Zorientowani na potrzeby klientów
Nasze doświadczenie i gotowość do podejmowania wyzwań gwarancją Twojego spokoju.
Ciągły monitoring Twoich systemów
Kiedy Ty wypoczywasz, my stale monitorujemy sprawność Twojego systemu.
Nowoczesne rozwiązania w Twoim zasięgu.
Serwis sprzętu i oprogramowaia


Bezpieczeństwo i ochrona danych osobowych

 

Zgodnie z nowelizacją ustawy o ochronie danych osobowych okres przejściowy dostosowania się do nowych przepisów mija 30 czerwca 2015 roku.

Dlaczego warto podjąć współpracę z firmą zewnętrzną tworząc wymaganą prawem dokumentację?

Zagadnienia, do których odnosi się ustawa o ochronie danych osobowych z pozoru nie są tak proste, jak mogłoby się wydawać. Obejmują swoim zakresem wiele aspektów związanych z funkcjonowaniem systemów informatycznych w środowisku produkcyjnym przedsiębiorstwa. Należy zwrócić uwagę na takie alementy, jak:

- celowość gromadzenia danych,

- procedury stosowane podczas gromadzenia i przetwarzania danych,

- zastosowane metody i sposoby ochrony ogranizacjące nie autoryzowany dostęp do informaji przez osoby do tego nie upoważnione. Należy uwzględnić zarówno rozwiązania proceduralne, technologiczne, logiczne oraz fizyczne.

Istotnym jest również fakt, że ustawa nakłada nie tylko obowiązek opracowania dokumentacji, ale również dostosowania i zastosowania metod i sposobów umożliwiających bezpieczne gromadzenie i przetwarzanie danych.

Dlaczego oferta zakupu gotowej dokumentacji może okazać sie chybionym  rozwiązaniem, które okaże się złudnym - za które w najgorszym wypadku, przyjdzie zapłacić karę nałożoną przez GIODO? 

Dokumentacja opracowana przez organizację i stanowiąca podstawowy zbiór regół obowiązujących musi odzwierciedlać rzeczywisty stan dbałości o bezpieczeństwo danych podlegających ochronie. Kupując tzw "gotowca", może okazać się, że stan rzeczywisty znacznie różni się od szablonu ujętego w nabytej dokumentacji. W przypadku kontroli GIODO administrator danych osobowych będzie narażany na kary i inne nieprzyjeności wynikające z braku odpowiednich-adekwatnych dla jego profilu działalności dokumentów i procedur, jak również technologicznych i fizycznych zbezpieczeń.

 

Kompendium wiedzy

 

W myśl ustawy o ochronie danych osobowych art. 7 pkt 4 . administratorem danych wykorzystywanych w zakresie działalności prowadzonej przez przedsiębiorcę jest przedsiębiorca. Administratorem takich danych jest w szczególności spółka z ograniczoną odpowiedzialnością, spółka akcyjna, spółka jawna czy też spółka komandytowa.. Tak więc administratorem danych jest sama spółka prawa handlowego, nie zaś jej organy, osoby zasiadające w organach tej spółki lub pełniące w niej funkcje kierownicze.
Administrator danych osobowych ma prawo (nie obowiązek) powoływać administratora bezpieczeństwa informacji (ABI). przy czym, jeśli takiego administratora nie powoła, to na nim ciążą obowiązki wynikające z ustawy o ochronie danych osobowych. Chodzi tu o zadania wyszczególnione w art. 36a ust. 2 pkt 1 lit. b i c u.o.d.o. 
Powołanie ABI i zgłoszenie go Generalnemu Inspektorowi Ochrony Danych Osobowych (GIODO) do rejestracji (administrator danych jest obowiązany zgłosić do rejestracji GIODO powołanie ABI w terminie 30 dni od dnia jego powołania, zgodnie z art. 46b u.o.d.o., wzór zgłoszenia określony został w rozporządzeniu Ministra Administracji i Cyfryzacji z dnia 10 grudnia 2014 r.), ma wpływ na zakres obowiązków dotyczących rejestracji zbiorów danych osobowych.

Uwzględniając obowiązujące od 1 stycznia 2015 r. przepisy u.o.d.o., z obowiązku zgłoszenia zbioru danych do rejestracji GIODO zwolnieni są, nie tylko – jak dotychczas – administratorzy danych osobowych wymienionych w art. 43 ust. 1 u.o.d.o., ale także ci administratorzy danych, u których został powołany i zgłoszony do GIODO administrator bezpieczeństwa informacji (ABI).

