W dzisiejszej odsłonie naszego poradnika, jak zarejestrować zbiór danych osobowych, poświęcimy uwagę części E wniosku rejestracyjnego. Na początku warto zaznaczyć, że wiele pytań z sekcji E, wydaje się być już niezbyt aktualna i nawet inspektorzy GIODO przyznają, że wniosek powinien zostać w najbliższej przyszłości zmodyfikowany. Póki co jednak musimy radzić sobie ze starym formularzem.
| Uwaga! W niniejszym poradniku przeprowadzamy symulację rejestrowania przez przedszkole zbioru danych osobowych Ewidencja korespondencji. Czytelniku, jeśli nie reprezentujesz placówki oświatowej, poradnik również jest dla Ciebie! Nie przejmuj się zwrotami skierowanymi bezpośrednio do dyrektorów przedszkoli – proces rejestracji zbiorów do GIODO przebiega tak samo dla każdej branży – czy dla firmy prywatnej, czy dla instytucji publicznej |
Centralne/rozproszone przetwarzanie danych, forma przetwarzania, połączenie z Internetem – część E15
Wypełnienie pola E-15a, mimo dość skomplikowanej konstrukcji, w rzeczywistości będzie bardzo proste. Na samym początku musimy poradzić sobie z terminologią. Co oznacza, że zbiór przetwarzany jest centralnie? Co oznacza architektura rozproszona zbioru? Warto przypomnieć, że zbiór danych osobowych to pojęcie prawnicze, które nie jest tożsame z informatycznym pojęciem bazy danych. Nasza „ewidencja korespondencji”, może być przetwarzana zarówno w formie elektronicznej bazy danych (za pomocą specjalnego programu), jak i w wersji papierowej. Jeśli „ewidencja korespondencji”, przetwarzana jest jedynie w wersji papierowej, np. w sekretariacie, to oznacza, że zbiór przetwarzany jest centralnie. Jeśli jednak nasza ewidencja przetwarzana jest za pomocą systemu informatycznego, do którego dostęp jest możliwy z kilku stanowisk komputerowych – wybieramy architekturę rozproszoną. Podobnego wyboru powinniśmy dokonać np. w sytuacji, kiedy dane osobowe przetwarzane są zarówno w systemie informatycznym, jak i w wersji papierowej. Warto zaznaczyć, że w przypadku zdecydowanej większości zbiorów zgłaszanych do GIODO, przetwarzane one będą w architekturze rozproszonej. Oczywiście prosta „ewidencja korespondencji”, która byłaby przetwarzana jedynie w formie papierowej Księgi korespondencji, oznacza wybór pola – „centralnie”.
Kolejne pole (E-15b) dotyczy tego, czy zbiór danych przetwarzamy z użyciem systemu informatycznego czy jedynie w formie papierowej. Tutaj warto odwołać się do celu powstania ustawy o ochronie danych osobowych. Celem było uregulowanie masowych procesów przetwarzania danych osobowych. Czyli tych wykonywanych z użyciem dedykowanych systemów informatycznych, umożliwiających prostą i szybką identyfikację osób fizycznych. Dlatego też, jeśli „ewidencję korespondencji”, prowadzimy w formie papierowej, a jedynie od czasu do czasu, pewne elementy zbioru wprowadzamy np. do edytora tekstowego, to nie ma konieczności zaznaczania pola dotyczącego przetwarzania danych osobowych za pomocą systemu informatycznego. My jednak, ze względów dydaktycznych zakładamy, że posiadana przez nas „ewidencja korespondencji”, przetwarzana jest przez specjalnie zakupiony w tym celu, system informatyczny (np. Microsoft Outlook, w przypadku poczty elektronicznej). W związku z powyższym, zaznaczamy pole „z użyciem systemu informatycznego”.
Następne pole, które wypełniamy (E-15c) może nas nieco zaskoczyć. W dzisiejszych czasach, sytuacja, kiedy urządzenie na którym przetwarzamy dane osobowe, nie jest połączone z siecią publiczną, to rzadkość. Dlatego też zaznaczamy odpowiedź, oznaczającą, że zbiór danych będzie przetwarzany „ z użyciem co najmniej jednego urządzenia systemu informatycznego połączonego z siecią publiczną”.
