Napisał: maria
19.09.2017
Kategoria: iSecure 

Wiele miesięcy ciężkiej pracy naszych ekspertów przyniosło efekt. Na rynku ukazała się właśnie książka „Bezpieczeństwo danych osobowych. Praktyczny przewodnik” autorstwa Katarzyny Ułasiuk i Michała Sztąberka. Skierowana do specjalistów ochrony informacji książka przedstawia najnowsze zagrożenia, zabezpieczenia, często popełniane błędy oraz konkretne wskazówki, jak wypełniać obowiązki w zakresie ochrony danych osobowych.

 

Książka „Bezpieczeństwo danych osobowych. Praktyczny przewodnik” została wydana przez wydawnictwo Presscom w serii Biblioteka ABI Expert. Można ją kupić online m.in. w sklep.presscom.pl.

Autorzy książki, Katarzyna Ułasiuk i Michał Sztąberek to doświadczeni prawnicy od wielu lat zajmujący się bezpieczeństwem informacji. Pełnią funkcję ABI w instytucjach publicznych oraz międzynarodowych korporacjach, prowadzą również szkolenia i audyty. W książce przedstawiają zasady tworzenia polityki bezpieczeństwa i instrukcji zarządzania systemem informatycznym, który służy do przetwarzania danych osobowych. Przewodnik zawiera także praktyczne wskazówki dotyczące sposobów ochrony danych przed pozyskiwaniem ich przez osoby nieupoważnione, a także katalog aktualnych zagrożeń dla bezpieczeństwa danych i najczęściej popełniane błędy. Eksperci iSecure poruszają również tematykę audytów wewnętrznych oraz zakres odpowiedzialności uczestników procesów przetwarzania danych.

Książkę uzupełniają liczne wzory przydatnych dokumentów, m.in.: oświadczenia o zachowaniu tajemnicy, upoważnienia do przetwarzania danych, ankiety audytowe, wykazy środków zabezpieczeń czy plany audytu. Są one dostępne również w wersji edytowalnej na dołączonej do przewodnika płycie CD.

Ponadto, poradnik ułatwia wszystkim podmiotom zaangażowanym w przetwarzanie danych osobowych przygotowanie się do wejścia w życie przepisów Ogólnego Rozporządzenia o Ochronie Danych Osobowych (RODO). Książka stanowi gruntowny przegląd i praktyczne wyjaśnienie zabezpieczenia danych według obecnie obowiązujących wymogów, z podpowiedzią, jak wykorzystać ten obecny stan w przyszłości.

Poniżej przestawiamy skrócony spis treści książki. Jego pełną wersję można znaleźć na stronie internetowej sklepu Presscom.

Rozdział 1. Wprowadzenie

1.1. Źródła prawa

1.2. Podstawowe pojęcia z zakresu ochrony danych osobowych

1.3. Dobre praktyki w zakresie bezpieczeństwa danych

Rozdział 2. Osoby zaangażowane w zabezpieczanie danych osobowych i ich obowiązki

2.1. Administrator danych

2.2. Administrator bezpieczeństwa informacji i jego zastępcy

2.3. Administratorzy systemu informatycznego

2.4. Użytkownicy

2.5. Inne osoby

Rozdział 3. Zabezpieczenia organizacyjne

3.1. Polityka bezpieczeństwa (danych osobowych)

3.2. Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych

3.3. Upoważnienia do przetwarzania danych i ewidencja osób upoważnionych

3.4. Zgoda na przebywanie w miejscu przetwarzania danych

3.5. Zapisy dotyczące poufności danych osobowych

3.6. Organizacyjne zasady pracy (dobre praktyki)

3.7. Inne procedury wpływające na bezpieczeństwo danych osobowych

Rozdział 4. Zabezpieczenia fizyczne

4.1. Zasady ogólne

4.2. Przykłady adekwatnych zabezpieczeń fizycznych

4.3. Zabezpieczenia fizyczne przewidziane w normie ISO 27001 jako przykład dobrych praktyk

Rozdział 5. Zabezpieczenia techniczne (informatyczne)

