Ochrona danych osobowych krok po kroku Kancelaria prawna Stillwell

Transkrypt

Ochrona danych osobowych
krok po kroku
Kancelaria prawna Stillwell
Praktyczny przewodnik dotyczący ochrony danych osobowych
 Podstawowe definicje
 Wyjaśnienia (kiedy i jak stosować ustawę)
 Obowiązki przedsiębiorców
 Przykłady
 Aktualny stan prawny
1
StillWell Polska Sp.z o.o. ul. Zakrzewskiego 11 E 61-693 Poznań kom 732 601 772 tel 61 307 03 16 fax 61 610 03 47 [email protected]
www.stillwell.pl
KRS 0000494089 NIP 7792419088 Regon 302622400 Kapitał zakładowy 5.000,00zł
Spis treści
1. Kancelaria prawna Stillwell ………………………………………………………………………………………………………….. s. 3
2. Stan przestrzegania ustawy …………………………………………………………………………………………………………. s. 3
3. Zakres podmiotowy i przedmiotowy ……………………………………………………………………………………………. s. 6
4. Podstawowe pojęcia ……………………………………………………………………………………………………………………. s. 7
5. Zasady przetwarzania danych osobowych …………………………………………………………………………………… s. 8
6. Przykładowa decyzja GIODO ……………………………………………………………………………………………………….. s. 12
7. Ochrona danych osobowych – obowiązki przetwarzającego: …………………………………..………………….. s. 12
I.
Polityka Bezpieczeństwa ……………………………………………………………………………..……………………….. s. 13
II.
Instrukcja Zarządzania ………………………………………………………………………………………………………….. s. 13
III. Upoważnienia do przetwarzania danych osobowych i prowadzenie ewidencji ………………..…... s. 14
IV. Rejestracja zbiorów danych osobowych ……………………………………………………………………………….. s. 15
V.
Zawieranie umów powierzenia przetwarzania danych ……………………………….…….………………….. s. 15
8. Administrator Bezpieczeństwa Informacji ……………………………………………………………………….………….. s. 16
9. Dane kontaktowe ……….……………….……………………………………………………………………………………………… s. 17
10. Nota prawna ……….……………….…………………………………………………………………………………………………….. s. 18
Dane osobowe przetwarza każdy. Być może na razie nie podzielają Państwo tego zdania, ale po lekturze ustawy, lub
chociażby niniejszego przewodnika przyznacie mi Państwo rację. Na pewno znajdą się przedsiębiorcy, którzy nie
stosują ustawy, uznając, że od zawsze przetwarzają dane osobowe i regulacje prawne nigdy nie były im potrzebne.
Nawet jeżeli udało im się bezpiecznie przez lata wykonywać operacje przetwarzania danych osobowych, pomimo
braku przestrzegania przepisów prawa, to nie powinni czuć się bezkarni. Za naruszenie zasad ochrony danych
osobowych ustawodawca przewidział liczne sankcje, w tym odpowiedzialność karną. Skutki rynkowe i wizerunkowe
naruszenia danych osobowych mogą być trudne do przewidzenia i nieodwracalne, nie mówiąc o konsekwencjach
finansowych, wynikających z roszczeń cywilnoprawnych podmiotów, których dane osobowe zostały naruszone.
Warto mieć świadomość obowiązków związanych z ochroną danych osobowych, aby zadbać o bezpieczeństwo swoich
kontrahentów i pracowników, a jednocześnie o bezpieczeństwo własnego biznesu.
Myślę, że każdy rozsądny przedsiębiorca zdecyduje się na dostosowanie swojej działalności do wymogów wynikających
z przepisów prawa, skoro wystarczy wykonywać obowiązki ustawowe aby uniknąć surowej odpowiedzialności.
Niniejszy przewodnik wyjaśnia w skrócie, jak to zrobić.
Piotr Kalina, radca prawny Stillwell Polska sp. z o.o., ABI
2
www.stillwell.pl
Stillwell Polska sp. z o.o. | Kancelaria prawna Stillwell
Kancelaria prawna Stillwell świadczy profesjonalną obsługę prawną podmiotów gospodarczych. Pomagamy naszym
Klientom od początku ich przygody z biznesem, doradzamy przy wyborze najodpowiedniejszej formy prowadzenia
działalności gospodarczej, informujemy o obowiązkach, dokonujemy rejestracji, przejmujemy na siebie kontakty z
urzędami i sądami.
W związku z faktem, iż bezpieczeństwo informacji w działalności prawniczej jest szczególnie istotne bardzo dużą wagę
przywiązujemy do ochrony danych osobowych. Kierując się zasadą, iż bezpieczne przetwarzanie danych zapewnia
bezpieczne prowadzenie biznesu, dobieramy dla naszych Klientów odpowiednie rozwiązania prawne i organizacyjne,
dostosowując Państwa działalność do wymogów wynikających z przepisów prawa.
Nasz zespół tworzą specjaliści w kluczowych dla branży dziedzinach prawa. Satysfakcję Klientów gwarantuje
profesjonalne podejście i wysokie kompetencje naszych pracowników.
Obsługą prawną związaną z ochroną danych osobowych w Kancelarii prawnej Stillwell zajmuje się radca prawny Piotr
