ABC ochrony danych osobowych

Przedsiębiorca, niezależnie od branży, w której działa prowadząc działalność gospodarczą, prawie zawsze korzysta z danych osobowych.

Ponieważ problematyka ochrony danych osobowych jest skomplikowana, często pojawiają się wątpliwości, w jaki sposób chronić dane osobowe czy jakie obowiązki spoczywają na administratorze danych osobowych w związku z przetwarzaniem z danych. Poniżej omawiamy podstawowe kwestie związane z ochroną danych osobowych.

W związku z prowadzoną działalnością, niemal każdy przedsiębiorca gromadzi, przechowuje, korzysta z danych osobowych swoich pracowników, kandydatów do pracy, współpracowników, osób, z którymi ma zawarte umowy cywilnoprawne (np. zlecenia, o dzieło), informacji o kontrahentach. Oznacza to, iż przedsiębiorca jest administratorem danych osobowych w rozumieniu Ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz. U. z 2014 r. poz. 1182) na których przepisy prawa nakładają określone obowiązki.

2304874364_b7ea60191e_o (1)Dokumentacja przetwarzania danych osobowych

Ustawa o ochronie danych osobowych zobowiązuje każdy podmiot przetwarzający dane osobowe do prowadzenia dokumentacji opisującej sposób przetwarzania danych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych (art. 36 Ustawy o ochronie danych osobowych).

Szczegółowe wymogi dotyczące sposobu prowadzenia i zakres dokumentacji oaz podstawowe warunki techniczne i organizacyjne, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, zostały określone w Rozporządzeniu w sprawie dokumentacji przetwarzania danych osobowych.

Z treści § 3 Rozporządzenia w sprawie dokumentacji przetwarzania danych osobowych wynika, iż na dokumentację opisującą sposób przetwarzania danych osobowych składają się dwa dokumenty  tj. Polityka bezpieczeństwa oraz Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych.

Dokumentacja powinna być prowadzona w formie pisemnej. Obowiązek wdrożenia dokumentacji, a więc jej opracowania i upowszechnienia wśród osób przetwarzających dane, spoczywa na administratorze danych.

Polityka bezpieczeństwa to zestaw praw, reguł i praktycznych doświadczeń regulujących sposób zarządzania, ochrony i dystrybucji danych osobowych wewnątrz określonej organizacji. Polityka bezpieczeństwa powinna odnosić się całościowo do problemu zabezpieczenia danych osobowych u administratora danych, tj. zarówno do zabezpieczenia danych przetwarzanych tradycyjnie (w formie papierowej), jak i danych przetwarzanych w systemach informatycznych. Celem polityki bezpieczeństwa jest wskazanie działań, jakie należy wykonać, oraz ustanowienie zasad i reguł postępowania, które należy stosować, aby właściwie wykonać obowiązki administratora danych w zakresie zabezpieczenia danych osobowych.

Zgodnie z treścią § 4 Rozporządzenia w sprawie dokumentacji przetwarzania danych, osobowych Polityka bezpieczeństwa powinna zawierać w szczególności:

  1. wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe;
  2. wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych;
  3. opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi;
  4. sposób przepływu danych pomiędzy poszczególnymi systemami;
  5. określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.

Drugi ze wskazanych powyżej dokumentów składających się na dokumentację przetwarzania danych osobowych to Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych.

Dokument ten wymagany jest jedynie od administratorów, którzy przetwarzają dane w systemie informatycznym. Szczegółowy  zakres, jaki powinna zawierać instrukcja został określony w § 5 Rozporządzenia w sprawie dokumentacji przetwarzania danych osobowych. Przepis ten stanowi, iż Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych powinna zawierać:

  1. procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności;
  2. stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem;
  3. procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu;
  4. procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania;
  5. sposób, miejsce i okres przechowywania:
    1. elektronicznych nośników informacji zawierających dane osobowe,
    2. kopii zapasowych, o których mowa w pkt 4,
  6. sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania,
  7. sposób realizacji wymogów, o których mowa w § 7 ust. 1 pkt 4 Rozporządzenia;
  8. procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.

Administrator danych osobowych może wyznaczyć administratora bezpieczeństwa informacji lub sam pełnić tę rolę.

