Usługi zewnętrznego abi
24 czerwca 2015 r. w Gmachu Głównym Politechniki Warszawskiej odbyła się II Konferencja „Zabezpieczenie danych osobowych. Nowa rola ABI – aspekty organizacyjne i techniczne”.
Organizatorami był Zarząd Stowarzyszenia Administratorów Bezpieczeństwa Informacji (SABI) oraz Dziekan Wydziału Zarządzania Politechniki Warszawskiej p. prof. Tadeusz Krupa.
Konferencja jest cyklicznym wydarzeniem organizowanym przez Wydział Zarządzania Politechniki Warszawskiej oraz SABI, a ma na celu wymianę wiedzy i doświadczeń oraz dyskusji na temat zabezpieczania danych osobowych pomiędzy przedstawicielami świata nauki i biznesu oraz praktykami pełniącymi funkcję ABI w różnych organizacjach.
Konferencja była okazją do spotkania środowiska ABI i wymiany doświadczeń związanych z wdrażaniem nowych wymogów zapewniania przestrzegania przepisów o ochronie danych osobowych (w tym w szczególności nową rolą ABI), jak również omówienia bieżących problemów związanych z zabezpieczeniem danych osobowych w polskich organizacjach.
Dyskusja toczyła się nad potrzebą zmian rozporządzenia MSWiA w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.
Konferencja jest elementem ogólnopolskiej debaty na temat nowych przepisów o ochronie danych osobowych, które obowiązują od 1 stycznia 2015 r. Jej podstawowym celem była ocena aktualnych wymogów w zakresie zabezpieczenia organizacyjnego i technicznego danych osobowych.
Dlatego głównym przedmiotem zainteresowania były przepisy rozdziału 5 ustawy o ochronie danych osobowych wraz z przepisami wykonawczymi MAiC dotyczącymi wykonywania funkcji ABI oraz rozporządzenia MSWiA w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.
Omówione zostały zarówno wprowadzone zmiany we wspomnianych przepisach prawa, jak również potrzeba nowych uregulowań. Główny blok tematyczny został poświęcony nowej roli administratora bezpieczeństwa informacji (ABI).
OTWARCIE KONFERENCJI
Konferencję otworzyli prof. Tadeusz Krupa, Dziekan Wydziału Zarządzania Politechniki Warszawskiej, oraz Maciej Byczkowski, Prezes Stowarzyszenia Administratorów Bezpieczeństwa Informacji.
Maciej Byczkowski wskazał, że zmiana statusu ABI daje szanse na podniesienie poziomu bezpieczeństwa danych osobowych przez wyznaczenie odpowiednio przygotowanej merytorycznie osoby. Taki był cel inicjatywy legislacyjnej związanej ze zmianami deregulacyjnymi UoODO.
"Mamy nadzieję, że dzięki tej zmianie nowo powołani ABI będą w większym stopniu zapewniali poszanowanie prywatności i godności człowieka, co ma przecież znaczenie dla każdego z nas." - powiedział Prezes Stowarzyszenia Administratorów Bezpieczeństwa Informacji otwierając konferencję.
REFORMA PRZEPISÓW UE
Następnie na temat planowanych zmian wymogów zabezpieczania danych osobowych w ramach reformy przepisów o ochronie danych w UE mówił w swoim wideo wystąpianiu dr Wojciech Wiewiórowski, Zastępca Europejskiego Inspektora Ochrony Danych Osobowych, były Generalny Inspektor Ochrony Danych Osobowych.
"Jesteśmy w momencie kiedy system prawny dotyczący ochrony danych osobowych ulega zmianie. W przygotowaniu są dwa europejskie akty prawne mające zastąpić obecnie stosowane - Rozporządzenie i Dyrektywa. To czego można się spodziewać, to że Rozporządzenie nie określi precyzyjnie środków zabezpieczeń ODO, a pozostawi to zadanie ADO." - mówił były Generalny Inspektor Ochrony Danych Osobowych.