Kalina, Absolwent Wydziału Prawa i Administracji Uniwersytetu im. Adama Mickiewicza w Poznaniu, wpisany na listę
Okręgowej Izby Radców Prawnych w Poznaniu. Specjalizuje się w ochronie danych osobowych, prawie gospodarczym
oraz prawie spółek handlowych. Ukończył z wynikiem bardzo dobrym studia podyplomowe z zakresu ochrony danych
osobowych w Polskiej Akademii Nauk w Warszawie „Wykonywanie funkcji administratora bezpieczeństwa informacji”.
Stan przestrzegania przepisów
Świadomość konieczności ochrony danych osobowych jest w społeczeństwie coraz większa. Obecnie częściej, niż
kiedyś dbamy o to, jakie i komu informacje dotyczące naszej osoby powierzamy. Nie oznacza to niestety zapewniania
przez podmioty przetwarzające dane osobowe ich odpowiedniej ochrony oraz przetwarzania danych osobowych
zgodnie z przepisami prawa. W ostatnich latach do GIODO wpłynęło około 10 tysięcy skarg1 w związku z naruszeniem
ochrony danych osobowych. W dalszym ciągu na poziomie zabezpieczenia danych osobowych oraz przekazywania ich
innym podmiotom występuje wiele nieprawidłowości.
Oczywiście regulacje prawne nie są w stanie zagwarantować pełnego i trwałego bezpieczeństwa przetwarzania danych
osobowych, ale przyjmuje się, że postępowanie zgodnie z przepisami prawa w znaczący sposób zmniejsza ryzyko
naruszenia ochrony danych osobowych, w tym ich utraty.
1
http://www.giodo.gov.pl/541/id_art/4583/j/pl/
3
www.stillwell.pl
Przedsiębiorco! Jesteś ADO!
ADO, czyli administrator danych osobowych to podmiot, który decyduje o celach i środkach przetwarzania danych
osobowych. Np.: spółka z o.o., jednoosobowy przedsiębiorca.
Przedsiębiorco! Przetwarzasz dane osobowe!
Za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby
fizycznej. Np.: imię i nazwisko oraz adres.
Przetwarzanie danych osobowych to jakiekolwiek operacje wykonywane na danych osobowych. Np.: zbieranie,
przechowywanie, zmienianie, usuwanie danych osobowych.
Przedsiębiorco! Masz obowiązki!
Każdy ADO, bez względu na kategorię przetwarzanych danych oraz zagrożenia, ma obowiązek spełnić wymogi
wskazane w przepisach, tj. w szczególności:
1.
nadać upoważnienia osobom dopuszczonym do przetwarzania danych osobowych,
2.
prowadzić ewidencję osób upoważnionych do przetwarzania danych osobowych,
3.
opracować i wdrożyć Politykę bezpieczeństwa oraz Instrukcję zarządzania systemem informatycznym,
4.
wykonywać obowiązek informacyjny względem osób, których dane przetwarza,
5.
zgłosić zbiory danych osobowych do rejestracji GIODO,
6.
zawierać na piśmie umowy powierzenia przetwarzania danych osobowych, jeżeli powierza ich przetwarzanie
innemu podmiotowi,
7.
zabezpieczyć dane osobowe w sposób odpowiedni do zagrożeń oraz kategorii danych objętych ochroną,
8.
zapewniać przestrzeganie przepisów o ochronie danych osobowych, w szczególności przez:
a)
sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych,
b)
nadzorowanie opracowania i aktualizowania Polityki bezpieczeństwa i Instrukcji zarządzania oraz
przestrzegania zasad w niej określonych,
c)
zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie
danych osobowych.
Przedsiębiorco! Grożą Ci kary!
Za niewykonywanie obowiązków z zakresu ochrony danych osobowych ustawodawca przewidział surowe sankcje, w
przypadkach wymienionych w art. 49 i nast. UODO zagrożone nawet odpowiedzialnością karną.
4
www.stillwell.pl
Przedsiębiorco! Powołaj ABI i … odetchnij!
ADO może powołać administratora bezpieczeństwa informacji (ABI), który przejmuje wykonywanie obowiązków ADO
w zakresie ochrony danych osobowych. ABI będzie aktualizował dokumentację ochrony danych osobowych, zajmie się
zapewnianiem przestrzegania przepisów w przedsiębiorstwie, będzie przeprowadzał regularne sprawdzenia w tym
zakresie oraz sporządzał sprawozdania. ABI to specjalista w tematyce ochrony danych osobowych, dysponujący
odpowiednią wiedzą i mechanizmami. Powierzając pełnienie tej funkcji odpowiedniej osobie, ADO zapewnia sobie
profesjonalne wykonywanie obowiązków przez ABI i nie musi wykonywać ich samodzielnie. Ponadto ADO będzie
wówczas zwolniony z obowiązku zgłaszania GIODO zbiorów danych osobowych do rejestracji.
5
www.stillwell.pl
I. Zakres podmiotowy zastosowania ustawy