Zgodnie z obowiązującymi przepisami prawa, w Spółce należy również opracować i wdrożyć do stosowania wzór upoważnienia do przetwarzania danych osobowych.

Niezbędne jest również przygotowanie i wdrożenie systemu szkoleń dla pracowników w zakresie ochrony danych osobowych.

Co do zasady, administrator danych osobowych zobowiązany jest zgłosić zbiór danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych, chyba że przetwarza zbiór szczegółowo wymieniony w art. 43 ust. 1. Zwolnienie zbioru danych z obowiązku zgłoszenia do rejestracji nie oznacza również ograniczenia uprawnień kontrolnych Generalnego Inspektora Ochrony Danych Osobowych.

Niezależnie od tego, czy zbiór danych osobowych podlega obowiązkowi zgłoszenia do rejestru, czy jest zwolniony z obowiązku rejestracji, niedopełnienie przez administratora danych innych obowiązków określonych w przepisach, wiąże się dla podmiotu zarówno z odpowiedzialnością administracyjną, jak i karną.

Obowiązek informacyjny

Ustawa o ochronie danych osobowych nałożyła na administratora danych obowiązek poinformowania osoby, której dane dotyczą:

  1. o fakcie przetwarzania jej danych,
  2. o tym, w jakim celu dane są przetwarzane,
  3. o tym, w jakim zakresie dane są przetwarzane,
  4. pouczenia o prawie wglądu do danych oraz o prawie żądania ich usunięcia.

Obowiązek informacyjny dotyczy każdej sytuacji gromadzenia danych, również takiej, gdy  dane osobowe pozyskiwane są bezpośrednio od osoby, której dane dotyczą.

Rejestracja zbioru danych osobowych

Zgodnie z treścią art. 40 Ustawy o ochronie danych osobowych, administrator danych jest obowiązany zgłosić zbiór danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych z wyjątkiem zbiorów, szczegółowo wymienionych w art. 43 ust. 1 i ust. 1a.

Zwolnione z obowiązku rejestracji są:

– zbiory wymienione szczegółowo w treści art. 43 ust. 1 np. dotyczące pracowników oraz zbiory przetwarzane wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej;

zbiory danych osobowych nie zawierające danych wrażliwych, które przetwarzane są  wyłącznie w formie tradycyjnej, oraz

-zbiorów danych osobowych nie zawierających danych osobowych wrażliwych, przetwarzanych przez administratorów danych, którzy powołali Administratora Bezpieczeństwa Informacji, a  jednocześnie zgłosili zawiadomienie o powołaniu Administratora Bezpieczeństwa Informacji do rejestru prowadzonego przez Generalnego Inspektora Ochrony Danych Osobowych.

Wyłączenie danego zbioru z obowiązku rejestracji nie oznacza pozostawienia go poza kontrolą Generalnego Inspektora Ochrony Danych Osobowych i nie wyłącza obowiązku stosowania do przetwarzania danych pozostałych rygorów przewidzianych Ustawą o ochronie danych osobowych. Zwolnienie zbioru danych z obowiązku zgłoszenia do rejestracji nie oznacza również ograniczenia uprawnień kontrolnych Generalnego Inspektora Ochrony Danych Osobowych.

Niezależnie od tego, czy zbiory te podlegają obowiązkowi zgłoszenia do rejestru, czy są zwolnione z obowiązku rejestracji, niedopełnienie przez administratora danych innych obowiązków określonych w przepisach, wiąże się dla podmiotu zarówno z odpowiedzialnością administracyjną, jak i karną.

Powierzenie przetwarzania danych

Zgodnie z treścią art. 31 Ustawy o ochronie danych osobowych administrator danych może powierzyć przetwarzanie danych innemu podmiotowi, w drodze umowy zawartej na piśmie. Dla administratora danych oznacza to obowiązek zawarcia odpowiedniej umowy, na podstawie które upoważni podmiot zewnętrzny do przetwarzania danych osobowych w imieniu i na rzecz administratora danych.

Powierzenie przetwarzania danych nie może jednak prowadzić do osłabienia ochrony, ograniczenia uprawnień osób, których dane dotyczą.

