Podstawowe obowiązki administratora danych osobowych

Transkrypt

1 Podstawowe obowiązki administratora danych osobowych Aby rozważyć kwestie związane z obowiązkami administratora danych, należy rozpocząć od zidentyfikowania tego podmiotu. Administratorem, według ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (dalej: u. o. d. o.), jest: organ, jednostka organizacyjna, podmiot lub osoba decydująca o celach i środkach przetwarzania danych. Mogą to być podmioty publiczne, między innymi : organ państwowy, organ samorządu terytorialnego lub państwowa albo komunalna jednostka organizacyjna, jak również podmioty prywatne: osoby fizyczne, osoby prawne oraz jednostki organizacyjne nie posiadające osobowości prawnej, jeżeli przetwarzają dane w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych (art. 3 ust. 2 ustawy). W praktyce są to przykładowo: banki, hurtownie, sklepy, stowarzyszenia. Za administratora danych nie można jednak uznać każdego dysponenta danych, bowiem w takiej sytuacji pewne sfery ochrony danych znalazłyby się poza prawną ochroną. Sąd Najwyższy dokonał w tej kwestii rozróżnienia[1], na administratora-tu: podmiot decydujący o celach i środkach przetwarzania danych (art.7 pkt4 u. o. d. o.) i administrującego danymi osobowymi, czyli taki podmiot, który zarządza, zawiaduje zbiorem danych lub danymi (art.50-52,54 ustawy). Poniżej skupię się na podstawowych obowiązkach administratora danych osobowych.

2 Przesłanki legalności Każdego rodzaju operacje dokonywane na danych osobowych, jak na przykład ich gromadzenie, przechowywanie, zmienianie czy nawet usuwanie, będące faktycznie ich przetwarzaniem, należy uzasadnić spełnieniem jednego z warunków zawartych w art.23 u. o. d. o. Omawiając kolejno przesłanki legalności przetwarzania danych osobowych, jest ono możliwe, gdy: osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych. Gdy zgoda, jest wymagana, należy przez nią rozumieć oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych, tego, kto składa oświadczenie. Ze względów dowodowych oraz ze względu na wymagania Kodeksu Postępowania Administracyjnego, zaleca się formę pisemną. Następnie przetwarzanie danych jest dopuszczalne, gdy : jest to niezbędne do zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Ten warunek uzasadnia wykorzystywanie danych przez podmioty publiczne, które to działają w ramach określonych przepisami prawa, podejmując czynności w celu wykonania nałożonych na nie zadań i realizacji swoich kompetencji. Następnie przetwarzanie danych jest możliwe, gdy: jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą jak również, gdy: jest to niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego oraz, gdy jest to niezbędne dla wypełniania prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. Warto przy tym dodać, że owym prawnie uzasadnionym celem jest w szczególności marketing własnych produktów lub usług administratora danych bądź dochodzenie roszczeń z

3 prowadzonej przez niego działalności gospodarczej. Podsumowując, aby administrator danych osobowych przetwarzał dane osobowe legalnie, wystarczy by zrealizował jeden z pięciu warunków wyżej wymienionego przepisu. I tak jeśli wykorzystanie danych służy realizacji uprawnienia lub obowiązku określonego w przepisach prawa (art.23 pkt2), zbędnym będzie dodatkowe żądanie zgody osoby na przetwarzanie danych (art.23 pkt1), ani też uzasadnianie, że wykorzystanie danych służy dobru publicznemu (art.23 pkt4). Warto podkreślić, że szczególną sytuacją jest przetwarzanie danych służące realizacji normy prawnej. Przekazanie danych stanowi tu obowiązek, bez którego cel pozyskania danych nie mógłby zostać zrealizowany. Dokumentacja ochrony danych osobowych Administrator danych jest obowiązany następnie do prowadzenia dokumentacji opisującej sposób przetwarzania danych oraz podjęte środki organizacyjne i techniczne, zapewniające ochronę przetwarzanych danych osobowych, odpowiednią do zagrożeń i kategorii danych nią objętych. Na ową dokumentację składają się: polityka bezpieczeństwa, instrukcja zarządzania systemem informatycznym, upoważnienia dla pracowników, ewidencja upoważnień oraz umowy powierzenia przetwarzania danych osobowych. Wymogami formalnymi dotyczącymi Polityki bezpieczeństwa i Instrukcji zarządzania są: a) sporządzenie ich przez Administratora Danych, b) prawidłowe ich podpisanie, c) przechowywanie w formie papierowej lub elektronicznej, d) aktualizowanie i przeglądanie poprawności ich stosowania co najmniej raz w roku, e) zawieranie terminologii, zakresu i celu stosowania w/w dokumentacji.

