Z oczywistych jednak względów obecnie wokół RODO nie jest już tak głośno jak w ubiegłym roku. Można odnieść wrażenie, że przedsiębiorcy uznali, iż zrobili już wszystko, co było konieczne. W rzeczywistości sprawa nie jest zamknięta. Liczba skarg do UODO pokazuje, że nie wszystkim udało się – przy pierwszym podejściu – sprostać wyzwaniom wynikającym z rozporządzenia i część procedur oraz systemów będzie zapewne wymagała poprawy.

Do stycznia 2019 r. nadeszło ponad 3 tys. zgłoszeń dotyczących nieprawidłowego przetwarzania danych osobowych. Urząd rozpoczął szereg kontroli w celu wyjaśnienia zgłaszanych problemów. Zdaniem ekspertów z ODO 24 do najczęściej popełnianych błędów należą: niewłaściwa analiza ryzyka, nieumiejętność dostosowania do niego rozwiązań informatycznych oraz brak weryfikacji partnerów zewnętrznych.

Gdzie ten zarobek?

Czy na wdrożeniach związanych z dostosowaniem się do wymogów RODO można więc będzie jeszcze zarobić? Teoretycznie tak, gdyż ubiegłoroczne działania powinny stanowić jedynie pierwszą fazę stałego procesu zapewniania zgodności z RODO. W konsekwencji powinno to rodzić zapotrzebowanie na utrzymanie bądź rozwój już istniejących rozwiązań lub sprzyjać nowym wdrożeniom.

Skąd więc ta cisza? A może to cisza przed burzą? W środowiskach prawniczych i informatycznych dosyć powszechne jest przekonanie o wyczekiwaniu przez wszystkich na pierwsze wysokie kary nałożone przez prezesa Urzędu Ochrony Danych Osobowych. Jeśli będą dotkliwe, mogą dać impuls do podjęcia dalszych działań dostosowawczych. Takie kary posypały się już w wielu krajach Unii Europejskiej. U nas też już zostały zapowiedziane…

Administratorzy danych osobowych czekają też zapewne na ogłoszenie wyników pierwszych kontroli. Mogą one zawierać ważne wskazówki odnośnie do tego, co należy poprawić, na co trzeba zwrócić uwagę, jakie rozwiązania zostały uznane za pożądane, a jakie się nie sprawdziły. Przy czym kontrole nie muszą się od razu kończyć nałożeniem kar. Początkowo lepszym rozwiązaniem wydaje się nakaz doprowadzenia do stanu zgodnego z wymogami rozporządzenia.

Przed podjęciem kolejnych działań może powstrzymywać przedsiębiorców oczekiwanie na zatwierdzenie przez prezesa UODO branżowych kodeksów postępowania. Od listopada ubiegłego roku na akceptację czeka na przykład kodeks dla sektora ochrony zdrowia. Na ukończeniu są prace nad ustawą o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679, dostosowującą przepisy krajowe do wymogów RODO. Wprowadzi ona modyfikacje dotyczące różnych przepisów sektorowych, na przykład prawa pracy czy prawa bankowego (w chwili oddawania artykułu do druku ustawa czekała na zatwierdzenie przez Senat i podpis prezydenta RP).

Zrobić jak najwięcej

Z pewnością wiele firm wdrożyło rozwiązania, które umożliwiają im zapewnienie odpowiedniego poziomu bezpieczeństwa danych osobowych przez dłuższy czas. Z dalszymi decyzjami będą czekać do momentu wyjaśnienia się, jak zastosowane narzędzia i systemy będą się sprawdzać w praktyce, jak zadziała to, co zostało zaimplementowane w pierwszej fazie wprowadzania w życie nowych przepisów.

– Wielu naszych klientów robiło możliwie jak najwięcej, żeby móc wykazać, że w sposób wszechstronny i wyczerpujący dostosowali się do wymogów RODO – zapewnia Szymon Dudek, dyrektor Działu Oprogramowania i pełnomocnik zarządu w Infonet Projekt.

Stąd zapewne w dużej mierze zainteresowanie dalszymi działaniami w tym obszarze jest obecnie mniejsze niż przed majem 2018 r. Przy czym wiele firm zdecydowało się wręcz na nadmiarowe rozwiązania. Takie podejście zdaniem Szymona Dudka wynikało z chłodnej kalkulacji. Szczególnie w przypadku przedsiębiorstw obsługujących tysiące klientów indywidualnych po analizie ryzyka dochodzono do wniosku, że należy dołożyć wszelkich starań, aby jak najlepiej zabezpieczyć dane i tym samym uchronić się przed roszczeniami ze strony konsumentów. Co nie znaczy, że w przyszłości nie będą potrzebne aktualizacje czy dokładanie kolejnych, szczegółowych rozwiązań. Najważniejsze obszary już jednak zostały w takich przypadkach zagospodarowane.

Jednym z najważniejszych zadań w ubiegłorocznej fazie dostosowywania się do wymogów RODO było porządkowanie przez firmy procesów dostępu do danych osobowych oraz ich automatyzowanie. Zaobserwować można było również zwiększone zapotrzebowanie na szeroko rozumiane systemy bezpieczeństwa chroniące przed wyciekiem danych.

Jak mówi Szymon Dudek, podejmowane w związku z RODO działania stawały się czasem również impulsem do kolejnych, nieplanowanych wcześniej prac i wdrożeń. Na przykład po zainstalowaniu oprogramowania okazywało się, że dobrze by było jeszcze dołożyć bezpieczny storage.

Standardowa aktualizacja

W innej sytuacji były firmy korzystające z narzędzi informatycznych w modelu usługowym, na przykład z programów finansowo-księgowych. O dostosowanie ich do wymogów RODO zadbał wtedy dostawca. Klient nie musiał podejmować w tej materii żadnych kroków. Jego zadaniem było ewentualnie pobranie aktualizacji. Taka sytuacja dotyczyła zazwyczaj firm z sektora MŚP.

– Standardowo dokonujemy aktualizacji oprogramowania, gdy pojawią się nowe przepisy. RODO nie było w tym względzie żadnym wyjątkiem – mówi Adrian Byrdziak, specjalista ds. serwisu w Nawratroniku. Zwrócił przy tym uwagę na fakt, że dużo działań związanych z zabezpieczeniem danych zostało podjętych wcześniej.

Ponieważ w programach finansowo-księgowych przetwarzanych jest wiele newralgicznych danych, kwestie bezpieczeństwa muszą być w nich uwzględniane od samego początku. Dotychczasowe działania producenta oprogramowania okazywały się więc zazwyczaj wystarczające również w kontekście RODO. Jak zauważa Adrian Byrdziak, w przypadku oferowanego przez jego firmę rozwiązania potrzebne było wprowadzenie jedynie niewielkich dodatków, na przykład zabezpieczenia listy obecności, która wcześniej nie była objęta taką ochroną.

Oczywiście zabezpieczenie dostępu do danych na komputerach w przedsiębiorstwie korzystającym z oprogramowania leży po stronie klienta. To jednak w dużej mierze działania ze sfery organizacyjnej, a nie technologicznej.

Dobry czas dla integratorów

Większość przedsiębiorców, którzy przetwarzają dane osobowe, zdaje sobie sprawę, że ich wydatki związane z przestrzeganiem przepisów RODO nie skończyły się z datą 25 maja 2018 r. Wiedzą, że w bliższej czy dalszej perspektywie będą musieli ponieść dodatkowe koszty na utrzymanie oraz dostosowanie już wdrożonych rozwiązań do aktualnych wymagań i ryzyka.

Z badania przeprowadzonego przez Deloitte wynika, iż tylko 15 proc. firm z Unii Europejskiej uważa, że ich dotychczasowe wydatki związane z RODO są wystarczające. Zdecydowana większość jest zdania, że potrzebne będą kolejne nakłady na utrzymanie wprowadzonych rozwiązań. Prawie wszyscy (92 proc.) uważają, że są w stanie na dłużej sprostać wymogom RODO, ale muszą się tym zająć już teraz.