Do obowiązków osoby pełniącej tę funkcję należy przede wszystkim sprawowanie nadzoru nad przestrzeganiem zasad ochrony i bezpiecznego przetwarzania danych osobowych. Nadzór ten powinien obejmować wszelkie procesy przetwarzania danych osobowych jakie zachodzą w organizacji, a więc zarówno te, które dotyczą systemów informatycznych jak i te które tyczą się tradycyjnych ewidencji, kartotek czy zestawień.
Biorąc pod uwagę powyższe, wydaje się, że administratorem bezpieczeństwa informacji powinna być osoba, która posiada odpowiednią wiedzę z zakresu informatyki oraz zna się i potrafi interpretować przepisy prawa dotyczące ochrony danych osobowych. I choć ustawa nie wspomina słowem o kwalifikacjach ABI, warto - biorąc pod uwagę powyższe - by funkcję tę pełniła osoba mająca już doświadczenie związane z ochroną danych osobowych. 
W kwestii podległości służbowej ABI, kluczem jest również słowo „nadzór”. 
Nowe przepisy przewidują możliwość powołania zastępców ABI oraz zezwalają na wykonywanie przez ABI innych obowiązków, jeżeli nie naruszy to prawidłowego wykonywania jego podstawowych zadań.
Ciężko sobie wyobrazić, by ABI mógł skutecznie pełnić funkcje nadzorcze np. w stosunku do dyrektora departamentu w którym na co dzień pracuje i któremu podlega (chodzi tu zwłaszcza o brak możliwości władczego oddziaływania na przełożonego np. poprzez wydanie mu polecenia służbowego). Taka podległość to także problem z formułowaniem obiektywnych zaleceń w zakresie nadzoru nad przetwarzaniem danych osobowych. Tego typu sytuacja może być szczególnie niebezpieczna, gdy ABI organizacyjnie podlegałby kierownikowi departamentu IT, ponieważ sprawowany przez niego nadzór w dużej mierze odnosi się do sfery zadań przypisanych do takiego departamentu. Stąd też dobrą praktyką jest, by ABI podlegał bezpośrednio np. pod zarząd spółki, tak by czynności nadzoru mogły być wykonywane w sposób obiektywny i bezstronny, bez ryzyka spowodowanego ewentualnymi naciskami ze strony bezpośrednich przełożonych.

