ENSI



W dniach 22 - 23 października 2014 r.
w Pałacu Żelechów pod Warszawą odbył się

XVIII Kongres
Administratorów Bezpieczeństwa Informacji
„ABI NOWYCH WYZWAŃ”.




Kongres poświęcony był problematyce ochrony danych osobowych w monitoringu, nowym rozporządzeniom do ustawy o ochronie danych osobowych oraz innym wybranym zagadnieniom przetwarzania danych osobowych.

Kongres ABI to najważniejsze doroczne spotkanie środowiska Administratorów Bezpieczeństwa Informacji w Polsce, na którym omawiane i dyskutowane są najważniejsze bieżące i praktyczne problemy realizacji zadań i obowiązków ochrony danych osobowych w przedsiębiorstwach, w tym wchodzących w skład międzynarodowych grup, oraz w urzędach.

W gronie ekspertów, którzy poprowadzili dyskusje byli:

  • Maciej Byczkowski - Prezes Zarządu ENSI, Prezes Zarządu Stowarzyszenia Administratorów Bezpieczeństwa Informacji.
  • Michał Kaczorowski - radca prawny, Członek Zarządu Stowarzyszenia Administratorów Bezpieczeństwa Informacji.
  • Damian Karwala - radca prawny, współpracownik Kancelarii Prawnej Traple Konarski Podrecki i Wspólnicy, ekspert prawny Polskiej Izby Ubezpieczeń oraz Związku Pracodawców Branży Internetowej IAB Polska.
  • Xawery Konarski - adwokat, wspólnik w Kancelarii Prawnej Traple Konarski Podrecki i Wspólnicy, Ekspert prawny Polskiej Izby Informatyki i Telekomunikacji (PIIT) oraz Związku Pracodawców Branży Internetowej IAB Polska.
  • Maksymilian Michalski - Administrator Bezpieczeństwa Systemów Informatycznych/Administrator Bezpieczeństwa Informacji w Straży Miejskiej m.st. Warszawy.
  • dr inż. Andrzej Ryczer - Wiceprezes Ogólnopolskiego Stowarzyszenia Inżynierów i Techników Zabezpieczeń Technicznych i Zarządzania Bezpieczeństwem "POLALARM", Wydział Transportu Politechnika Warszawska.
  • dr Grzegorz Sibiga - adwokat, kierownik Zakładu Prawa Administracyjnego w Instytucie Nauk Prawnych PAN w Warszawie.
  • Mirosław Wróblewski - radca prawny, Członek Zarządu Agencji Praw Podstawowych Unii Europejskiej (Fundamental Rights Agency; FRA).

Tegoroczny Kongres otworzyła niezwykle ważna dla środowiska ABI/ADO informacja o tym, że Komisja Parlamentu Europejskiego ds. wolności obywatelskich, sprawiedliwości i spraw wewnętrznych (LIBE) zarekomendowała kandydaturę dr. Wojciecha Rafała Wiewiórowskiego, Generalnego Inspektora Ochrony Danych Osobowych na stanowisko Zastępcy Europejskiego Inspektora Ochrony Danych.

Podczas pierwszego panelu dyskusyjnego „Ochrona danych osobowych w monitoringu” omówione zostały rodzaje monitoringu oraz zakres stosowania ustawy o ochronie danych osobowych do monitoringu. Dyskutowane były kwestia monitoringu i prawa do prywatności – przede wszystkim w kontekście relacji między ochroną prywatności a ochroną danych osobowych. Prezentowane były stanowiska GIODO i RPO, orzeczenia sądów administracyjnych w sprawach przetwarzania i ochrony danych osobowych w ramach monitoringu oraz aktualne założenia MSW do projektu ustawy o monitoringu wizyjnym.

W czasie dyskusji podkreślono kwestie związane z projektowaniem systemów monitoringu. Poprzez niefrasobliwość projektantów systemów są one często podatne na błędy (np. domyślne ustawienia, hasła, loginy) i te błędy są wykorzystywane do nieuprawnionego dostępu do systemu i informacji w nim zapisanych, jak również zdalnego przejęcia systemu w sytuacji podłączenia go do Internetu. Drugi ważny element podkreślany w dyskusji dotyczył zapewnienia prawa do informacji o monitoringu dla osób, których wizerunek lub inne informacje (np. o ich działalności w systemie informatycznym, czy poruszaniu się po terenie firmy) są rejestrowane. Zgodnie z założeniami ustawy o monitoringu oraz wymaganiami ustawy o ochronie danych osobowych pod kamerami powinna znaleźć się informacja o tym, kto jest administratorem systemu monitoringu. Natomiast w sytuacji prowadzenia różnych systemów monitorowania pracowników, pracodawca powinien informować o tym w regulaminie pracy.

