Dane osobowe

Podstawowe znaczenie w zakresie ochrony danych osobowych ma ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Przepisy tej ustawy stosuje się do szerokiego kręgu podmiotów, zarówno państwowych lub samorządowych, jak i podmiotów prywatnych – m.in. jednoosobowych przedsiębiorców, spółek handlowych, spółek cywilnych, spółdzielni, stowarzyszeń, fundacji, a nawet, w pewnych przypadkach również do osób fizycznych, którzy przetwarzają dane osobowe.

Zabezpieczenie danych osobowych

Ustawa nakłada na podmioty, które w ramach swojej działalności zbierają, utrwalają, przechowują, opracowują, zmieniają, udostępniają lub usuwają dane osobowe, obowiązek zastosowania odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych. Środki te powinny być odpowiednie do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinny zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawniona, przetwarzaniem z naruszeniem Ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. To jakie konkretnie środki powinny być zastosowane wynikać będzie z indywidualnej dla każdego podmiotu identyfikacji zagrożeń, kategorii danych jakie są przetwarzane, istniejących zabezpieczeń lub ich braku. Środki organizacyjne i techniczne dotyczyć będą m.in.

  • środków ochrony fizycznej (m.in. zabezpieczenie pomieszczeń w siedzibie podmiotu przetwarzającego dane osobowe),
  • środków sprzętowych infrastruktury informatycznej i telekomunikacyjnej (zabezpieczenia przez włamaniem do systemu informatycznego oraz skutkami takiego włamania t.j. m.in. kradzieżą lub utratą danych osobowych),
  • środków ochrony w ramach narzędzi programowych i baz danych (zabezpieczenia bazy danych osobowych),
  • środków organizacyjnych (środki w ramach struktury organizacyjnej podmiotu).

Dokumentacja danych osobowych

Zgodnie z przepisem art. 36 ust. 1 Ustawy wszystkie zastosowane środki techniczne i organizacyjne oraz sposób przetwarzania danych powinny być opisane w specjalnie sporządzonej dokumentacji przetwarzania danych osobowych. Ustawa przewiduje, że zakres tej dokumentacji oraz sposób jej prowadzenia szczegółowo określa odrębne rozporządzenie. Zgodnie z § 3 Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, na dokumentację przetwarzania danych osobowych składa się:

  1. polityka bezpieczeństwa,
  2. instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych.

Polityka bezpieczeństwa

Kolejne przepisy Rozporządzenia konkretyzują co powinny zawierać oba w/w dokumenty. W polityce bezpieczeństwa należy więc uwzględnić w szczególności:

  • wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym
  • przetwarzane są dane osobowe;
  • wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do
  • przetwarzania tych danych;
  • opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania miedzy nimi;
  • sposób przepływu danych pomiędzy poszczególnymi systemami;
  • określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.

Instrukcja zarządzania systemem informatycznym

W instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych opisane powinny zostać w szczególności:

  • procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności;
  • stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem;
  • procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu;
  • procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania;
  • sposób, miejsce i okres przechowywania elektronicznych nośników informacji zawierających dane osobowe oraz kopii zapasowych zbiorów danych;
  • sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu;
  • sposób realizacji wymogu kontroli nad udostępnianiem danych osobowych;
  • procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.

Dokumentacja uzupełniająca

Dodatkowo, z innych przepisów Ustawy i Rozporządzenia wynika, że w ramach wymaganej dokumentacji podmiot przetwarzający dane osobowe powinien również opracować, wdrożyć i stosować:

  1. odpowiednią klauzulę informacyjną dla klientów o zakresie i sposobie przetwarzania ich danych osobowych,
  2. odpowiednią klauzulę z oświadczeniem woli klienta o wyrażeniu zgody na przetwarzanie jego danych osobowych,
  3. upoważnienia dla swoich pracowników do przetwarzania danych osobowych,
  4. odpowiednie dokumenty zawierające oświadczenie pracowników o zachowaniu w tajemnicy danych osobowych oraz informacji o sposobach ich zabezpieczeń,
  5. ewidencję pracowników upoważnionych do przetwarzania danych osobowych,
  6. dokument, którym dokona powołania administratora bezpieczeństwa informacji (tzw. ABI) działającego w strukturach podmiotu.

 

Podstawowe akty prawne w zakresie ochrony danych osobowych:

  1. Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych   (t.j. Dz.U.2016.922),
  2. Ustawa z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną   (t.j. Dz.U.2016.1030, ze zm.),
  3. Ustawa z dnia 27 lipca 2001 r. o ochronie baz danych   (Dz.U.2001.128.1402, ze zm.),
  4. Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych   (Dz.U.2004.100.1024),
  5. Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji (Dz.U.2015.745),
  6. Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych (Dz.U.2015.719),
  7. Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 10 grudnia 2014 r. w sprawie wzorów zgłoszeń powołania i odwołania administratora bezpieczeństwa informacji (Dz.U.2014.1934),
  8. Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 11 grudnia 2008 r. w sprawie wzoru zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych   (Dz.U.2008.229.1536),
  9. Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 22 kwietnia 2004 r. w sprawie wzorów imiennego upoważnienia i legitymacji służbowej inspektora Biura Generalnego Inspektora Ochrony Danych Osobowych   (Dz.U.2004.94.923),
  10. Rozporządzenie Prezydenta Rzeczypospolitej Polskiej z dnia 10 października 2011 r. w sprawie nadania statutu Biuru Generalnego Inspektora Ochrony Danych Osobowych   (Dz.U.2011.225.1350).