W opinii Roberta Kozłowskiego, COO w Roob-Soft, wprowadzone przez RODO zmiany w sposobie podejścia do bezpieczeństwa danych zmuszają do weryfikacji metod działania również integratorów.

– Nie wystarczy już, by firma miała dobry produkt i potrafiła wykazać jego użyteczność dla klienta. Będzie musiała także zapewnić zgodność przetwarzania danych z wymogami RODO – podkreśla Robert Kozłowski.

Otwarty charakter unijnej regulacji ma sprzyjać poszukiwaniu przez klientów wyspecjalizowanych, znających i dobrze rozumiejących obowiązujące zasady ochrony danych osobowych partnerów po stronie IT. Świadczyć o tym może chociażby przebieg procesu wdrażania wymogów RODO w ubiegłym roku. W związku z chaosem interpretacyjnym wiele firm zaczęło poszukiwać zintegrowanych, specjalistycznych rozwiązań. To dobra wiadomość dla integratorów, którzy chcieliby się stać ekspertami w tej dziedzinie. Ci, którzy będą potrafili skorzystać z szansy, mogą liczyć na sukces. Zakres niezbędnych działań – od analizy posiadanych zasobów przez organizację procesów po wdrożenie bądź modernizację programu informatycznego – przerasta możliwości niejednej firmy czy instytucji.

Artykuł Cisza przed burzą? pochodzi z serwisu CRN.

Oczywiście byłoby prościej i łatwiej, gdyby sektor MŚP został ustawowo potraktowany inaczej niż duże firmy. Na początku prac nad RODO w UE były nawet plany zastosowania zwolnień od niektórych wymogów dla przedsiębiorstw zatrudniających do 250 pracowników. Ostatecznie jednak unijny ustawodawca z nich zrezygnował.

– Co prawda ostało się jedno wyłączenie, ale jest sformułowane w ten sposób, że w zasadzie nie ma firmy, która mogłaby z niego skorzystać – mówi dr Paweł Litwiński, adwokat, wspólnik w kancelarii radców prawnych i adwokatów Barta Litwiński.

Chodzi o art. 30, który nakłada obowiązek prowadzenia tzw. rejestru czynności przetwarzania danych. Tego obowiązku nie mają firmy zatrudniające mniej niż 250 osób. Wystarczy jednak, że choćby jeden z pracowników będzie musiał wykonać badania wstępne albo przyniesie zwolnienie lekarskie i już jego pracodawca nie będzie mógł z tego wyłączenia skorzystać. 

Nie udało się też, mimo propozycji ówczesnego Ministerstwa Rozwoju, zapisać zwolnień dla MŚP w polskiej ustawie o ochronie danych osobowych regulującej stosowanie RODO w Polsce. Żadne wyłączenie brane pod uwagę podczas prac nad projektem ustawy nie weszło do uchwalonej 10 maja 2018 i obowiązującej obecnie wersji. Wprowadzenie ulg dla sektora MŚP nie udało się zresztą w żadnym państwie Unii Europejskiej, chociaż wiele z nich takie próby podejmowało.

Zasady znane nie od dzisiaj

Nie wolno mieć nonszalanckiego podejścia do danych, trzeba dbać o ich ochronę – to podstawowa zasada, która obowiązywała jeszcze przed RODO. W tym zakresie nic się nie zmieniło. Integratorzy i resellerzy mogą pomóc klientom zapanować nad przechowywaniem i przetwarzaniem danych chociażby przez upowszechnianie podstawowych zasad polityki bezpieczeństwa.

Aby nie doprowadzać do absurdów, które wynikają z braku wiedzy albo ze strachu przed karami, warto uświadamiać przedsiębiorcom, że nie potrzebują od swoich klientów zgody na przetwarzanie danych, gdy wykonują dla nich usługę lub coś im sprzedają. Dane nabywców są do tego potrzebne. Nie trzeba zatem mieć zgody klienta na przetwarzanie danych, by zameldować go w hotelu lub sprzedać mu polisę ubezpieczeniową. Co innego, gdyby firma chciała wysłać do klienta ofertę kolejnego noclegu albo namówić go w kolejnym roku do przedłużenia umowy OC lub AC – wtedy zgoda na przetwarzanie danych może być potrzebna.

Rozwiązania skrojone na miarę

Co więc może zrobić właściciel zakładu fryzjerskiego, warsztatu samochodowego, czy agencji ubezpieczeniowej, aby zapewnić sobie zgodność z wymogami RODO, nie ponosząc przy tym jednocześnie dużych, niepotrzebnych kosztów?

– Unijne rozporządzenie o ochronie danych osobowych daje duże pole manewru. Wymaga to jednak dokładnego przeczytania i zrozumienia jego przepisów. Nie jest to oczywiście proste, gdyż zastosowany przez autorów język jest trudny i niejednoznaczny. To bariera, która odstrasza wielu przedsiębiorców. Firmy mają z tym problem – ocenia Paweł Litwiński.

Fachowa pomoc ze strony znającego przepisy integratora czy resellera w przeprowadzeniu analizy i znalezieniu właściwego rozwiązania byłaby w tej sytuacji nieoceniona. Pomogłoby to klientom odpowiednio podejść do ochrony danych osobowych, w zależności od zagrożeń, na które są narażeni, oraz wagi przetwarzanych informacji. Na przykład przedsiębiorstwo świadczące usługę zdalnego monitoringu pojazdów (dysponujące wiedzą o trasach aut i danymi ich właścicieli) jest bardziej narażone na kradzież informacji niż firma zajmująca się wymianą tłumików lub zakład krawiecki. I każdemu z tych podmiotów gospodarczych integrator najpewniej zaproponuje inne zabezpieczenia. Firmy mogą korzystać z gotowych rozwiązań oferowanych przez zewnętrznych dostawców, na przykład wyspecjalizowanego w obsłudze danego systemu usługodawcy lub usług w chmurze.

Najgorsze jest zaniechanie

Jak można zabezpieczyć się na wypadek kontroli z Urzędu Ochrony Danych Osobowych? W tym zakresie RODO również nie daje żadnych konkretnych wskazówek ani nie stawia wyraźnie określonych wymagań. To znowu jednak pozwala działać elastycznie, dostosować się do sytuacji konkretnej firmy i specyfiki jej działania. 

– W przypadku RODO nie ma żadnych sformalizowanych wymogów dowodowych. Zatem firma ma prawo wykazać zgodność z przepisami w dowolny sposób – wyjaśnia mecenas Litwiński. – To może być zarówno umowa z dostawcą usług przetwarzania danych, jak i uzasadnienie wyboru przyjętego rozwiązania przedstawione przez przedsiębiorcę. Przykładowo, wyjaśnieniem braku dodatkowych zabezpieczeń biura może być fakt wynajmowania go w budynku z całodobową ochroną i monitoringiem.

Najgorszym podejściem do RODO jest nierobienie niczego. Każda firma powinna, na miarę własnych potrzeb i możliwości, podjąć trud zabezpieczenia danych, którymi dysponuje. Dlatego resellerzy i integratorzy, którzy są blisko swoich klientów z sektora MŚP i znają specyfikę ich działania, powinni im pomóc. Dobrym punktem wyjścia jest spisanie, czym klient dysponuje i jak można te zasoby zabezpieczyć (np. kiedy ma dane na dysku, potrzebuje antywirusa). Taki spis stanowi również dowód w postępowaniu przed UODO, gdyż nie każda firma potrzebuje od razu zaawansowanego programu informatycznego, aby sprostać wymogom RODO. 

