OCHRONA DANYCH OSOBOWYCH

Transkrypt

1 Grudzień 2014 issn nr 3 OCHRONA DANYCH OSOBOWYCH Praktyczne porady Instrukcje krok po kroku Wzory Zmiany w ochronie danych Najczęściej popełniane błędy w związku z ochroną danych Zasady tworzenia umowy powierzenia danych

2 Oficyna Prawa Polskiego Wydawnictwo WiP ul. Łotewska 9A, Warszawa NIP: KRS: Sąd Rejonowy dla m.st. Warszawy, Sąd Gospodarczy XIII Wydział Gospodarczy Rejestrowy Wysokość kapitału zakładowego: zł Ochrona danych osobowych Redaktor: Wioleta Szczygielska Kierownik grupy wydawniczej: Ewa Ziętek-Maciejczyk Wydawca: Monika Kijok Koordynacja produkcji: Mariusz Jezierski, Magdalena Huta Korekta: Zespół Projekt graficzny okładki: Michał Marczewski Skład i łamanie: Ireneusz Gawliński Drukarnia: MDdruk Nakład: 500 egz. Ochrona danych osobowych wraz z przysługującym Czytelnikom innymi elementami dostępnymi w prenumeracie (e-letter, strona WWW i inne) chronione są prawem autorskim. Przedruk materiałów opublikowanych w Ochronie danych osobowych oraz w innych dostępnych elementach prenumeraty bez zgody wydawcy jest zabroniony. Zakaz nie dotyczy cytowania publikacji z powołaniem się na źródło. Publikacja Ochrona danych osobowych została przygotowana z zachowaniem najwyższej staranności i wykorzystaniem wysokich kwalifikacji, wiedzy i doświadczenia autorów oraz konsultantów. Zaproponowane w publikacji Ochrona danych osobowych oraz w innych dostępnych elementach subskrypcji wskazówki, porady i interpretacje nie mają charakteru porady prawnej. Ich zastosowanie w konkretnym przypadku może wymagać dodatkowych, pogłębionych konsultacji. Publikowane rozwiązania nie mogą być traktowane jako oficjalne stanowisko organów i urzędów państwowych. W związku z powyższym redakcja nie może ponosić odpowiedzialności prawnej za zastosowanie zawartych w publikacji Ochrona danych osobowych lub w innych dostępnych elementach prenumeraty wskazówek, przykładów, informacji itp. do konkretnych przypadków. Informacje o prenumeracie: tel.: faks: cok@opp.com.pl

3 SPIS TREŚCI Spis treści AKTUALNOŚCI Zmiany w ochronie danych Jarosław Żabówka Dane osobowe lądują w koszu Wioleta Szczygielska Dostęp do danych pacjentów Wioleta Szczygielska INSTRUKCJE Jak należy przygotować politykę bezpieczeństwa danych Konrad Gałaj-Emiliańczyk Najczęściej popełniane błędy w związku z ochroną danych Piotr Janiszewski Tworzymy instrukcję zarządzania systemem informatycznym Jarosław Żabówka TEMAT NUMERU Zasady tworzenia umowy powierzenia danych Marcin Sarna PORADY Jak należy przeprowadzić audyt ochrony danych osobowych Łukasz Onysyk Dokumenty zawierające dane osobowe jak je przechowywać Piotr Glen Szkolenie dla pracowników z ochrony danych Przemysław Zegarek WZORY DOKUMENTÓW OCHRONA DANYCH OSOBOWYCH 141 GRUDZIEŃ 2014

4 LIST OD REDAKTORA Szanowni Czytelnicy! Wioleta Szczygielska redaktor prowadząca Podczas codziennej pracy z pewnością spotkali się Państwo z sytuacją, kiedy trzeba było przekazać dane swoich klientów lub pracowników innej firmie. Być może zlecali Państwo obsługę księgową zewnętrznemu podmiotowi. Trzeba pamiętać, że takie przekazanie danych to zgodnie z ustawą powierzenie przetwarzania danych osobowych. Administrator Danych Osobowych powinien uregulować ten proces w odrębnej umowie powierzenia. W artykule Zasady tworzenia umowy powierzenia danych radca prawny Marcin Sarna podpowiada, jak skonstruować taki kontrakt. Szczególnie polecam też poradnikowe teksty, które pomogą Państwu stworzyć wewnętrzne dokumenty regulujące zasady ochrony danych osobowych. Doświadczeni Administratorzy Bezpieczeństwa Informacji w artykułach: Jak przygotować politykę bezpieczeństwa przetwarzania danych i Tworzymy instrukcję zarządzania systemem informatycznym podpowiadają, jak przygotować te dokumenty, aby spełniały wymogi ustawy o ochronie danych osobowych. Wiele osób, które zajmują się tematem ochrony danych osobowych, ma problem z przechowywaniem dokumentacji papierowej zawierającej dane osobowe. Jest to o tyle trudne, że ustawa o ochronie danych osobowych nie daje jasnych wytycznych w tej kwestii. Nasz ekspert, wieloletni Administrator Bezpieczeństwa Informacji i członek zarządu Stowarzyszenia Administratorów Bezpieczeństwa Informacji SABI, Piotr Glen, doradzi, jak długo i w jaki sposób przechowywać takie dokumenty. Po raz kolejny podpowiemy też Państwu, w jaki sposób przygotować szkolenie z ochrony danych osobowych dla pracowników. Zachęcam również do skorzystania z gotowych wzorów dokumentów, które z pewnością przydadzą się w codziennej pracy. A już w następnym numerze zajmiemy się nowelizacją ustawy o ochronie danych osobowych. Eksperci z kancelarii Traple Konarski Podrecki szczegółowo wyjaśnią jak planowane zmiany wpłyną na pracę Administratorów Bezpieczeństwa Informacji. Życzę owocnej lektury! OCHRONA DANYCH OSOBOWYCH 142 GRUDZIEŃ 2014

