Żądny wiedzy? Wbijaj na Mega Sekurak Hacking Party w maju! -30% z kodem: majearly
GDPR/RODO – Wymagania stawiane przed Inspektorem Ochrony Danych
W kolejnym artykule z naszej serii poświęconej regulacji GDPR postaramy się naświetlić temat związany z wymaganiami dotyczącymi konieczności powoływania Inspektora Ochrony Danych. Odpowiemy na pytanie, czy zawsze ta funkcja musi zostać powołana, oraz jakie obowiązki na niej spoczywają i dlaczego osoba pełniąca tę rolę będzie tak istotna dla organizacji w świetle GDPR.
W poprzednich częściach cyklu możecie poczytać ogólnie o nowych wymogach dotyczących przetwarzania danych osobowych (zachęcam też do spojrzenia na zażartą dyskusję pod tym artykułem), o karach za naruszenia czy o przejrzystości procesu przetwarzania danych osobowych
Kto i kiedy jest zobowiązany do powoływania Inspektora Ochrony Danych?
Analizując dogłębnie GDPR należy zauważyć, iż funkcji Inspektora Ochrony Danych nie poświęcono zbyt wiele artykułów. Wydaje się, że konieczność dodefiniowania zakresu bezpośrednich odpowiedzialności tego podmiotu będzie przeniesiona na konkretne regulacje krajowe. Podejście takie wydaje się być rozwiązaniem dość sensownym zważywszy na fakt, iż właściwie każdy z krajów członkowskich Unii Europejskiej posiada już istniejące i funkcjonujące regulacje w zakresie ochrony danych osobowych, które w sensowny (najbardziej odpowiedni dla prawa konkretnego kraju) sposób muszą zostać teraz zmodyfikowane.
Art.37.Par.1 GDPR mówi:
Administrator i podmiot przetwarzający wyznaczają inspektora ochrony danych, zawsze gdy:
a) przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości,
b) główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę, lub
c) główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10.
W kontekście powyższego artykułu warto zwrócić uwagę na klika ważnych aspektów. Pierwsza i zdaję się, że dość istotna w Polskich realiach kwestia to punkt (a), z którego wynika, iż wszystkie podmioty publiczne, za wyłączeniem sądów, muszą dokonać formalnego powołania Inspektora Ochrony Danych. Nakładając to na dość rozbudowane kompetencje, jakie musi posiadać taka osoba, może okazać się zadaniem dość skomplikowanym.
Pamiętajmy, że jednocześnie GDPR pozostawia dość sporą swobodę w implementacji konkretnych zabezpieczeń i mówi, że ich dobór ma być podyktowany wynikami analizy ryzyka. Tu zaczynają się schody, gdyż (oczywiście to poddajemy także Waszej ocenie) przygotowywania i wykonywania procesu analizy ryzyka nie da nauczyć się z podręcznika (wiedza teoretyczna jest oczywiście niezbędna, lecz to tylko początek), potrzebna jest tu przede wszystkim dobra znajomość środowiska przetwarzania oraz doświadczenie w pracy operacyjnej z zarządzaniem bezpieczeństwem informacji.
Myślę, że każdy z nas boryka się na co dzień z ciągłą koniecznością poszukiwania wykwalifikowanego i doświadczonego personelu potrafiącego kompleksowo adresować zagadnienia bezpieczeństwa. Z pomocą (o czym także wspominano na spotkaniu konsultacyjnym w Ministerstwie Cyfryzacji) mogą przyjść regulacje pozwalające angażować w roli Inspektora Ochrony Danych podmioty trzecie np. „konsultantów”.
Mówi o tym dość jasno Art.37.Par.6. podkreślając, że Inspektor Ochrony Danych może pełnić swoją funkcje na podstawie umowy o świadczenie usług. Oczywiście wiem część z Was skomentuje to tym, że jest to przestrzeń do robienia interesów i tym podobne. Pozwólcie, że postaram się odłożyć te „sporne” kwestie na bok i skupić nad, tym co jest do wykonania w zakresie powołania funkcji inspektora, bo czy chcemy to robić, czy też nie, w wielu sytuacjach nie mamy po prostu innego wyjścia. Im szybciej przygotujemy/zmienimy naszą wewnątrzorganizacyjną kulturę postrzegania tematyki bezpieczeństwa informacji z określania jej złem koniecznym na integralny element prowadzenia działalności, tym lepiej dla nas.
