Ochrona danych osobowych krok po kroku Kancelaria prawna Stillwell
Transkrypt
Ochrona danych osobowych krok po kroku Kancelaria prawna Stillwell
Ochrona danych osobowych krok po kroku Kancelaria prawna Stillwell Praktyczny przewodnik dotyczący ochrony danych osobowych Podstawowe definicje Wyjaśnienia (kiedy i jak stosować ustawę) Obowiązki przedsiębiorców Przykłady Aktualny stan prawny 1 StillWell Polska Sp.z o.o. ul. Zakrzewskiego 11 E 61-693 Poznań kom 732 601 772 tel 61 307 03 16 fax 61 610 03 47 [email protected] www.stillwell.pl KRS 0000494089 NIP 7792419088 Regon 302622400 Kapitał zakładowy 5.000,00zł Spis treści 1. Kancelaria prawna Stillwell ………………………………………………………………………………………………………….. s. 3 2. Stan przestrzegania ustawy …………………………………………………………………………………………………………. s. 3 3. Zakres podmiotowy i przedmiotowy ……………………………………………………………………………………………. s. 6 4. Podstawowe pojęcia ……………………………………………………………………………………………………………………. s. 7 5. Zasady przetwarzania danych osobowych …………………………………………………………………………………… s. 8 6. Przykładowa decyzja GIODO ……………………………………………………………………………………………………….. s. 12 7. Ochrona danych osobowych – obowiązki przetwarzającego: …………………………………..………………….. s. 12 I. Polityka Bezpieczeństwa ……………………………………………………………………………..……………………….. s. 13 II. Instrukcja Zarządzania ………………………………………………………………………………………………………….. s. 13 III. Upoważnienia do przetwarzania danych osobowych i prowadzenie ewidencji ………………..…... s. 14 IV. Rejestracja zbiorów danych osobowych ……………………………………………………………………………….. s. 15 V. Zawieranie umów powierzenia przetwarzania danych ……………………………….…….………………….. s. 15 8. Administrator Bezpieczeństwa Informacji ……………………………………………………………………….………….. s. 16 9. Dane kontaktowe ……….……………….……………………………………………………………………………………………… s. 17 10. Nota prawna ……….……………….…………………………………………………………………………………………………….. s. 18 Dane osobowe przetwarza każdy. Być może na razie nie podzielają Państwo tego zdania, ale po lekturze ustawy, lub chociażby niniejszego przewodnika przyznacie mi Państwo rację. Na pewno znajdą się przedsiębiorcy, którzy nie stosują ustawy, uznając, że od zawsze przetwarzają dane osobowe i regulacje prawne nigdy nie były im potrzebne. Nawet jeżeli udało im się bezpiecznie przez lata wykonywać operacje przetwarzania danych osobowych, pomimo braku przestrzegania przepisów prawa, to nie powinni czuć się bezkarni. Za naruszenie zasad ochrony danych osobowych ustawodawca przewidział liczne sankcje, w tym odpowiedzialność karną. Skutki rynkowe i wizerunkowe naruszenia danych osobowych mogą być trudne do przewidzenia i nieodwracalne, nie mówiąc o konsekwencjach finansowych, wynikających z roszczeń cywilnoprawnych podmiotów, których dane osobowe zostały naruszone. Warto mieć świadomość obowiązków związanych z ochroną danych osobowych, aby zadbać o bezpieczeństwo swoich kontrahentów i pracowników, a jednocześnie o bezpieczeństwo własnego biznesu. Myślę, że każdy rozsądny przedsiębiorca zdecyduje się na dostosowanie swojej działalności do wymogów wynikających z przepisów prawa, skoro wystarczy wykonywać obowiązki ustawowe aby uniknąć surowej odpowiedzialności. Niniejszy przewodnik wyjaśnia w skrócie, jak to zrobić. Piotr Kalina, radca prawny Stillwell Polska sp. z o.o., ABI 2 StillWell Polska Sp.z o.o. ul. Zakrzewskiego 11 E 61-693 Poznań kom 732 601 772 tel 61 307 03 16 fax 61 610 03 47 [email protected] www.stillwell.pl KRS 0000494089 NIP 7792419088 Regon 302622400 Kapitał zakładowy 5.000,00zł Stillwell Polska sp. z o.o. | Kancelaria prawna Stillwell Kancelaria prawna Stillwell świadczy profesjonalną obsługę prawną podmiotów gospodarczych. Pomagamy naszym Klientom od początku ich przygody z biznesem, doradzamy przy wyborze najodpowiedniejszej formy prowadzenia działalności gospodarczej, informujemy o obowiązkach, dokonujemy rejestracji, przejmujemy na siebie kontakty z urzędami i sądami. W związku z faktem, iż bezpieczeństwo informacji w działalności prawniczej jest szczególnie istotne bardzo dużą wagę przywiązujemy do ochrony danych osobowych. Kierując się zasadą, iż bezpieczne przetwarzanie danych zapewnia bezpieczne prowadzenie biznesu, dobieramy dla naszych Klientów odpowiednie rozwiązania prawne i organizacyjne, dostosowując Państwa działalność do wymogów wynikających z przepisów prawa. Nasz zespół tworzą