Dokumentacja danych osobowych w przedsiębiorstwie

Łukasz Zegarek
ekspert ds. ochrony danych osobowych, audytor, trener
lukasz.zegarek@lex-artist.pl
(22) 253 28 18 Zobacz inne posty autora

Folder icon ( 3d render) More Variations In My PortfolioObowiązek prowadzenia dokumentacji, o której będzie mowa w niniejszym artykule, spoczywa właściwie na każdym przedsiębiorstwie. Jeśli w toku prowadzonej przez siebie działalności gospodarczej przedsiębiorca sprzedaje towary bądź usługi osobom fizycznym (klientom indywidualnym) czy też zatrudnia pracowników, staje się administratorem danych osobowych.

Nawet jeżeli jest zwolniony z obowiązku rejestrowania posiadanych przez siebie zbiorów danych osobowych do GIODO, powinien prowadzić dokumentację. Przepisy prawne nie przewidują od tej zasady żadnych wyjątków.

Jeśli zapytać pracownika przedsiębiorstwa o pierwsze skojarzenia związane z ochroną danych osobowych, najczęściej można usłyszeć następujące odpowiedzi: „wygaszacze ekranów komputerowych”, „zmieniające się hasła w systemach informatycznych”, „metalowe szafy zamykane na klucz”.

To oczywiście prawda. Jednak z perspektywy administratora danych osobowych (przedsiębiorstwa) zagadnienia związane z ochroną tych danych należy rozpatrywać ze znacznie szerszej perspektywy.

Ideą przyświecającą twórcom ustawy o ochronie danych osobowych było to, aby każdy administrator tych danych wdrożył w swojej organizacji system ich ochrony zapewniający legalne i bezpieczne ich przetwarzanie.

Cztery filary systemu

Mówi się, że nie ma barier ani zapór niemożliwych do sforsowania – to prawda, natomiast spełnienie ustawowego obowiązku i wdrożenie systemu ochrony danych osobowych zapewnia każdemu administratorowi bezpieczeństwo prawne. Dzięki temu nie naraża się on na zarzuty Generalnego Inspektora Ochrony Danych Osobowych ani na ewentualne powództwa cywilnoprawne ze strony klientów czy też własnych pracowników.

Trenerzy prowadzący szkolenia z zakresu danych osobowych często porównują system, o którym mowa w ustawie, do bariery ochronnej opartej na 4 filarach.

Pierwszym elementem systemu jest zadbanie o legalność procesów przetwarzania danych osobowych. Ustawa zasadniczo zabrania ich przetwarzania, jednak przewiduje wiele wyjątków od tej reguły (np. zgoda osoby udostępniającej swoje dane osobowe). Chodzi o to, żeby przetwarzanie przez przedsiębiorstwo danych osobowych np. klientów odbywało się w oparciu o jedną z tzw. przesłanek legalności ich przetwarzania (art. 23 Ustawy o ochronie danych osobowych). Nielegalne przetwarzanie danych osobowych stanowi przestępstwo w myśl tej ustawy.

Drugi element systemu to obowiązek informacyjny. Jest on szczególnie istotny, ponieważ świadomość prawna na temat ochrony danych osobowych wciąż jest względnie niska wśród społeczeństwa. Mając to na uwadze, ustawodawca postanowił niejako wymusić na każdym przedsiębiorcy obowiązek informacyjny. Polega on m.in. na poinformowaniu osoby, od której dane są zbierane, o tym, kto jest ich administratorem, oraz o prawie do wniesienia sprzeciwu.

Trzeci element to obowiązek dokonania zgłoszeń rejestracyjnych do Generalnego Inspektora Ochrony Danych Osobowych za pomocą specjalnego wniosku, dostępnego między innymi w serwisie internetowym GIODO.

Czwarty i najistotniejszy z perspektywy przedmiotowego artykułu element systemu to obowiązek zabezpieczenia przetwarzanych danych osobowych. Zabezpieczenia dzielą się na fizyczne oraz organizacyjne. Praktyka pokazuje, że większość uchybień stwierdzanych przez GIODO w trakcie kontroli dotyczy niedociągnięć w zabezpieczeniach organizacyjnych. Co się składa na obowiązek zabezpieczenia danych osobowych od strony organizacyjnej? Przede wszystkim dokumentacja z zakresu ochrony danych osobowych, a więc: informacja o polityce bezpieczeństwa, instrukcja zarządzania systemem informatycznym, upoważnienia dla pracowników, ewidencja upoważnień, umowy powierzenia.