'Going Digital' to nowy kierunek w jakim podążamy - przestajemy myśleć tylko z punktu widzenia ochrony prawnej, a będziemy stosować też środki ochrony usankcjonowane jako praktyki funkcjonujące w środowisku technicznym. Systemy bezpieczeństwa informacyjnego nie są odrębnymi tworami, a są częścią kompleksowych, w tym prawnych, zabezpieczeń." - powiedział dr Wojciech Wiewiórowski.
"Zarówno w Polsce, jak w Europie, na poziomie aktu prawnego wskazywane będą cele, a środki ich osiągania dyktowane będą normami i specyfikacjami dotyczącymi zarządzania bezpieczeństwem informacji, w tym technicznymi. Tylko niewielkie grupy rozwiązań technicznych będą określane za pomocą aktów prawnych." - tłumaczył dr Wiewiórowski.
Zwracając się do inżynierów dr Wojciech Wiewiórowski podkreślił konieczność współpracy z prawnikami. "Rola DPO będzie rosła. To właśnie DPO będzie doradzał administratorowi jak powinien dane przetwarzać" - mówił były GIODO. Zachęcił też do przeglądania stron Europejskiego Inspektora Ochrony Danych Osobowych, na których pojawi się niedługo poradnik dotyczący przetwarzania mobilnego, w tym zjawiska BYOD.
Następnie rozpoczął się blok konferencji poświęcony zabezpieczaniu danych osobowych, w tym nowym wymaganiom i planowanym zmianom.
INFORMACJE z MAiC
Maciej Groń, Dyrektor Departamentu Społeczeństwa Informacyjnego MAiC, przekazał zgromadzonym informacje o przyjętym przez Radę Unii Europejskiej podejściu do projektu ogólnego Rozporządzenia o ochronie danych osobowych.
Rozporządzenie zastąpi Dyrektywę z 1995 r., kiedy nie było internetu, a założyciel Facebooka chodził do szkoły podstawowej. Pokazuje to jak bardzo zmienił się świat, w szczególności przetwarzanie danych.
Prace nad Rozporządzeniem trwały 3 lata i jego przyjęcie jest blisko. Zazwyczaj takie negocjacje trwają bardzo długo, ale końcówka prac jest bardzo intensywna i efektywna. Prace nad tym Rozporządzeniem zajmowały ważne miejsce w pracach Parlamentu Europejskiego oraz Rady Europejskiej.
Celem prac nad Rozporządzeniem jest stworzenie nowoczesnej, spójnej polityki ODO, która pozwoli na rozwój gospodarczy - działalność przedsiębiorców z poszanowaniem prywatności obywateli Unii. Z jednej strony sprecyzowane zostaną obowiązki przedsiębiorców i zwiększona ich odpowiedzialność, ale z drugiej strony poprawi się ochrona interesów osób, których dane osobowe dotyczą.
Risk-based-approach - podejście to zróżnicuje obowiązki ochrony w zależności od ryzyk. O tym wspominał też dr Wojciech Wiewiórowski - o dostosowaniu obowiązków ochrony do współczesnych realiów. Nie da się opisać na sztywno konkretnych zabezpieczeń, więc inicjatywę należy oddać specjalistom nadzorującym i zarządzającym ochroną danych osobowych.
Vacatio legis Rozporządzenia będzie trwało 2 lata. Prace nad wdrożeniem Rozporządzenia w rozmaitych przepisach krajowych mogą być prowadzone już teraz. MAiC bardzo liczy na współpracę z organizacjami branżowymi w ramach konsultacji społecznych.
NOWE OBOWIĄZKI ABI
Nowe obowiązki zabezpieczenia danych osobowych po nowelizacji ustawy o ochronie danych osobowych omówił następnie Maciej Byczkowski, Prezes Zarządu Stowarzyszenia ABI. Skupił się on na faktach i mitach.
"Kluczowe jest zrozumienie na czym polega zmiana dotycząca zabezpieczenia danych osobowych" - zaznaczył Maciej Byczkowski.
Zmiana ta nie wprowadza nowych obowiązków, a jedynie doprecyzowuje sposób ich wypełniania. Wśród doprecyzowanych obowiązków jest sprawdzanie zgodności przetwarzania, nadzorowanie dokumentacji oraz zapoznawania z nią osób przetwarzających dane osobowe.