specjaliści w kluczowych dla branży dziedzinach prawa. Satysfakcję Klientów gwarantuje profesjonalne podejście i wysokie kompetencje naszych pracowników. Obsługą prawną związaną z ochroną danych osobowych w Kancelarii prawnej Stillwell zajmuje się radca prawny Piotr Kalina, Absolwent Wydziału Prawa i Administracji Uniwersytetu im. Adama Mickiewicza w Poznaniu, wpisany na listę Okręgowej Izby Radców Prawnych w Poznaniu. Specjalizuje się w ochronie danych osobowych, prawie gospodarczym oraz prawie spółek handlowych. Ukończył z wynikiem bardzo dobrym studia podyplomowe z zakresu ochrony danych osobowych w Polskiej Akademii Nauk w Warszawie „Wykonywanie funkcji administratora bezpieczeństwa informacji”. Stan przestrzegania przepisów Świadomość konieczności ochrony danych osobowych jest w społeczeństwie coraz większa. Obecnie częściej, niż kiedyś dbamy o to, jakie i komu informacje dotyczące naszej osoby powierzamy. Nie oznacza to niestety zapewniania przez podmioty przetwarzające dane osobowe ich odpowiedniej ochrony oraz przetwarzania danych osobowych zgodnie z przepisami prawa. W ostatnich latach do GIODO wpłynęło około 10 tysięcy skarg1 w związku z naruszeniem ochrony danych osobowych. W dalszym ciągu na poziomie zabezpieczenia danych osobowych oraz przekazywania ich innym podmiotom występuje wiele nieprawidłowości. Oczywiście regulacje prawne nie są w stanie zagwarantować pełnego i trwałego bezpieczeństwa przetwarzania danych osobowych, ale przyjmuje się, że postępowanie zgodnie z przepisami prawa w znaczący sposób zmniejsza ryzyko naruszenia ochrony danych osobowych, w tym ich utraty. 1 http://www.giodo.gov.pl/541/id_art/4583/j/pl/ 3 StillWell Polska Sp.z o.o. ul. Zakrzewskiego 11 E 61-693 Poznań kom 732 601 772 tel 61 307 03 16 fax 61 610 03 47 [email protected] www.stillwell.pl KRS 0000494089 NIP 7792419088 Regon 302622400 Kapitał zakładowy 5.000,00zł Przedsiębiorco! Jesteś ADO! ADO, czyli administrator danych osobowych to podmiot, który decyduje o celach i środkach przetwarzania danych osobowych. Np.: spółka z o.o., jednoosobowy przedsiębiorca. Przedsiębiorco! Przetwarzasz dane osobowe! Za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Np.: imię i nazwisko oraz adres. Przetwarzanie danych osobowych to jakiekolwiek operacje wykonywane na danych osobowych. Np.: zbieranie, przechowywanie, zmienianie, usuwanie danych osobowych. Przedsiębiorco! Masz obowiązki! Każdy ADO, bez względu na kategorię przetwarzanych danych oraz zagrożenia, ma obowiązek spełnić wymogi wskazane w przepisach, tj. w szczególności: 1. nadać upoważnienia osobom dopuszczonym do przetwarzania danych osobowych, 2. prowadzić ewidencję osób upoważnionych do przetwarzania danych osobowych, 3. opracować i wdrożyć Politykę bezpieczeństwa oraz Instrukcję zarządzania systemem informatycznym, 4. wykonywać obowiązek informacyjny względem osób, których dane przetwarza, 5. zgłosić zbiory danych osobowych do rejestracji GIODO, 6. zawierać na piśmie umowy powierzenia przetwarzania danych osobowych, jeżeli powierza ich przetwarzanie innemu podmiotowi, 7. zabezpieczyć dane osobowe w sposób odpowiedni do zagrożeń oraz kategorii danych objętych ochroną, 8. zapewniać przestrzeganie przepisów o ochronie danych osobowych, w szczególności przez: a) sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych, b) nadzorowanie opracowania i aktualizowania Polityki bezpieczeństwa i Instrukcji zarządzania oraz przestrzegania zasad w niej określonych, c) zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych. Przedsiębiorco! Grożą Ci kary! Za niewykonywanie obowiązków z zakresu ochrony danych osobowych ustawodawca przewidział surowe sankcje, w przypadkach wymienionych w art. 49 i nast. UODO zagrożone nawet odpowiedzialnością karną. 4 StillWell Polska Sp.z o.o. ul. Zakrzewskiego 11 E 61-693 Poznań kom 732 601 772 tel 61 307 03 16 fax 61 610 03 47 [email protected] www.stillwell.pl KRS 0000494089 NIP 7792419088 Regon 302622400 Kapitał zakładowy 5.000,00zł Przedsiębiorco! Powołaj ABI i … odetchnij! ADO może powołać administratora bezpieczeństwa informacji (ABI), który przejmuje wykonywanie obowiązków ADO w zakresie ochrony danych osobowych. ABI będzie aktualizował dokumentację ochrony danych osobowych, zajmie się zapewnianiem przestrzegania przepisów w przedsiębiorstwie, będzie przeprowadzał regularne sprawdzenia w tym zakresie oraz sporządzał sprawozdania. ABI to specjalista w tematyce ochrony danych osobowych, dysponujący odpowiednią wiedzą i mechanizmami. Powierzając pełnienie tej funkcji odpowiedniej osobie, ADO zapewnia sobie profesjonalne wykonywanie obowiązków przez ABI i nie musi wykonywać ich samodzielnie. Ponadto ADO będzie wówczas zwolniony z obowiązku zgłaszania GIODO zbiorów danych osobowych do rejestracji. 