5 AKTUALNOŚCI Zmiany w ochronie danych Kończą się prace nad nowelizacją ustawy o ochronie danych osobowych. Projekt został przyjęty przez Sejm i Senat. Teraz czeka tylko na podpis prezydenta. Zmiany będą obowiązywać od stycznia 2015 roku. Nowelizacja ustawy o ochronie danych osobowych ma rozwiać wątpliwości odnośnie wyznaczenia ABI. Jego powołanie będzie zależało od decyzji administratora danych. Jeżeli zdecyduje się on wyznaczyć ABI, to będzie zwolniony z obowiązku rejestracji zbiorów zawierających dane zwykłe (taki rejestr będzie prowadził administrator bezpieczeństwa informacji). Powołać czy nie powołać ABI Jeżeli ABI zostanie powołany: 1. ADO jest obowiązany zgłosić do GIODO powołanie i odwołanie ABI w terminie 30 dni. 2. Jego zadaniem będzie zapewnienie przestrzegania przepisów o ochronie danych osobowych. W tym celu ABI ma obowiązek: Sprawdzać zgodność przetwarzania danych osobowych z przepisami oraz opracowywać sprawozdanie dla ADO. Nadzorować opracowywanie i aktualizowanie polityki bezpieczeństwa i instrukcji zarządzania systemem informatycznym. Nadzorować przestrzeganie zasad przetwarzania danych. Zapewnić zapoznanie osób upoważnionych do przetwarzania danych z przepisami o ochronie danych. 3. ABI będzie prowadził jawny rejestr zbiorów danych przetwarzanych przez administratora danych. 4. Administratorem Bezpieczeństwa Informacji może być osoba, która: ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych, posiada odpowiednią wiedzę w zakresie ochrony danych osobowych, nie była karana za przestępstwo popełnione z winy umyślnej. 5. Musi podlegać bezpośrednio kierownikowi jednostki organizacyjnej lub ADO. Osoby te zobowiązane są zapewnić środki niezbędne do wykonywania zadań przez ABI. 6. ADO będzie mógł powierzyć ABI wykonywanie innych zadań nie mogą one wpływać na wykonywanie podstawowych obowiązków. 1 Tekst powstał na podstawie projektu ustawy, procedowanego w Komisji Nadzwyczajnej do spraw związanych z ograniczaniem biurokracji. JAROSŁAW ŻABÓWKA trener, wykładowca, popularyzator zagadnień ochrony danych osobowych, właściciel firmy wieloletni administrator bezpieczeństwa informacji, twórca systemów zarządzania ochroną danych osobowych w małych i dużych przedsiębiorstwach, audytor normy ISO i menedżer systemów informatycznych, autor publikacji i prezentacji branżowych 7. ADO może powołać zastępców ABI. 8. ADO będzie zwolniony ze zgłaszania do rejestracji zbiorów danych wyłącznie tych niezawierających danych wrażliwych. 9. GIODO może się zwrócić do ABI o sprawdzenie zgodności przetwarzania danych z przepisami o ochronie danych osobowych. 10. Po sprawdzeniu, za pośrednictwem ADO, ABI przedstawi GIODO sprawozdanie. Jeżeli ABI nie zostanie powołany: 1. ADO zobowiązany jest zapewnić przestrzeganie przepisów o ochronie danych osobowych. W tym celu powinien: Sprawdzać zgodność przetwarzania danych z przepisami. Nadzorować opracowywanie i aktualizowanie dokumentacji. Nadzorować przestrzeganie zasad przetwarzania danych. Zapewnić zapoznanie osób upoważnionych do przetwarzania danych z przepisami o ochronie danych osobowych. 2. ADO będzie zgłaszać zbiory na dotychczasowych zasadach. Niezgłoszenie zbioru będzie nadal zagrożone karą grzywny, ograniczenia wolności albo pozbawienia wolności do roku. Jeśli ADO nie powoła ABI, zobowiązany jest do zapewnienia realizacji wszystkich zadań, które mógłby realizować ABI, z wyjątkiem opracowania sprawozdania. Czy zmiany są potrzebne Proponowana nowelizacja będzie miała znaczenie dla tych administratorów danych, którzy często składają wnioski rejestracyjne. Będą to duże podmioty ze sporą ilością zbiorów lub często zawierające umowy powierzenia przetwarzania. Zwykle też mają już wyznaczonego ABI. Dla małych przedsiębiorców zwolnienie z obowiązku zgłoszenia zbioru nie będzie istotne. Korzystne może być zwolnienie z obowiązku wyznaczenia ABI. Chociaż przedsiębiorca będzie nadal zobowiązany do realizacji jego zadań. Po wejściu w życie nowelizacji każdy administrator danych będzie musiał samodzielnie podjąć decyzję, który wariant jest dla niego korzystniejszy. OCHRONA DANYCH OSOBOWYCH 143 GRUDZIEŃ 2014

6 Dane osobowe lądują w koszu Aż z 93% wyrzuconych dokumentów firmowych da się odczytać dane osobowe. W większości są to informacje istotne, np. o wypłatach dla pracowników czy opinie bankowe. Takie wnioski płyną z badania przeprowadzonego w Miejskim Przedsiębiorstwie Oczyszczania w Warszawie. W ramach VI edycji kampanii Nie daj się okraść, chroń swoją tożsamość przeprowadzono internetową ankietę, z której wynika, że w teorii dbamy o zabezpieczenie danych osobowych. Osoby, które mają kontakt z danymi wrażliwymi w większości (97%) niszczą dokumentację, która je zawiera wynika z ankiety. A jak jest w praktyce? W ramach kampanii przeprowadzono też badanie w Miejskim Przedsiębiorstwie Oczyszczania w Warszawie. Okazało się, że na śmietnikach lądują zarówno druki firmowe, jak i te z domów prywatnych. Spośród 1610 sprawdzonych dokumentów 42% pochodziło z firm lub instytucji, a 48% od osób prywatnych. Aż 578 (84%) spośród urzędowych lub firmowych dokumentów było wyrzuconych w całości. Zniszczono tylko 16%. Jednak spora ich część była zniszczona w taki sposób, że z