Czy BS będzie musiał powołać Inspektora Ochrony Danych (obecnie ABI)?

IOD w Banku Spółdzielczym b

Co RODO stanowi nt. obowiązku powołania Inspektora Ochrony Danych? Otóż powołanie IOD jest obowiązkowe dla podmiotów publicznych oraz w przypadku przetwarzania danych wrażliwych.

Ale odnieśmy się do Banku Spółdzielczego. Otóż RODO nakazuje powołać IOD, zawsze gdy:

główna działalność administratora […] polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dotyczą, na dużą skalę […]”.

Przeanalizujmy zatem powyższe precyzyjne.

Główna działalność BS-u to działalność bankowa. Niewątpliwie polega ona w dużym stopniu na operacjach przetwarzania danych osobowych.  I teraz pytanie z kategorii „co poeta miał na myśli?”:

Głos IT GŁos ABI bmpCzy Państwa Bank, wykonując operacje na danych osobowych monitoruje osoby, których dane przetwarza? I dalej:

Czy to monitorowanie (a może przetwarzanie? – bo z konstrukcji zdania to nie wynika) odbywa się  „na dużą skalę” (nie wiem po postawiono w RODO przecinek przed słowem „na”)?

Czy owego monitorowania dokonują Państwo „regularnie i systematycznie” (nie wiem po co dodano „systematycznie”, skoro pojęcie „regularnie” zawiera w sobie także systematyczność?

Konia z rzędem temu, kto wyjaśni co oznacza „regularne i systematyczne monitorowanie osób […], na dużą skalę”.

Takich „kwiatków” jest w RODO mnóstwo – mam tę wątpliwą przyjemność zapoznawać się z tym aktem dość szczegółowo, słucham też wielu wykładów, czytam różne interpretacje. Praca niewdzięczna, bo wykonując ją widzę coraz więcej znaków zapytania…

Oczywiście będzie tak, że większość BS-ów powoła IOD (bądź przekonwertuje na IOD obecnego ABI), ale czy nie byłoby lepiej, gdyby prawo było napisane jasno i precyzyjnie?

Tu program tegorocznego „Głosu ABI ? IOD” (17-18 kwietnia):

Zaktualizowany program konf. „Głos ABI (IOD)”

Zaktualizowany program konf. „Głos ABI (IOD)”

Powiązane wpisy

12 komentarze na temat “Czy BS będzie musiał powołać Inspektora Ochrony Danych (obecnie ABI)?

  1. Paweł Waniek

    RODO jest sformułowane w taki sposób, że pozostawia wiele otwartych furtek jeśli chodzi o wyłączenia z jego stosowania. Z tym, że jeśli już zdecydujemy się przez taką furtkę przejść to MY będziemy musieli przy ewentualnej kontroli udowodnić, że rzeczywiście mieliśmy prawo to zrobić i że nasza decyzja była słuszna. Dlatego też wszystko należy oprzeć na analizie i mieć dowody, że powzięte przez nas decyzje nie były na zasadzie „widzi mi się” tylko z czegoś wynikały. Definicje regularnego i systematycznego monitorowania znajdziemy w wytycznych Grupy Roboczej art. 29 dotyczących powołania IOD. Przy czym od razu spieszę poinformować, że banki spółdzielcze w myśl RODO jak najbardziej będą zobligowane do powołania Inspektora u siebie. Nawet jeśli pojęcie „dużej skali” rodzi tutaj pewne wątpliwości (a rodzi na pewno choć i tutaj możemy się posiłkować tym co zostało zawarte w wymienionych przeze mnie wytycznych), to takowych wątpliwości nie ma już w ujęciu „głównej działalności Administratora”. Główną działalnością banków jest świadczenie usług finansowych (wspomniana przez Ciebie Albercie „działalność bankowa”), ale nie da się jej świadczyć bez przetwarzania danych osobowych klientów. Zatem, skoro w wytycznych o Inspektorze Ochrony Danych znajdziemy przykład szpitala, jako podmiotu zobligowanego do powołania IOD (główna działalność szpitala to ratowanie zdrowia i życia ludzkiego, ale nie da się tego robić bez prowadzenia historii choroby pacjenta – czyli przetwarzania jego danych, do tego sensytywnych) to analogicznie nie ma najmniejszych wątpliwości co do tego, że banki ( w tym spółdzielcze) również będą musiały mieć u siebie takowego Inspektora. Kwestią do rozstrzygnięcia pozostaje jedynie czy będzie to osoba na etacie czy jednak banki zdecydują się na outsourcing. W mojej opinii, bazując na nowych uwarunkowaniach prawnych, w większości przypadków będzie to jednak outsourcing.

