Polityka bezpieczeństwa do kosza?

Czy 25 maja 2018r., będziemy nadal stosować obecną dokumentację systemu zarządzania ochroną danych osobowych?

25 maja 2018r. zaczniemy stosować przepisy RODO, a nasza ustawa o ochronie danych osobowych i powiązane z nią rozporządzenie “techniczne”, zaczną odchodzić w niepamięć. Rozporządzenie “techniczne” mówi jakie elementy powinna zawierać polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym. Czy oznacza to, że powinniśmy pozbyć się naszej polityki bezpieczeństwa i instrukcji zarządzania? Niekoniecznie. Zauważmy, że rozporządzenie wskazywało jedynie minimalne wymagania w odniesieniu do posiadanej dokumentacji. Organizacje, które podeszły do problemu solidnie, będą mogły wykorzystać posiadaną dokumentację jako bazę do opracowania systemu zgodnego z RODO.

Przykładowo, traktowany często po macoszemu opis przepływów danych pomiędzy systemami, po rozszerzeniu o pozostałe przepływy danych, może stanowić świetną bazę dla identyfikacji zagrożeń i analizy ryzyka, ale również być jednym ze sposobów realizacji obowiązku zapewnienia wymaganej przez RODO rozliczalności.

 

 

Wytyczne dla RODO

Lista podstawowych stron na których należy szukać wytycznych dla RODO.

Gdzie szukać wytycznych dla RODO? To pytanie zaprząta umysły wielu osób przygotowujących organizacje do przetwarzania danych zgodnie z nową regulacją. Poniżej kilka podstawowych adresów, pod które należy śledzić na bieżąco:

 

 

 

Konferencja „Bezpieczeństwo danych w sektorze publicznym”

Konferencja „Bezpieczeństwo danych w sektorze publicznym”.
Temat przewodni konferencji dotyczy problematyki ochrony danych osobowych ze szczególnym uwzględnieniem Europejskiego Rozporządzenia o Ochronie Danych Osobowych (RODO/GDPR).
Konferencja adresowana jest do osób zainteresowanych zagadnieniami związanymi z ochroną danych osobowych, ze szczególnym uwzględnieniem przedstawicieli jednostek administracji publicznej.

Konferencja

Tegoroczna edycja konferencji „Bezpieczeństwo danych w sektorze publicznym” odbędzie się w dn. 17 maja 2017 r. w Warszawie, przy ul. Solec 38 lok. 103.

Temat przewodni konferencji dotyczy problematyki ochrony danych osobowych ze szczególnym uwzględnieniem Europejskiego Rozporządzenia o Ochronie Danych Osobowych (RODO/GDPR).

Konferencja adresowana jest do osób zainteresowanych zagadnieniami związanymi z ochroną danych osobowych, ze szczególnym uwzględnieniem przedstawicieli jednostek administracji publicznej.

Udział w konferencji jest bezpłatny.

Przewidywany jest udział osobisty oraz udział zdalny (w wybranych częściach konferencji).

Formuła konferencji

Wiodącym celem zeszłorocznej edycji konferencji był wzrost świadomości zagadnień dotyczących bezpieczeństwa danych, ze szczególnym uwzględnieniem wymagań stawianych w jednostkach administracji publicznej.
W trakcie konferencji poruszone zostały techniczne, ekonomiczne oraz prawne aspekty związane z definiowaniem, utrzymaniem oraz doskonaleniem systemów zarządzania bezpieczeństwem informacji.

Tegoroczna edycja konferencji została pomyślana w ten sposób, aby na gruncie rezultatów pierwszej edycji konferencji, pójść o krok dalej i zaadresować nie tylko wzrost świadomości uczestników, ale także zapewnić możliwość wymiany doświadczeń oraz podzielenia się własnymi doświadczeniami a także katalizować budowanie nowych lub utrwalenia istniejących relacji.

Tegoroczna edycja konferencji będzie realizowana w formule zgodnie z którą:

