KANCELARIA RADCY PRAWNEGO

ANETY JASTRZĘBSKIEJ

ANETA JASTRZĘBSKA

OBOWIĄZKI ADMINISTRATORA DANYCH OSOBOWYCH W ŚWIETLE PRZEPISÓW PRAWA

Większość przedsiębiorców w trakcie wykonywania działalności gospodarczej ma na różnych polach styczność z danymi osobowymi - informacjami o zatrudnionych pracownikach lub osobach współpracujących z nimi na podstawie umów cywilnoprawnych, informacjami o swoich klientach, podwykonawcach, itd.

 

Przesądza to o tym, że stają się oni administratorami danych osobowych będących w ich posiadaniu i przyjmują na siebie liczne obowiązki i ograniczenia nakładane przez przepisy prawa, w tym w szczególności przez:

- ustawę z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (tekst jednolity: Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.) (dalej "Ustawa"),

- rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024 z późn. zm.) (dalej "Rozporządzenie").

 

Podstawowe obowiązki administratora danych osobowych 

 

Zostały one szczegółowo wymienione w rozdziałach 3 i 4 Ustawy. Przykładem takich obowiązków jest art. 24 Ustawy, który, w przypadku zbierania danych osobowych od osoby, której one dotyczą, zobowiązuje administratora danych osobowych do poinformowania takiej osoby o:

1) adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna - o miejscu swojego zamieszkania oraz imieniu i nazwisku,

2) celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych,

3) prawie dostępu do treści swoich danych oraz ich poprawiania,

4) dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej.

 

W rozdziale 4 Ustawa reguluje także uprawnienia osób, których dane są przetwarzane. Art. 32 przykładowo określa prawo każdej osoby do kontroli przetwarzania danych, które jej dotyczą, zawartych w zbiorach danych, tj. m.in. prawo do:

1) uzyskania wyczerpującej informacji, czy taki zbiór istnieje, oraz do ustalenia administratora danych, adresu jego siedziby i pełnej nazwy, a w przypadku gdy administratorem danych jest osoba fizyczna - jej miejsca zamieszkania oraz imienia i nazwiska,

2) uzyskania informacji o celu, zakresie i sposobie przetwarzania danych zawartych w takim zbiorze,

3) uzyskania informacji, od kiedy przetwarza się w zbiorze dane jej dotyczące, oraz podania w powszechnie zrozumiałej formie treści tych danych,

4) uzyskania informacji o źródle, z którego pochodzą dane jej dotyczące, chyba że administrator danych jest zobowiązany do zachowania w tym zakresie w tajemnicy informacji niejawnych lub zachowania tajemnicy zawodowej,

5) uzyskania informacji o sposobie udostępniania danych, a w szczególności informacji o odbiorcach lub kategoriach odbiorców, którym dane te są udostępniane,

6) żądania uzupełnienia, uaktualnienia, sprostowania danych osobowych, czasowego lub stałego wstrzymania ich przetwarzania lub ich usunięcia, jeżeli są one niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem ustawy albo są już zbędne do realizacji celu, dla którego zostały zebrane.

 

Zabezpieczenie danych osobowych i dokumentacja, którą należy stworzyć 

 

Poza podstawowymi obowiązkami, które są dość powszechnie znane i nie budzą wątpliwości przedsiębiorców, Ustawa zawiera również przepisy, które są mniej popularne i spora część administratorów danych ma problem z ich realizacją. Są one zawarte w rozdziale 5, zatytułowanym "Zabezpieczenie danych osobowych".

 

Zgodnie z art. 36 ust. 1 Ustawy, administrator danych jest zobowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.

 

Administrator danych ma także obowiązek wyznaczenia administratora bezpieczeństwa informacji, tj. osoby nadzorującej przestrzeganie zasad ochrony danych osobowych w jego firmie (art. 36 ust. 3 Ustawy). Obowiązek nie ma zastosowania, gdy administrator sam wykonuje te czynności.

 

Jak stanowi art. 36 ust. 2 Ustawy, administrator danych ma także obowiązek prowadzić dokumentację opisującą sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną. Na w/w dokumentację składa się:

- polityka bezpieczeństwa,

- instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. Szczegółowo wytyczne dotyczące zawartości tych dwóch dokumentów zawiera Rozporządzenie.

 

Polityka bezpieczeństwa musi zawierać w szczególności:

1) wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe,

2) wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych,

3) opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi,

4) sposób przepływu danych pomiędzy poszczególnymi systemami,

5) określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.