5 StillWell Polska Sp.z o.o. ul. Zakrzewskiego 11 E 61-693 Poznań kom 732 601 772 tel 61 307 03 16 fax 61 610 03 47 [email protected] www.stillwell.pl KRS 0000494089 NIP 7792419088 Regon 302622400 Kapitał zakładowy 5.000,00zł I. Zakres podmiotowy zastosowania ustawy Często mylnie uważa się, że ustawę o ochronie danych osobowych muszą stosować jedynie podmioty publiczne. Lektura początkowych przepisów ustawy szybko wyprowadza z tego błędnego założenia. Ustawa dotyczy tak samo podmiotów publicznych, jak i podmiotów prywatnych. Wobec organów władzy publicznej stosuje się jedynie zaostrzone wymogi, wynikające z charakteru wykonywanych przez administrację czynności, np. nie powinny one opierać przetwarzania danych osobowych w oparciu o zgodę osoby, której dane dotyczą. Ustawę stosuje się do: 1. organów państwowych, organów samorządu terytorialnego oraz do państwowych i komunalnych jednostek organizacyjnych; 2. podmiotów niepublicznych realizujących zadania publiczne; 3. osób fizycznych i osób prawnych oraz jednostek organizacyjnych niebędących osobami prawnymi, jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych. Przepisy ustawy dotyczą zatem wszystkich podmiotów występujących w obrocie. Ustawy nie stosuje się do: 1. osób fizycznych, które przetwarzają dane wyłącznie w celach osobistych lub domowych; 2. podmiotów mających siedzibę lub miejsce zamieszkania w państwie trzecim, wykorzystujących środki techniczne znajdujące się na terytorium Rzeczypospolitej Polskiej wyłącznie do przekazywania danych; 3. prasowej działalności dziennikarskiej oraz do działalności literackiej lub artystycznej, chyba że wolność wyrażania swoich poglądów i rozpowszechniania informacji istotnie narusza prawa i wolności osoby, której dane dotyczą; 4. jeżeli umowa międzynarodowa, której stroną jest Rzeczpospolita Polska, stanowi inaczej. Ustawę musi stosować zakład zatrudniający pracowników, lub przedsiębiorca handlujący towarami. Ustawy nie musi stosować uczeń piszący pamiętnik. II. Zakres przedmiotowy zastosowania ustawy Za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. 6 StillWell Polska Sp.z o.o. ul. Zakrzewskiego 11 E 61-693 Poznań kom 732 601 772 tel 61 307 03 16 fax 61 610 03 47 [email protected] www.stillwell.pl KRS 0000494089 NIP 7792419088 Regon 302622400 Kapitał zakładowy 5.000,00zł Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Każda informacja umożliwiająca na jej podstawie rozpoznanie konkretnej osoby uważana jest za dane osobowe. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań. Dane osobowe to np. imię, nazwisko i adres. Danych osobowych nie stanowi występująca samodzielnie informacja o wysokości wynagrodzenia. III. Podstawowe pojęcia Administrator danych osobowych (ADO) to organ, jednostka organizacyjna, podmiot lub osoba, decydujące o celach i środkach przetwarzania danych osobowych. Przetwarzanie danych to jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie. Zbiór danych to każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie. Już ułożenie alfabetyczne nadaje strukturę i kryterium do wyszukiwania, więc mamy do czynienia w takiej sytuacji ze zbiorem danych osobowych. Np. zbiór danych osobowych Klientów. Dane osobowe korzystają z ochrony nie tylko w razie ich przetwarzania w zbiorach danych osobowych, ale także wówczas, gdyby dopiero miały się znaleźć w takim zbiorze. Oznacza to, iż przepisy o ochronie danych osobowych trzeba stosować już na etapie gromadzenia danych osobowych po to, by dopiero tworzyły zbiór danych osobowych. 