rejestracji zbiorów danych osobowych przez poradnie psychologiczno-pedagogiczne.

Transkrypt

1 Rejestracja zbiorów danych osobowych przez poradnie psychologicznopedagogiczne Opracował: Łukasz Zegarek, prawnik, ekspert kancelarii prawnej Lex Artist specjalizujący się w dziedzinie ochrony danych osobowych Podstawa prawna: Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2016 r. poz. 922), Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 11 grudnia 2008 r. w sprawie wzoru zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (t.j. Dz.U. z 2008 r. Nr 229 poz ze. zm.), Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (t.j. Dz.U. z 2004 r. Nr 100 poz ze zm.). Na każdym administratorze danych, a więc również i na poradni psychologicznopedagogicznej, ciąży obowiązek rejestracji zbiorów danych osobowych w jawnym rejestrze prowadzonym przez Generalnego Inspektora Ochrony Danych Osobowych (GIODO). Obowiązek ten wynika z art. 40 Ustawy o ochronie danych osobowych (uodo), a jego niedopełnienie może wiązać się z poniesieniem odpowiedzialności karnej. Zgodnie bowiem z art. 53 uodo ten, kto będąc do tego obowiązany nie zgłasza do rejestracji zbioru danych, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. Jakie zatem działania powinien podjąć dyrektor poradni, aby nie narazić się na przewidzianą przez przepisy uodo odpowiedzialność? Jakie zbiory danych przetwarzane przez poradnie psychologiczno-pedagogiczne podlegają obowiązkowi zgłoszenia? Czy powołanie Administratora Bezpieczeństwa Informacji (ABI) ma wpływ na obowiązek zgłoszenia zbiorów danych? Jak wreszcie poprawnie wypełnić wniosek rejestracyjny? Odpowiedź na te i inne pytania znajdą Państwo w niniejszym artykule poświęconym w całości kwestii rejestracji zbiorów danych osobowych przez poradnie psychologiczno-pedagogiczne. Krok 1. Identyfikacja zbioru Przedmiotem zgłoszenia jest zbiór danych osobowych. Pierwszy krok, jaki należy zatem podjąć na etapie poprzedzającym rejestrację, to wyodrębnienie wszystkich zbiorów danych przetwarzanych przez poradnię. Zgodnie z art. 7 pkt 1 uodo zbiorem danych jest każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie. W związku z tym, że każdy podmiot jest inny i w zależności od przyjętego modelu funkcjonuje inaczej, nie jest możliwe stworzenie uniwersalnej, zamkniętej listy zbiorów danych, występujących w każdej poradni. Biorąc jednak pod uwagę przedmiot działalności poradni, możemy wyróżnić przykładowe zbiory danych, które przetwarzają tego typu placówki, są to m.in.: zbiór Pracownicy obejmujący nie tylko dane osób zatrudnionych w ramach stosunku pracy (np. na podstawie umowy o pracę), ale również w ramach zatrudnienia cywilnoprawnego (np. na podstawie umowy o dzieło czy też umowy zlecenia), zbiór Rejestr korespondencji obejmujący dane nadawców i odbiorców korespondencji,