4 Polityka bezpieczeństwa Zgodnie z 3 i 4 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, administrator danych jest obowiązany do opracowania w formie pisemnej i wprowadzenia do użytku tzw. polityki bezpieczeństwa. Pojecie polityki bezpieczeństwa, należy rozumieć jako zestaw praw, reguł i praktycznych doświadczeń dotyczących sposobu zarządzania, ochrony i dystrybucji danych osobowych wewnątrz określonej organizacji. Tu podkreślić należy, iż polityka bezpieczeństwa powinna odnosić się w sposób wyczerpujący do problemu zabezpieczenia danych osobowych przetwarzanych, tak tradycyjnie, jak i w systemach informatycznych. Jej celem jest wskazanie działań, jakie należy wykonać oraz ustanowienie zasad i reguł postępowania, które należy stosować, aby właściwie zabezpieczyć dane osobowe. I tak informacjami objętymi Polityką bezpieczeństwa są: a) wykazy zbiorów danych, b) opisy struktury tych zbiorów, c) sposoby przepływu danych pomiędzy systemami, d) wykazy budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym dane osobowe są przetwarzane, e) środki techniczne i organizacyjne. Dobór środków bezpieczeństwa, jakie należy zastosować w celu ochrony danych, uzależniony jest od przyjętego dla danego zbioru poziomu bezpieczeństwa danych w systemie informatycznym. Instrukcja zarządzania systemem informatycznym Od administratorów danych przetwarzających dane w systemach informatycznych, wymagane jest opracowanie instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. Zgodnie z 5 rozporządzenia o warunkach technicznych instrukcja ta, powinna zawierać w szczególności: a) procedury nadawania i rejestrowania

5 uprawnień do przetwarzania danych w systemach informatycznych oraz wskazanie osoby odpowiedzialnej za te czynności; b) opis stosowanych metod i środków uwierzytelnienia, c) procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu; d) procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania; e) opis sposobu, miejsca i okresu przechowywania elektronicznych nośników informacji zawierających dane osobowe oraz ich kopii zapasowych, f) opis sposobu zabezpieczania systemów informatycznych przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego; g) opis sposobu realizacji wymogów stawianych systemom informatycznym h) procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych. W przypadku stosowania podwyższonego poziomu bezpieczeństwa instrukcję zarządzania należy rozszerzyć o sposób stosowania środków mających na celu zabezpieczenie danych szczególnie chronionych, przekazywanych poza obszar przetwarzania danych. Jeżeli administrator danych do przetwarzania danych wykorzystuje więcej niż jeden system informatyczny, powinien opracować jedną, ogólną instrukcję zarządzania lub opracować oddzielne instrukcje dla każdego z użytkowanych systemów. Upoważnienia dla pracowników Wymaganym jest, aby instrukcja zawierała reguły nadawania uprawnień do przetwarzania danych i ich rejestrowania w systemie informatycznym, ze wskazaniem osób odpowiedzialnych za te czynności. Ze względu na możliwe przemieszczanie się pracowników wewnątrz organizacji, nie jest konieczne imienne wskazywanie osób odpowiedzialnych. Precyzyjne określenie w