Ciekawostką jest to, że twórcy rozporządzenia GDPR zauważyli i odnieśli się do konieczności posiadania przez Inspektora Ochrony Danych odpowiedniego poziomu wiedzy. Art.37.Par.5. GDPR mówi:
Inspektor ochrony danych jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań, o których mowa w art. 39.
Całkowitą „rewolucją” wydają się zapiski Art.38.Par.2.:
Administrator oraz podmiot przetwarzający wspierają inspektora ochrony danych w wypełnianiu przez niego zadań, o których mowa w art. 39, zapewniając mu zasoby niezbędne do wykonania tych zadań oraz dostęp do danych osobowych i operacji przetwarzania, a także zasoby niezbędne do utrzymania jego wiedzy fachowej.
Z powyższego zapisu wynika wprost, iż w końcu pojawia się formalna okoliczność obligująca administratorów o zadbanie, aby Inspektorzy Ochrony Danych byli wyposażeni w odpowiedni i co najważniejsze aktualizowany poziom wiedzy merytorycznej. Myślę, że nikomu nie trzeba mówić jak ważne jest ciągłe doszkalanie się i praktykowanie zdobywanej wiedzy.
Wracając do Art.30., podpunkt (b) mówi, że jeżeli przetwarzamy dane na „dużą skalę” – cokolwiek by to nie znaczyło, także jesteśmy zobowiązani do powołania Inspektora Ochrony Danych. W mojej skromnej opinii na pewno wszyscy operatorzy telekomunikacyjni i sieciowi, wszelkie instytucje prowadzące działalność komercyjną, zwłaszcza detaliczną, w których gromadzi się duże ilości danych osobowych, wszelkie instytucje medyczne (które to dodatkowo przetwarzają dane wrażliwe) będą objęte tym wymogiem.
Nie zapominajmy, iż prowadzenie małej działalności, w której nie zatrudniamy setek pracowników nie zawsze jest okolicznością zwalniającą nas z konieczności wyznaczenia funkcji inspektora… Może zdarzyć się tak, że mała firma zatrudniająca kilka osób przetwarza dane osobowe na znacznie większą skalę niż duża korporacja. Warto w tym momencie nieco bliżej przyjrzeć się nieco „enigmatycznemu” paragrafowi 5 Art.30 GDPR, który mówi:
„Obowiązki, o których mowa w ust. 1 i 2, nie mają zastosowania do przedsiębiorcy lub podmiotu zatrudniającego mniej niż 250 osób, chyba że przetwarzanie, którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1, lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa, o czym mowa w art. 10.”
Uściślając ust. 1 i 2, o których mowa w powyższym paragrafie stanowią kolejno:
1. Każdy administrator oraz – gdy ma to zastosowanie – przedstawiciel administratora prowadzą rejestr czynności przetwarzania danych osobowych, za które odpowiadają. W rejestrze tym zamieszcza się wszystkie następujące informacje:
a) imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych,
b) cele przetwarzania,
c) opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;
d) kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych;
e) gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń;
f) jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych;
g) jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1.
2. Każdy podmiot przetwarzający oraz – gdy ma to zastosowanie – przedstawiciel podmiotu przetwarzającego prowadzą rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora, zawierający następujące informacje:
a) imię i nazwisko lub nazwa oraz dane kontaktowe podmiotu przetwarzającego lub podmiotów przetwarzających oraz każdego administratora, w imieniu którego działa podmiot przetwarzający, a gdy ma to zastosowanie – przedstawiciela, administratora lub podmiotu przetwarzającego oraz inspektora ochrony danych
b) kategorie przetwarzań dokonywanych w imieniu każdego z administratorów,
c) gdy ma to zastosowanie –przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń,
d) jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1.
Nie jest to powiedziane wprost, natomiast w moim mniemaniu należy założyć, że jeśli musimy wykonywać tak detaliczne zadania związane z prowadzeniem „rejestru czynności przetwarzania danych osobowych”, przekłada się to automatycznie na posiadanie w gronie pracowników osoby „inspektora” odpowiedzialnej za dopełnienie niezbędnych czynności formalno-praktycznych.