Często mylnie uważa się, że ustawę o ochronie danych osobowych muszą stosować jedynie podmioty publiczne.
Lektura początkowych przepisów ustawy szybko wyprowadza z tego błędnego założenia. Ustawa dotyczy tak samo
podmiotów publicznych, jak i podmiotów prywatnych. Wobec organów władzy publicznej stosuje się jedynie
zaostrzone wymogi, wynikające z charakteru wykonywanych przez administrację czynności, np. nie powinny one
opierać przetwarzania danych osobowych w oparciu o zgodę osoby, której dane dotyczą.
Ustawę stosuje się do:
1. organów państwowych, organów samorządu terytorialnego oraz do państwowych i komunalnych jednostek
organizacyjnych;
2. podmiotów niepublicznych realizujących zadania publiczne;
3. osób fizycznych i osób prawnych oraz jednostek organizacyjnych niebędących osobami prawnymi, jeżeli
przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów
statutowych.
Przepisy ustawy dotyczą zatem wszystkich podmiotów występujących w obrocie.
Ustawy nie stosuje się do:
1. osób fizycznych, które przetwarzają dane wyłącznie w celach osobistych lub domowych;
2. podmiotów mających siedzibę lub miejsce zamieszkania w państwie trzecim, wykorzystujących środki techniczne
znajdujące się na terytorium Rzeczypospolitej Polskiej wyłącznie do przekazywania danych;
3. prasowej działalności dziennikarskiej oraz do działalności literackiej lub artystycznej, chyba że wolność
wyrażania swoich poglądów i rozpowszechniania informacji istotnie narusza prawa i wolności osoby, której dane
dotyczą;
4. jeżeli umowa międzynarodowa, której stroną jest Rzeczpospolita Polska, stanowi inaczej.
Ustawę musi stosować zakład zatrudniający pracowników, lub przedsiębiorca handlujący towarami.
Ustawy nie musi stosować uczeń piszący pamiętnik.
II. Zakres przedmiotowy zastosowania ustawy
Za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby
fizycznej.
6
www.stillwell.pl
Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w
szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających
jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.
Każda informacja umożliwiająca na jej podstawie rozpoznanie konkretnej osoby uważana jest za dane osobowe.
Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów,
czasu lub działań.
Dane osobowe to np. imię, nazwisko i adres.
Danych osobowych nie stanowi występująca samodzielnie informacja o wysokości wynagrodzenia.
III. Podstawowe pojęcia
Administrator danych osobowych (ADO) to organ, jednostka organizacyjna, podmiot lub osoba, decydujące o celach i
środkach przetwarzania danych osobowych.
Przetwarzanie danych to jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie,
przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie.
Zbiór danych to każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według
określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie.
Już ułożenie alfabetyczne nadaje strukturę i kryterium do wyszukiwania, więc mamy do czynienia w takiej sytuacji ze
zbiorem danych osobowych.
Np. zbiór danych osobowych Klientów.
Dane osobowe korzystają z ochrony nie tylko w razie ich przetwarzania w zbiorach danych osobowych, ale także
wówczas, gdyby dopiero miały się znaleźć w takim zbiorze. Oznacza to, iż przepisy o ochronie danych osobowych trzeba
stosować już na etapie gromadzenia danych osobowych po to, by dopiero tworzyły zbiór danych osobowych.
7
www.stillwell.pl
III. Zasady przetwarzania danych osobowych
III. A. Legalność
Dane osobowe można przetwarzać wyłącznie, jeśli istnieje ku temu podstawa prawna. Może ona mieć różne źródło,
jednak dane osobowe muszą zostać zebrane w sposób legalny.
Zgodnie z ustawą przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:
1) osoba, której dane dotyczą, wyrazi na to zgodę;
2) jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa;
3) jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne
do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą;
4) jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego;
5) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów
danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą, tj. w
szczególności:
a) marketing bezpośredni własnych produktów lub usług administratora danych;
b) dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej.
