Sierpień 2015

issn 2391-5781

nr 11

Praktyczne porady • Instrukcje krok po kroku • Wzory

▌

Internet Rzeczy – czy dane są i będą bezpieczne

▌

Przetwarzanie danych wrażliwych pracowników

▌

ABI – funkcja czy stanowisko

OCHRONA

DANYCH OSOBOWYCH

Kup książkę

OCHRONA DANYCH OSOBOWYCH

SIERPIEŃ 2015

14

1

SPIS TREŚCI

Spis treści

AKTUALNOŚCI

Wioleta Szczygielska

Europejscy rzecznicy ochrony danych o unijnym rozporządzeniu

. . . . . . . . . . . . . . . . . 3

EKSPERCI SABI RADZĄ

ABI – funkcja czy stanowisko

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4

Maciej Byczkowski

INSTRUKCJE

Kiedy można udostępnić, a kiedy powierzyć dane osobowe

. . . . . . . . . . . . . . . . . . . . . 5

Marcin Sarna

Jest komplet rozporządzeń do uodo. Co teraz?

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8

Przemysław Zegarek

TEMAT NUMERU

Internet Rzeczy – czy dane są i będą bezpieczne

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12

Maciej Kołodziej

PORADY

Przetwarzanie danych wrażliwych pracowników

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17

Michał Balicki, Aleksandra Mazur-Zych

Uprawnienia kontrolne GIODO

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20

Joanna Łuczak

WZORY DOKUMENTÓW

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24

Kup książkę

OCHRONA DANYCH OSOBOWYCH

SIERPIEŃ 2015

14

2

LIST OD REDAKTORA

Wioleta

Szczygielska

redaktor prowadząca
odo@wip.pl

www.odo.wip.pl

W tym numerze kompleksowo omawiamy rozporządzenia wykonawcze

do ustawy o ochronie danych osobowych, które niedawno weszły w życie.

Są o tyle ważne, że konkretyzują zmiany, jakie wprowadziła nowelizacja

przepisów o ochronie danych. Odgrywają kluczową rolę zwłaszcza

dla administratorów bezpieczeństwa informacji, gdyż regulują sposób

wykonywania przez nich obowiązków. Artykuł przygotowany przez

naszego eksperta podsumowuje wszystkie zmiany wprowadzone przez

te akty.
Głównym tematem tego numeru jest problematyka Internetu Rzeczy,

wpływu tej nowej technologii na prywatność i konsekwencji, jakie za

sobą niesie, m.in. konieczności stosowania szczególnych zabezpieczeń

przed wyciekiem danych osobowych. Zachęcam do zapoznania się z tym

artykułem, gdyż Internet Rzeczy coraz śmielej wkracza w życie każdego

z nas i będzie się stawał coraz bardziej popularny.
Ciekawym tematem jest też kwestia przetwarzania danych wrażliwych

pracowników. Jak się okazuje, pracodawca nie może pozyskiwać informacji

np. o karalności pracownika, chyba że zezwalają mu na to przepisy

szczegółowe. Artykuł będzie z pewnością pomocny dla wszystkich

pracodawców i osób, które zajmują się zatrudnianiem.
Przypominam też, że mogą Państwo zadawać pytania naszym ekspertom.

Jeśli mają Państwo jakieś wątpliwości związane z wykonywaniem

obowiązków związanych z ochroną danych osobowych, prosimy pisać

na adres: odo@wip.pl. Możliwość zadawania pytań jest bezpłatna dla

prenumeratorów miesięcznika.

Życzę owocnej lektury!

Szanowni Czytelnicy!

Kup książkę

OCHRONA DANYCH OSOBOWYCH

SIERPIEŃ 2015

14

3

AKTUALNOŚCI

AKTUALNOŚCI

Europejscy rzecznicy ochrony

danych o unijnym rozporządzeniu

Między 16 a 17 czerwca 2015 r. odbyło się 101. posiedzenie
Grupy Roboczej Artykułu 29 ds. Ochrony Danych w Brukseli.
Podczas spotkania europejscy rzecznicy ochrony danych
osobowych omówili kwestie dotyczące aktualnych prac nad
reformą przepisów o ochronie danych w Unii Europejskiej.

Zdaniem Grupy Roboczej istotne jest, aby wyniki negocja-

cji między Parlamentem Europejskim, Komisją Europejską

i Radą UE w sprawie ogólnego rozporządzenia o ochronie

danych doprowadziły do przyjęcia nowych ram regulacyj-

nych zapewniających poszanowanie podstawowych praw

obywateli oraz biorących pod uwagę interesy innych inte-

resariuszy.