– Trzeba do zagadnienia podchodzić spokojnie, żeby nie straszyć przedsiębiorców, tylko wyjaśniać i edukować – podkreśla Paweł Litwiński. 

Ważne jest, aby w każdym przypadku dokonać rzetelnej oceny sytuacji i wybrać rozwiązania adekwatne do ryzyka, które prowadzony biznes stwarza. To dla przedsiębiorców z branży IT również szansa na zaoferowanie MŚP rozwiązań szytych na miarę. Zrozumienie uwarunkowań poszczególnych rodzajów biznesów i przygotowanie dopasowanej do konkretnego przypadku oferty stanowi klucz do sukcesu rynkowego.

Artykuł Przedsiębiorcy a RODO: jest pole do manewru pochodzi z serwisu CRN.

– Chcielibyśmy wprowadzić regulację, która w sposób jednoznaczny będzie przewidywać karalność stosowania wobec przedsiębiorców szantażu za RODO – tłumaczy w rozmowie z "DGP" minister cyfryzacji Marek Zagórski. Również Ministerstwo Sprawiedliwości widzi potrzebę zastosowania odpowiedniej regulacji. 

Artykuł RODO i szantażyści pochodzi z serwisu CRN.

Warto zwrócić uwagę na, zaproponowane przez Ministerstwo Cyfryzacji, nowe zasady udzielania certyfikacji. W odróżnieniu od pierwotnego projektu ustawy, do certyfikowania będzie uprawniony nie tylko Prezes Urzędu Ochrony Danych Osobowych lecz także zainteresowane podmioty prywatne. Warunkiem świadczenia przez nie usług certyfikacyjnych będzie uzyskanie akredytacji Polskiego Centrum Akredytacyjnego.

„Kryteria certyfikacji powinny mieć charakter branżowy, powinny być zróżnicowane dla różnych kategorii przedsiębiorców” – przekonywał podczas konferencji dr Maciej Kawecki, dyrektor Departamentu Zarządzania Danymi w Ministerstwie Cyfryzacji, odpowiedzialny za wdrożenie RODO w naszym kraju.

Uczestnicy spotkania dyskutowali, czy certyfikacja powinna mieć charakter podmiotowy czy przedmiotowy, tzn. czy certyfikacji powinien być poddawany podmiot dostarczający rozwiązanie lub produkt bądź świadczący usługę, czy bezpośrednio sam produkt lub usługa, czy też może cały proces zapewnienia bezpieczeństwa danym osobowym. Decyzje w tej sprawie, jak poinformował dr Kawecki, jeszcze nie zapadły. Wiadomo już jednak, że certyfikaty będą przyznawana na 3 lata.

Branżowy charakter będą też miały kodeksy dobrych praktyk. Ich opracowaniem będą zajmowały się poszczególne środowiska lub organizacje branżowe. Stosowanie się do nich nie będzie miało charakteru obligatoryjnego. Będą dotyczyły sektora biznesowego. Według Komisji Europejskiej nie ma potrzeby tworzenia ich na gruncie administracji publicznej, dla której wyznacznikiem jest działanie na gruncie i w granicach prawa.

W wyjątkowych przypadkach zastosowanie do sektora publicznego mogą mieć rekomendacje dotyczące technicznych i organizacyjnych sposobów zabezpieczania danych osobowych. W Polsce ich opracowywaniem będzie się zajmował Prezes Urzędu Ochrony Danych Osobowych. Stosowanie się do nich, jak podkreślano podczas konferencji, również nie będzie wiążące. Będą stanowiły jedynie swoisty punkt odniesienia czy rodzaj wytycznych dla decyzji w zakresie wyboru rozwiązań stosowanych przez poszczególne podmioty przetwarzające dane osobowe.

Artykuł RODO: będą nowe przepisy pochodzi z serwisu CRN.

Takie właśnie urządzenia, choć małe, wręcz niepozorne, ale charakteryzujące się niezwykłymi właściwościami proponuje firma Kingston. Opracowane przez specjalistów amerykańskiej marki pendrive’y gwarantują bezpieczeństwo podczas przenoszenia najważniejszych i poufnych danych na nośnikach USB. Informacje, foldery czy pliki są na nich zaszyfrowane, co uznawane jest za optymalne zabezpieczenie.

W szczególności warto zwrócić uwagę na trzy modele pamięci USB. Pierwszym z nich jest DataTraveler 2000. Dostęp do pamięci urządzenia jest niemożliwy bez wprowadzenia hasła (kodu PIN) za pomocą wbudowanej klawiatury. Po 10 nieudanych próbach wprowadzenia hasła klucz szyfrowania zostaje wymazany. Pamięć DT 2000 oferuje sprzętowe szyfrowanie wszystkich zapisanych na niej danych w trybie XTS zgodnie z 256-bitowym standardem AES. Posiada też certyfikat FIPS 197, co oznacza, że ma wytrzymałą konstrukcję, odporną na działanie czynników zewnętrznych, jak woda czy kurz.

Pamięć flash USB Kingston DataTraveler Vault Privacy 3.0 za przystępną cenę oferuje bezpieczeństwo klasy korporacyjnej z 256-bitowym szyfrowaniem sprzętowym AES w trybie XTS. Wszystkie zapisane dane są chronione za pomocą złożonego hasła, które uniemożliwia dostęp osobom niepowołanym. Model jest szczególnie polecany tym, którzy chcą chronić poufne dane firmy. Istnieje możliwość centralnego zarządzania tym modelem przez administratorów działu IT przedsiębiorstwa i przydzielenia numerów seryjnych pamięciom używanym przez pracowników, by łatwiej je kontrolować i nimi zarządzać. Dodatkowym atutem jest możliwość wdrożenia ochrony antywirusowej firmy ESET, zabezpieczającej zawartość pamięci przed wirusami, oprogramowaniem szpiegującym, trojanami, robakami, rootkitami, oprogramowaniem reklamowym i innymi zagrożeniami.

Najnowszym polecanym produktem Kingstona jest pamięć flash USB IronKey TM D300. Marka IronKey słynie z zaawansowanych zabezpieczeń danych. Pamięć posiada certyfikat FIPS 140–2 Level 3 i wykorzystuje 256-bitowe szyfrowanie sprzętowe AES w trybie XTS. Ważne jest także to, że procesy szyfrowania i odszyfrowania danych nie pozostawiają żadnych śladów w systemie, do którego podłączono urządzenie. Obudowę pamięci wykonano z cynku i otoczono żywicą epoksydową, dzięki czemu dostęp do niej osób niepowołanych jest praktycznie niemożliwy. Ponadto pamięć jest wodoszczelna i zapewnia błyskawiczne przesyłanie danych.

Mając na uwadze obecne zagrożenia, warto pomyśleć o zastosowaniu rozwiązań, które zminimalizują ryzyko utraty, zagubienia czy kradzieży danych. Uchronią nas one nie tylko przed ogromnymi stratami i karami finansowymi, ale także narażeniem na szwank reputacji firmy. W życiu prywatnym zaś staną się barierą nie do przejścia dla złodziei, którzy chętnie wykorzystaliby naszą tożsamość, np. celem zaciągnięcia pożyczki w banku czy wypożyczenia sprzętu, którego nigdy nie zwrócą, a za który my będziemy musieli zapłacić.

Artykuł Pamięć szyfrowana a ochrona danych osobowych pochodzi z serwisu CRN.

– Ministerstwo Cyfryzacji odpowiedzialne za wdrożenie rozporządzenia o ochronie danych osobowych w polskim systemie prawnym przedstawiło roboczy, tzn. niekompletny projekt polskiej ustawy o ochronie danych osobowych – podkreśla w rozmowie z  Newserią Biznes Maciej Kaczmarski, prezes ODO24, firmy specjalizującej się w ochronie danych osobowych i bezpieczeństwie informacji. –  Ma on dużo braków.