Przy danych osobowych tzw. wrażliwych, tj. między innymi danych o stanie zdrowia, pochodzeniu rasowym, o
nałogach, obowiązuje odwrotna zasada. Przetwarzanie danych takiej kategorii jest zakazane, chyba, że występuje
jeden z przypadków wyraźnie wymienionych przez ustawodawcę w art. 27 ust. 2 ustawy, w tym między innymi osoba,
której dane dotyczą, wyrazi na to zgodę na piśmie, albo przetwarzanie dotyczy danych, które zostały podane do
wiadomości publicznej przez osobę, której dane dotyczą.
III. B. Adekwatność
Przetwarzanie danych osobowych może okazać się nieuprawnione nawet jeżeli podmiot je przetwarzający legalnie
wszedł w ich posiadanie. Ustawodawca wymaga bowiem, by zakres przetwarzanych danych osobowych był adekwatny
do celu, dla którego zostały zebrane. Zawierając umowę najmu mieszkania wykonawca nie powinien zatem żądać od
kontrahenta informacji dotyczących np. okresu ważności jego paszportu. Dane takie nie są bowiem niezbędne do
realizacji umowy, która może być skutecznie zawarta bez ich uzyskiwania.
8
www.stillwell.pl
Dla ustalenia adekwatnego zakresu danych osobowych, należy w każdym przypadku określić zamierzony cel ich
przetwarzania, np. świadczenie usługi cateringu. Następnie należy wyodrębnić te dane osobowe, bez posiadania
których realizacja tego celu nie będzie możliwa. Wszelkie dodatkowe dane, bez pozyskania których da się zrealizować
cel przetwarzania danych są w rozumieniu ustawy nieadekwatne (w podanym przykładzie np. imiona rodziców, lub
miejsce urodzenia).
Przetwarzanie danych osobowych nieadekwatnych do celu przetwarzania jest w tym zakresie nieuprawnione, co
znaczy, że dane takie należy usunąć i zaprzestać ich przetwarzania.
III. C. Celowość
ADO zbiera dane osobowe dla zrealizowania określonego, zgodnego z prawem celu, np. dla realizacji umowy stron.
Zasada celowości zabrania ADO przetwarzania danych osobowych dla realizacji innych celów, niezgodnych z celem
pierwotnym, dla osiągnięcia którego zostały zebrane, np. w celu prowadzenia marketingu przez podmiot trzeci.
Wynika z powyższego, iż:
 cel przetwarzania danych osobowych musi być znany osobie, której dane dotyczą przed zebraniem od niej
danych osobowych,
 cel musi być precyzyjny, zgodny z prawem i odpowiadać zgodnemu zamiarowi stron,
 ADO nie może uzależniać zawarcia umowy od wyrażenia przez osobę, której dane dotyczą zgody na
przetwarzanie danych w zupełnie innych celach.
Przetwarzanie danych w celu innym niż ten, dla którego zostały zebrane, jest dopuszczalne, jeżeli nie narusza praw i
wolności osoby, której dane dotyczą, oraz następuje:
1) w celach badań naukowych, dydaktycznych, historycznych lub statystycznych;
2) w oparciu o legalną przesłankę przetwarzania danych osobowych oraz z wykonaniem obowiązku
poinformowania osoby, której dane dotyczą między innymi o nowym celu i zakresie zbierania danych, a także
prawie do wniesienia żądania zaprzestania przetwarzania jej danych oraz wniesienia sprzeciwu wobec
przetwarzania jej danych.
III. D. Rozliczalność
ADO powinien zapewnić, aby czynności związane z przetwarzaniem danych osobowych w systemie informatycznym
można było przyporządkować w sposób jednoznaczny tylko jednemu podmiotowi. Zapewnienie realizacji tej zasady
9
www.stillwell.pl
następuje najczęściej poprzez przypisanie każdemu użytkownikowi indywidualnego identyfikatora oraz prowadzenie
rejestru zdarzeń w systemie informatycznym. Dzięki temu możliwe jest ustalenie, czy operacje przetwarzania danych
osobowych wykonują osoby upoważnione przez ADO do przetwarzania danych osobowych, a także identyfikacja
osoby, która bezpośrednio dopuściła się naruszenia ochrony danych osobowych. Jednocześnie staje się możliwe
wykrycie ewentualnych przypadków nieuprawnionego dostępu do systemu informatycznego.
III. E. Poufność
Zachowanie poufności danych osobowych wymaga zapewnienia, że dane te nie zostaną udostępniane
nieupoważnionym podmiotom.
III. F. Integralność
W myśl zasady integralności procesy przetwarzania danych osobowych muszą być tak zorganizowane, aby
uniemożliwiać modyfikację lub usunięcie danych osobowych w sposób nieautoryzowany.
Jak prawidłowo przetwarzać dane osobowe w poszczególnych zakresach? Podstawowe informacje:
Zbieranie danych osobowych

