Ochrona danych osobowych zgodnie z nowym Rozporządzeniem UE

Ochrona danych osobowych zgodnie z nowym Rozporządzeniem UE

Jedną z ważniejszych zmian wprowadzonych rozporządzeniem jest konieczność uwzględniania ochrony danych już w fazie projektowania oraz domyślna ochrona danych. Oznacza to, że od pierwszych chwil gdy pojawia się w organizacji inicjatywa związana z nowymi formami przetwarzania danych osobowych należy rozpoznać ryzyka wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. A proces ten należy okresowo powtarzać.

Data Privacy Officer - zadania w świetle przygotowywanego rozporządzenia UE

Właśnie mija rok od zarejestrowanie pierwszych Administratorów Bezpieczeństwa Informacji (ABI), zgodnie z wymaganiem znowelizowanej Ustawy o Ochronie Danych Osobowych. Z tej okazji miałem dziś okazję uczestniczyć w konferencji "Wykonywanie nowej funkcji ABI – pierwszy rok doświadczeń" zorganizowanej na Politechnice Warszawskiej przez Stowarzyszenia Administratorów Bezpieczeństwa Informacji oraz moją Alma Mater - Wydział Zarządzania PW.
We wstępie zaznaczono zresztą, że zagadnienie ochrony danych osobowych, mimo niewątpliwych implikacji prawnych i informatycznych jest jednak wyzwaniem przede wszystkim dla kadry zarządzającej. Na sali obecni byli również przedstawiciele Ministerstwa Administracji i Cyfryzacji, oraz prawnicy zaproszeni przez Microsoft. Zabrakło natomiast przedstawicieli GIODO.
Obrady i kuluarowe dyskusje, oprócz dzielenia się doświadczeniami z pierwszego roku funkcjonowania ustawy, zdominował temat unijnych reform w tym zakresie. Przedstawiono też główne założenia, wciąż oficjalnie nieopublikowanego Rozporządzenia o Ochronie Danych Osobowych.

Jak zostać słupem czyli interesująca metoda oszustwa

Piotrek opisał na niebezpieczniku bardzo interesującą historię: Jak zostać słupem?

Ponieważ oszustwo dotyczy naszego środowiska oraz jest naprawdę łatwe do przeprowadzenia również rozsyłam ją w świat. W skrócie - okazuje się, że by założyć rachunek w banku wystarczy dokonać przelewu na konto z innego naszego rachunku.
A to już otwiera przestępcom drogę do oszustw.
.

Nowelizacja UoDO

Zapoznałem się z projektem zmian.
ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Zmiany dotyczą zwolnienia z obowiązku rejestracji zbiorów baz danych i przeniesienia ciężaru prac związanych z utrzymywaniem rejestru na ABI. Zmiana idzie zdecydowanie w dobrą stronę. Przykłady, które znam, ale o których niestety nie powinienem pisać wskazują, że GIODO dławi się zgłoszeniami. Nie jest w stanie ich odpowiednio obsłużyć, no i przyznajmy szczerze - wartość dodana z faktu posiadania rejestru takich danych jest po prostu żadna. Lepiej niech porządkowaniem tych zagadnień w firmach zajmuje się niezależny i wykwalifikowany ABI (chętnie outsourcowany, po co utrzymywać niepotrzebne etaty), wprowadzający mechanizmy bezpieczeństwa bazując na efektach procesu szacowania ryzyka (tego niestety brakuje w nowelizacji i dyrektywie).

Nowe regulacje dotyczące ochrony danych osobowych

Przed chwilą opublikowano projekty nowej unijnej dyrektywy dotyczącej ochrony danych osobowych. Mają one zastąpić niespójne regulacje obowiązujące w poszczególnych krajach UE, zmniejszyć biurokrację i przy okazji zagwarantować większą ochronę danych osobowych

Załączam wyciąg z komunikatu (pogrubienia moje)

Najważniejsze zmiany wprowadzane przez reformę obejmują:
Jeden zestaw przepisów dotyczących ochrony danych osobowych obowiązujący w całej UE. Niepotrzebne wymogi administracyjne, takie jak obowiązek zawiadomienia ciążący na przedsiębiorstwach, zostaną zlikwidowane. Przyniesie to przedsiębiorstwom oszczędności rzędu ok. 2,3 mld EUR rocznie.