Projekt zawiera też kilka kontrowersyjnych przepisów, uważa szef ODO24. Wątpliwości może budzić zastąpienie Generalnego Inspektora Ochrony Danych Osobowych przez prezesa Urzędu Ochrony Danych Osobowych (UODO). Wiąże się to z zapisem w unijnej dyrektywie, że inspektor ochrony danych ma być osobą fizyczną wyznaczaną przez administratora lub podmiot przetwarzający i zobowiązaną do szeroko rozumianego monitorowania przestrzegania przepisów RODO.

– Niestety, nie jest wskazane, kto tego prezesa będzie wybierał. To niepokojący element, pojawia się pytanie, czy urząd będzie niezależny – zaznacza prezes ODO24. – Urząd zawsze w pewnym sensie był upolityczniony, do tej pory GIODO wybierał parlament. 

Nowością w przepisach unijnych jest możliwość uzyskania zgody na przetwarzanie danych osobowych bezpośrednio od dziecka, które ukończyło 16 rok życia. Polska chce skorzystać jednak z uprawnienia, jakie przysługiwało ustawodawcy krajowemu, i obniżyć tę barierę do 13 lat. Zgodnie z Kodeksem cywilnym osoba, która ukończyła 13 lat, ma ograniczoną zdolność do czynności prawnych, może więc wyrazić zgodę na przetwarzanie danych, zwłaszcza że zawsze będzie można ją cofnąć.

Parlament Europejski do decyzji państw członkowskich zostawił też kwestię kar administracyjnych nakładanych na instytucje publiczne. Zgodnie z rozporządzeniem może sięgnąć 20 mln euro lub 4 proc. ubiegłorocznego globalnego przychodu.

– W projekcie polskiej ustawy o ochronie danych osobowych pojawiła się informacja, że instytucje publiczne będą mogły zostać ukarane karą pieniężną do wysokości 100 tys. zł, znacznie niższą niż przedsiębiorstwa państwowe – mówi Maciej Kaczmarski. – Zgodnie z przytaczaną argumentacją niższa kara ma służyć temu, żeby urząd przypadkiem nie został doprowadzony do sytuacji, kiedy nie może wypełniać swoich statutowych obowiązków, co byłoby ze szkodą dla społeczeństwa.

Jego zdaniem projekt ustawy jest fragmentaryczny. Część istotnych kwestii pomija, np. kwestii nowelizacji innych ustaw, a jak przypomina ekspert, rozporządzenie wymusza zmianę nawet 200 przepisów w ustawach.

– Rozporządzenie wprowadza naprawdę dużo zmian – zaznacza prezes ODO24. – Skoro zmienia od kilkudziesięciu do setek polskich ustaw, to uzgodnienie takich szczegółowych kwestii, wypracowanie wspólnego stanowiska, później zapisania go w takiej formie, żeby prawo było jednoznaczne, na pewno nie będzie proste.

Jak podkreśla, istotne jednak, że taki projekt w ogóle się pojawił.

– Pracodawcy odbierają nową regulację jako groźną dla siebie nie tylko z uwagi na wysokie kary, lecz także z uwagi na pojawiający się obowiązek autodonosu, czyli konieczności poinformowania UODO o wycieku danych osobowych, który u nich wystąpił  – tłumaczy Maciej Kaczmarski. – Jeśli pracodawca poinformuje organ, to będzie miał u siebie kontrolę i wcale go to nie zwolni z odpowiedzialności. Jeśli zaś tego nie zrobi, jest zagrożony karą do 10 mln euro. Jak na polskie warunki są to sumy astronomiczne, więc to ogniskuje bardzo uwagę przedsiębiorców na szczegółowych regulacjach dotyczących rozporządzenia 

Jak informuje resort, projekt ustawy o ochronie danych osobowych może trafić do Sejmu na jesieni tego roku, aby proces legislacyjny zakończył się na początku 2018 roku. Zostanie wówczas kilka miesięcy na przygotowanie się do wejścia w życie nowych przepisów.

Źródło: Newseria

Artykuł Projekt ustawy o ochronie danych osobowych pochodzi z serwisu CRN.

mec. dr Jan Byrski, adwokat w kancelarii prawnej Traple
Konarski Podrecki i Wspólnicy, Andrzej Kaczmarek, dyrektor Departamentu Informatyki w
biurze Generalnego Inspektora Ochrony Danych Osobowych, Krzysztof Majek, dyrektor
handlowy, Alstor, Mateusz Majewski, SAM Engagement Manager, Microsoft i mec.
Bartłomiej Witucki, adwokat, przedstawiciel BSA w Polsce.

Czy
można stworzyć „uniwersalne” prawo?

CRN Z problemem
niedostosowania prawa do szybkich zmian technologicznych mamy do czynienia
praktycznie na całym świecie. Na jakim etapie w tym kontekście znajduje
się Polska?

Jan Byrski
Generalnie nie jest z tym najgorzej, ale – jak zwykle – diabeł
tkwi w szczegółach. W niektórych obszarach prawo ma luki lub
nieścisłości i nawet doświadczonemu prawnikowi czasami trudno
rozstrzygnąć, kto ma rację. Przykładem może być zapis dość lakonicznego
artykułu 14 w ustawie o świadczeniu usług drogą elektroniczną.
Dotyczy odpowiedzialności firm hostingowych za przechowywanie niedozwolonych
prawem informacji będących własnością ich klientów. Taki usługodawca jest
zmuszony do zablokowania dostępu do tych danych „w razie otrzymania
urzędowego zawiadomienia lub uzyskania wiarygodnej wiadomości o bezprawnym
charakterze danych”. Ale konia z rzędem temu, kto rozstrzygnął, czym jest
wiarygodna wiadomość i co lub kto ma ją uwiarygodnić. Przydałaby się usankcjonowana
prawnie, stosowana powszechnie w USA procedura notice and takedown,
precyzyjnie określająca, w jaki sposób postępuje usługodawca po otrzymaniu
informacji, w którym momencie wszczynana jest kontrola itd.

Bartłomiej Witucki W kontekście ustawy
o prawie autorskim i prawach pokrewnych obecnie toczy się dyskusja na
temat pewnych zmian dotyczących przepisów karnych. Zmieniona powinna być przede
wszystkim treść art. 118, który mówi o paserstwie dotyczącym nośników
danych. Jak wiadomo, dzisiaj już rzadko posługujemy się nośnikami, bo często
nawet przedmiotem nielegalnych aukcji w Internecie są same klucze
licencyjne, a nie nośniki.

Andrzej Kaczmarek  Chociaż nowe technologie mają
ogromny wpływ na proces przetwarzania danych i jego ocenę od strony
prawnej, to dyrektywa Parlamentu Europejskiego i Rady dotycząca danych
osobowych przetrwała w niezmienionym stanie od 1995 r., bo dotyczy
zagadnień bardzo ogólnych. Dlatego GIODO stosuje interpretację zarówno
przepisów dyrektywy, jak i ustawy o ochronie danych osobowych,
uwzględniając na bieżąco pojawiające się nowości technologiczne. A, jak
wiadomo, takich nowych obszarów jest wiele: chmura obliczeniowa, Big Data,
geolokalizacja w telefonach komórkowych, inteligentne liczniki. Powstaje
też wiele nowych usług, które musimy ocenić pod kątem zgodności z zasadami
ochrony danych i prywatności. Dlatego przygotowujemy również dokumenty,
w których prezentujemy najlepsze praktyki dotyczące zarządzania danymi
osobowymi, aby firmy mogły działać zgodnie z prawem. Z przedstawicielami
poszczególnych sektorów przygotowujemy też kodeksy dobrych praktyk, zawierające
wytyczne dla ich prawidłowej, zgodnej z przepisami o ochronie danych
osobowych działalności. Regularnie na stronie internetowej GIODO zamieszczamy
opinie dotyczące przetwarzania danych osobowych przy wykorzystywaniu nowych
technologii, opracowywane i przyjmowane przez tzw. Grupę Art. 29,
która zrzesza wszystkich europejskich rzeczników ochrony danych osobowych.

