Czy powiadamiać Cię o nowych wpisach?

Bądź na bieżąco - z nami nie ominą Cię żadne zmiany w przepisach.

Zapisz się

Informujemy, że Administratorem danych osobowych jest Lex Artist Przemysław Zegarek, ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe zostały przekazane dobrowolnie i będą przetwarzane wyłącznie w celu przesłania powiadomień o nowych wpisach na blogu oraz nowych usługach. Bez wyraźnej zgody dane osobowe nie będą udostępniane innym odbiorcom danych. Mają Państwo prawo dostępu do swoich danych oraz ich poprawiania poprzez kontakt: newsletter@blog-daneosobowe.pl

Wzory i szablony dokumentacji ochrony danych osobowych: Polityka bezpieczeństwa

Przygotowanie dokumentacji ochrony danych osobowych to jedno z podstawowych zadań każdego Administratora Danych. W związku z wieloma pytaniami i prośbami, postanowiliśmy nieodpłatnie udostępnić szablony dokumentacji, na których pracowaliśmy w 2015 roku w Lex Artist.

Pod pojęciem dokumentacji rozumiemy:

  • Politykę Bezpieczeństwa,
  • Instrukcję Zarządzania Systemami Informatycznymi,
  • Ewidencję Upoważnień,
  • Wzory upoważnień,
  • Wzory sprawozdań ze sprawdzenia oraz planów sprawdzeń.

Czy istnieje szablon idealny?

Obecnie w Internecie możemy znaleźć ogromną ilość szablonów dokumentacji ochrony danych osobowych. Są one udostępniane odpłatnie i nieodpłatnie. Mają różną objętość i treść. Jak odnaleźć się w tym gąszczu? Gdzie znaleźć szablon idealny?

Po pierwsze –  szablonów idealnych po prostu nie ma. Wzory dokumentów, które załączamy, są efektem wielu lat pracy całego zespołu Lex Artist. Ale nawet te szablony muszą być każdorazowo dostosowane do indywidualnych potrzeb Klienta.

Dlaczego? Ponieważ każdy podmiot przetwarzający dane osobowe jest inny. Ma inne potrzeby i inne obszary wymagające poświęcenia szczególnej uwagi.

To trochę tak jak z Konstytucją. Teoretycznie, każdy polityk może przepisać Konstytucję największej światowej potęgi – Stanów Zjednoczonych, a następnie uchwalić ją w swoim kraju. Pytanie tylko, z jakim efektem? Konstytucja amerykańska świetnie sprawdza się w Stanach Zjednoczonych. Ale czy równie dobrze sprawdziłaby się w Chinach, Rosji czy  Polsce?

Co zatem jest kluczowe? Co sprawia, że jedne akty prawne działają lepiej od innych? Przede wszystkim zidentyfikowanie ich słabych i mocnych stron oraz odpowiednie dopasowanie treści do indywidualnych potrzeb. Ważna jest też pewna elastyczność. Możliwość zmiany aktu prawnego w sytuacji, kiedy dany obszar nie działa sprawnie. A także powołanie niezależnych osób (organów), które będą interpretowały ogólne zapisy.

Analogia do Konstytucji nie jest przypadkowa. Polityka bezpieczeństwa jest przecież Ustawą Zasadniczą w obszarze ochrony danych osobowych. To właśnie od treści Polityki Bezpieczeństwa będzie zależała w dużym stopniu skuteczność systemu ochrony danych osobowych w Twojej organizacji.

Jakie przepisy regulują kwestie posiadania Polityki Bezpieczeństwa?

Na początek obalmy pewien mit. Polityka Bezpieczeństwa często utożsamiana jest z polityką prywatności, zamieszczaną na wielu stronach internetowych. Różnica między tymi dokumentami jest natury zasadniczej. Polityka prywatności to „dokument”, który nie jest regulowany polskimi przepisami. Przyszła do nas ze Stanów Zjednoczonych, gdzie jest dość popularnym elementem komunikacji z klientem. Polskie przepisy nie nakładają obowiązku zamieszczania polityk prywatności.

Z kolei Polityka Bezpieczeństwa, to dokument, który ma obowiązek opracować i wdrożyć każdy Administrator Danych Osobowych. Obowiązek posiadania Polityki Bezpieczeństwa, a także opis jej „konstrukcji” są przewidziane w następujących przepisach:

  • Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (U. 1997 nr 133 poz. 883), dalej: uodo,
  • Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (U. 2004 nr 100 poz. 1024), dalej: Rozporządzenie w sprawie dokumentacji,
  • Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych (Dz.U. 2015 nr 0 poz. 719)
  • Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji (Dz.U. 2015 nr 0 poz. 745)

Powyższe przepisy nie regulują jednak redakcji Polityki Bezpieczeństwa w sposób bardzo szczegółowy. To dość ogólne zasady i wytyczne.

Rozporządzenie w sprawie dokumentacji precyzuje jakie elementy muszą znaleźć się w Polityce Bezpieczeństwa. Jednym z nich jest  opis obszaru przetwarzania danych osobowych. Jest to bardzo dobry przykład jednego z obowiązkowych elementów Polityki, który teoretycznie nie powinien budzić większych wątpliwości, a przez różnych Administratorów bywa różnie interpretowany.

Niektórzy chcieliby opisać obszar bardzo precyzyjnie, włącznie z konkretnymi pokojami w których dochodzi do przetwarzania danych osobowych. Inni są zdania, że wystarczy wskazać jedynie adres obszaru przetwarzania danych. Która metoda jest akceptowana przez GIODO? Która metoda jest skuteczna? Którą wreszcie metodę zalecamy jako najbardziej praktyczne rozwiązanie?

Odpowiedzi na te, a także na wiele innych pytań, odnajdą Państwo w niniejszym Poradniku. Wszystkie  wskazówki i wytyczne zawarte w Poradniku, są efektem wielu lat naszej pracy i doświadczeń, związanych z wdrażaniem Polityk Bezpieczeństwa w ponad 500 instytucjach i przedsiębiorstwach. Zachęcamy do dzielenia się wrażeniami z lektury i do zadawania pytań w komentarzach. Na każde odpowiemy.

Na co należy zwrócić uwagę, dopasowując Politykę bezpieczeństwa do własnych potrzeb?

  • Kto wdraża dokumentację?

Przepisy wskazują jedynie, że obowiązek prowadzenia dokumentacji spoczywa na Administratorze Danych Osobowych. Konieczny będzie zatem podpis osoby uprawnionej do reprezentacji Administratora Danych. Sama forma wdrożenia, np. uchwała zarządu, zarządzenie Prezesa czy rozporządzenie Burmistrza, zależy od rodzaju i struktury organizacji w której Polityka została opracowana.

  • Jaką datę wdrożenia wybrać?

Ustawa o ochronie danych osobowych to akt prawny z roku 1997. Teoretycznie więc, dokumentacja powinna być wdrożona już dawno temu. Jednak wciąż działają administratorzy danych, którzy nie posiadają wdrożonej dokumentacji. Niektórzy boją się, że jeśli datą wdrożenia będzie np. 2016 rok, to GIODO w trakcie kontroli wyciągnie z tego tytułu konsekwencje.

Takie obawy są zupełnie bezzasadne. GIODO proceduje na podstawie przepisów kodeksu postępowania administracyjnego. Brak dokumentacji faktycznie jest uchybieniem i to poważnym. Jednak na mocy art. 105 kodeksu postępowania administracyjnego, GIODO ma obowiązek umorzyć postępowanie, które stało się bezprzedmiotowe. A postępowanie w sprawie braku dokumentacji w poprzednich latach, z pewnością byłoby uznane za bezprzedmiotowe. Innymi słowy – GIODO bada stan faktyczny na dzień prowadzenia kontroli.

  • Definicje

Warto zdefiniować kluczowe pojęcia, takie jak dane osobowe czy ich przetwarzanie. Znaczenie pojęć może być tożsame z definicją ustawową (zalecane rozwiązanie). Możemy również nieco zmodyfikować terminologię i dopasować ją do wewnętrznej struktury organizacyjnej. Zamieszczenie definicji pozwoli uniknąć chaosu terminologicznego i każdorazowego wyjaśniania powtarzających się pojęć.

