1
Najważniejsze akty prawne: 1. Ustawa o ochronie danych osobowych 2. Rozporządzenie do art. 39a ustawy o ochronie danych osobowych 3. Rozporządzenie w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji 4. Rozporządzenie w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych 5. Prawo wspólnotowe (nadchodzące rozporządzenie Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych (ogólne rozporządzenie o ochronie danych) Ustawa o ochronie danych osobowych Weszła w życie z dniem 30 kwietnia 1998 roku Zostały opracowane dwa teksty jednolite jeden w 2002 roku (Dz.U. 2002 nr 101 poz. 926), drugi zaś w roku 2014 (Dz.U. 2014 nr 0 poz. 1182), od 2015 roku weszła jednak w życie nowelizacja zawarta w ustawie o ułatwieniu wykonywania działalności gospodarczej a zatem najnowszy tekst jednolity z września 2014 roku jest już nieaktualny. Zawiera regulacje obowiązków administratorów danych osobowych oraz praw przysługujących osobom, których dane są przetwarzane Określa ramy funkcjonowania GIODO (Generalnego Inspektora Ochrony Danych Osobowych) 2
Definicje zawarte w ustawie o ochronie danych osobowych ADO - Administrator Danych Osobowych, czyli organ, jednostka organizacyjna, podmiot lub osoba, o których mowa w art. 3, decydujące o celach i środkach przetwarzania danych osobowych; ABI - Administrator Bezpieczeństwa Informacji, czyli osoba, wyznaczona w ramach struktury organizacyjnej ADO jako osoba nadzorująca prawidłowość przetwarzania danych osobowych Zbiór danych - Zgodnie z art. 7 pkt 1: każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie Przetwarzanie danych - Zgodnie z art. 7 pkt 2: jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych 3
Rozporządzenie w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych z 29 kwietnia 2004 roku Weszło w życie z dniem 1 maja 2004 roku Ustala formalne wymagania, jakie spełniać muszą: Polityka Bezpieczeństwa Instrukcja Zarządzania Systemem Informatycznym Określa wymagania w zakresie warunków, jakie musi spełniać hasło do systemu, w którym przetwarzane są dane osobowe w zależności od przyjętego poziomu bezpieczeństwa Poziomy bezpieczeństwa określone w rozporządzeniu do art. 39a Rozporządzenie w 6 przewiduje: Poziom podstawowy, stosuje się tylko w sytuacji, gdy nie są przetwarzane dane wrażliwe oraz żadne z urządzeń systemy informatycznego nie ma połączenia z siecią publiczną. Poziom podwyższony stosuje się, gdy przetwarzane są dane wrażliwe (art. 27 uodo), ale jednocześnie żadne z urządzeń w systemie informatycznym nie ma połączenia z siecią publiczną Poziom wysoki: stosuje się, gdy przynajmniej jedno urządzenie systemu informatycznego, służącego do przetwarzania danych osobowych, połączone jest z siecią publiczną. 4
Konsekwencje poziomów bezpieczeństwa Na poziomie podstawowym, hasło musi mieć co najmniej 6 znaków i być zmieniane nie rzadziej niż co 30 dni (Załącznik A do rozporządzenia) Na poziomie podwyższonym oraz wysokim hasło musi mieć, co najmniej 8 znaków, zawierać małe i wielkie litery oraz cyfry lub znaki specjalne i także być zmieniane nie rzadziej, niż co 30 dni (Załącznik B do rozporządzenia) Dokładne wymagania odnoszące się do konsekwencji trzech wymienionych poziomów bezpieczeństwa zawarte są w załącznikach (A, B oraz C do rozporządzenia) DOKUMENTY WYMAGANE PRZEZ ROZPORZĄDZENIE Spełnij obowiązki ochrony danych wybierając zestaw dokumentacji ze wsparciem prawnym za 99 zł netto + 23% VAT lub wersję rozszerzoną Dokumentacji z Instrukcją rejestracji zbiorów do GIODO i wsparciem prawnym w tym zakresie za 199 zł netto + 23% GRATIS! Aplikacja do zarządzania systemem ochrony danych osobowych oraz materiały szkoleniowe! Zapraszamy do zapoznania się z ofertą na stronach sklepu RBDO >> 5