dopuszczalne jest w oparciu o legalną podstawę prawną, np.:
1. przed zawarciem umowy w celu jej realizacji,
2. w oparciu o zgodę osoby, której dane dotyczą do innych celów,

tylko przez osoby upoważnione – muszą posiadać upoważnienie nadane przez ADO,

w sposób uniemożliwiający dostęp do danych osobowych osobom nieuprawnionym, tj. żeby inni interesanci nie
słyszeli i nie widzieli danych osobowych zbieranych od potencjalnego klienta. W związku z tym należy tak
zorganizować salę obsługi klienta, aby nie było możliwe zapoznanie się z danymi osobowymi innych osób przez
przebywających w środku interesantów.
10
www.stillwell.pl
Przechowywanie danych osobowych

powinno mieć miejsce w odpowiednio zabezpieczonej formie (zależnie od kategorii danych i zagrożeń),

przez upoważnione podmioty.
Modyfikacja danych osobowych

powinna odbywać się z odnotowaniem daty i zakresu zmiany oraz osób dokonujących modyfikacji,

tylko przez osoby upoważnione, z zachowaniem prawdziwości danych i adekwatności zakresu do celu, dla jakiego
zostały zebrane.
Usuwanie danych osobowych

może być wykonywane przez osoby do tego upoważnione,

nie wolno po prostu wyrzucić dokumentów, lub nośników zawierających dane osobowe do kosza,

usunięcie danych osobowych powinno mieć charakter trwały, często poprzez fizyczne zniszczenie nośnika danych
osobowych, najlepiej w odpowiednich niszczarkach,