  • Społeczność sympatyków, prelegentów oraz uczestników tego cyklu konferencji będzie budowana przed, pielęgnowana w trakcie oraz po jej zakończeniu.
  • Zorganizowana zostanie internetowa prekonferencja, w której uczestniczyć będzie można wyłącznie w sposób zdalny.
  • Przed rozpoczęciem konferencji odbędzie się nabór oraz głosowania w kategoriach:
    • MWS (Most Wanted Speaker) :: najbardziej pożądany wykładowca
    • MWQ (Most Wanted Question) :: najbardziej palące pytanie
    • MWT (Most Wanted Topic) :: najbardziej intrygujący temat
    • MWP (Most Wanted Proposal) :: najlepsza zgłoszona propozycja
  • Program konferencji będzie podzielony na części, a każda z nich będzie miała inną formułę – od wykładów plenarnych zaproszonych prelegentów, przez dyskusję z ekspertem, po wystąpienia uczestników:
    • Część 1 konferencji obejmuje wykłady plenarne osób zajmujących się zawodowo praktyką ochroną danych osobowych. Pierwsza część konferencji będzie realizowana w formule wykładowej (wykłady będą strumieniowane przez Internet).
    • Część 2 konferencji poświęcona jest kontroli przetwarzania danych osobowych. Druga część konferencji będzie realizowana w formule dyskusji z zaproszonym ekspertem (z GIODO).
    • Część 3 konferencji dotyczy zagadnień związanych z przygotowaniem do wdrożenia unijnego rozporządzenia o ochronie danych osobowych. Formuła tej części konferencji to World Cafe (propozycje tematów zgłaszane przez uczestników, które w dalszej części omawiane są przy stolikach tematycznych).
    • Część 4 konferencji przewiduje serię 5-minutowych wystąpień dotyczących problematyki konferencji, które zostały zgłoszone przez przedstawicieli instytucji sektora publicznego. Formuła: Ignite Talk (prezentacje złożone są z 20 slajdów, a slajdy przełączane są co 15 sekund).
  • Opracowane zostaną materiały pokonferencyjne będące udokumentowaniem wszystkich aktywności związanych z tegoroczną edycją konferencji: od materiałów wykładowych, przez wnioski z dyskusji oraz komentarze uczestników.
  • Zorganizowana zostanie internetowe spotkanie pokonferencyjne w ramach którego wystąpią eksperci związani z Polskim Towarzystwem Informatycznym.

Szczegółowe informacje dostępne są na stronie konferencji.

Dzień Bezpłatnych Szkoleń w WSB.

Już w najbliższą sobotę (17 września 2016), Wyższa Szkoła Biznesu w Cieszynie oraz Wyższa Szkoła Biznesu w Dąbrowie Górniczej organizują Dzień Otwarty Studiów Podyplomowych.
Zachęcamy do udziału w bezpłatnych warsztatach z zakresu ochrony danych osobowych.

Już w najbliższą sobotę (17 września 2016), Wyższa Szkoła Biznesu w Cieszynie oraz Wyższa Szkoła Biznesu w Dąbrowie Górniczej organizują Dzień Otwarty Studiów Podyplomowych.

Wszyscy zainteresowani zdobyciem dodatkowych kwalifikacji i poszerzeniem swoich kompetencji będą mieli okazję poznać uczelnię, jej ofertę edukacyjną oraz porozmawiać z wykładowcami. Wydarzenie to daje także możliwość poznania systemu nauki i kształcenia na wybranym kierunku studiów podyplomowych.

Szczególnie zachęcamy do udziału w bezpłatnych warsztatach z zakresu ochrony danych osobowych:

Udział w warsztatach i szkoleniach jest bezpłatny. Każdy uczestnik otrzyma certyfikat udziału w szkoleniu.

Więcej informacji na stronie Uczelni.

Tarcza prywatności – nowa „Bezpieczna przystań”, czy port przesiadkowy?

Czy to już koniec problemów z przekazywaniem danych do USA? Komisja Europejska przyjęła nowe porozumienie pomiędzy Unią Europejską a Stanami Zjednoczonymi – Tarczę Prywatności, czyli Privacy Shield.

Czy to już koniec problemów po unieważnieniu Safe Harbour? Komisja Europejska przyjęła nowe porozumienie pomiędzy Unią Europejską a Stanami Zjednoczonymi – Tarczę prywatności, czyli Privacy Shield.

Andrus Ansip, wiceprzewodniczący Komisji do spraw jednolitego rynku cyfrowego, powiedział: „Zatwierdziliśmy dzisiaj nową Tarczę Prywatności UE-USA. Będzie ona chronić dane osobowe naszych obywateli i zapewnieni jasne zasady przedsiębiorcom. Ciężko pracowaliśmy ze wszystkimi naszymi partnerami w Europie i w Stanach Zjednoczonych, by osiągnąć to porozumienie oraz by uczynić to jak najszybciej. Przepływ danych pomiędzy naszymi kontynentami ma podstawowe znaczenie dla naszego społeczeństwa i gospodarki – mamy teraz solidne ramy prawne, dające pewność, że taki transfer będzie odbywał się w najlepszych i najbezpieczniejszych warunkach.”

Podstawowe informacje o Tarczy Prywatności:

Zwiększenie obowiązków dla przedsiębiorców:

  • Większa przejrzystość.
  • Mechanizmy nadzoru.
  • Sankcje lub wykluczenie przedsiębiorstwa.
  • Zaostrzone warunki dalszego przekazywania danych.

