Profesjonalnie o Ochronie Danych Osobowych

Dokumentacja ochrony danych osobowych w firmie – obowiązek ustawowy

Obowiązek prowadzenia dokumentacji, o której będzie mowa w niniejszym artykule, spoczywa właściwie na każdym przedsiębiorstwie. Jeśli w toku prowadzonej przez siebie działalności gospodarczej przedsiębiorca sprzedaje towary bądź usługi osobom fizycznym (klientom indywidualnym) czy też zatrudnia pracowników, staje się administratorem danych osobowych.

Nawet jeżeli jest zwolniony z obowiązku rejestrowania posiadanych przez siebie zbiorów danych osobowych do GIODO, powinien prowadzić dokumentację. Przepisy prawne nie przewidują od tej zasady żadnych wyjątków.

Jeśli zapytać pracownika przedsiębiorstwa o pierwsze skojarzenia związane z ochroną danych osobowych, najczęściej można usłyszeć następujące odpowiedzi: „wygaszacze ekranów komputerowych”, „zmieniające się hasła w systemach informatycznych”, „metalowe szafy zamykane na klucz”.

To oczywiście prawda. Jednak z perspektywy administratora danych osobowych (przedsiębiorstwa) zagadnienia związane z ochroną tych danych należy rozpatrywać ze znacznie szerszej perspektywy.

Ideą przyświecającą twórcom ustawy o ochronie danych osobowych było to, aby każdy administrator tych danych wdrożył w swojej organizacji system ich ochrony zapewniający legalne i bezpieczne ich przetwarzanie.

Cztery filary systemu

Mówi się, że nie ma barier ani zapór niemożliwych do sforsowania – to prawda, natomiast spełnienie ustawowego obowiązku i wdrożenie systemu ochrony danych osobowych zapewnia każdemu administratorowi bezpieczeństwo prawne. Dzięki temu nie naraża się on na zarzuty Generalnego Inspektora Ochrony Danych Osobowych ani na ewentualne powództwa cywilnoprawne ze strony klientów czy też własnych pracowników.

Trenerzy prowadzący szkolenia z zakresu danych osobowych często porównują system, o którym mowa w ustawie, do bariery ochronnej opartej na 4 filarach.

Pierwszym elementem systemu jest zadbanie o legalność procesów przetwarzania danych osobowych. Ustawa zasadniczo zabrania ich przetwarzania, jednak przewiduje wiele wyjątków od tej reguły (np. zgoda osoby udostępniającej swoje dane osobowe). Chodzi o to, żeby przetwarzanie przez przedsiębiorstwo danych osobowych np. klientów odbywało się w oparciu o jedną z tzw. przesłanek legalności ich przetwarzania (art. 23 Ustawy o ochronie danych osobowych). Nielegalne przetwarzanie danych osobowych stanowi przestępstwo w myśl tej ustawy.

Drugi element systemu to obowiązek informacyjny. Jest on szczególnie istotny, ponieważ świadomość prawna na temat ochrony danych osobowych wciąż jest względnie niska wśród społeczeństwa. Mając to na uwadze, ustawodawca postanowił niejako wymusić na każdym przedsiębiorcy obowiązek informacyjny. Polega on m.in. na poinformowaniu osoby, od której dane są zbierane, o tym, kto jest ich administratorem, oraz o prawie do wniesienia sprzeciwu.

Trzeci element to obowiązek dokonania zgłoszeń rejestracyjnych do Generalnego Inspektora Ochrony Danych Osobowych za pomocą specjalnego wniosku, dostępnego między innymi w serwisie internetowym GIODO.

Czwarty i najistotniejszy z perspektywy przedmiotowego artykułu element systemu to obowiązek zabezpieczenia przetwarzanych danych osobowych. Zabezpieczenia dzielą się na fizyczne oraz organizacyjne. Praktyka pokazuje, że większość uchybień stwierdzanych przez GIODO w trakcie kontroli dotyczy niedociągnięć w zabezpieczeniach organizacyjnych. Co się składa na obowiązek zabezpieczenia danych osobowych od strony organizacyjnej? Przede wszystkim dokumentacja z zakresu ochrony danych osobowych, a więc: informacja o polityce bezpieczeństwa, instrukcja zarządzania systemem informatycznym, upoważnienia dla pracowników, ewidencja upoważnień, umowy powierzenia.

Sama Ustawa o ochronie danych osobowych nie przekazuje szczegółów dotyczących tego, co powinna zawierać dokumentacja. Znacznie więcej konkretnych informacji można znaleźć w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (zwane dalej rozporządzeniem).

Polityka bezpieczeństwa

Zgodnie z § 3 i § 4 rozporządzenia administrator danych jest obowiązany do opracowania w formie pisemnej i realizowania tzw. polityki bezpieczeństwa. Pojęcie to należy rozumieć jako zestaw praw, reguł i praktycznych doświadczeń dotyczących sposobu zarządzania danymi osobowymi, ich ochrony i dystrybucji wewnątrz określonej organizacji. Tu należy podkreślić, że polityka bezpieczeństwa powinna całościowo rozwiązywać problem zabezpieczenia danych osobowych przetwarzanych zarówno tradycyjnie, jak i w systemach informatycznych. Jej celem jest wskazanie działań, jakie należy wykonać, oraz ustanowienie zasad i reguł postępowania, które należy stosować, aby właściwie zabezpieczyć dane osobowe.

Instrukcja zarządzania systemem informatycznym

Od administratorów danych przetwarzających dane w systemach informatycznych wymagane jest opracowanie instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. Zgodnie z § 5 rozporządzenia instrukcja ta powinna zawierać w szczególności:

a) procedury nadawania i rejestrowania uprawnień do przetwarzania danych w systemach informatycznych oraz wskazanie osoby odpowiedzialnej za te czynności;

b) opis stosowanych metod i środków uwierzytelnienia;

c) procedury rozpoczęcia, zawieszenia i zakończenia pracy w systemie przeznaczone dla jego użytkowników;

d) procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania;

e) opis sposobu, miejsca i okresu przechowywania elektronicznych nośników informacji zawierających dane osobowe oraz ich kopii zapasowych;

f) opis sposobu zabezpieczania systemów informatycznych przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego;

g) opis sposobu realizacji wymogów stawianych systemom informatycznym;

h) procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.

Upoważnienia dla pracowników

Wymaga się, aby dokumentacja zawierała reguły nadawania upoważnień do przetwarzania danych osobowych. Każdy pracownik przetwarzający dane osobowe powinien otrzymać stosowne upoważnienie. Preferowana jest forma pisemna. Na przykład pracownicy działów kadr powinni otrzymać upoważnienie do przetwarzania danych innych pracowników od osoby uprawnionej do reprezentacji spółki.

W formie pisemnej należy również sporządzić ewidencję upoważnień (z podpisem lub pieczątką) zawierającą poniższe informacje:

a) imię i nazwisko osoby upoważnionej,

b) datę nadania i ustania upoważnienia,

c) zakres upoważnienia do przetwarzania danych oraz

d) identyfikator, w przypadku gdy dane są przetwarzane w systemie informatycznym. Dodatkowo osoby upoważnione do dostępu do danych osobowych powinny być zobowiązane do zachowania ich w tajemnicy.