7 StillWell Polska Sp.z o.o. ul. Zakrzewskiego 11 E 61-693 Poznań kom 732 601 772 tel 61 307 03 16 fax 61 610 03 47 [email protected] www.stillwell.pl KRS 0000494089 NIP 7792419088 Regon 302622400 Kapitał zakładowy 5.000,00zł III. Zasady przetwarzania danych osobowych III. A. Legalność Dane osobowe można przetwarzać wyłącznie, jeśli istnieje ku temu podstawa prawna. Może ona mieć różne źródło, jednak dane osobowe muszą zostać zebrane w sposób legalny. Zgodnie z ustawą przetwarzanie danych jest dopuszczalne tylko wtedy, gdy: 1) osoba, której dane dotyczą, wyrazi na to zgodę; 2) jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa; 3) jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą; 4) jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego; 5) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą, tj. w szczególności: a) marketing bezpośredni własnych produktów lub usług administratora danych; b) dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej. Przy danych osobowych tzw. wrażliwych, tj. między innymi danych o stanie zdrowia, pochodzeniu rasowym, o nałogach, obowiązuje odwrotna zasada. Przetwarzanie danych takiej kategorii jest zakazane, chyba, że występuje jeden z przypadków wyraźnie wymienionych przez ustawodawcę w art. 27 ust. 2 ustawy, w tym między innymi osoba, której dane dotyczą, wyrazi na to zgodę na piśmie, albo przetwarzanie dotyczy danych, które zostały podane do wiadomości publicznej przez osobę, której dane dotyczą. III. B. Adekwatność Przetwarzanie danych osobowych może okazać się nieuprawnione nawet jeżeli podmiot je przetwarzający legalnie wszedł w ich posiadanie. Ustawodawca wymaga bowiem, by zakres przetwarzanych danych osobowych był adekwatny do celu, dla którego zostały zebrane. Zawierając umowę najmu mieszkania wykonawca nie powinien zatem żądać od kontrahenta informacji dotyczących np. okresu ważności jego paszportu. Dane takie nie są bowiem niezbędne do realizacji umowy, która może być skutecznie zawarta bez ich uzyskiwania. 8 StillWell Polska Sp.z o.o. ul. Zakrzewskiego 11 E 61-693 Poznań kom 732 601 772 tel 61 307 03 16 fax 61 610 03 47 [email protected] www.stillwell.pl KRS 0000494089 NIP 7792419088 Regon 302622400 Kapitał zakładowy 5.000,00zł Dla ustalenia adekwatnego zakresu danych osobowych, należy w każdym przypadku określić zamierzony cel ich przetwarzania, np. świadczenie usługi cateringu. Następnie należy wyodrębnić te dane osobowe, bez posiadania których realizacja tego celu nie będzie możliwa. Wszelkie dodatkowe dane, bez pozyskania których da się zrealizować cel przetwarzania danych są w rozumieniu ustawy nieadekwatne (w podanym przykładzie np. imiona rodziców, lub miejsce urodzenia). Przetwarzanie danych osobowych nieadekwatnych do celu przetwarzania jest w tym zakresie nieuprawnione, co znaczy, że dane takie należy usunąć i zaprzestać ich przetwarzania. III. C. Celowość ADO zbiera dane osobowe dla zrealizowania określonego, zgodnego z prawem celu, np. dla realizacji umowy stron. Zasada celowości zabrania ADO przetwarzania danych osobowych dla realizacji innych celów, niezgodnych z celem pierwotnym, dla osiągnięcia którego zostały zebrane, np. w celu prowadzenia marketingu przez podmiot trzeci. Wynika z powyższego, iż: cel przetwarzania danych osobowych musi być znany osobie, której dane dotyczą przed zebraniem od niej danych osobowych, cel musi być precyzyjny, zgodny z prawem i odpowiadać zgodnemu zamiarowi stron, ADO nie może uzależniać zawarcia umowy od wyrażenia przez osobę, której dane dotyczą zgody na przetwarzanie danych w zupełnie innych celach. Przetwarzanie danych w celu innym niż ten, dla którego zostały zebrane, jest dopuszczalne, jeżeli nie narusza praw i wolności osoby, której dane dotyczą, oraz następuje: 1) w celach badań naukowych, dydaktycznych, historycznych lub statystycznych; 2) w oparciu o legalną przesłankę przetwarzania danych osobowych oraz z wykonaniem obowiązku poinformowania osoby, której dane dotyczą między innymi o nowym celu i zakresie zbierania danych, a także prawie do wniesienia żądania zaprzestania przetwarzania jej danych oraz wniesienia sprzeciwu wobec przetwarzania jej danych. III. D. Rozliczalność ADO powinien zapewnić, aby czynności związane z przetwarzaniem danych osobowych w systemie informatycznym można było przyporządkować w sposób jednoznaczny tylko jednemu podmiotowi. Zapewnienie realizacji tej zasady 9 StillWell Polska Sp.z o.o. ul. Zakrzewskiego 11 E 61-693 Poznań kom 732 601 772 tel 61 307 03 16 fax 61 610 03 47 [email protected] www.stillwell.pl KRS 