łatwością można było odczytać zawarte w nich dane, np. były przedarte na pół. W konsekwencji aż ponad połowę pozornie zniszczonych dokumentów można było odczytać. Co najbardziej alarmujące jest to, że wśród znalezionych dokumentów były informacje szczególnie istotne, np. akty notarialne zakupu nieruchomości, raporty medyczne lub zeznania podatkowe. Na kwestię wycieku danych osobowych szczególną uwagę powinny zwracać nie tylko osoby prywatne, ale też firmy i instytucje państwowe. Za ujawnienie danych może grozić od 2 do nawet 3 lat więzienia w przypadku danych wrażliwych, np. o stanie zdrowia. Wioleta Szczygielska Dostęp do danych pacjentów Uregulowanie zasad udostępniania dokumentacji medycznej, wprowadzenie telemedycyny i Karty Ubezpieczenia Zdrowotnego to jedne z ważniejszych zmian, jakie ma wprowadzić nowelizacja ustawy o systemie informacji o ochronie zdrowia. Jak wynika z projektu ustawy o zmianie ustawy o systemie informacji o ochronie zdrowia i innych ustaw, dane medyczne i inne dane przetwarzane w Systemie Informacji Medycznej dotyczące pacjentów będą udostępniane Zakładowi Ubezpieczeń Społecznych i Narodowemu Funduszowi Zdrowia. Fundacja Panoptykon alarmuje, że nowy akt w niedostateczny sposób będzie chronił dane osobowe pacjentów. Projekt nie wspomina bowiem, na podstawie jakich przepisów instytucje te będą przetwarzać dane osobowe pacjentów. Projekt jedynie enigmatycznie wspomina, że będzie się to odbywać w zakresie zgodnym z ustawą. Zdaniem Fundacji Panoptykon powinno być jasne, w jakim celu, zakresie i w jaki sposób ZUS i NFZ będą te dane wykorzystywać. Dodatkowo dane osobowe pacjentów mają być również udostępniane płatnikom, którzy finansują albo współfinansują świadczenia opieki zdrowotnej ze środków publicznych. Chodzi np. o samorządy opłacające programy niepłodności metodą zapłodnienia pozaustrojowego. Projekt nowelizacji zakłada, że dane pacjenta będą udostępniane za jego zgodą. W wielu przypadkach osoba korzystająca ze świadczeń medycznych będzie mogła także zgłosić sprzeciw wobec przetwarzania swoich danych, np. wobec udostępniania jednostkowych danych medycznych zgromadzonych w module statystyczno-rozliczeniowym. Ustawa nie wskazuje jednak, w jaki sposób będzie można wnieść sprzeciw wobec przetwarzania swoich danych. Wioleta Szczygielska OCHRONA DANYCH OSOBOWYCH 14 GRUDZIEŃ 2014

7 INSTRUKCJE Jak należy przygotować politykę bezpieczeństwa danych Polityka bezpieczeństwa to jeden z ważniejszych dokumentów, który administrator danych musi przygotować i wdrożyć. Biorąc pod uwagę negatywne konsekwencje braku kontroli nad danymi osobowymi, warto poświęcić temu zagadnieniu czas i środki. Wskazówek, w jaki sposób przygotować politykę bezpieczeństwa, udziela rozporządzenie ministra spraw wewnętrznych i administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. z 2004 r. nr 100, poz. 1024) i wytyczne GIODO. Jest jednak kilka elementów, jak np. opis struktury zbiorów czy sposób przepływu danych pomiędzy poszczególnymi systemami, których przygotowanie może sprawić problemy. Dobrą praktyką przy tworzeniu polityki bezpieczeństwa jest ukształtowanie jej w formie dokumentu głównego z załącznikami. Dzięki temu ADO nie będzie musiał jej podpisywać za każdym razem, gdy zajdzie konieczność wprowadzenia zmian, zmiany można będzie wprowadzić w załącznikach. ABI zaś będzie mógł rzadziej weryfikować ten dokument najczęściej raz w roku podczas okresowej kontroli systemu ochrony danych. Od czego zacząć? KONRAD GAŁAJ- -EMILIAŃCZYK prawnik i administrator bezpieczeństwa informacji w kilkunastu podmiotach sektora prywatnego i publicznego, trener i wykładowca szkoleń, konferencji i seminariów, Coach Inc. Ochrona Danych Osobowych, coach-inc.pl Zgodnie z wytycznymi GIODO polityka bezpieczeństwa musi wyjaśniać podstawową terminologię oraz cel, jakiemu ma służyć. Dokument warto zacząć w następujący sposób: W celu zapewnienia bezpieczeństwa i kontroli nad przepływem danych osobowych w [nazwa podmiotu] wdraża się postanowienia niniejszej polityki bezpieczeństwa. Często stosuje się też odnośniki do innych wewnętrznych dokumentów, jak instrukcja kancelaryjna czy regulamin IT. Dobrą praktyką jest również określenie środków, jakie mają zostać wykorzystane w celu osiągnięcia celu, jakiemu polityka ma służyć. Najczęściej określa się je w następujący sposób: W celu zapewnienia ochrony danych osobowych stosuje się zabezpieczenia fizyczne, organizacyjne oraz techniczne. Powołano administratora bezpieczeństwa informacji dla pełnienia nadzoru nad systemem ochrony danych osobowych. Powyższe zapisy mają na celu jednoznaczne określenie charakteru i zakresu polityki bezpieczeństwa. Osoby odpowiedzialne Polityka bezpieczeństwa powinna jednoznacznie określać, kto jest administratorem danych osobowych oraz kto pełni nadzór nad przestrzeganiem dokumentu w organizacji. Nawet jeśli ABI nie jest wyznaczony, należy jasno opisać prawa i obowiązki osoby odpowiedzialnej za nadzór nad przestrzeganiem dokumentu. Dobrą praktyką jest również umieszczanie