Umowy powierzenia przetwarzania danych osobowych

Administrator danych może powierzyć przetwarzanie danych osobowych innemu podmiotowi zewnętrznemu w drodze umowy. Pozwala ona administratorowi danych na skorzystanie z usług wyspecjalizowanych podmiotów zewnętrznych. Umowa powierzenia przetwarzania danych osobowych musi:

a) być sporządzona w formie pisemnej,

b) określać zakres powierzonych danych oraz cel ich powierzenia do przetwarzania,

c) regulować wynagrodzenie, kary umowne i czas trwania powierzenia,

d) zawierać zobowiązanie do wdrożenia środków zabezpieczających,

e) przewidywać dopuszczenie do udziału w kontroli GIODO.

Praktyczne wskazówki dotyczące przygotowania dokumentacji

W praktyce przygotowanie spełniającej te warunki dokumentacji nie jest zadaniem prostym. Po pierwsze należy pamiętać, że właściwie sporządzona dokumentacja powinna w pełni odzwierciedlać strukturę organizacyjną przedsiębiorstwa. Zupełnie inaczej będzie wyglądać dokumentacja przetwarzania danych osobowych w dużej korporacji (np. w banku), a inaczej – przygotowywana dla niewielkiej spółki zajmującej się sprzedażą usług na rzecz innych przedsiębiorstw.

Istotne jest, że rozporządzenie wyznacza tylko ogólne ramy informacji, jakie powinny zostać zawarte w dokumentacji. Od przedsiębiorcy zależy, czy stworzy dokument bardzo restrykcyjny, czy względnie liberalny. W przypadku przetwarzania ograniczonej liczby danych osobowych oraz względnie niewielkiego ryzyka ich wycieku wystarczy, że procedury będą spełniały wyłącznie wytyczne rozporządzenia.

Jeśli w firmie przetwarza się szeroki zakres danych osobowych bądź dane wrażliwe (art. 27 ustawy) klientów, należy znaleźć obszary największego ryzyka i zabezpieczyć je dodatkowymi procedurami (np. specjalne szkolenie dla pracowników, zabezpieczenie pomieszczeń, w którym znajdują się dane, specjalnym systemem kontroli dostępu itp.).

Należy przy tym pamiętać, aby dokumentacja nie zawierała fikcyjnych procedur czy reguł, ale odpowiadała rzeczywistości. Cała sztuka polega na tym, aby przygotowana dokumentacja zawierała takie zapisy, które będą wystarczająco proste do wyegzekwowania i zarazem wystarczająco złożone, aby spełniać swoją funkcję zabezpieczającą.

Niezwykle istotne jest również stworzenie „struktury odpowiedzialności” za przetwarzane dane osobowe. Wymogiem samej ustawy jest wyznaczenie osoby pełniącej funkcję administratora bezpieczeństwa informacji (ABI). W zależności od wielkości przedsiębiorstwa oraz jego struktury organizacyjnej możemy wyznaczyć dwóch lub więcej ABI bądź np. osoby zarządzające poszczególnymi zbiorami danych osobowych. W szczególności wyznaczenie dwóch ABI może być zasadne, jeśli przedsiębiorstwo ma 2 oddziały w różnych częściach kraju.

Oprócz nadzoru nad wdrożoną dokumentacją do obowiązków ABI powinno też należeć opracowanie specjalnego systemu szkoleń dla pracowników przetwarzających dane osobowe. Szkolenia takie mogą być prowadzone bądź w formie klasycznej, bądź w formie coraz bardziej ostatnio popularnego e-learningu. Niezależnie od wybranego sposobu, taki system powinien zostać szczegółowo opisany w dokumentacji. Moment, w którym przedsiębiorca zdaje sobie sprawę, że nie wdrożył dokumentacji z zakresu ochrony danych osobowych, jest dla niego szansą na lepsze przygotowanie własnego przedsiębiorstwa na nieprzewidziane okoliczności. Samo przygotowywanie dokumentacji to doskonały moment na to, aby zastanowić się nad obiegiem informacji (w szczególności danych osobowych) w przedsiębiorstwie. Czy tajemnica wynagrodzenia pracowników jest prawidłowo chroniona? Czy w intranecie nie udostępnia się prywatnych danych pracowników bez ich zgody? Czy pracownicy nie wynoszą na zewnątrz danych osobowych klientów i czy są świadomi odpowiedzialności karnej związanej z nielegalnym udostępnieniem danych osobowych? Czy zużyte nośniki informacji są w prawidłowy sposób utylizowane? Czy każdy pracownik zdaje sobie sprawę z konieczności niszczenia dokumentów zawierających dane osobowe (i nie tylko) za pomocą niszczarek do dokumentów?

Wdrażając dokumentację z zakresu ochrony danych osobowych, przedsiębiorca spełnia ustawowy obowiązek oraz zapewnia firmie bezpieczeństwo prawne. Sam proces tworzenia procedur stwarza również szansę na poprawienie kontaktu z pracownikami oraz klientami.

Ustawa o ochronie danych osobowych odmiennie klasyfikuje pojęcia udostępniania, powierzania jak i przekazywania danych osobowych.

Udostępnianie danych osobowych zgodnie z art. 7 pkt 2 Ustawy jest jedną z form ich przetwarzania, dlatego też warunkiem koniecznym udostępniania danych jest spełnienie przesłanek legalności z art. 23 Ustawy – tzw. zwykłe dane osobowe lub w przypadku tzw. danych szczególnie chronionych, przesłanek z art. 27 ust. 2 Ustawy. Udostępnianie danych osobowych można określić, jako wszelkie działania umożliwiające innym niż administrator podmiotom, zapoznanie się z nimi. Jednak nie każde takie działanie należy uznać za ich udostępnianie, gdyż musi ono nastąpić na rzecz ustawowo określonych odbiorców danych (art. 7 pkt 6), mianowicie: każdego, komu udostępnia się dane osobowe, z wyłączeniem: osoby, której dane dotyczą; osoby upoważnionej do przetwarzania danych; przedstawiciela, o którym mowa w art. 31a (przedstawiciela administratora danych mającego siedzibę lub miejsce zamieszkania w państwie trzecim); podmiotu, o którym mowa w art. 31 (podmiotu, który przetwarza dane na podstawie umowy powierzenia zawartej z administratorem) oraz organów państwowych lub organów samorządu terytorialnego, którym dane są udostępniane w związku z prowadzonym postępowaniem.