Idąc dalej Art.30.Par.5. z jednej strony zwalnia organizacje zatrudniające mniej niż 250 osób z konieczności prowadzenia rejestrów przetwarzania danych osobowych, co może jednocześnie implikować zwolnienie z konieczności posiadania wyspecjalizowanej kadry w postaci Inspektora Ochrony Danych, natomiast z drugiej strony widzimy tu bardzo ciekawy zapisek/wyjątek:
chyba że przetwarzanie, którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1, lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa, o czym mowa w art. 10.
W tym konkretnym przypadku wydaje się, że właściwie zawsze może dojść do sytuacji, w której przetwarzaniem danych nawet dwóch czy pięciu osób może doprowadzić do tzw: „ryzyka naruszenia praw lub wolności osób, których dane dotyczą”…
Nie mówiąc już o tym, jak mamy określić przetwarzanie jako „sporadyczne”… Czy sporadycznym przetwarzaniem będzie wyświetlanie rekordu raz na tydzień, raz na miesiąc czy raz na rok – czyż już sam fakt posiadania danego rekordu w bazie nie jest już przypadkiem przetwarzaniem? W tym zakresie musimy pewnie poczekać na regulacje resortowe i ewentualne „kodeksy postępowania”, może te regulacje o charakterze przepisów wykonawczych rzucą więcej światła na zawiłości wspomnianego artykułu regulacji GDPR.
Związki wyznaniowe i kościoły
Podobnie pytaniem otwartym pozostaje co mają zrobić związki wyznaniowe, kościoły czy też fundacje. Przykładowo w uzupełnieniu do Art.30, Art.91 mówi:
1. Jeżeli w państwie członkowskim w momencie wejścia niniejszego rozporządzenia w życie kościoły i związki lub wspólnoty wyznaniowe stosują szczegółowe zasady ochrony osób fizycznych w związku z przetwarzaniem, zasady takie mogą być nadal stosowane, pod warunkiem że zostaną dostosowane do niniejszego rozporządzenia.
Co ważniejsze:
2. Kościoły i związki wyznaniowe, które stosują szczegółowe zasady zgodnie z ust. 1 niniejszego artykułu, podlegają nadzorowi niezależnego organu nadzorczego, który może być organem odrębnym, z zastrzeżeniem że spełnia warunki określone w rozdziale VI niniejszego rozporządzenia.
Bardzo duże słowa uznania należą się w tym zakresie Ministerstwu Cyfryzacji, ponieważ przeprowadziło ono odrębne konsultacje z kościołami i związkami wyznaniowym, także pozostaje mieć nadzieje, że stosowne akty wykonawcze dokonają racjonalnej regulacji także i tego obszaru. Co może niepokoić, to sformułowanie: „zasady ochrony osób fizycznych w związku z przetwarzaniem, zasady takie mogą być nadal stosowane, pod warunkiem że zostaną dostosowane do niniejszego rozporządzenia”
W moim rozumieniu wynika z niego, że tak czy inaczej, instytucje takie muszą dopasować zasady bezpieczeństwa obecnie stosowane do nowego rozporządzenia.
Konsolidowanie funkcji Inspektora Ochrony Danych osobowych
Artykuł 37.Par.2 mówi o tym, iż grupa przedsiębiorstw może wyznaczyć jednego Inspektora Ochrony Danych, o ile będzie istniała możliwość łatwego skontaktowania się z nim. Ma to szalenie istotne znaczenie, zwłaszcza w sytuacji organizacji o dużym rozproszeniu geograficznym, gdzie zatrudnianie odrębnego inspektora w każdym z oddziałów mijałoby się z celem. Oczywiście zważywszy na fakt konieczności posiadania dość sporej wiedzy technicznej i organizacyjnej po stronie Inspektora Ochrony Danych, musimy pamiętać, aby nie przeciążać pojedynczych osób nadmiernym zakresem odpowiedzialności, ponieważ może to się odbić negatywnie na skuteczności ochrony danych osobowych.
Pamiętajmy także, że zgodnie z paragrafem 7 Art.37 Administrator bądź Przetwarzający są zobowiązani do opublikowania danych kontaktowych Inspektora Ochrony Danych oraz poinformowanie o jego tożsamości organ nadzorujący. Co do formy wykonania tego zadania musimy poczekać na stosowne przepisy wykonawcze.