Obowiązujący od 10 lat przepis Art. 36 ust. 1 UoODO mówi o konieczności prowadzenia analizy zagrożeń, Art. 36 ust. 2 mówi zaś o konieczności prowadzenia odpowiedniej dokumentacji, a znowelizowane przepisy są rozwinięciem zawartej w tym przepisie intencji ustawodawcy.
Każdy ADO ma wolny wybór odnośnie sposobu realizacji nowych obowiązków - może sam realizować te obowiązki, ale może też wyznaczyć w tym celu ABI. Wybór ten jest w duchu deregulacji, jaka była sensem ostatniej nowelizacji przepisów UoODO. Konsekwencją powołania ABI jest zwolnienie z obowiązku rejestracji zbiorów danych osobowych, z wyjątkiem zbiorów danych wrażliwych.
Jak wskazał Maciej Byczkowski "nowego ABIego" można powołać również po 30 czerwca. Okres przejściowy do 30 czerwca br. dotyczy "starych ABI", czyli wyznaczonych przed 1 stycznia 2015 r., którzy bez zgłoszenia pełnią tą funkcję właśnie do 30 czerwca.
OBALONE MITY
- NIE MA obowiązku powołania ABI przez każdego ADO
- po 30 czerwca BĘDZIE można zgłosić ABI do rejestru GIODO
- NIE MA ryzyka grzywny w związku z niezgłoszeniem ABI do GIODO
- NIE JEST wymagane potwierdzenie kwalifikacji ABI odpowiednim certyfikatem
- sprawozdania przygotowane przez ABI NIE MUSZĄ być obowiązkowo wysyłane do GIODO
Prezes Byczkowski przedstawił szereg mylących i wprowadzających w błąd zaproszeń na szkolenia dotyczące ODO.
Korzyści dla ADO z powołania ABI to na razie zapewnienie zgodności, uproszczona procedura rejestracji, czy ewentualnej kontroli GIODO, ale przede wszystkim przygotowanie do funkcji Inspektora Ochrony Danych Osobowych, którą wprowadzą przepisy europejskie.
KONIECZNOŚĆ ZMIANY ROZPORZĄDZENIA MSWiA z dnia 29 kwietnia 2004 r.
Następnie dyskusja skupiła się na dopełnieniu nowelizacji ustawy dotyczącej nowej roli ABI przez zmiany w przepisach rozporządzenia MSWiA z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.
Propozycje Zespołu Ekspertów Stowarzyszenia ABI przedstawił Maciej Byczkowski, Prezes Zarządu Stowarzyszenia ABI. Słowem wstępu zauważył, że Rozporządzenie z 2004 r. jest rzeczywiście muzealne, zatem wprowadzane zmiany w przepisach krajowych idą w dobrym kierunku, mimo że rozporządzenie nadal obowiązuje. Przy okazji nowelizacji nie udało zmienić się delegacji wydania rozporządzenia, co przyspieszyłoby zastąpienie go nowym, ale prace nad określeniem bardziej współczesnych środków zabezpieczeń były i są prowadzone.
Zmiana Rozporządzenia z 2004 r. powinna dotyczyć:
- ustalenie nowych poziomów bezpieczeństwa - obecny wysoki jest standardem i normą, a wyższe poziomy związane będą z podwyższonych poziomem ryzyka (chmura, biometria)
- odniesienie do obowiązków identyfikacji zagrożeń z art. 36 ust. 1 poprzez analizę ryzyka - w sposób mniej lub bardziej sformalizowany i metodyczny w zależności od skali organizacji i złożoności przetwarzania
- wskazówki do przeprowadzenia analizy zagrożeń celem określenia wymaganego poziomu bezpieczeństwa
- uporządkowanie kwestii prowadzenia dokumentacji - rodzaje dokumentów, ich zawartość
- uporządkowanie realizacji wymogów art. 38 związanych z rozliczalnością - kontrola przetwarzania wg. art. 38 - tym bardziej, że ten artykuł nie jest zgodny z delegacją do wydania rozporządzenia
- wprowadzenie odniesień do innych rozporządzeń dotyczących bezpieczeństwa informacyjnego
W tym właśnie kierunku idzie dyskusja nad nowym rozporządzeniem.
