnie w działaniu polskich urzędów, nic tak nie zaskoczyło 🙂