Dochodzenie roszczeń:

  • Przedsiębiorstwo musi odpowiedzieć w ciągu 45 dni.
  • Bezpłatne, alternatywne metody rozwiązywania sporów.
  • Współpraca organów ochrony danych z Departamentem Handlu USA i Federalną Komisją Handlu.
  • Zostanie wprowadzony dodatkowy mechanizm arbitrażowy, jako ostateczne rozwiązanie zapewniające wykonanie decyzji.

Dostęp amerykańskich organów rządowych:

  • Pierwsze, pisemne zobowiązanie Stanów zjednoczonych, że dostęp władz publicznych do danych będzie podlegał jasnym ograniczeniom.
  • Nie będą stosowane mechanizmy masowego nadzoru.
  • Przedsiębiorstwa będą mogły podać przybliżoną ilość żądań dostępu.
  • Możliwość dochodzenia roszczeń wobec USA poza ich obszarem przez europejskiego Rzecznika Tarczy Prywatności

Mechanizm corocznych przeglądów:

  • Prowadzone przez Komisję Europejską i Departament Handlu USA.
  • Coroczne spotkanie z organizacjami pozarządowymi w celu oceny prawa ochrony prywatności w USA i jego wpływu na Europejczyków.
  • Coroczny raport Komisji Europejskiej i Rady.

 

Niejasności jednak pozostają. Można spotkać się z opiniami, że widoczny jest podział między Parlamentem Europejskim a Komisją Europejską. O ile Parlament podkreśla konieczność ochrony prywatności Europejczyków, to Komisja bierze pod uwagę wymagania biznesu, i jest bardziej skłonna poświęcić część naszej prywatności w imię transatlantyckiej współpracy.

Jednym z podstawowych zarzutów wobec nowego programu jest to, że będzie on nadal opierał się na samocertyfikacji, a mechanizmy kontrolne wydają się nieefektywne.

Max Schrems uznał, że Tarcza prywatności nie różni się istotnie od poprzedniego programu. Cytat za Magazynem Fortune: “It’s the same as Safe Harbor with a couple of additions, and it’s going to fail like the one before,” he said. “It’s better than Safe Harbor, obviously, but far from what the ECJ has asked for.”

Jego zdaniem, to jeszcze nie koniec batalii o uregulowanie zasad wymiany danych pomiędzy UE a USA, a obecna propozycja nie może być ostatecznym rozwiązaniem, gdyż nie jest zgodna unijnym prawem.

Zachęcamy do zapoznania się z materiałami na temat Tarczy prywatności:

 

 

 

Brexit – ICO dalej?

Proaktywne działania ICO dawały mi nadzieję, że polscy przedsiębiorcy nie będą pozostawieni sami sobie, że w przeciwwadze do straszącego karami GIODO, ICO powie im jak w praktyce podejść do stojących przed nimi wyzwań. A może to jest szansa dla GIODO?

Rzecznik brytyjskiego organu ochrony danych (ICO) powiedział:
“If the UK is not part of the EU, then upcoming EU reforms to data protection law would not directly apply to the UK. But if the UK wants to trade with the Single Market on equal terms we would have to prove 'adequacy’ – in other words UK data protection standards would have to be equivalent to the EU’s General Data Protection Regulation framework starting in 2018. (https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2016/06/referendum-result-response/)
Czyli potwierdził wcześniejsze opinie – wychodząc z Unii Europejskiej, Wielka Brytania zmuszona będzie do zapewnia odpowiedniego poziomu ochrony danych osobowych. W praktyce oznacza to, że podmioty brytyjskie będą stosować Rozporządzenie Ogólne w odniesieniu do usług skierowanych na rynek unijny.
Nie wiemy jak będzie wyglądać współpraca ICO z europejskimi organami nadzoru (nie wiemy nawet, czy za jakiś czas, ICO w ogóle nie przestanie istnieć…), mam jednak nadzieję, że będzie znacząca. Wiele brytyjskich standardów stosujemy na co dzień.
Na pewno jednak, będzie mi brakować informacji ze strony internetowej ICO. Ilość praktycznych porad i prace w celu ułatwienia przedsiębiorcom realizacji obowiązków wynikających z Rozporządzenia Ogólnego zawsze robiła na mnie duże wrażenie. Zwłaszcza w porównaniu do pasywnego podejścia GIODO. Proaktywne działania ICO dawały mi nadzieję, że polscy przedsiębiorcy nie będą pozostawieni sami sobie, że w przeciwwadze do straszącego karami GIODO, ICO powie im jak w praktyce podejść do stojących przed nimi wyzwań. A może to jest szansa dla GIODO? Szansa przejęcia roli wiodącego europejskiego organu? Mamy wyjątkową w Europie liczbę dobrze przygotowanych administratorów bezpieczeństwa informacji, którzy wkrótce zostaną inspektorami, gotowych do wsparcia takich działań. Pani Minister, czekamy!