w tym miejscu informacji o funkcji Administratora Systemów Informatycznych (ASI) i zakresie jego praw i obowiązków. Obszary przetwarzania Ewidencja obszarów przetwarzania jest pierwszym wymaganym przez rozporządzenie elementem polityki bezpieczeństwa. Najprościej jest ją prowadzić w formie załącznika, gdyż istnieje duże prawdopodobieństwo, że będzie zmieniana częściej niż raz w roku. Są dwie metody opisywania obszaru przetwarzania. Pierwsza zakłada opisywanie wszystkich pomieszczeń w podmiocie wraz z określeniem zastosowanych zabezpieczeń fizycznych (np. pokój nr 9 drzwi zamykane na klucz), organizacyjnych (np. sala konferencyjna procedura kontroli dostępu) oraz informatycznych (np. serwerownia szyfrowanie danych). Druga metoda przewiduje tzw. definicję negatywną. Podajemy np. sam adres (jeżeli zajmujemy cały budynek) lub dodajemy piętro i segment naszej siedziby wraz z wyłączeniem obszarów, które nie stanowią obszaru przetwarzania (np. ul. Marszałkowska 1, Warszawa, piętro I, lokal 3, z wyłączeniem komunikacji oraz pomieszczeń socjalnych). OCHRONA DANYCH OSOBOWYCH 145 GRUDZIEŃ 2014

8 Politykę bezpieczeństwa danych najlepiej przygotować w formie dokumentu głównego wraz z załącznikami Ewidencja obszarów przetwarzania jest najczęściej łączona z ewidencją zbiorów danych osobowych. W praktyce bowiem zbiory są w mniejszym lub większym stopniu związane z obszarami przetwarzania danych. Zbiory danych osobowych Ewidencję zbioru danych osobowych również warto prowadzić w formie załącznika. Powinien on zawierać nazwę zbioru danych w powiązaniu z oprogramowaniem stosowanym do jego przetwarzania (np. zbiór danych osobowych pracowników jest przetwarzany z wykorzystaniem programu Płatnik oraz Symfonia). Dodatkowo zbiór wraz z oprogramowaniem powinien być przypisany do obszaru przetwarzania, tym samym do zabezpieczeń. Każdy zbiór może być przetwarzany zarówno przez jeden, jak i wiele programów jednocześnie. Zgodnie z wytycznymi Generalnego Inspektora Ochrony Danych Osobowych w zakresie szczegółowości określania oprogramowania należy brać pod uwagę nawet moduły poszczególnych programów. UWAGA Dobrą praktyką jest określenie podstawy prawnej przetwarzania zbiorów danych osobowych (art. 23 lub art. 27 ustawy o ochronie danych osobowych). Opis struktury zbiorów Podobnie jak powyższe elementy dokumentacji, opis struktury zbiorów jest obligatoryjny i również najczęściej prowadzi się go w formie załącznika. Tworzy się go w stosunku do każdego wyodrębnionego zbioru danych, podając jego nazwę, sposób przetwarzania danych (wersja papierowa i/lub system informatyczny) oraz wszelkie kategorie gromadzonych danych (np. imiona i nazwiska, miejsce zamieszkania, adres itp.). Jeżeli przetwarzamy dane z wykorzystaniem programu informatycznego, powinniśmy opisać poszczególne pola informacyjne. W przypadku korzystania z komercyjnego oprogramowania należy odnieść się do instrukcji użytkownika lub specyfikacji oprogramowania dostarczanej przez producenta. Problem pojawia się, gdy korzystamy z dedykowanego oprogramowania stworzonego na nasze potrzeby, a producent nie zadbał o takie informacje. W takim przypadku musimy sami stworzyć opracowanie, z którego będą wynikały powiązania pomiędzy poszczególnymi polami informacyjnymi do wypełnienia w programie. Ostatnim, koniecznym elementem opisu struktury zbiorów jest powiązanie danych w kategorie (np. dane dotyczące zamówienia produkt, ilość, numer ID produktu itp. oraz dane dotyczące dostawy imię i nazwisko, adres itp.). Sposób przepływu danych Obowiązkowym elementem polityki bezpieczeństwa jest określenie sposobu przepływu danych pomiędzy poszczególnymi systemami informatycznymi, czyli jednoznaczne określenie, z jakiego do jakiego programu dane przepływają. W praktyce najczęściej załącznik ten stanowi schemat przepływu danych pomiędzy poszczególnymi programami przetwarzającymi dane. Wynika to z faktu, że większość oprogramowania posiada własne bazy zawierające dane osobowe. W zależności od liczby programów wykorzystywanych w naszej jednostce przetwarzających dane osobowe możemy skorzystać z prostego schematu, np. kierunek przepływu danych (np. jednokierunkowo lub dwukierunkowo) sposób przepływu danych (np. automatycznie, półautomatycznie lub manualnie). Jeżeli programów lub ich modułów jest więcej, najłatwiej jest stworzyć rysunek, który bardziej czytelnie będzie obrazował przepływ danych. Dodatkowo należy określić, z którego programu dane są przesyłane za pośrednictwem sieci publicznej Internetu (przykład takiego rysunku na stronie nr 23). Środki techniczne i organizacyjne Ostatnim elementem każdej polityki bezpieczeństwa jest opis środków technicznych i organizacyjnych. Określa on stosowane zabezpieczenia i procedury, które mają zapewnić poufność, integralność i rozliczalność danych osobowych. Z reguły raz przygotowane procedury rzadko się zmieniają, dlatego też jest to element dokumentu głównego, a nie załącznik. Zarówno zabezpieczenia, jak i procedury opisywane w tym dokumencie muszą być adekwatne