Dokumenty wymagane przez rozporządzenie Polityka Bezpieczeństwa Polityka bezpieczeństwa, która powinna zawierać w szczególności: 1. wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe; 2. wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych; 3. opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi; 4. sposób przepływu danych pomiędzy poszczególnymi systemami; 5. określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczności przetwarzanych danych. 6
Dokumenty wymagane przez rozporządzenie- Instrukcja Instrukcja Zarządzania Systemem Informatycznym służącym do przetwarzania danych osobowych powinna zawierać w szczególności: 1. procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialne za te czynności; 2. stosowane metody i Środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem; 3. procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu; 4. procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narządzi programowych służących do ich przetwarzania; 5. sposób, miejsce i okres przechowywania: a) elektronicznych nośników informacji zawierających dane osobowe, b) kopii zapasowych, o których mowa w pkt 4, 6. sposób zabezpieczenia systemu informatycznego przed działalności oprogramowania, o którym mowa w pkt III ppkt1 załącznika do rozporządzenia; 7. sposób realizacji wymogów, o których mowa w 7 ust. 1 pkt 4 rozporządzenia 8. procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych. 7
Ewidencja osób upoważnionych Obowiązek prowadzenia ewidencji osób upoważnionych do przetwarzania danych wynika z art. 39 ust.1: Administrator danych prowadzi ewidencję osób upoważnionych do ich przetwarzania, która powinna zawierać: 1. imię i nazwisko osoby upoważnionej; 2. datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych; 3. identyfikator, jeżeli dane są przetwarzane w systemie informatycznym. Ustawa nie określa obowiązkowej formy upoważnienia do przetwarzania danych Umowa powierzenia przetwarzania danych Art. 31 uodo przewiduje możliwość powierzenia przetwarzania przez administratora danych w drodze pisemnej umowy podmiotowi zewnętrznemu Warunki, jakie musi spełniać umowa powierzenia przetwarzania: Pisemność Określenie celu powierzenia Określenie zakresu powierzenia 8
Konsekwencje zawarcia umowy powierzenia przetwarzania danych osobowych W wyniku zawarcia umowy powierzenia, administrator danych (np. firma będąca klientem biura rachunkowego lub doradcy podatkowego) przekazuje: w określonym celu (np. prowadzenie rozliczeń, sprawozdawczości finansowej etc.) w określonym zakresie (np. imiona, nazwiska, adresy, numery rachunków bankowych) dane z określonego zbioru danych (klientów lub pracowników) podmiotowi przetwarzającemu (np. biuro rachunkowe lub doradca podatkowy), który na tej podstawie staje się odpowiedzialny tak jak administrator danych, nie stając się jednak administratorem danych Dane wrażliwe Dane potocznie określane mianem danych wrażliwych, to dane określone w katalogu zamkniętym art. 27 uodo, należą do nich dane o: pochodzeniu rasowym lub etnicznym, poglądach politycznych, przekonaniach religijnych lub filozoficznych, przynależności wyznaniowej, partyjnej lub związkowej, o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym. Zasadą jest zakaz przetwarzania wyżej wymienionych kategorii danych, chyba, że spełniona jest którakolwiek z przesłanek określonych w art. 27 ust.2 uodo 9