Jak z powyższego wynika odbiorcą danych nie będzie podmiot przetwarzający dane osobowe na podstawie umowy powierzenia (art. 31), dlatego też pojęcia udostępniania i powierzania nie są tożsame. Administrator danych może przetwarzać dane osobowe we własnym zakresie jak również powierzyć ich przetwarzanie innemu podmiotowi na podstawie umowy. Umowa ta musi dokładnie regulować zakres i cel powierzenia danych. Nie ma ustawowej regulacji powierzenia danych, jednak nie należy go rozumieć, jako czynności na mocy, której administrator zwalnia się z obowiązków, jakie na nim ciążą. Zgodnie z art. 31 ust. 4 odpowiedzialność za przestrzeganie przepisów Ustawy nadal spoczywa na administratorze danych a zakres odpowiedzialności podmiotu, który przetwarza dane na mocy umowy powierzenia dotyczy działań niezgodnych z jej treścią. Podmiot, któremu powierzono dane, przed rozpoczęciem ich przetwarzania zobligowany jest dopełnić określonych czynności w zakresie zabezpieczenia danych osobowych (art. 36-39 Ustawy) oraz spełnić warunki z art. 39a Ustawy. Za działanie wbrew powyższym przepisom podmiot ten, odpowiada jak administrator danych.

W praktyce administrator dzięki zawarciu umowy powierzenia nie wykonuje wszystkich czynności z zakresu przetwarzania danych osobowych samodzielnie – co ma zastosowanie np. przy przeprowadzeniu określonej akcji marketingowej czy outsourcingu księgowości.

Natomiast sformułowanie – przekazywanie użyte zostało w Ustawie w odniesieniu przekazywania danych osobowych do państw trzecich. Należy zauważyć, że państwa trzecie zgodnie z Ustawą (art. 7 pkt 7) to państwa nienależące do Europejskiego Obszaru Gospodarczego. Regulacja przekazywania danych osobowych w obrębie Europejskiego Obszaru Gospodarczego nie znalazła miejsca w ustawie, stąd należy sądzić, iż transfer ten odbywa się na takich samych zasadach, co te regulujące przepływ danych osobowych
w Polsce. Przekazywanie danych osobowych do państw trzecich w myśl art. 47 ust. 1 Ustawy może nastąpić, jeżeli państwo docelowe daje gwarancje ochrony danych osobowych na swoim terytorium przynajmniej takie, jakie obowiązują na terytorium Rzeczypospolitej Polskiej. Nie wyklucza to jednak przekazywania danych osobowych do państwa, które nie zapewnia należytej ochrony. Taka sytuacja może nastąpić jedynie na podstawie wypełnienia przesłanek z art. 47 ust. 2 i 3 Ustawy lub na mocy zgody Generalnego Inspektora Danych Osobowych, o której mowa w art. 48 Ustawy.

Autorka: Anna Iżycka

Bibliografia:

- Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2002 r. Nr 101, poz. 926 z późn. zm.),

- www.giodo.gov.pl.

Jak wiemy uchwalenie w 1997 r. pierwszej w Polsce Ustawy o ochronie danych osobowych było powszechnie odczytywane, jako przejaw „(…)postępującej demokratyzacji życia publicznego w Polsce i troski o ochronę prywatności każdego jej obywatela” [źródło: materiały GIODO]. W tym kontekście warto zadać pytanie, jakie cele chce osiągnąć nasz ustawodawca w ramach wprowadzanych zmian w najnowszej nowelizacji ustawy o ochronie danych osobowych z 1997 r.

Otóż…

Nawet pobieżna analiza motywów ustawodawczych wskazuje jednoznacznie, iż omawianej nowelizacji przyświecało w zamyśle jej twórców zapewnienie skuteczniejszych instrumentów dla egzekwowania prawa (w domyśle przez Generalnego Inspektora Ochrony Danych Osobowych). Nie bez znaczenia była również chęć rozwiania zgłaszanych przez przedstawicieli doktryny wątpliwości interpretacyjnych, jakie pojawiały się na gruncie obecnie obowiązującej ustawy.

Poza tym, nowelizacja ustawy jest również częścią procesu implementacji unijnej Dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 roku w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych (Dz. Urz.UE L 281 z 23.11.1995, str. 31, z późn. zm.)

Prześledźmy zatem jakie zmiany postanowił wprowadzić ustawodawca i ich rangę. Wprowadzone zmiany modyfikują reżim prawny ochrony danych osobowych na 2 sposoby: po 1. dokonując zmian w przepisach prawnych ustaw innych niż ustawa o ochronie danych osobowych(a które wpływają np. na pozycję GIODO) oraz po 2. wprowadzając zmiany bezpośrednio do tekstu u.o.d.o. z 1997 r.

Z wszystkich wprowadzanym zmian postanowiliśmy wybrać i pokrótce omówić 12 z nich, które wg nas są najważniejsze.

Ad. 1.:

Zasadnicze znaczenie dla zwiększenia poziomu ochrony danych osobowych w Rzeczypospolitej Polskiej mają – zawarte w art. 2 ustawy o zmianie ustawy o ochronie danych osobowych oraz niektórych innych ustaw, modyfikacje art. 2 § 1 oraz art. 20 § 2 ustawy z dnia 17 czerwca 1966 roku o postępowaniu egzekucyjnym w administracji (Dz. U. z 2005 r. Nr 229, poz. 1954, z późn. zm.), które zdecydowanie zwiększają skuteczności działań GIODO:

1)      w ustawie o postępowaniu egzekucyjnym w administracji dodano do obowiązków, które podlegają egzekucji administracyjnej, obowiązki z zakresu ochrony danych osobowych, nakładane w drodze decyzji Generalnego Inspektora Ochrony Danych Osobowych,

2)      GIODO został uznany za organ egzekucyjny w zakresie egzekucji administracyjnej obowiązków o charakterze niepieniężnym /na mocy zaś – zmienionego przez art. 2 pkt 2 ustawy nowelizującej – art. 20 § 2 ustawy o postępowaniu egzekucyjnym w administracji/.

Powyższe 2 zmiany, chociaż niepozorne przyczyniają się – w naszej ocenie – znacznie do wzmocnienia pozycji GIODO, który jako organ egzekucyjny w zakresie obowiązków o charakterze niepieniężnym wynikających z decyzji administracyjnych wydanych w sprawach wykonania przepisów o ochronie danych osobowych – będzie mógł, w przypadku niewykonania takiej decyzji administracyjnej przez zobowiązanego, stosować środek egzekucyjny – grzywnę w celu przymuszenia (art. 119 i następne ustawy o postępowaniu egzekucyjnym w administracji). Wysokość takiej grzywny w stosunku do osoby fizycznej będzie mogła wynosić maksymalnie 10 000 zł, zaś w stosunku do osoby prawnej oraz jednostki organizacyjnej nieposiadającej osobowości prawnej 50 000 zł, zaś w przypadku wielokrotnego nakładania grzywien w jednym postępowaniu egzekucyjnym ich łączna kwota nie będzie mogła przekraczać: 50 000 zł w odniesieniu do osób fizycznych oraz 200 000 zł w odniesieniu do osób prawnych i jednostek organizacyjnych nieposiadających osobowości prawnej. Przyjęte przez Parlament zmiany ustawy o postępowaniu egzekucyjnym w administracji zastąpiły poprzednio proponowane (źródło: projekt ustawy o zmianie ustawy o ochronie danych osobowych – druk sejmowy nr 488) kary pieniężne za niewykonanie decyzji administracyjnych, które miały być nakładane przez GIODO.

