Zapraszamy do zapoznania się z artykułem Tomasza Ochockiego, na temat ingerencji państwa w sferę prywatności obywateli – „Ile o nas wiedzą służby?”
Ile o nas wiedzą służby?
Zapraszamy do zapoznania się z artykułem Tomasza Ochockiego.
Społeczność Administratorów Bezpieczeństwa Informacji
Zapraszamy do zapoznania się z artykułem Tomasza Ochockiego.
Zapraszamy do zapoznania się z artykułem Tomasza Ochockiego, na temat ingerencji państwa w sferę prywatności obywateli – „Ile o nas wiedzą służby?”
28 października 2013 roku, Generalny Inspektor Ochrony Danych Osobowych złożył sprawozdanie z działalności w 2012 roku.
Tradycyjnie już, przygotowałem dla Państwa mój subiektywny przegląd najważniejszych problemów, na które zwrócili uwagę kontrolerzy GIODO. Mam nadzieję, że ułatwi to nieco pracę tym z Państwa, którzy nie mają czasu na czytanie całego sprawozdania. Trzeba jednak powiedzieć, że sprawozdanie GIODO może być najlepszym źródłem informacji i jest lekturą obowiązkową dla wszystkich profesjonalnie zajmujących się ochroną danych osobowych.
W 2012 r. Generalny Inspektor Ochrony Danych Osobowych przeprowadził łącznie 165 kontroli zgodności przetwarzania danych osobowych z przepisami ustawy o ochronie danych osobowych. W tym:
Ważniejsze problemy, o których mowa w sprawozdaniu:
Pozwolę sobie tutaj na małą dygresję.
Dostęp był realizowany prawdopodobnie poprzez system SEPI. Jest to system, który pozwala na wymianę dowolnych informacji, pomiędzy różnymi podmiotami. Gdy kilka lat temu powstawała pierwsza wersja systemu, była ona oparta o wspólną bazę klientów wszystkich urzędów wymieniających się informacjami. Gdy zwracałem uwagę na niezgodność z prawem takiego rozwiązania, moje uwagi zostały zignorowane – być może dlatego, że prasa przedstawiała już wdrożenie systemu jako wielki sukces. Smutną satysfakcją było dla mnie, gdy Generalny Inspektor zakwestionował przyjęte rozwiązanie i system musiał być przepisany w taki sposób, że umożliwia wymianę informacji pomiędzy urzędami, bez budowania osobnej bazy. To, czy pracownicy jednego z urzędów mają dostęp do bazy drugiego, czy też odbywa się na zupełnie poprawnej tutaj zasadzie występowania w drodze elektronicznej o udostępnienie danych i świadome ich udostępnianie przez drugi z urzędów, jest kwestią konfiguracji systemu. Jest dla mnie niezrozumiałe, że w obecnej sytuacji, wymiana danych była realizowana w taki sposób. Nie stanowi żadnego problemu technicznego odpowiednie skonfigurowanie tego systemu.
Trzeba jednak zwrócić uwagę, że urzędy nie uczą się na błędach. Realizowany obecnie i wdrażany w niektórych urzędach system Jowisz, opiera się na podobnej zasadzie jak pierwsza wersja systemu SEPI. Znowu jest budowana wspólna baza klientów PUP i OPS. Na niektóre problemy zwracałem uwagę na forum grupy ABI, ale jest to tylko część wątpliwości budzonych przez system Jowisz. Sytuacja będzie tu o tyle trudniejsza, że system Jowisz jest budowane ze środków unijnych i w razie braku możliwości jego używania, okazać się może, że poniesione wydatki będą uznane za niekwalifikowane.
Warto zwrócić tu uwagę jeszcze na system Empatia. Prawdopodobnie uzyska on odpowiednie umocowanie w ustawie, ale obecnie, na etapie wdrożenia, jeszcze go nie ma…
Kontroli poddano 280 systemów informatycznych, tj. o 104 mniej niż w roku 2011, w którym skontrolowano 384 systemy informatyczne wykorzystywane do przetwarzania danych osobowych. Większość kontroli należała do kontroli częściowych, które swym zakresem obejmowały jedynie wybrane aspekty przetwarzania danych.