Sprawozdanie GIODO za 2012 rok.

28 października 2013 roku, Generalny Inspektor Ochrony Danych Osobowych złożył sprawozdanie z działalności w 2012 roku.

Tradycyjnie już, przygotowałem dla Państwa mój subiektywny przegląd najważniejszych problemów, na które zwrócili uwagę kontrolerzy GIODO. Mam nadzieję, że ułatwi to nieco pracę tym z Państwa, którzy nie mają czasu na czytanie całego sprawozdania. Trzeba jednak powiedzieć, że sprawozdanie GIODO może być najlepszym źródłem informacji i jest lekturą obowiązkową dla wszystkich profesjonalnie zajmujących się ochroną danych osobowych.

W 2012 r. Generalny Inspektor Ochrony Danych Osobowych przeprowadził łącznie 165 kontroli zgodności przetwarzania danych osobowych z przepisami ustawy o ochronie danych osobowych. W tym:

  • 8 kontroli w podmiotach z sektora administracji publicznej – w Ministerstwie Pracy i Polityki Społecznej, w Wojewódzkim Urzędzie Pracy, Powiatowych Urzędach Pracy, w urzędach miejskich, w Miejskim Ośrodku Pomocy Społecznej oraz w Miejskich Ośrodkach Pomocy Rodzinie.
  • 11 kontroli przetwarzania danych osobowych w Krajowym Systemie Informatycznym (KSI) umożliwiającym organom administracji publicznej i organom wymiaru sprawiedliwości wykorzystywanie danych gromadzonych w Systemie Informacyjnym Schengen oraz w Wizowym Systemie Informacyjnym.
  • 16 kontroli w podmiotach sektora bankowego.
  • 5 kontroli u operatorów publicznej sieci telekomunikacyjnej, dostawców publicznie dostępnych usług telekomunikacyjnych.
  • 9 podmiotów służby zdrowia, w tym siedem ośrodków dawców szpiku.
  • 10 podmiotów należących sektora szkolnictwa wyższego – Ministerstwo Nauki i Szkolnictwa Wyższego, osiem uczelni oraz Ośrodek Przetwarzania Informacji Instytut Badawczy.
  • 11 kontroli w podmiotach prowadzących hotele.
  • 109 kontroli w innych podmiotach.

Ważniejsze problemy, o których mowa w sprawozdaniu:

  • Jako jedną z bardziej interesujących kontroli uznano kontorlę przeprowadzoną w Powiatowym Urzędzie Pracy, w toku której ustalono, że pracownicy PUP mieli dostęp do danych przetwarzanych w MOPS, natomiast pracownicy MOPS mieli dostęp do danych przetwarzanych w PUP. Dostęp był realizowany poprzez system informatyczny.

Pozwolę sobie tutaj na małą dygresję.

Dostęp był realizowany prawdopodobnie poprzez system SEPI. Jest to system, który pozwala na wymianę dowolnych informacji, pomiędzy różnymi podmiotami. Gdy kilka lat temu powstawała pierwsza wersja systemu, była ona oparta o wspólną bazę klientów wszystkich urzędów wymieniających się informacjami. Gdy zwracałem uwagę na niezgodność z prawem takiego rozwiązania, moje uwagi zostały zignorowane – być może dlatego, że prasa przedstawiała już wdrożenie systemu jako wielki sukces. Smutną satysfakcją było dla mnie, gdy Generalny Inspektor zakwestionował przyjęte rozwiązanie i system musiał być przepisany w taki sposób, że umożliwia wymianę informacji pomiędzy urzędami, bez budowania osobnej bazy. To, czy pracownicy jednego z urzędów mają dostęp do bazy drugiego, czy też odbywa się na zupełnie poprawnej tutaj zasadzie występowania w drodze elektronicznej o udostępnienie danych i świadome ich udostępnianie przez drugi z urzędów, jest kwestią konfiguracji systemu. Jest dla mnie niezrozumiałe, że w obecnej sytuacji, wymiana danych była realizowana w taki sposób. Nie stanowi żadnego problemu technicznego odpowiednie skonfigurowanie tego systemu.

Trzeba jednak zwrócić uwagę, że urzędy nie uczą się na błędach. Realizowany obecnie i wdrażany w niektórych urzędach system Jowisz, opiera się na podobnej zasadzie jak pierwsza wersja systemu SEPI. Znowu jest budowana wspólna baza klientów PUP i OPS. Na niektóre problemy zwracałem uwagę na forum grupy ABI, ale jest to tylko część wątpliwości budzonych przez system Jowisz. Sytuacja będzie tu o tyle trudniejsza, że system Jowisz jest budowane ze środków unijnych i w razie braku możliwości jego używania, okazać się może, że poniesione wydatki będą uznane za niekwalifikowane.