6 instrukcji stanowiska osoby odpowiedzialnej za realizację procedur nie będzie skutkowało koniecznością zmiany instrukcji w każdym przypadku, gdy następuje zmiana na stanowisku, któremu została przypisana odpowiedzialność za realizację procedur. Upoważnienia takie powinny mieć formę pisemną i zawierać nazwę (nazwisko), imię i nazwisko osoby upoważnionej do przetwarzania danych osobowych, datę nadania i ustania upoważnienia, zakres danych, do których osoba ma dostęp oraz nazwę ich zbioru oraz podpis lub pieczątkę administratora danych. Ewidencja upoważnień Prowadzenie ewidencji osób upoważnionych do przetwarzania danych osobowych, jest jednym z obowiązków administratora danych. Ewidencja ta powinna być sporządzona w formie pisemnej ( z podpisem lub pieczątką). Znaleźć się w niej poniższe informacje: a)imię i nazwisko osoby upoważnionej, b) data nadania i ustania upoważnienia, c) zakres upoważnienia do przetwarzania danych, oraz d) identyfikator, w przypadku gdy dane przetwarzane są w systemie informatycznym. Zaznaczyć należy, że osoby upoważnione do dostępu do danych osobowych, są zobowiązane zachować te dane w tajemnicy. Umowy powierzenia przetwarzania danych osobowych Administrator danych może powierzyć przetwarzanie danych osobowych innemu podmiotowi zewnętrznemu, w drodze umowy zawartej na piśmie. Umowa ta zezwala administratorowi danych na skorzystanie z usług wyspecjalizowanych podmiotów zewnętrznych. Oznacza to, że administrator

7 danych osobowych nie musi osobiście wykonywać wszystkich czynności związanych z procesem przetwarzania danych osobowych.. I tak umowa powierzenia dotyczy świadczenia usług o charakterze marketingowym czy też pośrednictwa w sprzedaży usług i towarów, skierowanego do odbiorców indywidualnych. Przykładem jest outsourcing bankowy, gdzie podwykonawca serwisuje sprzęt komputerowy oraz inne nośniki informatyczne, na których zapisane są dane osobowe, przetwarzane przez bank. Umowa powierzenia przetwarzania danych osobowych musi: a) być sporządzona w formie pisemnej, b)określać zakres powierzonych danych oraz cel ich powierzenia do przetwarzania, c)regulować wynagrodzenie, kary umowne, i czas trwania powierzenia, d) zawierać zobowiązanie do wdrożenia środków zabezpieczających, e) przewidywać dopuszczenie do udziału w kontroli GIODO. Warto nadmienić, że powierzając do przetwarzania dane osobowe podmiotowi zewnętrznemu, koniecznym jest zawarcie umowy powierzenia przetwarzania danych osobowych na piśmie. Zgłoszenie baz danych do GIODO Obowiązek zgłoszenia zbioru do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (GIODO) ciąży na administratorze danych. Zgłoszenie zbioru danych osobowych do rejestracji GIODO stanowi regułę określoną w art. 40 u. o. d. o. Zgłoszeniu podlegają takie usystematyzowane zestawy danych, które są zbiorami danych osobowych w rozumieniu art. 7 pkt 1u. o. d. o. Zatem jeżeli podmiot przetwarza dane osobowe w zbiorze jako administrator danych, a jednocześnie nie zachodzi żadna z przesłanek określonych w art. 43 ust. 1 pkt 1 11 ustawy, zwalniająca administratora danych z tego obowiązku, to jest on zobligowany do zgłoszenia tego zbioru do rejestracji GIODO. Zgłoszenia zbioru do rejestracji należy dokonać przed rozpoczęciem przetwarzania danych, czyli przed pierwszą czynnością, jaką administrator może wykonać na danych, tu:

8 przed pozyskaniem pierwszych danych do zbioru. Zgodnie bowiem z art. 46 ust. 1 u. o. d. o., administrator danych może rozpocząć ich przetwarzanie w zbiorze po zgłoszeniu tego zbioru do rejestracji GIODO. Zaświadczenie o zarejestrowaniu zbioru może być wydane na żądanie administratora danych (art. 42 ust. 3 u. o. d. o.). Sytuacja jest odmienna, gdy administrator danych osobowych zamierza przetwarzać tzw. dane wrażliwe, podlegające szczególnej ochronione. Mowa tu o danych przedstawionych w art. 27 ustawy, jako: dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz dane dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym. Zbieranie tego typu danych, może rozpocząć dopiero po zarejestrowaniu zbioru. Nie jest więc możliwe wprowadzenie danych do zbioru danych osobowych zanim Generalny Inspektor dokona jego rejestracji. Artykuł na podstawie opracowania autorstwa Moniki Krajewskiej [1] postanowienie z r., II KKN 438/00