2 zbiór Kontrahenci obejmujący dane osobowe podmiotów świadczących usługi na rzecz poradni, zbiór Osoby korzystające z pomocy poradni obejmujący dane klientów zgłaszających się do poradni (dzieci, uczniów, ich rodziców/opiekunów prawnych). Tak jak zaznaczono powyżej, wyliczenie to należy traktować pomocniczo i zostało ono przedstawione w celu zobrazowania pojęcia zbiór danych osobowych. Kolejnym etapem, po wyodrębnieniu zbiorów przetwarzanych przez poradnię jako ich administratora, jest wyłonienie spośród nich zbiorów podlegających rejestracji. Wyjątki, które zwalniają z obowiązku rejestracji, zostały wymienione w art. 43 ust. 1 i 1a uodo. Ponieważ ich katalog jest dość szeroki, wymienimy tylko te przypadki, które mogą znaleźć zastosowanie w poradniach. I tak, zgodnie z powołanym wyżej artykułem uodo, z obowiązku rejestracji zwolnieni są m.in. administratorzy danych: przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się (art. 43 ust. 1 pkt 4 uodo), przetwarzanych w zbiorach, które nie są prowadzone z wykorzystaniem systemów informatycznych, z wyjątkiem zbiorów zawierających tzw. dane wrażliwe, czyli np. dane o stanie zdrowia (art. 43 ust. 1 pkt 12 uodo). Od 1 stycznia 2015 r. obowiązkowi rejestracji zbiorów danych osobowych, z wyjątkiem zbiorów zawierających dane wrażliwe, nie podlegają również administratorzy danych, którzy powołali Administratora Bezpieczeństwa Informacji i zgłosili go Generalnemu Inspektorowi do rejestracji (art. 43 ust. 1a uodo). Każde z wyżej wymienionych zwolnień będzie miało znaczenie w kontekście wcześniej podanych przykładów zbiorów, które mogą być przetwarzane przez poradnię jako ich administratora. Zbiór Pracownicy podlegał będzie zwolnieniu wskutek przetwarzania w nim danych w związku z zatrudnieniem u administratora danych. Zbiór Rejestr korespondencji skorzysta ze zwolnienia, jeżeli będzie przetwarzany w formie papierowej lub, w przypadku wykorzystania systemu informatycznego, jeżeli w poradni powołano ABI-ego. Ze zwolnienia w związku z powołaniem Administratora Bezpieczeństwa Informacji może skorzystać również zbiór Kontrahenci. Natomiast zbiorem, który bezwzględnie podlegał będzie rejestracji, jest zbiór Osoby korzystające z pomocy poradni z uwagi na przetwarzanie w nim danych wrażliwych (m.in. stan zdrowia, orzeczenia wydane w postępowaniu sądowym lub administracyjnym). Krok 2. Wypełnienie wniosku Zgłoszenia zbioru danych osobowych należy dokonać na formularzu, którego wzór stanowi załącznik do Rozporządzenia Ministra Spraw Wewnętrznych i Administracji w sprawie wzoru zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych. Wniosek rejestracyjny składa się z 6 części (od A do F). Przed rozpoczęciem wypełniania zgłoszenia należy określić, czego ono dotyczy, poprzez zakreślenie właściwego pola odpowiadającego rodzajowi zgłoszenia. Możliwości, a co za tym również i pola, są trzy. Pierwsze pole dotyczy przypadku, gdy administrator danych zgłasza nowy zbiór danych

3 osobowych. Drugie pole dotyczy zgłoszenia zmian zaistniałych po zgłoszeniu zbioru danych osobowych do rejestracji. Trzecie pole dotyczy przypadku, gdy administrator danych zgłasza nowy zbiór danych osobowych, w którym są przetwarzane dane wrażliwe. Po zaznaczeniu właściwego pola możemy przejść do dalszej części zgłoszenia. Część A. Nazwa zbioru danych Administrator danych, czyli poradnia psychologiczno-pedagogiczna (pamiętajmy, że dyrektor poradni jest tylko osobą ją reprezentującą!), zobowiązany jest do określenia nazwy zgłaszanego zbioru. Powinna być ona zwięzła i adekwatna do rodzaju przetwarzanych w nim danych osobowych. Część B. Charakterystyka administratora danych Część B stanowi charakterystykę podmiotu dokonującego zgłoszenia. Jest nim administrator danych, a więc w naszym przypadku poradnia psychologiczno-pedagogiczna. W polu dotyczącym wnioskodawcy wpisujemy zatem pełną nazwę placówki, dokładny adres i numer REGON. Kolejny punkt odnosi się do przedstawiciela wnioskodawcy (obowiązek jego wyznaczenia spoczywa na podmiocie niemającym siedziby/miejsca zamieszkania w państwie należącym do Europejskiego Obszaru Gospodarczego). Zatem w przypadku poradni mających siedzibę w Polsce, pole to pozostawiamy puste lub je przekreślamy. W kolejnym fragmencie wniosku musimy podać informacje dotyczącą tego, czy poradnia powierza lub też czy planuje powierzyć przetwarzanie danych osobowych zawartych w zgłaszanym zbiorze. W przypadku powierzenia danych innemu podmiotowi należy w punkcie tym podać nazwę i siedzibę podmiotu, któremu powierzono przetwarzanie danych osobowych. Poradnia powierza dane np. w sytuacji, gdy korzysta z usług firmy zewnętrznej zajmującej się konserwacją i wykonywaniem kopii zapasowych systemów informatycznych wykorzystywanych przez placówkę. Podmiot ten będzie miał bowiem dostęp do przetwarzanych przy ich użyciu danych. Warto podkreślić, iż w takim wypadku przepisy nakładają na poradnię obowiązek zawarcia pisemnej umowy powierzenia przetwarzania danych, spełniającej wymogi określone w art. 31 uodo. Inną sytuacją związaną z powierzaniem przetwarzania danych osobowych jest korzystanie przez daną placówkę z usług biura rachunkowego lub pomocy kancelarii prawnych (wówczas podmioty te uzyskują dostęp do określonych danych osobowych, np. pracowników czy klientów lub kontrahentów poradni). Czwarty element części B dotyczy niezwykle ważnej kwestii, a mianowicie podstawy prawnej upoważniającej do przetwarzania danych zawartych w zgłaszanym zbiorze. Przesłanki, których spełnienie legalizuje dokonywanie operacji na danych osobowych, zostały wymienione w art. 23 uodo. Należą do nich: zgoda osoby, której dane dotyczą (chyba że chodzi o usunięcie danych), niezbędność dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa, konieczność realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub niezbędność do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą,

