Powierzenie przetwarzania danych osobowych teoria vs. praktyka

Transkrypt

1 Powierzenie przetwarzania danych osobowych teoria vs. praktyka Krzysztof Wagner Auditor Wiodący TÜV Nord Polska sp. z o.o. Licencje Common Creatives 08/06/2016 1

2 Dlaczego o powierzeniu przetwarzania danych osobowych Prowadzenie działalności gospodarczej łączy się często z przekazywaniem przez nich danych osobowych podmiotom zewnętrznym. Może być obowiązek nałożony na przedsiębiorcę w przepisie prawa lub decyzja biznesowa przedsiębiorcy O ocenianej próbce powierzenie przetwarzania było najczęstszą formą przekazania danych osobowych innym podmiotom. Wydaje się to charakterystyczne dla naszych czasów, ze względu na królującą optymalizję kosztów i związany z nią oursourcing wszystkiego 08/06/2016 2

3 Dlaczego o powierzeniu przetwarzania danych osobowych Przekazywanie danych innym podmiotom: Służą temu dwie procedury, o których mowa w ustawie o ochronie danych osobowych: udostępnienie danych osobowych i powierzenie ich przetwarzania. 08/06/2016 3

4 Na początek parę definicji USTAWA z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Dane osobowe Administrator danych Przetwarzanie danych Zbiór danych Przetwarzanie danych osobowych Powierzenie przetwarzania 08/06/2016 4

5 Na początek parę definicji Dane osobowe Art W rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. 2. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. 3. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań. 08/06/2016 5

6 Na początek parę definicji Administrator danych Art. 7 Ustawy: organ, jednostka organizacyjna, podmiot lub osoba, decydujące o celach i środkach przetwarzania danych osobowych 08/06/2016 6

7 Na początek parę definicji Przetwarzanie danych Art. 7 Ustawy: rozumie się przez to jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych; 08/06/2016 7

8 Na początek parę definicji Zbiór danych osobowych Art. 7 Ustawy: rozumie się przez to każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie; Przykłady popularnych zbiorów danych osobowych: Klienci Korespondencja przych.-wych. Pracownicy i kandydaci do pracy Kontrahenci Rejestr gości 08/06/2016 8

9 Na początek parę definicji Powierzenie przetwarzania Art Administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych. 2. Podmiot, o którym mowa w ust. 1, może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie. 3. Podmiot, o którym mowa w ust. 1, jest obowiązany przed rozpoczęciem przetwarzania danych podjąć środki zabezpieczające zbiór danych, o których mowa w art , oraz spełnić wymagania określone w przepisach, o których mowa w art. 39a. W zakresie przestrzegania tych przepisów podmiot ponosi odpowiedzialność jak administrator danych. 4. W przypadkach, o których mowa w ust. 1 3, odpowiedzialność za przestrzeganie przepisów niniejszej ustawy spoczywa na administratorze danych, co nie wyłącza odpowiedzialności podmiotu, który zawarł umowę, za przetwarzanie danych niezgodnie z tą umową. 08/06/2016 9

10 Na początek parę definicji Powierzenie przetwarzania Art Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. 2. Administrator danych prowadzi dokumentację opisującą sposób przetwarzania danych oraz środki, o których mowa w ust /06/

11 Na początek parę definicji Powierzenie przetwarzania Art. 37. Do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych. Art. 38. Administrator danych jest obowiązany zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane. Art Administrator danych prowadzi ewidencję osób upoważnionych do ich przetwarzania, która powinna zawierać: 1) imię i nazwisko osoby upoważnionej; 2) datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych; 3) identyfikator, jeżeli dane są przetwarzane w systemie informatycznym. 2. Osoby, które zostały upoważnione do przetwarzania danych, są obowiązane zachować w tajemnicy te dane osobowe oraz sposoby ich zabezpieczenia. 08/06/

12 WagBudownictwo Nasz przypadek studyjny to typowy obecnie model biznesowy: Grupa WagBudownictwo, w skład której wchodzi 10 Spółek: WagGrupa SA (firma matka) WagKonstrukcje sp. z o.o. WagInwestycje sp. z o.o. WagProjekty sp. z o.o.. Wag Centrum Usług Wspólnych sp. z o.o. Wag IT sp. z o.o. 08/06/

13 Modele powierzenia przetwarzania danych Wybrane przypadki 08/06/

14 Przypadek nr 1 Klasyczny Administrator Umowa PPDO nr 001 Usługodawca 001 Umowa PPDO nr 002 Usługodawca 002. Umowa PPDO nr nnn Usługodawca nnn 08/06/

15 Przypadek nr 1 Klasyczny Możliwe aspekty: potencjalni wewnętrzni klienci usług pomijają ABI lub inspektora ds. ochrony danych osobowych. Efektem są kulawe umowy PPDO bez klauzuli powierzenia (brak świadomości, dyscypliny wewnętrznej) utrzymywanie ewidencji: odnotowywanie nowych, wykreślanie nieaktywnych umów PPDO (zapewnienie zasobów najczęściej czasu) różne wzorce umów PPDO (brak kompatybilności) aktualizacja informacji w rejestrze zbiorów (własny lub na stronie GIODO) konieczność aktywnego włączenia ABI do obiegu umów np. opiniowanie, aktywne inicjowanie zmian np. powstaje nowy zbiór, zmiana przepisów (konieczność zapewnienia zasobów najczęściej czasu) okresowa weryfikacji wypełniania przez usługodawców warunków umów PPDO (czasochłonne audyty!) 08/06/