Warto zwrócić tu uwagę jeszcze na system Empatia. Prawdopodobnie uzyska on odpowiednie umocowanie w ustawie, ale obecnie, na etapie wdrożenia, jeszcze go nie ma…

  • GODO zwrócił uwagę, że banki powinny bez zbędne zwłoki aktualizować dane przekazywane do BIK.
  • W spółce prowadzącej działalność gospodarczą w zakresie usług ochrony osób i mienia realizowanych w formie bezpośredniej ochrony fizycznej oraz zabezpieczenia technicznego, prowadzono wobec kandydatów na konwojentów i dyspozytorów badania poligraficzne. GIODO stwierdził, że wyrażona przez kandydatów zgodna na piśmie nie stanowi podstawy do przetwarzania danych uzyskanych w trakcie takiego badania.
  • Spółka zbierała dane na temat stanu cywilnego zatrudnionych osób.
  • Kandydaci do pracy otrzymywali formularz aplikacyjny, za pomocą którego spółka uzyskiwała informacje o mocnych i słabych stronach kandydata.
  • Nieadekwatny w stosunku do celu zakres zbieranych danych.
  • Brak dobrowolności wyrażenia zgody.
  • Dane powinny być usuwane niezwłocznie po zrealizowaniu celu przetwarzania.
  • Zawierając umowę powierzenia przetwarzania danych, w sytuacji gdy przepisy szczegółowe stawiają wymagania w stosunku do osób dopuszczonych do przetwarzania danych, należy zapewnić, aby wymagania te były również spełnione przez osoby dopuszczone do przetwarzania danych przez procesora.
  • Zgodnie z ustawą o ochronie danych osobowych, daną osobową może być również nr identyfikacyjny. Udostępnianie danych innemu podmiotowi, w sytuacji gdy dane te będą zawierały jedynie numer identyfikacyjny i potencjalnie odbiorca danych nie będzie w stanie zidentyfikować konkretnej osoby fizycznej, będzie w rozumieniu GIODO stanowiło jednak udostępnianie danych osobowych.
  • Brak aktualizacji zgłoszeń zbiorów danych osobowych.
  • W wypadku uczelni stwierdzono m.in. brak prowadzenia lub aktualizacji polityki bezpieczeństwa, brak wyznaczenia ABI, nie zapewniono by zmiana hasła następowała nie rzadziej niż co 30 dni.
  • Brak dopełnienia obowiązku informacyjnego. W tym brak poinformowania osób o tym, kto jest administratorem danych i jaka jest jego siedziba.
  • Niespełnianie wymagań przez systemy informatyczne – dopuszczenie zbyt krótkich haseł, niekorzystanie z protokołu https.
  • Przechowywanie danych przetwarzanych w formie papierowej w niezamykanych szafkach i na półkach.
  • Bankowe karty przedpłacone wydawane przez stowarzyszenie swoim członkom i będące jednocześnie kartami członkowskimi, uznano za marketing produktów banku.
  • W wypadku spółki, która realizowała obowiązek informacyjny poprzez podanie informacji w regulaminie oraz w treści polityki prywatności zamieszczonej w portalu, uznano, że nie przedstawiła ona wystarczających dowodów realizacji obowiązku informacyjnego.
  • Wyrażenie zgody na przetwarzanie danych osobowych oraz otrzymywanie informacji handlowych drogą elektroniczną, nie może być realizowane w drodze jednego oświadczenia.
  • Uzyskanie przez spółkę danych od sprawców kradzieży w prowadzonych przez spółkę sklepach, w celu zawiadomienia policji o zaistniałej kradzieży, nie stanowi naruszenia obowiązujących przepisów.
  • Administratorzy kilku portali internetowych – w celu umieszczenia ogłoszeń towarzyskich – bezprawnie zamieścili i udostępniali innym osobom na swej stronie internetowej, dane osobowe w zakresie imienia, nazwiska i daty urodzenia osoby.
  • Przetwarzanie danych osobowych przez podmioty prowadzące strony internetowe, bez posiadania podstawy prawnej.
  • Udostępnianie danych osobowych podmiotom nieupoważnionym. Przykładowo udostępnienie danych aptece przez spółdzielnię mieszkaniową, w celu wydania osobom kart rabatowych.
  • Pozostawienie dokumentacji medycznej w lokalu opuszczanym przez podmiot zajmujący się usługami medycznymi.
  • Ujawnienie danych poprzez rozesłanie maila w taki sposób, że widoczne były adresy pozostałych adresatów.
  • Ujawnienie danych przez szpital, na rzecz spółki ubezpieczeniowej.
  • Wykorzystanie danych pracowników na potrzeby kampanii wyborczej.
  • GIODO wydał decyzję nakazującą burmistrzowi udostępnienie skarżącemu danych osobowych w zakresie imion i nazwisk osób, które wniosły na niego do urzędu miasta skargę w przedmiocie zasad współżycia społecznego.
  • Koperty z dokumentami zawierającymi dane osobowe osób były umieszczane przez pracowników urzędu gminy na bramach ich posesji.
  • GODO nakazał usunięcie ze strony internetowej informacji o osobie, która jako mieszkanka przytuliska dla osób bezdomnych opracowała broszurę informacyjną a następnie, jako jej autorka znalazła się w wykazie bibliotecznym. GIODO uznał, że dyrektor placówki prawidłowo przetwarzał dane, jednak wykazana przez osobę jej szczególna sytuacja uzasadnia jej żądanie zaprzestania przetwarzania jej danych.
  • Wywieszanie zawiadomienia o porządku obrad walnego zgromadzenia spółdzielni, zawierające dane osobowe ich członków, na tablicach informacyjnych znajdujących się na klatkach schodowych budynków.
  • Przekazywanie korespondencji członkom spółdzielni w niezaklejonych kopertach. Co prawda inni członkowie spółdzielni mieli prawo do zapoznania się z tymi danymi, ale jedynie na żądanie.
  • Pracodawca nie może żądać od związku zawodowego listy wszystkich pracowników objętych ochroną związkową.
  • Umieszczenie na karcie miejskiej imienia i nazwiska oraz wizerunku jej posiadacza było wystarczające dla umożliwienia weryfikacji, czy daną kartą, jako nośnikiem imiennego biletu komunikacji miejskiej, posługuje się osoba upoważniona do jej używania. Zbędne było kodowanie na karcie nr PESEL.
  • Brak szyfrowania danych przesyłanych przez Internet. Zwłaszcza dotyczy to poczty elektronicznej.
  • Ustawa o ochronie danych osobowych nie ma zastosowania do udostępniania dokumentów, a jedynie do wykonywania operacji na danych osobowych.