CRN Czy zdarza się, że wspomniane nowatorskie usługi
czasem są niezgodne z prawem?

Andrzej
Kaczmarek Niestety
– w wielu przypadkach – tak. 
Firmy najczęściej źle zabezpieczają zebrane dane lub w ogóle
zbierają ich za dużo, na zapas, bez ściśle określonego celu
i z pominięciem zasady minimalizacji danych, która nakazuje, aby dane
osobowe pozyskiwane były tylko w takim zakresie, jaki jest niezbędny do
realizacji określonego celu.

Krzysztof
Majek Życie zawsze będzie
wyprzedzać regulacje prawne, co do tego nie ma wątpliwości. Tempo postępu
technologicznego ostatnio znacznie wzrosło – ­obserwujemy to zwłaszcza
w obszarze informatyczno-telekomunikacyjnym. Czasami 2–3 lata opóźnienia
w zmianach prawa to jest już za dużo. Ale chodzi tu również o sposób
stosowania prawa. Polskie sądy nie mają na przykład jednolitego stanowiska
w zakresie odpowiedzialności za linkowanie do różnych zasobów
w Internecie. Uważam też, że nieuzasadniony rygoryzm prawny jest
antyrozwojowy. Wierzę, że w Polsce nie będzie takich sytuacji jak jeszcze
niedawno w Niemczech, gdzie dość powszechne stało się wysyłanie zwykłych
pocztowych wezwań do zapłaty odszkodowań za nieudowodnione naruszenie prawa
autorskiego.

Mateusz Majewski Zadaniem regulatorów jest tworzenie prawa jak najbardziej uniwersalnego.
Natomiast na poszczególnych rynkach powinny obowiązywać powszechnie przyjęte
normy czy dokumenty opisujące dobre praktyki, do których w przypadku
wątpliwości dany przedsiębiorca będzie mógł się odnieść. Przykładem może być
ogłoszony niedawno standard ISO 27018, dotyczący przetwarzania danych osobowych
w chmurze obliczeniowej, albo wspomniane już materiały przygotowywane
przez GIODO, np. dokument przedstawiający dziesięć najlepszych praktyk
związanych z przechowywaniem danych osobowych w chmurze. Jeżeli
ustawa nie gwarantuje nam jednoznacznej interpretacji, tego typu dokumenty mogą
być zbawienne.

Jan Byrski Dokładnie tak, prawnicy często
mówią o tzw. miękkim prawie. Są to instrumenty, które nie mają mocy
prawnej określonej w przepisach, ale stanowią bardzo ważny merytorycznie
punkt odniesienia. Mogą to być wytyczne lub rekomendacje takich organów, jak
GIODO, Urząd Komunikacji Elektronicznej czy Urząd Zamówień Publicznych, albo
wspomniane już normy ISO.

Taką argumentacją można się później posługiwać w sądzie,
jeżeli spór dotyczy interpretacji danego przepisu prawa. Wówczas można powołać
się na rekomendacje i dobre praktyki. Dla sędziego będą to bardzo istotne
wskazówki i mogą zostać podkreślone w uzasadnieniu wyroku.

Przeciekająca
chmura

CRN Wielu polskich
resellerów chce podpisywać umowy odsprzedaży usług internetowych świadczonych
przez podmioty z zagranicy, często z USA. Tymczasem obowiązuje tam słynna
ustawa Patriot Act, która daje odpowiednim służbom prawo inwigilacji
i wglądu w dane znajdujące na amerykańskich serwerach. Na ile jest to
coś groźnego z punktu widzenia polskiego prawa? Na co powinni zwracać
szczególną uwagę resellerzy, żeby nie narazić siebie ani swoich klientów na
kłopoty?

Jan Byrski W kontekście
przetwarzania danych osobowych mamy tu problem, ponieważ USA postrzega się jako
tzw. państwo trzecie, czyli nie należące do Europejskiego Obszaru
Gospodarczego. Istnieje jednak porozumienie Safe Harbour, zawarte pomiędzy
Komisją Europejską i rządem USA. Spółki certyfikowane w ramach tego
porozumienia mogą przechowywać i przetwarzać dane osobowe obywateli
z Europy. Ale niestety znaczna większość, szczególnie mniejszych firm, nie
jest sygnatariuszem tego porozumienia. Oczywiście nie dotyczy to tylko USA, ale
też pozostałych dużych państw trzecich – Indii, Chin, Rosji itd.

Andrzej Kaczmarek Warto zwrócić uwagę na to, że to administrator danych ponosi pełną
odpowiedzialność, i to karną, za przetwarzanie danych osobowych niezgodnie
z ustawą o ochronie danych osobowych. Dlatego musi dysponować
precyzyjnymi informacjami: gdzie fizycznie są zlokalizowane serwery, jak są
zabezpieczone, jak kontrolowany jest dostęp do przetwarzanych przy ich użyciu
danych oraz jakie są gwarancje prawne dla przetwarzanych w nich danych
– aby samodzielnie mógł ocenić poziom ryzyka, jak też określić
wiarygodność podmiotu, któremu powierzy te dane. Zresztą ochrona danych
osobowych to tylko jeden z aspektów działalności podmiotów. W grę
bowiem wchodzi też kwestia ochrony tajemnicy przedsiębiorstwa oraz zapewnienie
szczególnej dbałości o dostępność przechowywanych danych w wymaganym
miejscu i czasie.

CRN Finalnie więc efekt jest taki, że firmy VMware,
Microsoft czy Amazon uruchamiają swoje centra danych w Europie, żeby być
w zgodzie z prawem…

Mateusz
Majewski Dokładnie tak, ale nie tylko. Centrum danych zlokalizowane
bliżej użytkownika zapewnia też mniejsze opóźnienia przy zdalnym dostępie do
danych. Ważna jest też możliwość kontaktu z inżynierami centrum
pracującymi w tej samej strefie czasowej. Natomiast jeżeli reseller widzi,
że jakaś firma z USA czy innego państwa spoza Unii Europejskiej ma ciekawy
pomysł na biznes i chciałby reprezentować ją w Europie, to może
zaproponować prowadzenie w jej imieniu małego lokalnego centrum danych.
Zresztą nie musi być fizycznie jego właścicielem – jest mnóstwo firm,
od których można wynająć powierzchnię lub całą infrastrukturę sprzętową.

Jan Byrski Zawsze doradzamy naszym klientom
negocjacje z takimi firmami i praktyka pokazuje, że można je
prowadzić nawet z największymi – wszystko zależy od opłacalności
danego biznesu. No i oczywiście zawsze warto regulamin takiej usługi
poddać konsultacji co do zgodności z lokalnym prawem.

Krzysztof
Majek Zresztą ten problem, czyli bezpieczeństwo przechowywanych
informacji w ramach obcej infrastruktury, pojawia się tylko wtedy, gdy
w chmurze trzymamy najbardziej istotne dokumenty, dane poufne lub
szczególnie chronione tajemnice przedsiębiorstwa. Natomiast jest też wiele
pobocznych usług, jak chociażby oferowany od 20 lat hosting stron
internetowych, co do statusu prawnego którego nikt nie ma dziś wątpliwości.
Mówiąc językiem bardziej obrazowym, to jest trochę tak jak z wynajmowaniem
cudzej nieruchomości. Na gruncie prawa stanowionego strony mają dość
precyzyjnie określone uprawnienia i obowiązki, ale niektóre mogą znacznie
modyfikować i stosować nawet najostrzejsze zastrzeżenia. Oczywiście chmura
nie ma takiego poziomu opisu prawnego jak inne sfery życia, ale na pewno do jej
stosowania można przyjmować zasady z obszarów zbliżonych.

Big
Data to nie tylko samo zło

CRN Informatyka dała nam
możliwość szybkiej analizy danych, korelacji różnego typu informacji
i wyciągania z nich często nieoczywistych wniosków. Jednak, jak już
wspomnieliśmy, narzędzia te nie zawsze są używane w dobrym celu…

Krzysztof Majek Jeżeli wykorzystanie zdobytych w ten sposób informacji nie
przekracza społecznie akceptowanych norm, to nie będziemy mieli do czynienia
z nadużyciem. Te normy też się zmieniają, co jest dość naturalnym
zjawiskiem w kontekście rozwoju społeczeństwa i sposobów prowadzenia
biznesu. Oczywiście potoczny odbiór zjawiska Big Data dziś jest raczej
negatywny, ale myślę, że wkrótce wypracujemy w tym zakresie pewne
standardy.

Andrzej Kaczmarek Wspominaliśmy już o inteligentnych licznikach energii
elektrycznej, które mogą być tu ciekawym przykładem. Teoretycznie mają
umożliwiać zdalny odczyt wartości dokonanego pomiaru, jak też dostosowanie
odpowiednich taryf do indywidualnych potrzeb klienta. Celem jest rejestracja
zużycia prądu w odpowiedniej taryfie, aby później móc naliczyć właściwą
opłatę za energię. Tak określony cel można zrealizować poprzez rejestrowanie
zużycia energii w określonych przedziałach czasu bezpośrednio
w liczniku i sumowanie ich w nim, a następnie raz w
miesiącu przekazywanie operatorowi tej sumy poszczególnych przedziałów
taryfowych w celu wystawienia faktury.

Innym sposobem
realizacji tego samego zadania jest przekazywanie niemal w czasie
rzeczywistym tych odczytów do operatora rozliczającego, który aby móc wystawić
fakturę już we własnym zakresie będzie sumował zużycie energii
w poszczególnych przedziałach czasu ustalonych dla danej taryfy. Tyle że
przy zastosowaniu tego drugiego rozwiązania, poza osiągnięciem określonego
pierwotnie celu, możliwe jest wykorzystanie dużej ilości zebranych danych
również na inne sposoby. Budując odpowiedni model statystyczny oraz korelując
zebrane dane z różnych rodzajów liczników dla danego odbiorcy – także
gazowych czy wodomierzy – można np. z dość dużą precyzją określić,
ile osób jest w domu i czy aktualnie oglądają telewizję, czy
korzystają z komputera lub łazienki itp. To zaś może prowadzić do
naruszenia praw podstawowych człowieka, jakim jest m.in. prawo do prywatności.

Jan Byrski
Próby regulacji w niektórych obszarach już trwają, np. w kwestii
publicznego monitoringu wideo. Ale dzieje się to strasznie wolno – już od
dwóch lat mamy projekt ustawy dotyczącej tego tematu, a nadal nie jest ona
wprowadzona w życie.

Andrzej Kaczmarek Jest jeszcze jeden problem, o którym rzadko się wspomina. Jest to
kwestia korelacji danych osobowych pozyskanych przez administratorów
w legalny sposób z informacjami dostępnymi publicznie o danej
osobie, np. w serwisach społecznościowych czy w ogóle
w Internecie. Niewiele osób zdaje sobie sprawę, że takie działanie – prowadzące
do profilowania – jest niezgodne z prawem i za każdym razem
wymaga zgody osoby, której dane dotyczą. Firmy, które usprawiedliwiają się, że
prowadzą taką działalność wyłącznie w celu budowania modeli
statystycznych, muszą mieć świadomość, że badania takie można prowadzić
wyłącznie na danych zanonimizowanych, i – co ważne – w taki
sposób, aby niemożliwe było przywrócenie usuniętych wcześniej danych osobowych.

Mateusz Majewski Na razie Big Data jest dość
dużym workiem, do którego wrzucane są różne pojęcia. Zjawisko to nie zawsze
musi dotyczyć danych pozyskiwanych z zewnątrz. W wielu
przedsiębiorstwach przemysłowych doceniana jest możliwość przetwarzania dużej
ilości danych z linii produkcyjnej czy różnego typu urządzeń. Tak samo
sprzedawcy mogą w bardziej optymalny sposób zarządzać np. zakupami towaru
lub kreowaniem akcji promocyjnych. Przypadków, w których szybka korelacja
różnych danych może służyć złym celom, jest chyba dość niewiele… Natomiast
bardzo ważna jest świadomość społeczeństwa – komu i na jakich warunkach
udostępniamy dane, czy przeczytaliśmy regulamin usługi lub promocji itd.

Zarządzanie
licencjami nie musi być wyzwaniem

CRN O sprawach
związanych z legalnością oprogramowania mówi się bardzo dużo, wiele jest
też kampanii informacyjnych. Czy można powiedzieć, że dążymy do rozwiązania
problemu piractwa, przynajmniej w firmach?

Bartłomiej Witucki W Polsce skala korzystania z nielegalnego oprogramowania
w firmach nadal jest wysoka. Co prawda, z ostatniego prowadzonego
przez nas badania wynika, że znów odnotowaliśmy postęp i na przestrzeni
ostatnich 10 lat piractwo w Polsce spadło o 8 punktów
procentowych, jednak wynik na poziomie 51 proc. nadal trudno oceniać jako
satysfakcjonujący, zwłaszcza w porównaniu ze średnią europejską, która
wynosi 31 proc. Pozytywnie na ten rynek wpływa fakt, że powstaje coraz
więcej wytycznych odnośnie do zarządzania licencjami,
a w 2012 r. opublikowano też normę ISO/IEC 19770–1 dotyczącą
tego zagadnienia. Natomiast chyba wciąż jesteśmy daleko od całkowitego
wyeliminowania problemu. Gdy prowadzimy postępowanie przeciwko jakiejś firmie,
to bardzo rzadko mamy do czynienia z niejasnościami lub kwestiami
spornymi. Najczęściej jej właściciel doskonale wie, gdzie leży jego wina
w kontekście legalności.

CRN Administratorzy
odpowiedzialni za środowiska wirtualne w swoich firmach skarżą się, że
mają trudności z zapanowaniem nad kwestiami związanymi z licencjami.
Ma to wynikać z możliwości bardzo szybkiego klonowania wirtualnych maszyn
i znajdującego się w nich oprogramowania. Czy rzeczywiście jest to
realny problem?

Mateusz Majewski Nie jest prawdą, że nad tym nie da się zapanować. Taki stan mógł
występować 10 lat temu, gdy wirtualizacja dopiero stawała się popularna. Dziś
na rynku dostępne jest profesjonalne oprogramowanie klasy Software Asset
Management, które ułatwia zapanowanie nad kwestiami związanymi
z oprogramowaniem, także w środowisku wirtualnym. Mamy też partnerów,
którzy specjalizują się w tych obszarach – mogą pomóc we wdrożeniu
takiego oprogramowania lub przeprowadzić usługę SAM, czyli zarządzania oprogramowaniem
i licencjami. Natomiast rzeczywiście podczas tych audytów widać, że dość
często administratorzy nie panują nad posiadanym środowiskiem. Dotyczy to
głównie serwerowych wersji produktów. Nie do końca zwracają uwagę na zapisy
licencji, i po prostu korzystają z oprogramowania bez większego
namysłu.

CRN Może zatem pora
pomyśleć o zmianie sposobu prezentowania zapisów licencyjnych? Nie jest
przecież tajemnicą, że warunków licencji właściwie nikt nie czyta. Dlaczego
podczas procesu instalacji nie można przedstawić najważniejszych informacji
w bardzo czytelny sposób, np. w postaci infografiki?