Podstawowe zabezpieczenia – część E16
Pole E-16 jest bardzo istotne z perspektywy sprawdzających wniosek inspektorów GIODO. Przyczyna jest dość oczywista. Co do zasady, podpunkty a-e w części E-16, muszą być przez administratora danych osobowych spełnione. Wynika to z przepisów samej ustawy o ochronie danych osobowych oraz rozporządzenia „w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych” (dalej: Rozporządzenie).
Po pierwsze więc, powinniśmy oświadczyć kontrolującym wniosek inspektorom GIODO, że wyznaczyliśmy Administratora Bezpieczeństwa Informacji (ABI). Wyznaczenie ABI to obowiązek wynikający z art. 36 ust. 3 ustawy o ochronie danych osobowych. Kim jest ABI w praktyce? To najważniejsza osoba, jeśli chodzi o system ochrony danych osobowych. ABI to pracownik przedszkola lub zewnętrznej firmy (w przypadku tzw. outsourcingu funkcji ABI), który bierze na siebie odpowiedzialność za procesy przetwarzania danych osobowych. Przygotowuje dokumentację (o tym za chwile), klauzule zgód, obowiązków informacyjnych, może także szkolić pracowników z zakresu ochrony danych osobowych. Rozwiązuje konflikty, które mogą powstawać w związku z naruszeniem prawa do prywatności. Innymi słowy, ABI to taki manager – specjalista z zakresu ochrony danych osobowych. W trakcie kontroli, inspektorzy GIODO przywiązują dużą wagę do znajomości zasad ochrony danych osobowych, prezentowanej przez ABI. Sam proces wyboru ABI oraz dokładne opisanie zasad jego odpowiedzialności to temat na odrębny artykuł. Na razie więc pamiętajmy o tym, że ABI musi zostać wyznaczony, inaczej wniosek do GIODO nie zostanie zarejestrowany, a inspektorzy zwrócą się do nas z prośbą o wyjaśnienie sytuacji. Alternatywą jest wykonywanie czynności ABI przez administratora danych. W praktyce jednak, takie rozwiązanie stosowane jest jedynie przez osoby fizyczne prowadzące działalność gospodarczą. Tym samym, jeśli chcemy aby proces zgłoszeniowy odbył się bez zbędnych utrudnień, nie pozostaje nam nic innego, jak zaznaczenie odpowiedzi: „został wyznaczony administrator bezpieczeństwa informacji nadzorujący przestrzeganie zasad ochrony przetwarzania danych osobowych,”
Obligatoryjne jest również następne pole (E-16b), dotyczące nadawania upoważnień do przetwarzania danych osobowych. Nadawanie upoważnień do przetwarzania danych osobowych jest kolejnym obowiązkiem, wynikającym bezpośrednio z przepisów ustawy o ochronie danych osobowych (art. 37 uodo). Upoważnienie to dokument, na mocy którego, administrator danych, ceduje na swoich pracowników prawo do przetwarzania danych osobowych. Nadanie upoważnienia podkreśla fakt, że pracownik zyskuje dostęp do danych osobowych i staje się za nie współodpowiedzialny. Jednocześnie podpisane przez pracownika upoważnienie, jest dla dyrektora przedszkola zabezpieczeniem, w razie sytuacji naruszenia przepisów ustawy przez pracownika. Samą konstrukcją upoważnienia oraz formą jego nadania będziemy się jeszcze zajmowali w kolejnych artykułach cyklu.
Następne pole (E-16c), jest również obligatoryjne. Musimy oświadczyć, że w przedszkolu prowadzona jest ewidencja osób upoważnionych do przetwarzania danych osobowych. Ewidencja osób upoważnionych do przetwarzania danych osobowych jest ściśle związana z nadawaniem upoważnień. Naszym obowiązkiem jest ewidencjonowanie nadanych upoważnień w formie ich ewidencji. Podobnie jak w przypadku upoważnień – zagadnienia techniczne związane z ewidencją upoważnień, również będą przedmiotem kolejnych artykułów.