0000494089 NIP 7792419088 Regon 302622400 Kapitał zakładowy 5.000,00zł następuje najczęściej poprzez przypisanie każdemu użytkownikowi indywidualnego identyfikatora oraz prowadzenie rejestru zdarzeń w systemie informatycznym. Dzięki temu możliwe jest ustalenie, czy operacje przetwarzania danych osobowych wykonują osoby upoważnione przez ADO do przetwarzania danych osobowych, a także identyfikacja osoby, która bezpośrednio dopuściła się naruszenia ochrony danych osobowych. Jednocześnie staje się możliwe wykrycie ewentualnych przypadków nieuprawnionego dostępu do systemu informatycznego. III. E. Poufność Zachowanie poufności danych osobowych wymaga zapewnienia, że dane te nie zostaną udostępniane nieupoważnionym podmiotom. III. F. Integralność W myśl zasady integralności procesy przetwarzania danych osobowych muszą być tak zorganizowane, aby uniemożliwiać modyfikację lub usunięcie danych osobowych w sposób nieautoryzowany. Jak prawidłowo przetwarzać dane osobowe w poszczególnych zakresach? Podstawowe informacje: Zbieranie danych osobowych dopuszczalne jest w oparciu o legalną podstawę prawną, np.: 1. przed zawarciem umowy w celu jej realizacji, 2. w oparciu o zgodę osoby, której dane dotyczą do innych celów, tylko przez osoby upoważnione – muszą posiadać upoważnienie nadane przez ADO, w sposób uniemożliwiający dostęp do danych osobowych osobom nieuprawnionym, tj. żeby inni interesanci nie słyszeli i nie widzieli danych osobowych zbieranych od potencjalnego klienta. W związku z tym należy tak zorganizować salę obsługi klienta, aby nie było możliwe zapoznanie się z danymi osobowymi innych osób przez przebywających w środku interesantów. 10 StillWell Polska Sp.z o.o. ul. Zakrzewskiego 11 E 61-693 Poznań kom 732 601 772 tel 61 307 03 16 fax 61 610 03 47 [email protected] www.stillwell.pl KRS 0000494089 NIP 7792419088 Regon 302622400 Kapitał zakładowy 5.000,00zł Przechowywanie danych osobowych powinno mieć miejsce w odpowiednio zabezpieczonej formie (zależnie od kategorii danych i zagrożeń), przez upoważnione podmioty. Modyfikacja danych osobowych powinna odbywać się z odnotowaniem daty i zakresu zmiany oraz osób dokonujących modyfikacji, tylko przez osoby upoważnione, z zachowaniem prawdziwości danych i adekwatności zakresu do celu, dla jakiego zostały zebrane. Usuwanie danych osobowych może być wykonywane przez osoby do tego upoważnione, nie wolno po prostu wyrzucić dokumentów, lub nośników zawierających dane osobowe do kosza, usunięcie danych osobowych powinno mieć charakter trwały, często poprzez fizyczne zniszczenie nośnika danych osobowych, najlepiej w odpowiednich niszczarkach, z usunięcia danych osobowych można sporządzić protokół, niszczenie nośników danych osobowych przez podmiot zewnętrzny powinno odbywać się w oparciu o umowę powierzenia, lub pod nadzorem ADO, lub upoważnionej osoby. 11 StillWell Polska Sp.z o.o. ul. Zakrzewskiego 11 E 61-693 Poznań kom 732 601 772 tel 61 307 03 16 fax 61 610 03 47 [email protected] www.stillwell.pl KRS 0000494089 NIP 7792419088 Regon 302622400 Kapitał zakładowy 5.000,00zł IV. Decyzje GIODO Poniżej mogą się Państwo zapoznać z wyciągiem z sentencji przykładowej decyzji GIODO wydanej po zakończeniu postępowania kontrolnego, nakazującej przywrócenie stanu przetwarzania danych osobowych do zgodnego z prawem, tj. nakazujące wykonać obowiązki obciążające ADO z mocy przepisów prawa. Decyzja GIODO z dnia 28-10-2014 roku, DIS/DEC-1022/14/84106 Nakazuję Spółce usunięcie uchybień w procesie przetwarzania danych osobowych poprzez: 1. Zaprzestanie powierzania przetwarzania danych osobowych Panu [...] prowadzącemu działalność gospodarczą pod firmą [...] bez zawarcia pisemnej umowy powierzenia; 2. Realizowanie wobec użytkowników serwisu internetowego o nazwie [...], obowiązku informacyjnego; 3. Zastosowanie środków kryptograficznej ochrony danych osobowych w toku uwierzytelniania użytkowników serwisu internetowego [...] oraz podczas wprowadzania i modyfikacji danych osobowych przetwarzanych w ramach kont użytkowników tego serwisu; 4. Zapewnienie, aby hasło logowania do systemu informatycznego [...], w którym przetwarzane są dane osobowe użytkowników serwisu internetowego [...], było zmieniane nie rzadziej niż co 30 dni; 5. Opracowanie i wdrożenie dokumentacji opisującej sposób przetwarzania danych oraz zastosowane środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych; 6. Zgłoszenie Generalnemu Inspektorowi Ochrony Danych Osobowych do rejestracji zbioru danych osobowych pozyskiwanych w związku z rejestracją użytkowników serwisu internetowego [...]