ABIeye czyli nowa jakość w ODO

Ochrona danych osobowych to temat coraz częściej pojawiający się w nagłówkach prasowych. Z jednej strony pojawiają się informacje o wyciekach danych osobowych, z drugiej – o karach i sankcjach za nieprzestrzeganie przepisów prawa. Świadomość tego, jak powinniśmy chronić dane osobowe jest przerażająco niska i to zarówno wśród osób, których dane są przetwarzane, jak i wśród podmiotów dane przetwarzających. Pomimo porozumienia z końca 2012 roku w zakresie wspólnych kontroli Generalnego Inspektoratu Ochrony Danych Osobowych (GIODO) i Państwowej Inspekcji Pracy (PIP), niewiele się w tym zakresie zmienia.

Podsumowanie 2018Ostatnia nowelizacja prawa telekomunikacyjnego, która od 22 marca 2013 r. wprowadziła obowiązek informowania internautów o gromadzeniu danych za pośrednictwem plików cookies (ciasteczek) niemal na każdej witrynie wywołała lawinę migających okienek informacyjnych. Ciekawe jest, że witryny spełniają obowiązek informacyjny dotyczący plików cookies, a często nie spełniają podstawowych obowiązków wynikających z Ustawy o ochronie danych osobowych takich jak posiadanie klauzul zgody na przetwarzania danych osobowych, rejestracja zbiorów danych osobowych w GIODO czy spełnienie obowiązku informacyjnego administratora danych osobowych.

Odbierz pakiet bezpłatnych poradników i mikroszkoleń RODO

Dołącz do grona czytelników naszego biuletynu, odbierz bezpłatny pakiet i trzymaj rękę na pulsie.
ODBIERZ PAKIET

Nasuwa się prosty wniosek – przedsiębiorcy i inne organizacje zadbają o obowiązki dotyczące ochrony prywatności swoich klientów i użytkowników tylko w dwóch przypadkach: kiedy zostaną do tego zmuszeni realnym zagrożeniem kary lub też wtedy, gdy procedury wdrażania systemu ochrony danych osobowych staną się prostsze. O pierwszy aspekt nie musimy się martwić, wcześniej czy później zagrożenie dotkliwą karą stanie się rzeczywistością, zadba o to nasze państwo. Co zaś do uproszczenia procedur, raczej nie mamy co liczyć – po pierwsze, proces zmiany przepisów prawa trwa zazwyczaj strasznie długo, po drugie, efekt końcowy często bardzo odbiega od zamierzonego. Jest jednak trzecie rozwiązanie! Przedsiębiorcy mogą skorzystać ze specjalnego oprogramowania / aplikacji, które znacznie ogranicza koszty i czas wdrożenia systemu ochrony danych osobowych.

Jak to wygląda obecnie?

Procedury i biurokracja są zbyt skomplikowane. GIODO stosuję bardziej metodę kija niż marchewki – z jednej strony straszy wysokimi karami administracyjnymi, z drugiej strony w zasadzie nie daje podmiotom, które wprowadzają kosztowny system ochrony danych osobowych w zasadzie żadnych profitów. Wydaje się więc, że gdyby istniała metoda na uproszczenie wszystkich wymogów związanych z ODO, okazałaby się rozwiązaniem idealnym.

Firmy od wielu lat działające w branży ochrony danych osobowych często korzystają z niewiedzy podmiotów, z którymi współpracują oraz biurokracji, która skutecznie zniechęca wszystkich do wprowadzania systemu wymaganego przez prawo. Dużą winę można również przypisać samym przepisom ustawy, która umożliwia samodzielne przygotowanie i wdrożenie ODO, co powoduje mylne poczucie, iż nie jest to konieczne. Każdy, kto choć raz spotkał się z dokumentacją ODO wie, że nie jest to materia ani łatwa, ani jednoznaczna.

W codziennej praktyce często spotykamy się z firmami i instytucjami, które są przekonane, że maja już wdrożoną pełną dokumentację ODO. Gdy jednak pytamy o politykę bezpieczeństwa czy szkolenie pracowników w zakresie ODO, zapada pełna konsternacji cisza.