do zagrożeń. Nie można więc mówić o minimalnym zabezpieczeniu danych osobowych. Typowe zabezpieczenia organizacyjne to: kontrola dostępu, polityka haseł, polityka czystego biurka i czystego ekranu. Jedną z ważniejszych procedur, którą warto wdrożyć, jest instrukcja alarmowa na wypadek incydentu ochrony danych osobowych. Jest to prosty opis postępowania użytkowników w razie np. wycieku danych osobowych. Przykładowa instrukcja na str. 24. Liczba procedur i zakres regulacji najczęściej zależą od wielkości podmiotu i ryzyka, jakie zostało w nim zidentyfikowane. Z tego też względu procedur może być zarówno bardzo dużo, jak i bardzo mało. Oczywiście nie można zapominać o wdrożeniu przygotowanej polityki bezpieczeństwa, co najczęściej jest realizowane przez szkolenie użytkowników (osób upoważnionych). Szablon gotowej polityki bezpieczeństwa można pobrać ze strony: OCHRONA DANYCH OSOBOWYCH 146 GRUDZIEŃ 2014

9 INSTRUKCJE Najczęściej popełniane błędy w związku z ochroną danych Brak kontroli nad zgodami na przetwarzanie danych i niedostosowanie systemu informatycznego do wymogów uodo to tylko niektóre z błędów popełnianych przy przetwarzaniu danych. Ich lekceważenie pociąga za sobą m.in. konsekwencje finansowe. Błędy popełniane przez Administratorów Danych Osobowych to w większości braki w dokumentacji lub brak odpowiednich środków organizacyjno-technicznych służących ochronie danych osobowych. Są też jednak i takie błędy, które mocno ingerują w sposób prowadzenia biznesu oraz takie, które mogą spowodować duże straty finansowe. Przesłanka legalizująca Jednym z poważniejszych uchybień jest brak zapewnienia odpowiedniej i prawidłowej przesłanki legalizującej przetwarzanie danych osobowych. Nieraz zdarza się sytuacja, gdy administrator danych przy organizacji: akcji marketingowej, np. newslettera, konkursu czy loterii, procesu rekrutacji potencjalnych pracowników, sprzedaży danych nierzetelnych dłużników, bazy danych osobowych do sprzedania w celach marketingowych pomija kwestie związane z ochroną danych osobowych. W efekcie okazuje się, że jedyne, co można zrobić legalnie z pozyskanymi danymi, to ich usunięcie, ponieważ nie zapewniono prawidłowej podstawy prawnej ich przetwarzania w celach marketingowych. Spóźniona reakcja Często zagadnienia związane z ochroną danych osobowych nie są doceniane, a ich analiza prowadzona jest na etapie, gdy już niewiele da się naprawić. Ocena prowadzonego procesu zbierania danych osobowych powinna zawsze być jednym z pierwszych elementów badania jej legalności i dopuszczalności. GIODO wielokrotnie podkreślał, aby wszelkie procesy, w których dane osobowe mają być przetwarzane, były konsultowane już na poziomie ich projektowania. PIOTR JANISZEWSKI radca prawny, ekspert ds. ochrony danych osobowych Spółka kapitałowa chciała zbudować bazę marketingową do promocji swoich produktów. Dane miały być pozyskiwane przez zewnętrzne call center za pomocą wychodzących rozmów telefonicznych. Dział prawny spółki opracował prawidłowe klauzule zgód, tj. zgody na przetwarzanie danych osobowych w celach marketingowych oraz zgody na przesyłanie informacji handlowych drogą elektroniczną. Niestety na etapie układania skryptu dla pracowników call center uznano, że obydwie zgody można ze sobą połączyć i zbierać jedną zgodę na przetwarzanie danych osobowych w celach marketingowych oraz przesyłanie informacji handlowych drogą elektroniczną. Po kilku miesiącach pracy call center wypełniło danymi osobowymi prawie 1 milion rekordów bazy danych. Niestety jedna z osób, która zgodziła się pierwotnie podać swoje dane osobowe, zakwestionowała kształt użytych klauzul. Ich analiza doprowadziła do wniosku, że są nieprawidłowe. W związku z tym okazało się, że cała baza danych została zebrana w sposób nielegalny. Pomijając kwestię ewentualnej odpowiedzialności karnej i cywilnej administratora danych, poniósł on ogromne koszty akcji obdzwaniania osób z bazy danych i zbierania tym razem prawidłowych zgód. Kolejnym kosztem okazało się to, że tym razem zgody wyraziło znacznie mniej osób, tj. około 150 tysięcy. Osoby odpowiadające za ochronę danych osobowych (np. Administrator Bezpieczeństwa Informacji) nie mogą dopuścić, by duża i kosztowna akcja zbierania danych była wdrożona bez analizy jej dopuszczalności w świetle wymagań określonych w ustawie o ochronie danych osobowych. Brak zgody Do najczęstszych błędów należy brak kontroli nad tym, kiedy i jakiej treści oświadczenie dotyczące ochrony danych złożyła osoba, której dane są przetwarzane. Prawie w każdym sporze dotyczącym legalności OCHRONA DANYCH OSOBOWYCH 147 GRUDZIEŃ 2014