Grupa postuluje, aby rozporządzenie było na tyle proste,

skutecznie i jasne, na ile to możliwe. Grupa odniosła się

też do merytorycznej treści stanowiska Rady UE w spra-

wie rozporządzenia.

Zgoda

Grupa Robocza stwierdziła, że nie powinno być wątpli-

wości co do elementów składających się na zgodę oraz za-

miaru wyrażenia zgody przez osobę, której dane dotyczą.

Chociaż zgoda może być wyrażona na wiele różnych spo-

sobów, na przykład poprzez oświadczenie lub działanie

afirmatywne, niezbędny wymóg jest taki, aby takie oświad-

czenie lub działanie wyraźnie oznaczało zgodę osoby, któ-

rej dane dotyczą, na przetwarzanie dotyczących jej danych

osobowych. Konieczne jest wyraźne rozróżnienie między

systemem opt-in a opt-out.

W związku z tym pojęcie jednoznacznej zgody przewi-

dziane przez Radę UE w motywie 25 może prowadzić do

nieporozumień w zakresie celu proponowanego tekstu,

szczególnie w Internecie, gdzie obecnie zbyt często używa

się niewłaściwej zgody.

Ponadto zdaniem GR zgoda powinna być świadoma i do-

tyczyć określonego celu, zatem niedopuszczalna byłaby

żadna szeroka zgoda.

Profilowanie

Grupa Robocza podkreśla konieczność zapewnienia więk-

szej pewności prawnej oraz większej ochrony dla osób

w odniesieniu do przetwarzania danych w kontekście pro-

filowania. GR postuluje potrzebę wprowadzenia jasnej de-

finicji profilowania.

Naruszenia bezpieczeństwa

Zdaniem Grupy konieczne jest zapewnienie gwarancji, że

naruszenia danych nie będą ukrywane, a ocena naruszenia

będzie prawidłowo przeprowadzona. Grupa Robocza chce

też, by osoby, których dane dotyczą, były powiadamiane,

gdy będzie do wymagane.

Inspektor ochrony danych

Inspektor ochrony danych jest kluczowym elementem roz-

liczalności oraz realnym narzędziem konkurencyjności dla

przedsiębiorstw – czytamy w stanowisku Grupy Roboczej. Jego

zadaniem jest m.in. wdrożenie narzędzi rozliczalności (np. do-

kumentacji, oceny wpływu na prywatność itd...). W rozumieniu

Grupy inspektor będzie pośrednikiem pomiędzy wszystkimi

odpowiednimi interesariuszami (np. organami nadzorczymi,

osobami, których dane dotyczą, partnerami biznesowymi).

Grupa robocza popiera powołanie inspektora ochrony danych

jako obowiązek, przy zachowaniu obiektywnych kryteriów,

takich jak rodzaj, ilość danych lub charakter działalności za-

interesowanego podmiotu, co pomoże w pomiarze ryzyka.

Punkt kompleksowej obsługi

Zdaniem Grupy Roboczej:

•

wszystkie organy nadzorcze powinny pozostać właściwe

na terytoriach swoich państw członkowskich,

•

współpraca musi odbywać się pomiędzy wszystkimi or-

ganami ochrony danych, których sprawa dotyczy, oraz

wyznaczonym wiodącym organem ochrony danych

w sprawach międzygranicznych.

Sankcje

Grupa Robocza z zadowoleniem przyjęła wprowadzenie

znaczących kar pozwalających organom ochrony danych na

podjęcie ich roli jako organów wdrażających i które mogą

przyczynić się do wyższego poziomu zgodności administrato-

rów danych zarówno w sektorze publicznym, jak i prywatnym.

Wioleta Szczygielska

Kup książkę

OCHRONA DANYCH OSOBOWYCH

SIERPIEŃ 2015

14

4

EKSPERCI SABI RADZĄ

MACIEJ

BYCZKOWSKI

prezes Zarządu

ENSI, ekspert ds.

bezpieczeństwa

informacji i ochrony

danych osobowych.

Od 2007 roku pełni

funkcję prezesa

Zarządu Stowarzyszenia

Administratorów

Bezpieczeństwa

Informacji

ABI – funkcja czy stanowisko

Od lat w środowisku ABI toczy się dyskusja, czy

zadania nadzoru nad przetwarzaniem danych

osobowych powinny być wykonywane w ra-

mach pełnienia funkcji ABI, czy też na stano-

wisku ABI. Przepisy ustawy o ochronie danych

osobowych (uodo) w art. 36a nie precyzują, czy

ABI to funkcja, czy stanowisko.

Funkcja lub stanowisko

Administrator danych (ADO) ma dowolność

– może powołać ABI i powierzyć mu wykony-

wanie zadań określonych w art. 36a jako pełnie-

nie funkcji, może również utworzyć stanowisko

ABI, na którym zatrudni powołaną osobę. Częś-

ciej wybierana jest pierwsza opcja.