Czy faktycznie jesteśmy skazani na samych siebie w zakresie obowiązków ODO? Czy jedynym wyjściem, gdy samodzielnie sobie nie radzimy, jest skorzystanie z usług firm specjalizujących się w bezpieczeństwie informacji? Otóż nie! Jak to zwykle bywa jest też trzecie rozwiązanie – nic nie kosztuje (poza czasem!) i pozwala, w indywidualnym zakresie, skorzystać z wiedzy i doświadczenia specjalistów. Mamy tu na myśli oprogramowanie, które instruuje, krok po kroku, jak samodzielnie przygotować i wdrożyć system ochrony danych osobowych. Mimo wszelkich ułatwień warto jednak co nie co wiedzieć o ochronie danych osobowych, dlatego sugerujemy wesprzeć się szkoleniem lub dokładnie przeczytać załączony Poradnik i odpowiedzi na najczęściej zadawane pytania (FAQ).

Bezpłatna wiedza o RODO.
Korzystaj do woli!

Webinary, artykuły, poradniki, szkolenia, migawki i pomoc. Witaj w bazie wiedzy ODO 24.
WCHODZĘ W TO

Co to jest ABIeye?

Darmowa aplikacja ABIeye to przemyślane rozwiązanie, które wychodzi naprzeciw potrzebom przedsiębiorców i instytucji publicznych. Pomysły stworzenia podobnego rozwiązania pojawiały się w branży już wcześniej, ale wygląda na to, że ich twórcom nie wystarczyło inwencji lub wytrwałości, by zaproponować narzędzie jednocześnie funkcjonalne i proste w obsłudze.

W dobie chmur obliczeniowych i outsourcingu praktycznie każde oprogramowanie, które ma usprawnić działanie przedsiębiorstwa lub instytucji powinno być dostępne jak najbardziej niezależnie od posiadanego sprzętu IT. Zarówno firmy jak i urzędy coraz częściej korzystają z wielu form outsourcingu, jak choćby kadry i księgowość, hosting stron internetowych, zdalnie dostępne platformy do zarządzania obsługą klienta czy elektroniczne biura podawcze.

ABIeye od początku miał być aplikacją wyprzedzającą zmiany zarówno prawne jak i technologiczne. Mimo że, jak podkreśla sam Generalny Inspektor Ochrony Danych Osobowych, coraz trudniej chronić dane osobowe, gdyż prawo nie nadąża za rozwojem technologicznym, ABIeye spełnia właśnie rolę takiego brakującego ogniwa pomiędzy przepisami prawa a powszechną informatyzacją.

Zdalny dostęp

Z aplikacji możemy skorzystać praktycznie w każdym miejscu z dostępem do internetu przez całą dobę. Punktem dostępowym do ABIeye mogą być tablety, nettopy czy smartfony. Nie ma tu żadnych ograniczeń licencyjnych gdyż nie ma licencji ani wersji stacjonarnych oprogramowania. Dlaczego zdalny dostęp jest taki ważny? Po pierwsze, incydent ochrony danych osobowych może się zdarzyć zawsze, a zgodnie z prawem Murphy’ego zdarzy się zapewne wtedy, gdy będziemy poza biurem – u klienta, w podróży służbowej, itp. Dzięki zdalnemu dostępowi o incydencie – np. wycieku danych osobowych – dowiemy się jako pierwsi. Po drugie, nie musimy instalować żadnego oprogramowania, a wszyscy nasi pracownicy maja dostęp do ABIeye (poziom niższy), z którego mogą nas informować o problemach w zakresie ochrony danych osobowych. Zdalny dostęp ma szczególne znaczenie dla większych podmiotów, posiadających kilka lub nawet kilkanaście oddziałów (np.: banki lub operatorzy sieci komórkowej) oraz dla zawodowych administratorów bezpieczeństwa informacji (ABI), którzy obsługują wiele podmiotów jednocześnie. Duże korporacje mają problem w skutecznym zarządzaniu ochroną danych osobowych w podległych im jednostkach. Problem ten jest najbardziej widoczny w zakresie zabezpieczeń organizacyjnych, czyli głównie szkoleń pracowników. Najczęściej wygląda to tak, że przeszkoleni są wszyscy pracownicy w centrali, z pozostałymi bywa bardzo różnie – czasem nie mają o ochronie danych żadnej wiedzy. Jest to o tyle niewłaściwe, że to właśnie pracownicy są najsłabszym ogniwem ochrony danych i to właśnie oni (często nawet nieświadomie!) powodują różnego typu incydenty.

