Dzisiaj Generalny Inspektor Ochrony Danych Osobowych zorganizował szkolenie dla ABI ze szkół wyższych by przybliżyć co zmieniają przepisy rozporządzenia o ochronie danych (RODO). Było to bardzo cenne spotkanie, z którego możesz wyciągnąć wiele przydatnych wskazówek. Zebrałam je dla Ciebie.
Szkolenie otworzyła Minister dr Edyta Bielak-Jomaa, która podkreśliła, że przepisy rozporządzenia, które ustanawiają wiele nowych zadań i kompetencji, wzmacniających jeszcze pozycję inspektorów ochrony danych, wymagają od kandydatów na to stanowisko wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych .
Właśnie dla ABI czyli przyszłych Inspektorów Ochrony Danych wiedza i umiejętności na temat prawa i praktyk oraz zadań, które wynikają z RODO będzie miała istotne znacznie. W praktyce to Inspektor Ochrony będzie musiał odpowiadać za dobór środków ochrony i zabezpieczeń adekwatnie do poziomu ryzyka. Będzie musiał zatem taką ocenę ryzyka przeprowadzić. Tutaj nieodzowna będzie pomoc zespołu doradców np. CSO czy dyrektora pionu informatyki etc.
Ocena skutków ochrony danych
Piotr Drobek (Departament Edukacji Społecznej i Współpracy Międzynarodowej Biuro GIODO) wyraźnie podkreślił, że RFID , IOT czy inne nowe możliwości analizy danych wpływają na ryzyka ochrony przez co szczególnie przy ich wdrażaniu w organizacjach trzeba będzie wykazać się oceną skutków ochrony danych (DPIA). Na poziomie RODO nie znajdziemy wytycznych/wskazówek jak to zrobić, ale znajdziemy instrumenty i pewne cele jakie mają zostać osiągnięte. Więcej o tym jakie działania można przyjąć zgodnie z RODO znajdziesz w Pomocniku RODO tutaj.
Zgłaszanie naruszeń bezpieczeństwa
Najważniejszy praktyczny aspekt dla ABI jest taki, że pracownicy GIODO potwierdzili, że 72 godziny liczone będzie od stwierdzenia naruszenia przez ADO nie zaś de facto od wystąpienia incydentu co dla wielu ABI wbrew pozorom nie było takie jasne.
Okoliczności łagodzące przy wydawaniu kar
Co ma wpływ na wysokość kary? Czy będzie można ją zmniejszyć? Potwierdzono, że zmniejszającymi elementami mogą być nowe narzędzia/instrumenty prawne czyli kodeksy postępowania, mechanizmy certyfikacji w zakresie ochrony danych osobowych. Pamiętajmy jednak, że ich stosowanie nie wyłącza odpowiedzialności Administratora Danych.
Warto zapamiętać, że certyfikacja dot. produktów, systemów, procesów oraz, że będzie to mechanizm powiązany z akredytacją dokonywaną przez organy ochrony danych. Natomiast kodeks dobrych praktyk dla danej branży, uszczegóławia wymogi danej branży. Przykładowo mechanizmy monitorowania spełniania wymogów, rozpatrywania skarg podmiotów danych.
Jaka będzie nowa ustawa o ochronie danych?
Ustawa o ochronie danych jest projektowana w nowym kształcie przez Ministerstwo Cyfryzacji. W założeniu powinny znaleźć się tam zapisy dotyczące ustanowienie organu nadzorczego, kompetencje organu, procedury przed tym organem. Czy pojawi się coś jeszcze? Zobaczymy.
Które przepisy będą miały pierwszeństwo?
RODO wprowadza możliwość by ustawodawca krajowy w określonych przypadkach mógł wprowadzić przepisy szczegółowe. Tym przypadkom szczególnie polecam Ci się przyjrzeć. Jeśli bowiem nie będzie regulacji krajowej trzeba będzie stosować przepisy ogólne RODO. Natomiast w przypadku kolizji pierwszeństwo przed ustawodawstwem krajowym mają przepisy RODO (przepisy ustawy nie mogą być sprzeczne z rozporządzeniem unijnym). Oznacza to zatem, że ustawodawca krajowy może interweniować z przepisami krajowymi tylko w tych obszarach, które wyraźnie zostały wskazane w RODO. Przykładowo wiek dziecka na wyrażenie zgody przetwarzanie danych w ramach usług społeczeństwa informacyjnego (e-usługi) został określony na 16 lat jakie dziecko ma ukończyć by taka zgoda była ważna, ale państwa członkowskie mogą obniżyć ten wiek do lat 13.
Jak organ będzie postrzegał Inspektora Ochrony Danych?
GIODO zachęca do powołania ABI już teraz bez względu na to czy jego powołanie będzie obligatoryjne zgodnie z RODO. Z informacji przekazanych na szkoleniu wynika, że organ planuje być w kontakcie z przyszłymi inspektorami ochrony danych na różne sposoby m.in planuje się utworzenie forum do wymiany informacji póki co pilotażowo w obrębie ABI ze szkół i prawdopodobnie także szkół wyższych. Jest to godny naśladowania kierunek bo jak wiemy ABI potrzebują takiej wymiany informacji. Do końca tego roku ma powstać także przewodnik dla data protection officer, nad którego opracowaniem czuwa Grupa Robocza art. 29.
