Sierpień 2015
issn 2391-5781
nr 11
Praktyczne porady • Instrukcje krok po kroku • Wzory
▌
Internet Rzeczy – czy dane są i będą bezpieczne
▌
Przetwarzanie danych wrażliwych pracowników
▌
ABI – funkcja czy stanowisko
OCHRONA
DANYCH OSOBOWYCH
Sierpień 2015
issn 2391-5781
nr 11
Praktyczne porady • Instrukcje krok po kroku • Wzory
▌
Internet Rzeczy – czy dane są i będą bezpieczne
▌
Przetwarzanie danych wrażliwych pracowników
▌
ABI – funkcja czy stanowisko
OCHRONA
DANYCH OSOBOWYCH
OCHRONA DANYCH OSOBOWYCH
SIERPIEŃ 2015
SPIS TREŚCI
Spis treści
AKTUALNOŚCI
Wioleta Szczygielska
Europejscy rzecznicy ochrony danych o unijnym rozporządzeniu
. . . . . . . . . . . . . . . . . 3
EKSPERCI SABI RADZĄ
ABI – funkcja czy stanowisko
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
Maciej Byczkowski
INSTRUKCJE
Kiedy można udostępnić, a kiedy powierzyć dane osobowe
. . . . . . . . . . . . . . . . . . . . . 5
Marcin Sarna
Jest komplet rozporządzeń do uodo. Co teraz?
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
Przemysław Zegarek
TEMAT NUMERU
Internet Rzeczy – czy dane są i będą bezpieczne
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
Maciej Kołodziej
PORADY
Przetwarzanie danych wrażliwych pracowników
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
Michał Balicki, Aleksandra Mazur-Zych
Uprawnienia kontrolne GIODO
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
Joanna Łuczak
WZORY DOKUMENTÓW
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
OCHRONA DANYCH OSOBOWYCH
SIERPIEŃ 2015
LIST OD REDAKTORA
Wioleta
Szczygielska
redaktor prowadząca
odo@wip.pl
www.odo.wip.pl
W tym numerze kompleksowo omawiamy rozporządzenia wykonawcze
do ustawy o ochronie danych osobowych, które niedawno weszły w życie.
Są o tyle ważne, że konkretyzują zmiany, jakie wprowadziła nowelizacja
przepisów o ochronie danych. Odgrywają kluczową rolę zwłaszcza
dla administratorów bezpieczeństwa informacji, gdyż regulują sposób
wykonywania przez nich obowiązków. Artykuł przygotowany przez
naszego eksperta podsumowuje wszystkie zmiany wprowadzone przez
te akty.
Głównym tematem tego numeru jest problematyka Internetu Rzeczy,
wpływu tej nowej technologii na prywatność i konsekwencji, jakie za
sobą niesie, m.in. konieczności stosowania szczególnych zabezpieczeń
przed wyciekiem danych osobowych. Zachęcam do zapoznania się z tym
artykułem, gdyż Internet Rzeczy coraz śmielej wkracza w życie każdego
z nas i będzie się stawał coraz bardziej popularny.
Ciekawym tematem jest też kwestia przetwarzania danych wrażliwych
pracowników. Jak się okazuje, pracodawca nie może pozyskiwać informacji
np. o karalności pracownika, chyba że zezwalają mu na to przepisy
szczegółowe. Artykuł będzie z pewnością pomocny dla wszystkich
pracodawców i osób, które zajmują się zatrudnianiem.
Przypominam też, że mogą Państwo zadawać pytania naszym ekspertom.
Jeśli mają Państwo jakieś wątpliwości związane z wykonywaniem
obowiązków związanych z ochroną danych osobowych, prosimy pisać
na adres: odo@wip.pl. Możliwość zadawania pytań jest bezpłatna dla
prenumeratorów miesięcznika.
Życzę owocnej lektury!
Szanowni Czytelnicy!
OCHRONA DANYCH OSOBOWYCH
SIERPIEŃ 2015
AKTUALNOŚCI
AKTUALNOŚCI
Europejscy rzecznicy ochrony
danych o unijnym rozporządzeniu
Między 16 a 17 czerwca 2015 r. odbyło się 101. posiedzenie
Grupy Roboczej Artykułu 29 ds. Ochrony Danych w Brukseli.
Podczas spotkania europejscy rzecznicy ochrony danych
osobowych omówili kwestie dotyczące aktualnych prac nad
reformą przepisów o ochronie danych w Unii Europejskiej.
Zdaniem Grupy Roboczej istotne jest, aby wyniki negocja-
cji między Parlamentem Europejskim, Komisją Europejską
i Radą UE w sprawie ogólnego rozporządzenia o ochronie
danych doprowadziły do przyjęcia nowych ram regulacyj-
nych zapewniających poszanowanie podstawowych praw
obywateli oraz biorących pod uwagę interesy innych inte-
resariuszy.