Kontroli poddano 280 systemów informatycznych, tj. o 104 mniej niż w roku 2011, w którym skontrolowano 384 systemy informatyczne wykorzystywane do przetwarzania danych osobowych. Większość kontroli należała do kontroli częściowych, które swym zakresem obejmowały jedynie wybrane aspekty przetwarzania danych.

„W przypadku, gdy kontrolowana jednostka opracowała wymagane dokumenty (takie jak polityka bezpieczeństwa oraz instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych), prowadziła ewidencję osób upoważnionych do przetwarzania danych osobowych oraz wdrożyła opisane w tej dokumentacji procedury przetwarzanie danych osobowych w zakresie wymogów formalno-organizacyjnych, realizację wymogu prowadzenia dokumentacji uznawano za prawidłową. Sprawdzano również, czy wyznaczony został administrator bezpieczeństwa informacji oraz czy osoby dopuszczone do przetwarzania danych posiadały stosowne upoważnienia nadane przez administratora danych.”

Niemal wszystkie skontrolowane jednostki przetwarzały dane w systemie informatycznym, a 93% z nich zastosowało wysoki poziom bezpieczeństwa. 22% podmiotów zastosowało całkowity outsourcing systemów informatycznych.

Zauważalny jest wzrost liczby decyzji administracyjnych dotyczących postępowań zainicjowanych skargą.

GODO skierował 12 zawiadomień o podejrzeniu popełnienia przestępstwa.

„W 2012 r. do Departamentu Orzecznictwa, Legislacji i Skarg Biura GIODO wpłynęły 1593 skargi dotyczące naruszenia przepisów o ochronie danych osobowych. W porównaniu z rokiem 2011, w którym wpłynęło 1271 skarg, liczba ta uległa zwiększeniu o 322”

Do GIODO wpłynęło:

  • 75 skarg dotyczących sektora sądów, prokuratury, policji i komorników,
  • 231 skarg dotyczyło sektora banków i innych instytucji finansowych,
  • 179 skarg dotyczyło sektora administracji publicznej.,
  • 227 skarg dotyczących Internetu,
  • 60 skarg dotyczących sektora marketingu,
  • 88 skarg dotyczących mieszkalnictwa,
  • 24 skargi dotyczących sektora ubezpieczeń społecznych, majątkowych i osobowych,
  • 91 skarg dotyczących działalności telekomunikacyjnej
  • 156 skarg dotyczących podmiotów sektora zatrudnienia
  • 462 innych skargi

„W 2012 r. Generalny Inspektor wydał ogółem 99 decyzji administracyjnych zawierających nałożony na strony nakaz do wykonania i podlegających egzekucji administracyjnej.”

