Bądźmy ostrożni i nie udostępniajmy naszych danych osobowych nieznanym podmiotom – apeluje minister Andrzej Lewiński, zastępca GIODO.

W opinii ministra Andrzeja Lewińskiego, zastępcy Generalnego Inspektora Ochrony Danych Osobowych (GIODO), brak należytej staranności i nasza niefrasobliwość bardzo często prowadzą do kradzieży tożsamości. Tymczasem o pozyskanie naszych danych, by następnie wykorzystać je w przestępczych celach, starają się „zawodowcy”, stosujący wyrafinowane niekiedy sposoby i metody.

Często myślimy, że kradzież tożsamości to sztuczny problem, z którym nigdy nie będziemy mieli do czynienia. Pomimo wiedzy, że takie zjawisko istnieje, uważamy, że nam nic złego się nie przydarzy. Tymczasem każdy z nas narażony jest na to, że ktoś skradnie nam naszą tożsamość i - podszywając się pod nas - zaciągnie na nasze konto np. kredytu w banku. To my będziemy musieli go spłacać, bo oficjalnie to my figurujemy jako kredytobiorca.

 Znany jest przypadek starszego małżeństwa, które popełniło samobójstwo, gdy egzekutor zaczął domagać się od nich spłaty kredytu, którego nigdy nie zaciągnęli. Dlatego żeby nie dopuścić do kradzieży tożsamości, udostępniając swoje dane osobowe powinniśmy zachować należytą staranność i ostrożność, zwłaszcza w kontaktach z osobami, których nie znamy – mówił minister Andrzej Lewiński w rozmowie z redaktor Darią Górką z TVN24 z programu „Czarno na białym”.

Przestrzegał, że konsekwencje finansowe, to nie jedyne, jakie mogą nas spotkać, gdy ktoś się pod nas podszyje i kupi coś w naszym imieniu lub zaciągnie innego rodzaju zobowiązania. Bowiem osoby, którym skradziono tożsamość narażone są także na konieczność stawiania się na każde wezwanie organów ścigania prowadzących sprawy przestępstw popełnionych z użyciem naszych danych. Żeby temu zapobiec minister Andrzej Lewiński zadeklarował, że Generalny Inspektor będzie popierał utworzenie specjalnego rejestru osób, którym skradziono tożsamość. Dzięki niemu nie będą one musiały składać wyjaśnień we wszystkich postępowaniach prowadzonych przez policję czy sąd. Wystarczy bowiem jednorazowe oczyszczenie ich z zarzutu i odnotowanie tego w rejestrze. Uchroni to osoby, którym skradziono tożsamość, przed czasochłonnymi i kosztownymi – często poza miejscem ich zamieszkani – wizytami na policji czy w sądzie, a także usprawni pracę tych organów.

 

 

Unijne rozporządzenie dotyczące ochrony danych osobowych wprowadza nowe instrumenty, które mają poprawić ochronę naszych danych. Są to m.in.: podejście oparte na ryzyku, pseudonimizacja i certyfikacja.

Koncepcja podejścia opartego na ryzyku (Risk Based Approach, RBA), zakłada, że im ryzyko związane z przetwarzaniem danych osobowych jest większe, tym większy powinien być zakres obowiązków ciążących na administratorze danych. Dr Edyta Bielak-Jomaa, Generalny Inspektor Ochrony Danych Osobowych (GIODO) w rozmowie z redaktor Beatą Marek dla rpodo.eu podkreśliła, że w rozwiązanie to będzie miało szczególnie istotny wpływ na działalność tych podmiotów, które korzystają np. z BIG DATA bądź chmury obliczeniowej (cloud computing).

Zaznaczała, że zarówno Parlament, jak i Rada w projektach ogólnego rozporządzenia wskazują, iż ocena ryzyka powinna zostać przeprowadzona z uwzględnieniem charakteru, zakresu, kontekstu i celu przetwarzania oraz prawdopodobieństwa i powagi zagrożenia dla praw i wolności osób fizycznych. –Przykładowo im zakres przetwarzanych danych jest szerszy bądź obejmuje dane osobowe wrażliwe, tym poziom zabezpieczenia powinien być wyższy – mówiła dr Edyta Bielak-Jomaa.