  • Kto i za co odpowiada?

Przygotowując Politykę Bezpieczeństwa, powinniśmy zacząć od dyskusji i zastanowienia się w gronie osób decyzyjnych nad wizją systemu ochrony danych osobowych. Możemy powołać Administratora Bezpieczeństwa Informacji, który będzie odpowiadał za większość zadań związanych z ochroną danych osobowych. Możemy również ABIego nie powoływać. Niezależnie od tego, czy ABI zostanie wybrany czy nie, musimy wskazać, kto będzie np. nadawał upoważnienia i szkolił nowych pracowników? Kto będzie reagował w przypadku incydentów? Kto zaktualizuje Politykę Bezpieczeństwa? Kto kogo będzie informował o konieczności nadania upoważnienia w przypadku dużych organizacji? Kto będzie podejmował decyzję o zakresie upoważnienia – bezpośredni przełożony, czy ABI?

W Polityce Bezpieczeństwa nie powinniśmy posługiwać się imionami i nazwiskami konkretnych osób. Jeśli np. za nadawanie upoważnień odpowiada ABI – Piotr Kowalski, to wystarczy, że w dokumentacji zaznaczymy, że za taki obszar odpowiada ABI. Jeśli użylibyśmy konkretnego imienia i nazwiska to przy każdorazowej zmianie na tym stanowisku, zaistnieje konieczność aktualizacji Polityki Bezpieczeństwa. Wiąże się to ze sformalizowaną drogą służbową i koniecznością uzyskania podpisu najwyższego kierownictwa, o co nie zawsze łatwo.

Podsumowując – najpierw ustalamy wspólnie z osobami decyzyjnymi ogólną wizję i koncepcję. A dopiero później nasze ustalenia materializujemy w postaci Polityki Bezpieczeństwa.

  • Upoważnienia do przetwarzania danych osobowych

Pracownicy, wykonując swoje codzienne obowiązki, przetwarzają dane osobowe. Aby działo się to legalnie i zgodnie z przepisami Ustawy, powinni otrzymać w tym celu stosowne upoważnienie. O samej konstrukcji upoważnienia, będziemy jeszcze pisali w kolejnych artykułach cyklu.

Zasady nadawania upoważnień określamy w Polityce Bezpieczeństwa. Upoważnienie do przetwarzania danych osobowych powinno być odrębnym dokumentem. Jego wzór wskazujemy jako w załącznik do Polityki Bezpieczeństwa.

Administrator Danych Osobowych nadaje upoważnienie do przetwarzania danych osobowych każdemu pracownikowi w stosownym zakresie. Możliwe jest również nadawanie upoważnień w formie elektronicznej.

Dopuszczalne jest również upoważnienie przez ADO innego pracownika (np. ABI, czy pracownika działu kadr) do nadawania upoważnień w swoim imieniu. Musi to być jednak wyraźnie zaznaczone w Polityce Bezpieczeństwa i odbywać się na mocy oficjalnego umocowania nadanego przez ADO konkretnej osobie.

  • Umowa powierzenia danych osobowych

W załączniku do Polityki Bezpieczeństwa warto zamieścić rejestr wszystkich zawartych umów powierzenia danych osobowych.

Poważnym ryzykiem prawnym jest brak takiej umowy z podmiotem zewnętrznym, który ma dostęp do prowadzonego przez nas zbioru. Prowadzenie rejestru pomaga w uporządkowaniu i transparentności w kwestii umów powierzenia.

  • Kontrola

Kontrolę nad ochroną przetwarzanych danych osobowych sprawuje Administrator
Bezpieczeństwa Informacji.

Wytyczne w tym zakresie określa rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez Administratora Bezpieczeństwa Informacji.

Powyższe rozporządzenie wyróżnia dwie formy sprawowania kontroli: sprawdzenie oraz stricte sprawowanie nadzoru. Sprawdzenie to weryfikacja zgodności przetwarzania danych osobowych z przepisami ustawy. W Polityce Bezpieczeństwa muszą pojawić się odpowiadające wytycznym rozporządzenia zasady przeprowadzania sprawdzeń, ich planowania oraz ich częstotliwość (nie częściej niż raz na kwartał, nie rzadziej niż raz na rok).

Samo sprawowanie nadzoru przez ABI obejmuje weryfikację aktualności dokumentacji ochrony danych osobowych. A także  badanie zgodności ze stanem faktycznym przewidzianych w dokumentacji środków technicznych i organizacyjnych oraz ogólnych zasad i obowiązków określonych w dokumentacji.

Tryb przeprowadzania tych wszystkich działań kontrolnych powinien być szczegółowo opisany w Polityce Bezpieczeństwa. Wraz z podaniem częstotliwości przeprowadzania danych procedur. Z czynności kontrolnych sporządzany jest protokół, w którym dokonuje się dokładnego opisu zakresu kontroli i przeprowadzonych czynności. Protokół podpisywany jest przez osoby wykonujące czynności kontrolne. Dołącza się go do dokumentacji ochrony danych osobowych.

Wzór protokołu z kontroli lub czynności sprawdzających powinien znaleźć się w Polityce Bezpieczeństwa.

Pobierz darmowy szablon Polityki Bezpieczeństwa

Wzór Polityki Bezpieczeństwa możesz pobrać klikając w poniższy przycisk z linkiem: Pobierz

Albo...

...pójdź na skróty i pracuj na poszerzonych pakietach szablonów, których autorami są eksperci Kancelarii Lex Artist – lidera na rynku ochrony danych osobowych w Polsce. Więcej informacji znajdziesz na poniższym porównaniu:

 

Pakiet darmowy

0 zł
  • Polityka Bezpieczeństwa
  • Instrukcja wdrażania

Pakiet Rozszerzony

500 zł
  • Pakiet podstawowy + poniższe elementy
  • Pakiet 5 szkoleń e-learningowych dla pracowników
  • Szablon umowy powierzenia, zgodny z RODO
  • Szablony klauzul: informacyjnej, zgody na przetwarzanie
  • Szablon ewidencji nadanych uprawnień w systemach IT
  • Pakiet dla ABI: Jawny Rejestr Zbiorów, powołanie / odwołanie

Pakiet Podstawowy

150 zł
  • Polityka Bezpieczeństwa
  • Instrukcja Zarządzania Systemami Informatycznymi
  • Instrukcja wdrażania
  • Wykaz zbiorów danych osobowych

W Rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. W sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (dalej: Rozporządzenie w sprawie dokumentacji), wprost wskazano, że niezbędnym elementem Polityki Bezpieczeństwa jest wykaz zbiorów danych osobowych.

Jednocześnie jednym z najczęstszych błędów popełnianych przez administratorów danych przy tworzeniu Polityki Bezpieczeństwa, jest brak wykazu zbiorów danych osobowych. Jeśli nie wyróżnimy zbiorów danych osobowych, które przetwarzamy, tym bardziej nie nadamy do nich upoważnień dla pracowników. Trudno również odpowiednio zabezpieczyć poszczególne zbiory danych lub zbadać czy są one przetwarzane w oparciu o jedną z przesłanek legalności (art. 23 lub 27 uodo), jeśli… zbiorów nie wyróżniliśmy.

O samej idei zbioru, sposobach i wyróżniania czy kwestii zgłoszenia do GIODO, pisaliśmy już wielokrotnie na łamach bloga. W tym miejscu jedynie sygnalizuję kluczową rolę tego elementu Polityki Bezpieczeństwa.

  • Jawny rejestr zbiorów danych

Nowelizacja ustawy o ochronie danych osobowych z roku 2015, wprowadziła nową formę „zgłoszenia” zbiorów danych osobowych. Dotyczy ona tych administratorów danych, którzy zdecydowali się powołać Administratora Bezpieczeństwa Informacji. ABI prowadzi jawny rejestr zbiorów, zawierający opis zbiorów, dotychczas wymagających zgłoszenia do GIODO.

Polityka Bezpieczeństwa powinna uwzględnić zasady funkcjonowania nowego rozwiązania, jeśli znajduje ono zastosowanie. Wytyczne w tym zakresie można znaleźć w Rozporządzeniu Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych.

