facebook

System ochrony danych osobowych w przedsiębiorstwie Drukuj

Jak powinien funkcjonować system ochrony danych osobowych w przedsiębiorstwie?

Wprowadzenie
Zwiń

Współczesne zagrożenia związane z przetwarzaniem danych osobowych wymuszają tworzenie odpowiednich systemów bezpieczeństwa, nie tylko przez instytucje państwowe, ale również przez przedsiębiorców. Dlatego też, każdy przedsiębiorca - bez względu na formę prowadzenia działalności gospodarczej, musi posiadać wiedzę dotyczącą zasad gromadzenia, przetwarzania i udostępniania danych osobowych.

Unormowania prawne w zakresie ochrony danych osobowych mają charakter złożony, gdyż obejmują zarówno prawo polskie, jak i prawo europejskie. W naszym ustawodawstwie Konstytucja RP z dnia 2 kwietnia 1997 roku wprowadza zasady dotyczące ochrony danych osobowych – w art. 47 „Każdy ma prawo do ochrony prawnej życia prywatnego, rodzinnego, czci i dobrego imienia oraz do decydowania o swoim życiu osobistym” oraz w art. 51 „Nikt nie może być obowiązany inaczej, niż na podstawie ustawy do ujawniania informacji dotyczących jego osoby”.

(Źródło: http://www.sejm.gov.pl/prawo/konst/polski/kon1.htm)

Konkretyzacja norm konstytucyjnych znalazła odzwierciedlenie w ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity: Dz. U. 2002 r. nr 101 poz. 926, z późniejszymi zmianami). Zgodnie z art. 36 ustawy, administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Ponadto, administrator danych osobowych jest obowiązany zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane.

(Źródło: http://isap.sejm.gov.pl/DetailsServlet?id=WDU19971330883)

W razie stwierdzenia, że działanie lub zaniechanie kierownika jednostki organizacyjnej, jej pracownika lub innej osoby fizycznej będącej administratorem danych wyczerpuje znamiona przestępstw określonych w ustawie (art. 49, art. 51-54a), Generalny Inspektor kieruje do organu powołanego do ścigania przestępstw zawiadomienie o popełnieniu przestępstwa, dołączając dowody dokumentujące ujawnione nieprawidłowości. Poza inicjowaniem procesu karnego, można również wszcząć postępowanie dyscyplinarne lub inne przewidziane prawem postępowanie przeciwko osobom winnym dopuszczenia do uchybień w gromadzeniu, przetwarzaniu i udostępnianiu danych osobowych.

W Polsce, organem do spraw ochrony danych osobowych jest Generalny Inspektor Ochrony Danych Osobowych (http://www.giodo.gov.pl).

Definicje
Rozwiń
Schemat postępowania
Zwiń

Krok 1. Zapotrzebowanie.

Przedsiębiorca, który w ramach prowadzonej działalności gospodarczej będzie zbierać, utrwalać, przechowywać, opracowywać, zmieniać, udostępniać i usuwać dane osobowe jest zobowiązane do wdrożenia zabezpieczeń technicznych i organizacyjnych zgodnie z ustawą oraz innymi przepisami wykonawczymi.

Krok 2. Ocena zakresu i sposobu przetwarzania danych osobowych przez przedsiębiorcę.

Właściwie przeprowadzona ocena zakresu i sposobu przetwarzania danych osobowych ma istotny wpływ na koszty funkcjonowania przedsiębiorstwa. W zależności od tego, czy przetwarzanie danych osobowych będzie wykonywane w formie papierowej (w kartotekach, skorowidzach, księgach, wykazach i w innych zbiorach ewidencyjnych), czy też w systemach informatycznych (także w przypadku przetwarzania danych poza zbiorem danych), a także w zależności od kategorii tych danych (dane osobowe zwykłe, czy wrażliwe) oraz obszarów zagrożenia – przedsiębiorca jest zobowiązany do wprowadzenia odpowiednich środków technicznych i organizacyjnych zapewniających im ochronę. Administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych osobowych. Podmiot ten może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie, a także ponosi odpowiedzialność na takich samych zasadach, jak administrator danych.

Krok 3. Przedsiębiorca wyznacza administratora bezpieczeństwa informacji.

Administrator danych, jeżeli sam nie wykonuje czynności nadzorowania przestrzeganie zasad ochrony danych osobowych - wyznacza administratora bezpieczeństwa informacji (ABI). Wówczas administrator bezpieczeństwa informacji obowiązany jest zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Ze względu na zakres obowiązków oraz ściśle określoną odpowiedzialność, stanowisko ABI powinno być samodzielne i niezależne od pionu informatycznego. ABI powinien posiadać możliwość wydawania poleceń i zaleceń pracownikom upoważnionym do przetwarzania danych osobowych. Pożądane jest takie umieszczenie stanowiska ABI w strukturze organizacyjnej przedsiębiorstwa, aby był on podporządkowany wyłącznie ścisłemu kierownictwu administratora danych.

Krok 4. Wdrażanie zabezpieczeń danych osobowego.