5.1. Minimalne wymogi wskazane w przepisach wykonawczych do ustawy o ochronie danych osobowych

5.2. Zabezpieczenia techniczne (informatyczne) przewidziane w normie ISO 27001 jako przykład dobrych praktyk

5.3. Inne przepisy prawne odnoszące się do bezpieczeństwa infrastruktury IT

Rozdział 6. Zagrożenia dla bezpieczeństwa danych i najczęściej popełniane błędy

6.1. Typowe błędy użytkowników

6.2. Narzędzia programowe wykorzystywane do ataków na bezpieczeństwo informacji

6.3. Socjotechnika

Rozdział 7. Audyt bezpieczeństwa danych osobowych

7.1. Wymogi prawne

7.2. Przygotowanie audytu bezpieczeństwa danych osobowych

7.3. Zakres podmiotowy i przedmiotowy audytu bezpieczeństwa danych osobowych

7.4. Dobre praktyki audytowe przewidziane w normie ISO 19011

Rozdział 8.Odpowiedzialność z tytułu naruszenia obowiązków dotyczących zabezpieczenia danych osobowych

8.1. Odpowiedzialność administracyjna

8.2. Odpowiedzialność karna

8.3. Odpowiedzialność cywilnoprawna

8.4. Odpowiedzialność wynikająca z prawa pracy

O autorach książki:

Katarzyna Ułasiuk – prawnik specjalizujący się w zakresie ochrony danych osobowych, pełniący na co dzień funkcję ABI. Praktykę zdobywała współpracując z podmiotami z sektora MŚP, organami administracji publicznej oraz międzynarodowymi korporacjami. Doświadczony trener i prelegent.

Michał Sztąberek – prawnik, ABI i audytor wiodący wg normy ISO 27001. Tematyką bezpieczeństwa informacji, w szczególności ochroną danych osobowych, zawodowo zajmuje się od 2006 r. Publikował m.in. w „Rzeczpospolitej”, „Marketerze+”, „Personelu i Zarządzaniu”, „PC World”. Od 2010 r. jest współwłaścicielem firmy doradczej.

 

Napisał: michal
13.09.2017
Kategoria: iSecure 

Już 25 maja 2018 roku wejdą w życie wielkie zmiany w przepisach o ochronie danych osobowych. Za zaniechania grożą wysokie kary – nawet 4 proc. obrotów z poprzedniego roku. W cyklu wpisów przedstawiamy najważniejsze zmiany, jakie wprowadza Rozporządzenie Ogólne o Ochronie Danych Osobowych.

Dzięki Ogólnemu Rozporządzeniu o Ochronie Danych Osobowych (w skrócie RODO) obywatele UE zyskają dużo większą kontrolę nad tym, jakie informacje na ich temat są zbierane, przez kogo i w jaki sposób są przetwarzane. Dla firm i instytucji oznacza to jednak nowe obowiązki oraz konieczność aktualizacji dotychczasowych procedur.

Warunki wyrażenia zgody

RODO rozszerza spoczywający na administratorze danych obowiązek kontrolowania warunków wyrażenia zgody. Administrator danych musi być w stanie wykazać, że osoba której dane dotyczą wyraziła zgodę na przetwarzanie danych osobowych oraz że była poinformowana o prawie do cofnięcia zgody. W praktyce oznacza to, że administrator musi zbierać i archiwizować dowody wyrażenia zgody, np. w formie cyfrowych zapisów w bazie danych. W takim przypadku bardzo pomocna może być metoda double opt-in, gdzie w pierwszym etapie użytkownik zaznacza zgodę poprzez zaznaczenie stosownego checkboxa, a potem mailowo ją jeszcze potwierdza poprzez kliknięcie w link autoryzujący poprzednią czynność. Co do zapisu w bazie danych to warto zadbać o odnotowanie takich informacji jak: treść wyrażanej zgody, data jej wyrażenia, adres IP, jeśli stosowano metodę double opt-in – wówczas jeszcze informacja o potwierdzeniu zgody.

Wiele firm będzie musiało zmienić treść komunikatów o wyrażeniu zgody. Koniec z małym, nieczytelnym drukiem, trudnym technicznym albo prawniczym językiem. Komunikaty powinny być zwięzłe i zrozumiałe dla odbiorców. Ponadto dostawcy usług elektronicznych dla dzieci będą musieli pozyskać zgodę na przetwarzanie danych od opiekuna prawnego osoby poniżej 13 roku życia. Niezbędne będzie więc zarówno weryfikowanie wieku dziecka, jak i tego czy opiekun prawny rzeczywiście wyraził zgodę na przetwarzanie danych.