z usunięcia danych osobowych można sporządzić protokół,

niszczenie nośników danych osobowych przez podmiot zewnętrzny powinno odbywać się w oparciu o umowę
powierzenia, lub pod nadzorem ADO, lub upoważnionej osoby.
11
www.stillwell.pl
IV. Decyzje GIODO
Poniżej mogą się Państwo zapoznać z wyciągiem z sentencji przykładowej decyzji GIODO wydanej po zakończeniu
postępowania kontrolnego, nakazującej przywrócenie stanu przetwarzania danych osobowych do zgodnego z
prawem, tj. nakazujące wykonać obowiązki obciążające ADO z mocy przepisów prawa.
Decyzja GIODO z dnia 28-10-2014 roku, DIS/DEC-1022/14/84106
Nakazuję Spółce usunięcie uchybień w procesie przetwarzania danych osobowych poprzez:
1. Zaprzestanie powierzania przetwarzania danych osobowych Panu [...] prowadzącemu działalność gospodarczą
pod firmą [...] bez zawarcia pisemnej umowy powierzenia;
2. Realizowanie wobec użytkowników serwisu internetowego o nazwie [...], obowiązku informacyjnego;
3. Zastosowanie środków kryptograficznej ochrony danych osobowych w toku uwierzytelniania użytkowników
serwisu internetowego [...] oraz podczas wprowadzania i modyfikacji danych osobowych przetwarzanych
w ramach kont użytkowników tego serwisu;
4. Zapewnienie, aby hasło logowania do systemu informatycznego [...], w którym przetwarzane są dane
osobowe użytkowników serwisu internetowego [...], było zmieniane nie rzadziej niż co 30 dni;
5. Opracowanie i wdrożenie dokumentacji opisującej sposób przetwarzania danych oraz zastosowane środki
techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych;
6. Zgłoszenie Generalnemu Inspektorowi Ochrony Danych Osobowych do rejestracji zbioru danych osobowych
pozyskiwanych w związku z rejestracją użytkowników serwisu internetowego [...].
V. Obowiązki ADO
Przepisy o ochronie danych osobowych nakładają na ADO obowiązek zabezpieczenia przetwarzanych danych
osobowych. Zabezpieczenie ma uchronić dane osobowe przed:
1. ich udostępnieniem osobom nieupoważnionym,
2. zabraniem przez osobę nieuprawnioną,
3. przetwarzaniem z naruszeniem ustawy,
4. zmianą, utratą, uszkodzeniem lub zniszczeniem.
12
www.stillwell.pl
W celu wykonania obowiązku zastosowania zabezpieczeń należy:
1. wprowadzić zabezpieczenia;
2. stworzyć reguły stosowania zabezpieczeń, które określa się w obowiązkowej dokumentacji ochrony danych
osobowych: Polityce Bezpieczeństwa oraz Instrukcji Zarządzania Systemem Informatycznym.
V. 1. Polityka Bezpieczeństwa
Przepisy o ochronie danych osobowych nakładają na każdego ADO obowiązek opracowania i wdrożenia Polityki
bezpieczeństwa. Jest to podstawowy dokument z zakresu ochrony danych osobowych, który powinien określać
najważniejsze zasady zapewniające przetwarzanie danych osobowych zgodnie z przepisami prawa i wymogami
biznesowymi.
Treść Polityki bezpieczeństwa nie może być dowolna. Musi ona zawierać co najmniej obowiązkowe elementy,
wskazane w rozporządzeniu wykonawczym do ustawy tj. określać obszar, w którym przetwarzane są dane osobowe,
zawierać wykaz zbiorów danych osobowych ze wskazaniem programów zastosowanych do ich przetwarzania oraz
opisem struktury tych zbiorów, wskazywać sposób przepływu danych pomiędzy poszczególnymi systemami oraz
określać zastosowane środki techniczne i organizacyjne służące zabezpieczeniu przetwarzanych danych osobowych.
W uproszczeniu można stwierdzić, że Polityka bezpieczeństwa zawiera ogólne wytyczne dotyczące przetwarzania
danych osobowych w danym przedsiębiorstwie i reguły postępowania, według których powinny postępować osoby
dopuszczone do przetwarzania danych osobowych. Jednocześnie w dokumencie tym powinny zostać określone środki
zapewnione przez kierownictwo podmiotu do przetwarzania danych osobowych zgodnego z przepisami.
V. 2. Instrukcja Zarządzania
Instrukcja zarządzania systemem informatycznym jest drugim obowiązkowym dokumentem, jaki bezwzględnie musi
zostać opracowany i wdrożony w przedsiębiorstwie.
13
www.stillwell.pl
W Instrukcji zarządzania opisuje się zasady przetwarzania danych osobowych za pomocą systemu informatycznego
oraz zastosowane rozwiązania techniczne mające na celu zapewnienie bezpieczeństwa przetwarzania danych
osobowych w systemie. Każda operacja przeprowadzona na danych osobowych w systemie informatycznym powinna
być powiązana bezpośrednio z konkretnym użytkownikiem, który ją wykonał. W związku z tym Instrukcja zarządzania
musi określać między innymi procedury nadawania uprawnień do przetwarzania danych w systemie informatycznym