. V. Obowiązki ADO Przepisy o ochronie danych osobowych nakładają na ADO obowiązek zabezpieczenia przetwarzanych danych osobowych. Zabezpieczenie ma uchronić dane osobowe przed: 1. ich udostępnieniem osobom nieupoważnionym, 2. zabraniem przez osobę nieuprawnioną, 3. przetwarzaniem z naruszeniem ustawy, 4. zmianą, utratą, uszkodzeniem lub zniszczeniem. 12 StillWell Polska Sp.z o.o. ul. Zakrzewskiego 11 E 61-693 Poznań kom 732 601 772 tel 61 307 03 16 fax 61 610 03 47 [email protected] www.stillwell.pl KRS 0000494089 NIP 7792419088 Regon 302622400 Kapitał zakładowy 5.000,00zł W celu wykonania obowiązku zastosowania zabezpieczeń należy: 1. wprowadzić zabezpieczenia; 2. stworzyć reguły stosowania zabezpieczeń, które określa się w obowiązkowej dokumentacji ochrony danych osobowych: Polityce Bezpieczeństwa oraz Instrukcji Zarządzania Systemem Informatycznym. V. 1. Polityka Bezpieczeństwa Przepisy o ochronie danych osobowych nakładają na każdego ADO obowiązek opracowania i wdrożenia Polityki bezpieczeństwa. Jest to podstawowy dokument z zakresu ochrony danych osobowych, który powinien określać najważniejsze zasady zapewniające przetwarzanie danych osobowych zgodnie z przepisami prawa i wymogami biznesowymi. Treść Polityki bezpieczeństwa nie może być dowolna. Musi ona zawierać co najmniej obowiązkowe elementy, wskazane w rozporządzeniu wykonawczym do ustawy tj. określać obszar, w którym przetwarzane są dane osobowe, zawierać wykaz zbiorów danych osobowych ze wskazaniem programów zastosowanych do ich przetwarzania oraz opisem struktury tych zbiorów, wskazywać sposób przepływu danych pomiędzy poszczególnymi systemami oraz określać zastosowane środki techniczne i organizacyjne służące zabezpieczeniu przetwarzanych danych osobowych. W uproszczeniu można stwierdzić, że Polityka bezpieczeństwa zawiera ogólne wytyczne dotyczące przetwarzania danych osobowych w danym przedsiębiorstwie i reguły postępowania, według których powinny postępować osoby dopuszczone do przetwarzania danych osobowych. Jednocześnie w dokumencie tym powinny zostać określone środki zapewnione przez kierownictwo podmiotu do przetwarzania danych osobowych zgodnego z przepisami. V. 2. Instrukcja Zarządzania Instrukcja zarządzania systemem informatycznym jest drugim obowiązkowym dokumentem, jaki bezwzględnie musi zostać opracowany i wdrożony w przedsiębiorstwie. 13 StillWell Polska Sp.z o.o. ul. Zakrzewskiego 11 E 61-693 Poznań kom 732 601 772 tel 61 307 03 16 fax 61 610 03 47 [email protected] www.stillwell.pl KRS 0000494089 NIP 7792419088 Regon 302622400 Kapitał zakładowy 5.000,00zł W Instrukcji zarządzania opisuje się zasady przetwarzania danych osobowych za pomocą systemu informatycznego oraz zastosowane rozwiązania techniczne mające na celu zapewnienie bezpieczeństwa przetwarzania danych osobowych w systemie. Każda operacja przeprowadzona na danych osobowych w systemie informatycznym powinna być powiązana bezpośrednio z konkretnym użytkownikiem, który ją wykonał. W związku z tym Instrukcja zarządzania musi określać między innymi procedury nadawania uprawnień do przetwarzania danych w systemie informatycznym oraz stosowane metody i środki uwierzytelnienia. ADO w dokumencie tym opisuje również procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych. W praktyce często stosuje się następujące, proste rozwiązania zwiększające poziom zabezpieczenia danych osobowych, które można wprowadzić do dokumentacji ochrony danych osobowych, jako zasady obowiązujące pracowników: 1. zakaz używania dowolnych nośników danych i możliwość korzystania jedynie z nośników danych, które automatycznie szyfrują dane; 2. zobowiązanie pracowników do przesyłania plików zawierających dane osobowe przez Internet w formie zabezpieczonej hasłem; 3. zobowiązanie osób przetwarzających dane osobowe do zapisywania danych bezpośrednio na serwerze, co pozwala na wykonanie kopii bezpieczeństwa i kopii zapasowych całych serwerów, bez konieczności wykonywania kopii wszystkich komputerów