Dane osobowe to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Oprócz imienia i nazwiska informacjami zaliczanymi do danych osobowych są:
- numery identyfikacyjne: PESEL, NIP, paszport, dowód osobisty;
- cechy fizyczne: wygląd zewnętrzny, linie papilarne, siatkówka oka;
- cechy fizjologiczne: grupa krwi, kod genetyczny;
- cechy ekonomiczne: status majątkowy, lista zaległości finansowych;
- cechy umysłowe, kulturowe lub społeczne: poglądy, wyznanie.
Każdy podmiot przetwarzający dane osobowe jest zobowiązany do rejestracji zbiorów danych osobowych w GIODO
Przetwarzanie danych to każde operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych. Upraszczając, można stwierdzić, że wszystkie czynności przedsiębiorcy związane z danymi osobowymi to ich przetwarzanie.
Ustawa o ochronie danych osobowych (jej nowelizacja weszła w życie 1 stycznia 2015 r.) i wydane do niej rozporządzenia wykonawcze wyznaczają ramy prawne przetwarzania danych. Do czego zobowiązuje przedsiębiorcę ustawa? Jakie zasady przetwarzania danych wyznacza?
Przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były:
- przetwarzane zgodnie z prawem,
- zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami,
- merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane,
- przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania.
Przedsiębiorca zobowiązany jest do zachowania środków organizacyjnych, technicznych i organizacyjnych w zakresie bezpieczeństwa ochrony danych. Do organizacyjnych obowiązków prowadzącego działalność gospodarczą należy:
- powołanie i zgłoszenie do GIODO Administratora Bezpieczeństwa Informacji lub samodzielne wykonywanie obowiązków z zakresu ochrony danych osobowych,
- powołanie Administratora Systemów Informatycznych lub samodzielne dbanie o system informatyczny w zakresie ochrony danych,
- wprowadzenie dla pracowników i osób współpracujących na podstawie umowy-zlecenia lub o dzieło upoważnień do przetwarzania danych osobowych oraz oświadczeń o znajomości regulacji dotyczących ochrony danych i zachowania poufności,
- prowadzenie ewidencji wydanych upoważnień,
- wprowadzenie polityki bezpieczeństwa,
- wprowadzenie instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych.
Polityka bezpieczeństwa to obligatoryjny dokument u wszystkich przetwarzających dane osobowe, który zawiera:
1) wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe;
2) wykaz zbiorów danych wraz ze wskazaniem programów zastosowanych do ich przetwarzania;
3) opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi;
4) sposób przepływu danych pomiędzy poszczególnymi systemami;
5) określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.
Jeżeli przedsiębiorca przetwarza dane osobowe w systemie informatycznym, jest zobowiązany do wprowadzenia instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, która zawiera:
- procedury nadawania uprawnień do przetwarzania danych i rejestrowania ich w systemie oraz wskazanie osoby odpowiedzialnej za te czynności;
- stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem;
- procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników;
- procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania;
- sposób, miejsce i okres przechowywania:
– elektronicznych nośników informacji zawierających dane,
– kopii zapasowych
- sposób zabezpieczenia systemu informatycznego przed działalnością groźnego oprogramowania;
- procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.
Każdy podmiot przetwarzający dane osobowe jest zobowiązany do rejestracji zbiorów danych osobowych w GIODO, uwzględniając wyłączenia ustawowe. Jeżeli przedsiębiorca powoła ABI i zgłosi go do GIODO, to wtedy ABI będzie zobligowany do prowadzenia wewnętrznej ewidencji zbiorów. Niedopełnienie tych obowiązków wyłącza legalne przetwarzanie danych.
Fizyczne i techniczne środki ochrony danych to:
- przechowywanie papierowej dokumentacji oraz elektronicznych nośników danych zawierających dane osobowe w sposób uniemożliwiający dostęp do nich osobom nieupoważnionym, np. w zamkniętych pomieszczeniach i szafach,
- zasada czystego biurka, czyli niezostawianie na biurku żadnych dokumentów po zakończeniu pracy,
- zabezpieczenie budynku poprzez montaż krat w oknach, instalację monitoringu lub zlecenie ochrony.
Prowadzący działalność powinien zadbać o bezpieczeństwo teleinformatyczne, czyli:
- zobowiązać korzystających z komputerów do wprowadzenia unikatowych haseł i ich okresowej zmiany,
- wykonywać kopie zapasowe,
- aktualizować oprogramowanie,
- korzystać z oprogramowania antywirusowego
Pracownik może przetwarzać dane osobowe:
- gdy ma pisemne upoważnienie do ich przetwarzania;
- gdy jest umieszczony w Ewidencji Osób Upoważnionych do przetwarzania danych;
- tylko w celu i zakresie wskazanym w upoważnieniu;
- przez okres, na jaki upoważnienie zostało udzielone.
Pracownicy upoważnieni do przetwarzania danych osobowych są zobligowani do ochrony danych w trakcie zatrudnienia, jak i po jego ustaniu. Takie same zasady stosuje się do osób współpracujących.
Autor jest radcą prawnym
Sprawdzi inspektor
Każdy powinien się liczyć z kontrolą GIODO, który ma prawo:
1) wstępu w godzinach od 6 do 22 za okazaniem imiennego upoważnienia i legitymacji służbowej do pomieszczenia, w którym zlokalizowany jest zbiór danych, oraz pomieszczenia, w którym przetwarzane są dane poza zbiorem danych, i przeprowadzenia niezbędnych badań lub innych czynności kontrolnych w celu oceny zgodności przetwarzania danych z ustawą;
2) żądać złożenia pisemnych lub ustnych wyjaśnień oraz wzywać i przesłuchiwać osoby w zakresie niezbędnym do ustalenia stanu faktycznego;
3) wglądu do wszelkich dokumentów i danych mających bezpośredni związek z przedmiotem kontroli oraz sporządzania ich kopii;
4) przeprowadzania oględzin urządzeń, nośników oraz systemów służących do przetwarzania;
5) zlecać sporządzanie ekspertyz i opinii.
Kierownik kontrolowanej jednostki oraz kontrolowana osoba będąca administratorem danych osobowych są obowiązani umożliwić inspektorowi przeprowadzenie kontroli. Kontrola kończy się spisaniem protokołu i ewentualnym wydaniem decyzji administracyjnej nakazującej przywrócenie stanu zgodnego z prawem.