Zamiast obecnego obowiązku zgłoszenia przez wszystkie przedsiębiorstwa wszelkich działań w zakresie ochrony danych organom nadzorującym ochronę danych – który to wymóg spowodował niepotrzebną biurokrację i kosztuje przedsiębiorstwa 130 mln EUR rocznie, rozporządzenie przewiduje większą odpowiedzialność i rozliczalność podmiotów przetwarzających dane osobowe.
Przykładowo przedsiębiorstwa i organizacje muszą powiadamiać krajowy organ nadzorczy o poważnych naruszeniach ochrony danych tak szybko, jak tylko jest to możliwe (jeżeli jest to wykonalne – w ciągu 24 godzin).

Organizacje będą się kontaktować tylko z jednym krajowym organem nadzorującym ochronę danych w tym państwie członkowskim UE, w którym posiadają główną siedzibę. Podobnie osoby fizyczne będą mogły kontaktować się z organem nadzorującym ochronę danych w swoim państwie, nawet jeżeli ich dane są przetwarzane przez przedsiębiorstwo mające siedzibę poza UE. W przypadku gdy do przetwarzania danych konieczna jest zgoda, zostało wyjaśnione, że będzie ona musiała zostać wydana wyraźnie, a nie być domniemana.

Osoby fizyczne uzyskają łatwiejszy dostęp do własnych danych i będą mogły łatwiej przekazywać swoje dane osobowe od jednego usługodawcy do drugiego (prawo do przenoszenia danych). Poprawi to konkurencję między usługodawcami.

„Prawo do bycia zapomnianym” pomoże ludziom lepiej zarządzać ryzykiem związanym z ochroną danych w internecie: osoby fizyczne będą miały możliwość usunięcia swoich danych jeżeli nie będzie istnieć uzasadniona podstawa do ich zachowania.

Unijne przepisy muszą obowiązywać w przypadku gdy dane osobowe są przetwarzane zagranicą przez przedsiębiorstwa prowadzące działalność na rynku UE i oferujące swoje usługi obywatelom UE.
Niezależne krajowe organy nadzorujące ochronę danych zostaną wzmocnione, aby mogły lepiej egzekwować unijne przepisy na terytorium kraju. Zostaną one upoważnione do nakładania kar na przedsiębiorstwa naruszające unijne przepisy o ochronie danych. Kary te mogą sięgnąć 1 mln EUR lub 2% łącznych rocznych obrotów przedsiębiorstwa.

W nowej dyrektywie ogólne zasady ochrony danych zostaną zastosowane w odniesieniu do współpracy policyjnej i współpracy wymiarów sprawiedliwości w sprawach karnych. Przepisy dyrektywy będą miały zastosowanie do przekazywania danych zarówno w kraju, jak i do transferów transgranicznych.

Zwrócę jeszcze uwagę na Sekcję 3 opowiadającą o ABI (teraz Data Protection Officer):
- ma być powołany ("shall" czyli polskie "powinno" de facto oznacza w normatywnym języku przymus)
- ma być fachowcem znającym m.in kwestie prawne ochrony danych osobowych
- może być współdzielony pomiędzy organizacjami
- ma być niezależny

Jak widać - ogólne kierunki zmian zapowiadają się ciekawie (trzeba teraz przyjrzeć się szczegółom). To czego mi brakuje to informacji o powiązaniu zarządzania danymi osobowymi z ISMS, a może nawet wymogu utworzenia przynajmniej zrębów pozwalających na zarządzanie tym zagadnieniem w organizacji. Smuci też to, że na zmniejszenie biurokracji trzeba będzie jeszcze poczekać ok. 2 lat

Na zakończenie parę nowych/starych definicji

'data subject' means an identified natural person or a natural person who can be
identified, directly or indirectly, by means reasonably likely to be used by the
controller or by any other natural or legal person, in particular by reference to an
identification number, location data, online identifiers or to one or more factors
specific to the physical, physiological, genetic, mental, economic, cultural or social
identity of that person;

'personal data' means any information relating to a data subject;

'processing' means any operation or set of operations which is performed upon
personal data or sets of personal data, whether or not by automated means, such as
collection, recording, organization, structuring, storage, adaptation or alteration,
retrieval, consultation, use, disclosure by transmission, dissemination or otherwise
making available, alignment or combination, restriction, erasure or destruction;

.

Zabezpieczenie danych osobowych – aktualny stan prawny a rzeczywiste potrzeby

W poniedziałek uczestniczyłem w konferencji „Zabezpieczenie danych osobowych – aktualny stan prawny a rzeczywiste potrzeby” organizowanej przez GIODO, Wydział Zarządzania Politechniki Warszawskiej oraz Stowarzyszenie Administratorów Bezpieczeństwa Informacji.