„W przypadku, gdy kontrolowana jednostka opracowała wymagane dokumenty (takie jak polityka bezpieczeństwa oraz instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych), prowadziła ewidencję osób upoważnionych do przetwarzania danych osobowych oraz wdrożyła opisane w tej dokumentacji procedury przetwarzanie danych osobowych w zakresie wymogów formalno-organizacyjnych, realizację wymogu prowadzenia dokumentacji uznawano za prawidłową. Sprawdzano również, czy wyznaczony został administrator bezpieczeństwa informacji oraz czy osoby dopuszczone do przetwarzania danych posiadały stosowne upoważnienia nadane przez administratora danych.”
Niemal wszystkie skontrolowane jednostki przetwarzały dane w systemie informatycznym, a 93% z nich zastosowało wysoki poziom bezpieczeństwa. 22% podmiotów zastosowało całkowity outsourcing systemów informatycznych.
Zauważalny jest wzrost liczby decyzji administracyjnych dotyczących postępowań zainicjowanych skargą.
GODO skierował 12 zawiadomień o podejrzeniu popełnienia przestępstwa.
„W 2012 r. do Departamentu Orzecznictwa, Legislacji i Skarg Biura GIODO wpłynęły 1593 skargi dotyczące naruszenia przepisów o ochronie danych osobowych. W porównaniu z rokiem 2011, w którym wpłynęło 1271 skarg, liczba ta uległa zwiększeniu o 322”
Do GIODO wpłynęło:
„W 2012 r. Generalny Inspektor wydał ogółem 99 decyzji administracyjnych zawierających nałożony na strony nakaz do wykonania i podlegających egzekucji administracyjnej.”
„W roku 2012, administratorzy danych wypełniając nałożony przepisami ustawy o ochronie danych osobowych obowiązek, zgłosili do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych 21580 zbiorów, z czego podmioty z sektora administracji publicznej zgłosiły 14917 zbiorów, co stanowi 68 % ogólnej liczby zgłoszeń dokonanych w tym okresie, zaś podmioty z sektora prywatnego 6663 zbiory, co stanowi 32 % ogólniej liczby zgłoszonych zbiorów.”
„W okresie sprawozdawczym do ogólnokrajowego, jawnego rejestru zbiorów danych osobowych prowadzonego przez Generalnego Inspektora Ochrony Danych Osobowych zostało wpisanych 16267 zbiorów danych”
„rozpatrzonych zostało 4090 zgłoszeń aktualizacyjnych”
„Przełomowe z punktu widzenia przetwarzania danych osobowych w omawianych sektorze było stwierdzenie Naczelnego Sądu Administracyjnego zawarte w uzasadnieniu do wyroku z dnia 19 maja 2011 r. (sygn. akt: I OSK 1079/10), że cyt.: „(…) Internet często pozornie, a czasami faktycznie zapewnia anonimowość jego użytkownikom. Stanowi medialne forum, na którym prezentowane są treści naruszające ludzką godność, cześć i dobre imię. Dlatego też wszędzie tam gdzie numer IP pozwala pośrednio na identyfikację konkretnej osoby fizycznej powinien on być uznany za dane osobowe w rozumieniu art. 6 ust. 1 i 2 ustawy o ochronie danych osobowych. Odmienna interpretacja byłaby sprzeczna z normami konstytucyjnymi zawartymi w art. 30 i 47 Konstytucji RP (…)”. Skład sędziowski w ww. wyroku jako pierwszy jednoznacznie stwierdził, że adres IP (Internet Protocol Address) jest daną osobową.”