oraz stosowane metody i środki uwierzytelnienia. ADO w dokumencie tym opisuje również procedury wykonywania
przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.
W praktyce często stosuje się następujące, proste rozwiązania zwiększające poziom zabezpieczenia danych
osobowych, które można wprowadzić do dokumentacji ochrony danych osobowych, jako zasady obowiązujące
pracowników:
1.
zakaz używania dowolnych nośników danych i możliwość korzystania jedynie z nośników danych, które
automatycznie szyfrują dane;
2.
zobowiązanie pracowników do przesyłania plików zawierających dane osobowe przez Internet w formie
zabezpieczonej hasłem;
3.
zobowiązanie osób przetwarzających dane osobowe do zapisywania danych bezpośrednio na serwerze, co
pozwala na wykonanie kopii bezpieczeństwa i kopii zapasowych całych serwerów, bez konieczności
wykonywania kopii wszystkich komputerów w całym przedsiębiorstwie.
V. 3. Upoważnienie do przetwarzania danych osobowych
ADO, czyli np. spółka zawierająca umowę może przetwarzać dane osobowe swojego kontrahenta, który jej te dane
powierzył w celu wykonania umowy. Podmiotem upoważnionym do przetwarzania tych danych jest wówczas jedynie
spółka, a nie osoby w niej zatrudnione. W związku z tym ADO musi udzielić wszystkim pracownikom dopuszczonym do
przetwarzania danych osobowych stosownych upoważnień. Pracownicy ADO mogą legalnie przetwarzać dane
osobowe, a zarazem w większości przypadków po prostu wykonywać swoją pracę, dopiero po uzyskaniu takiego
upoważnienia. Jego nadanie jest zatem w interesie obu stron. ADO może upoważnić np. ABI do nadawania upoważnień
w imieniu spółki.
14
www.stillwell.pl
Obowiązkiem bezpośrednio związanym z udzielaniem upoważnień do przetwarzania danych osobowych jest
konieczność prowadzenia przez ADO ewidencji udzielonych upoważnień. Najczęściej również to zadanie ADO powierza
do wykonywania ABI, na podstawie odrębnego upoważnienia. Treść ewidencji nie może być dowolna, jej obowiązkowe
elementy zostały określone w ustawie.
V. 4. Rejestracja zbiorów danych osobowych
Co do zasady każdy ADO jest obowiązany zgłosić zbiory danych osobowych do rejestracji GIODO. Niewykonanie tego
obowiązku jest zagrożone sankcją karną, dlatego szczególnie istotne jest właściwe wyodrębnienie zbiorów i ich
zgłoszenie do rejestracji. Rejestracji dokonuje się na urzędowym formularzu, a przetwarzanie danych osobowych jest
dozwolone dopiero po zgłoszeniu tego zbioru do rejestracji GIODO. Gdy w zbiorze przetwarzane są dane wrażliwe, ich
przetwarzanie jest możliwe zgodnie z prawem dopiero po zarejestrowaniu zbioru.
ADO jest zwolniony z obowiązku zgłaszania zbiorów danych osobowych do GIODO, które zostały enumeratywnie
wymienione w ustawie. Zwolnienie dotyczy np. zbioru danych osobowych pracowników, lub danych dotyczących osób
korzystających z usług medycznych ADO.
Nie ma obowiązku zgłaszania zbiorów danych osobowych do rejestracji GIODO również ADO, który powołał ABI.
Wówczas ABI prowadzi wewnętrzny rejestr zbiorów danych osobowych. Przywilej ten nie dotyczy jednak zbiorów
danych osobowych wrażliwych, które muszą być zgłaszane do rejestracji GIODO niezależnie od tego, czy powołano
ABI, czy też nie.
V. 5. Umowy powierzenia przetwarzania danych osobowych
ADO prowadząc działalność gospodarczą, lub inną statutową, często skupia się na wykonywaniu kluczowych zadań z
punktu widzenia osiągnięcia celu prowadzonej działalności, a kwestie, w których nie posiada odpowiednich
kwalifikacji, lub możliwości organizacyjnych, zleca zewnętrznym podmiotom. Dzieje się tak najczęściej z usługami
księgowymi, ochroną mienia, monitoringiem, lub hostingiem. Z każdym z tych zleceń wiąże się przekazanie
zewnętrznemu podmiotowi pewnego zakresu kompetencji ADO do prowadzenia jego spraw. Jednocześnie do
wykonania w/w usług ich wykonawca musi przetwarzać dane osobowe powierzone ADO. Aby cały ten proces odbył
15
www.stillwell.pl
się legalnie ADO musi zawrzeć z podmiotem, z którego usług korzysta (tzw. procesor) umowę powierzenia
przetwarzania danych osobowych. Umowa ta powinna być zawarta w formie pisemnej i określać zakres i cel
przetwarzania danych osobowych przez procesora. Na podstawie umowy procesor przejmuje odpowiedzialność za
zabezpieczenie danych osobowych, które zostały mu powierzone do przetwarzania. W umowie warto uregulować inne
kwestie, które nie wynikają bezpośrednio z przepisów powszechnie obowiązującego prawa, np. uprawnienie ADO do