Trzeba przyznać, że tematyka (być może ze względu na nowe uprawnienia GIODO do nakładania kar finansowych) wzbudziła bardzo duże zainteresowanie - uczestniczyło w niej ponad 300 osób, a od organizatorów dowiedziałem się, że i tak trzeba było zamknąć rejestrację. Podczas konferencji usłyszałem m.in dwie ciekawe myśli warte zapamiętania.

Pierwsza to dłuższy wywód dr. Wojciecha Wiewiórowskiego dotyczący "niekonstytucyjności" ustaw. Otóż jak wiemy rozporządzenia Ustawy o Informatyzacji odsyłają do RFC jako modelowego standardu konfiguracji. W tym wypadku okazuje się, że na polskie organizacje nakładany jest obowiązek zgodności z ustaleniami prywatno-prawnej organizacji, która publikuje dokumenty z "własnymi" przemyśleniami, w internecie i po angielsku. Nigdy o tym nie myślałem w ten sposób (zawsze bardziej interesowała mnie łatwość praktycznego wdrożenia), niemniej faktycznie z prawnego punktu widzenia sytuacja jest interesująca.

Druga myśl to głos w dyskusji o rzeczywistej roli ABI w firmie . Brzmiało to mniej więcej tak: "ABI często nie ma ani funkcji nadzorczych, ani kontrolnych, ani wykonawczych. Główną rolą ABI'ego jest funkcja usprawiedliwiania obecnej rzeczywistości przed ewentualnymi kontrolami". Interesujące spostrzeżenia i...prawdę mówiąc dość prawdziwe :)

A swoją drogą, skoro przywołuję tę dyskusję. Warto wiedzieć, że SABI proponuje by ABI był połączeniem nadzorcy i audytora. Tym samym jednym z jego obowiązków będzie audyt jakości swojej własnej pracy w charakterze "nadzorcy". Naprawdę fajny pomysł, cofający nas co prawda o 20 lat wstecz w zarządzaniu bezpieczeństwom informacji, ale przynajmniej ekonomicznie poprawny.

imię, nazwisko i pesel...

Networld ostatnio napisał, że dane WSZYSTKICH Brazylijczyków (odpowiednik pesel) są dostępne na czarnym rynku. Faktycznie jest to pierwszy mi znany przypadek ujawnienia kompletu tych danych, niemniej spodziewam się, że nie ostatni.

Tak naprawdę wydaje mi się, że "tęgie głowy" powinny teraz zasiąść w poszczególnych krajach i zastanowić się co to tak naprawdę oznacza. Wcale się nie zdziwię, gdy za jakiś czas "wycieknie" baza wszystkich numerów Pesel (swoją drogą zdziwiłbym się, gdyby już nie istniały jakieś pojedyncze nieautoryzowane kopie.

Odpowiedź na pytanie co przestępcy mogą zrobić posiadając imię, nazwisko i pesel jest jedną z pilniejszych na jakie trzeba odpowiedzieć. Kolejnym pytaniem jest jak się przed tym zabezpieczyć. W końcu tak niewielką ilość informacji naprawdę łatwo jest zdobyć. A odpowiedzi na te pytania oczekiwałbym jednak od od przedstawicieli administracji państwowej, izb gospodarczych itp.

Nowelizacja UODO

Po latach oczekiwania znowelizowano ustawę o Ochronie Danych Osobowych.
Jedną z ważniejszych zmian jest wprowadzenie nowego rodzaju kar za nieprzestrzeganie ustawy - kar finansowych. Cytując za stroną GIODO:

Wysokość takiej grzywny w stosunku do osoby fizycznej będzie mogła wynosić maksymalnie 10000 zł, zaś w stosunku do osoby prawnej oraz jednostki organizacyjnej nieposiadającej osobowości prawnej 50000 zł, zaś w przypadku wielokrotnego nakładania grzywien w jednym postępowaniu egzekucyjnym ich łączna kwota nie będzie mogła przekraczać: 50000 zł w odniesieniu do osób fizycznych oraz 200000 zł w odniesieniu do osób prawnych i jednostek organizacyjnych nieposiadających osobowości prawnej.

Dotychczasowe sankcje karne mimo rozpoczynania postępowań karnych nie kończyły się wyrokami skazującymi. Kary finansowe prawdopodobnie będą znacznie bardziej praktyczne - chętniej orzekane w wyniku częściej przeprowadzanych kontroli.
A na dodatek będą mogły służyć do niwelowania dziury budżetowej :)
Firmy, które nie dbają o dane osobowe - drżyjcie!
Treść zmian jest dostępna tutaj