  • Systemy informatyczne

Przetwarzanie danych osobowych wyłącznie w wersji papierowej jest obecnie rzadkością. Powszechność wykorzystania systemów informatycznych wymaga uwzględnienia w Polityce Bezpieczeństwa. Należy wskazać wszystkie używane systemy informatyczne oraz przedstawić sposób przepływu danych między tymi systemami. Pamiętajmy jednak, że Polityka Bezpieczeństwa ma być Konstytucją, dlatego nie należy tutaj wnikać w szczegółowe struktury systemów informatycznych i powiązania między poszczególnymi polami informacyjnymi. Wystarczy wypisanie nazw systemów, relacji między nimi (import / eskport lub dwustronny przepływ) oraz ewentualnie zakresu przesyłanych danych. Takie zestawienie można przygotować np. w formie przejrzystej tabeli lub prostej infografiki.

  • Obszar, w którym przetwarza się dane osobowe

Kolejnym błędem, bardzo często popełnianym przy tworzeniu Polityki Bezpieczeństwa jest próba zbyt precyzyjnego określenia wszystkich pomieszczeń w których przetwarzane są dane osobowe. Jest to bardzo czasochłonne, często powoduje też paraliż wewnątrz organizacji. Jeśli zbyt precyzyjnie określimy obszar przetwarzania danych – pracownicy boją się przenosić pojedyncze dokumenty za próg pokoju, któremu są one “dedykowane”. Pamiętajmy też, że w dzisiejszych czasach, kiedy praca zdalna jest na porządku dziennym, precyzyjne określenie, gdzie potencjalnie mogą być przetwarzane dane, jest po prostu niemożliwe.

Dlatego też, w Polityce Bezpieczeństwa nie musimy opisywać z osobna każdego pomieszczenia, w którym dokonuje się operacji na danych lub przechowuje się kopie danych. Wystarczające jest podanie adresu siedziby Administratora. Dodatkowo wykaz obszarów powinien zawierać siedziby wszystkich podmiotów, którym powierzono przetwarzanie danych na podstawie umowy powierzenia.

  •  Załączniki

Dobra Polityka Bezpieczeństwa, tak samo jak dobra Konstytucja, powinna być na tyle ogólna, żeby nie potrzeba było jej zbyt często aktualizować. Dokument jest podpisywany przez osobę uprawnioną do reprezentacji administratora danych osobowych, a my nie będziemy przecież chcieli niepokoić Prezesa ciągłymi prośbami o podpis aktualizacji.

Warto podzielić dokumentację na elementy zmienne (załączniki) oraz część „stałą” (ogólne zasady organizacji ochrony danych osobowych). W części „stałej” powinniśmy wskazać zasady aktualizacji obu obszarów. Zdecydowanie polecam tutaj implementację możliwości dowolnego modyfikowania załączników dokumentacji przez ABIego lub osobę dedykowaną do opieki nad dokumentacją. Każdorazowe zbieranie podpisów od Prezesa na wielu stronach załączników bywa uciążliwe. Załączniki mogą zmieniać się dość często. Podlegającym zmianom załącznikiem może być na przykład wykaz zbiorów danych (będą powstawały nowe zbiory), używane systemy informatyczne czy imiona i nazwiska osób nadzorujących ochronę danych osobowych.

Co innego, jeśli chodzi o część „stałą” Polityki. Warto zadbać o to aby zmieniała się ona jedynie w wyjątkowych sytuacjach. Uzależnienie jej zmiany od podpisu Prezesa umożliwi kontrolę Administratora Danych nad kluczowymi zmianami.

  • Szkolenia

Dodany w ramach nowelizacji ustawy o ochronie danych  osobowych z roku 2015, art. 36a ust. 2 pkt. 1 lit. c i 36b nakazuje: „zapoznanie osób przetwarzających dane osobowe z przepisami o ochronie danych osobowych”.

Zapoznać pracowników z przepisami możemy na dwa sposoby. Sposób pierwszy polega na wysłaniu im treści ustawy oraz Dokumentacji ochrony danych osobowych. Jest to działanie proste i tanie… jednak w praktyce zupełnie się nie sprawdza. Przepisy dotyczące ochrony danych osobowych są skomplikowane i trudne w interpretacji nawet dla pracowników działów prawnych. A przecież większość danych osobowych będą przetwarzały osoby bez wykształcenia prawniczego.

Pamiętajmy też o tym, że tzw. „czynnik ludzki”, jest przyczyną największej ilości wycieków danych osobowych. Wysoka świadomość pracowników jest z kolei najskuteczniejszym sposobem zabezpieczenia informacji.

Z powyższych względów, zdecydowanie zalecamy bardziej kompleksowe podejście do szkolenia pracownikówWarto zastanowić się nad praktycznym sposobem realizacji. Szkolenia może realizować sam ABI, trener zewnętrzny, trener wewnętrzny. Mogą być one elementem tzw. „Welcome Training”, stosowanego przez duże korporacje. Mogą też przybrać formę e-learningu.

Możliwości jest bardzo dużo, wybierzmy tą optymalną dla nas. Pamiętajmy o tym, że szkolenia informacyjne dla zdecydowanej większości pracowników nie muszą trwać całego dnia. Najczęściej w zupełności wystarczą dwie godziny zegarowe. Z naszego doświadczenia wynika, że im więcej pracownikom chcemy przekazać wiedzy, tym mniej zapamiętają. A przecież nie o to chodzi. Dlatego należy się skupić na najważniejszych aspektach: po szkoleniu pracownicy powinni wiedzieć do kogo mogą zgłosić się z problemami z zakresu ochrony danych osobowych. Powinni znać też podstawowe definicje, być świadomi tego, że przetwarzają dane osobowe. Bardzo ważna jest również świadomości odpowiedzialności, która łączy się z faktem przetwarzania danych.

Kiedy już wybierzemy optymalny dla naszej organizacji sposób prowadzenia szkoleń, powinien on zostać opisany w Polityce Bezpieczeństwa.

Sprawdź naszą innowacyjną metodę szkolenia pracowników

Przekonaj się sam, że e-learningi nie muszą być nudnymi, brzydkimi "slajdumentami". Przeklikaj wersję demo. Zobacz demo

O czym jeszcze warto pamiętać?

Przede wszystkim o czasie. Lepiej przygotować Politykę, która będzie miała pewne braki niż nie posiadać jej w ogóle. Zbytni perfekcjonizm zgubił już niejednego Administratora Danych. Wielu ABI wdraża Politykę nawet kilka lat, wciąż czekając na brakujące załączniki czy pojedyncze procedury. A tymczasem brak podpisu Prezesa na Polityce Bezpieczeństwa oznacza, że dokument formalnie nigdy nie zaistniał.

W najbliższych miesiącach opublikujemy na stronach bloga kolejne części poradnika oraz szablony dokumentów. Zapraszamy do lektury i w przypadku Państwa uwag lub sugestii, również do kontaktu i podzielenia się swoimi spostrzeżeniami.

Zachęcamy Państwa do dzielenia się wrażeniami z lektury Poradnika i do zadawania pytań w komentarzach.

 

Profesjonalne wsparcie

Mamy nadzieję, że poradnik był dla Ciebie pomocny. Jeśli nie masz czasu na tworzenie dokumentacji albo chcesz ją zweryfikować, zapraszamy do skorzystania z naszej pomocy.
Więcej

Żródła:

  • 9 letnie doświadczenie pełnieniaia funkcji ABI lub wsparcia ABI w ponad 100 organizacjach. Kilka tysięcy godzin szkoleniowych (w tym szkoleń dla ABI).
  • Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922),
  • Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. ( U. z 2004 r. Nr 100, poz. 1024 ) w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych,
  • Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. ( Dz. U. Poz. 745) w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji 

Powiązane artykuły

Jak skutecznie szkolić z ochrony danych osobowych?
Jak nadawać upoważnienia do przetwarzania danych osobowych. Wzory dokumentów i dobre praktyki
Jak działają ABI w innych państwach Unii Europejskiej

47 Odpowiedzi

  1. Agnieszka

    Dzień dobry, chciałabym zadać pytanie związane z upoważnieniem, wiem że piszą Państwo o tym, że ten temat zostanie jeszcze poruszony, ale nie wiem gdzie w tej chwili mogłabym napisać taki komentarz.
    Jeżeli osoba, która zatrudniona jest na czas określony dostaje upoważnienie do przetwarzania danych osobowych, w którym napisane jest, że “wygasa z dniem ustania stosunku pracy”, a następnie dostaje umowę na czas nieokreślony (bez zmiany obowiązków), to czy musi dostać ponownie identyczne upoważnienie? Wydaje mi się, że tak skoro jedna umowa się kończy inna zaczyna, ale zakres obowiązków się nie zmienia, a upoważnienie będzie brzmiało tak samo.

