Początki działalności - jak poradzić sobie z danymi osobowymi?
Dodano: 19-08-2014 w kategorii: Prawa osób, których dane dotyczą, Zasady przetwarzania danych osobowych, Obowiązki ADO i ABI. Dodane przez: Katarzyna Witkowska.
Bardzo często, gdy myślimy o ochronie danych osobowych utożsamiamy ją tylko z niektórymi obowiązkami, a zapominamy o pozostałych aspektach systemu ochrony danych, które również powinny być uwzględnione przy tworzeniu założeń danego systemu. Wybiórcze traktowanie obowiązków wynikających z ustawy o ochronie danych osobowych może prowadzić do stwierdzenia szeregu nieprawidłowości, jeśli w danej jednostce przeprowadzana będzie kontrola GIODO. Dzisiejszy post stanowi krótkie podsumowanie obowiązków administratora danych.
Od czego zacząć?
Przede wszystkim pamiętać należy, że ochrona danych osobowych nie kończy się na spełnieniu przesłanek przetwarzania danych czy też na zgłoszeniu zbiorów danych do rejestru prowadzonego przez GIODO. Bardzo często administratorzy danych mylnie sądzą, że jeśli zgłosili zbiór, spełnili wszystkie wymogi ustawy o ochronie danych. Utożsamianie ochrony danych z jednym tylko jej aspektem poważnie zagraża bezpieczeństwu tych danych.
Słusznie administratorzy danych, myśląc o ich ochronie, poszukują odpowiednich przesłanek przetwarzania. Bez wątpienia, identyfikacja podstawy, na której oprzeć można operacje na danych, w tym samo ich zbieranie, powinna poprzedzać każde działanie, które sklasyfikować można jako przetwarzanie. Każdego rodzaju operacja na danych musi mieć bowiem odpowiednie podstawy prawne. O przesłankach przetwarzania przeczytać można w poście Zgoda nie zawsze potrzebna. Przesłanki przetwarzania danych osobowych zwykłych w zarysie .
Co dalej? Zasady przetwarzania
Kolejnym etapem budowania systemu ochrony danych w danej strukturze powinno być stworzenie takich mechanizmów, które zagwarantują poszanowanie zasad przetwarzania danych, w tym zasad legalności, celowości, adekwatności (proporcjonalności), merytorycznej poprawności i ograniczenia czasowego.
W/w zasady oznaczają, że dane zbierać można jedynie dla określonych, zgodnych z prawem celów i nie należy poddawać ich przetwarzaniu niezgodnemu z tymi celami. Ponadto, zbierane dane muszą być adekwatne do celu, w jakim mają być przetwarzane – administrator powinien zbierać tylko tyle danych, ile jest niezbędne do osiągnięcia celu przetwarzania. Dane muszą być proporcjonalne do celu przetwarzania i nie mogą być w stosunku do niego nadmierne.
Przetwarzane dane mają być również poprawne merytorycznie, aktualne i kompletne. Administrator musi zagwarantować podmiotowi danych możliwość ich uzupełniania, poprawiania, aktualizacji.
Zasada ograniczenia czasowego zobowiązuje administratora do przetwarzania danych osobowych tak długo, jak jest to konieczne do osiągnięcia celu przetwarzania i nie dłużej. Po osiągnięciu celu przetwarzania, dane powinny być zanonimizowane lub usunięte, chyba że z przepisów szczególnych wynika np. obowiązek archiwizacji takich danych.
Po zasadach czas na obowiązki
Administrator danych spełnić też powinien obowiązek informacyjny, który w praktyce umyka często uwadze. Art. 24 oraz art. 25 ustawy o ochronie danych osobowych zobowiązują zarówno administratora danych, który dane zbiera bezpośrednio od osoby, której dotyczą, jak i tego, który dane zbiera niebezpośrednio od podmiotu danych, do przekazania podmiotowi danych określonego w ustawie katalogu informacji.
Administrator danych musi poinformować osobę, której dane dotyczą o adresie swojej siedziby i pełnej nazwie, o celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych, o prawie dostępu do treści swoich danych oraz ich poprawiania, a także o dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej.
Gdy administrator zbiera dane niebezpośrednio od osoby, której dotyczą, poinformować musi podmiot danych o adresie swojej siedziby i pełnej nazwie, o celu i zakresie zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych, o źródle danych, prawie dostępu do treści danych i ich poprawiania oraz o uprawnieniach wynikających z art. 32 ust. 1 pkt 7 i 8 ustawy o ochronie danych osobowych.
Ustawodawca nie przesądza o tym, w jakiej formie administrator realizować ma obowiązek informacyjny. W praktyce bardzo często spotkać można klauzule informacyjne, w których administratorzy informują kolejno o wszystkich wymaganych ustawą elementach. Konstruowanie takich klauzul uznać należy za dobrą praktykę. Pamiętać jednak trzeba, by nie mylić klauzuli informacyjnej z klauzulą zgody. Przesłanki przetwarzania, w tym zgoda na przetwarzanie danych, to jedno, a obowiązek informacyjny to drugie.
Do tego jeszcze środki techniczne i organizacyjne
Poza wyżej wspomnianymi, na administratorze ciąży obowiązek wdrożenia środków technicznych i organizacyjnych, które zapewnią bezpieczeństwo przetwarzanych danych. Jak wskazuje art. 36 ustawy o ochronie danych osobowych, administrator danych stosować musi środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien je zabezpieczyć przed udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.
