OCHRONA DANYCH OSOBOWYCH

Transkrypt

1 Luty 2016 issn nr 17 OCHRONA DANYCH OSOBOWYCH Praktyczne porady Instrukcje krok po kroku Wzory Podstawa prawna powołania ASI Nadzorowanie opracowania i aktualizowanie dokumentacji Dobre prognozy dla ABI

2

3 SPIS TREŚCI Spis treści AKTUALNOŚCI Wioleta Szczygielska Safe Harbour tylko do 31 stycznia 2016 r Jest porozumienie w sprawie reformy ochrony danych w UE EKSPERCI SABI RADZĄ Dobre prognozy dla ABI Maciej Byczkowski INSTRUKCJE ABI wewnętrzny czy zewnętrzny wady i zalety Łukasz Onysyk Gdy ADO nie powoła ABI prowadzenie sprawdzeń Włodzimierz Dola Zgoda podstawą przetwarzania danych pracowników Michał Balicki, Jakub Kowal TEMAT NUMERU Nadzorowanie opracowania i aktualizowanie dokumentacji Marcin Sarna PORADY Przetwarzanie danych przedsiębiorców z CEDIG dr Jowita Sobczak Odpowiedzialność ABI Agnieszka Stępień Podstawa prawna powołania ASI Przemysław Zegarek WZORY DOKUMENTÓW Instrukcja postępowania w sytuacji naruszenia systemu ochrony danych osobowych Akt wyznaczenia administratora bezpieczeństwa informacji OCHRONA DANYCH OSOBOWYCH 141 LUTY 2016

4 LIST OD REDAKTORA Szanowni Czytelnicy! Wioleta Szczygielska redaktor prowadząca W tym numerze zajmujemy się kwestią odpowiedzialności administratora bezpieczeństwa informacji. Chociaż jest on tylko pracownikiem administratora danych osobowych, który w odpowiedni sposób powinien zabezpieczyć dane osobowe, to odpowiedzialność, jaką może ponieść, ma charakter nie tylko pracowniczy. ABI musi liczyć się też z odpowiedzialnością karną i cywilną. Zajęliśmy się też kwestią istotną dla każdego administratora danych osobowych pomagamy podjąć decyzję, na jakich zasadach najlepiej powołać administratora bezpieczeństwa informacji. Podpowiadamy, czy lepszy będzie ABI zatrudniony u ADO (wewnętrzny), czy osoba, która będzie wykonywać jego zadania w ramach outsourcingu (zewnętrzny) rozważamy za i przeciw każdej z tych opcji. W bieżącym numerze piszemy też, w jaki sposób administrator danych osobowych powinien realizować obowiązek przeprowadzenia sprawdzenia zgodności przetwarzania danych osobowych z przepisami, jeśli nie powoła administratora bezpieczeństwa informacji. Podpowiadamy też, na jaką podstawę prawną trzeba się powołać, ustanawiając administratora systemów informatycznych (ASI), i kto powinien go powołać ABI czy może administrator danych. Przypominam też, że jako stali Czytelnicy mają Państwo możliwość zadawania pytań naszym ekspertom. Pytania można przesyłać na adres redakcji odo@wip.pl. Udzieliliśmy już kilkudziesięciu praktycznych porad, które pomogły rozwiązać problemy związane z ochroną danych osobowych. Życzę owocnej lektury! OCHRONA DANYCH OSOBOWYCH 142 LUTY 2016