Obowiązek zgłoszenia zbioru danych do rejestru prowadzonego przez GIODO Każdy zbiór danych osobowych trzeba zgłosić do rejestru prowadzonego przez GIODO chyba, że w danym przypadku zachodzi którakolwiek z podstaw do zwolnienia z tego obowiązku określona w art. 43 uodo W przypadku przetwarzania zbioru danych osobowych, który nie jest zwolniony z obowiązku zgłoszeniowego, zgłoszenia najprościej dokonać korzystając z oficjalnego, urzędowego serwisu egiodo, generując formularz zgłoszeniowy i wysyłając go do GIODO w formie papierowej lub elektronicznej Legalność przetwarzania zbioru danych zwykłych następuje z chwilą zgłoszenia, a zbioru danych wrażliwych dopiero z chwilą dokonania wpisu zgłoszonego zbioru do rejestru przez GIODO W przypadku przetwarzania zbiorów podlegających zgłoszeniu do GIODO, od 1 stycznia 2015 roku, administrator danych ma wybór zgłoszenia zbioru lub ABI do GIODO poniżej możliwe warianty wdrożeń: 1. z powołaniem ABI (lub Pełnomocnika ADO) wówczas zamów kompleksowe wdrożenie ze szkoleniem + 12 m-cy wsparcia prawnego 2690 z ł netto + 23% VAT 2. bez powołanego ABI wówczas zamów audyt z dokumentacją i rejestracją zbiorów do GIODO 699 zł netto + 23% VAT 3. bez powołanego ABI (opcja ekonomiczna) zamów dokumentację z Instrukcją zgłoszenia do GIODO w ofercie za 199 zł netto + 23% VAT 10
Zbiory danych podlegające rejestracji do GIODO (przykładowa lista): zbiory danych Klientów (zawierające dowolne dane teleadresowe) dane korespondencyjne Klientów elektroniczne rejestry korespondencji (szkół, firm, jednostek organizacyjnych) bazy Newsletter bazy konkursowe rejestry wysyłkowe towarów rejestry reklamacji beneficjenci działań stowarzyszenia/klubu zbiory danych darczyńców rejestry uczniów, którzy wypełniają obowiązek szkolny poza daną szkołą uczestnicy konkursów międzyszkolnych zbiór danych osobowych czytelników czytelni listy akcjonariuszy (jeśli są tam osoby fizyczne) księgi gości, księgi meldunkowe rezerwacje imienne usług wszelkie inne dane osobowe, które nie podlegają zwolnieniu Polecanym rozwiązaniem regulującym wszystkie elementy przetwarzania danych podlagających rejestracji do GIODO jest wdrożenie dokumentacji przetwarzania danych osobowych dla firm z Instrukcją zgłoszenia do GIODO w cenie 199 zł netto + 23% VAT wraz z pełnym wsparciem prawnym ekspertów RBDO w razie wątpliwości. Zamówienie można złożyć na stronie sklepu http://rbdo.pl/sklep/ lub przesyłając dane do Faktury Pro Forma na biuro@rbdo.pl 11
Najczęstsze błędy przy zgłaszaniu zbiorów do GIODO Zaznaczanie nieobowiązkowych pól Załączanie do wysyłanego wniosku dokumentacji wewnętrznej (Polityka Bezpieczeństwa, Instrukcja Zarządzania itd.) Wysyłanie wniosku jedynie drogą elektroniczną w przypadku wybrania wariantu bez podpisu elektronicznego nie wnosząc do GIODO wniosku w wersji papierowej z odręcznym podpisem Zwolnienia z obowiązku zgłaszania zbioru do GIODO Zwolnieni z obowiązku rejestracji zbiorów są administratorzy zbiorów danych: przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej; (pkt 8) powszechnie dostępnych przetwarzanych w zakresie drobnych bieżących spraw życia codziennego; przetwarzanych w zbiorach, które nie są prowadzone z wykorzystaniem systemów informatycznych, (jeżeli nie są to dane wrażliwe) Dodatkowo, o ile nie przetwarza się danych wrażliwych, nie trzeba zgłaszać zbiorów danych do GIODO, jeżeli wyznaczyło się i zarejestrowało ABI 12
Funkcja Administratora Bezpieczeństwa Informacji (ABI) Każdy administrator danych osobowych (ADO) może wyznaczyć ABI, nie jest to jednak obowiązkowe Plusem wyznaczenia ABI jest brak obowiązku zgłaszania zbioru do GIODO (co ma znaczenie, jeżeli ktoś nie jest zwolniony z tego obowiązku na podstawi art. 43 ust. 1) Minusem wyznaczenia ABI jest obowiązek jego zgłoszenia do imiennego rejestru, obowiązek prowadzenia jawnego rejestru przetwarzanych danych osobowych (np. na stronie internetowej) oraz sporządzania szczegółowych raportów ze sprawdzeń przeprowadzanych zgodnie z warunkami określonymi w rozporządzeniu w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji W przypadku wariantu bez wyznaczania ABI, nie trzeba sporządzać szczegółowych rejestrów oraz prowadzić jawnego rejestru przetwarzanych zbiorów danych osobowych 13