  2. gro

    W wytycznych Grupy roboczej art. 29 dotyczących inspektorów ochrony danych mamy wprost napisane, że „Do przykładów „przetwarzania na dużą skalę” zaliczyć można przetwarzanie danych klientów przez banki albo ubezpieczycieli w ramach prowadzonej działalności”.
    Kolejny problem jaki się pojawia to niezależność i konflikt interesów. Do tej pory banki spółdzielcze radziły sobie w ten sposób, że funkcja ABI była przypisywana w większości przypadków do funkcjonującego już w banku stanowiska, czy to członka zarządu, głównego księgowego, kierownika działu IT, itp. W RODO mówi się o niezależności DPO. I tutaj znów zacytuję wytyczne GR art. 29 w tym zakresie:
    „…Pozostałe zadania i obowiązki DPO nie mogą prowadzić do konfliktu interesów. Oznacza to po pierwsze, że DPO nie może zajmować stanowiska w organizacji, które prowadziłoby go do określania celów i sposobów przetwarzania danych osobowych… Za powodujące konflikt interesów uważane będą stanowiska kierownicze (dyrektor generalny, dyrektor ds. operacyjnych, dyrektor finansowy, dyrektor ds. medycznych, kierownik działu marketingu, kierownik działu HR, kierownik działu IT), ale również niższe stanowiska, jeśli biorą udział
    w określaniu celów i sposobów przetwarzania danych.”
    Dlatego pozostaje albo utworzenie kolejnego niezależnego stanowiska w banku spółdzielczym, które to będzie zajmowało się wyłącznie ochroną danych osobowych, albo jak pisze pan Paweł Waniek, zdecydować się na outsourcing, co w przepadku BS-ów wydaje się być rozsądnym rozwiązaniem. Szkoda tylko, że banki zrzeszające nie robią nic w tym zakresie…

    1. Albert Sadowski

      Odnosząc się do pierwszego dokumentu: ano właśnie – tak jak napisałem w jednym z art., żeby jakąś sprawę sobie rozjaśnić, niewykluczone, ze będziemy zmuszeni zajrzeć do 3 dokumentów:
      – RODO,
      – naszą Ustawę o ODO – jako suplement do RODO,
      – wytyczne Grupy Roboczej – jako suplement do naszej Ustawy o ODO, i przy okazji – do RODO.
      Mówiąc językiem młodzieżowym, będzie to tzw. „masakra”; żeby coś ustalić, będziemy musieli penetrować 3 dokumenty. A co jeśli okażą się niespójne (jak to nierzadko bywa przy takich rozproszonych źródłach informacji)?
      Tu cały art.: http://bsblog.pl/2018/02/20/czy-przepisow-odo-bedziemy-musieli-szukac-az-w-3-dokumentach/

      1. gro

        Żeby tylko trzy. Według mnie może być tego znacznie więcej, z tego co przychodzi mi do głowy:
        1) RODO
        2) wytyczne Europejskiej Rady Ochrony Danych (ten organ zastąpi GR art. 29)
        3) Ustawa krajowa o ODO
        4) Zapisy w innych ustawach sektorowych, w których pojawią się zapisy związane z ochroną danych osobowych w związku ze stosowaniem RODO, np. prawo bankowe, kodeks pracy, itp.
        5) Nowy Urząd, który zastąpi GIODO również będzie miał swoje wytyczne
        6) Kodeksy postępowania (wydane np. przez Związek Banków Polskich)

        1. Albert Sadowski

          Nic tylko siedzieć i studiować przepisy 🙂 No i jeszcze klientów z Banku wypędzić, żeby w tym studiowaniu nie przeszkadzali.