kontroli procesora w zakresie zabezpieczenia danych osobowych powierzonych mu do przetwarzania.
VI. Administrator Bezpieczeństwa Informacji (ABI)
Co do zasady wszystkie obowiązki z zakresu ochrony danych osobowych obciążają ADO. ADO może jednak powołać
Administratora Bezpieczeństwa Informacji (ABI), który przejmuje na siebie wykonywanie zadań związanych z ochroną
danych osobowych w przedsiębiorstwie.
Korzyści z powołania ABI jest więcej, niż tylko przerzucenie obowiązków na określoną osobę. ADO powołując ABI jest
zwolniony z obowiązku zgłaszania zbiorów danych osobowych do rejestracji GIODO. Ponadto zapewnia sobie
przetwarzanie danych osobowych w przedsiębiorstwie na profesjonalnym poziomie, zgodnym z przepisami prawa. ABI
bowiem może zostać jedynie osoba posiadająca odpowiednią wiedzę w zakresie ochrony danych osobowych.
Przekłada się to na poprawę wizerunku przedsiębiorstwa, które jest postrzegane jako rzetelny kontrahent, dbający o
bezpieczeństwo swoich klientów.
Uogólniając można stwierdzić, że ABI ma za zadanie zapewniać, aby w przedsiębiorstwie procesy przetwarzania danych
osobowych odbywały się zgodnie z przepisami prawa. ABI regularnie wykonuje tzw. sprawdzenia zgodności
przetwarzania danych osobowych z przepisami i przygotowuje sprawozdania z wykonanych czynności. Na podstawie
takiego sprawozdania ADO może wyciągnąć wnioski i podjąć kroki zwiększające poziom ochrony danych osobowych.
Ponadto ABI aktualizuje Politykę bezpieczeństwa i Instrukcję zarządzania oraz nadzoruje przestrzeganie zasad w niej
określonych przez osoby przetwarzające dane osobowe.
ABI musi zajmować w przedsiębiorstwie odpowiednią pozycję, pozwalającą mu skutecznie nadzorować pracowników
i instruować ich w kwestiach dotyczących przetwarzania danych osobowych. W związku z tym ABI podlega
bezpośrednio kierownikowi jednostki organizacyjnej, a ADO zapewnia ABI środki i organizacyjną odrębność.
16
www.stillwell.pl
W połączeniu ze specjalistyczną wiedzą ABI, buduje to jego autorytet w zespole i pozwala na skuteczne wykonywanie
obowiązków.
Jeżeli pracodawca nie dysponuje odpowiednią kadrą, lub możliwościami organizacyjnymi może powołać na ABI osobę
z zewnątrz, na zasadzie outsourcingu. W takim przypadku ABI najczęściej wykonuje wszystkie obowiązki wewnątrz
firmy i reprezentuje firmę w ewentualnych sporach z podmiotami trzecimi oraz organami, a także w negocjacjach z
kontrahentami.
Co istotne ABI może być tylko osoba fizyczna, zatem zawierając umowę outsourcingu wykonywania funkcji ABI z osobą
prawną należy imiennie wskazać ABI, który z ramienia takiego podmiotu będzie pełnił tę funkcję w Państwa
przedsiębiorstwie.
VII. Dane kontaktowe
Stillwell Polska sp. z o.o.
nr telefonu: 61 307 03 16
ul. Ksawerego Zakrzewskiego 11E
adres e-mail: [email protected]
61-693 Poznań
NIP 7792419088
REGON 302622400
KRS 0000494089
Autor poradnika: radca prawny Piotr Kalina
Radca prawny Piotr Kalina, Absolwent Wydziału Prawa i Administracji Uniwersytetu im.
Adama Mickiewicza w Poznaniu, wpisany na listę Okręgowej Izby Radców Prawnych
w Poznaniu, zajmuje się w Stillwell Polska sp. z o.o. obsługą prawną związaną z ochroną
danych osobowych. Specjalizuje się w ochronie danych osobowych, prawie gospodarczym
oraz prawie spółek handlowych. Ukończył z wynikiem bardzo dobrym studia podyplomowe
z zakresu ochrony danych osobowych w Polskiej Akademii Nauk w Warszawie
„Wykonywanie funkcji administratora bezpieczeństwa informacji”.
17
www.stillwell.pl
Wszelkie prawa zastrzeżone.
Niniejszy przewodnik stanowi przedmiot prawa autorskiego. Nie może on być publikowany, ani powielany, ani
rozpowszechniany w całości, ani w części w jakiejkolwiek formie.
Kancelaria prawna Stillwell
Stillwell Polska sp. z o.o.
Ochrona danych osobowych
* szkolenia z ochrony danych osobowych
* audyty bezpieczeństwa
* przejęcie funkcji ABI
* opracowanie Polityki Bezpieczeństwa
* opracowanie Instrukcji Zarządzania
* rejestracja zbiorów danych osobowych
* porady prawne
18
www.stillwell.pl

Ochrona danych osobowych krok po kroku Kancelaria prawna Stillwell

Transkrypt

Podobne dokumenty

upoważnienie - GTS Logistics

Broszura - Krotoski Adwokaci

DEKLARACJA CZŁONKOWSKA Radzyńskigo Klubu Biznesu

Patio Air - DE

Zewnętrzny ABI - Zontek i Wspólnicy

regulaminem przetwarzania danych

POLITYKA BEZPIECZEŃSTWA INFORMACJI „1

Audyt bezpieczeństwa informacji w pracy placówki edukacyjnej

Szkolenie ABI, ADO