Tym samym wszystkie obowiązki z zakresu ochrony danych osobowych, nakładane w drodze decyzji Generalnego Inspektora Ochrony Danych Osobowych, będą podlegały egzekucji administracyjnej (dodany pkt 2 w §1 art. 2 ustawy).

Ad. 2.:

W zakresie zmian wprowadzonych do bezpośredniego tekstu ustawy o ochronie danych osobowych na wyróżnienie i naszą uwagę szczególnie zasługują następujące modyfikacje:

3)      ustawa nowelizująca u.o.d.o. przyznała możliwość tworzenia przez GIODO jednostek zamiejscowych /art. 13 ust. 1a ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych – t. j. Dz. U. z 2002 r. Nr 101, poz. 926, z późn. zm., dodany przez art. 1 pkt 3 lit. a ustawy nowelizującej/. Ta zmiana jednak w ocenie zdecydowanej większości doktryny akurat zbytnio nie przyczyni się do skuteczniejszego przestrzegania przepisów ustawy, a jedynie – według krytyków – powiększy szeregi dużej rzeszy opłacanych z naszych podatków urzędników. Można spotkać się również z opinią, iż lokalni politycy głównych partii będą szczególnie aktywni w staraniach o stanowiska w tych jednostkach. Można więc odnieść wrażenie, że niektórzy patrzą na zmiany w ustawie o ochronie danych osobowych jak na dodatkowy instrument polityki państwa w zakresie zwalczana bezrobocia (…wśród polityków i ich znajomych)… Wydaje się że nie takie było ratio legis wprowadzanych zmian (taką przynajmniej mamy nadzieję!)….

4) Ustawa nowelizująca wprowadziła także zasadę odpowiedzialności karnej za udaremnianie lub utrudnianie wykonania czynności kontrolnej przez inspektora /art. 54a ustawy o ochronie danych osobowych, dodany przez art. 1 pkt 12 ustawy nowelizującej/: Kto inspektorowi udaremnia lub utrudnia wykonanie czynności kontrolnej, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2”.

Genezy tego przepisu należy upatrywać w Stanowisku Rady Ministrów z 14/12/2009 r., bowiem pierwotny projekt ustawy nowelizacyjnej z 21/12/2007 r. przygotowany przez Prezydenta RP  nie zawierał tego typu spenalizowanego zachowania. Zmiana ta zaś merytorycznie wydaje się być podyktowana dotychczasową praktyką dotychczasowego stosowania ustawy. Dlatego też – bez przesadnego entuzjazmu – możemy zgodzić się z przyjętym kierunkiem zmian, tym bardziej iż – jak podkreślają karniści – przepisy Kodeksu karnego również nie przewidywały karalności tego rodzaju czynu (bowiem wśród osób, których kontrolne czynności służbowe są chronione przepisem art. 225 k.k. nie ma tych, które są upoważnione do kontroli w zakresie ochrony danych osobowych).

5)      Ponadto z ustawy o ochronie danych osobowych wykreślony został art. 29 oraz art. 30 regulujący udostępnianie przez administratora danych posiadanych danych osobowych w celach innych, niż włączenie do zbioru /na mocy art. 1 pkt 7 ustawy nowelizującej /.

Przyczyny zmiany tych przepisów były dosyć proste: nie były one bowiem ujęte w Dyrektywie 95/46/WE i stanowiły przedmiot uwag organów UE dokonujących kontroli implementacji przepisów Dyrektywy 95/46/WE w prawie polskim. Jak czytamy w uzasadnieniu do projektu nowelizacji „Komisja Europejska odnosząc się do treści art. 29 podkreślała, że zwolnienie z zasady ograniczonego celu jest dopuszczalne jedynie w celu utrzymania porządku publicznego. Przyjęto zatem, iż wiarygodne uzasadnienie potrzeby posiadania danych osobowych nie powinno stanowić samoistnej przesłanki udostępnienia danych osobie trzeciej.” Widzimy więc, że chodziło o dostosowanie naszego krajowego prawa do przepisów unijnych.

6)      Charakter porządkujący ma również zmiana art. 33 ustawy, który określa obowiązek administratora danych do informowania danej osoby o prawach, które przysługują jej w zakresie ochrony danych osobowych oraz informacji o zebranych danych. Ponadto administrator danych ma obowiązek odmówić udzielenia powyższych informacji, jeżeli mogłoby spowodować to ujawnienie wiadomości zawierających informacje niejawne, zagrożenie dla obronności lub bezpieczeństwa państwa, życia i zdrowia ludzi lub bezpieczeństwa i porządku publicznego, zagrożenie dla podstawowego interesu gospodarczego lub finansowego państwa, czy też istotne naruszenie dóbr osobistych osób, których dane dotyczą, lub innych osób. Stanowi o tym znowelizowany art. 34 ustawy.

7)      GIODO uzyskał również uprawnienie do kierowania do: organów państwowych, organów samorządu terytorialnego, państwowych i komunalnych jednostek organizacyjnych, jak również innych jednostek organizacyjnych, a także osób fizycznych i prawnych wystąpień zmierzających do zapewnienia skutecznej ochrony danych osobowych (dodany przez art. 1 pkt 6 ustawy nowelizującej: art. 19a ust. 1 ustawy o ochronie danych osobowych) oraz art. 19a ust. 2 uodo: na mocy którego Generalny Inspektor zyskał również prawo do występowania do właściwych organów z wnioskami o podjęcie inicjatywy ustawodawczej albo o wydanie bądź zmianę aktów prawnych w sprawach dotyczących ochrony danych osobowych.

Co do tej zmiany, możnaby rzec iż chcąc osiągnąć słuszny cel (bowiem Ustawa o ochronie danych osobowych w dotychczasowym brzmieniu nie przyznawała Generalnemu Inspektorowi takich uprawnień, pomimo tego że analogicznymi uprawnieniami dysponuje – w sprawach objętych zakresem ich działania – szereg podmiotów, np. Rzecznik Praw, Rzecznik Praw, czy Rzecznik  Ubezpieczonych to ustawodawca nie przyłożył się zbytnio do jej odpowiedniego przełożenia na język prawny. Do głównych zarzutów pod adresem tej kompetencji GIODO należy fakt iż „(…) nie jest jasne dlaczego GIODO ma kierować wystąpienie, a nie wydawać decyzje administracyjne. Istnieje naturalna obawa, że do podmiotów publicznych będą kierowane wystąpienia (brak sankcji za niewykonanie), a do podmiotów z sektora prywatnego decyzje (niewykonanie skutkuje sankcją)” [źródło: opinia Polskiej Izby Ubezpieczeń]. Według nas jest to słuszna uwaga, bowiem poziom ochrony danych osobowych nie powinien być tak dowolnie różnicowany – nawet tylko potencjalnie.