    1. Kancelaria Lex Artist

      Jeżeli w treści upoważnienia, nie ma odwołania do konkretnej umowy zawartej z pracownikiem, to w momencie jej wygaśnięcia nie ma potrzeby nadawania nowego upoważnienia. Powyższe ma zastosowanie, w sytuacji, gdy zmiana umowy zatrudnienia (z umowy na czas określony na umowę na czas nieokreślony), nie wiąże się ze zmianą dostępności do wskazanego w upoważnieniu zakresu danych osobowych, przetwarzanych w związku z wykonywaniem obowiązków służbowych. Przepisy ustawy o ochronie danych osobowych nie precyzują formy, ani treści upoważnienia. Ustawodawca pozostawia możliwość wyboru, celem dokonania najlepszego dla danego podmiotu rozwiązania.

  2. Witam serdecznie,
    Chcę założyć na moim blogu newsletter. Jestem jednak przerażona wszystkimi dokumentami, które trzeba złożyć jako załączniki do rejestracji zbioru danych w GIODO.
    Jak skonstruować te dokumenty jeżeli pozyskiwać będę tylko imię i adres e-mail, a dane będą trzymane na serwerze firmy zewnętrznej, która będzie zajmowała się wysyłką mailingu? Jeżeli nie prowadzę działalności gospodarczej, a chciałabym zarejestrować zbiór danych, to czy mogę to zrobić jako osoba prywatna?

    1. admin

      Witam serdecznie,
      Paulino – ustawa o ochronie danych osobowych W OGÓLE nie ma zastosowania do osób prywatnych przetwarzających dane osobowe wyłącznie w celach domowych, czy osobistych. Dlatego kluczową kwestią jest – w jakim celu prowadzisz bloga? Jeśli wyłącznie w celach osobistych – chcesz się dzielić z czytelnikami swoją pasją na zasadach non-profit, nie musisz przejmować się Ustawą. Natomiast jeśli blog jest w jakikolwiek sposób związany z uzyskiwaniem przez Ciebie dochodu (afiliacja, reklamy, zachęcanie do korzystania z jakichś usług/kupna jakichś towarów, ebooków, podcastów, video premium), to Ustawa obejmuje Cię już w całym zakresie. W takim przypadku, rejestracji do GIODO nie dokonujesz jako osoba prywatna, tylko jako np. osoba fizyczna prowadząca działalność gospodarczą. Jeśli uzyskujesz jakiś regularny dochód z prowadzenia bloga, to i tak ze względu na Prawo Podatkowe, powinnaś taką działalność założyć.
      Pozdrawiam serdecznie,
      Łukasz Zegarek, współwłaściciel Lex Artist

      1. Piotr

        Pani Agnieszko i Panie Łukaszu,
        Cieszę się poruszyliście Państwo kwestię newlettera i potencjalnych zarobków. Otoż będą autorem książki i jej wydawcą mam zamiar ją sprzedawać za pośrednictwem własnej strony www (w formie papierowej i elektronicznej) i serwisów z ebookami czy księgarniami internetowymi. Jako autor nie muszę rejestrować działalności gospodarczej.
        Pracując nad regulaminem sklepu internetowego stwierdziłem, iż muszę upewnić się co do kwestii ochrony danych osobowych. Mianowicie:
        1) Czy muszę składać informację o zbiorze danych do GIODO i uzyskać numer w sytuacji, gdy dane osób kupujących to imię i nazwisko, adres, nr telefonu i adres e-mail? Regulamin będzie określał mnie jako Administratora i osobę prywatną nie prowadzącą działalności gospodarczej (na tą chwilę) z miejscem zamieszkania na terytorium Polski.
        2) Mając na względzie dane klientów z pkt 1 wyżej i posiadaniu hostingu na terytorium USA, czy muszę zawrzeć dodatkowo umowę o przetwarzaniu/powierzeniu danych przez usługodawcę w USA?

        Będę wdzięczny za odpowiedź
        Pozdrawiam,
        Piotr

        1. Kancelaria Lex Artist

          Ustawa o ochronie danych osobowych nie musi być stosowana, wtedy gdy dane są przetwarzane dla celów osobistych i domowych art 31 ust. 1. Zakładam jednak, że wydanie książki i prowadzenie sklepu internetowego będzie już wykraczało poza cele osobiste i domowe.
          Co do rejestracji baz w GIODO: tak, ta baza podlega zgłoszeniu. Ale można zamiast tego zgłosić administratora bezpieczeństwa informacji i tym samym zwolnić się z obowiązku rejestracyjnego.
          Jeśli chodzi o hosting w USA, to przydałaby się umowa powierzenia z tzw. Standardowymi klauzulami umownymi (pisaliśmy już o tym na blogu). Albo może Pan sprawdzić czy firma hostująca przystąpiła do Safe Harbor: https://blog-daneosobowe.pl/przekazywanie-danych-usa-privacy-shield/ Jeśli tak, to upraszcza sprawę.
          Generalnie w przypadku działania na małą skalę obowiązki są zbliżone do tych dla dużych firm (niestety). Wynika to z tego, że przy dzisiejszej technologii bywa, że jednoosobowe działalności mogą przetwarzać więcej danych osobowych niż wielkie korporacje.
          Na podstawie krótkiego wpisu mam też zbyt mało informacji na bardziej precyzyjną analizę. Jeśli czuje Pan taką potrzebę – zapraszam do nas na konsultacje w biurze bądź zdalnie.

  3. Piotr G

    Witam serdecznie,
    Czy w grupie spółek zależnych kapitałowo możliwie jest wprowadzenie jednej polityki bezpieczeństwa informacji ? Dokument główny takiej polityki byłby jeden dla wszystkich spółek gdyż zawierałby informacje podstawowe i ogólne natomiast w załącznikach prowadzona była by ewidencja takich informacji jak : obszar przetwarzania danych , wykaz zbiorów, sposobów przepływu, wydanych upoważniej itp dla konkretnych spółek . Polityka musiała by być przyjęta chyba przez zarządy wszystkich spółek jako ADO .. a nie tylko przez spółkę- matkę będącą właścicielem pozostałych. Czy mój tok myślenia jest prawidłowy
    Pozdrawiam

    1. Kancelaria Lex Artist

      W grupie spółek kapitałowych każda ze spółek jest zobowiązana do opracowania i wdrożenia Polityki Bezpieczeństwa, albowiem każdą ze spółek wchodzących w skład grupy kapitałowej należy uznać za odrębnego administratora danych osobowych. Nic nie stoi na przeszkodzie, aby tak jak Pan wskazał, część ogólna dokumentacji, określająca przyjęte w ramach grupy standardy przy przetwarzaniu danych osobowych, była dla tych spółek wspólna. Wszelkie natomiast różnice (obszar przetwarzania danych osobowych, zbiory danych, zabezpieczenia fizyczne poszczególnych zbiorów, systemy informatyczne, etc.) powinny być uwzględnione w odrębnych już dla każdego administratora częściach dokumentacji, np. załącznikach. Dokumentacja powinna zostać przyjęta przez wszystkich administratorów danych, których dotyczy (część ogólna). Należy również pamiętać, że części odrębne, dotyczące poszczególnych spółek nie powinny być dostępne dla wszystkich podmiotów wchodzących w skład grupy.

  4. Monika

    Witam,
    Czy Spółka z o.o. zatrudniająca ok 50 pracowników powinna mieć wyznaczonego ABI i stworzoną politykę bezpieczeństwa ? Czy jest jakiś obowiązek zgłaszania do GIODO?