Dokumentacja ODO

Zgodnie z Ustawą o ochronie danych osobowych pracownicy firmy powinni być przeszkoleni z ogólnych zasad przetwarzania danych osobowych, ale również powinni znać procedury i zabezpieczenia w swoim środowisku pracy. Dostęp pracowników do ABIeye, ma tutaj bardzo duże znaczenie, gdyż w dowolnym czasie mogą oni zaznajomić się ze swoimi obowiązkami, a także zadać pytanie swojemu ABI. Program umożliwia również wydrukowanie wszystkich dokumentów, które zamieściliśmy w ABIeye oraz tworzenie ewidencji i rejestrów. Jest to bardzo istotne, ponieważ zgodnie z ustawą dokumentacja ODO musi istnieć w wersji papierowej i w razie kontroli GIODO lub PIP czy też audytu zewnętrznego musimy przedstawić ją właśnie w takiej formie.

Załączniki do dokumentacji

Dokumentami najczęściej kontrolowanymi przez inspektorów GIODO są właśnie Polityka bezpieczeństwa i Instrukcja zarządzania systemem informatycznym oraz trzy (z 22) załączniki: ewidencja osób upoważnionych do przetwarzania danych osobowych (operatorów), ewidencja zbiorów danych osobowych oraz ewidencja obszarów przetwarzania. W zakresie ewidencji osób ABIeye umożliwia nam dodawanie/usuwanie poszczególnych osób jak również importowanie danych z pliku .CSVbazy pracowników. Funkcja ta umożliwia również przeszkolenie pracowników w systemie e-learningu. Szkolenie to kończy się testem zdobytej wiedzy, a po jego ukończeniu pracownik otrzymuje upoważnienie do przetwarzania danych osobowych (szkolenia te są dodatkową i płatną usługą, lecz korzystanie z nich nie jest obowiązkowe). To wszystko możemy zrobić zdalnie, bez konieczności organizowania szkolenia stacjonarnego szukania wolnych terminów czy ograniczania bieżącej działalności ze względu na konieczność przeprowadzenia szkolenia.

Ewidencja zbiorów danych osobowych ABIeye jest zorganizowana na analogicznej zasadzie – umożliwia bieżące aktualizowanie zbiorów oraz określenie, czy zbiór jest zarejestrowany w GIODO czy też jest zwolniony z rejestracji. Ewidencja obszarów przetwarzania z punktu widzenia praktyki jest bardzo ważnym dokumentem, gdyż to właśnie on określa zastosowane zabezpieczenia zbiorów, czyli fizyczne, organizacyjne i techniczne zabezpieczenia, jakie zastosowaliśmy. ABIeye pozwala w prosty sposób określić te zabezpieczenia – podpowiada zabezpieczenia najczęściej stosowane, z których możemy wybrać te, które są zastosowane u nas. Oczywiście możemy samodzielnie określić zabezpieczenie dodatkowe, a także, w razie potrzeby, modyfikować istniejące zabezpieczenia.

Rejestr powierzeń

W praktyce pełnienia funkcji ABI często zdarza się, że przekazujemy dane osobowe, pozostające w naszej dyspozycji, na zewnątrz naszego podmiotu. Oczywiście musimy mieć na to podstawy prawne. Prowadzenie ewidencji tych czynności znacznie ułatwia nadzór nad tym, kto i kiedy otrzymał konkretne dane osobowe i czy na pewno są one bezpieczne. Istotny jest tu rejestr powierzeń i jego aktualność. Jest to szczególnie istotne w przypadku kontroli podmiotu, któremu powierzyliśmy dane osobowe (procesorowi). Rejestr umów powierzenia przetwarzania danych osobowych poza tym, że jest obowiązkową częścią dokumentacji, znacznie ułatwia odszukanie zapisów w konkretnych umowach, przykładowo, gdyby zaszła potrzeba skontrolowania, czy dany podmiot odpowiednio zabezpiecza powierzone mu przez nas dane.

Szkolenia osób upoważnionych

Ilość załączników do dokumentacji ODO jest różna. W dużej mierze zależy od podmiotu przetwarzającego dane osobowe. ABIeye kładzie duży nacisk na załączniki, które są najważniejsze i najczęściej się zmieniają. Bardzo korzystnym rozwiązaniem jest umożliwienie przeszkolenia (w formie e-learningu) poszczególnych pracowników i nadawania im upoważnień drogą elektroniczną przy równoczesnej kontroli ukończenia szkolenia oraz prowadzenia statystyki efektywności tych szkoleń. Jest to rozwiązanie dotąd na rynku niespotykane a, jak pokazuje praktyka, bardzo skuteczne!