8)      Nadano nowe brzmienie art. 7 pkt 5 ustawy o ochronie danych osobowych,  który obecnie jednoznacznie przesądza, sporną niegdyś w doktrynie, kwestię dopuszczalności odwołania zgody na przetwarzanie danych osobowych przewidując, iż zgoda na przetwarzanie danych osobowych może być odwołana w każdym czasie. Ustawodawca – wydaje się – iż potwierdził to co doktryna nauki prawa uważała za słuszne w tej kwestii.

9)      Uszczegółowieniu uległy procedury kontroli oraz sporządzania protokołu pokontrolnego. Przed przystąpieniem do czynności kontrolnych inspektor danych osobowych winien okazać legitymację oraz imienne upoważnienie do przeprowadzenia kontroli. Jego zawartość określono szczegółowo w art. 15 ust 3 i 4 uodo.  Podobnie określono niezbędne elementy protokołu pokontrolnego – ich wykaz zawarto w dodanym ust. 1a art. 16 ustawy.

10) Pamiętać musimy również o dodaniu do art. 41 ust. 3 i 4 uodo stanowiącego, iż w razie rozszerzenia zakresu przetwarzania danych o dane, o których mowa w art. 27 ust 1 ustawy (ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym) administrator danych będzie zobowiązany zgłosić te zmianę do GIODO przed dokonaniem jej w zbiorze.

Nowelizacja wchodzi w życie po upływie 3 miesięcy od dnia ogłoszenia tj. 7 marca 2011 r.

Podsumowując – powyższe rozważania i oceniając efekty pracy naszego ustawodawcy podtrzymujemy nasze zdanie [wyrażone we wpisie z dn. 22/01/2009 pn.: Większe kompetencje dla GIODO – czy rzeczywiście potrzebne? Analiza projektu nowelizacji ustawy o ochronie danych osobowych] iż, „(…)zmiany idą w dobrym kierunku, niestety nie są to wszystkie zmiany jakich wymagają aktualnie obowiązujące przepisy. Pozostaje więc tylko czekać na kolejną nowelizację…”

Niemożliwe w najbliższym czasie … ?

A jednak z wypowiedzi obecnego GIODO wynika, iż kolejna nowelizacja nadejdzie szybciej niż byśmy się mogli tego spodziewać. Możecie być pewni, iż będziemy Was o tym informować na bieżąco. Obyśmy tylko nie musieli kończyć oceny i tej oczekiwanej, kolejnej nowelizacji uodo tymi samymi słowami co z powyższej nowelizacji…

Przepisy ustawy o ochronie danych osobowych z dnia 29 sierpnia 1997r. (dalej: u. o. d .o.), są bardzo restrykcyjne. Ustawodawca przyjął bowiem, że naruszenie jakiegokolwiek przepisu wyżej wymienionej ustawy, stanowi przestępstwo, a dodatkowo, wszystkie te przestępstwa są ścigane z urzędu. Skazany za przestępstwo zostanie uwidoczniony  w Krajowym Rejestrze Karnym, przy czym fakt uprawomocnienia wyroku stanowić będzie podstawę dla poszkodowanego, do roszczenia o zadośćuczynienie i odszkodowanie z tytułu naruszenia dóbr osobistych. Dochodzenie tego roszczenia będzie prawnie skutecznie tak wobec samego skazanego, jak instytucji, w której świadczył pracę-zwłaszcza jeśli ta ostatnia czerpałaby korzyści z popełnionego czynu zabronionego. Przepisy karne omawianej ustawy zawarte są w rozdziale ósmym i stanowią artykuły od 49-54 u. o. d. o.

Wszystkie wymienione w ustawie potencjalne przestępstwa stanowią występki (wymiar kary zawiera się w przedziale od kary grzywny do kary trzech lat pozbawienia wolności), które jak stanowi Kodeks Karny można popełnić umyślnie (art.49,50,53 i 54) oraz nieumyślnie (art.51-52). Karze podlega sam sprawca jaki i współsprawca, a także podżegacz, jaki i pomocnik – wedługg Art.18 KK. Warunkiem odpowiedzialności karnej wynikającej z u. o. d. o., jest to, aby podmiot przetwarzający dane miał siedzibę albo miejsce  zamieszkania na terytorium RP, bądź aby miał siedzibę lub miejsce zamieszkania za granicą, a dane osobowe przetwarzał przy wykorzystaniu środków technicznych znajdujących się na terytorium RP (art.3 u. o. d . o.).

Według Ustawy o ochronie danych osobowych, przestępstwem jest:

1)      Przetwarzanie  w zbiorze danych osobowych, w sytuacji gdy ich przetwarzanie nie jest dopuszczalne, albo do których przetwarzania podmiot nie jest uprawniony. Zaostrzoną kwalifikację karną ma ten sam czyn, dotyczący przetwarzania danych wrażliwych, czyli ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, danych o stanie zdrowia, kodzie genetycznym, nałogach czy życiu seksualnym;

2)      Administrowanie zbiorem danych lub przechowywanie w zbiorze danych osobowych niezgodnie z celem utworzenia zbioru;

3)      Udostępnianie danych lub umożliwianie dostępu do nich osobom nieupoważnionym, przez administrującego zbiorem danych lub obowiązanego do ochrony danych osobowych.  Występuje tu forma uprzywilejowana tego przestępstwa, tj. gdy sprawca działa nieumyślnie;

4)      Naruszanie( w tym nawet nieumyślne) obowiązku zabezpieczenia danych przed ich zabraniem przez osobę nieuprawnioną, czy też uszkodzeniem lub zniszczeniem przez administrującego;

5)      Nie zgłoszenie do rejestracji zbioru danych osobowych, przez osobę do tego obowiązaną;

6)      Nie spełnienie obowiązku informacyjnego wobec osoby, której dane dotyczą lub nie przekazanie tej osobie informacji umożliwiających korzystanie z praw przyznanych jej w ustawie przez administrującego.