    2. Albert Sadowski

      Pisze Pan: „zdecydować się na outsourcing, co w przepadku BS-ów wydaje się być rozsądnym rozwiązaniem. Szkoda tylko, że banki zrzeszające nie robią nic w tym zakresie…:” – myślę, że jeżeli kwota za taki outsourcing ABI-ego przez bank zrzeszający nie przekroczyłaby 15 000 zł miesięcznie, to byłoby to całkiem dobre rozwiązanie 🙂 🙂 😉

  3. Albert Sadowski

    Odnoszę się do:
    „Dlatego pozostaje albo utworzenie kolejnego niezależnego stanowiska w banku spółdzielczym, które to będzie zajmowało się wyłącznie ochroną danych osobowych, albo jak pisze pan Paweł Waniek, zdecydować się na outsourcing, co w przepadku BS-ów wydaje się być rozsądnym rozwiązaniem. Szkoda tylko, że banki zrzeszające nie robią nic w tym zakresie…”
    Napiszę sarkastycznie: BS-y będą zachwycone – wszak wiadomo, że pieniędzy mają jak lodu, nie wiedzą co z nimi robić… A tu przychodzi z pomocą regulator i podaje pomysł jak wydać pieniądze na kolejne stanowisko w Banku, lub usługę zewnętrzną. Jak to dobrze, że władza chce naszego dobra..
    Tylko, że nam już tego dobra tak mało zostaje, przy 70% podatkach… (licząc razem PIT, CIT, VAT, akcyzę i ZUS).

  4. Paweł Waniek

    W kwestii ochrony danych Zrzeszenia mogą i powinny wydać wzorcowe regulacje (w SGB takowa spodziewana jest w kwietniu). Natomiast w przypadku outsourcingu to w zasadzie jedyne co mogą zrobić to stworzyć listę firm zajmujących się przedmiotową sprawą i polecać te podmioty bankom spółdzielczym. Bo o ile może być jeden IOD dla kilku banków znajdujących się powiedzmy blisko siebie, to nie ma mowy, żeby był jeden ABI/IOD dla całego zrzeszenia. Wynika to z tego, że do Inspektora ma być łatwy dostęp – zarówno jeśli chodzi o organ nadzorczy, podmioty które on obsługuje jak i o klientów tych podmiotów, którzy będą mieć prawo się z nim kontaktować w sprawach związanych z ochroną danych. W przypadku kilku banków obsługiwanych przez jednego IOD/firmę jest to do zrobienia. W przypadku kilkudziesięciu, nie mówiąc o kilkuset, jest to niemożliwe…no chyba, że firma świadcząca tę usługę będzie prawdziwym „gigantem” zatrudniającym rzeszę Inspektorów.

    1. Albert Sadowski

      Piszesz Pawle: „W kwestii ochrony danych Zrzeszenia mogą i powinny wydać wzorcowe regulacje (w SGB takowa spodziewana jest w kwietniu)”. Powiem tak: JUŻ SIĘ BOJĘ 🙂 – jak sobie przypomnę te nieszczęsne „wzorce” regulacyjne dot. Rekomendacji D, czy PCD. Z drugiej strony w BS-ach nie bardzo ludzie mają czas i ochotę „płodzić” takie dokumenty. Bo to przeszkadza w istotnej pracy – nie wiadomo co gorsze: przyjąć te nieszczęsne „wzorce”, czy marnować czas samemu na pisanie np. „Rejestru czynności przetwarzania” i „Rejestru kategorii czynności przetwarzania”, próbując odgadnąć co regulator chce, żeby w nich było zapisane.
      Nie kijem, to pałką…
      A można byłoby i prościej, i taniej, i lepiej – nie „uszczęśliwiać” gospodarki tymi horrendalny regulacjami

  5. Paweł Waniek

    No to powiem Ci Albercie w ten sposób: na dobrą sprawę w nowym porządku prawnym…nie ma obowiązku prowadzenia dokumentacji :). Tzn. nie w takiej formie jak obecnie. Owszem Rejestr czynności przetwarzania trzeba będzie mieć i trzeba będzie, zgodnie z zasadą rozliczności, umieć wykazać/udowodnić swoje działania, ale wymogu posiadania „Polityki Bezpieczeństwa” czy „Instrukcji zarządzania systemem informatycznym” nie ma. Co oczywiście nie zmienia faktu, że zwyczajnie życie i praktyka zmusza banki oraz wiele innych podmiotów do posiadania tego typu lub podobnych regulacji. Odetchną jednak Ci (zwłaszcza mikroprzedsiębiorcy), którzy na gruncie obecnych przepisów byli zobligowani do prowadzenia takiej dokumentacji – co z racji na skalę ich działalności było bez sensu, a teraz będą z tego obowiązku zwolnieni.