Pytana o dobrowolną certyfikację dla wykazania przez administratora lub przetwarzającego zgodności działania z ochroną danych osobowych, wskazała, że w procesie tworzenia systemów certyfikacyjnych, czy to na poziomie krajowym, czy na poziomie europejskim, ważną rolę będą musiały odgrywać organy ochrony danych osobowych, gdyż wprowadzenie mechanizmów certyfikacji w żadnym razie nie może prowadzić do obniżenia standardów ochrony danych osobowych określonych przepisami prawa.–Jednocześnie certyfikacja nie wyłączy uprawnień kontrolnych organów ochrony danych osobowych – podkreśliła.

Odnosząc się zaś do kwestii pseudonimizacji proponowanej w projektach rozporządzenia podkreśliła, że wskazane byłoby wręcz wprowadzenie ogólnego obowiązku anonimizacji lub pseudonimizacji danych osobowych, tam gdzie jest to wykonalne i proporcjonalne w stosunku do celu przetwarzania danych.

 

 

Opublikowanie w BIP szpitala psychiatrycznego danych osób, które nie odebrały depozytów, pośrednio sugeruje, że leczyły się one w tej placówce.

O skomentowanie opublikowania w BIP jednego ze szpitali psychiatrycznych listy z danymi osób, które nie odebrały depozytów, zwróciła się do Generalnego Inspektora Ochrony Danych Osobowych (GIODO) Telewizja TVN24. Minister Andrzej Lewiński, zastępca GIODO, w rozmowie z reporterem tej stacji zaznaczył, że wprawdzie treść art. 6 ust. 5 ustawy z dnia 18 października 2006 r. o likwidacji niepodjętych depozytów przesądza, że w sytuacji, w której brak było możliwości doręczenia wezwania do odbioru depozytu lub ustalenia uprawnionego, szpital ma obowiązek dokonać wezwania do odbioru depozytu poprzez jego wywieszenie na tablicy informacyjnej w swojej siedzibie na okres 6 miesięcy, a jeśli szacunkowa wartość depozytu przekracza 5 000 zł, - zamieścić również ogłoszenie w dzienniku poczytnym w danej miejscowości lub w Biuletynie Informacji Publicznej.

Podkreślił jednak, że nikt nie zwrócił uwagi na niezmiernie ważny przepis art. 27 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Dotyczy on przetwarzania danych wrażliwych, do których zalicza się m.in. informacje o stanie zdrowia.

W tym przypadku powinien być on brany pod uwagę, gdyż upublicznione przez szpital informacje o osobach, które nie odebrały depozytów, mogą pośrednio sugerować, że były one pacjentami tej placówki, a tym samym świadczyć o ich stanie zdrowia.

Powołany przepis przesądza zaś, że przetwarzanie danych wrażliwych bez zgody osoby, której dane dotyczą, jest legalne wówczas, gdy zezwala na to przepis szczególny innej ustawy, stwarzający pełne gwarancje ich ochrony.

 Mam poważne wątpliwości co do zgodności art. 6 ust. 5 ustawy o likwidacji niepodjętych depozytów z przepisami ustawy o ochronie danych osobowych, która wyraźnie mówi, że przetwarzanie danych szczególnie wrażliwych musi stwarzać pełne gwarancje ochrony danych pacjenta – powiedział minister Andrzej Lewiński. – Z drugiej strony, niezastosowanie się przez szpital do przepisu ustawy może skutkować odpowiedzialnością Skarbu Państwa za przywłaszczenie, bezpodstawne wzbogacenie lub nawet zagarnięcie mienia – dodał.

Zaznaczył, że powołany przepis ustawy o likwidacji niepodjętych depozytów powinien być doprecyzowany tak, by jego stosowanie nie prowadziło do naruszania prawa do ochrony danych osobowych.