 

Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych musi zawierać w szczególności:

1) procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności,

2) stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem,

3) procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu,

4) procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania,

5) sposób, miejsce i okres przechowywania:

a) elektronicznych nośników informacji zawierających dane osobowe,

b) kopii zapasowych, o których mowa w pkt 4,

6) sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego,

7) sposób realizacji wymogów, o których mowa w § 7 ust. 1 pkt 4 Rozporządzenia,

8) procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.

 

Administrator danych osobowych może dopuścić do ich przetwarzania wyłącznie osoby posiadające upoważnienie nadane przez administratora (art. 37 Ustawy), przy czym musi on zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane (art. 38 Ustawy). W tym celu, zgodnie z art. 39 ust. 1 Ustawy, administrator ma obowiązek prowadzić ewidencję osób upoważnionych do przetwarzania danych osobowych, która musi zawierać:

1) imię i nazwisko osoby upoważnionej,

2) datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych,

3) identyfikator, jeżeli dane są przetwarzane w systemie informatycznym.

 

Rejestracja zbiorów danych osobowych 

 

Należy również pamiętać, że, z wyjątkiem przypadków określonych w art. 43 ust. 1 Ustawy, każdy administrator danych osobowych ma obowiązek zgłoszenia zbioru danych osobowych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (w skrócie GIODO), który prowadzi ogólnokrajowy, jawny rejestr zbiorów danych osobowych. Mówi o tym rozdział 6 Ustawy.

 

Wymaga podkreślenia, że administrator danych może rozpocząć ich przetwarzanie w zbiorze danych dopiero po zgłoszeniu tego zbioru Generalnemu Inspektorowi Ochrony Danych Osobowych, tak więc zgłoszenia zbioru danych do rejestracji trzeba dokonać przed rozpoczęciem ich przetwarzania, czyli przed pierwszą czynnością, która będzie wykonywana na danych (zatem przed pozyskaniem pierwszych danych do zbioru).

 

Zgłoszenia zbioru danych trzeba dokonać na odpowiednim formularzu, którego wzór określają przepisy prawa.

 

Zgodnie z art. 41 ust. 1 Ustawy, zgłoszenie musi zawierać następujące elementy:

1) wniosek o wpisanie zbioru do rejestru zbiorów danych osobowych,

2) oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania, w tym numer identyfikacyjny rejestru podmiotów gospodarki narodowej, jeżeli został mu nadany, oraz podstawę prawną upoważniającą do prowadzenia zbioru, a w przypadku powierzenia przetwarzania danych podmiotowi, o którym mowa w art. 31, lub wyznaczenia podmiotu, o którym mowa w art. 31a, oznaczenie tego podmiotu i adres jego siedziby lub miejsca zamieszkania,

3) cel przetwarzania danych,

3a) opis kategorii osób, których dane dotyczą, oraz zakres przetwarzanych danych,

4) sposób zbierania oraz udostępniania danych,

4a) informację o odbiorcach lub kategoriach odbiorców, którym dane mogą być przekazywane,

5) opis środków technicznych i organizacyjnych zastosowanych w celach określonych w art. 36-39,

6) informację o sposobie wypełnienia warunków technicznych i organizacyjnych, określonych w przepisach, o których mowa w art. 39a,

7) informację dotyczącą ewentualnego przekazywania danych do państwa trzeciego.

 

Zgłoszenie można złożyć w Biurze Generalnego Inspektora Ochrony Danych Osobowych, wysłać pocztą, a także dokonać go drogą elektroniczną.

 

Należy również pamiętać, że Ustawa nakłada na administratora danych obowiązek zgłaszania Generalnemu Inspektorowi Ochrony Danych Osobowych każdej zmiany informacji zawartej w zgłoszeniu w terminie 30 dni od dnia dokonania zmiany w zbiorze danych.

 

Nasza Kancelaria służy Państwu pomocą we wszystkich problemach prawnych związanych z danymi osobowymi. Pomożemy określić obowiązki w zakresie przetwarzania danych osobowych, które Państwa firma powinna spełnić, doradzimy jakie procedury należy wprowadzić, pomożemy w przygotowaniu dokumentacji i zgłoszeniu zbioru danych Generalnemu Inspektorowi Ochrony Danych Osobowych. Zapraszamy do korzystania z naszych usług!