Administrator Bezpieczeństwa InformacjiPrzetwarzasz dane osobowe swoich pracowników, kandydatów do pracy, klientów? A może przeprowadzasz konkursy z nagrodami, zbierając adresy e-mail i numery telefonów uczestników do celów marketingowych? Możesz to robić, nie martwiąc się o odpowiedzialność karną i kary pieniężne, wystarczy, że nie zapomnisz o wypełnieniu kilku formalności. Polska ustawa o ochronie danych osobowych nakłada na przedsiębiorców wiele obowiązków, jednak wystarczy wdrożyć odpowiednie procedury, aby w czasie kontroli inspektora danych osobowych wypaść na medal. Przetwarzaniem danych osobowych są w zasadzie wszelkie czynności wykonywane na danych – wprowadzanie do bazy, usuwanie, modyfikowanie, przenoszenie – wobec czego, każdy kto posiada zbiór danych osobowych de facto je przetwarza.

Polityka bezpieczeństwa przetwarzania danych osobowych i inna dokumentacja

Każda firma w Polsce powinna mieć dokumentację przetwarzania danych osobowych, o której mowa w Rozporządzeniu. Na dokumentację składają się:

  • polityka bezpieczeństwa przetwarzania danych osobowych i
  • instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych.

W polityce należy określić dokładanie, jakie są zasady przetwarzania danych osobowych w firmie, tj. miejsca przetwarzania danych (np. biuro kadr), zbiory danych osobowych (np. zbiór danych osobowych pracowników, kandydatów do pracy, klientów, uczestników konkursów, osób wchodzących na teren firmy zebrany w książce wejść i wyjść), dane osobowe, które są przetwarzane w każdym ze zbiorów (np. imię nazwisko, adres, adres e-mail), systemy informatyczne wykorzystywane do przetwarzania konkretnych danych (np. dane osobowe pracowników – program Płatnik); wzory upoważnień do przetwarzania danych osobowych oraz ewidencji upoważnień. Instrukcja z kolei wskazuje, w jaki sposób zabezpieczono komputery (np. sposób budowania hasła do komputera lub bazy danych, częstotliwość zmiany haseł), jakie są zakazy obejmujące pracowników w zakresie korzystania z prywatnej poczty elektronicznej, czy mediów społecznościowych. Chociaż zebranie w jednym miejscu wszystkich powyższych informacji może być czasochłonne i nierzadko wymagać od nas uporządkowania, kto ma dostęp do jakich zbiorów i dokumentów, to w dalszej perspektywie będzie miało ogromny wpływ nad utrzymaniem kontroli i ewentualnym określeniem, osób odpowiedzialnych za wyciek danych osobowych z firmy. Musisz wiedzieć, że każdy, czyje dane osobowe są przetwarzane przez firmę ma prawo wiedzieć, jakie dane osobowe są w posiadaniu firmy, żądać ich usunięcia lub zmiany. Bez wprowadzenia ww. dokumentacji i procedur nie będzie wiadomo, ani jakie dane są przetwarzane, ani kto odpowiada za ich prawidłowe przetwarzanie. Osobą odpowiedzialną za przetwarzanie danych osobowych w firmie jest Administrator Bezpieczeństwa Informacji (tzw. ABI), czyli osoba fizyczna wyznaczana przez Zarząd. Administrator wydaje upoważnienia do przetwarzania danych osobowych oraz prowadzi ewidencję tych upoważnień. Upoważnienia powinny być wydawane tym wszystkim osobom, które prowadzą operacje na danych osobowych, czyli de facto mają dostęp do bazy danych osobowych z uprawnieniami do ich wprowadzania, modyfikacji, czy usuwania. Nie chcemy przecież, aby osoba, która zajmuje się w firmie marketingiem miała upoważnienie do przetwarzania danych kandydatów do pracy, a pracownik działu kadr miał dostęp do danych klientów. Jeżeli w twojej firmie dostęp do baz danych mają wszyscy pracownicy, najwyższy czas, aby to zmienić i nadać odpowiednie upoważnienia ograniczając dostęp osobom niepowołanym – zagrożenie wycieku danych osobowych oraz handlu bazami danych jest bardzo duże. Tylko w grudniu 2013 roku GIODO złożyło zawiadomienie o popełnieniu przestępstwa przez sieć Orange (czołowy polski operator sieci komórkowej), z której wykradziono bazę danych zawierającą imiona i nazwiska, numery telefonów, PESEL, NIP i dokumentów tożsamości oraz adresy ok. 135 tys. osób! Media podały, że powyższe dane oferowane były na sprzedaż kilka miesięcy wcześniej za pośrednictwem Internetu. GIODO poinformowało, że od marca 2013 roku zgłoszono już 150 przypadków wycieku danych osobowych z baz operatorów telekomunikacyjnych.

