Jak prawidłowo zabezpieczyć dane osobowe?
21 lis 2017
Rozporządzenie Parlamentu Europejskiego z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, które wejdzie w życie 25 maja 2018 r., pozostawi po stronie Administratora Danych obowiązek zabezpieczenia danych osobowych.
W myśl art. 32 ww.rozporządzenia „Administrator wdraża odpowiednie środki techniczne i organizacyjne, by zapewnić poziom bezpieczeństwa stosowny do ryzyk związanych z przetwarzaniem oraz charakterem danych osobowych, które należy chronić, uwzględniając najnowsze osiągnięcia techniczne oraz koszty ich wdrożenia”.
Niemniej jednak, nowe uregulowania będą różnić się od aktualnie obowiązujących, zwłaszcza jeżeli chodzi o niektóre warunki spoczywające na podmiotach przetwarzających dane osobowe.
- Co należy rozumieć przez środki techniczne?
Wskazana powyżej ustawa nie precyzuje, jakie środki techniczne zapewniają ochronę przetwarzanych danych osobowych. Szczegółowe wytyczne znajdziemy w Rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. Nr 100, poz. 1024) – zwanym dalej: „Rozporządzeniem”.
Rozporządzenie, poza wymogami dotyczącymi dokumentacji przedstawiającej sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne mające na celu ich ochronę, jak również kategorię danych objętych ochroną, wskazuje m.in.:
- wytyczne dotyczące sposobu zapisywania udostępniania danych osobowych i bezpieczeństwa przetwarzania danych osobowych,
- wymogi techniczne i organizacyjne urządzeń i systemów informatycznych przetwarzających dane osobowe.
Rozporządzenie wskazuje na trzy poziomy bezpieczeństwa przetwarzanych danych osobowych:
- podstawowy,
- podwyższony,
- wysoki.
Poziom podstawowy ma zastosowanie, o ile w systemie informatycznym nie są przetwarzane dane wskazane w art. 27 ustawy (np. dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, stan zdrowia, kod genetyczny, nałogi, życie seksualne, dane dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym), jak również urządzenia systemu informatycznego przetwarzające dane osobowe nie są połączone bezpośrednio z siecią publiczną.
W odróżnieniu od poziomu podstawowego, poziom podwyższony ma zastosowanie, gdy system informatyczny przetwarza dane osobowe wskazane w art. 27 ustawy. Niemniej jednak, przy zastosowaniu omawianego poziomu, żadne z urządzeń systemu informatycznego przetwarzającego dane osobowe nie może być połączone z siecią publiczną.
Z kolei poziom wysoki ma zastosowanie, gdy co najmniej jedno urządzenie systemu informatycznego przetwarzającego dane osobowe połączone jest z siecią publiczną.
Rozporządzenie szczegółowo opisuje, jakie środki bezpieczeństwa (środki techniczne) należy zastosować do wskazanych powyżej poziomów bezpieczeństwa.
Należy zwrócić uwagę, iż rozporządzenie nie reguluje kwestii sposobu doboru środków technicznych w odniesieniu do Organizacji przetwarzających dane osobowe tylko w formie papierowej. Pomocnym w tym zakresie jest art. 36 ustawy. Inaczej mówiąc, środki techniczne powinny odpowiadać zagrożeniom oraz kategoriom danych objętych ochroną. Środkami zabezpieczającymi dane osobowe są m.in. systemy antywłamaniowe, kontroli dostępu, alarmowe.
Podsumowując, ustawodawca dość wybiórczo określił obowiązek zabezpieczenia danych osobowych. Zarówno sama ustawa, jak mające do niej zastosowanie przepisy wykonawcze wskazują jedynie pewne wymogi, które muszą przestrzegać Administratorzy Danych Osobowych.
- Co należy rozumieć przez środki organizacyjne?
Ustawa kładzie nacisk, aby:
- Administrator Danych prowadził dokumentację opisującą sposób przetwarzania danych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych (art. 36 ustawy),
- do przetwarzania danych mogły być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez Administratora Danych (art. 37 ustawy),
- Administrator danych prowadził ewidencję osób upoważnionych do przetwarzania danych, która powinna zawierać: imię i nazwisko osoby upoważnionej, datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych, identyfikator, jeżeli dane są przetwarzane w systemie informatycznym (art. 39 ust 1 ustawy),
- Administrator Danych zapewniał kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane.
Środkiem organizacyjnym mającym na celu należyte zabezpieczenie danych osobowych jest możliwość powołania Administratora Bezpieczeństwa Informacji (zwanego dalej: „ABI”).
Ad a.
Co się tyczy dokumentacji, Administrator Danych zobowiązany jest opracować i wdrożyć dwa kluczowe dokumenty, tj. politykę bezpieczeństwa i instrukcję zarządzania systemem informatycznym. Oba wskazane powyżej dokumenty powinny zawierać elementy wskazane w § 4 i § 5 rozporządzenia.
Ad b-d
Upoważnienie do przetwarzania danych w Organizacji może wydawać Administrator Danych Osobowych, jak również Administrator Bezpieczeństwa Informacji, o ile posiada odpowiednie umocowanie od ADO. Na podstawie stosownego pełnomocnictwa, takie upoważnienie może wydać także osoba zatrudniona w dziale kadr i księgowości. Upoważnienie powinno określać nazwę (nazwisko) i adres Administratora Danych, datę nadania i jeżeli jest ono przyznawane na czas określony oraz jego zakres do przetwarzania danych osobowych.
Ewidencję osób upoważnionych do przetwarzania danych osobowych w Organizacji może prowadzić ABI, jak również inne osoby umocowane przez Administratora Danych.