Minister Andrzej Lewiński dodał ponadto, że potrzebne jest podjęcie wzmożonych działań edukacyjnych na rzecz podnoszenia świadomości osób, które mają do czynienia z danymi o stanie zdrowia, by dbały o ich należyte zabezpieczenie.

 

Współpraca GIODO z Wydziałem Prawa i Administracji Uniwersytetu Warszawskiego będzie dotyczyła prawnych aspektów ochrony prywatności i danych osobowych.

Działalność naukowo-badawcza, edukacyjna, a także dotycząca promocji i wydawnictw, to przewidywane obszary wspólnej aktywności obu stron porozumienia. Będzie ona dotyczyła m.in. takich zagadnień, jak: prowadzenie monitoringu krajowych i światowych rozwiązań ochrony prywatności, danych osobowych oraz tajemnic prawnie chronionych, współorganizowanie seminariów, sympozjów i konferencji naukowych. W ramach współpracy edukacyjnej i dydaktycznej będą prowadzone szkolenia z udziałem zarówno ekspertów z GIODO, jak i z UW. Planuje się również wspólną realizację projektów zewnętrznych (krajowych i unijnych) w obszarze ochrony prywatności, danych osobowych i tajemnic prawnie chronionych,. W obszarze zaś działalności wydawniczej przewidziane jest wspólne wydawanie monografii i materiałów konferencyjnych dotyczących ochrony prywatności i danych osobowych. Dodatkową wartością tej umowy jest zapowiedź utworzenia – przy merytorycznym i kadrowym wsparciu GIODO – studiów podyplomowych na Wydziale Prawa i Administracji UW.

Zacieśnienie i sformalizowanie współpracy między GIODO a Wydziałem Prawa i Administracji UW zapowiadane było już w maju 2015 r. podczas spotkania przedstawicieli obu instytucji. Obecnie weszło zaś w fazę realizacji.

Porozumienie zostało zawarte 5 listopada 2015 r. Podpisała je dr Edyta Bielak-Jomaa, Generalny Inspektor Ochrony Danych Osobowych (GIODO) oraz prof. dr hab. Krzysztof Rączka, Dziekan Wydziału Prawa i Administracji. Podczas uroczystości obecni byli także minister Andrzej Lewiński, zastępca GIODO oraz prof. dr hab. Tomasz Giaro, Prodziekan ds. współpracy z zagranicą i kadry naukowej.

To już kolejne, 16. porozumienie organu ds. ochrony danych osobowych z wyższą uczelnią. Wykaz tych, z którymi GIODO już współpracuje jest dostępny tutaj.

 

 

 

W dniu 10 października 2015 r. rozpoczęły się zajęcia na pierwszej edycji studiów podyplomowych „Wykonywanie funkcji  administratora bezpieczeństwa informacji” organizowanych przez  Instytut Nauk Prawnych Polskiej Akademii Nauk pod patronatem Generalnego Inspektora Ochrony Danych Osobowych oraz Stowarzyszenia Administratorów Bezpieczeństwa Informacji.

W tym dniu uroczystego otwarcia studiów – razem z prof. Władysławem Czaplińskim, dyrektorem Instytutu Nauk Prawnych PAN oraz Maciejem Byczkowski, Prezesem Stowarzyszenia ABI – dokonał Minister Andrzej Lewiński, Zastępca Generalnego Inspektora Ochrony Danych Osobowych (GIODO). Wykład inauguracyjny wygłosił prof. Zbigniew Cieślak na temat aksjologii ochrony informacji.

 Działalność obecnych administratorów bezpieczeństwa informacji, a pod rządami przyszłego unijnego ogólnego rozporządzenia - inspektorów ochrony danych, stanowi podstawowy element przestrzegania przepisów o ochronie danych osobowych. Dlatego tak ważne jest właściwe przygotowanie merytoryczne tych osób oraz ich postawy etyczne – powiedział minister Andrzej Lewiński.