    1. Robert

      Posiadanie ABI – jest obowiązkowe . Przepisy nie uzależniają jego posiadania od ilości pracowniników lub wielkości firmy oraz prowadzone działalności. Różnica tylko polega na decyzji , czy ABI ma być zgłoszono do GIODO( nie musi ) czy tego nie robimy . Za tą decyzją idą konkretne formalne kroki w zakresie działania ABI i czynnosći parz dokmentacji.
      Ale ustanowienie ABI jest konieczne.

    2. Kancelaria Lex Artist

      Spółka z ograniczoną odpowiedzialnością jest administratorem danych na podstawie art. 7 pkt 4 UODO. W związku z tym na spółce spoczywa obowiązek wdrożenia oprócz Polityki Bezpieczeństwa m.in. Instrukcji zarządzania systemami informatycznymi. W przypadku nie wyznaczenia ABI-ego, spoczywa na Państwa firmie, jak na każdym Administratorze Danych, obowiązek rejestracji zbiorów danych do GIODO.
      Sytuacja wygląda inaczej w przypadku wyznaczenia ABI-ego. Jeżeli administrator danych zdecyduje się powołać ABI-ego, to wówczas nie musi rejestrować zbiorów danych, wystarczy, że zgłos powołanie ABI do biura GIODO. Wzór zgłoszenia powołania ABI określa Rozporządzenie Ministra Administracji i Cyfryzacji z 10 grudnia 2014 r. w sprawie wzorów zgłoszeń powołania i odwołania administratora bezpieczeństwa informacji. Należy podkreślić, że przepisy ustawy o ochronie danych osobowych nie zobowiązują administratora danych do powołania ABI-ego. W tej kwestii administrator danych może podjąć w pełni swobodną decyzję. Na pewno powołanie ABI-ego może być praktycznym rozwiązaniem, ponieważ administrator danych przenosi swoje zadania wynikające z ustawy o ochronie danych osobowych na podmiot, który posiada niezbędną wiedzę, która zagwarantuje odpowiedni poziom ochrony danych osobowych w firmie.

  5. Aleksandra

    Czy prowadzenie ewidencji osób upoważnionych do przetwarzania danych osobowych tyczy się jedynie pracowników , czy także stażystów i praktykantów?

    Jak wprowadzamy zmiany w Polityce Bezpieczeństwa? Tworzymy nowy dokument, czy jakieś dokumenty uzupełniające?

    1. Kancelaria Lex Artist

      Dotyczy również osób, które są zatrudnione na stanowisku praktykanta lub stażysty. Jeżeli osoba odbywająca praktykę bądź staż w firmie posiada upoważnienie do przetwarzania danych osobowych, to wówczas w ewidencji osób upoważnionych do przetwarzania danych osobowych, należy umieścić następujące informacje: imię i nazwisko, datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych oraz identyfikator, jeżeli dane są przetwarzane w systemie informatycznym. Odnosząc się do kwestii modyfikacji Polityki Bezpieczeństwa podkreślamy, że powinna być ona aktualizowana na bieżąco natomiast zmiany w jej treści mogą polegać na wprowadzeniu odpowiednich załączników albo zaktualizowaniu „sztywnej” części dokumentu.

  6. Katarzyna

    Dzień dobry,

    Bardzo ciekawy i pomocny artykuł. Czy dobrze rozumiem, że w Polityce muszę mieć wykaz zbiorów danych z opisem poszczególnych pól?
    Na przykładzie, jeżeli osoby, które były na organizowanym przez podmiot wykładzie i wpisały się na listę, na której była zgoda na przetwarzanie danych – podały imię, nazwisko i maila, dane naniosłam do excela i zapisałam jako bazę mailingową. Stanowi ona zbiór danych, który muszę wykazać w Polityce? Czy wszystkie bazy, pliki z danymi, ale także segregatory (dane w wersji papierowej) muszę opisać w Polityce czy tylko najważniejsze jak np. baza z danymi kontrahentów, z którymi współpracuję? Z mojej analizy wynika, że tak, ale nie jestem pewna czy tak faktycznie ma być, czy to nie za dużo pracy? Może należy wypisać tylko te stałe zbiory, a tymczasowych (art. 2.1. punkt 3 ustawy o ochronie danych osobowych) nie?

    Pozdrawiam,
    Katarzyna

    1. Kancelaria Lex Artist

      Na szczęście pojęcie zbioru danych osobowych jest pojęciem abstrakcyjnym, oderwanym od „fizycznego” występowania danych osobowych w dokumentach. Może mieć Pani np. 1 zbiór danych osobowych o nazwie „Uczestnicy wykładów”. Do tego „worka” może Pani wrzucić zarówno dane gromadzone za pomocą skrzynki e-mail, systemu CRM, plików Excel, czy zwykłych segregatorów.
      Następnym krokiem jest opisanie wszystkich zbiorów danych (rozumianych właśnie w ten, uogólniony sposób!) w Polityce Bezpieczeństwa. Taki wykaz powinien zawierać nazwę zbioru, nazwy systemów informatycznych, które są wykorzystywane do przetwarzania danych osobowych, cel przetwarzania danych, kategorię osób, których dane są przetwarzane oraz zakres przetwarzanych danych.

  7. Damian

    Witam ! Dzięki za kilka ciekawych informacji. Mimo że od czasu wprowadzenia ustawy o ochronie danych osobowych to wielu z nas (prowadzących firmy) ma zbyt małe pojęcie w tym temacie.
    Ja osobiście zaczynam się przebijać przez te tematy i nasunął mi się następujący problem, temat – archiwum dokumentów prowadzonej dokumentacji ochrony danych osobowych.
    I teraz tak wiadomo upoważnienia do przetwarzania danych osobowych umieszczam w teczce osobowej pracownika i przechowuję tak długo jak wymają tego przepisy prawa odnośnie dokumentów pracowniczych czyli 50 lat.
    Ale mamy jeszcze inną dokumentację np: ewidencja upoważnionych do przetwarzania danych osobowych, umowy powierzenia danych osobowych, ewidencje umów powierzenia, ewentualnie ewidencje udostępnień ?
    Znalazłem informacje o archiwizacji dokumentów tego typu w urzędach (instrukcja kancelaryjna określa ją na 10 lat) ale nie znalazłem interpretacji dla firm prywatnych a taką ja prowadzę.
    Jak podejść do tego tematu ? czy są jakieś przepisy prawa które to regulują ?
    Pozdrawiam

    1. Kancelaria Lex Artist

      Jak słusznie Pan zauważył, m.in. w urzędach obowiązują instrukcje kancelaryjne, które określają zasady archiwizacji dokumentów, natomiast w przypadku osób prowadzących działalności gospodarczą brakuje regulacji prawnych w tym zakresie. Obecnie, przepisy z dziedziny ochrony danych osobowych nie wskazują przez jaki czas powinna być przechowywana np. ewidencja upoważnień lub umowa powierzenia przetwarzania danych osobowych. Jednakże na potrzeby ewentualnej kontroli GIODO, warto przechowywać dokumenty wymagane przez przepisy z obszaru ochrony danych osobowych nawet w sytuacji, gdy nie są one aktualne. Jednocześnie należy pamiętać o obowiązku zabezpieczenia danych osobowych wynikającym z art. 36 ust. 1 ustawy o ochronie danych osobowych, również w odniesieniu do np. nieobowiązującej umowy powierzenia czy ewidencji upoważnień.

  8. nowy ABI

    Witam, czy posiadając takie bazy danych osobowych jak:
    -rejestr pacjentów w rejestracji centrum profilaktycznego
    -rejestr przyjmowanych kierowców w rejestracji poradni badan kierowcow
    -rejestry odwołań, orzeczeń,
    -rejestry skarg i wniosków
    -kadry
    mam obowiązek zgłoszenia jako zbioru danych do GIODO??

    1. Kancelaria Lex Artist

      Mam zbyt mało danych, żeby udzielić wyczerpującej odpowiedzi. Generalnie, jeśli został powołany ABI, to zgłaszamy GIODO tylko zbiory danych wrażliwych.

      Część baz danych jest zwolniona z rejestracji na podstawie art 43 ustawy o ochronie danych osobowych. Czyli nawet jak nie ma ABI, to nie musimy ich rejestrować. W art. 43 jest mowa np. o danych związanych z zatrudnieniem czy świadczeniem usług medycznych.