Status i uprawnienia Inspektora Ochrony Danych – niezależność i gwarantowana w pakiecie !? :-)
GDPR dość precyzyjnie określa uprawnienia Inspektora Ochrony Danych. Co bardzo cieszy, osoba taka nie może być już nigdy więcej traktowana zdawkowo i odizolowana od informacji dotyczących przetwarzania i ochrony danych osobowych. Art.38. GDPR mówi między innymi, że administrator i podmiot przetwarzający mają obowiązek właściwego i niezwłocznego włączenia inspektora we wszystkie sprawy dotyczące ochrony danych osobowych. Administrator i podmiot przetwarzający są ponadto zobowiązani do zapewnienia wszelkich niezbędnych zasobów pozwalających należycie pełnić wskazane zadania Inspektorowi Ochrony Danych. Istotne jest to, że należy zagwarantować także dostęp do zasobów pozwalających inspektorowi zachować odpowiedni poziom „wiedzy fachowej”.
Bardzo ciekawym i zarazem intrygującym jest paragraf 3 Art.38, który mówi:
Administrator oraz podmiot przetwarzający zapewniają, by inspektor ochrony danych nie otrzymywał instrukcji dotyczących wykonywania tych zadań. Nie jest on odwoływany ani karany przez administratora ani podmiot przetwarzający za wypełnianie swoich zadań. Inspektor ochrony danych bezpośrednio podlega najwyższemu kierownictwu administratora lub podmiotu przetwarzającego.
Rozumiemy, że celem powyższego paragrafu jest zapewnienie niezawisłości działań podejmowanych przez inspektora. Jednakże tak dość szeroko zakrojone ograniczenie uprawnień administratora i przetwarzającego względem inspektora może rodzić wiele pytań.
Co w sytuacji, kiedy dostrzega się wyraźne zaniedbania w pracy inspektora w zakresie ochrony danych i jego odwołanie może okazać się niezbędne w celu utrzymania odpowiedniego poziomu ochrony danych osobowych? Czy przepisy wykonawcze do rozporządzenia określą pewną formę „katalogu” działań pozwalających racjonalnie i oczywiście niezależnie ocenić wyniki pracy inspektorów? Czy za każdym razem w sytuacji, kiedy będziemy chcieli odwołać Inspektora Ochrony Danych musimy konsultować to z organem nadzorczym?
W moim odczuciu jest to na pewno obszar wymagający bardzo precyzyjnego dodefiniowania, gdyż dotyka on materii strategicznej powiązanej z najważniejszą instancją ochrony danych osobowych w organizacji.
Bazując na moim doświadczeniu uważam, że bardzo słusznym jest zalecenie, aby Inspektor Ochrony Danych osobowych raportował bezpośrednio do najwyższego kierownictwa organizacji. Wydaje się, że jedynie takie rozwiązanie buduje (choć na pewno nie gwarantuje) uzyskanie odpowiedniego poziomu świadomości i zaangażowania kierownictwa w ochronę danych osobowych. Z doświadczenia mogę jednoznacznie powiedzieć, że aktywne włączenie kierownictwa w proces ochrony informacji jest kluczowym i nadrzędnym czynnikiem sukcesu.
Sto pytań do…
Innym wymogiem, który wydaje się być dość trudnym do praktycznej realizacji, jest wymóg prezentowany w paragrafie 4 Art.38. tj:
Osoby, których dane dotyczą, mogą kontaktować się z inspektorem ochrony danych we wszystkich sprawach związanych z przetwarzaniem ich danych osobowych oraz z wykonywaniem praw przysługujących im na mocy niniejszego rozporządzenia.
Najbardziej niejasnym wydaje się stwierdzenie „we wszystkich sprawach związanych z przetwarzaniem ich danych osobowych oraz z wykonywaniem praw przysługujących”; wynika z niego, iż każda osoba, której dane są przetwarzane w zakresie jurysdykcji i uprawnień danego inspektora, może się z nim bezpośrednio skontaktować.
Oczywiście rozwiązanie takie wydaje się sprawiedliwym z punktu widzenia osób, których dane przetwarzamy, lecz czy potencjalne obciążenie inspektorów, jakie może zostać wygenerowane przez tego rodzaju komunikację nie będzie negatywnie spływać na możliwość wykonywania przez nich istotnych funkcji o znaczeniu strategicznym dla ochrony danych osobowych? Myślę, że zrealizowanie tego wymagania będzie wymagało po stronie organizacji nie tylko powołania inspektora, ale także zdefiniowanie dla niego odpowiednich zespołów i narzędzi wsparcia (tj. powołanie jego sekretarza, stworzenie informatycznego systemu rejestrowania zgłoszeń), co może oczywiście bezpośrednio przełożyć się na znaczące podniesienie kosztów związanych z przetwarzaniem danych osobowych.