Korzystając ze swoich uprawnień, Generalny Inspektor Ochrony Danych Osobowych skierował w 2012 roku szereg wystąpień do centralnych organów państwa i do innych podmiotów z sektora publicznego. Przykładowe wystąpienia:
Istotna cześć sprawozdania dotyczy opiniowania przez GIODO aktów prawnych, m.in. dotyczących europejskiej i krajowej reformy ochrony danych osobowych. Również informacje dotyczące współpracy GIODO z instytucjami międzynarodowymi, są interesujące, gdyż zwracają uwagę na najistotniejsze, europejskie problemy ochrony danych. GIODO zajmował się zagadnieniami dotyczącymi biometrii, monitoringu, sieci inteligentnych, projektu INDECT, profilowania, izb dziecka, izb wytrzeźwień, wymagań systemów informatycznych pozwalających na umawianie wizyt pacjentów, itd.
Podsumowanie może stanowić kolejny cytat ze sprawozdania:
„W podsumowaniu, na podstawie ustaleń z kontroli przeprowadzonych w 2012 r. należy stwierdzić, że w porównaniu z latami ubiegłymi osoby odpowiedzialne za przetwarzanie danych osobowych wykazały większą świadomość zagrożeń związanych z przetwarzaniem danych osobowych, a tym samym świadomość konieczności zapewnienia odpowiednich środków organizacyjnych i technicznych zapewniających ochronę tych danych. Konsekwencją było większe wyczulenie na prawidłowe dopełnienie obowiązków wynikających z przepisów o ochronie danych osobowych. Niestety, powyższe spostrzeżenia nie dotyczą wszystkich podmiotów, w których przeprowadzono kontrole. Zdarzały się bowiem kontrole, które wykazywały, że jednostki kontrolowane nie wykonywały większości obowiązków wynikających z przepisów o ochronie danych osobowych. Uchybienia te dotyczyły zarówno zastosowanych rozwiązań organizacyjnych, jak i aspektów technicznych.”
Mam wrażenie, że sprawozdanie GIODO za 2012 rok, jest wyjątkowo bogate w praktyczne informacje, przydatne osobom zajmującym się ochroną danych osobowych. Zachęcam do zapoznania się z pełną treścią sprawozdania.
Jarosław Żabówka
Sprawozdania Generalnego Inspektora Ochrony Danych Osobowych stanowią doskonałe źródło wiedzy dla osób zajmujących się ochroną danych. Warto przyjrzeć się, na co zwracają uwagę kontrolerzy GIODO w 2011 roku.
Postanowiłem zamieścić poniżej moje, jak najbardziej subiektywne, zestawienie zagadnień i błędów Administratorów danych, wskazywanych w sprawozdaniu GIODO za 2011 rok.
Biorąc pod uwagę ilość realizowanych zadań, poziom zatrudnienia w Biurze GIODO wydaje się umiarkowany. Jeżeli spojrzeć na średnią płacę, też nie jest ona powalająca.
W 2011 roku przeprowadzono 199 kontroli w tym
Ważniejsze problemy:
W roku 2011 administratorzy danych wypełniając nałożony przepisami ustawy o ochronie danych osobowych obowiązek, zgłosili do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych 15643 zbiory, z czego podmioty z sektora administracji publicznej zgłosiły 10690 zbiorów, co stanowi 68 % ogólnej liczby zgłoszeń dokonanych w tym okresie, zaś podmioty z sektora prywatnego 4953 zbiory, co stanowi 32 % ogólniej liczby zgłoszonych zbiorów.
Prawidłowa interpretacje przepisów dotyczących ochrony danych osobowych nastręcza wiele problemów. Niejednokrotnie, nie możemy ufać nawet uznanym autorytetom, publikującym swoje opinie w coraz większej ilości książek i poradników. Cóż z tego, że publikacji jest coraz więcej, skoro wyrażane w nich opinie te są nieraz sprzeczne ze sobą, albo co gorsza – z orzeczeniami sądów. Nic więc dziwnego, że najlepszym źródłem informacji bywają orzeczenia sądów oraz decyzje i sprawozdania Generalnego Inspektora.
Poniżej, krótką listę źródeł w których można rozpocząć przeglądanie:
Serwis wykorzystuje pliki Cookies. <br>Korzystając z serwisu wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki. Dowiedz się więcej.
The cookie settings on this website are set to "allow cookies" to give you the best browsing experience possible. If you continue to use this website without changing your cookie settings or you click "Accept" below then you are consenting to this.