      W związku z powyższym na podstawie tak ogólnych informacji, jeśli mamy ABIego, to do rejestracji kwalifikowałyby się tylko rejestry odwołań orzeczeń.

    1. Łukasz Zegarek

      Cieszymy się, że artykuł był pomocny. Wzory protokołów z kontroli, czy czynności sprawdzających zamieścimy w kolejnych artykułach z serii, które będą poświęcone właśnie przeprowadzaniu sprawdzeń i sporządzaniu sprawozdań ze sprawdzeń.

  9. Magik

    Witam, bardzo pomocny artykuł, u mnie jak w wielu małych firmach temat leży.
    Czy będzie poprawnie stworzenie dokumentu o nazwie: ” Polityka bezpieczeństwa i Instrukcja Zarządzania Systemem Informatycznym służącym do przetwarzania danych osobowych”
    i w nim zawarte jako załączniki instrukcje, procedury informatyczne, np, regulamin sieci LAN, procedury nadawania haseł, rozpoczęcia/zakończenia pracy, itp…?
    Czy ISZI powinna być załącznikiem do PB?

    1. Kancelaria Lex Artist

      Dziękuję i cieszę się, że artykuł jest pomocny.
      Najczęstszą praktyką jest przygotowywanie dwóch oddzielnie podpisanych dokumentów: Polityki Bezpieczeństwa i Instrukcji Zarządzania. Ale jeśli będzie to jeden „zbiorczy” dokument, to też nie widzę żadnych przeciwwskazań. Byle był to dokument podpisany przez osobę uprawnioną do reprezentacji administratora danych.
      Oczywiście konkretne procedury techniczne mogą być załącznikami.

  10. Klaudia

    Bardzo dobry artykuł i świetny blog, który dopiero dziś odkryłam!Mam dodatkowe pytanie, czy jeśli mamy w jednym obszarze przetwarzania danych osobowych, dwóch administratorów do tych samych zbiorów i systemów informatycznych, to czy poza tym, że każdy powinien mieć własną politykę i instrukcję, czy pomiędzy nimi powinno być zawarte jakieś porozumienie? Mam tu na myśli sytuację, że administrator X wysyła administratorowi Y mailem np. bazę użytkowników, którzy zapisali się do newslettera, przy czym w tym newsletterze jest klauzula informacyjna, że administratorem danych jest podmiot X I Y.
    Bo jeśli takiej klauzuli by nie było, to znaczy że mamy do czynienia z powierzeniem przetwarzania danych, prawda? Z góry bardzo dziękuję!

    1. Kancelaria Lex Artist

      Bardzo dziękujemy i polecamy się na przyszłość 🙂 Administrator danych to podmiot, który decyduje o celach i środkach przetwarzania danych. Więc taką sytuację można rozwiązać na dwa sposoby. Albo za administratora danych uznajemy jedną ze spółek, która później powierza dane drugiej. Albo uznajemy na samym początku obie spółki za współadministratorów danych. Do tej pory w Polsce bardzo rzadko stosowane koncepcję 2 administratorów 1 zbiór. Ale ponieważ w nowych przepisach Europejskiego Rozporządzenia Ochrony Danych Osobowych, jest mowa wprost o możliwości zaistnienia takiej sytuacji, to wydaje się, że coraz częściej będą w praktyce pojawiać się sytuacje 2 administratorów, 1 zbiór. Zastrzegam też, że mam trochę zbyt mało danych, żeby traktować moją odpowiedź jako oficjalne stanowisko.

  11. Kama

    Witam.
    Jeśli dobrze zrozumiałam jako hurtownia stacjonarna bez sprzedaży wysyłkowej nie mamy obowiązku rejestracji w GIODO ani ABI ale proszę jesli jest to możliwe o informację czy musimy mieć w firmie Politykę bezpieczeństwa i Instrukcję zarządzania systemem informatycznym. Mam w firmie kadrowe, księgowe i dział sprzedaży oraz przedstawicieli handlowych i czy przedstawiciele muszą mieć upoważnienia do przetwarzania danych jeśli wystawiają faktury? Z góry dziękuję

    1. Kancelaria Lex Artist

      Posiadanie polityki bezpieczeństwa i instrukcji zarządzania czy zapoznania pracowników ze stosowaną polityką zabezpieczeń to obecnie wymóg prawny, wynikający z ustawy o ochronie danych osobowych i rozporządzeń wykonawczych. Oczywiście jeśli danych osobowych jest mało i skala przetwarzania jest niewielka, to i polityka będzie prostsza do przygotowania.

      Warto do tworzenia dokumentu podejść w sposób praktyczny. Uporządkować przy tej okazji politykę haseł, antywirusów czy dostępów do określonych danych osobowych przez określonych pracowników. Jest z tym oczywiście trochę pracy ale za to minimalizujemy ryzyko wycieku danych. A jeśli już coś się wydarzy, możemy wykazać, że dochowaliśmy wysokiej staranności przy zabezpieczeniu danych.

      Jeśli chodzi o przedstawicieli handlowych, to jeśli mają dostęp do danych i wystawiają faktury na klientów będących osobami fizycznymi, to powinni mieć nadane upoważnienia do przetwarzania danych osobowych.

  12. Wojtek

    Witam, czytałem odpowiedź koleżanki wyżej, jednakże nie do końca wiem, czy muszę zgłosić zbiór danych w GIODO. Chce wrzucić aplikację na Google Play. Będę pozyskiwał imię, nazwisko, email, numer telefonu. Aplikacja, w której użytkownicy, m.in. widzą swoje profile.
    Nie prowadzę działalności gospodarczej, więc nie wiem czy dla takiego użytku mam cokolwiek zgłaszać?

    1. Kancelaria Lex Artist

      Dużo zależy od celu w jakim powstaje aplikacja. Jeśli nie czerpie Pan z niej żadnych korzyści materialnych i jest to bardziej forma działalności hobbystycznej, a przetwarzanie odbywa się na niewielką skalę, to można by rozważyć wyłączenie działania ustawy o ochronie danych osobowych na podstawie art. 3a ustawy.
      Jeśli jednak jest inaczej, to będzie Pan administratorem takiej bazy danych osobowych i baza powinna zostać zgłoszona do GIODO (lub powołanie ABI w tym przypadku jednak raczej nieadekwatne). A Pan powinien posiadać prostą, podstawową dokumentację ochrony danych osobowych.
      Warto też pamiętać o tym, że od maja 2018 roku, obowiązek zgłaszania baz do GIODO będzie zniesiony. Był często krytykowany za nadmierny formalizm, np. w sytuacji małych administratorów danych, którzy, czytają przepisy literalnie, “podpadają” pod wszystkie ustawowe obowiązki.

      1. Wojtek

        Dziękuję za informację. Czy w tym 2 przypadku, obowiązkowe jest posiadanie jeszcze dodatkowych informacji w aplikacji o tym w jakim celu przetwarzane są dane, regulamin o świadczeniu usług bądź inne?

        1. Kancelaria Lex Artist

          Jeśli uznajemy, że aplikacja jest prowadzona w celach komercyjnych, to w myśl ustawy i przepisów wykonawczych, konieczne jest spełnianie wszystkich wymogów ustawy.

          A więc przede wszystkim: 1) dopełnienie obowiązków informacyjnych- użytkownicy muszą wiedzieć, kto administruje ich danymi, 2) posiadanie prostej w tym przypadku dokumentacji ochrony danych osobowych. 3) W przypadku powierzenia danych, posiadania umów powierzenia z podmiotami, którym dane są powierzane. I być może kilka innych kwestii wynikających z ustawy, zależnych od tego jak będzie działała aplikacja i jakie dane będzie przetwarzała.

