Przetwarzasz dane osobowe? Te dokumenty to konieczność.

Polityka bezpieczeństwaKażde przedsiębiorstwo lub inna jednostka organizacyjna, zatrudniająca choćby jednego pracownika lub posiadająca dane Klientów będących osobami fizycznymi, przetwarza dane osobowe w rozumieniu Ustawy o ochronie danych osobowych. Tym samym staje się Administratorem Danych Osobowych.

Zastanawiasz się co należy zrobić, by nie narazić się GIODO? 

 

Co kryje się pod pojęciem dane osobowe?

Krótko mówiąc są to dane, które przy niewielkim wysiłku i niewielkich kosztach umożliwią Ci zidentyfikowanie konkretnej osoby.

Przykład:

Załóżmy, że w naszej bazie danych mamy e-mail: jankowalski@rowerfull.com.pl. Czego możemy dowiedzieć się z tego adresu? Możemy w prosty sposób zidentyfikować właściciela e-maila. Jest nim Pan Jan Kowalski pracujący w firmie Rowerfull … . Rowerfull.com.pl to strona internetowa (fikcyjna), na której znajduje się adres siedziby, więc wiemy, gdzie Pan Jan Kowalski pracuje i tam najprawdopodobniej w godzinach pracy możemy go zastać. Przetwarzanie tego typu danych podlega już Ustawie o ochronie danych osobowych.

Istnieje również pojęcie danych wrażliwych, do tego rodzaju danych należą m.in.: pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniowa, partyjna lub związkowa, dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnych oraz danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym. (Art. 27 ust.1 UODO)

...a czym jest przetwarzanie danych?

Ustawa o ochronie danych osobowych jasno mówi o tym, czym tak naprawdę jest przetwarzanie. Już pierwszy etap, czyli samo zbieranie danych, wchodzi w skład tego procesu. Kolejne elementy to: utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie. Tak, więc wszystko co robimy z danymi jest ich przetwarzaniem.

Sklepy internetowe, biura rachunkowe, hotele, spółdzielnie, urzędy, stowarzyszenia, placówki edukacyjne, medyczne i inne podmioty przetwarzają dane osobowe, dlatego podlegają Ustawie o ochronie danych osobowych.

Podmiot przetwarzający dane osobowe musi posiadać odpowiednią dokumentację, w tym

  • Politykę Bezpieczeństwa,
  • Instrukcję Zarządzania Systemem Informatycznym,
  • Ewidencję osób upoważnionych do przetwarzania danych osobowych,
  • Umowy powierzenia przetwarzania danych osobowych.

Grzywny za niewykonanie decyzji administracyjnych Głównego Inspektora Ochrony Danych Osobowych mogą sięgać za jedno uchybienie 50 tys. PLN w przypadku osób prawnych oraz 10 tys. PLN w przypadku osób fizycznych.

Podstawy prawne: 
USTAWA z dnia 29 sierpnia 1997 r. o ochronie danych osobowych z późniejszymi zmianami.
ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.

Co powinna zawierać w sobie Polityka Bezpieczeństwa?

Polityka Bezpieczeństwa to dokument, który pomija zakres techniczny, a skupia się na ogólnym aspektach przetwarzania danych osobowych.

Powinna zawierać:

Wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe

  • Mowa tu o wszystkich pomieszczeniach, w których wykonuje się operacje na danych osobowych. Na tej liście powinny znaleźć się także miejsca, w których znajdują się serwery, nośniki z kopiami zapasowymi lub stare urządzenia i nośniki danych (dyski, płyty, taśmy).

Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych

  • W tej części Polityki Bezpieczeństwa należy wykazać listę wszystkich zbiorów danych osobowych, oraz systemów, w których te dane są przetwarzane. Jeśli są to systemy informatyczne składające się z wielu modułów, wówczas należy wymienić także te części. W wykazie powinny znaleźć się również lokalizacje poszczególnych zbiorów danych i systemów służących do ich przetwarzania (budynki, pomieszczenia, komputery, itp.).

Opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi

  • to nic innego jak informacja o kategoriach przetwarzanych danych np.: dane klienta: imię, nazwisko, adres (kod pocztowy, miejscowość, ulica, nr domu, nr mieszkania), telefon kontaktowy, PESEL, e-mail, itp. 

Sposób przepływu danych pomiędzy poszczególnymi systemami

  • to opis relacji pomiędzy poszczególnymi systemami wykorzystywanymi do przetwarzania danych. Np. pomiędzy systemem kadrowym i systemem płatnik wykorzystywanym do rozliczeń ZUS. W tym punkcie należy wspomnieć również o sposobie przepływu danych za pośrednictwem zewnętrznych nośników danych.

Określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych

  • Po uprzedniej szczegółowej analizie zagrożeń i ryzyka związanego m.in. z nieuprawnionym dostępem do przetwarzanych danych osobowych, należy w dokumentacji wskazać środki stosowane do ich zabezpieczenia. Takimi środkami mogą być programy antywirusowe, zapory, mechanizmy uwierzytelniania. Środkami tymi mogą być także regulaminy i odgórnie ustalone zasady dotyczące korzystania z systemów i poruszania się na terenie organizacji w miejscach gdzie przetwarzane są dane osobowe. 

Instrukcja Zarządzania Systemem Informatycznym

Uzupełnieniem Polityki Bezpieczeństwa jest Instrukcja Zarządzania Systemem Informatycznym, która opisuje techniczne kwestie dotyczące przetwarzania danych osobowych w firmie/organizacji. Zakres informacji, który powinien znaleźć się w tym dokumencie to:

  • procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności;
  • stosowane metody i  środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem;
  • procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu;
  • procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania;
  • sposób, miejsce i okres przechowywania: elektronicznych nośników informacji zawierających dane osobowe, kopii zapasowych
  • sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu;
  • sposób realizacji wymogów, o których mowa w § 7 ust. 1 pkt 4;
  • procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.

Załączniki, uzupełniające dokumentację to przede wszystkim te, które wynikają z przepisów prawa, czyli:

  • wykaz budynków i pomieszczeń, w których przetwarza się dane osobowe;
  • wykaz osób upoważnionych do przetwarzania danych osobowych;
  • wykaz systemów i programów stosowanych do przetwarzania danych osobowych;
  • wykaz przetwarzanych pól danych osobowych.

Instrukcja Zarządzania Systemem Informatycznym może być uzupełniona o dodatkowe załączniki, w tym:

  • wzór oświadczenia o zobowiązaniu się do zachowania tajemnicy danych osobowych;
  • wzór upoważnienia do przetwarzania danych osobowych;
  • wzór powiadomienia o przetwarzaniu danych osobowych;
  • wzory umów powierzenia przetwarzania danych osobowych z innymi podmiotami;
  • wzory protokołów obsługi incydentów i naruszeń,
  • wzory protokołów obsługi serwisowej oraz utylizacji sprzętu;
  • wzory formularzy wyznaczenia odpowiednich Administratorów.

Ewidencja osób upoważnionych do przetwarzania danych osobowych

Zgodnie z Art. 39 Ustawy o ochronie danych osobowych ewidencja osób upoważnionych do przetwarzania takich danych powinna zawierać:

  • Imię i nazwisko osoby upoważnionej;
  • Datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych;
  • Identyfikator, jeżeli dane są przetwarzane w systemie informatycznym.
 
LP. Imię i Nazwisko Data nadania upoważnienia Data ustania upoważnienia Zakres  Identyfikator
           
           

Tab. 1. Przykładowy wzór ewidencji osób upoważnionych do przetwarzania danych.

W ewidencji powinni znaleźć się wszyscy pracownicy, stażyści i praktykanci, którzy wykonują jakiekolwiek działania na danych osobowych. Może być prowadzona w wersji papierowej lub elektronicznej. Nad dokumentem tym powinien czuwać Administrator Danych Osobowych lub osoba przez niego wyznaczona.

Umowy powierzenia przetwarzania danych

Są przypadki, kiedy firmom zewnętrznym zlecamy np.: obsługę rachunkowości, wysyłkę e-mailingu, folderów reklamowych lub inne działania, które wymuszają przetwarzanie danych osobowych. W takich sytuacjach konieczne jest zawarcie umów powierzenia danych osobowych. Informacje, które takie umowy powinny zawierać, to przede wszystkim podmiot, któremu powierzamy to zadanie, zakres przetwarzanych danych osobowych (jakie dane powierzamy) oraz cel przetwarzania danych. Zgodnie z Ustawą o ochronie danych osobowych taka umowa powinna zostać zawarta na piśmie.

Należy wspomnieć też o tym, że każdy Administrator Danych osobowych jest zobowiązany rejestrować w GIODO wszelkie zbiory danych jakie przetwarza w swojej firmie/organizacji, lub skorzystać z opcji wyznaczenia Administratora Bezpieczeństwa Informacji. Więcej na ten temat już niebawem.

Newsletter