w całym przedsiębiorstwie. V. 3. Upoważnienie do przetwarzania danych osobowych ADO, czyli np. spółka zawierająca umowę może przetwarzać dane osobowe swojego kontrahenta, który jej te dane powierzył w celu wykonania umowy. Podmiotem upoważnionym do przetwarzania tych danych jest wówczas jedynie spółka, a nie osoby w niej zatrudnione. W związku z tym ADO musi udzielić wszystkim pracownikom dopuszczonym do przetwarzania danych osobowych stosownych upoważnień. Pracownicy ADO mogą legalnie przetwarzać dane osobowe, a zarazem w większości przypadków po prostu wykonywać swoją pracę, dopiero po uzyskaniu takiego upoważnienia. Jego nadanie jest zatem w interesie obu stron. ADO może upoważnić np. ABI do nadawania upoważnień w imieniu spółki. 14 StillWell Polska Sp.z o.o. ul. Zakrzewskiego 11 E 61-693 Poznań kom 732 601 772 tel 61 307 03 16 fax 61 610 03 47 [email protected] www.stillwell.pl KRS 0000494089 NIP 7792419088 Regon 302622400 Kapitał zakładowy 5.000,00zł Obowiązkiem bezpośrednio związanym z udzielaniem upoważnień do przetwarzania danych osobowych jest konieczność prowadzenia przez ADO ewidencji udzielonych upoważnień. Najczęściej również to zadanie ADO powierza do wykonywania ABI, na podstawie odrębnego upoważnienia. Treść ewidencji nie może być dowolna, jej obowiązkowe elementy zostały określone w ustawie. V. 4. Rejestracja zbiorów danych osobowych Co do zasady każdy ADO jest obowiązany zgłosić zbiory danych osobowych do rejestracji GIODO. Niewykonanie tego obowiązku jest zagrożone sankcją karną, dlatego szczególnie istotne jest właściwe wyodrębnienie zbiorów i ich zgłoszenie do rejestracji. Rejestracji dokonuje się na urzędowym formularzu, a przetwarzanie danych osobowych jest dozwolone dopiero po zgłoszeniu tego zbioru do rejestracji GIODO. Gdy w zbiorze przetwarzane są dane wrażliwe, ich przetwarzanie jest możliwe zgodnie z prawem dopiero po zarejestrowaniu zbioru. ADO jest zwolniony z obowiązku zgłaszania zbiorów danych osobowych do GIODO, które zostały enumeratywnie wymienione w ustawie. Zwolnienie dotyczy np. zbioru danych osobowych pracowników, lub danych dotyczących osób korzystających z usług medycznych ADO. Nie ma obowiązku zgłaszania zbiorów danych osobowych do rejestracji GIODO również ADO, który powołał ABI. Wówczas ABI prowadzi wewnętrzny rejestr zbiorów danych osobowych. Przywilej ten nie dotyczy jednak zbiorów danych osobowych wrażliwych, które muszą być zgłaszane do rejestracji GIODO niezależnie od tego, czy powołano ABI, czy też nie. V. 5. Umowy powierzenia przetwarzania danych osobowych ADO prowadząc działalność gospodarczą, lub inną statutową, często skupia się na wykonywaniu kluczowych zadań z punktu widzenia osiągnięcia celu prowadzonej działalności, a kwestie, w których nie posiada odpowiednich kwalifikacji, lub możliwości organizacyjnych, zleca zewnętrznym podmiotom. Dzieje się tak najczęściej z usługami księgowymi, ochroną mienia, monitoringiem, lub hostingiem. Z każdym z tych zleceń wiąże się przekazanie zewnętrznemu podmiotowi pewnego zakresu kompetencji ADO do prowadzenia jego spraw. Jednocześnie do wykonania w/w usług ich wykonawca musi przetwarzać dane osobowe powierzone ADO. Aby cały ten proces odbył 15 StillWell Polska Sp.z o.o. ul. Zakrzewskiego 11 E 61-693 Poznań kom 732 601 772 tel 61 307 03 16 fax 61 610 03 47 [email protected] www.stillwell.pl KRS 0000494089 NIP 7792419088 Regon 302622400 Kapitał zakładowy 5.000,00zł się legalnie ADO musi zawrzeć z podmiotem, z którego usług korzysta (tzw. procesor) umowę powierzenia przetwarzania danych osobowych. Umowa ta powinna być zawarta w formie pisemnej i określać zakres i cel przetwarzania danych osobowych przez procesora. Na podstawie umowy procesor przejmuje odpowiedzialność za zabezpieczenie danych osobowych, które zostały mu powierzone do przetwarzania. W umowie warto uregulować inne kwestie, które nie wynikają bezpośrednio z przepisów powszechnie obowiązującego prawa, np. uprawnienie ADO do kontroli procesora w zakresie zabezpieczenia danych osobowych powierzonych mu do przetwarzania. VI. Administrator Bezpieczeństwa Informacji (ABI) Co do zasady wszystkie obowiązki z zakresu ochrony danych osobowych obciążają ADO. ADO może jednak powołać Administratora Bezpieczeństwa Informacji (ABI), który przejmuje