Zmiany wprowadzone nowelizacją ustawy o ochronie danych osobowych od 1 stycznia 2015 roku Ustawa o ułatwieniu wykonywania działalności gospodarczej, w art. 9 zawiera przepisy nowelizujące ustawę o ochronie danych osobowych, przede wszystkim w zakresie roli ABI oraz obowiązków rejestracyjnych. Usunięto art. 36 ust. 3 uodo, o następującej treści: Administrator danych wyznacza administratora bezpieczeństwa informacji, nadzorującego przestrzeganie zasad ochrony, o których mowa w ust. 1, chyba, że sam wykonuje te czynności W zamian dodano art. 36a ust. 1, o treści: Administrator danych może powołać administratora bezpieczeństwa informacji. Konsekwencją powyższej zmiany jest zastąpienie praktycznego obowiązku wyznaczania ABI w podmiotach o strukturze wieloosobowej (np. spółki, spółdzielnie itd.) jedynie możliwością wyznaczenia ABI. Przed pierwszym stycznia 2015 roku, w przypadku wyznaczenia ABI przez ADO nie zmieniało to zakresu obowiązku ewentualnego zgłoszenia, ani sposobu prowadzenia dokumentacji wewnętrznej Po 1 stycznia, wyznaczenie ABI jest przesłanką wiążącą się z brakiem obowiązku zgłaszania zbioru do GIODO (o ile nie są przetwarzane dane wrażliwe). Z drugiej jednak strony wymaga do realizacji szeregu dodatkowych obowiązków (sprawozdania ze sprawdzeń, prowadzenie jawnych rejestrów, zarejestrowanie ABI w imiennym rejestrze) Oprócz zmiany roli ABI, wprowadzono dodatkowe zwolnienie odnośnie zbiorów danych przetwarzanych wyłącznie w formie papierowej ( dane, które nie są wprowadzane do systemu informatycznego ) 14
Jakie podmioty podlegają dylematowi: zgłosić ABI, czy zbiór danych Jeżeli w danym podmiocie przetwarzany jest zbiór danych, który nie jest zwolniony z obowiązku zgłaszania zbioru danych do GIODO (np. zbiór danych klientów sklepu internetowego), ale nie są to dane wrażliwe, ADO stoi przed dylematem: albo zgłosić do GIODO zbiór danych, albo zgłosić do GIODO ABI W przeważającej większości przypadków, zgłoszenie zbioru do GIODO będzie wiązało się z mniejszą liczbą obowiązków W przypadku dokonania wyboru wariantu ze zgłoszeniem ABI zamiast zbioru danych, dochodzą obowiązki określone w dwóch dodatkowych rozporządzeniach. 15
Decyzje administracyjne GIODO ( )w pomieszczeniach, w których przyjmowani są klienci, w segregatorach na otwartych regałach przechowywane są dokumenty zawierające dane osobowe (faktury VAT, potwierdzenia dokonania transakcji)( ) W decyzji DIS/DEC - 46/12/2681 (podobnie w decyzji DIS/DEC-286/13004/09), GIODO uznał powyższą praktykę za naruszenie ustawy o ochronie danych osobowych, jako sposób usunięcia uchybienia wskazano ( )wykonanie oraz montaż drzwiczek z zamknięciem ( )w pomieszczeniach, w których przyjmowani są klienci, dokumentacja zawierająca dane osobowe została odpowiednio zabezpieczona, przed dostępem osób nieupoważnionych i obecnie przechowywana jest w zamykanych na klucz meblach biurowych. W decyzji DIS/DEC-286/13004/09 uznano za naruszenie brak ewidencjonowania/kontrolowania dostępu do gabloty z kluczami do pomieszczeń oraz mebli, w który przechowywane były dokumenty zawierające dane osobowe przez pracowników W decyzji DIS/DEC-201/12/15307 naruszenie polegające na: Niezapewnieniu, aby dla każdej osoby, której dane osobowe są przetwarzane za pomocą systemu informatycznego o nazwie MS Excel w E system umożliwiał odnotowanie daty pierwszego wprowadzenia danych osobowych do systemu informatycznego ( 7 ust. 1 pkt 1 rozporządzenia). Zostało uznane za usunięte w następujący sposób: W pliku prowadzonym w systemie informatycznym MS Excel zawierającym rejestr o nazwie E, wprowadzono dwie nowe kolumny: data wprowadzenia oraz osoba wprowadzająca, ponadto załączono wydruki, które wskazują zawartość poszczególnych pól informacyjnych i stanowią jednocześnie opis struktury zbioru danych rejestru. 16