4 niezbędność do wykonania określonych prawem zadań realizowanych dla dobra publicznego, niezbędność dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. Dla przykładu, przesłanką legalizującą przetwarzanie danych ze zbioru Osoby korzystające z pomocy poradni jest przepis prawa (Ustawa o systemie oświaty). Prowadząc rejestr korespondencji, poradnie najczęściej powołują się na wypełnianie prawnie usprawiedliwionych celów. Z kolei przetwarzając dane zawarte w zbiorze Kontrahenci, przeważnie odwołujemy się do konieczności realizacji umowy. Warto podkreślić, iż spełnienie już jednej przesłanki pozwala na zgodne z prawem przetwarzanie danych zawartych w konkretnym zbiorze. Część C. Zakres i cel przetwarzania danych Kolejna część wniosku odnosi się do 3 elementów, a mianowicie: celu przetwarzania danych, opisu kategorii osób, których dane dotyczą, zakresu przetwarzanych danych. Celem przetwarzania danych może być przykładowo realizacja obowiązków określonych w przepisach prawa (w odniesieniu do zbioru Osoby korzystające z pomocy poradni ), prowadzenie ewidencji korespondencji przychodzącej i wychodzącej (w stosunku do zbioru Rejestr Korespondencji) czy też współpraca z dostawcami towarów i usług dla poradni (w przypadku zbioru Kontrahenci ). Przykładowymi kategoriami osób, których dane dotyczą, będą np. odpowiednio klienci zgłaszający się do poradni (dzieci, uczniowie, ich rodzice/opiekunowie prawni), nadawcy i odbiorcy korespondencji oraz osoby fizyczne reprezentujące podmioty dostarczające towary i usługi dla poradni. W punkcie 7 i 8 tej części wniosku musimy wskazać, jakie kategorie danych wchodzą w skład rejestrowanego zbioru. Najpierw zaznaczamy te, które wymieniono w punkcie 7, a następnie w punkcie 8 wypisujemy pozostałe, które nie znalazły się w przykładowym katalogu z punktu 7. Punkty 9 i 10 części C wniosku wypełniamy wyłącznie wtedy, gdy rejestrowany przez nas zbiór zawiera tzw. dane wrażliwe (zostały one wymienione w art. 27 uodo i tak jak wcześniej wspomniano, zaliczymy do nich m.in. stan zdrowia oraz orzeczenia wydane w postępowaniu sądowym lub administracyjnym). Pamiętajmy, iż wówczas na samym początku wniosku musimy zaznaczyć ostatnią rubrykę (a zatem konieczne jest wskazanie, że chcemy zarejestrować zbiór zawierający dane określone w art. 27 uodo). Rejestrowanym przez poradnie zbiorem zawierającym dane wrażliwe będzie np. zbiór zawierający dane osobowe osób korzystających z pomocy placówki. Część D. Sposób zbierania oraz udostępniania danych osobowych