10 przetwarzania, a konkretniej dopuszczalności wykorzystywania danych w określonym celu, administrator danych jest zobowiązany przez Generalnego Inspektora Ochrony Danych Osobowych (sąd administracyjny lub cywilny) do przedstawienia dowodu, iż posiada odpowiednią zgodę wyrażoną przez klienta. Treść klauzul zgód na przetwarzanie danych osobowych cały czas ewoluuje. Mimo to administrator powinien zapewnić kontrolę i rozliczalność tego, jakiej treści zgodę wyraził klient i kiedy to zrobił. Tylko w ten sposób Administrator Danych Osobowych będzie mógł wykazać, że przetwarza dane na podstawie odpowiedniej przesłanki. Administrator danych stosował wyłącznie papierowe formularze ze zgodami, które nie były wprowadzane do systemu. Posiadał kilkaset tysięcy papierowych nieuporządkowanych formularzy. Aby wykazać przed GIODO, że klient podpisał klauzule zgody, konieczne było zatrudnienie kilku osób, które parę tygodni poszukiwały odpowiedniego formularza. Zgoda została odnaleziona, ale koszt tej operacji był bardzo duży. ADO powinien zapewnić rozliczalność wyrażanych przez klientów zgód. Musi być w stanie wykazać, jakiej treści zgodę wyraził klient oraz kiedy to uczynił (lub w jakim zakresie i kiedy ją odwołał). Osiągnąć to można poprzez rozbudowę systemu informatycznego do zarządzania relacjami z klientem CRM (Customer Relationship Managment) o moduł dotyczący zbieranych i używanych oświadczeń klientów lub chociażby ich skanowanie. W razie potrzeby skany formularzy mogą zostać przetworzone przez oprogramowanie rozpoznające pismo i w ten prosty sposób znajdziemy potrzebny nam dokument. Jeden z salonów samochodowych przy okazji każdego bezpośredniego kontaktu z klientem przedstawiał do podpisu klauzulę zgody na przetwarzanie danych osobowych w celach marketingowych. Raz w roku oświadczenia te były wprowadzane do systemu informatycznego. Nie zawierały jednak daty, w której były składane. Podczas sporu z jednym z klientów okazało się, że administrator nie był w stanie wykazać, czy klient najpierw wyraził zgodę na przetwarzanie danych w celach marketingowych, a przy następnej wizycie odwołał ją poprzez brak zaznaczenia odpowiedniego checkboxa, czy odwrotnie przy pierwszej wizycie nie wyraził zgody, ale przy kolejnej okazji zgodził się na przetwarzanie danych w celach marketingowych. Kolejność złożonych oświadczeń była ważna, ponieważ warunkowała dopuszczalność wykonanej przez administratora wysyłki marketingowej do klienta. System informatyczny Stosowany w jednostce system informatyczny musi spełniać wymogi przepisów o ochronie danych osobowych Częstym i kosztownym błędem jest stosowanie systemów informatycznych, które nie spełniają wymogów przepisów o ochronie danych. Zgodnie z rozporządzeniem do ustawy dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym z wyjątkiem przetwarzania w formie edycji tekstu w celu udostępnienia go na piśmie system ten zapewnia odnotowanie: daty pierwszego wprowadzenia danych do systemu, identyfikatora użytkownika wprowadzającego dane do systemu, chyba że dostęp do niego i przetwarzanych w nim danych posiada wyłącznie jedna osoba, źródła danych, w przypadku zbierania danych, nie od osoby, której one dotyczą, informacji o odbiorcach, w rozumieniu art. 7 pkt 6 ustawy, którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia, chyba że system informatyczny używany jest do przetwarzania danych zawartych w zbiorach jawnych, sprzeciwu, o którym mowa w art. 32 ust. 1 pkt 8 ustawy. Odnotowanie informacji, o których mowa w pkt 1 i 2, powinno nastąpić automatycznie po zatwierdzeniu przez użytkownika operacji wprowadzenia danych. System powinien zapewniać sporządzenie i wydrukowanie raportu zawierającego powyższe informacje. Dostosowanie systemu Wiele kontroli Generalnego Inspektora Ochrony Danych Osobowych kończy się przekazaniem zaleceń dotyczących dostosowania używanych systemów do wymogów ustawy odo. Jeżeli ADO jest właścicielem systemu informatycznego i sam go rozwija, koszt ograniczy się do kosztu pracy pracowników. Jeśli jednak korzysta z systemu na podstawie licencji lub nie ma prawa do wprowadzania do niego poprawek, koszt modyfikacji może sięgać nawet kilkuset tysięcy złotych. Jeśli system nie zostanie dostosowany do wymogów ustawy o ochronie danych osobowych, Generalny Inspektor może nałożyć na grzywnę w wysokości do 200 tys. zł. Jeżeli administrator korzysta z systemu dostarczonego przez podmiot trzeci, powinien zastrzec sobie w umowie z producentem, że gwarantuje on, iż system spełnia aktualne, na czas jego używania, wymogi określone w przepisach oraz zobowiązuje się do dokonania odpowiednich modyfikacji, jeżeli przepisy ulegną zmianie. Taką regulację warto obudować karami umownymi, które będą zachęcały producenta systemu do skutecznych i szybkich działań. Jeśli kod systemu jest zamknięty i w umowie na jego używanie brak regulacji zmuszającej producenta do zapewnienia zgodności z przepisami, trzeba zmienić taką umowę. Producent może to wykorzystać do renegocjowania swojego wynagrodzenia. W takiej sytuacji możemy też zrezygnować z takiego systemu i zastąpić go innym, który będzie spełniał wymogi ustawy o ochronie danych osobowych. OCHRONA DANYCH OSOBOWYCH 148 GRUDZIEŃ 2014

