II spotkanie ABI w Warszawie

II-gie spotkanie ABI odbyło się 24 lutego 2011 w tym samym miejscu jak poprzednie i w podobnym czasie (17:00 - 19:40). Trwało przez ponad 2,5 godziny. W spotkaniu wzięło udział ok. 20 osób, byli to głównie (jak zwykle) ABI-owie i osoby zajmujące się tematyką ochrony danych osobowych. W spotkaniu wzięli udział także przedstawiciele firm zajmujących się tematyką ochrony danych osobowych (GIS, iSecure). Pewna część uczestników spotkania brała udział w poprzednim. Na uwagę zasługiwała spora reprezentacja ubezpieczeń oraz wcale niemała reprezentacja serwisu społecznościowego nk.pl.

Spotkanie ma (miało) charakter forum wymiany opinii pozwalające uczestnikom (czyli nam) lepiej rozumieć problematykę ochrony danych osobowych. Ma to na celu dzielić się doświadczeniami, wiedzą i szukać wspólnie rozwiązań problemów. Główne zasady tego spotkania – otwartość i dyskusja. W żadnym wypadku nie miała to być konferencja czy wyłącznie wykładowego charakteru.

Tematy jakie poruszyliśmy na spotkaniu

  • ABI „profesjonalista” – jako szczególna forma ABI-ego. Temat na spotkaniu wzbudził dużo kontrowersji. Na pewno nie chodzi nam o „nowy zawód”, bo zabrakłoby ABI-ch dla firm. A firm na rynku jest między 1,7 a 3,7 mln – to jest potencjalny rynek pracodawców dla ABI-ich.  Przede wszystkim ABI powinien działać na korzyść ADO, który powinien widzieć konkretne, wymierne korzyści w zatrudnianiu takiego „profesjonalnego” ABI i dbania o jego zawodowy rozwój. Na spotkaniu przyjęliśmy, że  zbierzemy nasze opinie nt. „Kompetencje 'profesjonalnego' ABI i jego roli w organizacji”. Wszystkie opinie prosimy o wysłania na adres witryna@superabi.pl. Zbierzemy je i przedstawimy na kolejnym spotkaniu, przyjmijmy założenie brainstormingowe, że nie ma złych pomysłów i zawsze warto przedstawić swoje zdanie. Będzie to materiał do ewentualnego przedstawienia GIODO do rozważenia. Jeżeli będą różne warianty rozwiązań możemy przedstawić je wszystkie z zaznaczeniem takiego podziału do GIODO. Bądźmy świadomi, że GIODO będzie zbierać opinię na różnych spotkaniach, m.in. branżowych, a samych propozycji rozwiązań będzie zapewne więcej niż zgłoszonych przez nas. Nie czekajmy na cudze opinie, wyraźmy swoje! :)  
  • hosting/ outsourcing www/kolokacja/hotelling i powierzanie przetwarzania danych osobowych. Tutaj wyróżnić można hosting zarządzany (ASP) i niezarządzany. W zarządzanym umowa powierzenia jest zasadna, ale w tym drugim przypadku – wątpliwa (co prawda przechowywanie jest „przetwarzaniem” wg ustawy, ale czy na pewno ma to sens?  
  • historia zmian danych osobowych – czy dane historyczne osoby są danymi osobowymi? Jeśli tak - czy np. w ramach obowiązku informacyjnego (prawa do informacji) osobie należy przekazać także historię zmian jego danych osobowych, czy nie? Jeżeli jest to technicznie wykonalne to podmiot kontrolowany powinien przekazać takie dane w ramach obowiązku informacyjnego. Na spotkaniu uznano, ze to jednak są dane osobowe, objęte obowiązkiem informacyjnym. Czy to są wciąż dane osobowe, jeśli dane bieżące (identyfikujące) osoby zostaną usunięte albo zanonimizowane? Analogicznie można uznać że tak. Dane hisotryczne takiej jak na „naszej-klasie” przecież mogą zidentyfikować osobę. W kontekście ,,danych historycznych” i zastosowaniu w stosunku do nich przepisów UODO wypowiedział się WSA w wyroku z dnia 3 marca 2009r. sygn. akt II SA/Wa 1495/08. W uzasadnieniu wyroku wskazano zarówno motywy 12 dyrektywy 96/45WE Parlamentu Europejskiego i Rady z dnia 25 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz. U. UE. L. 95. 281. 31 ze zm.) w której położono nacisk na ochronę całości danych dotyczących danej osoby, a więc i informacji dotyczących jej przeszłości. Dalej Sąd przytacza argumentację, że zidentyfikowanie danej osoby dotyczy więc także przeszłych informacji o określonym człowieku, przez które to informacje można zdobyć wiedzę o jego tożsamości. Należy więc uznać, że prawo europejskie rozumie ochronę danych osobowych także jako ochronę wszystkich faktów dotyczących przeszłości określonego człowieka. Ponadto odnosząc się do art. 6 ust. 1 UODO Sad definiuje pojęcie tożsamości osoby użyte w przedmiotowym przepisie i tłumaczy, że ostatecznie należy na tak rozumianą tożsamość składa się nie tylko to, kim się jest obecnie, ale także to kim się było, a nawet zamierzenia na przyszłość, wszystko to powoduje, że dana osoba różni się od innej. Mając to wszystko na uwadze w przypadku wykonywania obowiązku informacyjnego ADO powinien stosować przez analogię powyższe ustalenia. Odnośnik do wyroku: http://orzeczenia.nsa.gov.pl/doc/B7B03BE6DD  