Uczestnicy Kongresu dyskutowali także temat nowych projektowanych przepisów wykonawczych do ustawy o ochronie danych osobowych, w tym propozycji zmian rozporządzenia wykonawczego dotyczącego prowadzenia dokumentacji przetwarzania danych oraz zabezpieczenia systemów informatycznych, o którym mowa w art. 39a ustawy o ochronie danych osobowych oraz rozporządzenia wykonawcze do projektu ustawy o ułatwieniu wykonywania działalności gospodarczej (pakiet deregulacja IV): rozporządzenie w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych osobowych, rozporządzenie w sprawie trybu i sposobu wykonywania zadań przez administratora bezpieczeństwa informacji, rozporządzenie w sprawie wzorów zgłoszeń powołania administratora bezpieczeństwa informacji do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych oraz odwołania administratora bezpieczeństwa informacji.

W czasie dyskusji podkreślono, że rozporządzenie w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, wymaga zmiany ze względu na konieczność jego dostosowania do obecnych realiów technologicznych i potrzeb rynku, przy jednoczesnym zachowaniu wysokiego poziomu ochrony danych osobowych.

Obecne przepisy mają już ponad 10 lat, a w przypadku zmian w wykorzystaniu technologii informatycznych do przetwarzania danych osobowych to prawie epoka. Określone w rozporządzeniu środki zabezpieczenia technicznego i organizacyjnego nie przystają już do wyzwań współczesnych technologii i do globalnego charakteru przetwarzania danych osobowych (rozwiązania mobilne, chmura obliczeniowa, technologia bezprzewodowa, inteligentne urządzenia rejestrujące itp.).

Szeroki dostęp do Internetu i powszechne wykorzystanie sieci ogólnodostępnych do przetwarzania danych powodują, że określone w rozporządzeniu kryteria poziomów bezpieczeństwa danych w systemie informatycznym i wymagania zabezpieczenia danych, nie odnoszą się do zagrożeń w rzeczywistych warunkach przetwarzania danych osobowych.

W dyskusjach zauważono, że określony w obecnym rozporządzeniu poziom wysoki zabezpieczenia danych związany z podłączeniem systemu informatycznego do Internetu, jest obecnie standardem stosowanym przez Administratorów danych, a nie szczególną już sytuacją przetwarzania danych. Stąd jedną z podstawowych zmian rozporządzenia powinno być nowe zdefiniowanie poziomów bezpieczeństwa dla systemów informatycznych. W projekcie nowego rozporządzenia nad którym pracuje obecnie MAiC, proponowany jest podział na dwa poziomy: podstawowy i wysoki, a kryteria podziału będą zależeć od wykonywania w systemie operacji przetwarzania danych, które stwarzają szczególne zagrożenie dla praw podmiotu danych, a więc operacji przetwarzania danych osobowych wrażliwych, o których mowa w art. 27 ust. 1 u.o.d.o. oraz „szczególnych operacji” przetwarzania innych danych osobowych, które ze względu na swój charakter, a także zakres i cele przetwarzania, stwarzają takie zagrożenie.

Bardzo ważną informacją, która dotarła do uczestników Kongresu było uchwalenie przez Sejm RP ustawy o ułatwieniu wykonywania działalności gospodarczej. Stąd dyskusja nad projektami rozporządzeń do tej ustawy, które dotyczą wykonywania zadań przez ABI, była bardzo ożywiona w kontekście tego, że przepisy mają wejść w życie od 1 stycznia 2015 r. Zdaniem uczestników dyskusji projekty rozporządzeń, powinny zostać jak najszybciej dostosowane do realnych możliwości wykonywania nadzoru nad przetwarzaniem danych osobowych przez ABI. Uczestnicy Kongresu na wniosek Prezesa SABI (Stowarzyszenie Administratorów Bezpieczeństwa Informacji) p. Maciej Byczkowskiego, zobowiązali się jak najszybciej przesłać swoje uwagi i propozycje do projektów rozporządzeń, które następnie zostaną przedstawione MAiC jako propozycja wraz ze stanowiskiem SABI.