Na rozpoczętych studiach podyplomowych 80 słuchaczy przygotowuje się do wykonywania zadań administratora bezpieczeństwa informacji. W programie studiów przewidziano m.in. przedmioty dotyczące prawnych obowiązków z zakresu ochrony danych osobowych i zasad zarządzania bezpieczeństwem informacji oraz blok warsztatowy, służący nauce przeprowadzania czynności przez ABI. Poza zagadnieniami prawnymi na zajęciach będą omawiane kwestie bezpieczeństwa technicznego danych osobowych oraz zagadnienia etyki wykonywania funkcji ABI i jej psychologicznych aspektów. Ze względu na ogromne zainteresowanie studiami podyplomowymi już obecnie zapowiedziano uruchomienie drugiej ich edycji w następnym roku kalendarzowym.

 

Trybunał Konstytucyjny podzielił zastrzeżenia GIODO do niektórych przepisów nowelizacji Prawa o ustroju sądów powszechnych.

Zastrzeżenia Generalnego Inspektora Ochrony Danych Osobowych (GIODO) budziła kwestia przyznania ministrowi sprawiedliwości statusu administratora danych osobowych w odniesieniu do, zawartych w centralnych systemach teleinformatycznych obsługujących postępowanie sądowe lub sądy, danych stron, pełnomocników uczestników postępowań sądowych i innych osób uczestniczących w postępowaniach sądowych. Swoje uwagi organ do spraw ochrony danych osobowych zgłaszał zarówno na etapie prac rządowych nad projektem założeń przedmiotowej ustawy, jak i na etapie prac nad projektem ustawy, a następnie na etapie prac parlamentarnych.

W opinii GIODO, regulacja, zgodnie z którą organ władzy wykonawczej (minister sprawiedliwości) miałby decydować o celach i środkach przetwarzania danych osobowych uczestników postępowań sądowych (w szerokim rozumieniu tego pojęcia), pozostawała w sprzeczności z zasadą odrębności i niezależności władzy sądowniczej od innych władz (art. 173 Konstytucji RP) oraz budziła wątpliwości w kontekście zasady trójpodziału władz (art. 10 ust. 1 Konstytucji RP).

Niestety, argumentacja GIODO przez dłuższy czas nie znajdowała zrozumienia. Główny problem polegał na niezrozumieniu roli, jaką minister sprawiedliwości pełnić ma w procesie informatyzacji oraz w ramach nadzoru administracyjnego ministra nad sądami.

W pierwszej z tych kwestii GIODO uważał, iż rola ta ma być ograniczona jedynie do administrowania systemem informatycznym, tak aby zapewniony został maksymalny stopień zabezpieczenia danych osobowych w nim zawartych. Co do drugiej kwestii, organ ds. ochrony danych osobowych uważał, iż realizacja zadań ministra sprawiedliwości w ramach wykonywanego przez niego nadzoru zewnętrznego (administracyjnego) może się odbywać bez dostępu do akt spraw sądowych zawierających ogromne ilości danych osobowych, w tym danych wrażliwych.

Trybunał Konstytucyjny w pełni podzielił stanowisko GIODO i w motywach ustnych przytaczał wprost uwagi GIODO wyrażone podczas odbywającej się 1 października 2015 r. rozprawy.

W opinii dr Edyty Bielak-Jomaa, Generalnego Inspektora Ochrony Danych Osobowych, wydany 14 października 2015 r. wyrok TK w tej sprawie to bezdyskusyjne zwycięstwo GIODO, zaś dla wszystkich odpowiedzialnych za informatyzację w Polsce cenna wskazówka, w jaki sposób i na jakim etapie musi być dokonywana analiza wpływu planowanych przedsięwzięć na ochronę prywatności. Jest to również dowód na to, że pomijanie stanowiska GIODO w procesie legislacyjnym może prowadzić do postawienia zarzutów dotyczących naruszenia gwarantowanych przez Konstytucję RP praw, w tym prawa do prywatności.