Jak podkreśliła Monika Młotkiewicz z Departamentu Rejestracji ABI i Zbiorów Danych Osobowych w Biurze GIODO ABI powinien mieć zasoby niezbędne do utrzymania wiedzy fachowej, powinien dbać o ciągłe kształcenie, uwzględnianie zmian w prawie i praktykach, mieć znajomość profilu działalności ADO, dokładną wiedzę o procesach wewnętrznych, być niezależny, wolny od nacisków i wpływów – bezpośrednio podlegać pod kierownika jednostki organizacyjnej/ Zarządowi. Przyszły Inspektor Ochrony Danych może mieć możliwość wykonywania innych obowiązków, ale nie może to powodować konfliku interesów i być możliwe pod względem czasowym i organizacyjnym.
Co ze sprawdzeniami, Polityką Bezpieczeństwa, Instrukcją?
Jak powiedziała Katarzyna Hildenbrandt z Departamentu Inspekcji Biura GIODO sprawdzeń w nowym systemie prawnym nie trzeba będzie przeprowadzać, ale można będzie jeśli ABI tak uzna. Warto wiedzieć, że w tej chwili wpłynęło do biura GIODO 45 sprawdzeń za 2016r. Wnioski jakie się nasuwają są takie, że wiedza ABI w zakresie ich sporządzenia jest różna z naciskiem na stwierdzenie, że Inspektor Ochrony Danych to powinna być osoba, która ma kompetencje, która wie jak zarządzać bezpieczeństwem ochrony danych w organizacji. Choć formalnie nie trzeba będzie prowadzić sprawdzeń, polityki bezpieczeństwa i instrukcji to nie oznacza, że organ nie będzie weryfikował jak Administrator Danych dba o realizację obowiązków wynikających z RODO. W tym celu nieodzowne będzie wdrożenie procedur na poziomie organizacji, które będzie trzeba w toku kontroli wykazać organowi, omówić.
Kserowanie dowodów. Wolno?
Barbara Gubernat z Departamentu Orzecznictwa, Legislacji i Skarg w Biurze GIODO podkreśliła, że zatrzymywanie/kserowanie dowodów osobistych to praktyka kontrowersyjna i bez podstawy prawnej stanowi czyn zabroniony. Jeżeli Administrator Danych potrzebuje zweryfikować tożsamość osoby może spisać dane do identyfikacji, ale dokumenty bez wyraźnej podstawy prawnej zatrzymać/skserować nie może. Przepisy RODO nic nie zmieniają w tym obszarze.
Identyfikacja zbiorów
Tomasz Soczyński z Departamentu Informatyki Biura GIODO podkreślił, że nic się nie zmienia jeśli chodzi o wydzielanie zbiorów. W dalszym ciągu zbiorów nie wydzielamy ze względu na systemy informatyczne. Kryterium celu pozostaje jako wiodące przy identyfikacji nowych zbiorów. Jednocześnie dodał, że cel nie może być abstrakcyjny. Musi faktycznie odpowiadać danemu zbiorowi danych. Jako przykład podał stosowanie wideonadzoru w celu podniesieniu bezpieczeństwa. Jego zdaniem cel taki jest nieuzasadniony bo wideonadzór sam w sobie nie podnosi poziomu bezpieczeństwa.
Hasło podane w e-mailu?
Jeśli będą zlecane prace na wykonanie systemu teleinformatycznego trzeba zwrócić uwagę na czy jest wdrażana tam koncepcja privacy by design i privacy by default. Projektowane rozwiązanie powinno być zgodne z przepisami RODO. Przykładem takiego niezgodnego, archiwalnego rozwiązania jest przesyłanie e-mailem jawnym teksem zapisanego loginu i hasła do użytkownika.
Przygotuj się już teraz do RODO
- Dokonaj analizy klauzul zgód (sprawdź czy są zgodne z RODO),
- Sprawdź czy obowiązek informacyjny względem podmiotu danych możesz już teraz odpowiednio uzupełnić i przygotuj sobie dokument, który będzie wysyłany do podmiotów danych (informację pozwalającą na uznanie, że obowiązek informacyjny jest spełniony),
- Dokonaj rewizji procesów przetwarzania z uwzględnieniem DPIA i każdy nowy proces uwzględniaj już z dokonaniem oceny skutków, w tym zastosowaniem Privacy by design i by default,
- Uporządkuj umowy powierzenia i rozpocznij proces przeglądania ich zgodności oraz renegocjowania zmian jeżeli są potrzebne zgodnie z RODO,
- Przygotuj się na obowiązek notyfikacyjny i uporządkowanie wewnętrznego procesu związanego z obsługą incydentu i zgłoszeniem zarówno do organu nadzorczego jak i w razie potrzeby do podmiotu/ów danych, których prawa zostaną naruszone,
- Sprawdź dokładnie jakie obowiązki nakłada RODO.
Jeżeli interesują Ciebie przepisy nowego rozporządzenia i chciałbyś skorzystać z interaktywnego komentarza, który pozwala znaleźć rozwiązanie oraz zapoznać się z przydatnymi materiałami i wypowiedziami ekspertów zapraszam do Pomocnika RODO. Jest to serwis stworzony i prowadzony z myślą o osobach zajmujących się zawodowo ochroną danych osobowych. Znajdziesz tam wiele praktycznych informacji, które pozwolą szybko odpowiedzieć na nurtujące pytanie. Możesz także skorzystać z Forum i monitorować zmiany przepisów na specjalnej osi czasu.
—
Autor grafiki promującej wpis: