26 stycznia 2016

Data Privacy Officer - zadania w świetle przygotowywanego rozporządzenia UE

Właśnie mija rok od zarejestrowanie pierwszych Administratorów Bezpieczeństwa Informacji (ABI), zgodnie z wymaganiem znowelizowanej Ustawy o Ochronie Danych Osobowych. Z tej okazji miałem dziś okazję uczestniczyć w konferencji "Wykonywanie nowej funkcji ABI – pierwszy rok doświadczeń" zorganizowanej na Politechnice Warszawskiej przez Stowarzyszenia Administratorów Bezpieczeństwa Informacji oraz moją Alma Mater - Wydział Zarządzania PW.
We wstępie zaznaczono zresztą, że zagadnienie ochrony danych osobowych, mimo niewątpliwych implikacji prawnych i informatycznych jest jednak wyzwaniem przede wszystkim dla kadry zarządzającej. Na sali obecni byli również przedstawiciele Ministerstwa Administracji i Cyfryzacji, oraz prawnicy zaproszeni przez Microsoft. Zabrakło natomiast przedstawicieli GIODO.
Obrady i kuluarowe dyskusje, oprócz dzielenia się doświadczeniami z pierwszego roku funkcjonowania ustawy, zdominował temat unijnych reform w tym zakresie. Przedstawiono też główne założenia, wciąż oficjalnie nieopublikowanego Rozporządzenia o Ochronie Danych Osobowych.



Czego w tym wypadku powinniśmy się spodziewać…
Przede wszystkim samego oficjalnego wejścia w życie rozporządzenia. Obecna wersja robocza powinna zostać przyjęta przez Radę Unii Europejskiej do 21 kwietnia b.r. i następnie skierowana do Parlamentu Europejskiego. Po akceptacji rozporządzenia zacznie obowiązywać w przeciągu 2 lat. Innymi słowy, mamy jeszcze około dwóch i pół roku na dostosowanie się do nowych wymagań. A w miedzy czasie należy również spodziewać się bardzo szerokich konsultacji społecznych w tym zakresie. Szczególnie, że w niektórych kwestiach, np. podejściu do portali społecznościowych, poszczególne państwa członkowskie będą miały znacznie możliwości kształtowania własnej polityki. Zresztą minister Witold Kołodziejski zaznaczał, że rolą MAC - wyznaczonego do nadzoru nad ochroną danych osobowych - będzie troska o nie nakładanie niepotrzebnych obowiązków na organizacje.
Warto przy okazji zauważyć, że znowelizowana Ustawa, mimo, że bazowała na wcześniejszym drafcie rozporządzenia, jest bardzo dużym krokiem w stronę przygotowanie się na jej przyjście. Przede wszystkim zakłada, że DPO - Data Privacy Officer przestanie być urzędnikiem ewidencjonującym kwity z upoważnieniami, a zacznie odgrywać twórczą rolę z procesie zapewniania bezpieczeństwa danych osobowych. Nie jest też pewne jak tak naprawdę będzie przetłumaczone stanowisko DPO. SABI proponuje by dla utrzymania spójności pozostawić funkcjonujące społecznie pojęcie ABI, z drugiej strony są głowy zaznaczające, że termin "administrator" wciąż wiele osób błędnie rozumie jako administratora informatycznego.

Zwracano też uwagę na nowe obowiązki DPO i Administratora Danych Osobowych (ADO).
Administrator Danych Osobowych będzie zobowiązany do powołania DBP w:
jednostkach administracji publicznej
w organizacjach zajmujących się monitorowaniem i profilowaniem na dużą skalę (ciekawe ile to będzie wynosić)
w organizacjach przetwarzających dane sensytywne i o skazaniach (co ciekawe - dane o skazaniach nie są danymi sensytywnymi)

Taki DBO:
będzie musiał mieć zapewnioną niezależność - nie będzie mógł otrzymywać od ADO instrukcji w merytorycznym zakresie
nie będzie mógł być karany przez ADO w związku z pełnieniem swoich obowiązków (choć, co ciekawe, w PL już jeden z ABI stracił prace po przygotowaniu rzetelnego raportu o bezpieczeństwie przetwarzania danych osobowych zgodnie w wymaganiami znowelizowanej ustawy)
będzie musiał być angażowany we wszystkie kwestie dotyczące przetwarzania danych osobowych (czyli koniec z obecnie spotykanymi z usługami ABI polegającymi na wizycie u klienta raz na miesiąc)
będzie miał informować i doradzać - czyli pełnić rolę ekspercką a nie administracyjną
będzie mógł pełnić rolę DPB dla całej grupy kapitałowej
będzie zobowiązany do przestrzegania tajemnicy DPO !!!

Sam DPO będzie mógł zajmować się w organizacji jeszcze innymi rzeczami, niemniej nie mogą one powodować konfliktu interesów. Będzie mógł wykonywać swoje obowiązki na podstawie umowy o pracę lub umów cywilnoprawnych. DPO będzie miał obowiązkowo realizować dwie procedury:
wstępną ocenę skutków w zakresie przetwarzania danych osobowych (vide analiza ryzyka)
uprzednich konsultacji (np. w procesie zarządzania zmianą)
będzie też zwracać uwagę na zagrożenia związane z przetwarzaniem danych osobowych, jak podobno malowniczo określono udział w procesie zarządzania incydentami
Zresztą jego rola będzie na tyle istotna (i związana z codziennym funkcjonowaniem podległych jednostek), że oczekiwać się będzie od niego rekomendowania wdrożeń konkretnych zabezpieczeń. To ostatnie znów związane jest z kwestią zarządzania ryzykiem. Zresztą oczekuje się, że UE jak i GIODO przedstawią jakieś swoje rekomendacje w tym zakresie.

Reasumując - w zakresie danych osobowych znów coś się zaczęło dziać. I bardzo dobrze. Postęp technologiczny spowodował, że rola DPO będzie bardzo znaczącą w organizacjach - de facto powinien on pełnić rolę obecnie pełnioną przez oficerów bezpieczeństwa (tyle, że w trochę węższym zakresie). Wymagać się będzie od tych osób nie tylko wiedzy teoretycznej ale i konkretnych umiejętności. A oparcie na pryncypiach zarządzania ryzykiem oznaczać będzie ukłon w stronę funkcjonujących od lat najlepszych praktyk w tym zakresie.
Choć jak podkreślił ds. Grzegorz Sibiga - poczekajmy na ostateczny tekst rozporządzenia…

Na zakończenie chciałbym zaznaczyć jeszcze jedną kwestię. Zarówno prezes Związku Banków Polskich - Krzysztof Pietraszkiewicz jak również Dyrektor ds. Strategii Microsoft Michał Jaworski, bardzo podkreślali w swoich wypowiedziach konieczność zapewnienia, jak również możliwość zweryfikowania ZAUFANIA. pokładanego w organizacjach przetwarzających nasze dane. Bez zaufania, podpartego oczywiście rzetelnymi kontrolami, rozwój usług elektronicznych nie będzie postępować tak jak oczekujemy.