Powierzenie przetwarzania danych osobowych następuje w drodze umowy zawartej na piśmie. Ustawodawca pozostawia swobodzie woli stron, jaka to ma być umowa, jaka ma być jej treść.

Co do zasady nie ma przeszkód, aby dane (w całości lub części) były przetwarzane poza siedzibą administratora. Jednakże musi się to odbywać na zasadach określonych w art. 31 Ustawy o ochronie danych osobowych.

Zgodnie z treścią tego przepisu, powierzenie przetwarzania danych innemu podmiotowych jest dopuszczalne, jednakże pod warunkiem zawarcia pisemnej umowy w tym zakresie. Samo zawarcie umowy i powierzenie przetwarzania danych innemu podmiotowi nie zwalnia administratora danych od odpowiedzialności za naruszenie ochrony danych. Podmiot przetwarzający dane na zlecenie odpowiada za przetwarzanie danych tak samo, jak administrator danych.

Szczególnie istotne jest, aby umowa o powierzenie przetwarzania danych precyzyjnie określała, w jakim celu i w jakim zakresie przekazuje się dane, w jakiej formie dane mają być przetwarzane, jakiego rodzaju działania organizacyjne i techniczne mają być podjęte dla zapewnienia bezpieczeństwa danym, komu, na jakich zasadach i w jakiej formie dane mogą być udostępniane.

Dane mogą być przetwarzane przez podmiot, któremu zostały powierzone wyłącznie w zakresie i celu przewidzianym w umowie (nie można np. wykorzystać danych dla własnej promocji, czy marketingu, ani odsprzedać innym podmiotom).

Ustawa wymaga, aby przed rozpoczęciem przetwarzania danych podmiot, któremu je powierzono, podjął środki zabezpieczające zbiór danych, w szczególności chodzi tu o zastosowanie odpowiednich rozwiązań organizacyjnych oraz zabezpieczeń technicznych. Podmiot, któremu powierzono przetwarzanie odpowiada za zabezpieczenie danych tak jak administrator. Rekomendowanym jest, aby administrator danych, w umowie o powierzeniu przetwarzania danych osobowych, zastrzegł sobie prawo kontroli przestrzegania przepisów o zabezpieczeniu danych przez podmiot przetwarzający dane na podstawie umowy.

Odpowiedzialność

Za realizację obowiązków w zakresie zabezpieczenia danych osobowych odpowiada administrator danych, nawet w przypadku, gdy w całości lub w części, czynności związane z przetwarzanie danych osobowych, powierzy innemu podmiotowi.

Sankcjom karnym podlega administrator, który :

  1. przetwarza w zbiorze dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do których przetwarzania nie jest się uprawnionym ( 49 Ustawy o ochronie danych osobowych), np. nie spełnia żadnej z przesłanek upoważniających do przetwarzania;
  2. udostępnia lub umożliwia dostęp do danych osobom nieupoważnionym ( 51 Ustawy o ochronie danych osobowych) np. przekazuje przetwarzanie danych bez zawarcia na piśmie umowy o powierzeniu przetwarzania danych;
  3. narusza, choćby nieumyślnie, obowiązek zabezpieczenia danych przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem ( 52 Ustawy o ochronie danych osobowych), np. nie opracowuje i nie wdraża dokumentacji przetwarzania danych;
  4. nie zgłasza zbioru danych do rejestracji ( 53 Ustawy o ochronie danych osobowych);
  5. nie wykonuje obowiązku informacyjnego ( 54 Ustawy o ochronie danych osobowych).

 

Małgorzata Głuszek – Stopczyk – radca prawny w Kancelarii Radców Prawnych Stopczyk & Wspólnicy

 

Kancelaria zastrzega, że niniejszy artykuł zawiera jedynie ogólny zarys poruszonych w nim zagadnień. Artykuł nie stanowi porady prawnej, opinii prawnej, ani też analizy konkretnego stanu faktycznego. W razie jakichkolwiek pytań lub wątpliwości z Państwa strony, serdecznie zachęcamy do kontaktu z naszą Kancelarią.

Dodaj komentarz

Twój adres e-mail nie będzie publikowany. Zaznaczone pola są obowiązkowe *

*