5 Ta część wniosku rejestracyjnego dotyczy sposobu zbierania i udostępniania danych ze zbioru. Dane mogą być zbierane bezpośrednio od osób, których one dotyczą i/lub z innych źródeł. Obie metody zatem nie wykluczają się. Punkty 12 i 13 wniosku są ze sobą powiązane, odnoszą się bowiem do kwestii udostępniania danych. Wyjaśnienia wymaga w tym miejscu, iż termin udostępnianie nie jest tożsamy z powierzaniem. Udostępniając dane innemu podmiotowi, przekazujemy je i jednocześnie tracimy nad nimi kontrolę. Natomiast powierzenie danych nie skutkuje utratą kontroli nad danymi. Inaczej określamy też podmioty zewnętrzne. W odniesieniu do udostępniania danych mówimy o odbiorcy danych, z kolei w przypadku powierzenia o przyjmującym w powierzenie lub inaczej procesorze. Pole 14 wypełniamy tylko w sytuacji, gdy dane są przekazywane do państwa nienależącego do Europejskiego Obszaru Gospodarczego. Punkt ten w przypadku poradni pozostaje zazwyczaj pusty. Część E. Opis środków technicznych i organizacyjnych zastosowanych w celach określonych w art uodo Kolejna część zgłoszenia dotyczy środków technicznych i organizacyjnych, jakie zastosowano w poradni w celu zabezpieczenia przetwarzanych danych. W punkcie 15 należy wskazać sposób, w jaki dane ze zgłaszanego zbioru są przetwarzane. Podpunkt a): przetwarzanie danych centralnie zachodzi, gdy dane zlokalizowane są (zarówno te w wersji papierowej, jak i elektronicznej) w jednym pomieszczeniu lub jednym budynku, przetwarzanie danych w architekturze rozproszonej oznacza, iż dane znajdują się przykładowo na kilku serwerach w różnych budynkach. Podpunkt b) w nim zaznaczamy, czy przetwarzamy dane wyłącznie w wersji papierowej, czy też z użyciem systemu informatycznego (zwróćmy uwagę, iż możemy tu zaznaczyć tylko jedną odpowiedź). Podpunkt c) odnosi się on do kwestii używania systemu informatycznego, który jest połączony z siecią publiczną (udzielona odpowiedź będzie miała znaczenie dla poziomu środków bezpieczeństwa, gdyż połączenie ze wskazaną siecią skutkuje obowiązkiem zastosowania środków na poziomie wysokim). Punkt 16 odnosi się ściśle do wymogów określonych w art uodo. Zatem wszystkie punkty od a) do d) muszą być zaznaczone. Ale uwaga, w punkcie 16 a) możemy zaznaczyć wyłącznie jedną rubrykę. Fragment ten odnosi się do Administratora Bezpieczeństwa Informacji. Warto zwrócić na to uwagę, gdyż bardzo często wypełniając wniosek, możemy nieopatrznie zaznaczyć w punkcie 16 a) dwie odpowiedzi, które przecież wzajemnie się wykluczają. Oczywiście poradnie mogą wprowadzać również dodatkowe środki zwiększające bezpieczeństwo przetwarzanych danych. Jeśli taka sytuacja ma miejsce, należy zaznaczyć

6 rubrykę w punkcie 16 f) i wskazać dokładnie, jakie środki zastosowano (np. wyznaczono Administratora Systemów Informatycznych). Część F. Informacja o sposobie wypełnienia warunków technicznych i organizacyjnych, o których mowa w Rozporządzeniu Ministra Spraw Wewnętrznych i Administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych Ostatni fragment wniosku odnosi się do systemów informatycznych, jakie poradnia wykorzystuje do przetwarzania danych ze zbioru. W tym przypadku należy wskazać poziom środków bezpieczeństwa zastosowanego przez placówkę. Możliwości są trzy: poziom podstawowy, poziom podwyższony, poziom wysoki. Podleganie określonemu poziomowi wynika z kategorii przetwarzanych danych osobowych oraz występujących zagrożeń. I tak: jeżeli przetwarzamy tzw. dane wrażliwe, należy zastosować środki bezpieczeństwa przynajmniej na poziomie podwyższonym, w przypadku, gdy przynajmniej jedno urządzenie systemu informatycznego służącego do przetwarzania danych osobowych połączone jest z siecią publiczną należy stosować środki na poziomie wysokim. W pozostałych przypadkach wystarczające jest zastosowanie środków bezpieczeństwa na poziomie podstawowym. Oczywiście, jeśli podlegamy konkretnemu poziomowi, możemy zastosować środki przewidziane dla wyższego poziomu. Opis poszczególnych środków przewidzianych dla danego poziomu stanowi załącznik do Rozporządzenia Ministra Spraw Wewnętrznych i Administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Ostatnim elementem wypełniania wniosku jest złożenie podpisu i podbicie pieczątki przez osobę reprezentującą administratora danych, a więc dyrektora poradni. Bez tego albo wniosek nie zostanie przyjęty, albo GIODO wystosuje pismo wzywające do usunięcia braków, pod rygorem pozostawienia pisma bez rozpoznania. Wypełniony wniosek rejestracyjny można przesłać pocztą lub złożyć osobiście w Biurze Generalnego Inspektora Ochrony Danych Osobowych (ul. Stawki 2, Warszawa). Zgłoszenia można dokonać także drogą elektroniczną z użyciem bezpiecznego podpisu elektronicznego. Zgłoszenia można również dokonać drogą elektroniczną bez użycia podpisu elektronicznego, a następnie uzupełnić zgłoszenie w formie papierowej. Aplikacja umożliwiająca skuteczne dokonanie zgłoszenia drogą elektroniczną znajduje się na stronie internetowej GIODO pod adresem Aplikacja ta jest bardzo pomocna, wymusza bowiem podanie informacji, które zgodnie z przepisami powinny znaleźć się w zgłoszeniu, a dodatkowo uniemożliwia podanie informacji nieprecyzyjnych lub