11 INSTRUKCJE Tworzymy instrukcję zarządzania systemem informatycznym Instrukcja zarządzania systemem informatycznym to dokument, który każda jednostka przetwarzająca dane osobowe powinna stworzyć. Przepisy podpowiadają, jak to zrobić, jednak nie można ograniczyć się do przepisania zapisów z rozporządzenia. Obowiązek przygotowania instrukcji zarządzania systemem informatycznym wynika z rozporządzenia ministra spraw wewnętrznych i administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. z 1 maja 2004 r.). Instrukcja obowiązek ADO Do opracowania i wdrożenia instrukcji zobowiązani są wszyscy administratorzy danych, przetwarzający dane z wykorzystaniem systemu informatycznego. W praktyce jest to niemal każdy ADO. Systemy informatyczne zmieniają się bardzo szybko. Rozporządzenie z 2004 roku z pewnością nie przystaje do tych współczesnych i nie uwzględnia aktualnych zagrożeń bezpieczeństwa danych. Jednak wciąż obowiązuje i wszyscy administratorzy zobowiązani są do stosowania się do jego wymagań. UWAGA Wymagania określone w rozporządzeniu są minimalne. Każdy z administratorów powinien dobrać zabezpieczenia adekwatne do zagrożeń i kategorii danych, jakie występują w jego podmiocie. Więcej niż wymaga prawo Rozporządzenie mówi, jakie elementy są wymagane w instrukcji. Nie oznacza to, że nie powinny znaleźć się w niej inne procedury. Instrukcja nie może być przepisanym rozporządzeniem. Trzeba możliwie szczegółowo opisać faktycznie obowiązujące procedury wymienione w rozporządzeniu. Przykładami dodatkowych procedur mogą być: Procedura prowadzenia ewidencji sprzętu i oprogramowania, Procedura zmiany konfiguracji systemu, Procedura prowadzenia testów nowych wersji systemu itd. JAROSŁAW ŻABÓWKA trener, wykładowca, popularyzator zagadnień ochrony danych osobowych, właściciel firmy wieloletni administrator bezpieczeństwa informacji, twórca systemów zarządzania ochroną danych osobowych w małych i dużych przedsiębiorstwach, audytor normy ISO i menedżer systemów informatycznych, autor publikacji i prezentacji branżowych Błędem popełnianym przy tworzeniu instrukcji jest np. ograniczenie się w procedurze nadawania uprawnień do stwierdzenia typu Nadaje się uprawnienia do systemu informatycznego. Należy szczegółowo opisać kolejne kroki, przewidzieć sytuacje nietypowe oraz wskazać osoby odpowiedzialne. Jeżeli uprawnienia nadaje administrator systemu, to powinniśmy to napisać. Może to wyglądać w taki sposób: ABI przekazuje kopię upoważnienia administratorowi systemu kadrowo-płacowego, który tworzy konto użytkownika oraz wprowadza uprawnienia w zakresie zgodnym z upoważnieniem. Tworzenie procedur możemy rozpocząć od przeprowadzenia wywiadów i opisania rzeczywiście funkcjonujących w organizacji toków postępowania. Musimy jednak je przeanalizować i upewnić się, że zapewniają odpowiedni poziom bezpieczeństwa. A także uwzględnić wymagania biznesowe organizacji. Ograniczenia organizacyjne i finansowe nie mogą jednak uzasadniać niezgodnego z prawem przetwarzania danych. Struktura dokumentu Czasami tworzoną dokumentację należy podzielić na kilka części lub przygotować wersje dla osób pracujących na różnych stanowiskach czy w różnych działach. Należy ją przygotować w taki sposób, by każdy z użytkowników systemu informatycznego miał możliwość zapoznania się z obowiązującymi go procedurami. Dokumentacja nie powinna obniżać poziomu bezpieczeństwa danych, dlatego nie udostępniajmy użytkownikom tych informacji, które nie są im niezbędne. Nie każdy pracownik powinien wiedzieć, gdzie są przechowywane kopie bezpieczeństwa. Instrukcja musi być stale aktualizowana. Należy uwzględniać w niej zmiany organizacyjne, modyfikacje systemów informatycznych oraz pojawiające się nowe zagrożenia. OCHRONA DANYCH OSOBOWYCH 149 GRUDZIEŃ 2014

12 Podstawowe elementy instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych Element wymagany zgodnie z 5 rozporządzenia 1) procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności 2) stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem 3) procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu 4) procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania Właściwa zawartość instrukcji Procedury, które tworzymy, powinny obejmować: nadawanie uprawnień dla nowych pracowników, modyfikacje uprawnień spowodowane zmianą stanowiska pracy, modyfikacje uprawnień spowodowane zmianą wersji oprogramowania, odebranie uprawnień zwalnianego użytkownika systemu (zastanówmy się, czy przypadkiem uprawnienia nie powinny być odebrane, zanim pracownik dowie się, że został zwolniony), odebranie uprawnień użytkownikowi systemu, który porzucił pracę, sposób postępowania na wypadek nieobecności administratora systemu, sposób okresowego przeglądu uprawnień, oraz inne specyficzne dla organizacji przypadki. Zawsze należy wskazać, kto odpowiada za wykonanie poszczególnych czynności. W procedurach trzeba opisać, w jaki sposób będzie tworzony i przekazywany użytkownikowi identyfikator. Niezależnie należy stworzyć procedury dotyczące kont administracyjnych. W procedurach musimy uwzględnić wszystkie systemy wykorzystywane do przetwarzania danych. Możemy tworzyć osobne procedury dla poszczególnych systemów lub uwzględnić kilka systemów w jednej