Maciej Groń (MAiC) poinformował zgromadzonych, że prace nad nowym rozporządzeniem idą w kierunku analizy ryzyka i konsekwencji zastosowań określonych rozwiązań technicznych oraz organizacyjnych. Zasygnalizował konieczność wprowadzenia zmian do UoODO, aby dostosować ją do europejskiego Rozporządzenia.
dr Grzegorz Sibiga (PAN) zgodził się, że rozporządzenie z 2004 r. reguluje kwestie, których nie powinno, a inne reguluje w sposób muzealny. Powinno zostać uchylone lub zmienione najpóźniej z wejściem w życie nowego, europejskiego Rozporządzenia (planowana publikacja Rozporządzenia w Q2 2016, a więc zacznie obowiązywać w Q2 2018 r.), które nie przewiduje podobnych, krajowych uregulowań. Nowe regulacje będą dotyczyły każdego systemu do przetwarzania danych osobowych i w każdym z nich trzeba będzie wprowadzić zmiany - stąd tak długie vacatio legis.
PANEL DYSKUSYJNY
W ramach rozpoczynającego się panelu dyskusyjnego pierwsze pytanie od uczestników konferencji dotyczyło możliwości zastosowania dokumentacji ISO 27001 jako dokumentacji związanej z ochroną danych osobowych. Prezes Byczkowski potwierdził, że w tym kierunku idzie dyskusja.
Drugie pytanie dotyczyło daty zgłoszenia i rejestracji ABI w rejestrze GIODO. dr Grzegorz Sibiga odpowiedział, że nowy ABI wykonuje obowiązki od daty powołania, z wyjątkiem kontroli GIODO, gdzie ważna jest data rejestracji. Dla starych ABI zgłoszonych przed 30 czerwca 2015 obowiązki pełni się nieprzerwanie, a zwolnienie z obowiązku rejestracji zbiorów obowiązuje od daty zgłoszenia ABI do rejestracji przez GIODO.
Kolejne pytanie brzmiało: czy w nowym rejestrze powinny być uwzględnione wszystkie zbiory, czy tylko te zgłoszone uprzednio do GIODO? dr Grzegorz Sibiga wyjaśnił, że należy prowadzić się rejestr tylko tych zbiorów, które podlegały rejestracji w GIODO.
Kolejne pytanie dotyczyło scenariusza, kiedy ADO nie wyznacza ABI. Maciej Byczkowski wyjaśnił, że w takim scenariuszu ADO nie realizuje oczywiście zadań ABI, a jedynie dba o przestrzeganie przepisów UoODO. Niemniej jednak ADO może w ten sam sposób lub zbliżony sposób zapewniać bezpieczeństwo danych osobowych. Potwierdzili taką wykładnię Michał Czerniawski (MAiC). Doktor Sigiba wskazał, że Rozporządzenie z 2004 r. określa zawartość PBDO, m.in. obowiązek opisania środków zapewniania bezpieczeństwa przetwarzania przez ADO. W takim scenariuszu ADO może rozpisać w PBDO zadania ODO pomiędzy członków zespołu do tego powołanego wg. własnego uznania.
NOWE ZADANIA ABI
Po przerwie uczestnicy konferencji wrócili do omawiania nowej roli ABI. dr Grzegorz Sibiga przedstawił stan prawny, ale również pochylił się nad rozpoczęciem realizacji poszczególnych zadań przez ABI odpowiadając na pytanie "od czego zacząć?"
W scenariuszu powołania ABI przez ADO dr Grzegorz Sibiga wskazał na często popełniane błędy:
1/ ograniczanie zakresu zadań i obowiązków ABI w PBDO w stosunku do przepisów
2/ kolizje zapisów starych dokumentów ze znowelizowanymi przepisami
Następnie dr Grzegorz Sibiga skupił się na obowiązkach ABI. Pierwszym z nich jest zapewnienie przestrzegania przepisów o ODO w szczególności poprzez weryfikację zgodności przetwarzania, tworzenie dokumentacji ODO oraz zapoznawanie osób przetwarzających dane z tą dokumentacją.