  • „zapomnij mnie”  – informacje o nowym temacie, poruszanym na dniach (?) otwartych GIODO (źródło: http://www.polskieradio.pl/7/158/Artykul/277224,-Unia-da-nam-prawo-do-by..., http://e-prawnik.pl/wiadomosci/informacje/internauta-dowie-sie-kto-groma... i pierwowzór http://www.slettmeg.no/english)
  • retencja danych -  sposoby usuwania danych, przedmiotem dyskusji było kiedy tak naprawdę zgodnie z obowiązującym prawem – (szczególnie innymi aktami prawnymi) wygasa cel przetwarzania danych. Ustaliliśmy, że istnieje wiele przepisów prawnych determinujących termin ustania celu przetwarzania danych osobowych, i tak np. są to przepisy o rachunkowości czy terminy wygaśnięcia roszczeń (KC). Sprawa powinna być badana indywidualnie dla każdego ADO i celu przetwarzania danych.
  • kwestia kopii zapasowych i zastosowania przyjętych zasad retencji danych również do nich. Należy przypomnieć przy tym wyrok NSA z dnia 3 lipca 2009r. sygn. akt I OSK 633/08, zgodnie z którym –  przechowywanie danych osobowych w kopiach zapasowych jest niczym innym jak przetwarzanie tych danych, a przetwarzanie jest możliwe tylko w przypadkach przewidzianych w ustawie.  Jeżeli zatem „odpada” podstawa do przetwarzania danych osobowych to koniecznym staje się ich usunięcie ze zbioru danych. Dalej Sąd wyjaśnia, że ,,(…)Jak należy rozumieć pojecie zbioru danych wyjaśnia to art. 7 pkt 1 ustawy o ochronie danych i zgodnie z nim jest to każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego czy zestaw ten jest rozproszony lub podzielony funkcyjnie. Z definicji tej wynika, że obowiązek usunięcia ze zbioru danych ze względu na ich zbędność dla realizacji celu, dla którego zostały zebrane, o którym mowa w art. 35 ust. 2 ustawy o ochronie danych, polega na usunięciu ich ze zbioru w ww. rozumieniu, a więc jeżeli jest on nawet rozproszony lub podzielony funkcyjnie(…)”.. odnośnik do wyroku: http://orzeczenia.nsa.gov.pl/doc/206B0FB861
  • anonimizacja danych – anonimizowanie numeru PESEL. Zaprezentowany został algorytm anonimizowania numeru PESEL, taki, aby był w zgodzie z datą urodzenia i płcią osoby. To często jest wymagane, bo w bazach danych jest walidacja tych trzech wartości ze sobą. Algorytm jest prosty, ale może przydać się ABI’m w codziennej pracy bądź może zostać przekazany „developerom” w celach „edukacyjnych”. Algorytm przygotował pracownik Allianz - Konrad Pietrzak. W ramach dyskusji pojawiła się wątpliwość czy wygenerowane numery PESEL nie będą przypadkiem … danymi osobowymi. Wszak można niechcacy wygenerować prawdziwy numer PESEL – dziennie rodzi się jednej płci ok. 750 osób – daje to ok 15% szans trafienia w prawdziwy PESEL. Jak GIODO sprawdzi, że to zanonimizowany PESEL w razie kontroli? To też powód dla którego sam numer PESEL nie powinien być daną osobową, mimo że inna ustawa mówi, że jest on „identyfikatorem osoby”. Ale dla kogo on jest tym identyfikatorem osoby?
  • Informacja o organizowanej przez SABI konferencji na Politechnice w dn. 28.marca br.
  • serwis sprzątający – powierzenie czy umowa o zachowaniu poufności, Zebrani zgodzili się co do tego, że w tego przypadku umowach celem usługi nie jest przetwarzanie danych więc wystarczy podpisać NDA (umowę o zachowaniu poufności).
  • zasygnalizowany został problem Wiążących Reguł Korporacyjnych (BCR) i prowadzonych w GIODO postępowań w ich zastosowaniu. Szczegółów nie udało się ustalić i sam temat z pewnością będzie jeszcze podejmowany, gdyż jest sporo interesariuszy tego rozwiązania na rynku.  

Tematy na następne spotkanie:

  • monitoring pracowniczy
  • dane powszechnie dostępne
  • temat ,,zapomnij mnie” będzie przybliżony przez jednego z uczestników spotkania.

Podsumowanie

Jesteśmy za kolejnym, trzecim spotkaniem, propozycja jest aby to było po konferencji na Politechnice Warszawskiej dot. nowelizacji rozporządzenia dot. technicznych wymagań ochrony DO w systemach informatycznych tj. gdzieś na początku kwietnia br..  Przygotowany zostanie także zarys kompetencji dla „ABI o potwierdzonych kompetencjach i określonej funkcji w organizacji” („profesjonalnego” ABI) i umieszczony w takim miejscu, które pozwala na wspólną pracę nad dokumentem.

ZałącznikWielkość
PDF icon Podsumowanie II spotkania ABI - Warszawa319.7 KB