Rozporządzenie mówi także, iż funkcja Inspektora Ochrony Danych może być łączona z innymi funkcjami, lecz mając na uwadze jednoczesną konieczność zachowania wysokiego poziomu niezawisłości, wydaje się, że liczba funkcji, jaką może pełnić inspektor jest znacząco ograniczona. Rozporządzenie także jasno mówi o tym, że to administrator i przetwarzający są odpowiedzialni za takie określenie zadań inspektora, aby jego obowiązki nie powodowały konfliktu interesów.
Co tak właściwie ma robić Inspektor Ochrony Danych – „inspektorować” ? :-)
Artykuł 39 wyznacza pięć zasadniczych obszarów odpowiedzialności Inspektora Ochrony Danych, obejmują one:
a) informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy niniejszego rozporządzenia oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie,
b) monitorowanie przestrzegania niniejszego rozporządzenia, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty,
c) udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania zgodnie z art. 35,
d) współpraca z organem nadzorczym,
e) pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o których mowa w art. 36, oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach.
Jak widać, rozporządzenie w sekcji określania odpowiedzialności Inspektora Ochrony Danych nie definiuje jednak specyficznych zadań, są one podyktowane pozostałymi artykułami rozporządzenia oraz będą specyfikowane w stosownych rozporządzeniach i aktach wykonawczych.
W moim odczuciu, jedno na co warto zwrócić uwagę, to punkt (c), na mocy którego inspektor zobowiązany jest do: „udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych”.
Punkt ten dotyka innej dość istotnej materii odpowiedzialności administratorów i przetwarzających, otóż chodzi tu o zapewnienie pełnej rozliczalności w zakresie działań związanych z ochroną danych osobowych, przekłada się to w praktyce na konieczność posiadania systemu zarządzania bezpieczeństwem, który „można rozliczyć” – czyli sprawdzić skuteczność i efektywność jego działania w każdym momencie czasu.
Jak to się ma do działań praktycznych; otóż musimy sobie zdać sprawę, że zarządzanie bezpieczeństwem danych osobowych nie będzie mogło nigdy więcej być działaniem doraźnym, wykonywanym raz na jakiś czas. Rozporządzenie wymaga od nas tego, aby prowadzić ciągłe monitorowanie i korygowanie działań podejmowanych w zakresie ochrony danych osobowych. Właśnie ten aspekt może się w sposób najbardziej znaczący przekładać na konieczność zmian w zakresie czynności wykonywanych przez Inspektorów Ochrony Danych. Po wejściu w życie rozporządzenia będą oni musieli wykonywać ściśle określone i zaplanowane zadanie w reżimie stałym (żeby nie powiedzieć codziennym).
Nakładając na powyższe także wymóg prezentowany w artykule 38 punkt 2, który mówi, że Inspektor Ochrony Danych ma: „wypełniać swoje obowiązki z uwzględnieniem ryzyka związanymi z operacjami przetwarzania, mając na uwadze charakter, zakres, kontekst i cele przetwarzania”. Rysuje się nam obraz sytuacji, który wymaga bardzo kompleksowego podejścia do bezpieczeństwa, osadzonego w nowych realiach jakościowych. Zakładam, że nigdy więcej nie będzie już oceniana „dobra wola i dobre intencje”, tylko efektywność podejmowanych działań.
Posumujmy – rozpocznijmy pisać „JD” dla nowego stanowiska…
Podsumowując kwestie związane z wymaganiami, jakie w świetle GDPR zostają nałożone na funkcję Inspektora Ochrony Danych, należy zauważyć przede wszystkim, że jest to całkowicie przedefiniowana rola, tylko częściowo powiązana z obecnymi odpowiedzialnościami ABI (Administrator Bezpieczeństwa Informacji).