Drugiego dnia Kongresu omawiany był temat „Powierzenie i podpowierzenie przetwarzania danych osobowych – wadliwe ustalanie ADO i przetwarzającego w konkretnych przypadkach”. W dyskusji oparto się na konkretnych przykładach, w tym na sprawie „Karty Warszawiaka” jako przykładu błędnego ustalenia ADO i przetwarzającego. Zajęto się także kwestią ustalenia statusu i zakresu odpowiedzialności dostawcy i użytkownika chmury obliczeniowej jako podmiotów przetwarzających dane osobowe. Skupiono się także na zagadnieniach:

  • współdziałania różnych podmiotów w przetwarzaniu danych osobowych w celach marketingowych, w tym licencjonowanie baz danych,
  • dopuszczalności powierzenia przetwarzania danych osobowych podmiotom publicznym (wątpliwości w świetle stanowisk GIODO dotyczących samorządu terytorialnego),
  • problematyce związanej z powierzaniem a udostępnianiem danych osobowych w sferze działalności zakładu pracy, w tym: danych osobowych pracowników tymczasowych oraz danych osobowych dotyczących szkoleń BHP
  • ogółem zagadnień związanych z outsourcingiem zadań pracodawcy a powierzeniem przetwarzania danych osobowych, w tym przede wszystkim na przepływie danych osobowych w Grupach kapitałowych oraz danych pracowniczych, danych klientów oraz danych B2B

Uczestnicy dyskusji podkreślali fakt ciągle pojawiających się nowych problemów przy określeniu statusu podmiotów, którym przekazuje się dane osobowe, czy powinny być traktowane w danej sytuacji jako odbiorcy danych (czyli odrębny ADO) czy jako procesorzy (podmioty przetwarzające dane na zlecenie ADO). Omawiano szczególnie sytuacje związane z wzajemnym przekazywaniem danych osobowych pomiędzy podmiotami w grupach kapitałowych w Polsce, UE oraz po za UE, gdzie dochodzą liczne problemy związane z transferem danych do państwa trzeciego.

Przedmiotem dyskusji podczas panelu zamykającego Kongres były zagadnienia rejestrowania dźwięku i obrazu w kontekście ochrony danych osobowych i prawa do prywatności. W tym zarówno ochrona prywatności a nagrywanie dźwięku, rejestracja obrazu (zdjęcia, nagrania audio – i audiowizualne), temat danych osobowych na nagraniach dźwięku i obrazu (rejestracja rozmów z klientami, kontrahentami, osobami zgłaszającymi problemy na telefony obsługowe lub serwisowe), rejestrowanie ad hoc przez pracodawcę i pracownika dźwięku i obrazu w stosunkach w zakładzie pracy i ich dopuszczalne wykorzystanie (np. dla celów dowodowych) jak i dopuszczalne prawem cele przetwarzania danych osobowych na zarejestrowanych na nagraniach, filmach, zdjęciach. Ostatnim tematem w dyskusji była problematyka związana z rejestrowaniem obrazu przy użyciu smartfonów, dronów oraz kamer instalowanych w samochodach.

Uczestnicy dyskusji podkreślali istotny fakt rozgraniczenia potrzeb czy intencji rejestrowania dźwięku i obrazu na potrzeby prywatne oraz firmowe oraz wskazywali sytuacje naruszenia prawa do prywatności przy korzystaniu z urządzeń biometrycznych, kamer w samochodach czy kamer zamontowanych na dronach. Odnosili się również do możliwości poniesienia odpowiedzialności karnej określonej w art. 267 Kodeksu karnego w sytuacji rejestrowania dźwięku i obrazu.

Kongres ABI – jako eksperckie forum dyskusyjne ABI jest jedynym tego rodzaju wydarzeniem w branży ochrony danych i bezpieczeństwa informacji. Pierwszy Kongres został zorganizowany w 1999 roku. Organizatorem Kongresu jest firma ENSI.


ENSI Sp. z o.o., Al. Jana Pawła II 34, 00-141 Warszawa, tel.: +48 22 620 12 00, faks: +48 22 620 12 53, e-mail: info @ ensi.net
 Polityka cookies/ Polityka prywatności    Copyright © ENSI 2006-2018