Grupa postuluje, aby rozporządzenie było na tyle proste,
skutecznie i jasne, na ile to możliwe. Grupa odniosła się
też do merytorycznej treści stanowiska Rady UE w spra-
wie rozporządzenia.
Zgoda
Grupa Robocza stwierdziła, że nie powinno być wątpli-
wości co do elementów składających się na zgodę oraz za-
miaru wyrażenia zgody przez osobę, której dane dotyczą.
Chociaż zgoda może być wyrażona na wiele różnych spo-
sobów, na przykład poprzez oświadczenie lub działanie
afirmatywne, niezbędny wymóg jest taki, aby takie oświad-
czenie lub działanie wyraźnie oznaczało zgodę osoby, któ-
rej dane dotyczą, na przetwarzanie dotyczących jej danych
osobowych. Konieczne jest wyraźne rozróżnienie między
systemem opt-in a opt-out.
W związku z tym pojęcie jednoznacznej zgody przewi-
dziane przez Radę UE w motywie 25 może prowadzić do
nieporozumień w zakresie celu proponowanego tekstu,
szczególnie w Internecie, gdzie obecnie zbyt często używa
się niewłaściwej zgody.
Ponadto zdaniem GR zgoda powinna być świadoma i do-
tyczyć określonego celu, zatem niedopuszczalna byłaby
żadna szeroka zgoda.
Profilowanie
Grupa Robocza podkreśla konieczność zapewnienia więk-
szej pewności prawnej oraz większej ochrony dla osób
w odniesieniu do przetwarzania danych w kontekście pro-
filowania. GR postuluje potrzebę wprowadzenia jasnej de-
finicji profilowania.
Naruszenia bezpieczeństwa
Zdaniem Grupy konieczne jest zapewnienie gwarancji, że
naruszenia danych nie będą ukrywane, a ocena naruszenia
będzie prawidłowo przeprowadzona. Grupa Robocza chce
też, by osoby, których dane dotyczą, były powiadamiane,
gdy będzie do wymagane.
Inspektor ochrony danych
Inspektor ochrony danych jest kluczowym elementem roz-
liczalności oraz realnym narzędziem konkurencyjności dla
przedsiębiorstw – czytamy w stanowisku Grupy Roboczej. Jego
zadaniem jest m.in. wdrożenie narzędzi rozliczalności (np. do-
kumentacji, oceny wpływu na prywatność itd...). W rozumieniu
Grupy inspektor będzie pośrednikiem pomiędzy wszystkimi
odpowiednimi interesariuszami (np. organami nadzorczymi,
osobami, których dane dotyczą, partnerami biznesowymi).
Grupa robocza popiera powołanie inspektora ochrony danych
jako obowiązek, przy zachowaniu obiektywnych kryteriów,
takich jak rodzaj, ilość danych lub charakter działalności za-
interesowanego podmiotu, co pomoże w pomiarze ryzyka.
Punkt kompleksowej obsługi
Zdaniem Grupy Roboczej:
•
wszystkie organy nadzorcze powinny pozostać właściwe
na terytoriach swoich państw członkowskich,
•
współpraca musi odbywać się pomiędzy wszystkimi or-
ganami ochrony danych, których sprawa dotyczy, oraz
wyznaczonym wiodącym organem ochrony danych
w sprawach międzygranicznych.
Sankcje
Grupa Robocza z zadowoleniem przyjęła wprowadzenie
znaczących kar pozwalających organom ochrony danych na
podjęcie ich roli jako organów wdrażających i które mogą
przyczynić się do wyższego poziomu zgodności administrato-
rów danych zarówno w sektorze publicznym, jak i prywatnym.
Wioleta Szczygielska
OCHRONA DANYCH OSOBOWYCH
SIERPIEŃ 2015
EKSPERCI SABI RADZĄ
MACIEJ
BYCZKOWSKI
prezes Zarządu
ENSI, ekspert ds.
bezpieczeństwa
informacji i ochrony
danych osobowych.
Od 2007 roku pełni
funkcję prezesa
Zarządu Stowarzyszenia
Administratorów
Bezpieczeństwa
Informacji
ABI – funkcja czy stanowisko
Od lat w środowisku ABI toczy się dyskusja, czy
zadania nadzoru nad przetwarzaniem danych
osobowych powinny być wykonywane w ra-
mach pełnienia funkcji ABI, czy też na stano-
wisku ABI. Przepisy ustawy o ochronie danych
osobowych (uodo) w art. 36a nie precyzują, czy
ABI to funkcja, czy stanowisko.