Omawiając kolejno, pierwsze z wyżej wymienionych przestępstw (zawarte w art.49 u. o. d. o.)  jest umyślne, o charakterze formalnym ( inaczej:  przestępstwo bezskutkowe, gdzie  wywołanie skutku nie jest konieczne, by uznać czyn sam w sobie za karalny, jak np. składanie fałszywych zeznań) oraz ścigane z urzędu.  Jak wyżej jest wskazane, można wyróżnić dwie jego formy. Pierwsza to: przetwarzanie danych, gdy jest to niedopuszczalne, co oznacza, że nie została spełniona żadna przesłanka legalizacyjna, zawarta  kolejno w artykułach :23 ust.1., jeśli dotyczy danych wrażliwych-art.7ust.2, gdy zaś dotyczy dopuszczalności przetwarzania danych  dotyczących skazań, orzeczeń o ukaraniu, mandatów karnych, jak również orzeczeń wydanych w postępowaniu sądowym lub administracyjnym-właściwy jest art.28, gdy dotyczy to przetwarzania danych wobec wniesienia sprzeciwu określonego z art.28 ust.1 pkt8 oraz w przypadku wniesienia żądania z art.28ust.1pkt7. Ta forma stanowi przestępstwo powszechne, które popełnić  może każdy.  Drugą formą popełnienia tego przestępstwa jest dopuszczalne przetwarzanie danych osobowych, ale dokonane przez osobę do tego nieuprawnioną. W tej formie przestępstwa podmiotem odpowiedzialnym jest każda osoba z wyłączeniem osoby upoważnionej przez administratora danych, przy czym osobami upoważnionymi są podmioty z art.31 i 35 omawianej ustawy. Podstawowym warunkiem, który stawia się temu działaniu jest działanie na zbiorze danych, co oznacza konieczność istnienia zbioru w momencie podejmowania działań. Gromadzenie czy innego rodzaju posługiwanie się cudzymi danymi osobowymi, „samo jako takie” , nie jest dostateczne do spełnienia tego warunku. I tak przechowywanie danych w postaci nieuporządkowanej nie stanowi naruszenia przepisu karnego ustawy[1]. Przykładem tego przestępstwa jest podłączenie się do przewodu służącego do pozyskiwania informacji lub przełamanie  elektronicznego lub innego szczególnego zabezpieczenia. Omawiane przestępstwo zawiera kwalifikowaną postać, elementem różnicującym kwalifikacje karną czynu jest tu rodzaj danych. Przetwarzanie danych, o którym mowa w art.49, nie obejmuje ich udostępniania, który to czyn jest regulowany w art.51.

Kolejnym przestępstwem wskazanym w  art.50 u. o. d. o., jest administrowanie zbiorem danych lub przechowywanie w zbiorze danych osobowych niezgodnie z celem utworzenia zbioru. Cel przetwarzania danych, stanowi jeden z elementów, wymaganych do podania w zgłoszeniu rejestracyjnym. Nawet gdy dany zbiór zwolniony jest z rejestracji,  cel jego przetwarzania wyznaczony jest przez podstawę zwolnienia lub przez cele przedstawione osobom, od których dane były zbierane. To przestępstwo ma charakter indywidualny, a zatem odnosi się wyłącznie do administrującego zbiorem danych, umyślny i formalny, a ściganie następuje z urzędu. I tak z punktu widzenia odpowiedzialności kluczowe znaczenie ma wyłącznie cel utworzenia zbioru danych, nie zaś cel przetwarzania danych. Aby uznać działanie administrującego zbiorem danych za bezprawne, należy wskazać, że przechowuje on dane oraz,  iż ich przechowywanie jest niezgodne z zakresem i celem przetwarzania danych, określonym w zgłoszeniu  do rejestracji. Odpowiedzialność za ten czyn ponosi administrujący zbiorem danych osobowych, co oczywiście można wiązać z osoba administratora, jednak w rzeczywistości chodzi o wszystkie osoby, które z racji statusu jednostki bądź pełnionych funkcji mają uprawnienia do decydowania o celach i środkach przetwarzania danych.

Omawiając dalej, przestępstwo udostępniania danych lub umożliwiania dostępu do nich osobom nieupoważnionym (art.51 u. o. d. o.), odnosi się bezwzględnie do jednego z atrybutów bezpieczeństwa danych, czyli ich poufności. To również przestępstwo indywidualne, odnoszące się tak do administrującego zbiorem danych (odpowiednio administratora danych)  lub do obowiązanego do ochrony danych osobowych, czy to na postawie ustawy (tu: administrator  bezpieczeństwa informacji ), czy też na podstawie zezwolenia, upoważnienia lub polecenia administratora zbioru danych osobowych, względnie zawartej z nim umowy, o ile były zobowiązane do ochrony takich danych[2].Przestępstwo to posiada formę uprzywilejowaną, gdy sprawca działa nieumyślnie. W zakresie „udostępniania danych” przestępstwo ma charakter materialny, bowiem do jego zrealizowania konieczne jest zapoznanie się z danymi osobowymi przez co najmniej jedną nieupoważnioną osobę, natomiast samo umożliwienie dostępu, jest przestępstwem formalnym, do jego realizacji wystarczy stworzenie możliwości i okoliczności sprzyjających zapoznaniu się  przez nieokreślony krąg osób nieupoważnionych, np. pracowników administratora danych, nie posiadających stosownych upoważnień[3].

Następnym przestępstwem ( określonym w art. 52 u. o. d. o.) jest  naruszenie (nawet nieumyślne) obowiązku ,ciążącego na osobie administrującej danymi,  zabezpieczenia danych przed ich zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem. Przedmiotem ochrony jest w tym przypadku bezpieczeństwo danych osobowych jako takich, nie zaś danych tworzących zbiór danych. Zgodnie z art.36 u. o. d. o., administrator ma obowiązek zapewnić zastosowanie  środków technicznych i organizacyjnych gwarantujących ochronę przetwarzania danych osobowych, w szczególności przed ich udostępnianiem osobom nieupoważnionym. Dyspozycja tego artykułu została doprecyzowana w rozporządzeniu z dnia 29.04.2004r[4]. Przestępstwo to ma charakter formalny, indywidualny, może je popełnić tylko administrujący zbiorem danych, nie jest zależne od winy osoby dopuszczającej się go, a ścigane podejmowane jest z urzędu. I tak przestępstwo stanowić będzie samo niezabezpieczenie danych przez administrującego nimi, niezależnie czy ich uszkodzenie, zaginięcie doszło do skutku.

Kolejny typ przestępstwa, ustanowiony w art.53 odnosi się do jednej z najważniejszych  czynności w procesie przetwarzania danych, czyli ich rejestracji. To indywidualne przestępstwo nie zgłoszenia do rejestracji zbioru danych, dotyczy jedynie osoby zobowiązanej do zarejestrowania zbioru danych. Polega ono na zaniechaniu dokonania  czynności rejestracyjnych i podlega ściganiu z urzędu. Przykładowo administrator danych rozpoczął pozyskiwanie pierwszych danych do zbioru przed zgłoszeniem go do rejestracji Generalnemu Inspektorowi Danych Osobowych. Warto zaznaczyć, że obowiązek rejestracyjny nie jest związany z uzyskaniem zgody na przetwarzanie danych przez osoby zainteresowane. W razie wystąpienia w zgłoszeniu rejestracyjnym braków lub błędów formalnych, nie stanowi to podstawy do postawienia zarzutów osobie odpowiedzialnej. Podobnie zatajanie informacji, które powinny się znaleźć w zgłoszeniu, nie stanowi podstaw do odpowiedzialności na podstawie w/w art.53, może natomiast stanowić zarzut poświadczenia nieprawdy na podstawie art.271 KK[5].