Główna zmiana polega na znaczącym rozszerzeniu jego uprawnień, ale i odpowiedzialności. Myślę, że z punktu widzenia świadomości wszystkich osób odpowiedzialnych za bezpieczeństwo, zrozumienie nowych funkcji i przebudowanie naszego światopoglądu, a także wpisanie się w nowy zakres obowiązków, jaki będzie spoczywać na osobach odpowiedzialnych za bezpieczeństwo nie powinno być zadaniem bardzo trudnym; wszakże na codzień musimy toczyć ciągłe batalie ze zmieniającymi się regulacjami, galopującym rozwojem technik teleinformatycznych – powiązanymi z nimi podatnościami, słabościami czynnika ludzkiego i finalnie wciąż wyprzedzającymi nas o krok napastnikami.
Myślę, że tak naprawdę najtrudniejsze zadanie spoczywać będzie na osobach odpowiedzialnych za zarządzanie organizacjami. Wynika to z faktu, że muszą one całkowicie przebudować i zmienić swoje postrzeganie domeny bezpieczeństwa danych osobowych. Do tej pory pokutuje raczej wyobrażenie konieczności ochrony danych osobowych jako zła koniecznego. Można oczywiście z tym bardzo długo polemizować, natomiast moje zdanie jest następujące – dane osobowe i inne cenne zasoby informacyjne organizacji należy odpowiednio chronić, czy obszar ten jest regulowany przez GDPR czy też nie.
Powinniśmy wykorzystać wprowadzenie nowych regulacji bazujących na GDPR, jako szansę na zrewidowanie organizacyjnego podejścia do zarządzania bezpieczeństwem informacji w szczególności ochrony danych osobowych. Jeśli uda się przeorientować podejście z modelu, w którym „ryzyko zarządzają nami” na model, w którym „my zarządzamy ryzkiem”, na pewno finalnie będziemy zadowoleni z rezultatów. Oczywiście nie jest to zadanie łatwe i dobrze się o nim pisze, ale moje doświadczenia wskazują, że da się taki model z sukcesem wdrożyć przy wspólnym wysiłku wszystkich departamentów i pracowników organizacji. Tutaj gorący apel do czytelników będących reprezentantami kadr zarządzających, proszę popatrzcie na Waszych administratorów bezpieczeństwa nie z perspektywy kosztu, lecz z perspektywy szansy na lepszą ochronę informacji, a przez to szansy dla Waszej organizacji na posiadanie lepszej pozycji rynkowej.
–Maciej Pokorniecki
Dziś mówi się o data protection a GDPR wnosi nacisk na data privacy – to jednak różnica. Cel nadrzędny jest taki, aby wdrażać „privacy by design”, więc jak napisałeś mamy kontrolować sytuację, a nie tylko reagować.
Czas zacząć tworzyć teamy do wdrożenia GDPR, bo zostało tylko kilkanaście miesięcy, a tu trzeba wręcz zmienić kulturę firmy w zakresie danych osobowych. IT, prawnicy, bezpieczniki – muszą zacząć ze sobą gadać.
Niestety ale to nie idzie w dobrym kierunku.
Tak naprawdę wdrażamy systemy wielostopniowej kontroli poprzez kolejne stanowiska administratorów.
Czytając tą dyrektywę widać że jest pisane przez biurokratów którym się wydaje że kolejna osoba odpowiedzialna coś zmieni w realnym bezpieczeństwie.
To swego rodzaju fikcja która się mocno ugruntowała.
Tak na spokojnie podchodząc to jednoosobowa firma z kilkoma pracownikami może przetwarzać dane tylu klientów co wielka korporacja.
I co ma zrobić?
No musi zatrudnić jakiegoś „administratora” co im to poskłada w całość i zabezpieczy…
Ale już regulacje prawne nakazują mieć ni mniej ni więcej jak kontrolerów którzy powinni wiedzieć co robią.
I to pojawia się problem. Kto ma kontrolować tą wynajętą firmę?
ABI czy inny IOD z wynajęty z tejże firmy? No bez sensu.
Ktoś z naszych pracowników? Ale nie mają kompetencji.
ABI zostają ludzie klejący hasła na karteczkach do monitora :D
Zlecić wyspecjalizowanej firmie? Są takie które to robią?
I ile podmiotów będą obsługiwać na ile dobrze?
No i dojdzie do konfliktu.
Firma „kontrolująca” będzie wykazywała braki firmy „administrującej” a administrująca będzie wiązana przez zleceniodawcę kwotami.