Powołanie administratora bezpieczeństwa informacji jest czynnością, która bezpośrednio poprzedza przedsięwzięcia związane z wdrażaniem elementów zabezpieczenia danych osobowych. Administrator bezpieczeństwa informacji uwzględniając kategorie przetwarzanych danych oraz zdiagnozowane zagrożenia wprowadza odpowiednie środki bezpieczeństwa przetwarzania danych osobowych w systemie informatycznym (wdrażane środki są uzależnione od poziomu bezpieczeństwa - podstawowy, podwyższony, wysoki). Następnie administrator danych przystępuje do opracowania i wdrożenia dokumentacji opisującej sposób przetwarzania danych osobowych oraz zastosowane środki bezpieczeństwa - polityka bezpieczeństwa oraz instrukcja zarządzania systemem informatycznym do przetwarzania danych osobowych. Podczas wdrażania zabezpieczeń danych osobowych, administrator bezpieczeństwa informacji musi zapewnić możliwość realizacji zadań kontrolnych przez administrator danych (kontroli nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane). Ponadto administrator danych zobowiązany jest prowadzić ewidencję osób upoważnionych do przetwarzania danych osobowych, która powinna zawierać: imię i nazwisko osoby upoważnionej; datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych oraz identyfikator, jeżeli dane są przetwarzane w systemie informatycznym. Natomiast osoby, które po przeszkoleniu zostały dopuszczone do przetwarzania danych, są zobowiązane zachować w tajemnicy te dane osobowe oraz sposoby ich zabezpieczenia (dopuszczenie do przetwarzania danych osobowych, jest poprzedzone pisemnym upoważnieniem i oświadczeniem pracownika).

Krok 5. Rejestracja zbioru danych osobowych.

Po wdrożeniu wszystkich elementów zabezpieczeń danych osobowych, administrator danych dokonuje zgłoszenia zbioru danych osobowych Generalnemu Inspektorowi – może to zrobić w formie elektronicznej (w przypadku, kiedy wnioskodawca dysponuje bezpiecznym podpisem elektronicznym), przesłać wniosek pocztą lub wniosek złożyć osobiście w GIODO. Jeżeli wniosek posiada wady merytoryczne lub formalne, Generalny Inspektor wydaje decyzję o odmowie rejestracji zbioru danych, jednocześnie nakazując ograniczenia w przetwarzaniu wszystkich albo niektórych kategorii danych wyłącznie do ich przechowywania lub zastosowanie odpowiednich środków. Administrator danych może zgłosić ponownie zbiór danych do rejestracji po usunięciu wad, które były powodem odmowy wcześniejszej rejestracji zbioru. W razie ponownego zgłoszenia zbioru do rejestracji administrator danych może rozpocząć ich przetwarzanie po zarejestrowaniu zbioru. Wykreślenie z rejestru zbiorów danych osobowych jest dokonywane, w drodze decyzji administracyjnej, jeżeli zaprzestano przetwarzania danych w zarejestrowanym zbiorze lub też, rejestracji dokonano z naruszeniem prawa. Administrator danych jest obowiązany zgłaszać Generalnemu Inspektorowi każdą zmianę informacji zawartej w wniosku rejestrującym zbiór danych osobowych, w terminie 30 dni od dnia dokonania zmiany w tym zbiorze. Jeżeli zmiana informacji, dotyczy rozszerzenia zakresu przetwarzanych danych o dane wrażliwe (informacje, o których mowa w art. 27 ust. 1), administrator danych jest zobowiązany do jej zgłoszenia przed dokonaniem zmiany w zbiorze.

Krok 6. Przetwarzania danych osobowych.

Po wdrożeniu odpowiednich środków fizycznych i organizacyjnych oraz po dokonaniu rejestracji zbioru danych w GIODO – co jednocześnie umożliwia wykazanie podstawy prawnej uprawniającej do wykonywania jakichkolwiek działań w zbiorze danych osobowych, przedsiębiorca przystępuje do ich przetwarzania. Administrator danych przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były przetwarzane zgodnie z prawem. W przypadku zbierania danych osobowych administrator danych jest zobowiązany poinformować osobę (w przypadku zbierania danych od osoby, której dane dotyczą) lub poinformować osobę, bezpośrednio po utrwaleniu zebranych danych (w przypadku zbierania danych osobowych nie od osoby, której dane dotyczą). Poinformowanie przez administratora danych, umożliwia podejmowanie działań kontrolnych w zakresie przetwarzania danych, przez osobę której dane dotyczą (wnoszenie żądań, czy też sprzeciwu). Za niedopełnienie obowiązku poinformowania osoby, której dane dotyczą, o jej prawach lub przekazania jej informacji umożliwiających korzystanie ze swoich praw grożą kary grzywny, ograniczenia lub pozbawienia wolności do roku. Ponadto administrator danych musi bezwzględnie respektować zakaz przetwarzania danych wrażliwych - poza wyjątkami określonymi w art. 27 pkt. 2 ustawy, w przeciwnym wypadku może ponieść odpowiedzialność karną z art. 49 ustawy. W przypadku zakończenia procesu przetwarzania danych osobowych w zarejestrowanym zbiorze, wykreślenie z rejestru zbiorów danych osobowych następuje w formie decyzji administracyjnej wydanej przez GIODO (poprzedzonej wnioskiem administratora danych).

Autor
Rozwiń
Załączniki
Rozwiń