Wywiad z Tadeuszem Koczkowskim - Prezesem KSOIN i SWBN. Przewodniczącym Komisji Bezpieczeństwa Biznesu Regionalnej Izby Gospodarczej w Katowicach oraz Komitetu Bezpieczeństwa Biznesu Krajowej Izby Gospodarczej

Informacja w administracji publicznej | 2/2018

Krajowe Stowarzyszenie Ochrony Informacji Niejawnych (KSOIN) działa od 2005 roku i zajmuje się upowszechnianiem wiedzy dotyczącej bezpieczeństwa informacji, popularyzacją systemu i zasad ochrony informacji niejawnych, biznesowych i danych osobowych oraz innych danych prawnie chronionych.

Proszę o przybliżenie działalności KSOIN

Tadeusz Koczkowski: Krajowe Stowarzyszenie Ochrony Informacji Niejawnych (KSOIN) działa od 2005 roku i zajmuje się upowszechnianiem wiedzy dotyczącej bezpieczeństwa informacji, popularyzacją systemu i zasad ochrony informacji niejawnych, biznesowych i danych osobowych oraz innych danych prawnie chronionych. Nasze Stowarzyszenie organizuje liczne kursy, szkolenia, warsztaty, kongresy i fora. Współuczestniczy w przygotowaniu i prowadzeniu studiów podyplomowych z zakresu ochrony informacji. Udzielamy także przedsiębiorcom pomocy przy ocenie i wdrażaniu systemowych rozwiązań ochrony informacji, nowoczesnych technik i technologii bezpieczeństwa informacji, opracowaniu polityk bezpieczeństwa, tworzeniu zasad i procedur Systemu Zarządzania Bezpieczeństwem Informacji. KSOIN zainspirowało powołanie Stowarzyszenia Wspierania Bezpieczeństwa Narodowego (SWBN). Obydwa stowarzyszenia działają aktywnie na rzecz szeroko rozumianego bezpieczeństwa narodowego i ochrony informacji. Jesteśmy inicjatorami utworzenia Komisji Bezpieczeństwa Biznesu przy Regionalnej Izbie Gospodarczej w Katowicach oraz Komitetu Bezpieczeństwa Biznesu przy Krajowej Izbie Gospodarczej w Warszawie. Aktywnie uczestniczymy w życiu społecznym i gospodarczym naszego kraju podejmując wiele inicjatyw patriotycznych np. dla uświetnienia ważnych rocznic i wydarzeń m.in. 100-lecia naszej niepodległości. Przy tych okazjach wyróżniamy i nagradzamy przedsiębiorców, kierowników jednostek organizacyjnych, pracowników pionów ochrony oraz inne osoby zaangażowane na rzecz bezpieczeństwa narodowego i gospodarczego Polski. Podczas czerwcowego Kongresu Ochrony Informacji Niejawnych, Biznesowych i Danych Osobowych osoby szczególnie zasłużone dla kraju uhonorujemy „Pierścieniami Patrioty” i wyróżnimy tytułami „Lidera ochrony…” wraz z szablą oficerską. Na 9 listopada br. przygotowujemy Wieczornicę Patriotyczną z okazji naszego narodowego święta i 100. rocznicy odzyskania niepodległości, a uświetnieniu i upamiętnieniu tego wyjątkowego wydarzenia będzie służył „Pierścień Niepodległości”, który jest w końcowej fazie projektowania.

W jaki sposób KSOIN przygotowuje się do 25 maja br.?

T.K.: Nasze Stowarzyszenie już od dłuższego czasu bardzo mocno przygotowuje się do wprowadzenia nowego rozporządzenia Parlamentu Europejskiego i Rady (UE) z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: RODO). Od kilku miesięcy organizujemy wiele kursów i warsztatów, podczas których wybrani przez nas, najlepsi eksperci i fachowcy w tej dziedzinie uczą przedsiębiorców, pracowników jednostek administracyjnych oraz pracowników prywatnych firm w całej Polsce, jak radzić sobie z wdrażaniem nowych przepisów. Pragnę też zaznaczyć, że w ostatnich miesiącach, to właśnie szkolenia dotyczące RODO cieszyły się największym zainteresowaniem, dlatego zwiększyliśmy ich częstotliwość. W ostatnich tygodniach zrealizowaliśmy też kilka szkoleń na specjalne zlecenia dużych polskich firm. Naszym celem było jak najdokładniejsze wyjaśnienie wszystkich wątpliwości związanych z RODO i mamy nadzieję, że udało się nam go zrealizować.

Jaki wpływ na działania podejmowane w ramach ochrony informacji niejawnych będzie miało rozpoczęcie stosowania RODO?