Sankcje administracyjne oraz karne W przypadku sankcji administracyjnych za naruszenie ustawy o ochronie danych osobowych, należy rozróżnić możliwość wydania przez GIODO decyzji zakazującej przetwarzania danych, co w praktyce może wiązać się z brakiem możliwości prowadzenia działalności. Na odrębnych zasadach, jako grzywnę przymuszającą za niewykonanie decyzji GIODO może nałożyć karę finansową w wysokości do 10 000 zł (w przypadku osób fizycznych) lub 50 000 zł (w przypadku osób prawnych i jednostek organizacyjnych nieposiadających osobowości prawnej) za każde naruszenie (lecz nie więcej niż 50 000 zł w przypadku osób fizycznych) i 200 000 zł w przypadku osób prawnych. Grzywny przymuszające nakładane są przez GIODO w trybie ustawy o postępowaniu egzekucyjnym w administracji (art. 121) Mogą one być nałożone dopiero w sytuacji, gdy ADO zignoruje wcześniej wydaną decyzję wzywającą do usunięcia określonych naruszeń Sankcje karne określone zostały w art. 49-54a (rozdział 8 uodo) jednak nie są one egzekwowane w sposób nadmiernie rygorystyczny. 17
\ Zmiany wynikające z nowego rozporządzenia Parlamentu Europejskiego i Rady Rozporządzenie wprowadzi katalog sytuacji, w których wyznaczenie inspektora ochrony danych będzie obowiązkowe (rola podobna do ABI) Artykuł 35 Wyznaczenie inspektora ochrony danych 1. Administrator i podmiot przetwarzający wyznaczają inspektora ochrony danych, w każdym przypadku, w którym: a) przetwarzania dokonuje organ lub podmiot publiczny; lub b) przetwarzania dokonuje osoba prawna i dotyczy ono ponad 5000 podmiotów danych rocznie w dowolnym okresie kolejnych 12 miesięcy ; lub c) główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania podmiotów danych, lub d) główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu szczególnych kategorii danych zgodnie z art. 9 ust. 1, danych dotyczących lokalizacji lub danych dotyczących dzieci lub pracowników w wielkoskalowych zbiorach danych. 18
W art. 12 rozporządzenia znajdują się przepisy, które zasadniczą zmieniają sposób realizacji obowiązków informacyjnych w stosunku do osób, których dane są przetwarzane - na ich wniosek (obecnie te zasady określone są w art. 32 uodo) -Rozporządzenie wprowadza możliwość wnioskowania o informacje o danych osobowych od ADO : Jeśli przetwarzanie danych odbywa się w sposób zautomatyzowany, administrator zapewnia także możliwość elektronicznego składania wniosków, gdy to możliwe. -Rozporządzanie stanowi także, jeśli wnioski są wyraźnie przesadne, w szczególności ze względu na ich powtarzający się charakter, administrator może pobrać uzasadnioną opłatę Rozporządzenie ma zastąpić Dyrektywę 95/46/WE z 1995 roku. Powstanie Europejska Rada Ochrony Danych, dzięki której zadaniem będzie przyczynianie się do spójnego stosowania przepisów rozporządzenia w ramach całej UE19 W przeciwieństwie do dyrektywy celem rozporządzenia jest unifikacja, a nie harmonizacja prawa ochronnych danych osobowych w ramach państw członkowskich Rozporządzenie będzie bezpośrednio stosowane w państwach członkowskich, ale art. 21 przewiduje możliwość wydania środka ustawodawczego w celu ograniczenia niektórych przepisów rozporządzenia (art. 11 19 i art. 32), o ile jest to konieczne i proporcjonalne Obecnie w Radzie Unii Europejskiej trwają prace końcowe na Rozporządzeniem, polski GIODO szacuje czas wejścia w życia rozporządzenia na rok 2018 Jeśli są Państwo zainteresowani audytem oraz wdrożeniami systemu ochrony danych zgodnie z obowiązującymi przepisami, zapraszamy do kontaktu pod mailem: biuro@rbdo.pl lub telefonem: (22) 487 86 70 19