Celem nadrzędnym jest zapewnianie wysokiego poziomu przestrzegania przepisów. dr Grzegorz Sibiga zwrócił uwagę, że nie należy traktować powyższych obowiązków jako formalności, a środki do celu jakim jest zgodność z przepisami. Z takiej perspektywy należy oceniać poprawne wypełnianie obowiązków przez ABI.
Drugim obowiązkiem ABI jest prowadzenie wewnętrznego rejestru zbiorów danych osobowych.
Następnie dr Grzegorz Sibiga skupił się na obowiązku sprawdzania poprawności przetwarzania danych osobowych.
ABI wykonuje sprawdzenia dla ADO - planowane lub doraźne, a dla GIODO na wezwanie. Sprawdzenia doraźne realizowane są na podstawie własnej oceny danego przypadku lub zdarzenia przez ABI - nie trzeba sprawdzać każdego zdarzenia pretendującego do sprawdzenia np. każdego zapytania klienta nadesłanego e-mailem.
Zgodnie z przepisami wszystkie systemy i zbiory powinny być sprawdzone raz na 5 lat, a plan sprawdzeń powinien obejmować okres od kwartału do roku, przy czym przedstawiony ADO powinien być ADO nie później niż na dwa tygodnie przed dniem rozpoczęcia okresu objętego planem. Plan sprawdzeń obejmuje co najmniej jedno sprawdzenie.
Jak wyjaśnił sprawozdanie ze sprawdzenia jest dokumentem, w którym ABI opisuje stan faktyczny, a następnie zajmuje stanowisko w analitycznej części tego sprawozdania, aby następnie proponować działania przywracające stan zgodny z przepisami. Plan naprawczy może zawierać 3 elementy: co trzeba zrobić, kto ma to zrobić i w jakim terminie. O wykonaniu rekomendacji ABI decyduje ADO, który nie jest zobowiązany stanowiskiem ABI. W razie przychylenia się do rekomendacji ADO może powierzyć ABI realizację tego planu - w ramach jego zadań dodatkowych.
dr Grzegorz Sibiga przedstawił przypuszczenie, że kontrole GIODO zlecane ABI będą dotyczyły głównie skarg napływających do GIODO w związku z działalnością ADO. Z drugiej strony GIODO może zdecydować o przeprowadzeniu własnej kontroli, jeśli kontrola wykonana przez ABI nie zostanie uznana za wystarczającą.
Następnie prelegent rozpoczął omawianie nadzoru ABI nad dokumentacją. Wskazał na 3 obszary związane z dokumentacją podlegające nadzorowi:
- opracowanie i kompletność -> w razie uchybień ABI zawiadamia ADO
- aktualność -> w razie uchybień ABI zawiadamia ADO i przedstawia aktualne projekty
- przestrzeganie zasad i obowiązków określonych w dokumentacji -> w razie uchybień ABI zawiadamia ADO lub instruuje osoby przetwarzające dane osobowe
Sposoby realizacji nadzoru to:
- weryfikacja - w ramach sprawdzenia lub poza nim
- działania poweryfikacyjne - zawiadomienie (rekomendacje) dla ADO lub instrukcje dla osób przetwarzających dane osobowe - koniecznie w formie pisemnej
Zatem zgodnie z sugestią dr Grzegorz Sibigi pierwszym krokiem ABI jest weryfikacja dokumentacji.
Zapoznawanie z przepisami zdaniem prelegenta polega na organizacji realizacji obowiązku - możliwe są różne formy zapoznania w zależności od stopnia decyzyjności, odpowiedzialności lub ryzyka związanego z przetwarzaniem danych przez poszczególne grupy. Ważna jest skuteczność zapoznawania poszczególnych grup. Istotne jest także dokumentowanie zapoznawania z przepisami.
INNE ZADANIA ABI
Następnie w ramach swojego wystąpienia pt. "ABI nie tylko audytor i koordynator" Andrzej Rutkowski, Wiceprezes Zarządu Stowarzyszenia ABI, wskazał że Administrator Bezpieczeństwa Informacji to funkcja, w uzupełnieniu do której mogą być realizowane inne zadania ABI.
