Pracodawca jako podmiot przetwarzający dane osobowe zatrudnionych, czyli decydujący o celach i środkach ich przetwarzania, staje się administratorem tych danych.
Ze statusem administratora danych osobowych wiąże się szereg obowiązków, które określają przepisy Ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity: Dz.U. Z 2002 r. Nr 101, poz. 926 ze zm., zwana dalej „u.o.d.o.”) oraz przepisy wykonawcze do u.o.d.o. W szczegółach określa je Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. Z 2004 r. Nr 100, poz. 1024, dalej „Rozporządzenie”).
Administrator danych zobowiązany jest stosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych, odpowiednią do zagrożeń i kategorii informacji. Przykładowo, w razie przetwarzania w systemie informatycznym danych wrażliwych (np. dotyczących stanu zdrowia pracownika) stosuje się środki bezpieczeństwa na poziomie co najmniej podwyższonym, opisane szczegółowo w załączniku do Rozporządzenia. W celu kontroli przestrzegania zasad bezpieczeństwa danych pracodawca wyznacza administratora bezpieczeństwa informacji (ABI), chyba że sam wykonuje te czynności.
Pod pojęciem przetwarzania danych kryje się wiele operacji. Należą do nich: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, zwłaszcza jeśli wykonuje się je w systemach informatycznych. Administrator zobowiązany jest zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane. W szczególności powinien chronić dane przed ich udostępnieniem osobom nieupoważnionym, zmianą, utratą, uszkodzeniem lub zniszczeniem.
Polityka bezpieczeństwa, instrukcja zarządzania systemem informatycznym
Podstawowe działania służące zabezpieczeniu danych osobowych stanowi m.in. wyznaczenie osoby odpowiedzialnej za bezpieczeństwo danych w systemie informatycznym, opracowanie polityki bezpieczeństwa i stworzenie instrukcji określającej sposób zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. Dokumentację wdraża administrator danych w formie pisemnej. Rozporządzenie określa minimalne warunki, jakie muszą spełniać oba dokumenty (patrz ramka 2 i 3).
Ramka 2. Polityka bezpieczeństwa zawiera w szczególności:
1. wykaz budynków, pomieszczeń lub części pomieszczeń tworzących obszar, w którym przetwarzane są dane osobowe;
2. wykaz zbiorów danych osobowych, wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych;
3. opis struktury zbiorów danych, wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi;
4. sposób przepływu danych między poszczególnymi systemami;
5. określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.
Ramka 3. Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych powinna obejmować m.in.:
1. procedury nadawania uprawnień do przetwarzania danych i ich rejestrowania w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności;
2. stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem;
3. procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu;
4. procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania;
5. sposób, miejsce i okres przechowywania elektronicznych nośników informacji zawierających dane osobowe oraz kopii zapasowych;
6. sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego;
7. sposób realizacji wymogu odnotowania przez system informacji o odbiorcach, którym dane zostały udostępnione oraz dacie i zakresie tego udostępnienia;
8. procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.
koniec_str_1#
Uwzględniając kategorie przetwarzanych danych i zagrożenia, Rozporządzenie wprowadza trzy poziomy bezpieczeństwa przetwarzania danych osobowych w systemie informatycznym: podstawowy, podwyższony i wysoki. Stosuje się je w zależności od rodzaju przetwarzania danych i połączenia urządzeń systemu informatycznego z siecią publiczną.
Upoważnienie do przetwarzania danych osobowych
Zarządzając aktami osobowymi personelu przetwarza się informacje w nich zawarte. Podstawowym zadaniem administratora jest zapewnienie legalności ich wykorzystywania i zabezpieczenie przed utratą, uszkodzeniem, zniszczeniem czy udostępnieniem osobom nieupoważnionym. Pracodawca jest zobowiązany do stosowania środków technicznych i organizacyjnych, które zapewnią im ochronę. Do przetwarzania danych w systemie informatycznym i do obsługi urządzeń wchodzących w jego skład mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych.
Co istotne, u.o.d.o. wprowadza obowiązek prowadzenia ewidencji osób upoważnionych do ich przetwarzania, która prócz wskazania imienia i nazwiska powinna zwierać datę nadania i ustania upoważnienia oraz jego zakres, a także identyfikator użytkownika (w przypadku przetwarzania danych w systemie informatycznym). Osoby upoważnione są zobowiązane zachować te informacje w poufności – dotyczy to również sposobów ich zabezpieczenia.
Obszar, na którym przetwarzane są dane osobowe zabezpiecza się przed dostępem osób nieuprawnionych na czas nieobecności osób upoważnionych. Przebywanie na takim terenie osób nieuprawnionych jest dopuszczalne jedynie za zgodą administratora danych lub w obecności osoby upoważnionej.
Równie ważną kwestią jest zabezpieczenie systemu informatycznego w szczególności przed działaniem oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego. Niezwykle istotna jest także ochrona przed utratą danych spowodowaną awarią zasilania lub zakłóceniami sieci. Dane osobowe przetwarzane w systemie informatycznym zabezpiecza się przez wykonywanie kopii zapasowych zbiorów danych i programów służących do przetwarzania danych. W przypadku gdy do uwierzytelniania użytkownika stosuje się hasło, środki bezpieczeństwa na poziomie podstawowym wymagają, aby jego zmiana następowała nie rzadziej niż co 30 dni. Powinno ono też składać się co najmniej z sześciu znaków.
Odpowiedzialność karna za naruszenie przepisów
Rozdział 8 u.o.d.o. zawiera przepisy karne za naruszenie postanowień ustawy. W szczególności u.o.d.o. w art. 51 ust. 1 przewiduje, że „Kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch.” Natomiast, kto administrując danymi narusza choćby nieumyślnie obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku (art. 52 u.o.d.o.). Przepis art. 54 u.o.d.o. stanowi, że kto administrując zbiorem danych nie dopełnia obowiązku poinformowania osoby, której dane dotyczą o jej prawach lub przekazania tej osobie informacji umożliwiających korzystanie z praw przyznanych jej w u.o.d.o., podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.
Justyna Metelska, Adwokat w TGC Corporate Lawyers
Tu jesteś:
- Wiadomości
- Nowości
- W firmie jak w banku