„W roku 2012, administratorzy danych wypełniając nałożony przepisami ustawy o ochronie danych osobowych obowiązek, zgłosili do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych 21580 zbiorów, z czego podmioty z sektora administracji publicznej zgłosiły 14917 zbiorów, co stanowi 68 % ogólnej liczby zgłoszeń dokonanych w tym okresie, zaś podmioty z sektora prywatnego 6663 zbiory, co stanowi 32 % ogólniej liczby zgłoszonych zbiorów.”

„W okresie sprawozdawczym do ogólnokrajowego, jawnego rejestru zbiorów danych osobowych prowadzonego przez Generalnego Inspektora Ochrony Danych Osobowych zostało wpisanych 16267 zbiorów danych”

„rozpatrzonych zostało 4090 zgłoszeń aktualizacyjnych”

„Przełomowe z punktu widzenia przetwarzania danych osobowych w omawianych sektorze było stwierdzenie Naczelnego Sądu Administracyjnego zawarte w uzasadnieniu do wyroku z dnia 19 maja 2011 r. (sygn. akt: I OSK 1079/10), że cyt.: „(…) Internet często pozornie, a czasami faktycznie zapewnia anonimowość jego użytkownikom. Stanowi medialne forum, na którym prezentowane są treści naruszające ludzką godność, cześć i dobre imię. Dlatego też wszędzie tam gdzie numer IP pozwala pośrednio na identyfikację konkretnej osoby fizycznej powinien on być uznany za dane osobowe w rozumieniu art. 6 ust. 1 i 2 ustawy o ochronie danych osobowych. Odmienna interpretacja byłaby sprzeczna z normami konstytucyjnymi zawartymi w art. 30 i 47 Konstytucji RP (…)”. Skład sędziowski w ww. wyroku jako pierwszy jednoznacznie stwierdził, że adres IP (Internet Protocol Address) jest daną osobową.”

Korzystając ze swoich uprawnień, Generalny Inspektor Ochrony Danych Osobowych skierował w 2012 roku szereg wystąpień do centralnych organów państwa i do innych podmiotów z sektora publicznego. Przykładowe wystąpienia:

  • Generalny Inspektor wystąpił do Ministra Zdrowia – jako podmiotu odpowiedzialnego za nadzór nad stosowaniem przepisów ustawy transplantacyjnej – o wydanie opinii, czy w jego ocenie przekazywanie przez ośrodek dawców szpiku danych osobowych potencjalnych dawców do innych, niż Centralny Rejestr, rejestrów potencjalnych dawców szpiku, było dopuszczalne w świetle przepisów ustawy transplantacyjnej, przy założeniu, iż uprzednio osoba, której dane dotyczą, wyraziła zgodę na ich przekazanie.
  • Generalny Inspektor wystąpił do Ministra Nauki i Szkolnictwa Wyższego wskazując, iż powinien on przekazywać uczelniom dokumentację, która zawierałaby pełny opis funkcjonalności systemu POL-on, a także przeprowadzał szkolenia dla użytkowników systemu POL-on, co będzie stanowiło realizację obowiązków nałożonych na administratora danych przez przepis art. 36 ust. 1 ustawy.
  • Prośba o zasygnalizowanie członkom samorządu lekarskiego konieczności respektowania prawa do prywatności oraz ochrony informacji związanych z pacjentem podczas wykonywania praktyk lekarskich, jak również organizowania obsługi pacjentów, w szczególności w sytuacjach rejestrowania pacjentów na wizyty lekarskie, wydawania im wyników badań, ustalania harmonogramu zabiegów w sanatoriach, wywoływania do gabinetów lekarskich lekarzy specjalistów.
  • Wystąpienie w sprawie wyeliminowania praktyki umieszczania przy łóżkach pacjentów kart gorączkowych.

Istotna cześć sprawozdania dotyczy opiniowania przez GIODO aktów prawnych, m.in. dotyczących europejskiej i krajowej reformy ochrony danych osobowych. Również informacje dotyczące współpracy GIODO z instytucjami międzynarodowymi, są interesujące, gdyż zwracają uwagę na najistotniejsze, europejskie problemy ochrony danych. GIODO zajmował się zagadnieniami dotyczącymi biometrii, monitoringu, sieci inteligentnych, projektu INDECT, profilowania, izb dziecka, izb wytrzeźwień, wymagań systemów informatycznych pozwalających na umawianie wizyt pacjentów, itd.

