I spotkanie Administratorów bezpieczeństwa Informacji

W dn. 20 stycznia 2011 roku odbyło się spotkanie ABI w Warszawie.

Planowano dwugodzinne spotkanie, ale okazało się, że poruszana tematyka sprowokowała dyskusję oraz liczne opinię i spotkanie przedłużyło się prawie do 20:00. W spotkaniu wzięło udział 20 osób, byli to głównie ABI-owie, osoby zajmujące się tematyką ochrony danych osobowych. Do spotkania dołączył Generalny Inspektor Ochrony Danych Osobowych, Pan Wojciech Rafał Wiewiórowski.

Spotkanie miało charakter nieformalny, a jego celem było stworzenie „forum” wymiany opinii, To pozwoli nam (wszystkim) lepiej rozumieć problematykę ochrony danych osobowych, dzielić się doświadczeniami i wiedzą (może utworzyć coś na kształt bazy wiedzy?), szukać (wspólnie) rozwiązań problemów a także rozwijać się poprzez doświadczenia innych („edukacja poprzez udział”). Główne zasady tego spotkania – otwartość i dyskusja. W żadnym wypadku nie miała to być konferencja, a raczej forum do wymiany opinii. I tak mniej więcej spotkanie wyszło.

Tematy jakie poruszyliśmy na spotkaniu

* czas przetwarzania danych (głównie usprawiedliwiony cel administratora danych), a wygaśnięcie umowy, przetwarzanie danych gdy jest umowa na pewien czas, niewygasające umowy, jednorazowe zakupy, marketing własnych usług - gdy umowa wygasła. Wnioski z dyskusji są takie, że dane powinno się przetwarzać tylko na czas realizacji umowy, później ich nie należy przetwarzać. Wszystko zależy jednak od celu przetwarzania danych. Np. zakup w sklepie, to cel przetwarzania danych kończy się z chwilą odejścia od lady :) - zakup dokonany. Problematyka ta była poruszona zwłaszcza w kontekście celu marketingowego, przy którym wyróżniliśmy możliwość dalszego przetwarzania adekwatnych do celu danych osobowych na podstawie osobnej zgody marketingowej.

* dane zebrane nie tylko na etapie zawierania umowy, ale dane zebrane także w trakcie jej trwania - np. behawioralne, ta kwestia nie do końca została ustalona, co z takimi danymi, jak się klient zachowywał, jaką miał historię zakupów, kontaktów z firmą, etc - czy np. zgłoszenie zbioru należałby uzupełnić o takie dane? Jak postępować żeby nie została w takim przypadku naruszona zasada adekwatności zgodnie z którą ADO powinien przetwarzać tylko takiego rodzaju dane i tylko o takiej treści które są niezbędne ze względu na cel zbierania danych ?

* przetwarzanie danych osobowych a dofinansowania unijne (np. do EU przekazuje się dane uczestników szkolenia) - czasami konieczne jest przekazywanie takich danych, gdyż jest to jednym z warunków do uzyskania dofinansowania. GIODO zwrócił uwagę w tym miejscu na wątpliwie uzasadniony cel takiego przetwarzania danych osobowych.

* norma BS 10012:2009 "Data protection - Specification for a personal information management system" w sprawie DO - jako ciekawa propozycja w GB

* agencje reklamowe, czy mogą być ADO danych zbieranych w konkursie organizowanym w ramach promocji klienta? Ustaliliśmy, że mogą przy określonej sytuacji, , mimo orzecznictwa w niektórych przypadkach, że nie. Głównie zależy to od sposobu konstruowania umowy, w przypadku gdy zleceniodawca nie będzie wnikał w szczegóły, chce mieć reklamę, konkurs z nagrodami, ale jak to będzie realizowane - pozostawia do decyzji agencji reklamowej, wówczas agencja staje się ADO. Przy rozważaniu statusu ADO były także przywoływane wyroki NSA oznaczone I OSK 1377/08, I OSK 1378/08, I OSK 1379/08.

* podmioty przetwarzające dane wielu spółek ("multi-procesorzy") - czy i kiedy mogą stawać się ADO? Np. spółdzielnie mieszkaniowe a zlecanie prac zarządcom. Można przyjąć, że zarządca zbierając dane od wielu spółdzielni i łącząc je w swojej bazie w sposób przez siebie ustalony, tworzy tym samym nowy zbiór danych. Powstaje zagadnienie, czy nie jest tak, że w gruncie rzeczy zarządca zaczyna decydować, co robić z takimi danymi, a przez to, że może decydować o celach ich przetwarzania, staje się ADO. Temat wciąż otwarty. W przypadku pośredników ubezpieczeniowych w sprawie ,,multi-agentów” orzekł Wojewódzki Sąd Administracyjny wyrokiem z dnia 32.06.2004r. II SA/WA 329/04. Odnosząc się do danych ,,potencjalnych klientów” Sąd uznał, że powołany agent uzyskuje status ADO, gdyż decyduje o celach i środkach przetwarzania danych.