Zastosowane środki administrator danych powinien wskazać w dokumentacji opisującej sposób przetwarzania danych, na którą składa się polityka bezpieczeństwa oraz instrukcja zarządzania systemem informatycznym. Aby upewnić się, jakie są niezbędne, minimalne środki ochrony danych, które należy wdrożyć, odwołać się należy do rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 roku w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. O podstawowych elementach dokumentacji ochrony danych pisaliśmy w poście Niezbędne minimum, czyli co każda dokumentacja przetwarzania danych zawierać powinna
Kontrola
Bardzo ważnym obowiązkiem administratora danych jest sprawowanie nadzoru nad przestrzeganiem zasad ochrony. Jeśli administrator sam nie jest w stanie realizować tego obowiązku, wyznaczyć powinien administratora bezpieczeństwa informacji, czyli osobę fizyczną, która za taki nadzór będzie odpowiadała. Nie ma znaczenia, czy ABI jest pracownikiem administratora, czy jest to podmiot zewnętrzny. Ważne, by w organizacji była osoba, która nadzoruje stosowanie w praktyce ustalonych zasad ochrony i stanowi merytoryczne wsparcie dla personelu administratora, gdy pojawiają się bieżące problemy z zakresu ochrony danych.
Poza tym, administrator kontrolować musi, jakie dane, przez kogo i kiedy zostały wprowadzone do danego zbioru. Dbać musi również o to, by do przetwarzania danych dopuszczone były wyłącznie osoby upoważnione i prowadzić musi odpowiednią ewidencję wydawanych upoważnień.
Do tego jeszcze prawa podmiotu danych!
Opisanym obowiązkom administratora danych odpowiadają prawa osoby, której dane dotyczą, a których katalog znaleźć można w art. 32 ustawy. Jak wynika z przepisów, każdej osobie przysługuje prawo do kontroli przetwarzania danych, w tym m.in. prawo do uzyskania informacji na temat administratora danych, celu i zakresu przetwarzania, źródła danych, prawo do żądani uzupełnienia, uaktualnienia, sprostowania danych czy też do wniesienia sprzeciwu wobec przetwarzania danych lub wniesienia żądania zaprzestania przetwarzania danych.
Administrator ma obowiązek zagwarantować poszanowanie praw podmiotu danych. Jeśli osoba, której dane dotyczą złoży odpowiedni wniosek, administrator ma obowiązek udzielić jej informacji, o których mowa w powyższym akapicie, w terminie 30 dni. Jeśli osoba, której dane dotyczą tego zażąda, odpowiedzi należy udzielić na piśmie.
Dopiero teraz czas na rejestrację
Po spełnieniu całego szeregu obowiązków wynikających z ustawy oraz po wdrożeniu dopasowanych do danej struktury środków technicznych i organizacyjnych, można przystąpić do wypełnienia wniosku rejestracyjnego. Zgłaszając zbiór danych do rejestracji, przechodząc przez kolejne etapy wniosku, administrator sprawdzić może, czy na pewno uwzględnił wszystkie filary ochrony danych. Wniosek jest bowiem skonstruowany tak, że administrator wypełniając kolejne pola, wskazuje, czy spełnił przesłanki przetwarzania w odniesieniu do danych zwykłych i danych wrażliwych, czy określił cel przetwarzania, informuje o zakresie zbieranych danych, o tym, które z zalecanych środków technicznych i organizacyjnych wdrożył. Wniosek stanowi więc swoistą deklarację zastosowanych u danego administratora środków ochrony. Więcej o obowiązku rejestracyjnym przeczytać można w postach: "Rejestruję”, czyli o zgłaszaniu zbiorów do rejestru GIODO ,Nie zawsze musimy zgłaszać zbiory! Kilka uwag o zwolnieniu z obowiązku rejestracji. oraz Dane klientów. Jednak muszę zgłaszać?
Pozostaje już tylko przetwarzać dane!
Spełnienie w/w obowiązków stanowi gwarancję stworzenia systemu ochrony danych, który jest kompleksowy i stabilny. W praktyce jednak, system ten budowany jest w sposób wybiórczy i ograniczany bywa tylko do jednego czy dwóch aspektów. Warto jednak pamiętać, że mechanizmy przewidziane w ustawie o ochronie danych osobowych stosowane rozsądnie, w sposób dopasowany do danej struktury, mogą wzmocnić bezpieczeństwo nie tylko samych danych osobowych, ale wszelkiego rodzaju informacji cennych dla danego podmiotu. Warto wykorzystywać przygotowany przez ustawodawcę model do podwyższania standardów bezpieczeństwa w organizacji w ogóle. Pamiętać też należy, że pewne procedury postępowania z danymi mogą pomóc w usystematyzowaniu i organizacji pracy całego zespołu. O wykorzystaniu systemu ochrony danych jako mechanizmu minimalizacji ryzk związanych z elektronicznym obiegiem informacji pisaliśmy w poście Minimalizowanie ryzyk prawnych związanych z elektronicznym obiegiem informacji. Gdzie szukać rozwiązań?
Katarzyna Witkowska
e-mail:
Alerty prawno-podatkowe