na siebie wykonywanie zadań związanych z ochroną danych osobowych w przedsiębiorstwie. Korzyści z powołania ABI jest więcej, niż tylko przerzucenie obowiązków na określoną osobę. ADO powołując ABI jest zwolniony z obowiązku zgłaszania zbiorów danych osobowych do rejestracji GIODO. Ponadto zapewnia sobie przetwarzanie danych osobowych w przedsiębiorstwie na profesjonalnym poziomie, zgodnym z przepisami prawa. ABI bowiem może zostać jedynie osoba posiadająca odpowiednią wiedzę w zakresie ochrony danych osobowych. Przekłada się to na poprawę wizerunku przedsiębiorstwa, które jest postrzegane jako rzetelny kontrahent, dbający o bezpieczeństwo swoich klientów. Uogólniając można stwierdzić, że ABI ma za zadanie zapewniać, aby w przedsiębiorstwie procesy przetwarzania danych osobowych odbywały się zgodnie z przepisami prawa. ABI regularnie wykonuje tzw. sprawdzenia zgodności przetwarzania danych osobowych z przepisami i przygotowuje sprawozdania z wykonanych czynności. Na podstawie takiego sprawozdania ADO może wyciągnąć wnioski i podjąć kroki zwiększające poziom ochrony danych osobowych. Ponadto ABI aktualizuje Politykę bezpieczeństwa i Instrukcję zarządzania oraz nadzoruje przestrzeganie zasad w niej określonych przez osoby przetwarzające dane osobowe. ABI musi zajmować w przedsiębiorstwie odpowiednią pozycję, pozwalającą mu skutecznie nadzorować pracowników i instruować ich w kwestiach dotyczących przetwarzania danych osobowych. W związku z tym ABI podlega bezpośrednio kierownikowi jednostki organizacyjnej, a ADO zapewnia ABI środki i organizacyjną odrębność. 16 StillWell Polska Sp.z o.o. ul. Zakrzewskiego 11 E 61-693 Poznań kom 732 601 772 tel 61 307 03 16 fax 61 610 03 47 [email protected] www.stillwell.pl KRS 0000494089 NIP 7792419088 Regon 302622400 Kapitał zakładowy 5.000,00zł W połączeniu ze specjalistyczną wiedzą ABI, buduje to jego autorytet w zespole i pozwala na skuteczne wykonywanie obowiązków. Jeżeli pracodawca nie dysponuje odpowiednią kadrą, lub możliwościami organizacyjnymi może powołać na ABI osobę z zewnątrz, na zasadzie outsourcingu. W takim przypadku ABI najczęściej wykonuje wszystkie obowiązki wewnątrz firmy i reprezentuje firmę w ewentualnych sporach z podmiotami trzecimi oraz organami, a także w negocjacjach z kontrahentami. Co istotne ABI może być tylko osoba fizyczna, zatem zawierając umowę outsourcingu wykonywania funkcji ABI z osobą prawną należy imiennie wskazać ABI, który z ramienia takiego podmiotu będzie pełnił tę funkcję w Państwa przedsiębiorstwie. VII. Dane kontaktowe Stillwell Polska sp. z o.o. nr telefonu: 61 307 03 16 ul. Ksawerego Zakrzewskiego 11E adres e-mail: [email protected] 61-693 Poznań NIP 7792419088 REGON 302622400 KRS 0000494089 Autor poradnika: radca prawny Piotr Kalina Radca prawny Piotr Kalina, Absolwent Wydziału Prawa i Administracji Uniwersytetu im. Adama Mickiewicza w Poznaniu, wpisany na listę Okręgowej Izby Radców Prawnych w Poznaniu, zajmuje się w Stillwell Polska sp. z o.o. obsługą prawną związaną z ochroną danych osobowych. Specjalizuje się w ochronie danych osobowych, prawie gospodarczym oraz prawie spółek handlowych. Ukończył z wynikiem bardzo dobrym studia podyplomowe z zakresu ochrony danych osobowych w Polskiej Akademii Nauk w Warszawie „Wykonywanie funkcji administratora bezpieczeństwa informacji”. 17 StillWell Polska Sp.z o.o. ul. Zakrzewskiego 11 E 61-693 Poznań kom 732 601 772 tel 61 307 03 16 fax 61 610 03 47 [email protected] www.stillwell.pl KRS 0000494089 NIP 7792419088 Regon 302622400 Kapitał zakładowy 5.000,00zł Wszelkie prawa zastrzeżone. Niniejszy przewodnik stanowi przedmiot prawa autorskiego. Nie może on być publikowany, ani powielany, ani rozpowszechniany w całości, ani w części w jakiejkolwiek formie. Kancelaria prawna Stillwell Stillwell Polska sp. z o.o. Ochrona danych osobowych * szkolenia z ochrony danych osobowych * audyty bezpieczeństwa * przejęcie funkcji ABI * opracowanie Polityki Bezpieczeństwa * opracowanie Instrukcji Zarządzania * rejestracja zbiorów danych osobowych * porady prawne 18 StillWell Polska Sp.z o.o. ul. Zakrzewskiego 11 E 61-693 Poznań kom 732 601 772 tel 61 307 03 16 fax 61 610 03 47 [email protected] www.stillwell.pl KRS 0000494089 NIP 7792419088 Regon 302622400 Kapitał zakładowy 5.000,00zł