Zleceniodawca znajdzie sobie lepszych kontrolujących…
Oczywiście w dużych molochach będą od tego komórki ale ich niezależność będzie totalną fikcją. Dalej będzie się montowało pudełka i zapominało. Dalej soft będą pisały paproki.
W tym momencie tak realnie jesteśmy po kilku olbrzymich wyciekach gigantów informatycznych. I nie ma sie co łudzić ze oni nie dbają o bezpieczeństwo i nie inwestują w nie kasy i to sporej.
Kolejne stanowiska funkcje raporty nic nie zmienią w kwestii bezpieczeństwa. Kolejny zamordystyczny przepis który nie zmieni wiele poza wydaniem mnóstwa kasy na budowanie iluzji i który utrudni działanie małym przedsiębiorstwom.
A do nas dalej będą dzwonili dziwni ludzie mówiący do nas po imieniu i twierdzący ze wylosowali nasz numer….
Z firm które nie istnieją….
Dane będą ciekły w internecie bo MS od 20 lat nie załatał „błahej” dziury tylko kopiuje ja do kolejnych programów.
BO soft w sprzęcie zabezpieczającym sieci ma dziurę jak po atomówce… Jeszcze niejedną.
Bo sędziowie wciąż noszą poufne dokumenty na penie w kieszeni bez szyfrowania bo są nietykalni. Bo pan adwokat uważa ze on nie musi zabezpieczać byle się w papierach zgadzało.
A i gooogle i fb i cała reszta nadal będzie nasze dane analizować bo bez nich przestajemy móc funkcjonować.
Prawda jest taka że znowu tworzymy iluzję.
I jak art. mi się bardzo podobał i się z wieloma kwestiami zgadzam to czarno to widzę.
Szczególnie że realnie w sektorze mikro i małych nagle realnie dane klientów i informacje o zabezpieczeniu musimy udostępniać kolejnym firmą i osobą co do których nie mamy przecież pewności.
Już samo to wprowadza element ryzyka. Większość tych firm nie jest w stanie mieć swojego inspektora ochrony danych. nie wszystkie stać na administratora systemów :D . Muszą albo zatrudnić na stałe co jest dla wielu fikcją albo podnająć firmę która będzie miała 100 takich albo lepiej i też będzie świadczyła usługę masową czyli iluzoryczną.
Ile jest takich firm że na informatyka „pani krysia” czeka dwa tygodnie? Na pęczki. Ile razy firma nie ma działu IT w Krakowie tylko w warszawie… Wiele razy wezwany stawiałem systemy pod dyktando admina z centrali :D Nikt w firmie nie umiał przywrócić zdalnego dostępu działowi IT wiec wzywają fachowca…. Żeby było śmieszniej fachowiec jest za każdym razem inny :D bo kierownicy się zmieniają i dzwonią go pierwszej firmy z googla :D
A ile jest takich firm świadczących usługi IT które mają terminy po dwa tyg i tak na nich klienci czekają? Na pęczki.
Kiedyś przypadkiem mnie poprosili w takiej żebym zerknął bo od tygodnia sie im reklamy wyświetlają na stronie banku….. :D
Spytałem czy mają jakąś obsłógę :D Mamy ale powiedzieli że zdalnie nie mogą się połączyć bo coś nie działa wiec przyjadą w przyszłym tygodniu :D
I takie firmy mają mieć inspektora? SKĄD?
Tak realnie mamy 3mln firm.
Powiedzmy że realnie to 1-2mln będzie sie z tym mierzył.
Skąd weźmiemy powiedzmy tak na bidę 300tyś inspektorów?
Przecież to jest fikcja.
A w przypadku łączenia takiego stanowiska z jakąś inną funkcją to totalna fikcja.
To wszystko fajnie wygląda jak się na to patrzy w aspekcie jedna firma jedna dyrektywa. Jak się to pomnoży przez tylko nasze polskie kilka mln to widać ze piszący po prostu nie ma kontaktu z rzeczywistością i stworzył kolejne uśpione prawo z dużymi karami które będzie można odpalić jak będzie trzeba komuś przytrzeć nosa.
Może jestem zbytnim pesymistą….
Ale raczej nie tędy droga.
I oczywiście masz rację, ale nadal trzymając się rzeczywistości, co można zrobić w tej sytuacji innego? Można ewentualnie zabezpieczyć budżet na kary (a te jak wiemy niemałe) i czekać, bo „może się uda”. A jestem pewny, że przy takiej kasie będą ścigać ostro.