procedurze. Opisujemy stosowane metody i środki uwierzytelnienia. Jeżeli do logowania użytkownicy wykorzystują hasła, opisujemy, jak zapewnimy stosowanie haseł o wymaganej przez rozporządzenie złożoności oraz okresową zmianę hasła (wskazujemy, czy jest to wymuszane przez system, czy też użytkownik musi o tym pamiętać samodzielnie). Należy opisać sposób, w jaki użytkownikowi zostanie przekazane pierwsze hasło, oraz sposób postępowania na wypadek zapomnienia hasła. Jeżeli do uwierzytelniania wykorzystywane są inne niż hasło mechanizmy (np. karty procesorowe), również należy opisać stosowane procedury (metodę personalizacji kart, sposób postępowania na wypadek zapomnienia kodu PIN itd.). Tworzymy procedury opisujące sposób rozpoczęcia (włączenie komputera, logowanie do systemu itd.) i zakończenia pracy w systemie przez użytkownika. Należy stworzyć procedurę postępowania na wypadek zawieszenia pracy (np. przy chwilowym opuszczeniu stanowiska pracy). Procedura może zobowiązać użytkownika do wylogowania się z systemu, ale może też nakazać mu jedynie zablokowanie stacji. Jeżeli wykorzystujemy mechanizmy automatycznego blokowanie stacji w razie oddalenia się użytkownika, należy je również opisać. Procedury powinny uwzględniać sposób postępowania na wypadek problemów z logowaniem lub podejrzenia naruszenia bezpieczeństwa. Opisujmy szczegółowo procedury wykonywania kopii zapasowych. Powinny być możliwie szczegółowe i zawierać takie elementy, jak: wskazanie zbiorów danych znajdujących się w poszczególnych kopiach, harmonogram wykonywania kopii poszczególnych zasobów, częstotliwość wykorzystywania poszczególnych nośników, okres lub liczbę wykonanych kopii, po którym nośnik należy poddać testowaniu lub zlikwidować, OCHRONA DANYCH OSOBOWYCH GRUDZIEŃ 2014

13 INSTRUKCJE 5) sposób, miejsce i okres przechowywania: a) elektronicznych nośników informacji zawierających dane osobowe, b) kopii zapasowych, o których mowa w pkt 4 6) sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, o którym mowa w pkt III ppkt 1 załącznika do rozporządzenia 7) sposób realizacji wymogów, o których mowa w 7 ust. 1 pkt 4 8) procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych opis systemu używanego do tworzenia kopii (w wypadku zmiany systemu należy zabezpieczyć starszą wersję do momentu usunięcia kopii stworzonych z wykorzystaniem tego systemu), procedurę przywracania poszczególnych elementów (plików, systemów, baz danych itd.), uwzględniającą niezbędne zasoby oraz czas przywrócenia, procedurę przenoszenia kopii do innych lokalizacji, procedurę testowania poprawności wykonania kopii, procedurę okresowych testów polegających na przywróceniu poszczególnych elementów z kopii, wskazanie osób odpowiedzialnych za poszczególne czynności. Wybierając rozwiązania techniczne oraz opracowując harmonogram szkoleń, powinniśmy brać pod uwagę, czy odtwarzając dane, zapewnimy utrzymanie wymaganych przez biznes parametrów. W szczególności powinniśmy wziąć pod uwagę czasy RTO i RPO. Należy wskazać miejsce i okres przechowywania poszczególnych nośników, dlatego konieczne jest wprowadzenie pełnej ewidencji wykorzystywanych nośników: dysków przenośnych, pendrive ów, kart pamięci, płyt CD/DVD, smartfonów, komputerów przenośnych, taśm streamerów, wymontowanych dysków oraz wszelkich innych nośników wykorzystywanych w organizacji. Administrator Danych Osobowych zawsze musi wiedzieć, jakie dane i od kiedy znajdują się na danym nośniku tylko w ten sposób zagwarantujemy, że spełniona zostanie zasada ograniczenia czasowego. W wypadku kopii zapasowych zaleca się, aby przynajmniej część z nich była przechowywana w innej lokalizacji. Stanowić to będzie zabezpieczenie przed utratą danych na wypadek kradzieży, zalania, pożaru itd. Należy wskazać zainstalowane systemy antywirusowe (oraz inne systemy chroniące przed złośliwym oprogramowaniem), w jaki sposób są zarządzane oraz kto odpowiada za ich poprawne funkcjonowanie. Trzeba opisać, w jaki sposób mają postępować użytkownicy oraz administratorzy systemów w razie wykrycia działania złośliwego oprogramowania. Należy opisać, w jaki sposób odnotowywana jest informacja o odbiorcach, którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia. Zgodnie z omawianym rozporządzeniem w przypadku przetwarzania danych osobowych w co najmniej dwóch systemach informatycznych do tego przeznaczonych informacje te mogą być odnotowywane w jednym z nich lub w odrębnym systemie informatycznym przeznaczonym do tego celu. Należy stworzyć procedury przeglądów i konserwacji systemów uwzględniając zakres i częstotliwość przeglądów oraz wskazać osoby odpowiedzialne. Ponieważ urządzenia i nośniki przekazywane do naprawy pozbawia się wcześniej zapisu danych lub naprawia pod nadzorem, należy to uwzględnić w tworzonej procedurze. Stosowanym w praktyce rozwiązaniem jest zawarcie odpowiedniej umowy powierzenia z dostawcą usług serwisowych. Należy także opisać sposób postępowania w wypadku sprzętu objętego gwarancją. OCHRONA DANYCH OSOBOWYCH GRUDZIEŃ 2014