Na koniec zostały nam dwa pola (E-16d i e), dotyczące polityki bezpieczeństwa i instrukcji zarządzania systemem informatycznym. Ich wypełnienie, również jest obowiązkowe, ponieważ obowiązkiem każdego dyrektora przedszkola jest posiadanie oraz wdrożenie Polityki bezpieczeństwa i Instrukcji zarządzania systemem informatycznym.
Podobnie jak w przypadku wcześniej opisywanych pól, punktu 16 wniosku – polityka bezpieczeństwa oraz instrukcja zarządzania, będę jeszcze przedmiotem szczegółowej analizy w kolejnych artykułach.
Na potrzeby zgłoszenia naszej bazy do GIODO, warto podkreślić o konieczności zaznaczenia wszystkich pól punktu 16 (z wyłączeniem podpunktu f). Przy czym nie ma konieczności wysyłania razem z wnioskiem informacji o tym kto pełni w przedszkolu funkcję ABI czy też załączania całej polityki bezpieczeństwa. Niedługo po pojawieniu się obowiązku zgłoszeniowego do GIODO, wielu administratorów danych „na wszelki wypadek”, razem z wnioskiem, składało również politykę bezpieczeństwa i instrukcję zarządzania. W żadnym wypadku nie jest to celowe, a skutkować będzie jedynie dodatkową pracą dla dyrektora i inspektora GIODO sprawdzającego zgłoszenie.
Inne artykuły związane z rejestracją zbiorów danych osobowych do GIODO
Zapraszamy do zapoznania się ze wszystkimi częściami cyklu artykułów poświęconych rejestracji zbiorów danych osobowych do GIODO:
– Które zbiory danych osobowych zwolnione są z obowiązku rejestracji:
– Jakie zbiory danych osobowych powinno się zarejestrować do GIODO
– Poradnik jak zarejestrować zbiór danych osobowych krok po kroku:
Część 1. – definiowanie administratora danych i nazwy zbioru danych, przedstawiciel Wnioskodawcy (państwo trzecie), powierzenie przetwarzania danych osobowych
Część 2. – wskazanie przesłanki legalności, celu i zakresu przetwarzania danych oraz kategorii osób, których dane są przetwarzane
Część 3. – osoby od których zbierane są dane osobowe, przekazywanie danych do państwa trzeciego
Część 4. – centralne/rozproszone przetwarzanie danych, jaką formę przetwarzania danych wybrać, które z podstawowych zabezpieczeń zaznaczyć
Część 5. – w jaki sposób opisać dodatkowe zabezpieczenia, które stosujemy, aby chronić przetwarzane dane osobowe
Łukasz Zegarek
Podstawa prawna:
- Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2002 r. Nr 101 poz. 926 ze zm.).
Bibliografia:
- J. Barta, P. Fajgielski, R. Markiewicz, Ochrona danych osobowych. Komentarz, Wolters Kluwer Polska, Warszawa 2011.
- A. Drozd, Ustawa o ochronie danych osobowych. Komentarz. Wzory pism i przepisy (stan prawny na 2 lipca 2007 r.), Lexis Nexis, Warszawa 2007.
- www.giodo.gov.pl
- https://egiodo.giodo.gov.pl
Niniejszy artykuł stanowi fragment artykułu, który ukazał się nakładem Miesięcznika Dyrektora Przedszkola.
Powiązane artykuły
6 Odpowiedzi
Zostaw odpowiedź
Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.
Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.
Witam, co w przypadku jeżeli firma powołała ABI. Korzysta z systemu rozproszonego. Powiedzmy jest serwer dedykowany np. w home.pl i osoby które zdalnie wprowadzają dane. Co w przypadku kiedy nie jesteśmy w stanie przeszkolić. osoby wprowadzającej dane ? Czy mogę w formie elektronicznej (np. Przy logowaniu) poprosić o wypełnienie oświadczenia zawierającego potrzebne informacje ? Czy musi być. podpis ?. Jeszcze zadam pytanie dotyczące wdrażano polityki bezpieczeństwa. Stworzyłem dokumenty politykę bezpieczeństwa, instrukcje systemów informatycznych oraz regulmin ochrony danych osobowych. Pytanie moje brzmi – z którym dokumentem powinna zapoznać się osoba wprowadzające dane do systemu np. Na umowę zlecenie ? Polityka bezpieczeństwa – dokument wewnętrzny, instrukcja również. Wg mnie regulamin powinien być ogólnodostępny w którym zawarłem informacje o ochronie danych osobowych, nadawaniu uprawnień, incydentach, poczcie firmowej itd. Czy dobrze to wszystko sobie poukładałem ? Z góry dziękuje za poświęcony czas.