Przykłady takich zadań to prowadzenie szkoleń, zgłaszanie zbiorów wrażliwych do rejestru GIODO, przygotowywanie projektów lub opiniowanie umów dotyczących przetwarzania danych osobowych, dokonywanie wstępnej oceny potencjalnych procesorów i przetwarzających dane osobowe, przygotowywanie projektów klauzul zgody lub informacyjnych, przygotowywanie polityk cookie, wydawanie upoważnień do przetwarzania lub odbieranie oświadczeń o zapoznaniu się z przepisami, a także prowadzenie ewidencji upoważnień do przetwarzania.
Andrzej Rutkowski wskazał ponownie na konieczność dostosowania działań ABI do obowiązków wynikających z planowanego europejskiego Rozporządzenia. W związku z tym ABI może i powinien zdaniem prelegenta być inicjatorem i uczestniczyć w fazie projektowania rozwiązań bezpieczeństwa informacyjnego w duchu "Privacy by Design", a także w fazie oceny stosowanych rozwiązań. Do innych zadań ABI prelegent zaliczył też budowanie systemów zarządzania bezpieczeństwem informacyjnym oraz ochronę tajemnicy zawodowej lub przedsiębiorstwa.
Wykonywanie innych zadań przez ABI nie musi kolidować z jego odrębnością organizacyjną i niezależnym wykonywaniem zadań ustawowych, o ile wykonywanie innych zadań będzie udziałem ABI jako członka zespołu, a inne działania będą poddawane audytowi wewnętrznemu.
PANEL DYSKUSYJNY
Pierwsze pytanie w ramach panelu dyskusyjnego na temat wykonywania nowej funkcji ABI dotyczyło relacji służbowej ABI oraz pracowników ADO. Sibiga … wskazał w odpowiedzi, że ABI może instruować i pouczać pracowników, natomiast nie ma to charakteru polecenia służbowego. Alternatywnym działaniem ABI może być zawiadomienie ADO. Zdaniem dr Sibigi nie należy do zadań ABI ocena, czy kwalifikacja zawiadomienia na gruncie np. przepisów karnych - to kompetencja ADO.
Kolejne pytanie dotyczyło niedookreślenie uprawnień GIODO w zakresie zlecania ABI sprawdzeń przetwarzania danych osobowych przez ADO - pytający ABI wyraził niepokój z tym zakresem obowiązków ABI. Maciej Byczkowski uspokajał zgromadzonych, że z całą pewnością GIODO będzie odpowiedzialnie korzystał ze swoich uprawnień, a dodatkowo wskazał że możliwości organizacyjne do realizacji wielu równoległych sprawdzeń, czy postępowań GIODO są ograniczone.
Inne pytania dotyczyły podziału kompetencji pomiędzy ABI, a innych członków zespołu ADO. Maciej Byczkowski z jednej strony zauważył, że ABI są w większości przypadków interdyscyplinarni, a z drugiej strony zauważył, że nie trzeba się znać na wszystkim - można powołać zastępców ABI, posiłkować się doradcami, czy zewnętrznymi usługami.
Następne pytanie dotyczyło dzielenia czasu pomiędzy pełnienie funkcji ABI oraz inne obowiązki związane z działalnością ADO. Odpowiedź dr Sibigi wskazuje na prostą zasadę, że nie powinno być konfliktu interesów pomiędzy funkcją nadzorczą ABI, a innymi relacjami w których zachodzi np. zwierzchność osób nadzorowanych nad ABI. Zdaniem dr Sibigi dopuszczalne jest sprawowanie funkcji pełnomocnika ds. informacji niejawnej oraz pełnienia funkcji ABI.
Jedno z pytań dotyczyło konieczności upoważniania ABI do przetwarzania danych w poszczególnych zbiorach danych osobowych. Dr Sibiga wskazał, że ABI powinien być upoważniany na zasadach ogólnych. Jedynie prokuratorzy i sędziowie nie potrzebują upoważnienia do dostępu do danych spraw, którymi się zajmują.