7 sprzecznych (dzięki systemowi podpowiedzi i komunikatów o popełnionych błędach). Jeśli zatem dysponujemy podpisem elektronicznym, warto skorzystać z tej drogi wypełniania i zgłoszenia wniosku. Krok 3. Rozpoczęcie przetwarzania Zgodnie z art. 46 ust. 1 uodo administrator danych może rozpocząć przetwarzanie danych w zbiorze dopiero po zgłoszeniu tego zbioru do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych. Oznacza to, że zgłoszenia zbioru do rejestracji należy dokonać jeszcze przed rozpoczęciem przetwarzania danych, czyli przed dokonaniem pierwszej czynności na danych, tj. przed pozyskaniem pierwszych danych do zbioru. Jednakże gdy poradnia zamierza przetwarzać w zbiorze tzw. dane wrażliwe, to zbieranie tego typu danych, zgodnie z art. 46 ust. 2 uodo, można rozpocząć dopiero po zarejestrowaniu zbioru, chyba że ustawa zwalnia z tego obowiązku. Inaczej mówiąc, w takiej sytuacji placówka musi zaczekać do momentu, gdy otrzyma zaświadczenie o zarejestrowaniu określonego zbioru danych i dopiero z tą chwilą może rozpocząć dokonywanie jakichkolwiek operacji na danych. W praktyce jednak rzadko zdarza się, że administratorzy danych zgłaszają jeszcze puste zbiory danych. Mało prawdopodobne jest, aby GIODO nałożył na poradnię karę, w sytuacji kiedy zbiór zostanie zgłoszony do rejestracji już po rozpoczęciu przetwarzania zawartych w nim danych. Niemniej jednak poradnie nie powinny odkładać rejestracji zbiorów na później. Złożenie wniosków rejestracyjnych zbiorów danych podlegających ujawnieniu w rejestrze GIODO, powinno nastąpić możliwie jak najszybciej od momentu rozpoczęcia gromadzenia danych. GIODO co do zasady nie wydaje zaświadczeń potwierdzających rejestrację zbioru. Wyjątek stanowi rejestracja zbiorów obejmujących tzw. dane wrażliwe. Wówczas, po dokonaniu rejestracji takiego zbioru, Generalny Inspektor wydaje administratorowi danych zaświadczenie o zarejestrowaniu zbioru. Zaświadczenie o rejestracji zbioru obejmującego dane zwykłe może być wydane na żądanie administratora danych. Na administratorze danych osobowych spoczywa również obowiązek zgłaszania do GIODO każdej zmiany informacji zawartej w zgłoszeniu. Aktualizacji należy dokonać w terminie 30 dni od dnia dokonania zmiany. Obowiązek ten dotyczy np. zmiany nazwy administratora danych, adresu jego siedziby czy zakresu danych osobowych przetwarzanych w zbiorze. Jeżeli zmiana informacji odnośnie opisu kategorii osób, których dane dotyczą i zakresu przetwarzanych danych dotyczy rozszerzenia zakresu przetwarzanych danych o dane wrażliwe, zmianę należy zgłosić jeszcze przed jej dokonaniem. Do zgłaszania zmian stosuje się odpowiednio przepisy o rejestracji zbioru danych. Dla poradni oznacza to przede wszystkim to, iż zgłoszenia zmian dokonuje na tym samym formularzu, który służy do zgłoszenia zbioru danych do rejestracji. Podsumowanie Zgłoszenie zbiorów danych w rejestrze prowadzonym przez GIODO jest jednym z warunków, jaki należy spełnić, aby przetwarzać dane osobowe zgodnie z prawem. W odniesieniu do poradni psychologiczno-pedagogicznych, zwłaszcza tych, w których

8 powołano i zgłoszono do rejestracji Administratora Bezpieczeństwa Informacji, wiele zbiorów będzie podlegało zwolnieniu z omawianego obowiązku. Pozostałe należy zgłosić, wypełniając wniosek rejestracyjny, co wbrew pozorom nie jest zadaniem trudnym. Jak pokazała lektura niniejszego artykułu, wystarczy bardzo dokładnie czytać poszczególne elementy zgłoszenia. W przypadku wątpliwości warto również skorzystać z platformy a także materiałów informacyjnych zamieszczonych na portalu informacyjno-edukacyjnym