Obowiązki administratora danych osobowych (cz. II)

6.       Obowiązek wynikający z art. 36 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych[1]

Kolejnym z obowiązków, które musi realizować administrator danych jest obowiązek, o którym mowa w art. 36 ustawy, tzn. stosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną.

6.1.      Obowiązek prowadzenia dokumentacji z zakresu ochrony danych osobowych

Artykuł 36 ust. 2 Uodo zobowiązuje administratora danych do prowadzenia dokumentacji z zakresu ochrony danych osobowych. Nie precyzuje jednak, jakie dokumenty powinny wchodzić w skład tej dokumentacji. W myśl art. 39a ustawy zakres i sposób prowadzenia dokumentacji skonkretyzowane zostały w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych[2]. I tak zgodnie z § 3 Ruodo w skład dokumentacji wchodzi polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych.

Nie ma jednakże przeciwwskazań, żeby pod pojęciem „dokumentacja z zakresu danych osobowych” określać również dokumenty, które nie zostały wymienione w rozporządzeniu, lecz są uregulowane wprost w ustawie. W zakres tych dokumentów wchodzą ewidencja osób upoważnionych do przetwarzania danych osobowych (art. 39 ust. 1 Uodo) i upoważnienia do przetwarzania danych osobowych (art. 37 Uodo).

Obowiązek prowadzenia dokumentacji opisującej sposób przetwarzania danych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych spoczywa zasadniczo na każdym administratorze danych. Na omawiany obowiązek nie wpływa ani zakres przetwarzanych danych osobowych, ani też metody ich przetwarzania. Obowiązek prowadzenia dokumentacji z zakresu ochrony danych osobowych ciąży na administratorze danych zarówno wtedy, gdy przetwarza on dane automatyczne – w systemie informatycznym, zbiorze ewidencyjnym – ręcznie, jak również wówczas, gdy zbiór jeszcze nie powstał, a administrator zbiera dane w celu jego utworzenia. Do prowadzenia omawianej dokumentacji obowiązani są także administratorzy danych niemający obowiązku rejestracji zbioru danych[3], a także sporządzający zbiory doraźnie w odniesieniu do zbiorów danych osobowych sporządzanych doraźnie, wyłącznie ze względów technicznych, szkoleniowych lub w związku z dydaktyką w szkołach wyższych, a po ich wykorzystaniu niezwłocznie usuwanych albo poddanych anonimizacji.

Przy przetwarzaniu danych poza systemem informatycznym ani ustawa, ani akty wykonawcze nie określają sposobów podziału danych. Natomiast przy przetwarzaniu danych w systemie informatycznym wyróżniamy trzy poziomy przetwarzania danych ze względu na poziom bezpieczeństwa danych – podstawowy, podwyższony i wysoki. Rozporządzenie określa jakie warunki administrator danych musi zapewnić dla przetwarzania danych o określonym statusie i jakie dane do danego poziomu zakwalifikować.

Poszczególne dokumenty wchodzące w skład dokumentacji z zakresu ochrony danych osobowych opisują sposoby zabezpieczenia tych danych i są objęte tajemnicą ochrony danych osobowych, o której mowa w art. 39 ust. 2 ustawy. Ponadto w orzeczeniach sądów administracyjnych da zauważyć się pogląd, że mogą one i powinny być zaklasyfikowane jako stanowiące tajemnicę[4] i wówczas będą podlegać ochronie przewidzianej w ustawie z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych[5].

Administrator danych obowiązany jest, w myśl § 3 ust. 1 Ruodo, wdrożyć politykę bezpieczeństwa i instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. Poprzez „wdrożenie” należy rozumieć ich opublikowanie i zapoznanie z nimi osób upoważnionych do przetwarzania danych osobowych, a także osób zatrudnionych, wolontariuszy, praktykantów itp., których zachowania mogą mieć wpływ na bezpieczeństwo danych osobowych. Wskazane jest przekazanie kopii tych dokumentów przynajmniej do wglądu z pisemnym potwierdzeniem zapoznania się z ich treścią[6].

6.2.      Obowiązek wyznaczenia ABI

Zgodnie z ust. 3 art. 36 Uodo, administrator danych musi wyznaczyć administratora bezpieczeństwa informacji (ABI), nadzorującego przestrzeganie zasad ochrony, o których mowa była wcześniej, chyba że sam wykonuje te czynności. Przy czym z obowiązku wyznaczenia ABI zwolnione są następujące kategorie administratorów danych:

1. administratorzy danych będący osobami fizycznymi samodzielnie wykonujący czynności ABI (art. 36 ust. 3 Uodo),
2. administratorzy danych prowadzący prasową działalność dziennikarską w rozumieniu ustawy z 26 stycznia 1984 r. Prawo prasowe[7] oraz działalność literacką lub artystyczną (art. 3a ust. 2 Uodo).