Ostatnim przepisem karnym u. o. d. o., jest art.54, wprowadzający odpowiedzialność administrującego z tytułu niespełnienia obowiązku informacyjnego wobec osoby, której dane dotyczą lub nie przekazania tej osobie informacji umożliwiających korzystanie z praw przyznanych jej przez ustawę. Przedmiotem ochrony jest w tym przepisie  zarówno prawo osoby do kontroli dotyczących jej danych osobowych, jak również  powstający po stronie administratora obowiązek do poinformowania zainteresowanego o posiadanych danych oraz o wiążących się z tym faktem przysługujących mu uprawnieniach. Przestępstwo to występuje jedynie w formie zaniechania określonych działań i możne nastąpić w wypadku działania administratora z „ urzędu” jak i niedopełnienia obowiązków, gdy uprawniony, w granicach przysługującego prawa, występuje o konkretne informacje, ale ich nie uzyskuje w wyniku niedopełnienia obowiązków administratora- jako legitymowanego czynnie. Przestępstwo to następuje w chwili upłynięcia odpowiedniego czasu na realizację opisanego obowiązku. I tak, w przypadku zbierania danych od osoby, której dotyczą- następuje to od chwili poprzedzającej okres przekazania danych przez zainteresowanego, wobec zbierania danych nie od osoby, której dotyczą-najpóźniej „bezpośrednio po” utrwaleniu zebranych danych, czyli  w czasie nie dłuższym niż „z obiektywnych względów koniecznym i zwyczajowo przyjętym”, w przypadku złożenia wniosku przez osobę, której dane dotyczą- w terminie 30 dni od daty otrzymania wniosku[6].

[2] J. Barta, R. Markiewicz, Ochrona danych osobowych. Komentarz, Zakamycze, 2002r.

[3] J. Barta, R. Markiewicz, Ochrona (…), str.609,  Zakamycze, 2002r.

[4] Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim

powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.

[5] M. Polok, Bezpieczeństwo danych osobowych, Warszawa 2008r.

[6] J. Barta, R. Markiewicz, Ochrona (…), str.616,  Zakamycze, 2002r.

Aby rozważyć kwestie związane z obowiązkami administratora danych, należy rozpocząć od zidentyfikowania tego podmiotu. Administratorem, według ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (dalej: u. o. d. o.), jest: organ, jednostka organizacyjna, podmiot lub osoba decydująca o celach i środkach przetwarzania danych. Mogą to być podmioty publiczne, między innymi : organ państwowy, organ samorządu terytorialnego lub państwowa albo komunalna jednostka organizacyjna, jak również podmioty prywatne: osoby fizyczne, osoby prawne oraz jednostki organizacyjne nie posiadające osobowości prawnej, jeżeli przetwarzają dane w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych (art. 3 ust. 2 ustawy). W praktyce są to przykładowo: banki, hurtownie, sklepy, stowarzyszenia. Za administratora danych nie można jednak uznać  każdego dysponenta danych, bowiem w takiej sytuacji pewne sfery ochrony danych znalazłyby się poza prawną ochroną. Sąd Najwyższy dokonał w tej kwestii rozróżnienia[1], na administratora-tu: podmiot decydujący o celach i środkach przetwarzania danych (art.7 pkt4 u. o. d. o.) i administrującego danymi osobowymi, czyli taki podmiot, który zarządza, zawiaduje zbiorem danych lub danymi (art.50-52,54 ustawy). Poniżej skupię się na podstawowych obowiązkach  administratora danych osobowych.

Przesłanki  legalności

Każdego rodzaju operacje dokonywane na danych osobowych, jak na przykład ich gromadzenie, przechowywanie, zmienianie czy nawet usuwanie, będące faktycznie ich przetwarzaniem, należy uzasadnić spełnieniem jednego z warunków zawartych w art.23        u. o. d. o .  Omawiając kolejno przesłanki legalności przetwarzania danych osobowych, jest ono możliwe, gdy: „osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych.” Gdy zgoda, jest wymagana, należy przez nią rozumieć oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych, tego, kto składa oświadczenie. Ze względów dowodowych oraz ze względu na wymagania Kodeksu Postępowania Administracyjnego, zaleca się formę pisemną. Następnie przetwarzanie danych jest dopuszczalne, gdy : „jest to niezbędne do zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa.” Ten warunek uzasadnia wykorzystywanie danych przez podmioty publiczne, które to działają w ramach określonych przepisami prawa, podejmując czynności w celu wykonania nałożonych na nie zadań i realizacji swoich kompetencji. Następnie przetwarzanie danych jest możliwe, gdy: ”jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą” jak również, gdy: „jest to niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego” oraz, gdy „jest to niezbędne dla wypełniania prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.” Warto przy tym dodać, że owym prawnie uzasadnionym celem jest w szczególności marketing własnych produktów lub usług administratora danych bądź dochodzenie roszczeń z prowadzonej przez niego działalności gospodarczej.

Podsumowując, aby administrator danych osobowych przetwarzał dane osobowe legalnie, wystarczy by zrealizował jeden z pięciu warunków wyżej wymienionego przepisu. I tak jeśli wykorzystanie danych służy realizacji uprawnienia lub obowiązku określonego w przepisach prawa (art.23 pkt2), zbędnym będzie dodatkowe żądanie zgody osoby na przetwarzanie danych (art.23 pkt1), ani też uzasadnianie, że wykorzystanie danych służy dobru publicznemu (art.23 pkt4). Warto podkreślić, że szczególną sytuacją  jest przetwarzanie danych służące realizacji normy prawnej. Przekazanie danych stanowi tu obowiązek, bez którego cel pozyskania danych nie mógłby zostać zrealizowany.

Dokumentacja ochrony danych osobowych

Administrator danych jest obowiązany następnie do  prowadzenia dokumentacji opisującej sposób przetwarzania danych oraz podjęte środki organizacyjne i techniczne, zapewniające ochronę przetwarzanych danych osobowych, odpowiednią do zagrożeń i kategorii danych nią objętych. Na ową dokumentację składają się: polityka bezpieczeństwa, instrukcja zarządzania systemem informatycznym, upoważnienia dla pracowników, ewidencja upoważnień oraz umowy powierzenia przetwarzania danych osobowych.

Wymogami formalnymi dotyczącymi Polityki bezpieczeństwa i Instrukcji zarządzania są: a) sporządzenie ich przez Administratora Danych, b) prawidłowe ich podpisanie, c) przechowywanie w formie papierowej lub elektronicznej, d) aktualizowanie i przeglądanie poprawności ich stosowania co najmniej raz w roku, e) zawieranie terminologii, zakresu i celu stosowania w/w dokumentacji.

Polityka bezpieczeństwa

Zgodnie z § 3 i § 4 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, administrator danych jest obowiązany  do opracowania w formie pisemnej i wprowadzenia do użytku tzw. polityki bezpieczeństwa. Pojecie „polityki bezpieczeństwa”, należy rozumieć jako zestaw praw, reguł i praktycznych doświadczeń dotyczących sposobu zarządzania, ochrony i dystrybucji danych osobowych wewnątrz określonej organizacji. Tu podkreślić należy, iż polityka bezpieczeństwa powinna odnosić się w sposób wyczerpujący do problemu zabezpieczenia danych osobowych przetwarzanych, tak tradycyjnie, jak i w systemach informatycznych. Jej celem jest wskazanie działań, jakie należy wykonać oraz ustanowienie zasad i reguł postępowania, które należy stosować, aby właściwie zabezpieczyć dane osobowe. I tak informacjami objętymi Polityką bezpieczeństwa są: a) wykazy zbiorów danych, b) opisy struktury tych zbiorów, c) sposoby przepływu danych pomiędzy systemami, d) wykazy budynków,  pomieszczeń lub części pomieszczeń, tworzących obszar, w którym dane osobowe są przetwarzane, e) środki techniczne i organizacyjne. Dobór środków  bezpieczeństwa, jakie należy zastosować w celu ochrony danych, uzależniony jest od przyjętego dla danego zbioru  poziomu bezpieczeństwa danych w systemie informatycznym.