Jeszcze chciałem podpytać w którym miejscu i jak powinienem wpisać informacje iż dane osobowe są wprowadzane w systemie rozproszonym ? W polityce bezpieczeństwa ? czy wystarczy wykazać w formularzu dotyczącym sposbu przetwarzani danych?
Witam,
Zaczynając od końca;)
1. Tak na prawdę fakt rozproszenia danych jest potrzebny do uwzględnienia w 2 miejscach: we wniosku rejestracyjnym do GIODO (o ile oczywiście zbiór podlega pod obowiązek rejestracji) oraz w Polityce Bezpieczeństwa w części poświęconej wyznaczeniu obszarów w których są przetwarzane dane osobowe. W przypadku który Pan opisuje – proszę uwzględnić też w PB lokalizację serwera na którym znajdują się dane z Home.pl
2. Jak najbardziej można nadawać upoważnienia oraz „uświadamiać” zleceniobiorców nt. bezpiecznego przetwarzania danych w formie elektronicznej. Podpis nie jest konieczny. Ważne tylko, żeby dysponował Pan odpowiednimi mailami/logami w systemie, które będą dowodziły, że dany użytkownik rzeczywiście otrzymał upoważnienie, zaakceptował je i w jakiś sposób został przeszkolony.
3. Czy dawać wszystkim do przeczytania Politykę, Instrukcję i Regulaminy? Teoretycznie można, ale szczerze – nie zalecamy. Po pierwsze są to przeważnie dość długie, prawnicze dokumenty. Nie wierzymy w to, że użytkownicy w całości je przeczytają. Po drugie – czasem w Polityce, czy w Instrukcji znajdują się informacje które nie powinny być ujawniane (np. szczegółowe informacje dot. stosowanych zabezpieczeń). Dlatego zalecamy stworzenie opracowania Polityki, Instrukcji, Regulaminu, które w przejrzystej i uproszczonej formie przekażą użytkownikom niezbędną wiedzę. Można oczywiście skorzystać z naszej pomocy – prowadzimy szkolenia stacjonarne, szkolimy też e-learningowo (wersja demo takiego szkolenia tutaj: http://www.szkolimyzodo.pl/demo/story.html ). W ciągu dwóch tygodni opublikujemy też na blogu nowy artykuł poświęcony właśnie szkoleniu pracowników – będzie do niego załączony darmowy szablon prezentacji szkoleniowej z zakresu ochrony danych osobowych.
Pozdrawiam,
Łukasz Zegarek
Bardzo dziękuje za odpowiedź. Pewnie skorzystam z szkolenia u Państwa.
W dzisiejszych czasach gdzie większość aplikacji dostępna jest przez weba, telefony, tablety człowiek nie jest w stanie wpisać miejsca przetwarzania danych osobowych. Co w przypadku gdy np. w samochodzie podłącz podróży loguje się do systemu informatycznego w którym przetwarza dane 😉
A od kiedy to istnieje obowiązek powoływania ABI? Cytuje Art. 36a. 1. „Administrator danych może powołać administratora bezpieczeństwa informacji.”
Witamy 🙂
Dziękujemy za uwagę. Komentowany przez Pana artykuł został napisany w roku 2013. W tym czasie powołany w treści artykuł 36 ust. 3 miał brzmienie „Administrator danych wyznacza administratora bezpieczeństwa informacji, nadzorującego przestrzeganie zasad ochrony, o których mowa w ust. 1, chyba że sam wykonuje te czynności”. W najbliższym czasie wykonamy aktualizację 🙂
pozdrawiamy