* powierzenie - zapewnienie sobie możliwości kontrolowania procesora. Zawierając umowę powierzenia należy zapewnić sobie w jej postanowieniach, że będzie można kontrolować "procesora", a więc podmiot, któremu powierzono przetwarzanie DO, w celu weryfikacji czy spełnia warunki wynikające z umowy oraz przepisów prawa. Takie umocowanie uprawnienia do kontroli należy traktować jako dołożenie należytej staranności przy powierzaniu przetwarzania danych.

* pojęcie polskie "zbiór danych osobowych" a angielskie "personal data filing system" - problematyka słownictwa, zbiór często kojarzy się z bazami danych, mimo tylu lat obowiązywania uodo są niedorozumienia. Wszyscy się zgodzili, że tłumaczenie (pojęcie) ustawowe jest niefortunne i istnieje potrzeba nowelizacji w tym zakresie.

* zagadnienie rejestrowania zbiorów danych osobowych - nie każdy uważa, że rejestr powinien funkcjonować w formie obecnej. Na pewno przyczynił się do zbudowania świadomości ochrony danych osobowych. Do dalszego rozważania jest pogląd, w myśl którego tylko dane sensytywne powinny być zgłaszane w nowej formule do GIODO, dane zaś zwykłe nie podlegałyby notyfikacji lecz zbierane byłyby przez ABI (informacja o zbiorach danych osobowych mogłaby być u ABI-ego). Szczegóły takiego rozwiązania będą z pewnością szeroko dyskutowane przez środowisko zainteresowane zmianami w UODO.

* wykaz "profesjonalnych ABI'ch" w kontekście "ulg" dla ADO - jeżeli byłby ABI, który jest w rejestrze ABIch (w GIODO), to ADO mógłby być zwolniony z pewnych obowiązków (np. rejestracji/notyfikacji zbiorów zawierających dane zwykłe) Do przedyskutowania w przyszłości, jak miałoby to ulżyć ADO, jeśli ABI miałby potwierdzenie swojej profesjonalności w jakiejś formie. Oczywiście ABI'm może być każdy, ale mogą być tacy, którzy mieli by swoje umiejętności ABI-ego potwierdzone (może certyfikatem), a wtedy taki ABI byłby w rejestrze w GIODO, co dawałoby gwarancję(?), że wykonuje swoje obowiązki profesjonalnie. Sprawą niebagatelną jest ewentualne określenie wymagań do egzaminów na „certyfikat” (potwierdzenie profesjonalności ABIego), tj. ile wiedzy prawniczej a ile informatycznej miałoby gwarantować jego uzyskanie. Może po ½ pytań na każdy panel wiedzy byłoby najwłaściwszą proporcją?

* niemieckie zalecenia „co-musi-(u)mieć” ABI - w kontekście "profesjonalności" ABI godne zapoznania. Ma być udostępniane na/po dniach otwartych GIODO

* BCR - wzajemne uznawanie wiążących reguł korporacyjnych, ciekawe zagadnienie, głównie dla firm o charakterze międzynarodowym, "bogato" wymieniających swoje dane z różnymi państwami, w tym co w tym miejscu istotne z państwami "trzecimi". * róźnica w pojęciach kontrola i nadzór (w nadzorze mieści się także kontrola) - kontrola tylko porównuje, a nadzór porównuje i podejmuje działania zmierzające do usunięcia różnic :) Innymi słowy ABI który na mocy UODO nadzoruje przestrzeganie zasada ochrony tym samym ma również obowiązek przeprowadzania kontroli w tym zakresie. W ramach nadzoru mieści się też pewna moc sprawcza – bo musi móc podjąć działania.

* preludium tematu wykorzystania hashy do anonimizowania danych osobowych i łączenia tak zanonimizowanych danych w celu wykonania agregatów nie wywołało ocen negatywnych i warte jest bliższego poznania.

Podsumowanie

Jesteśmy wszyscy za następnym spotkaniem, propozycja jest za ok. miesiąc. Czy w salce konferencyjnej czy w pubie, trudno ocenić, raczej głosowano za dotychczasową formułą spotkań, były także głosy, że od czasu do czasu warto spotkać się przy piwie, żeby nie zawsze były takie formalne warunki. Materiały ze spotkania będą udostępnione dla uczestników.

-- Abiowie organizatorzy

ZałącznikWielkość
PDF icon fabi_1.pdf290.43 KB