  13. Adam

    Witam, wdrażam w firmie politykę bezpieczeństwa. Firma ma zamiar powołać za pomocą ustawy ABIego. Stworzyłem 3 dokumenty – politykę bezpieczeństwa, instrukcje zarządzania systemem informatycznym oraz regulamin ochrony danych osobowych.
    Ponieważ w firmie korzystamy z systemu rozproszonego (zakupiony serwer dedykowany), do którego dane wprowadzane są za pomocą przeglądarki Internetowej można powiedzieć z całej Polski. Osoby, które wprowadzają dane dostają z firmy upoważnienie do przetwarzania danych osobowych oraz informację, aby zapoznały się z ustawą o ochronie danych osobowych. ABI natomiast prowadzi listę osób, które otrzymały upoważnienie i je nadaje. Czy mogę upoważnienia do przetwarzania danych osobowych zrobić w wersji elektronicznej?.
    Kolejne pytanie dotyczy wykazu budynków pomieszczeń lub części pomieszczeń tworzących obszar, w którym przetwarzane są dane. Nie jestem w stanie zebrać wszystkich lokalizacji osób wprowadzających dane osobowe za pomocą przeglądarki. Co w takiej sytuacji?.
    Nawiąże jeszcze do dokumentów, z którymi powinny zapoznać się osoby zdalnie wprowadzające dane. Proszę o weryfikację czy tak może być. Polityka bezpieczeństwa – użytek wewnętrzny – nie udostępniam na zewnątrz firmy, instrukcja zarządzania systemem informatycznym – (zawiera informacje, o których nie musi wiedzieć osoba wprowadzająca dane między innymi backup itd.) – nie udostępniam na zewnątrz. Jedynie, co chcę udostępnić osobom zdalnie wprowadzającym dane to regulamin ochrony danych osobowych, który zawiera między innymi: definicje, postanowienia ogólne, administrator bezpieczeństwa informacji i systemów informatycznych, osoby upoważnione do przetwarzania danych osobowych, określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych, środki bezpieczeństwa stosowane podczas pracy z danymi, postępowanie w razie zaistnienia zagrożenia dla bezpieczeństwa przetwarzanych danych osobowych lub naruszenia zasad przetwarzania danych osobowych, procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym, polityka haseł, zasady postępowania z kluczami kryptograficznymi, procedura rozpoczęcia, zawieszenia, prowadzenia i zakończenia pracy w systemie informatycznym, zasady korzystania ze służbowej poczty elektronicznej, zasady korzystania z sieci publicznej (Internet),zasady postępowania z nośnikami elektronicznymi oraz vpn podczas pracy poza obszarem przetwarzania danych użytkowanie sprzętu komputerowego, oprogramowania, nośników danych, korzystanie z urządzeń komunikacji głosowej, faksowej i wizyjnej ochrona przed szkodliwym oprogramowaniem.
    Czy tak mogę zrobić?.
    Pytanie jeszcze odnośnie polityki bezpieczeństwa – oczywiście podpisana przez Zarząd jest itd. Czy pracownicy w firmie po zapoznaniu się z polityką bezpieczeństwa muszą również podpisać się np. na liście osób, które zapoznały się z polityką bezpieczeństwa?.·
    Z góry dziękuje za pomoc.

    1. Kancelaria Lex Artist

      Pytań jest dużo, a więc usystematyzujmy całość:

      1) Tak upoważnienia mogą być nadawane w wersji elektronicznej. Trzeba jednak pamiętać o tym, żeby było jakieś potwierdzenie jego nadania. Np. zwrotny mail od pracownika. Albo… system służący do ich nadawania. Tu miejsce na małą reklamę 😉 mamy taki system, który nie tylko szkoli e-learningowo pracowników ale też wysyła im upoważnienia. Inspektorom GIODO bardzo się podobał w trakcie kontroli 🙂
      2) Tak precyzyjne określenie lokalizacji jest w dzisiejszych czasach często po prostu niemożliwe. Ważne aby w dokumentacji wskazać wszystkie lokalizacje biurowe i miejsca gdzie przetwarzane są dane powierzone. Oraz wskazać środki bezpieczeństwa dla np. laptopów służbowych. To wystarczy.
      3) ABI wspólnie z administratorem danych decydują czy i które elementy polityki czy instrukcji będą dostępne i dla kogo. Przepisy tego nie regulują. Ja osobiście jestem zwolennikiem jawności tych dokumentów ale na poziomie ogólnych procedur i wytycznych. Same załączniki z np. lokalizacją serwerów czy szczegółami dotyczącymi zabezpieczeń niektórych pomieszczeń, nie są już udostępniane wszystkim.
      4) Ustawa obecnie mówi o tym, że pracownicy “powinny być zapoznani z przepisami o ochronie danych osobowych”. Czy również z całą polityką, regulaminami czy innymi dokumentami – to już każdy administrator danych musi zdecydować sam. Ja osobiście uważam, że pracownik który nie jest osobą decyzyjną w kwestii danych osobowych, powinien znać podstawy i powinny mu być one przekazane w prosty i zrozumiały sposób. Od samego czytania regulaminów i dokumentów zawsze lepsze jest szkolenie. A najlepiej i najbezpieczniej dla ADO i ABI: szkolenie, lista obecności, dokument z zasadami do przestrzegania (regulamin/polityka bezpieczeństwa czy wyciąg z w/w dokumentów) i podpis np. na upoważnieniu, że pracownik się zapoznał i zobowiązuje sie te zasady stosować.

  14. sebastian

    pogubiłem się pomocy:

    Prowadzę stacjonarną sprzedaż wystawiam faktury VAT poprzez program wf mag, zarówno na osoby fizyczne jak i firmy czy muszę zgłaszać bazę do GIODO ?? mam też firmowy email na który przychodza oferty od dostawców czasami zapytania od klientów czy musze zgłaszać bazę ??

    Jeśli nie muszę zgłaszać to czy jestem zobowiązany do napisania regulaminu ochrony danych osobowych

    Co jeśli chce otworzyć dodatkowo sklep internetowy wiem że wtedy muszę zglosić bazę do giodo ale czy tylko bazę sklepu internetowego? czy także bazę programu do wystawiania faktur z której faktycznie będę wystawiał dokumenty zarówno dla sprzedaży stacjonarnej jak i internetowej.

    1. Kancelaria Lex Artist

      Na początek, rozróżnijmy dwa pojęcia. Baza danych i zbiór danych. Baza danych to pojęcie informatyczne. Zbiór danych: ustawowe. Może być tak, że jeden zbiór danych np. Pana klienci jest przetwarzany w kilku bazach danych. I jeszcze do tego w wersji papierowej. Ale to wciąż będzie jeden i ten sam zbiór.
      Art. 43 ustawy, mówi które zbiory danych osobowych nie podlegają obowiązkowi rejestracyjnemu. Jeśli zbiór danych służy tylko do sprawozdawczości finansowej, wystawienia faktury, to nie musi być zgłaszany do GIODO.
      Warto pamiętać też o tym, że od 25 maja 2018 roku, wraz z wejściem w życie RODO, obowiązek zgłaszania baz do GIODO zostaje zlikwidowany.
      Ważniejsze od zgłaszania baz będzie posiadanie polityki bezpieczeństwa i odpowiedniego zabezpieczenia danych osobowych.

  15. Marcin

    “Dopuszczalne jest również scedowanie obowiązku nadawania upoważnień z ADO na innego pracownika…”
    Czy mógłbym prosić o doprecyzowanie na jakiej podstawie autor stawia taką tezę? UODO w art. 37 zakreśla wystawianie upoważnień tylko do ADO, którym będzie np. przedsiębiorca (w przypadku osób fizycznych) lub zarząd (dla spółek handlowych). Nie spotkałem się z poszerzeniem katalogu uprawnionych do wydawania upoważnień do przetwarzania danych osobowych. Co z podmiotami publicznymi, których obowiązuje zasada legalizmu?

    1. Łukasz Zegarek

      Termin scedowanie faktycznie nie jest do końca precyzyjny. Właściwsze byłoby po prostu upoważnienie… także już zaktualizowaliśmy treść artykułu i dziękujemy za czujność!

      Jeśli chodzi o doktrynę to np. w popularnym komentarzu Barta i Litwiński wskazują, że upoważnienia mogą być nadawane przez inną niż ADO osobę. Warunkiem jest to, żeby ta osoba została przez ADO upoważniona do dalszego nadawania upoważnień.

      Czyli cywilistyczna koncepcja upoważnienia.

      Praktyka GIODO jest całkowicie spójna z powyższymi tezami. W żadnym z wielu znanych nam przypadków kontroli GIODO, inspektor nie zakwestionowali tego, że w imieniu ADO, upoważnienie podpisywał np. ABI czy inny pracownik spółki czy organu administracji publicznej.