Z początkiem nowego roku weszła w życie zmiana przepisów o ochronie danych osobowych, która powoduje, że każdy przedsiębiorca powinien rozważyć czy chce powołać administratora bezpieczeństwa informacji nowego typu (ABI). Dotyczy to również tych przedsiębiorców, którzy wcześniej powołali już ABI. Zmiana regulacji jest bowiem na tyle istotna, że dotychczasowi ABI mogą pełnić swoją funkcję tylko do 30 czerwca 2015 r.
Jeśli ABI zostanie powołany:
1. przedsiębiorca zostanie zwolniony z rejestracji zbiorów danych osobowych w GIODO, ale
2. konieczne będzie zarejestrowanie nowego ABI w rejestrze prowadzonym przez GIODO;
3. zbiory danych osobowych przedsiębiorcy będą rejestrowane przez samego ABI;
4. ABI będzie mógł być zobowiązany do przeprowadzenia kontroli przedsiębiorcy na zlecenie GIODO.
Jeżeli nowy ABI nie zostanie powołany:
1. przedsiębiorca będzie zobowiązany do rejestracji zbiorów danych osobowych w GIODO;
2. nie będzie musiał rejestrować ABI w GIODO;
3. kontrolę przedsiębiorcy prowadzić będą pracownicy GIODO.
Dodatkowo ci przedsiębiorcy, którzy działają w międzynarodowych grupach kapitałowych, powinni na nowo zbadać czy przekazanie danych osobowych do podmiotów z grupy położonych poza UE będzie wymagało zgody GIODO, czy też będzie można dokonywać takich transferów bez tej zgody ze względu na przyjęte w grupie wewnętrzne regulacje lub zawarte między podmiotami z grupy umowy.
Nowy ABI
ABI to osoba wyznaczona przez administratora danych do sprawowania nadzoru nad przestrzeganiem zasad ochrony danych.
Nowe przepisy wyraźnie wskazują, że powołanie ABI będzie uprawnieniem a nie obowiązkiem administratora. ABI, którzy zostali powołani przed wejściem w życie omawianych przepisów mogą pełnić swoją funkcję do czasu zgłoszenia ich do nowoutworzonego rejestru ABI (o czym niżej), nie dłużej jednak niż do dnia 30 czerwca 2015 r.
Dotychczas każdy mógł zostać wyznaczony do pełnienia funkcji ABI. Po omawianych zmianach ABI będzie musiał spełniać następujące warunki:
• mieć pełną zdolność do czynności prawnych oraz korzystać z pełni praw publicznych;
• posiadać odpowiednią wiedzę w zakresie ochrony danych osobowych;
• nie być karanym za umyślne przestępstwo.
Nowe przepisy określają szczegółowy zakres zadań ABI. Będzie do nich należeć zapewnianie przestrzegania przepisów o ochronie danych osobowych oraz – co jest szczególnie istotną nowością – prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych.
W ramach nadzoru nad przestrzeganiem przepisów ABI będzie zobowiązany do:
• sprawdzania zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych,
• nadzorowania opracowania i aktualizowania dokumentacji opisującej sposób przetwarzania danych oraz środki ich ochrony oraz przestrzegania zasad w niej określonych,
• szkolenia osób upoważnionych do przetwarzania danych osobowych w zakresie przepisów o ochronie danych osobowych.
Z uwagi na zmianę charakteru ABI, utworzony zostanie centralny rejestr ABI prowadzony przez GIODO. Powołanie i odwołanie ABI administrator danych zobowiązany będzie zgłosić do tego rejestru.
ABI nowego typu, na żądanie GIODO, będzie zobowiązany do dokonania sprawdzania zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych. Oznacza to, że ABI, chociaż powoływany przez administratora, będzie kontrolował swój macierzysty podmiot na zlecenie GIODO.
Prowadząc kontrolę na rzecz GIODO, ABI będzie zobowiązany do ustalenia stanu faktycznego i zebrania dowodów potwierdzających ustalone przez niego fakty. ABI będzie mógł także żądać udzielenia informacji przez wskazane przez niego osoby czy przeprowadzić oględziny. Z przeprowadzanych w ramach sprawdzenia czynności ABI będzie musiał sporządzić protokół. Efektem sprawdzenia prowadzonego przez ABI będzie sprawozdanie, które przekazywane jest administratorowi danych.
Nowe kompetencje ABI opisane powyżej wyraźnie wskazują, że chociaż ABI będzie wyznaczany przez administratora jego pozycja w strukturze organizacyjnej przedsiębiorstwa będzie szczególna, zwłaszcza w przypadku działania w wyniku żądania GIODO.
Rejestracja zbiorów danych osobowych przez ABI, a nie przez GIODO
Nowelizacja wprowadza nowe, generalne zwolnienie z obowiązku rejestracji zbiorów danych osobowych przez GIODO.
Administrator danych, który powoła i zgłosi ABI do rejestru prowadzonego przez GIODO będzie zwolniony z obowiązku zgłaszania GIODO prowadzonych przez siebie zbiorów danych osobowych. Powyższe zwolnienie nie będzie dotyczyło jednak zbiorów zawierających tzw. dane wrażliwe.
Nie oznacza to jednak, że zbiory danych prowadzone przez administratorów nie będą w ogóle rejestrowane. Obowiązek ten zostaje przeniesiony z GIODO na ABI, który musi prowadzić wewnętrzny rejestr prowadzonych przez administratora zbiorów danych osobowych.
ABI nie będzie musiał prowadzić rejestru zbiorów danych, które dotychczas korzystały ze zwolnienia od zgłoszenia do GIODO tj. w szczególności:
• zbiorów danych przetwarzanych w związku z zatrudnieniem u administratora danych lub w związku ze świadczeniem na rzecz administratora usług na podstawie umów cywilnoprawnych;
• zbiorów danych przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej;
• zbiorów danych zawierających wyłącznie dane powszechnie dostępne.
Nowością jest, że obowiązek rejestracji nie będzie dotyczył zbiorów danych prowadzonych w kartotekach, czy w inny sposób wyłącznie na piśmie (gdzie nie korzysta się z systemów informatycznych). 
Wyjątek ten nie obejmuje jednak zbiorów zawierających dane wrażliwe tj. m.in. ujawniają pochodzenie rasowe lub etniczne, poglądy polityczne, przynależność wyznaniową, partyjną lub związkową czy przedstawiają informacje o stanie zdrowia.
Rejestr zbiorów danych prowadzony wewnętrznie przez ABI jest jawny. ABI zobowiązany jest udostępnić prowadzony przez siebie rejestr każdemu zainteresowanemu.
Prowadzony przez ABI rejestr musi zawierać – dla każdego objętego nim zbioru danych osobowych – informacje m.in. o podstawie prawnej przetwarzania danych w zbiorze; celu przetwarzania; kategorii osób, które dane zawarte są w zbiorze; zakresie przetwarzanych danych; sposobie ich zbierania i udostępniania; odbiorcach danych oraz transferze danych do państw trzecich.