Kolejne pytanie dotyczyło terminu obowiązywania majowych rozporządzeń. Zdaniem dr Sibigi majowych rozporządzeń nie dotyczy vacatio legis, bo powinny obowiązywać od 1 stycznia 2015 r. Niektóre podmioty starały się wypełniać ustawowe obowiązki już od 1 stycznia. Z drugiej strony nie mamy obowiązku rozpoczęcia realizacji obowiązków na podstawie projektów aktów prawnych, zatem można argumentować, że potrzebujemy więcej czasu.
Zdaniem panelistów sprawozdanie roczne może dotyczyć okresu 12 miesięcy od dnia wyznaczonego w planie sprawdzenia - decyduje o tym ABI. Dr Sibiga zasugerował ponownie, aby pierwszy plan sprawdzenia obejmował krótszy okres niż 12 miesięcy.
Padły również pytania dotyczące przejmowania planu sprawdzeń przez kolejnego ABI - w odpowiedzi wskazali na możliwość przygotowania własnego planu sprawdzeń przez nowego ABIego.
ANALIZA RYZYKA
W drugiej części konferencji mowa była o realizacji wymogów organizacyjnych i technicznych w zakresie zabezpieczeń danych osobowych.
Dr hab. Janusz Zawiła-Niedźwiecki, Dziekan Wydziału Zarządzania Politechniki Warszawskiej, w swojej prezentacji "Analiza ryzyka jako podstawa zabezpieczenia danych osobowych" zaznaczył, że zarządzanie ryzykiem dotyczy zarządzania biznesem w ogólności, a nawet dotyczy wszystkich naszych życiowych decyzji. Zdaniem prelegenta podejmowanie ryzyka jest źródłem postępu, więc warto tematem się zajmować. Następnie podzielił ryzyko na biznesowe oraz operacyjne.
W związku z ryzykiem warto mówić o zabezpieczaniu przed ryzykiem, a także o ciągłości działania. Aby spojrzeć na ryzyko w sposób kompletny należy analizować zarówno przyczyny, jak i skutki - oba aspekty warto uwzględnić zarządzając ryzykiem. Z kolei do zarządzania ryzykiem skłaniają nas nie tylko wymogi prawne, ale także finansowe - szczególnie dotkliwe dla ADO. Niestety straty lub szkody związane z utratą poufności, czy integralności danych często są nie do odrobienia czy naprawienia.
W Rozporządzeniu z 2004 r. mowa jest o ochronie adekwatnej do zagrożeń. Tym samym trudno mówić o sformułowaniu zapisów PBDO, czy o odpowiedniej ochronie bez wcześniejszej analizy ryzyka. W celu dalszego zgłębiania tematu prelegent polecił lekturę artykułu pt. "Analiza ryzyka w zarządzaniu" - Monitor Prawniczy 2014.
OD WYKAZU DO REJESTRU
"Od Wykazu do Rejestru - zmiany zasad dokumentowania zbiorów danych osobowych" to tytuł kolejnej prelekcji, którą wygłosił Maciej Kołodziej, Wiceprezes Zarządu Stowarzyszenia ABI.
Jak wskazał prelegent rejestr zbiorów danych osobowych prowadzony przez GIODO nie pozwala na uzyskanie dostępu do informacji w części E i F na temat zabezpieczeń zbiorów danych osobowych co znajduje swoje uzasadnienie w poufności środków ochrony, czy tajemnicy przedsiębiorstwa. Z drugiej strony publicznie dostępne w rejestrze informacje w częściach od A do D pozwalają osobie, której dane dotyczą, zadać zapytanie o przetwarzanie danych jej dotyczących.
Omawiając często używane wyłączenia z obowiązku rejestracji zbiorów prelegent wskazał na: zbiory danych pracowników i współpracowników, rachunkowość i sprawozdawczość finansową, drobne sprawy życia codziennego, zbiory "papierowe" nie zawierające danych wrażliwych. Jednocześnie wskazał, że wyłączenia nie obowiązują, jeśli zakres przetwarzanych danych lub cel przetwarzania wykracza poza ten określony w przepisowych wyłączeniach.