  16. Maria

    Mam zawartą umowę zlecenia ze zleceniodawcami na prowadzenie księgowości oraz kadr. Nie mam zarejestrowanej działalności gospodarczej. Czy ja jako zleceniobiorca (lub zleceniodawca) muszę stworzyć instrukcję zarządzania systemem oraz politykę bezpieczeństwa? Czy mam obowiązek zgłoszenia mojej bazy danych kontrahentów i danych osobowych pracowników z programów księgowych i z programu Płatnik do GIODO? Czy powinnam ze zleceniodawcą podpisać umowę powierzania przetwarzania danych osobowych?

    1. Kancelaria Lex Artist

      Widzę tutaj 2 możliwości. Pierwsza to taka, że prowadzi Pani działalność księgową na własny rachunek, tylko nie ma zarejestrowanej DG. Ma swoich klientów i zakupione systemy informatyczne. W takim układzie możemy przyjąć, że jest Pani administratorem danych osobowych. Oczywiście nie jest Pani ADO dla pracowników kontrahentów, bo to są tylko dane powierzone, których administratorami są kontrahenci. Może też Pani posiadać dane osobowe swoich kontrahentów, przetwarzane już nie w celu świadczenia usługi rozliczeniowej, a w celu kontaktu z kontrahentami, oferowania nowych usług etc. Jeśli przyjmiemy, że dane kontrahentów są przetwarzane jedynie w celu bieżącej działalności, kontaktu i w celu wystawienia rachunku, to wydaje się, że nie ma konieczności zgłaszania bazy.

      Druga możliwość mogłaby polegać na tym, że nie byłaby Pani uznana de facto za odrębnego ADO, a po prostu za „pracownika” Pani zleceniodawców. W tym przypadku, powinni oni jedynie nadać Pani upoważnienie do przetwarzania danych osobowych. Nie byłaby Pani wtedy uznana za odrębnego ADO, a bardziej za pracownika na kilku etatach.
      Wszystko zależy od skali Pani działania, od tego jak wyglądają umowy między Panią i kontrahentami. Oraz od Pani i kontrahentów, subiektywnego poczucia. Albo jest Pani „firmą” działającą na własny rachunek albo jest Pani bardziej pracownikiem, zatrudnionym u kilku pracodawców.
      Jeśli kontrahentów nie ma dużo, nie ma Pani swojej DG, strony www i umowy są odpowiednio sformułowane, to byłyby okoliczności przemawiające za rozwiązaniem nr. 2, na pewno dla Pani prostszym.

  17. Tomek

    Witam, proszę o informację dot. udostępniania danych takich jak polityka bezpieczeństwa, instrukcja zarządzania systemem, plany sprawdzeń i sprawozdania. Zwróciła się do mojej firmy osoba (podała pod wnioskiem o udostępnienie danych imię, nazwisko oraz jakieś dziwne stanowisko – specjalista od spraw informacji i ochrony danych osobowych) która żąda takich informacji na podstawie ustawy o dostępie do informacji publicznej (takie informacje chce otrzymać na maila). Czy trzeba takie informacje udostępniać a jeśli tak to w jakim zakresie?

    1. Kancelaria Lex Artist

      Po pierwsze, to ustawa o dostępie do informacji publicznej, jest adresowana do administracji publicznej. I spółek skarbu państwa. Więc jeśli Pani/Pana firma nie jest żadnym z tych podmiotów, to pytający nie ma prawa się na nią powoływać.
      Jeśli jednak jest inaczej, to co do zasady są tutaj różne możliwości. Niektórzy udostępniają w takich sytuacjach dokumentacje ochrony danych osobowych, we fragmentach, bez załączników opisujących szczegóły zabezpieczeń. Inni całkowicie odmawiają udostępnienia dokumentu.
      Niektóre urzędy z kolei zamieszczają całą dokumentację na swoim Biuletynie Informacji Publicznej. Praktyka jest tutaj bardzo różna. Prawo nie jest do końca precyzyjne i moglibyśmy doszukiwać się pewnych podstaw odmowy dostępu do dokumentacji albo przynajmniej jej fragmentów.
      Sprawdziłbym też jeszcze jedną okoliczność. Ostatnimi czasy GIODO ostrzegał przed firmami „wymuszającymi” audyty danych osobowych. Proszę poczytać na stronie GIODO czy w internecie na temat stowarzyszenia „bądźmy legalni”. Być może to oni odpowiadają za zapytanie i ma ono służyć jedynie wymuszeniu zakupu u nich usługi.
      W razie potrzeby – zapraszam też do nas na konsultacje, na miejscu bądź zdalnie. Po przeanalizowaniu całokształtu sytuacji, możemy przygotować opinię prawną z zaleceniami co zrobić i dlaczego.

  18. Tomek

    Witam, proszę o informację dot. sprawozdań z wykonywanych sprawdzeń. Jeśli mam w roku zaplanowanych np. 5 różnych sprawdzeń to sprawozdanie sporządzam po każdym sprawdzeniu i dodatkowo sporządzam sprawozdanie roczne czy załatwiamy to jednym sprawozdaniem obejmującym wszystkie 5 sprawdzeń?

  19. Agnieszka

    Mam inne pytanie. Pracuję w szkole. Czy dyrektor może być ABi, tzn. czy nie musi nikomu niczego powierzać? Jakie dokumenty powinniśmy mieć w szkole ?

    1. Kancelaria Lex Artist

      Dyrektor reprezentuje Administratora Danych (szkołę). Z ustawy o ochronie danych osobowych wynika, że Administrator Danych powołuje ABI, oznacza to, że Dyrektor nie może być ABI. A co powierzania, nie do końca rozumiemy pytanie. Chodzi o powierzenie przetwarzania danych osobowych?
      Szkoła, jak każdy inny administrator danych, powinna dysponować kompletem dokumentacji ochrony danych osobowych: Polityka bezpieczeństwa, instrukcja zarządzania, ewidencja upoważnień, upoważnienia.
      Umowy powierzenia oczywiście również są wymagane.
      Dobrego dnia 🙂

  20. Dominika

    Witam, zapoznałam się z przepisami dotyczącymi obowiązków administratora i tego co musi się znaleźć w polityce bezpieczeństwa oraz instrukcji. Mam tylko jedną wątpliwość czy te wszystkie zabezpieczenia i czynności muszę jako administrator wykonać sama ? Tzn jeśli korzystam z firmy hostingowej która ma kilka różnych zabezpieczeń to mogę te informacje zawrzec w swojej dokumentacji? Dziękuję i pozdrawiam

  21. Katarzyna

    Witam, świetny artykuł i bardzo profesjonalne wyjaśnienia dodatkowe w komentarzach. Faktycznie w internetach można znaleźć wzory polityki bezpieczeństwa czy IZSI. Ale…to wszystko dotyczy firm, które zatrudniają pracowników, zawsze, w każdym wzorze, znajduje się informacja o powierzaniu uprawnień, obowiązkach pracowników itp.
    Wyczytałam tez, że w/w dokumenty wymagane przez GIODO nie powinny odstawać od rzeczywistości.
    Stąd moje pytanie. Czy lepiej usunąć z takiego wzoru polityki bezpieczeństwa wszelkie informacje w jakikolwiek sposób “dotykające” pracowników (których się nie posiada), czy też zostawić to, uzasadniając ów fakt tym, że firma się rozwija i być może w przyszłości pracowników zatrudni?
    Pytam, bo przyznam, że PB bez tych informacji o pracownikach brzmi dość komicznie, sama sobie coś nakazuję…

    1. Kancelaria Lex Artist

      A bardzo nam miło się zrobiło 🙂
      Co do zasady praktyczniej jednak zostawić tych pracowników. Jeśli się pojawią to wszystko będzie już gotowe i nie będzie trzeba nic zmieniać. Jeśli się nie pojawią – nic nie tracimy.
      Dla ABIch, którzy chcą odpocząć od ręcznego tworzenia i edytowania dokumentacji mamy system SODO, który sam składa dokumentację ochrony danych osobowych, tworzy listy wersji, wspiera audyt i sprawdzenie 😉
      http://sodo.com.pl/

Zostaw odpowiedź