Rozszerzony obowiązek informacyjny

Nowe przepisy znacznie rozbudowują obowiązek informacyjny. Na gruncie aktualnej Ustawy administrator jest zobowiązany do podania osobie, której dane są zbierane następujących informacji:

  • Nazwa administratora i jego dane kontaktowe;
  • Cele przetwarzania danych;
  • Informacje o odbiorcach danych osobowych (kategoriach odbiorców), którymi mogą być np. inne spółki z grupy kapitałowej, partnerzy biznesowi, itp.;
  • Informacje o prawach osoby, od której zbiera się dane.

Do tej listy RODO dodaje kolejne informacje:

  • dane kontaktowe Inspektora Ochrony Danych (jeżeli jest powołany);
  • nazwę, dane kontaktowe przedstawiciela na terenie UE (jeżeli jest);
  • podstawę prawną przetwarzania;
  • uzasadnione interesy administratora (konieczność ich wskazania) np. dochodzenie roszczeń, bezpieczeństwo sieci, „własny” marketing bezpośredni;
  • uzasadnione interesy osoby trzeciej (jeżeli jest to podstawa do przetwarzania danych) np. dochodzenie roszczeń;
  • okres przechowywania danych (albo kryteria – np. do czasu przedawnienia roszczeń, do momentu cofnięcia zgody, itd.);
  • informacje o prawie wniesienia skargi do organu nadzorczego;
  • informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, oraz  informacje o zasadach podejmowania tych decyzji, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

Jak więc od maja 2018 roku powinien wyglądać wzorowy komunikat wypełniający obowiązek informacyjny? W przypadku sklepu internetowego, który stosuje zautomatyzowane profilowanie, może on brzmieć następująco:

Administratorem danych osobowych jest [nazwa, adres] („Spółka”). Administrator danych powołał Inspektora Ochrony Danych, którą funkcję w Spółce pełni [imię, nazwisko, adres korespondencyjny].

Dane osobowe będą przetwarzane w celu realizacji zakupów w naszym sklepie internetowym, marketingu bezpośredniego dotyczącego własnych produktów i usług realizowanego w formie tradycyjnej (papierowo), stanowiącym tzw. prawnie uzasadniony interes Spółki. Dane w tych celach przetwarzane będą na podstawie art. 6 ust. 1 lit. b), c) i f) Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO). Po wyrażeniu odrębnej zgody, na podstawie art. 6 ust. 1 lit. a) RODO dane mogą być przetwarzane również w celu przesyłania informacji handlowych drogą elektroniczną lub wykonywania telefonicznych połączeń w celu marketingu bezpośredniego - odpowiednio w związku z art. 10 ust. 2 Ustawy z dnia 18 lipca 2002 roku o świadczeniu usług drogą elektroniczną lub art. 172 ust. 1 Ustawy z dnia 16 lipca 2004 roku – Prawo Telekomunikacyjne, w tym kierowanych w wyniku profilowania, o ile użytkownik wyraził stosowną zgodę.

W przypadku konieczności dostarczenia zamówienia dane osobowe mogą być udostępniane operatorom pocztowym lub przewoźnikom wyłącznie w celu dostarczenia zamówienia.

Dane osobowe przetwarzane w celach związanych z realizacją zakupów będą przetwarzane przez okres niezbędny do realizacji zakupów i zamówienia, po czym dane podlegające archiwizacji będą przechowywane przez okres właściwy dla przedawnienia roszczeń, tj. 10 lat. Dane osobowe przetwarzane w celach marketingowych objętych oświadczeniem zgody będą przetwarzane do czasu odwołania zgody.

Osoba, której dane dotyczą ma prawo dostępu do treści swoich danych osobowych oraz prawo ich sprostowania, usunięcia, ograniczenia przetwarzania, prawo do przenoszenia danych, prawo wniesienia sprzeciwu, prawo do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem.

W przypadku stwierdzenia, że przetwarzanie danych osobowych narusza przepisy RODO, osoba której dane dotyczą ma prawo wnieść skargę do Generalnego Inspektora Ochrony Danych Osobowych (po 25 maja 2018 r. – Prezesa Urzędu Ochrony Danych Osobowych).