T.K.: W interesie państwa i obywateli jest, aby ochrona informacji niejawnych i ochrona danych osobowych, niezależnie od stosowania przepisów RODO, stały na jak najwyższym poziomie i były ciągle doskonalone. Te dwa obszary naszego wspólnego bezpieczeństwa, czyli państwa i obywateli nawzajem, uzupełniają się i przenikają zarazem. Oczywiście, zwykły obywatel nigdy nie będzie miał nic wspólnego z ochroną informacji niejawnych, ale praktycznie zazwyczaj tam, gdzie przetwarzamy ogromne ilości danych osobowych, jak np. u operatorów komórkowych przetwarza on również i informacje niejawne. Nie będę rozwijał dalej tego wątku, ponieważ na dziś w społeczeństwie cyfrowym i gospodarce rynkowej opartej na wiedzy, wszyscy zdajemy sobie sprawę z konieczności dbania o nasze wspólne bezpieczeństwo, a jeśli tak to możliwości korzystania przez uprawnione organy państwa do monitorowania i kontrolowania przestrzeni publicznej, a jeśli tak to tam są przecież i nasze dane również. RODO będzie bardziej dotyczyć ochrony naszej prywatności i ochrony danych osobowych, nowe przepisy mają zapewnić ich bezpieczniejsze przetwarzanie. Od 25 maja br. firmy i przedsiębiorstwa będą musiały dostosować swoje systemy zabezpieczania i przetwarzania danych osobowych do charakteru ich działalności. Nowe przepisy nie narzucają określonego schematu działania, zatem każda z firm będzie musiała stworzyć taki system, co z pewnością będzie dla nich bardzo dużym wyzwaniem. Należy też zauważyć, że chociaż wprowadzenie nowych przepisów RODO wciąż dla wielu przedsiębiorców jest tematem tabu, nie należy go ignorować z uwagi na bardzo wysokie kary przewidziane za niestosowanie się do nowych przepisów. Niedopilnowanie obowiązków dotyczących ochrony danych osobowych wiąże się z karami sięgającymi 20 milionów euro lub 4% rocznego obrotu danej firmy.

Na co powinni zwrócić szczególną uwagę pracownicy pionów ochrony w kontekście RODO?

T.K.: Pracownicy pionów ochrony szczególną uwagę powinni zwrócić na jak najlepsze przeszkolenie i przygotowanie się do zmian, jakie wprowadza RODO. Dlatego też uważam, że udział w kursach czy warsztatach jest tutaj niezbędny, by „od podszewki” zgłębić ten jakże ważny obecnie temat. Pracownicy pionów ochrony szczególną uwagę powinni zwrócić przede wszystkim na ochronę tzw. danych wrażliwych, odpowiednie zabezpieczenie fizyczne takich danych oraz wprowadzanie odpowiednich rozwiązań organizacyjnych dotyczących ich przetwarzania.

Jakie zagadnienia związane z ochroną informacji niejawnych powinny być szczególnie wzięte pod uwagę przez administratorów danych w związku z przygotowaniem do stosowania RODO?

T.K.: Administratorzy danych coraz częściej zadają sobie pytanie: Czy RODO, ma jakiekolwiek zastosowanie do ustawy z 5.8.2010 r. o ochronie informacji niejawnych? Przecież RODO to dane osobowe, a nie informacje niejawne chronione (poniekąd) w wyższy sposób. Jednakże należy zaznaczyć, że pełnomocnicy ochrony przetwarzają dane osobowe (dane zawierające informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie imienia, nazwiska, numeru identyfikacyjnego, danych o lokalizacji itd.). Prowadzą oni między innymi wykazy wydanych zaświadczeń o przeszkoleniu, wydanych upoważnień, uprawnionych do dostępu do informacji niejawnych, teczki Akt Postępowań Sprawdzających itd. W związku z czym przetwarzają dane osobowe i to często o charakterze wrażliwym (np. wyroki skazujące – odpowiedzi z KRK, czy z kartotek ogólnie niedostępnych). RODO nie wyłącza zbiorów danych osobowych przetwarzanych w pionach ochrony. Procesy przetwarzania danych osobowych w obszarze informacji niejawnych to przede wszystkim:
• proces prowadzenia postępowań sprawdzających i wymiana danych z podmiotami uprawnionymi w czasie jego realizacji; • proces przechowywania akt postępowań sprawdzających; • proces prowadzenia/organizacji i dokumentowania szkoleń OIN; • proces prowadzenia ewidencji osób posiadających uprawnienia dostępu do OIN i wymiana danych z tej ewidencji z uprawnionymi organami.
Należy pamiętać, że osoby które wykonują czynności w ramach tych procesów mogą przetwarzać dane w nich występujące „na wyłączne polecenie Administratora Danych” – zgodnie z art. 32 ust. 4 RODO – powinny więc podpisać oświadczenie o zachowaniu poufności i otrzymać upoważnienie adekwatne do wykonywanych czynności. O tych i innych uwarunkowaniach, wzajemnych powiązaniach i zależnościach mówimy podczas naszych szkoleń, warsztatów, kongresów i forów. Zachęcam wszystkich zainteresowanych do uczestniczenia w najbliższym czerwcowym Kongresie, podczas którego będziemy na gorąco omawiali jak faktycznie wdrożyliśmy - i czy w ogóle - RODO, pierwsze uwagi, niejasności i wątpliwości z tym związane. Więcej o naszych działaniach na rzecz wspólnego naszego bezpieczeństwa publikujemy na stronach www.ksoin.pl, www.swbn.pl oraz w mediach społecznościowych. Zachęcam i zapraszam do korzystania.