Myślę, że czas lobbowania za wyrzuceniem takiego rozporządzenia już mamy za sobą.
—
Swoją drogą dzięki za serię artykułów!
Pozwolę sobie zacytować: „Dane będą ciekły w internecie bo MS od 20 lat nie załatał „błahej” dziury tylko kopiuje ja do kolejnych programów.” A czy muszą wszyscy pracować na MS? A może właśnie dlatego, że jest MS jest taki czas oczekiwania na serwisantów w firmach? Niby co takiego robi 90% firm w Polsce, że tylko MS ma właściwe oprogramowanie? Standard? Nie bądźmy śmieszni! Jaki ti standard, skoro co wersja, to inne formaty albo drobne różnice niuansowe w formatach wcześniej używanych. Drobne niuanse, które WYMUSZAJĄ zmianę wersji systemu, a często i nawet całego komputera. Może czas najwyższy przestać płacić za coś co jest wadliwe od momentu wyprodukowania? Jak mam darmo, to niedoskonałość mam w cenie :-)
Co ma MS?
Przez lata przymykali oko na lewiznę i dalej przymykają co wodac jak mają w nosie lewe licencje na portalach aukcyjnych…
I zyskali…
„panie bo wszyscy mają worda..”
No i mają AD…. Wprawdzie prawie wszędzie gdzie jest AD nie korzysta się z jego możliwości bo coś tam jest niekompatybilne ale jednak to dużo daje MS.
Tu mocno pingwinek odpadł.
A poza tym się z Tobą zgadzam tylko że pingwinek też ma dziurki :D
Jeśli chodzi o sądy to wydaje mi się, że też muszą powołać IOD gdyż poza sprawowaniem przez nie wymiaru sprawiedliwości funkcjonują w nich inne procesy również.
„Co w sytuacji, kiedy dostrzega się wyraźne zaniedbania w pracy inspektora w zakresie ochrony danych i jego odwołanie może okazać się niezbędne w celu utrzymania odpowiedniego poziomu ochrony danych osobowych?”
Po prostu ADO ma uprawnienie wyrejestrowania z rejestru GIODO takiego leniwego DPO. Pytanie czy trzeba podawać powód, czy nie. Prosze się nie obawiać. Sze zawsze znajdzie bicz na swojego pracownika :)
Zachodzi też pytanie: Czy jeżeli był w firmie powołany/zgłoszony do GIODO „ABI” i miał powiązanie z innym etatem (jak to często bywa „przyklejenie obowiązków”) czy teraz też tak jest to dopuszczalne czy faktycznie powinien być tylko na pełnym etacie Inspektorem Ochrony Danych.
Moim zdaniem, powinno być jak w przypadku pracownika od BHP czyli oddzielne stanowisko, nawet na jakąś część etatu. Aktualnie, jak większość ABI, jestem pracownikiem branży IT i w nagrodę mam ochronę danych osobowych. W związku z tym nie mogę skupić się na jednej i drugiej części w pełni zaangażowany.
Na stronie GIODO jest krótkie podsumowanie spotkania z przedsiębiorcami, na którym omówiono aktualne wytyczne Grupy Roboczej Art. 29:
http://www.giodo.gov.pl/1520281/id_art/9826/j/pl
Nadal nie jest wyjaśnione, kim powinien być DPO i jak ma działać. ABI także miał być niezależny a jest jak jest.
Podsumowując, powinna to być oddzielna funkcja z określonymi wymaganiami.
Szanowny Autorze.
A z innej strony ujmując zagadnienie. Ja NIE chcę i nie mam zamiaru nawet usiłować podjąć pracy na etacie IOD w urzędzie publicznym! Bałagan i arogancja biurkowców i decydentów z nadania politycznego, jest tak wielka, że niech sami sobie będą tymi Inspektorami! Niby skąd są obecne sprawy jak nie z olewczego stosunku „biurkowych” do obowiązującego prawa !! Dopiero milionowe kary dowalone w kieszeń dyrektorów, nauczą biurkowców, respektowania ustaw i rozporządzeń. Ale do tego daleka droga! Gdyby to było proste, to nie byłaby potrzebna nawet dzisiaj ustawa o ochronie danych osobowych! Ustawa jest, bo myślenie NIE JEST najmocniejszą stroną „biurkowców”