16 Przypadek 2 Zawiera dane pracowników Grupy Wag: imię nazwisko stanowisko jedn. organ. WagKonstrukcje telefon służb. wizerunek (zdjęcie) WagProjekty WagInwestycje WAGNET (Intranet) 08/06/

17 Przypadek 2 Kociołek Możliwe aspekty: trudna kwestia danych pracowniczych współistnienie zbiorów wielu administratorów (patrz art. 21 Dyrektywy Współadministratorzy ) wzajemna trudna do określenia wymiana danych Jak określić zakres odpowiedzialności np. w zakresie obowiązku informacyjnego Przykłady innych Kociołków : systemy obiegu korespondencji, dokumentów współdzielone Systemy HR-owe, RCP wspólne platformy zakupowe, przetargowe współdzielone BOK-i, platformy obsługi klienta 08/06/

18 Przypadek 3 Dostawca usług - Wag Centrum Usług Wspólnych HR: SAP Moduł HR Platforma rekrutacyjna Delegacje Flota Płatnik + aplikacje pom. Płatności 30 programów przetwarzających dane osobowe 10 podmiotów z grupy Wag obsługiwanych (PPDO) 15 stałych dostawców systemów i aplikacji WagIT dostarcza podstawowe usługi IT Liczba umów klientów PPDO: 10 Liczba umów PPDO z dostawcami IT: 20 Liczba zbiorów powierzonych: 60 Średnia liczba żądania zmiany, nowych usług ze strony Grupy Wag: 3/miesiąc Średni roczny przyrost dostawców z koniecznymi umowami PPDO: +8 08/06/

19 Przypadek 3 Dostawca usług CUW Możliwe aspekty: duża liczba umów PPDO proporcjonalna do liczby obsługiwanych klientów i usług specyficzny typ świadczonych usług - w większości wprost związany z przetwarzaniem danych osobowych. wielu dostawców zewnętrznych konieczne utrzymywanie stosownych umów PPDO z nimi. pozyskanie zgód klientów na podpowierzenie przetwarzania do dostawcy zewnętrznego. współdzielone zasoby, systemy. Wykonanie np. modyfikacji usługi na rzecz jednego klienta oddziałuje na innych 08/06/

20 Przypadek 4 Dostawca usług IT - WagIT : Serwery, systemy, bazy danych Sieć WAN LAN 100 programów przetwarzających dane osobowe 10 podmiotów z grupy Wag obsługiwanych (PPDO) 30 stałych dostawców systemów i aplikacji WagIT dostarcza podstawowe usługi IT Komputery Aplikacje Sprzęt mobilny, komunikacja Liczba umów klientów PPDO: 10 Liczba umów PPDO z dostawcami IT: 50 Liczba zbiorów powierzonych: > 100 Średnia liczba żądania zmiany, nowych usług ze strony Grupy Wag: 3/miesiąc Średni roczny przyrost dostawców z koniecznymi umowami PPDO: +8 08/06/

21 Przypadek 4 Dostawca usług IT Możliwe aspekty: bardzo duża liczba umów PPDO proporcjonalna do liczby obsługiwanych klientów i usług oraz dostawców zewnętrznych Kwestia różnych wymagań ze strony klienta wewnętrznego zarządzanie nimi na poziomie procesów PPDO wielu dostawców zewnętrznych konieczne utrzymywanie stosownych umów PPDO z nimi - PODPOWIERZENIE pozyskanie zgód klientów na podpowierzenie przetwarzania do dostawcy zewnętrznego. współdzielone zasoby, systemy. Wykonanie np. modyfikacji na rzecz jednego klienta oddziałuje na innych Dynamika w obszarze IT ciągłe żądanie zmian. Efektem tego są nieustanne zmiany w zapisach umów PPDO. 08/06/

22 Co w umowie Możliwe aspekty: Cel przetwarzania: określony w umowie, lub umowie towarzyszącej Zakres przetwarzania: wykaz zbiorów, rodzaje przetwarzania (np. odczyt, modyfikacja, składowanie, niszczenie itd. Warto zapewnić sobie określenie miejsca przetwarzania lub miejsca z jakiego będą przetwarzane dane, w tym w jakim kraju się to będzie odbywać. Zobowiązanie do spełnienia wymagań ustawy zgodnie z art a Postępowanie na wypadek podpowierzenia przetwarzania do dostawcy zewnętrznego. Rekomendowane wymaganie zgody ADO na podpowierzenie. 08/06/

23 Co w umowie Możliwe aspekty: Zapisy umożliwiające skuteczne przeprowadzenie kontroli przez administratora danych osobowych danego zbioru danych w zakresie spełnienia wymogów ustawy i rozporządzenia przy przetwarzaniu danych osobowych Zapisy określające zasady udzielania upoważnień do przetwarzania danych Osobowych zgodnie z art. 37 Ustawy oraz prowadzenia ewidencji osób upoważnionych do przetwarzania danych osobowych Zapisy określające zasady informowania i postępowania na wypadek wystąpienia sytuacji mogących skutkować lub skutkujących utratą, nieuprawnionym dostępem lub modyfikacją powierzonych danych osobowych Zapisy o niezwłocznym obowiązku informowania administratora danych osobowych o jakimkolwiek postępowaniu, w szczególności administracyjnym lub sądowym, dotyczącym powierzonych do przetwarzania danych osobowych 08/06/

24 Co w umowie Możliwe aspekty: Forma pisemna Dedykowana umowa powierzenia przetwarzania danych lub cześć innej umowy np. na świadczenie usług. Wsparcie administratora w realizacji obowiązku informacyjnego, prowadzeniu dokumentacji przetwarzania danych osobowych 08/06/

25 Dziękuję! 08/06/