Jan Byrski To ciekawy pomysł, stosowany już zresztą
w innych branżach. Te najważniejsze informacje określane są mianem
istotnych postanowień umownych – i myślę, że rzeczywiście taka forma
w pewnym stopniu mogłaby poprawić świadomość użytkowników.

Mateusz
Majewski Ale wielu dostawców
usług już teraz w tej formie przedstawia warunki korzystania z nich.
Co oczywiście nie może zastąpić w całości formalnego regulaminu. Natomiast
widzimy, że użytkownicy oczekują prostszego przedstawiania zawiłych kwestii
i być może rzeczywiście wkrótce spotkamy się z uproszczeniem zapisów
licencyjnych.

Nieznajomość
prawa szkodzi!

CRN Skoro w tak wielu obszarach wciąż istnieje
możliwość dość swobodnej interpretacji oraz ryzyko nadinterpretacji prawa, to
czy każdy reseller w Polsce powinien mieć swojego prawnika, dostępnego na
telefon?

Jan
Byrski Połową sukcesu będzie już
to, jeśli przedsiębiorcy będą uważnie czytali umowy, które podpisują, warunki
licencji, na którą się zgadzają itd. Tam są zapisane najważniejsze kwestie
i to taki dokument będzie podstawowym dowodem podczas ewentualnej
rozprawy. Ale oczywiście warto mieć kontakt do profesjonalisty, który pomoże
w poruszaniu się wśród przepisów.

CRN Ale czy to może być
dowolny prawnik, który wyda opinię na podstawie lektury umowy, kodeksu czy
ustawy?

Jan Byrski Nabyte w praktyce
doświadczenie jest tu bardzo ważne. Niekiedy przepisy są tak lakoniczne, że
jeżeli prawnik nigdy nie zajmował się daną dziedziną, to dla niego nawet
związany z nią język prawniczy może być specyficzny. I nie dotyczy to
tylko branży IT, ale także podatkowej, budowlanej i innych. Natomiast
niestety dziś w Polsce nie ma wiarygodnej listy prawników zajmujących się
kwestiami IT. Na przykład w Niemczech funkcjonuje zwyczaj przyznawania
adwokatom do dwóch specjalizacji. W Polsce nad wprowadzeniem takiej zasady
od lat zastanawia się Naczelna Rada Adwokacka oraz radcowie prawni. Dzisiaj
mamy co prawda Krajowy Rejestr Adwokatów, gdzie wymienione są specjalizacje,
ale rzeczywiste doświadczenie w tym obszarze jest w praktyce
nieweryfikowalne.

Mateusz Majewski Firmy resellerskie mogą też kontaktować się bezpośrednio
z dostawcami. Nie wyobrażam sobie, żeby odmówiono im pomocy, bo to jest
jeden z elementów edukacji potencjalnego partnera. Poza tym na wiele pytań
tacy dostawcy mają od dawna gotowe odpowiedzi.

Krzysztof Majek W imieniu dystrybutorów mogę potwierdzić, że w wielu
kwestiach związanych z aspektami prawnymi dotyczącymi danego produktu
można zwracać się do nas, czyli do firm reprezentujących producentów. Mając
w ofercie rozwiązania wielu dostawców z USA, Europy czy Japonii,
działamy w ich imieniu podczas sprzedaży, a także świadczenia usług
serwisowych czy wsparcia marketingowego. Musimy też przenosić zawarte
z nimi umowy na grunt prawa polskiego. Dlatego w tym obszarze kwestie
prawne najczęściej bierzemy na siebie.

Andrzej Kaczmarek GIODO, jako odpowiedzialny za ochronę danych osobowych, oferuje pomoc
w zakresie interpretacji przepisów, której dokonuje w toku bieżącej
pracy urzędu, jak również w formie szkoleń, konferencji naukowych
organizowanych z okazji obchodów Europejskiego Dnia Ochrony Danych
Osobowych, oraz biorąc udział w konferencjach innych podmiotów,
prezentując własne opinie i wskazówki. GIODO udziela również odpowiedzi na
pytania dotyczące stosowania przepisów o ochronie danych osobowych
i wiele z nich zamieszcza na stronie internetowej Urzędu. Natomiast
GIODO nie wydaje żadnych certyfikatów, które poświadczałyby, że dane
oprogramowanie czy system jako produkt spełnia wymagania w zakresie
zgodności z przepisami o ochronie danych osobowych. Przyjęliśmy taką politykę
z uwagi na fakt, że ocena aplikacji czy systemu informatycznego jako
takich – tylko na podstawie funkcjonalności, bez uwzględnienia środowiska,
w którym są wdrożone – to nie wszystko. Tutaj liczy się głównie
sposób jego wdrożenia, w tym sposób wykorzystywania danych, które są przy
jego użyciu przetwarzane.

Bartłomiej Witucki Powszechnie wiadomo, że nieznajomość prawa szkodzi,
a świadomość przynajmniej podstawowych zagadnień znacznie ułatwia
funkcjonowanie w biznesie. Dlatego BSA stawia na edukację w zakresie
ryzyka związanego z wykorzystywaniem nielegalnych aplikacji. Promuje najlepsze
praktyki – przykładem jest pierwszy w Europie certyfikat Verafirm
przyznany Totalizatorowi Sportowemu, który potwierdza zgodność praktyki
Software Asset Management z normą ISO/IEC 19770–1. Informujemy też
o zasadach odpowiedzialności prawnej w wypadku korzystania
z nielicencjonowanego oprogramowania, a także pomagamy firmom
resellerskim w rozpoczęciu świadczenia usług audytu legalności
i profesjonalnego zarządzania licencjami – przykładem takiego
wsparcia jest kurs BSA SAM Advantage.

Artykuł Jak nie utknąć w meandrach informatycznego prawa? pochodzi z serwisu CRN.

Nową dyrektywę popiera natomiast GIODO. – Jest dużo krajów, które mają wiele wątpliwości co do tego, co proponuje Komisja Europejska. Polska należy do państw, które mimo wielu zastrzeżeń dotyczących pojedynczych przepisów generalnie popiera taką konstrukcję – powiedział Agencji Informacyjnej Newseria Wojciech Wiewiórowski, Generalny Inspektor Ochrony Danych Osobowych. Uważa on, że zmiany są „bardzo rozsądne, również jeśli chodzi o technologie informacyjne”.

GIODO podoba się m.in. pomysł ujednolicenia przepisów w całej UE oraz wprowadzenia jednakowych zasad dotyczących kar za ich łamanie. Obecnie poszczególne kraje regulują tę kwestię odrębnie (w Polsce GIODO może nakładać kary na drodze postępowania administracyjnego, z kolei w Hiszpanii czy Włoszech inspektorzy mają większe możliwości – kary za naruszenie przepisów o ochronie danych osobowych mogą wynieść nawet setki tysięcy euro).

Nowa dyrektywa powinna zostać uchwalona do 2014 r., kiedy kończy się kadencja KE i Parlamentu  Europejskiego (wówczas poszczególne kraje miałyby 2 lata na wprowadzenie jej w życie). Jeśli tak się nie stanie, projekt zostanie prawdopodobnie przesunięty na bliżej nieokreśloną przyszłość.

Artykuł Nowe pomysły Brukseli zagrożeniem dla firm pochodzi z serwisu CRN.

Nowelizacja ma zwiększyć skuteczność oddziaływania Generalnego
Inspektora Ochrony Danych Osobowych (GIODO) na poziom ochrony danych
w naszym kraju. Dlatego zmiany dotyczą uprawnień generalnego inspektora,
procedury kontrolnej, prawnokarnych sankcji za utrudnianie kontroli, tworzenia
jednostek GIODO na terenie kraju. Specjaliści zwracają uwagę, że do
najważniejszych należy nadanie urzędowi uprawnień egzekucyjnych.