Omawiając wykaz zbiorów danych osobowych wymagany przez Rozporządzenie z 2004 r. prelegent wskazał na kontekst szerszej ewidencji tzn. obszarów przetwarzania, systemów informatycznych, osób upoważnionych do przetwarzania.
Prelegent zasugerował prowadzenie wykazu zbiorów przetwarzanych przez ADO, ale też powierzonych przez ADO lub powierzonych do przetwarzania przez ADO.
Maciej Kołodziej zasygnalizował, że nie cały dokument PBDO może i powinien być dostępny publicznie - uwaga ta dotyczy także wykazu zbiorów danych osobowych, który stanowi tajemnicę przedsiębiorstwa.
Przechodząc do omawiania rejestru zbiorów danych osobowych prowadzonego przez ABI wspomniał, że jego wydruki sugerują istnienie formy elektronicznej. Zauważył, że informacje zawarte w tym rejestrze są analogiczne do wcześniej zgłaszanych do rejestru prowadzonego przez GIODO. Wskazał na niedookreśloną niezwłoczność dokonywania zmian w rejestrze.
Maciej Kołodziej zauważył, że być może najprostszym sposobem udostępnienia rejestru zbiorów jest udostępnienie wniosków wcześniej zgłaszanych do rejestru GIODO - bez sekcji E i F. Inna popularna forma to arkusz kalkulacyjny lub jego forma PDF. Zauważył, że ukrywanie listy podwykonawców, którym ADO powierzał przetwarzanie jest praktyką znaną z przeszłości, dopuszczalną, a obecnie usankcjonowaną w majowym rozporządzeniu.
OCHRONA DANYCH OSOBOWYCH A SZBI
Marcin Soczko, Członek Zarządu Stowarzyszenia ABI oraz od 10 lat ABI w CODGiK, wygłosił na zakończenie konferencji prelekcję pt. "System ochrony danych osobowych, a System zarządzania bezpieczeństwem informacji - w kontekście normy PN-ISO 27001:2014 oraz Rozporządzenia o Krajowych Ramach Interoperacyjności".
Prelegent mówił o zależnościach systemu ochrony danych osobowych, a systemu zarządzania bezpieczeństwem informacji wg. normy ISO 27001, a także KRI, czy systemem ochrony informacji niejawnych. Tak się składa, że aktualizacja przepisów ochrony danych osobowych zbiegła się w czasie z aktualizacją norm ISO dotyczących bezpieczeństwa informacji.
Marcin Soczko zgodził się z przedmówcami, że bez analizy ryzyka trudno o sformułowanie dokumentu PBDO, czy skuteczną ochronę danych osobowych. Punktem wspólnym dla przepisów ODO, normy ISO 27001 oraz KRI jest m.in. prowadzenie stosownej dokumentacji. zapoznawanie odpowiednich osób z tą dokumentacją, a także szerzej bezpieczeństwo fizyczne i organizacyjne, bezpieczeństwo zasobów ludzkich, czy rozliczalności przetwarzania lub kontroli dostępu do danych. Wspólną aktywnością dla przepisów ODO i normy ISO 27001 jest też prowadzenie audytu wewnętrznego dokumentacji oraz jej stosowania.
Prelegent podsumowując rozważał argumenty za i przeciw powołaniu ABI, za i przeciw łączeniu wypełniania wymogów rozmaitych norm.
W ramach dyskusji uczestnicy konferencji opowiadali się za łączeniem wypełniania rozmaitych, zbliżonych obowiązków. Dyskusja dotyczyła m.in. konieczności wydawania upoważnienia do przetwarzania danych osobowych dla lekarzy mimo obowiązującej ich tajemnicy zawodowej.
Konferencję zamknął prof. Tadeusz Krupa, Dziekan Wydziału Zarządzania Politechniki Warszawskiej, który podziękował zebranym za udział i życzył owocnego wypełniania nowych obowiązków ABI.
Relację przygotował:
Michał Faber, członek rzeczywisty Stowarzyszenia Administratorów Bezpieczeństwa Informacji