Akredytowany kurs IOd potwierdzi Twoje wysokie kompetencje

Dobrze przygotowany program szkolenia, kończący się testem sprawdzającym wiedzę zapewnia odpowiednie zabezpieczenie organizacyjne. Nie do przecenienia jest również możliwość wyboru odpowiedniego szkolenia w zależności od branży oraz funkcji pełnionych przez poszczególnych pracowników.

Rejestr incydentów

Kolejną z ważniejszych części dokumentacji ochrony danych osobowych jest tzw. Instrukcja alarmowa, czyli procedura określająca zachowanie pracowników w przypadku zaistnienia incydentu ODO (np. wycieku lub bezprawnego udsotępnienia danych). Procedura jest dostępna dla wszystkich pracowników, dzięki czemu każdy z nich może się z nią swobodnie zapoznać. Poza umożliwieniem dostępu do dokumentów w tym punkcie ABIeye umożliwia pracownikowi zgłoszenie takiego incydentu, a także śledzenie jego rozwoju i zakończenia. Proces informacyjny jest prowadzony w formie elektronicznej, co znacznie przyspiesza całą procedurę i ogranicza do minimum ryzyko utraty kontroli nad przetwarzanymi danymi osobowymi. Jest to o tyle istotne, że w przypadku zaistnienia incydentu konieczne jest jak najszybsze poinformowanie o tym fakcie administratora bezpieczeństwa informacji ABI.

Zgłaszanie zbiorów

Jednym z zasadniczych obowiązków administratora danych osobowych jest zgłaszanie zbiorów, które temu podlegają, do GIODO. ABIeye również tu przychodzi z pomocą – możliwe jest oznaczenie statusów poszczególnych zbiorów: zgłoszony / nie podlegający zgłoszeniu. W obecnej wersji aplikacja jeszcze nie jest zintegrowana w zakresie rejestracji z platformą e-GIODO. Będzie jednak przedmiotem prac przy okazji jej aktualizacji.

Podsumowując

Diagnoza zgodności RODO - zrób to sam!

ABIeye stanowi bardzo pomocne narzędzie do przygotowania, wdrażania i zarządzania systemem ochrony danych osobowych w każdym podmiocie do tego zobowiązanym. Niezależnie od tego, czy jest to duża korporacja, sklep internetowy, urząd czy szkoła. Dostępność szkoleń w formie e-learningu pozwala w prosty i efektywny sposób zwiększyć bezpieczeństwo danych osobowych, które przetwarzamy.

Nowe narzędzie (zgodne z RODO) to ODO Nawigator

Czytaj także:

-
4.54/5 (50) 1
Najczęstsze błędy przy zawieraniu umów powierzenia
Administratorem Twoich danych jest ODO 24 sp. z o.o. z siedzibą w Warszawie (03-812) przy ul. Kamionkowskiej 45. Twoje dane są przetwarzane w celu świadczenia usługi biuletyn informacyjny na zasadach określonych w Regulaminie ŚUDE. Więcej informacji na temat procesu przetwarzania danych osobowych oraz przysługujących Ci praw uzyskasz w Polityce prywatności.
Potwierdź swój adres e-mail
Wejdź na swoją skrzynkę pocztową, otwórz wiadomość od ODO 24 i potwierdź adres e-mail, klikając w link.
Jeżeli nie znajdziesz naszej wiadomości - sprawdź w folderze SPAM. Aby w przyszłości to się nie powtórzyło oznacz wiadomość jako pożądaną (klikniknij prawym przyciskiem myszy i wybierz “Oznacz jako wiadomość pożądaną”).
Odbierz bezpłatny pakiet 4 poradników
i 4 szkoleń e-learningowych RODO
4x4 - Odbierz bezpłatny pakiet 4 poradników i 4 szkoleń RODO
Administratorem Twoich danych jest ODO 24 sp. z o.o. z siedzibą w Warszawie (03-812) przy ul. Kamionkowskiej 45. Twoje dane są przetwarzane w celu świadczenia usługi biuletyn informacyjny na zasadach określonych w Regulaminie ŚUDE. Więcej informacji na temat procesu przetwarzania danych osobowych oraz przysługujących Ci praw uzyskasz w Polityce prywatności.
Administratorem Twoich danych jest ODO 24 sp. z o. o. >>>