– Dostosowanie przedsiębiorstw do wymogów znowelizowanej
ustawy nabiera obecnie jeszcze większego niż dotąd znaczenia, w związku
z tym, że generalny inspektor ochrony danych osobowych zyskał dodatkowe
uprawnienia, mające zapewnić skuteczność działań organu – mówi Michał
Bochowicz, aplikant adwokacki w Deloitte Legal, Pasternak i Wspólnicy
Kancelaria Prawnicza sp.k. – Między innymi ma on teraz prawo nałożenia
grzywny w celu przymuszenia do wykonania decyzji. Maksymalna wysokość
grzywny w przypadku osób fizycznych wynosi 50 tys. zł,
a w przypadku prawnych – 200 tys. zł.

Przez kilkanaście lat obowiązywania przepisów o ochronie danych
osobowych generalny inspektor nie miał możliwości zmuszenia firmy lub osoby
fizycznej do podporządkowania się jego decyzji.
– Należy też pamiętać – dodaje Michał Bochowicz – że obecnie
utrudnianie GIODO wykonywania czynności kontrolnych może spowodować
odpowiedzialność karną nawet do dwóch lat pozbawienia wolności.

Inne zmiany

Kolejna ważna zdaniem komentatorów zmiana w
ustawie dotyczy udostępniania danych osobowych. Po uchyleniu art. 29 nie jest
już możliwe udostępnianie danych podmiotom, które w sposób wiarygodny uzasadnią
potrzebę ich posiadania. – Regulacja wzbudzała wątpliwości interpretacyjne i
administratorzy danych nie byli pewni, jakie uzasadnienie należy uznać za
wiarygodne – wyjaśnia Michał Bochowicz. – Zmiana ta wydaje się o tyle
korzystna, że uchyla niejednoznaczną podstawę udostępniania danych osobowych,
która niosła ze sobą ryzyko naruszenia przepisów ustawy przez administratorów
tych danych.

Za uchyleniem wspomnianego artykułu
przemawiał również argument, że samo wiarygodne motywowanie potrzeby posiadania
danych nie powinno być podstawą do ich udostępnienia osobie trzeciej. Poza tym,
jak pisano w uzasadnieniu wprowadzanych zmian, istnieją ogólne reguły opisujące
legalne przetwarzanie danych, również ich udostępnianie (art. 23 ustawy w
przypadku danych zwykłych lub art. 27 – w przypadku sensytywnych). Dzięki
nowelizacji dostosowujemy też przepisy ustawy o ochronie danych osobowych do
prawa unijnego. Skreślono również art. 50, mówiący o odpowiedzialności karnej za
przechowywanie danych w zbiorze niezgodnie z celem jego utworzenia. Za
wystarczającą regulację uznano przepis art. 49, mówiący o bezprawnym przetwarzaniu
danych. Według ustawodawcy przechowywanie danych osobowych jest jednym z
elementów ich przetwarzania.

Wprowadzono natomiast przepis, który wyraźnie
mówi, że zgoda na przetwarzanie danych osobowych może być odwołana. Poza tym od
7 marca br. zgłoszenie zbioru do rejestracji powinno zawierać informacje o
podmiotach, którym administrator powierza przetwarzanie danych – ma na to 30
dni. Administrator, który zamierza rozszerzyć zakres przetwarzanych danych o
dane wrażliwe, zobowiązany został do informowania o tym organu jeszcze przed
dokonaniem rozszerzenia.

Kontrole po nowemu

Po wejściu w życie nowelizacji
inspektorzy GIODO przeprowadzający kontrolę muszą okazać imienne upoważnienie
i legitymację służbową – mówi o tym pkt 3 art. 15
ustawy. W pkt 4 tego samego artykułu natomiast wyszczególniono, co
imienne upoważnienie powinno zawierać (patrz ramka: Imienne upoważnienie
kontrolera). Prawodawca rozszerzył także art. 16 ustawy, mówiący
o protokole, który inspektor sporządza po przeprowadzonej kontroli. Do
pkt 1 dodano pkt 1 a, w którym wymieniono, co musi się
w protokole znaleźć.

Nowe przepisy zostały również wzbogacone o rozwiązanie prawne
umożliwiające tworzenie jednostek zamiejscowych biura GIODO w „przypadkach
uzasadnionych charakterem i liczbą spraw (…)”. Obecnie biuro GIODO mieści
się tylko w Warszawie. Komentatorzy zwracają jednak uwagę, że otwieranie
lokalnych placówek nie jest na razie możliwe ze względu na stan finansów
państwa.

Dbać o procedury

Agnieszka Durlik-Khouri, ekspert prawnogospodarczy Krajowej Izby
Gospodarczej, zwraca uwagę, że zmiany w ustawie o ochronie danych
osobowych wymagają od firm dołożenia wszelkich starań, aby będące w ich
posiadaniu informacje były na bieżąco monitorowane. – Najefektywniejszym
sposobem zarządzania danymi osobowymi jest stworzenie odpowiednich regulaminów
lub procedur określających sposób ich wykorzystywania, udostępniania
i przechowywania – twierdzi Agnieszka Durlik-Khouri. – Warto
precyzyjnie przedstawić cel oraz podmiot, któremu dane te są przekazywane.
Odpowiednie skonstruowanie regulaminu i nadzór nad jego przestrzeganiem
powinny uchronić firmy od dotkliwych kar. W mojej ocenie nie dojdzie do
znaczącego wzmożenia kontroli. Jednak wprowadzenie tak wysokich kar do ustawy
może budzić obawy przed ich nadmiernym wykorzystywaniem, szczególnie
w związku z brakiem precyzyjnej definicji pojęcia: utrudnianie
przeprowadzania czynności kontrolnych – dodaje.

Arkadiusz Szulepa, radca prawny, Managing Associate w Deloitte Legal, Pasternak i
Wspólnicy Kancelaria Prawnicza sp.k.

Obie nowelizacje ustawy o ochronie danych osobowych (dalej zwanej uodo) i
niektórych innych ustaw (w tym ustawy o postępowaniu egzekucyjnym w
administracji) – ze stycznia i marca 2011 r. – wprowadziły w życie istotne
zmiany, które mogą wpływać na funkcjonowanie przedsiębiorstw, w tym z sektora
małych i średnich firm. Nowelizacja dla podmiotów biznesowych oznacza bowiem
konieczność przestrzegania nowych obowiązków w zakresie ochrony danych
osobowych. Charakter wprowadzonych zmian świadczy, że ustawodawca dąży do
wzmocnienia ochrony tych danych. Oznacza to, że polscy przedsiębiorcy muszą
znać nałożone na nich w uodo obowiązki i 
w pełni je wykonywać, by uniknąć ryzyka związanego z podjęciem przez
GIODO kontroli w ich firmach. Utrudnianie GIODO przeprowadzenia kontroli może
skutkować karą nawet dwóch lat pozbawienia wolności. Poza tym główny inspektor
ma teraz prawo do nałożenia grzywny w celu przymuszenia do wykonania decyzji.

W nowelizacji sprecyzowano też, że zgoda na przetwarzanie danych osobowych
może być w każdym momencie odwołana (art. 7 punkt 5 uodo). Przypomnijmy, że
jest ona jednym z czynników warunkujących legalność przetwarzania danych
osobowych.

Administratorzy danych powinni również zwrócić uwagę na zmiany dotyczące
rejestracji ich zbiorów. O wprowadzonym wymogu wskazania w zgłoszeniu
podmiotów, którym przetwarzanie danych zostało powierzone na podstawie art. 31
uodo, pamiętać powinni szczególnie przedsiębiorcy, którzy zlecają na zewnątrz
czynności związane z przetwarzaniem danych, np. w ramach outsourcingu usług
informatycznych.

Artykuł Uwaga na dane! Wysokie grzywny pochodzi z serwisu CRN.