    1. Albert Sadowski

      Pawle, jest takie zdanie w RODO, w art. 30, opisującym co ma być w „Rejestrze czynności”. Ust. 1, p. g)”
      „jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1.”
      A ogólny opis technicznych i org. śr. bezp., można zinterpretować właśnie jako treści zawarte „Polityka bezp.” + „Instrukcja”. Można…
      No bo tu szereg pytań: co to znaczy „ogólny opis”? – czy taki jak w PB i Instrukcji to jest ogólny?
      I pytanie kolejne – co to znaczy „jeżeli jest to możliwe”? Czy to sami oceniamy, czy inspektor? Jakie są kryteria tej oceny?
      Czyli może wyjść na to, że:
      – ktoś tam uzna, że to nie jest „możliwe” i w rejestrze nie będzie miał treści z PB i Instrukcji
      – ktoś inny uzna, że JEST to „możliwe” a jako ogólny opis zakwalifikuje treść dok PB i Instrukcji
      To dwa skrajnie odmienne podejścia – RODO jest tu niemiłosiernie nieprecyzyjne i do obu konkluzji dojść pozwala.
      Pytania zasadnicze – czy to Bank będzie decydował, co ma byc w Rejestrze, czy też Inspektor GIODO będzie miał tu głos decydujący (gdy np. uzna, że owszem, jest to możliwe, i że „ogólny opis technicznych i organizacyjnych środków bezpieczeństwa” to właśnie to, co w PB i Instrukcji. Jeśli tak, to wtedy de facto oba te dokumenty będą, wciśnięte do kolejnego, jeszcze bardziej opasłego…

  6. Andy

    Z lat ubiegłych przyzwyczajono nam, że narzucane są nam wszelkie regulacje, wykładnie czy sposoby działania. Wokół tych regulacji” tworzą się różne lobby, które uważają, że mają panaceum na wszystko. Tak jest i obecnie przy wejściu RODO.
    Obowiązuje ono już od 2 lat i jakoś Ci „regulatorzy” nie potrafili się dostosować do RODO.
    Obecnie pod naciskami różnych gremiów tworzy się przeróżne wykładnie tak naprawdę tego czego nie zawiera RODO.
    Biorąc czynny udział w konsultacjach przed wprowadzeniem GDPR (skrót z ang) ideą wnioskodawców właśnie było skonstruowanie takich regulacji ogólnoeuropejskich aby były na tyle elastyczne, aby były możliwe do przyjęcia przez ogół krajów EU oraz aby ADO mógł podjąć decyzję przy wdrażaniu RODO adekwatną do jego warunków, jego potrzeb i jego możliwości zarówno finansowych i technicznych.
    Większość zakładała, że ADO to partner odpowiedzialny w którego interesie jest właściwa ochrony danych (z naciskiem podkreślam ochronę danych – jako wszelkich danych podmiotu stanowiących jego zasoby nie tylko danych osobowych).
    Obecne próby narzucania swych regulacji przez niektóre gremia całkowicie kłócą się z ideą GDPR.
    Niestety jest i druga prawda znaczna część ADO jeszcze do tej pory nie ma pojęcia czym jest ochrona danych osobowych. Powołani ABI/ IOD muszą walczyć ze starymi przyzwyczajeniami.
    Wychodząc z założenia, że powołali IOD dawniej ABI (chyba skrót był ładniejszy) i to jego problem. Nic bardziej mylnego- bez prawdziwego zaangażowania co najmniej kadry zarządzającej, moim zdaniem i większości pracowników prawidłowe wdrożenie i realizacja RODO jest niemożliwa.
    Są i tacy, którzy sądzą, że powołali IOD tylko na czas sporządzenia Polityki, Instrukcji a potem to już zbędny balas. O czym świadczyć może obciążanie Inspektora zbytnimi innymi obowiązkami, które tak naprawdę nie pozwalają mu na prawidłowe spełnianie swej funkcji.
    Ale są i tacy co kupili druczki za 400 – 600zł i sądzą, że wdrożyli Ochronę Danych przetwarzając tymczasem dane wielu tysięcy osób przez wiele dziesięciolecia wykorzystując na co dzień ich profilowanie i zlecając innym podmiotom ich analizę albo po prostu handlują tymi danymi . Zapominając o prawach tych osób lub po prostu nonszalancko lekceważąc je.
    Oj nie jeden ADO przebudzi się czytając wyniki kontroli.
    I dlatego jest bat – kary.
    Przepraszam, że trochę odbiegłem od BS – tu muszę pochwalić, że BS z którymi mam kontakt poważnie podchodzą do tych kwestii – tak więc jest promyczek nadziei, iż w tym Kraju inni pójdą za dobrymi przykładami.