5 AKTUALNOŚCI Safe Harbour tylko do 31 stycznia 2016 r. Wraz z końcem stycznia 2016 roku kończy się okres przejściowy po wyroku Trybunału Sprawiedliwości UE, który unieważnił decyzję Komisji Europejskiej w sprawie porozumienia Safe Harbour. Na mocy decyzji europejskiego organu ochrony danych osobowych (Grupa Robocza art. 29) administratorzy danych osobowych mieli trzy miesiące na dostosowanie swoich działań do nowej sytuacji prawnej po wyroku TSUE ws. Safe Harbour. Firmy i instytucje, które przesyłają dane osobowe do Stanów Zjednoczonych po 31 stycznia 2016 r., nie będą mogły polegać już na porozumieniu Safe Harbour (Bezpieczna przystań). Do 6 października 2015 r. uważało się, że amerykańska instytucja, która przystąpiła do programu Bezpiecznej przystani, zapewnia odpowiedni poziom ochrony danych osobowych i można do niej przesyłać dane osobowe. Teraz administratorzy danych będą musieli poszukać nowych rozwiązań. Pomocne mogą okazać się standardowe klauzule umowne zatwierdzone przez Komisję Europejską lub wiążące klauzule korporacyjne. Jednocześnie między Stanami Zjednoczonymi a Unią Europejską trwają prace nad przygotowaniem nowego rozwiązania, które umożliwi transfer danych osobowych do USA (tzw. Safe Harbour 2). Ma to być nowa umowa między państwami, dzięki której będzie można legalnie przekazywać dane z UE do USA. Wioleta Szczygielska Jest porozumienie w sprawie reformy ochrony danych w UE Kończą się prace nad unijną reformą ochrony danych osobowych. Zgodnie z zaakceptowanym przez Komisję LIBE aktem, administrator danych osobowych, który naruszy przepisy o ochronie danych, będzie musiał się liczyć z karą nawet do wysokości 4% swoich rocznych przychodów. Komisja Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych (LIBE) Parlamentu Europejskiego zaakceptowała nowe unijne zasady ochrony danych osobowych przewidziane w ogólnym rozporządzeniu w sprawie ochrony danych osobowych oraz dyrektywie o ochronie danych w ramach działalności policyjnej i sądowej w sprawach karnych. Komisja LIBE głosowała w sprawie obu projektów niezwłocznie po zakończeniu nieformalnych negocjacji pomiędzy Radą Unii Europejskiej, Parlamentem Europejskim i Komisją Europejską, które zakończyły się 15 grudnia 2015 r. Teraz oba akty powinny zostać przyjęte przez Radę UE. Na wiosnę 2016 roku będą dyskutowane jeszcze na posiedzeniu plenarnym Parlamentu Europejskiego. Reforma przyniesie duże zmiany. Nowe przepisy będą dotyczyć wszystkich firm i instytucji, które oferują usługi obywatelom Unii Europejskiej, nawet jeśli mają swoją siedzibę w państwie trzecim. Za złamanie przepisów rozporządzenia i dyrektywy będą groziły wysokie kary nawet do 4% rocznego przychodu firmy. Nowe przepisy zaczną obowiązywać w 2018 roku. Wioleta Szczygielska OCHRONA DANYCH OSOBOWYCH 143 LUTY 2016