Sama Ustawa o ochronie danych osobowych nie przekazuje szczegółów dotyczących tego, co powinna zawierać dokumentacja. Znacznie więcej konkretnych informacji można znaleźć w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (zwane dalej rozporządzeniem).

Polityka bezpieczeństwa

Zgodnie z § 3 i § 4 rozporządzenia administrator danych jest obowiązany do opracowania w formie pisemnej i realizowania tzw. polityki bezpieczeństwa. Pojęcie to należy rozumieć jako zestaw praw, reguł i praktycznych doświadczeń dotyczących sposobu zarządzania danymi osobowymi, ich ochrony i dystrybucji wewnątrz określonej organizacji. Tu należy podkreślić, że polityka bezpieczeństwa powinna całościowo rozwiązywać problem zabezpieczenia danych osobowych przetwarzanych zarówno tradycyjnie, jak i w systemach informatycznych. Jej celem jest wskazanie działań, jakie należy wykonać, oraz ustanowienie zasad i reguł postępowania, które należy stosować, aby właściwie zabezpieczyć dane osobowe.

Instrukcja zarządzania systemem informatycznym

Od administratorów danych przetwarzających dane w systemach informatycznych wymagane jest opracowanie instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. Zgodnie z § 5 rozporządzenia instrukcja ta powinna zawierać w szczególności:

a) procedury nadawania i rejestrowania uprawnień do przetwarzania danych w systemach informatycznych oraz wskazanie osoby odpowiedzialnej za te czynności;

b) opis stosowanych metod i środków uwierzytelnienia;

c) procedury rozpoczęcia, zawieszenia i zakończenia pracy w systemie przeznaczone dla jego użytkowników;

d) procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania;

e) opis sposobu, miejsca i okresu przechowywania elektronicznych nośników informacji zawierających dane osobowe oraz ich kopii zapasowych;

f) opis sposobu zabezpieczania systemów informatycznych przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego;

g) opis sposobu realizacji wymogów stawianych systemom informatycznym;

h) procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.

Upoważnienia dla pracowników

Wymaga się, aby dokumentacja zawierała reguły nadawania upoważnień do przetwarzania danych osobowych. Każdy pracownik przetwarzający dane osobowe powinien otrzymać stosowne upoważnienie. Preferowana jest forma pisemna. Na przykład pracownicy działów kadr powinni otrzymać upoważnienie do przetwarzania danych innych pracowników od osoby uprawnionej do reprezentacji spółki.

W formie pisemnej należy również sporządzić ewidencję upoważnień (z podpisem lub pieczątką) zawierającą poniższe informacje:

a) imię i nazwisko osoby upoważnionej,

b) datę nadania i ustania upoważnienia,

c) zakres upoważnienia do przetwarzania danych oraz

d) identyfikator, w przypadku gdy dane są przetwarzane w systemie informatycznym. Dodatkowo osoby upoważnione do dostępu do danych osobowych powinny być zobowiązane do zachowania ich w tajemnicy.

Umowy powierzenia przetwarzania danych osobowych

Administrator danych może powierzyć przetwarzanie danych osobowych innemu podmiotowi zewnętrznemu w drodze umowy. Pozwala ona administratorowi danych na skorzystanie z usług wyspecjalizowanych podmiotów zewnętrznych. Umowa powierzenia przetwarzania danych osobowych musi:

a) być sporządzona w formie pisemnej,

b) określać zakres powierzonych danych oraz cel ich powierzenia do przetwarzania,

c) regulować wynagrodzenie, kary umowne i czas trwania powierzenia,

d) zawierać zobowiązanie do wdrożenia środków zabezpieczających,

e) przewidywać dopuszczenie do udziału w kontroli GIODO.

Praktyczne wskazówki dotyczące przygotowania dokumentacji

W praktyce przygotowanie spełniającej te warunki dokumentacji nie jest zadaniem prostym. Po pierwsze należy pamiętać, że właściwie sporządzona dokumentacja powinna w pełni odzwierciedlać strukturę organizacyjną przedsiębiorstwa. Zupełnie inaczej będzie wyglądać dokumentacja przetwarzania danych osobowych w dużej korporacji (np. w banku), a inaczej – przygotowywana dla niewielkiej spółki zajmującej się sprzedażą usług na rzecz innych przedsiębiorstw.