Podanie danych osobowych jest dobrowolne, jednak podanie oznaczonych danych osobowych warunkiem złożenia zamówienia, natomiast konsekwencją ich niepodania będzie brak możliwości zamówienia produktów w sklepie.

Dane osobowe będą przetwarzane także w sposób zautomatyzowany w formie profilowania, o ile użytkownik wyrazi na to zgodę na podstawie art. 6 ust. 1 lit. a) RODO. Konsekwencją profilowania będzie przypisanie danej osobie profilu, w celu podejmowania dotyczących jej decyzji bądź analizy lub przewidywania jej preferencji, zachowań i postaw.

Zwolnienie z obowiązku informacyjnego występuje tylko w trzech przypadkach:

  • jeżeli osoba już tymi informacjami dysponuje;
  • w sytuacji gdy przetwarzanie danych jest przewidziane prawem np. w celu prowadzenia sprawozdawczości finansowej, o której mowa w ustawie z dnia 29 sierpnia 1997 r. Ordynacja podatkowa;
  • jeżeli poinformowanie tych osób jest niemożliwe lub jeżeli jest to nadmiernie utrudnione.

 Profilowanie

Jednym z celów przyjęcia przepisów RODO było dopasowanie regulacji do współczesnych problemów oraz praktyk stosowanych przez firmy i instytucje. Dziedziną, która w ostatnich latach bardzo się upowszechniła, a pozostawała właściwie nieuregulowana, jest profilowanie i zautomatyzowane podejmowanie decyzji na podstawie danych osobowych. Na gruncie obowiązującej Ustawy pojęcie profilowania nie jest nawet zdefiniowane, choć mieści się w normie art. 26a ust. 1 Ustawy, zgodnie z którym „Niedopuszczalne jest ostateczne rozstrzygnięcie indywidualnej sprawy osoby, której dane dotyczą, jeżeli jego treść jest wyłącznie wynikiem operacji na danych osobowych, prowadzonych w systemie informatycznym”.

W RODO profilowanie zostało zdefiniowane w art. 4 pkt 4 i oznacza: dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.

Tworzenie profili z kolei to: 1) zbieranie danych z różnych źródeł: dane przekazane administratorowi + dane przekazane innym administratorom (np. portale społecznościowe) lub 2) profile tworzone w sposób statystyczny tj. z cechy 1 wnioskujemy, iż posiada również cechę 2, 3 itd.

Co ważne, na administratorze danych będzie ciążył obowiązek poinformowania osoby, której dane dotyczą o profilowaniu oraz o jego skutkach, jak też o możliwości wniesienia sprzeciwu. To bardzo istotna zmiana, bo do tej pory profilowanie odbywało się bez wiedzy i kontroli osób, których dane były przetwarzane.

Należy zwrócić uwagę, że przepisy RODO nie zawsze znajdą zastosowanie do profilowania. Profilowanie „podpadające” pod RODO musi spełniać obie przesłanki: 1) przetwarzanie danych odbywa się w sposób zautomatyzowany; 2) celem przetwarzania jest analiza lub prognoza dotycząca efektów pracy wybranej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.

Jeśli nie mamy do czynienia z automatycznym podejmowaniem decyzji, wówczas stosuje się art. 21 ust. 1 i 2 RODO, które wymieniają profilowanie jako jedną z form przetwarzania danych osobowych w celu marketingu bezpośredniego, realizowaną w oparciu o tzw. prawnie uzasadniony interes (czyli bez konieczności pozyskania zgody).

Automatyczne podejmowanie decyzji jest dopuszczalne tylko, gdy:

  • jest to dopuszczone przez prawo UE lub prawo krajowe i które przewiduje właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osób, które dane dotyczą;
  • jest to niezbędne do zawarcia lub wykonania umowy między administratorem, a osobą której dane są zbierane oraz w sytuacji;
  • opiera się na wyraźnej zgodzie osoby, której dane dotyczą.

Można się spodziewać, że po wejściu w życie nowych przepisów wiele osób nie wyrazi zgody na profilowanie i/lub zażąda jego zaprzestania. Dla firm, których główna działalność opiera się na profilowaniu konsumentów, jak np. firmy marketing automation lub big data, ta zmiana będzie miała poważne konsekwencje. Przedsiębiorstwa będą zapewne musiały włożyć więcej wysiłku w przekonywanie swoich klientów, że profilowanie daje im jakieś korzyści.