6 Dobre prognozy dla ABI Zgodnie z nowym rozporządzeniem ogólnym o ochronie danych osobowych w UE, powołanie ABI (DPO) dla części podmiotów będzie obowiązkowe. Przyszłość ABI Dobre wieści dotarły do środowiska ABI pod koniec zeszłego roku. 15 grudnia Komisja Europejska poinformowała o zakończeniu negocjacji (w ramach tzw. trilogu) dotyczących ogólnego rozporządzenia o ochronie danych osobowych, które wejdzie w życie w 2018 lub 2019 roku. W uzgodnionym tekście rozporządzenia znalazły się zapisy o przyszłej funkcji ABI. Nie czekając na oficjalne tłumaczenie tekstu rozporządzenia, na podstawie tekstu otrzymanego od osób uczestniczących w pracach, na gorąco prześledzimy poniżej nadchodzące zmiany w statusie ABI. Rozporządzenie określa funkcję DPO (data protection officer), którego odpowiednikiem w Polsce jest ABI. Zgodnie z art. 35 rozporządzenia, DPO będzie musiał być obowiązkowo powoływany przez administratora danych osobowych (ADO) oraz podmiot, któremu powierzono przetwarzanie danych osobowych (procesora), w następujących sytuacjach: przetwarzania danych przez podmiot lub organ publiczny, z wyłączeniem sądów w ramach prowadzonych przez nie postępowań; kiedy główne działania dotyczące przetwarzania danych z uwagi na swą naturę, zakres i/lub cel wymagają regularnego i systematycznego monitorowania danych osobowych na dużą skalę; gdy główne działania składają się z operacji przetwarzania danych osobowych wrażliwych (wymienionych w art. 9 rozporządzenia), a także danych dotyczących karalności za przestępstwa i wykroczenia, o których mowa w artykule 9a. Pozostali ADO lub procesorzy, niewymienieni powyżej, mogą powołać DPO w sposób dobrowolny, chyba że w sytuacjach wymaganych prawem unijnym lub prawem krajowym państwa członkowskiego są zobowiązane wyznaczyć takiego DPO (to akurat nie dotyczy obecnie Polski, ponieważ po ostatniej nowelizacji uodo powołanie ABI jest dobrowolne). Z tej możliwości będą mogły skorzystać głównie małe, średnie i mikroprzedsiębiorstwa, w tym osoby fizyczne prowadzące jednoosobową działalność gospodarczą. MACIEJ BYCZKOWSKI prezes Zarządu ENSI, ekspert ds. bezpieczeństwa informacji i ochrony danych osobowych, od 2007 roku pełni funkcję prezesa Zarządu Stowarzyszenia Administratorów Bezpieczeństwa Informacji. Pełni funkcję ABI w kilkunastu organizacjach w Polsce Ponadto zostały wprowadzone regulacje dotyczące powołania jednego DPO dla kilku podmiotów, w tym: grupa przedsiębiorców może powołać jednego DPO, pod warunkiem że może on wykonywać zadania dla każdego z tych przedsiębiorstw, dla kilku jednostek lub organów publicznych można powołać jednego DPO, uwzględniając ich wielkość i strukturę organizacyjną. DPO może być pracownikiem ADO lub procesora bądź wypełniać swoje zadania na podstawie umowy cywilnoprawnej o świadczenie usług. Są wprowadzone wymagania powołania DPO na podstawie jego kwalifikacji zawodowych, a w szczególności na podstawie wiedzy eksperckiej z zakresu prawa ochrony danych i stosowanych praktyk oraz posiadanych umiejętności w zakresie wypełnienia zadań wskazanych w art. 37 rozporządzenia. Podobne wymagania odpowiedniej wiedzy dla ABI są w przepisach art. 36a ust. 5 uodo. Dane kontaktowe do DPO mają być publikowane do powszechnej wiadomości oraz przekazywane do Generalnego Inspektora Ochrony Danych Osobowych (podobne wymaganie jak przy obecnej rejestracji ABI). Nowe zadania dla ABI Status DPO określony w rozporządzeniu oraz jego zadania pokrywają się w dużej części ze statusem i zadaniami ABI, które obowiązują w polskich przepisach od początku 2015 roku. Taki był zamysł zespołu ekspertów, który tworzył te przepisy, aby nowy status ABI przygotowywał go do pełnienia funkcji i zadań DPO, które były określone w pierwszym projekcie rozporządzenia z 2012 roku. Podobnie jak w polskich przepisach, DPO będzie podlegał bezpośrednio pod kierownictwo ADO lub procesora. Zgodnie z art. 36 rozporządzenia ADO lub procesor będą musieli zapewnić niezależność i możliwość wykonywania zadań przez DPO: musi on być właściwie i w odpowiednim czasie angażowany we wszystkie kwestie związane z ochroną danych osobowych; OCHRONA DANYCH OSOBOWYCH 14 LUTY 2016