Funkcja lub stanowisko
Administrator danych (ADO) ma dowolność
– może powołać ABI i powierzyć mu wykony-
wanie zadań określonych w art. 36a jako pełnie-
nie funkcji, może również utworzyć stanowisko
ABI, na którym zatrudni powołaną osobę. Częś-
ciej wybierana jest pierwsza opcja.
W takim wypadku osoba jest już zatrudniona
u administratora danych na innym stanowisku
i dodatkowo pełni funkcję ABI. Ten model był po-
wszechnie stosowany przed nowelizacją uodo z 7
listopada 2014 r. Na podstawie art. 36 ust. 3 istniał
obowiązek wyznaczenia ABI, ale nie były sprecy-
zowane kryteria dotyczące statusu ABI, w tym:
•
szczegółowy zakres jego zadań,
•
wymagane kwalifikacje,
•
podległość pod ADO czy
•
niezależność stanowiska.
W efekcie do pełnienia funkcji ABI były wyzna-
czane osoby zatrudnione wcześniej przez ADO
na różnych stanowiskach, np. administratora sy-
stemu informatycznego czy specjalisty ds. bez-
pieczeństwa, spraw kadrowych, prawnych lub
administracyjnych itp. Często były to też osoby
przypadkowe – wyznaczane „na siłę”, aby tylko
wypełnić obowiązek ustawowy i ustrzec się przed
konsekwencjami ze strony GIODO. Po nowelizacji
ustawy od 1 stycznia 2015 r. sytuacja zmieniła się.
Z jednej strony nie ma obowiązku powołania ABI,
ale jeżeli ADO zdecyduje się na powołanie tej oso-
by, to oprócz wymaganych kwalifikacji określonych
w art. 36a ust. 5 uodo musi uwzględnić wymaga-
nia art. 36a ust. 4 uodo dotyczące powierzenia ABI
dodatkowych zadań.
W art. 36a ust. 4 jest wyraźny wymóg, że: „Ad-
ministrator danych może powierzyć administra-
torowi bezpieczeństwa informacji wykonywanie
innych obowiązków, jeżeli nie naruszy to prawid-
łowego wykonywania zadań, o których mowa
w ust. 2”.
Zatem nie można już dowolnie „doklejać” funk-
cji ABI do innych stanowisk. Zanim ADO zdecy-
duje się powołać zatrudnionego już pracownika
na ABI, musi przeanalizować, czy osoba ta bę-
dzie miała czas na wykonywanie wszystkich obo-
wiązków określonych w art. 36a ust. 2 oraz czy
przy wykonywaniu tych zadań nie będzie rów-
nież istnieć ryzyko konfliktu interesów.
Znacznie prostszym rozwiązaniem jest utwo-
rzenie nowego stanowiska ABI, którego zadania
będą ściśle związane z realizacją zadań określo-
nych w art. 36a ust. 2, a do tego będzie można je
rozszerzyć np. o prowadzenie dokumentacji prze-
twarzania danych, o której mowa w art. 36 ust. 2.
Rozwiązanie to wiąże się jednak z wyższymi kosz-
tami utrzymania odrębnego stanowiska i nie każ-
dy ADO może sobie na to pozwolić. Zatrudnienie
osoby na stanowisku ABI może być również wy-
magane szczególnymi przepisami.
Przykładem jest rozporządzenie ministra sprawied-
liwości z 8 grudnia 2014 r. (Dz.U. z 2015 r. poz. 54)
w sprawie stanowisk i szczegółowych zasad wyna-
gradzania urzędników i innych pracowników sądów
i prokuratury oraz odbywania stażu urzędniczego.
W „Tabeli stanowisk, na których są zatrudniani
urzędnicy w sądach i prokuraturze oraz kwalifika-
cji wymaganych do zajmowania tych stanowisk”,
w rubryce „Pozostałe stanowiska wspomagają-
ce”, jest wpisany administrator bezpieczeństwa
informacji. Oznacza to, że w sądach i prokuratu-
rze powołany ABI jest zatrudniany na odrębnym
stanowisku.
Zawód ABI?
Od ponad 17 lat różne osoby w Polsce sprawują funk-
cję ABI lub są zatrudniane na takich stanowiskach.
Można więc z całą pewnością mówić o profesji ABI.
Obowiązujące przepisy dotyczące rynku pra-
cy już się do tego odnoszą. W rozporządzeniu
MPiPS z 7 sierpnia 2014 r. w sprawie klasyfikacji
zawodów i specjalności na potrzeby rynku pra-
cy oraz zakresu jej stosowania w pozycji nr 2421
– Specjaliści ds. rozwoju zarządzania i organizac-
ji, pod numerem 242111 jest wpisany ABI.
Administrator danych ma wybór – może powołać ABI i powierzyć
mu wykonywanie zadań określonych w art. 36a jako pełnienie
funkcji, może również utworzyć stanowisko ABI, na którym zatrudni
powołaną osobę.