Jak zarejestrować zbiory danych osobowych? Które zbiory danych osobowych podlegają rejestracji?

Jeśli przetwarzasz wyłącznie dane osobowe pracowników, kandydatów do pracy, czy klientów – nie masz obowiązku rejestrowania tych danych osobowych. Ustawa o ochronie danych osobowych dokładnie określa, które z baz danych osobowych są zwolnione z rejestracji. Jednak w przypadku przeprowadzania konkursów z nagrodami, w czasie których zbiera się dane do celów marketingowych, lub w celach przekazania danych agencjom marketingowym – rejestracja zbioru danych osobowych w GIODO jest obowiązkowa. Co ciekawe, wystarczy, że zgłosisz taki zbiór (o ile nie przetwarzasz danych wrażliwych) i od razu możesz przetwarzać dane – mimo, że decyzję o zarejestrowaniu zbioru urząd wyda dopiero parę miesięcy później. Zgłoszenie zbioru jest bajecznie łatwe – wystarczy wejść na stronę e-giodo.gov.pl i wypełnić odpowiedni formularz. Pamiętaj jednak, że aby móc zgłosić zbiór danych osobowych, w pierwszej kolejności wprowadzić dokumentację ochrony danych osobowych, o której mowa powyżej – bez posiadania takiej dokumentacji nie uda Ci się zarejestrować zbioru. Kary za niezarejestrowanie zbioru danych są restrykcyjne – osobie, która w firmie była odpowiedzialna za ochronę danych osobowych grozi kara grzywny, ograniczenia wolności albo pozbawienia wolności do roku. W 2000 roku GIODO zawiadomił prokuraturę o popełnieniu przestępstwa przez Bankowy Fundusz Gwarancyjny, który nie zgłosił do rejestracji zbiorów danych osobowych swoich deponentów.

Powierzanie danych osobowych – tylko na podstawie umowy

Obecnie prawie każda firma korzysta z outsourcingu, aby obniżyć koszty własnej działalności. Do najczęstszych usług delegowanych na zewnątrz należą księgowość i płace. Firmy payrollowe otrzymują w ten sposób dostęp do danych osobowych pracowników, ich wynagrodzenia, akt osobowych. Każde takie przekazanie danych osobowych powinno następować na podstawie pisemnej umowy o powierzeniu danych osobowych, która powinna zawierać co najmniej dwa elementy:

  • cel powierzenia danych osobowych;
  • zakres powierzenia danych osobowych (ze wskazaniem baz danych oraz rodzaju danych zawartych w tych bazach).

Nie można zapomnieć, że odpowiedzialność za ewentualne naruszenia nadal odpowiada firma, która te dane zebrała (czyli jest Administratorem Danych Osobowych), natomiast podmiot przetwarzający odpowiada przed zbierającym dane. To znaczy, że w każdym przypadku, gdy zamierzamy powierzyć dane osobowe na podstawie umowy, powinniśmy upewnić się, czy nasz kontrahent wdrożył u siebie dokumentację dotyczącą ochrony danych osobowych, wydaje upoważnienia swoim pracownikom, wprowadził zabezpieczenia przed ujawnieniem danych osobom trzecim. W końcu, jako Administrator Danych Osobowych mamy prawo kontrolować podmiot przetwarzający dane, np. poprzez osobistą wizytę w biurze kontrahenta, czy otrzymanie szczegółowej informacji o narzędziach przez niego wdrożonych. Na Administratorze Danych ciąży także obowiązek poinformowania podmiotów, których dane osobowe są przetwarzane, że dane zostały powierzone innej firmie w konkretnym celu. GIODO jest urzędem, który faktycznie egzekwuje obowiązki wynikające z ustawy o ochronie danych osobowych. Tylko w 2012 r. Generalny Inspektor Ochrony Danych Osobowych przeprowadził łącznie 165 kontroli zgodności przetwarzania danych osobowych z przepisami ustawy o ochronie danych osobowych i zarejestrował 21580 zbiorów. Dlatego warto się zabezpieczyć, zanim inspektor uśmiechnie się do pracownika portierni w siedzibie naszej firmy, nie zapominając jednocześnie jak negatywne konsekwencje dla wizerunku spółki mogą mieć skandale medialne wybuchające raz po raz wokół wycieków danych osobowych z komputerowych baz danych gospodarczych gigantów.

Źródła:

  • http://www.giodo.gov.pl/data/filemanager_pl/sprawozdaniaroczne/2012.pdf
  • http://www.telepolis.pl/wiadomosci/giodo-kontrola-orange-w-sprawie-wycieku-danych-osobowych-,2,3,29891.html
  • http://www.parkiet.com/artykul/114825.html?print=tak
  • Rozporządzenie Ministra Spraw Wewnętrznych I Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych
  • Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. 1997 nr 133 poz. 883)