Istotne jest, że rozporządzenie wyznacza tylko ogólne ramy informacji, jakie powinny zostać zawarte w dokumentacji. Od przedsiębiorcy zależy, czy stworzy dokument bardzo restrykcyjny, czy względnie liberalny. W przypadku przetwarzania ograniczonej liczby danych osobowych oraz względnie niewielkiego ryzyka ich wycieku wystarczy, że procedury będą spełniały wyłącznie wytyczne rozporządzenia.

Jeśli w firmie przetwarza się szeroki zakres danych osobowych bądź dane wrażliwe (art. 27 ustawy) klientów, należy znaleźć obszary największego ryzyka i zabezpieczyć je dodatkowymi procedurami (np. specjalne szkolenie dla pracowników, zabezpieczenie pomieszczeń, w którym znajdują się dane, specjalnym systemem kontroli dostępu itp.).

Należy przy tym pamiętać, aby dokumentacja nie zawierała fikcyjnych procedur czy reguł, ale odpowiadała rzeczywistości. Cała sztuka polega na tym, aby przygotowana dokumentacja zawierała takie zapisy, które będą wystarczająco proste do wyegzekwowania i zarazem wystarczająco złożone, aby spełniać swoją funkcję zabezpieczającą.

Niezwykle istotne jest również stworzenie „struktury odpowiedzialności” za przetwarzane dane osobowe. Wymogiem samej ustawy jest wyznaczenie osoby pełniącej funkcję administratora bezpieczeństwa informacji (ABI). W zależności od wielkości przedsiębiorstwa oraz jego struktury organizacyjnej możemy wyznaczyć dwóch lub więcej ABI bądź np. osoby zarządzające poszczególnymi zbiorami danych osobowych. W szczególności wyznaczenie dwóch ABI może być zasadne, jeśli przedsiębiorstwo ma 2 oddziały w różnych częściach kraju.

Oprócz nadzoru nad wdrożoną dokumentacją do obowiązków ABI powinno też należeć opracowanie specjalnego systemu szkoleń dla pracowników przetwarzających dane osobowe. Szkolenia takie mogą być prowadzone bądź w formie klasycznej, bądź w formie coraz bardziej ostatnio popularnego e-learningu. Niezależnie od wybranego sposobu, taki system powinien zostać szczegółowo opisany w dokumentacji. Moment, w którym przedsiębiorca zdaje sobie sprawę, że nie wdrożył dokumentacji z zakresu ochrony danych osobowych, jest dla niego szansą na lepsze przygotowanie własnego przedsiębiorstwa na nieprzewidziane okoliczności. Samo przygotowywanie dokumentacji to doskonały moment na to, aby zastanowić się nad obiegiem informacji (w szczególności danych osobowych) w przedsiębiorstwie. Czy tajemnica wynagrodzenia pracowników jest prawidłowo chroniona? Czy w intranecie nie udostępnia się prywatnych danych pracowników bez ich zgody? Czy pracownicy nie wynoszą na zewnątrz danych osobowych klientów i czy są świadomi odpowiedzialności karnej związanej z nielegalnym udostępnieniem danych osobowych? Czy zużyte nośniki informacji są w prawidłowy sposób utylizowane? Czy każdy pracownik zdaje sobie sprawę z konieczności niszczenia dokumentów zawierających dane osobowe (i nie tylko) za pomocą niszczarek do dokumentów?

Wdrażając dokumentację z zakresu ochrony danych osobowych, przedsiębiorca spełnia ustawowy obowiązek oraz zapewnia firmie bezpieczeństwo prawne. Sam proces tworzenia procedur stwarza również szansę na poprawienie kontaktu z pracownikami oraz klientami.

Komentarze

Komentarze (1) do “Dokumentacja danych osobowych w przedsiębiorstwie”

  1. K.Trelecki, 11 cze 2013 o 9:04

    bardzo ciekwy artykuł. Dziękuję, pomogliście mi uporządkować kwestie ochrony danych osobowych w mojej, niewielkiej co prawda, ale zawsze firmie;) A najlepsze, że wszystko za darmo, za co również Wam chwała;)

Zostaw komentarz