W takim wypadku osoba jest już zatrudniona

u administratora danych na innym stanowisku

i dodatkowo pełni funkcję ABI. Ten model był po-

wszechnie stosowany przed nowelizacją uodo z 7

listopada 2014 r. Na podstawie art. 36 ust. 3 istniał

obowiązek wyznaczenia ABI, ale nie były sprecy-

zowane kryteria dotyczące statusu ABI, w tym:

•

szczegółowy zakres jego zadań,

•

wymagane kwalifikacje,

•

podległość pod ADO czy

•

niezależność stanowiska.

W efekcie do pełnienia funkcji ABI były wyzna-

czane osoby zatrudnione wcześniej przez ADO

na różnych stanowiskach, np. administratora sy-

stemu informatycznego czy specjalisty ds. bez-

pieczeństwa, spraw kadrowych, prawnych lub

administracyjnych itp. Często były to też osoby

przypadkowe – wyznaczane „na siłę”, aby tylko

wypełnić obowiązek ustawowy i ustrzec się przed

konsekwencjami ze strony GIODO. Po nowelizacji

ustawy od 1 stycznia 2015 r. sytuacja zmieniła się.

Z jednej strony nie ma obowiązku powołania ABI,

ale jeżeli ADO zdecyduje się na powołanie tej oso-

by, to oprócz wymaganych kwalifikacji określonych

w art. 36a ust. 5 uodo musi uwzględnić wymaga-

nia art. 36a ust. 4 uodo dotyczące powierzenia ABI

dodatkowych zadań.

W art. 36a ust. 4 jest wyraźny wymóg, że: „Ad-

ministrator danych może powierzyć administra-

torowi bezpieczeństwa informacji wykonywanie

innych obowiązków, jeżeli nie naruszy to prawid-

łowego wykonywania zadań, o których mowa

w ust. 2”.

Zatem nie można już dowolnie „doklejać” funk-

cji ABI do innych stanowisk. Zanim ADO zdecy-

duje się powołać zatrudnionego już pracownika

na ABI, musi przeanalizować, czy osoba ta bę-

dzie miała czas na wykonywanie wszystkich obo-

wiązków określonych w art. 36a ust. 2 oraz czy

przy wykonywaniu tych zadań nie będzie rów-

nież istnieć ryzyko konfliktu interesów.

Znacznie prostszym rozwiązaniem jest utwo-

rzenie nowego stanowiska ABI, którego zadania

będą ściśle związane z realizacją zadań określo-

nych w art. 36a ust. 2, a do tego będzie można je

rozszerzyć np. o prowadzenie dokumentacji prze-

twarzania danych, o której mowa w art. 36 ust. 2.

Rozwiązanie to wiąże się jednak z wyższymi kosz-

tami utrzymania odrębnego stanowiska i nie każ-

dy ADO może sobie na to pozwolić. Zatrudnienie

osoby na stanowisku ABI może być również wy-

magane szczególnymi przepisami.

Przykładem jest rozporządzenie ministra sprawied-

liwości z 8 grudnia 2014 r. (Dz.U. z 2015 r. poz. 54)

w sprawie stanowisk i szczegółowych zasad wyna-

gradzania urzędników i innych pracowników sądów

i prokuratury oraz odbywania stażu urzędniczego.

W „Tabeli stanowisk, na których są zatrudniani

urzędnicy w sądach i prokuraturze oraz kwalifika-

cji wymaganych do zajmowania tych stanowisk”,

w rubryce „Pozostałe stanowiska wspomagają-

ce”, jest wpisany administrator bezpieczeństwa

informacji. Oznacza to, że w sądach i prokuratu-

rze powołany ABI jest zatrudniany na odrębnym

stanowisku.

Zawód ABI?

Od ponad 17 lat różne osoby w Polsce sprawują funk-

cję ABI lub są zatrudniane na takich stanowiskach.

Można więc z całą pewnością mówić o profesji ABI.

Obowiązujące przepisy dotyczące rynku pra-

cy już się do tego odnoszą. W rozporządzeniu

MPiPS z 7 sierpnia 2014 r. w sprawie klasyfikacji

zawodów i specjalności na potrzeby rynku pra-

cy oraz zakresu jej stosowania w pozycji nr 2421

– Specjaliści ds. rozwoju zarządzania i organizac-

ji, pod numerem 242111 jest wpisany ABI.

Administrator danych ma wybór – może powołać ABI i powierzyć
mu wykonywanie zadań określonych w art. 36a jako pełnienie
funkcji, może również utworzyć stanowisko ABI, na którym zatrudni
powołaną osobę.

Kup książkę