Podsumowanie może stanowić kolejny cytat ze sprawozdania:

„W podsumowaniu, na podstawie ustaleń z kontroli przeprowadzonych w 2012 r. należy stwierdzić, że w porównaniu z latami ubiegłymi osoby odpowiedzialne za przetwarzanie danych osobowych wykazały większą świadomość zagrożeń związanych z przetwarzaniem danych osobowych, a tym samym świadomość konieczności zapewnienia odpowiednich środków organizacyjnych i technicznych zapewniających ochronę tych danych. Konsekwencją było większe wyczulenie na prawidłowe dopełnienie obowiązków wynikających z przepisów o ochronie danych osobowych. Niestety, powyższe spostrzeżenia nie dotyczą wszystkich podmiotów, w których przeprowadzono kontrole. Zdarzały się bowiem kontrole, które wykazywały, że jednostki kontrolowane nie wykonywały większości obowiązków wynikających z przepisów o ochronie danych osobowych. Uchybienia te dotyczyły zarówno zastosowanych rozwiązań organizacyjnych, jak i aspektów technicznych.”

Mam wrażenie, że sprawozdanie GIODO za 2012 rok, jest wyjątkowo bogate w praktyczne informacje, przydatne osobom zajmującym się ochroną danych osobowych. Zachęcam do zapoznania się z pełną treścią sprawozdania.

 

Jarosław Żabówka

 

 

Zapraszamy na Meet IT vol. 5

Zapraszamy na Meet IT vol. 5

6 czerwca 2013 odbędzie się piąte spotkanie z cyklu Meet IT. Miejscem spotkania będzie Kinoteatr Rialto w Katowicach.

Dyskutować będziemy na temat: Prywatność użytkowników i ochrona danych osobowych w IT.

Prelegenci odpowiedzą na pytania:

  • jak dbać o prywatność użytkowników w sieci?
  • na co zezwala ustawa o ochronie danych osobowych?
  • jak się uchronić przed wyciekiem i utratą przetwarzanych danych osobowych?

 

 

Udział w spotkaniu jest bezpłatny. Wymaga rejestracji poprzez formularz znajdujący się obok na stronie MeetIT.

Zapraszamy również do śledzenia dyskusji na forum grupy IT Katowice

 

 

 

Refleksje po debacie „Od Administratora do Inspektora”

19 października odbyła się, zorganizowana przez SABI, niezwykle interesująca debata pod hasłem „Od Administratora do Inspektora”. Więcej informacji na temat spotkania oraz materiały znajdziecie na stronie Stowarzyszenia – http://www.sabi.org.pl/page22.php. Poniżej, jedynie kilka moich refleksji.

Debata, była jedną z najciekawszych imprez zorganizowanych w ostatnim czasie. Na Sali 200 osób – najbardziej zaangażowanych w ochronę danych w naszym kraju. Prelegenci – najlepsze możliwe źródło informacji o tym, co nas czeka w najbliższym czasie. I oczywiście najważniejsze – nieocenione wypowiedzi Generalnego Inspektora.

Takie spotkania są świetną okazją do przekazania informacji na temat prac prowadzonych w związku z reformą systemu ochrony danych osobowych. Zbyt często, informacje te docierają do jednie do bardzo wąskiego grona osób. I przy całym uznaniu dla ostatnich działań Stowarzyszenia ABI (chciałoby się powiedzieć – nareszcie jakieś widoczne działania), istnieje liczne grono osób zajmujących się ochroną danych, które nie są członkami Stowarzyszenia.

Debata miała jeszcze inne korzyści – pozwoliła wypowiedzieć się części osób, które najwyraźniej nie miały dotąd takiej możliwości. Wypowiedzi takie, pozwalają zwrócić uwagę na specyficzne problemy występujące w niektórych organizacjach – nie tylko innych ABI-ich, ale również osób pracujących nad reformą.

Bardzo brakowało mi informacji na temat propozycji nowelizacji rozporządzenia „technicznego”. Wiem, że nie taki był temat debaty, ale skoro już wspomniano o tej propozycji, wydawałoby się, że warto przekazać nieco więcej informacji. Tym bardziej, że Generalny Inspektor wykazał zainteresowanie propozycją SABI. Uważam, że propozycja taka powinna być poddana szerokim konsultacjom. Zapewne, będą one prowadzone przez Ministerstwo, jednak przy tak dużej złożoności problemu, wydaje się, że powinien być zagwarantowany wystarczający czas takich konsultacji – a różnie z tym bywa…

Mam nadzieję, że takie imprezy będą się odbywały częściej. Może planowane w najbliższym czasie „Dni Otwarte” będą dobrą okazją do dyskusji?

Dziękując Organizatorom za udaną imprezę, apeluję o więcej takich spotkań!

 

Jarosław Żabówka

 

Serwis wykorzystuje pliki Cookies. <br>Korzystając z serwisu wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki. Dowiedz się więcej.

The cookie settings on this website are set to "allow cookies" to give you the best browsing experience possible. If you continue to use this website without changing your cookie settings or you click "Accept" below then you are consenting to this.

Close