Instrukcja zarządzania systemem informatycznym

Od administratorów danych przetwarzających dane w systemach informatycznych, wymagane jest opracowanie instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. Zgodnie z § 5 rozporządzenia o warunkach technicznych instrukcja ta, powinna zawierać w szczególności: a) procedury nadawania i rejestrowania uprawnień do przetwarzania danych w systemach informatycznych oraz wskazanie osoby odpowiedzialnej za te czynności; b) opis stosowanych metod i środków uwierzytelnienia,

c) procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu; d) procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania; e) opis sposobu, miejsca i okresu przechowywania elektronicznych nośników informacji zawierających dane osobowe oraz ich kopii zapasowych, f) opis sposobu zabezpieczania systemów informatycznych przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego; g) opis sposobu realizacji wymogów stawianych systemom informatycznym h) procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych. W przypadku stosowania podwyższonego poziomu bezpieczeństwa instrukcję zarządzania należy rozszerzyć o sposób stosowania środków mających na celu zabezpieczenie danych szczególnie chronionych, przekazywanych poza obszar przetwarzania danych.

Jeżeli administrator danych do przetwarzania danych wykorzystuje więcej niż jeden system informatyczny, powinien opracować jedną, ogólną instrukcję zarządzania lub opracować oddzielne instrukcje dla każdego z użytkowanych systemów.

Upoważnienia dla pracowników

Wymaganym jest, aby instrukcja zawierała reguły  nadawania uprawnień do przetwarzania danych i ich rejestrowania w systemie informatycznym, ze wskazaniem osób odpowiedzialnych za te czynności. Ze względu na możliwe przemieszczanie się pracowników wewnątrz organizacji, nie jest konieczne imienne wskazywanie osób odpowiedzialnych.  Precyzyjne określenie w instrukcji stanowiska osoby odpowiedzialnej za realizację procedur nie będzie skutkowało koniecznością zmiany instrukcji w każdym przypadku, gdy następuje zmiana na stanowisku, któremu została przypisana odpowiedzialność za realizację procedur. Upoważnienia takie powinny mieć formę pisemną i zawierać nazwę (nazwisko), imię i nazwisko osoby upoważnionej do przetwarzania danych osobowych, datę nadania i ustania upoważnienia, zakres danych, do których osoba ma dostęp oraz nazwę ich zbioru oraz podpis lub pieczątkę administratora danych.

Ewidencja upoważnień

Prowadzenie ewidencji osób upoważnionych do przetwarzania danych osobowych, jest jednym z obowiązków administratora danych. Ewidencja ta powinna być sporządzona w formie pisemnej ( z podpisem lub pieczątką). Znaleźć się w niej poniższe informacje:

a)imię i nazwisko osoby upoważnionej, b) data nadania i ustania upoważnienia, c) zakres upoważnienia do przetwarzania danych, oraz d) identyfikator, w przypadku gdy dane przetwarzane są w systemie informatycznym. Zaznaczyć należy, że osoby upoważnione do dostępu do danych osobowych, są zobowiązane zachować te dane w tajemnicy.

Umowy powierzenia przetwarzania danych osobowych

Administrator danych może powierzyć przetwarzanie danych osobowych innemu podmiotowi zewnętrznemu, w drodze umowy zawartej na piśmie. Umowa ta zezwala administratorowi danych na skorzystanie z usług wyspecjalizowanych podmiotów zewnętrznych. Oznacza to, że administrator danych osobowych nie musi osobiście wykonywać wszystkich czynności związanych z procesem przetwarzania danych osobowych. . I tak umowa powierzenia dotyczy świadczenia usług o charakterze marketingowym czy też pośrednictwa w sprzedaży usług i towarów, skierowanego do odbiorców indywidualnych. Przykładem jest outsourcing  bankowy, gdzie podwykonawca serwisuje sprzęt komputerowy oraz inne nośniki informatyczne, na których zapisane są dane osobowe, przetwarzane przez bank. Umowa powierzenia przetwarzania danych osobowych musi: a) być sporządzona w formie pisemnej, b)określać zakres powierzonych danych oraz cel ich powierzenia do przetwarzania, c)regulować wynagrodzenie, kary umowne, i czas trwania powierzenia, d) zawierać zobowiązanie do wdrożenia środków zabezpieczających, e) przewidywać dopuszczenie do udziału w kontroli GIODO. Warto nadmienić, że powierzając do przetwarzania dane osobowe podmiotowi zewnętrznemu, koniecznym jest zawarcie umowy powierzenia przetwarzania danych osobowych na piśmie.

Zgłoszenie baz danych do GIODO

Obowiązek zgłoszenia zbioru do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (GIODO) ciąży na administratorze danych. Zgłoszenie zbioru danych osobowych do rejestracji GIODO stanowi regułę określoną w art. 40 u. o. d. o. Zgłoszeniu podlegają takie usystematyzowane zestawy danych, które są zbiorami danych osobowych w rozumieniu art. 7 pkt 1u. o. d. o. Zatem jeżeli podmiot przetwarza dane osobowe w zbiorze jako administrator danych, a jednocześnie nie zachodzi żadna z przesłanek określonych w art. 43 ust. 1 pkt 1–11 ustawy, zwalniająca administratora danych z tego obowiązku, to jest on zobligowany do zgłoszenia tego zbioru do rejestracji GIODO. Zgłoszenia zbioru do rejestracji należy dokonać przed rozpoczęciem przetwarzania danych, czyli przed pierwszą czynnością, jaką administrator może wykonać na danych, tu: przed pozyskaniem pierwszych danych do zbioru. Zgodnie bowiem z art. 46 ust. 1 u. o. d. o. , administrator danych może rozpocząć ich przetwarzanie w zbiorze po zgłoszeniu tego zbioru do rejestracji GIODO. Zaświadczenie o zarejestrowaniu zbioru może być wydane na żądanie administratora danych (art. 42 ust. 3 u. o. d. o.). Sytuacja jest odmienna, gdy administrator danych osobowych zamierza przetwarzać tzw. dane wrażliwe, podlegające szczególnej ochronione. Mowa tu o danych przedstawionych w art. 27 ustawy, jako: „ dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz dane dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym”.  Zbieranie tego typu danych, może rozpocząć dopiero po zarejestrowaniu zbioru. Nie jest więc możliwe wprowadzenie danych do zbioru danych osobowych zanim Generalny Inspektor dokona jego rejestracji.