Natomiast zwolnienie administratora danych z obowiązku rejestracji zbioru danych nie zwalnia z obowiązku wyznaczenia ABI.

ABI nadzoruje przestrzeganie obowiązków zabezpieczenia danych osobowych oraz zasad ochrony danych osobowych, określonych przez administratora danych, stosując odpowiednie do zagrożeń i kategorii danych objętych ochroną środki techniczne i organizacyjne, które mają zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. W pojęciu tych obowiązków mieści się również obowiązek wdrożenia dokumentacji określonej w przepisach wykonawczych do ustawy oraz występowanie z inicjatywami zmian tych dokumentów, stosownie do zmieniających się zagrożeń przetwarzania danych osobowych. Do zadań ABI należy w szczególności[8]:

1. przygotowywanie wniosków zgłoszeń rejestracyjnych i aktualizacja zbiorów danych oraz prowadzenie korespondencji z Generalnym Inspektorem Ochrony Danych Osobowych,
2. aktualizacja oraz bieżący nadzór nad dokumentacją wymaganą przez ustawę oraz przepisy wykonawcze do niej,
3. zatwierdzanie wzorów dokumentów (odpowiednie klauzule w dokumentach) dotyczących ochrony danych osobowych, przygotowywanych przez poszczególne komórki organizacyjne administratora danych,
4. nadzorowanie udostępniania danych osobowych odbiorcom danych i innym podmiotom,
5. sprawowanie nadzoru nad wdrożeniem stosownych środków organizacyjnych, technicznych i fizycznych w celu zapewnienia bezpieczeństwa danych osobowych,
6. sprawowanie nadzoru nad funkcjonowaniem systemu zabezpieczeń wdrożonym w celu ochrony danych osobowych,
7.  kontrola dostępu osób niepowołanych do systemu, w którym przetwarzane są dane osobowe,
8. nadzorowanie oraz podejmowanie odpowiednich działań w przypadku wykrycia naruszeń w systemie zabezpieczeń lub podejrzenia naruszenia,
9.  monitorowanie dostępu użytkowników do systemów przetwarzających dane osobowe,
10.  prowadzenie szkoleń z zakresu ochrony danych osobowych,
11. udzielanie odpowiedzi na bieżące pytania i wątpliwości z zakresu ochrony danych osobowych kierowane przez pracowników administratora danych.

6.3.      Obowiązek wdrożenia odpowiednich zabezpieczeń w celu ochrony przetwarzanych danych osobowych

Obowiązek odpowiedniej ochrony to obowiązek dynamiczny, oznacza to, że nie może być spełniony jednorazowo. Administrator danych jest obowiązany monitorować i oceniać zmieniające się zagrożenia związane z przetwarzaniem danych osobowych i odpowiednio do zachodzących zmian wykorzystywać odpowiednie środki techniczne i organizacyjne. Administrator danych nie jest zobowiązany do korzystania z najnowszych osiągnięć nauki i techniki, ale z najbardziej dostosowanych i posiadających taki poziom zabezpieczeń, który jest odpowiedni dla danych przetwarzanych przez danego administratora. Administrator danych zapewniając ochronę danych powinien brać pod uwagę względy natury organizacyjno-finansowej, jednak nie może usprawiedliwiać faktu niewykonania obowiązku zabezpieczenia danych osobowych swoją trudną sytuacją finansową.

Ochrona systemów informatycznych wymaga haseł zabezpieczających o różnym dostępie do danych, ale ochrony wymagają również pomieszczenia, w których dane są przechowywane. Generalny Inspektor Ochrony Danych Osobowych wskazuje różnorakie sposoby działań służących wykonaniu obowiązku stosowania fizycznych środków bezpieczeństwa min.:

1. dane osobowe przetwarzane są w kancelarii tajnej, prowadzonej zgodnie z wymogami określonymi w odrębnych przepisach[9],
2.  zbiory danych osobowych przechowywane są w pomieszczeniu zabezpieczonym drzwiami zwykłymi (niewzmacnianymi, nieantywłamaniowymi),
3. zbiory danych osobowych przechowywane są w pomieszczeniu zabezpieczonym drzwiami wzmacnianymi (nieantywłamaniowymi),
4. zbiory danych osobowych przechowywane są w pomieszczeniu zabezpieczonym drzwiami antywłamaniowymi,
5. zbiory danych osobowych przechowywane są w pomieszczeniu, w którym okna zabezpieczone są za pomocą krat, rolet lub folii antywłamaniowej,
6. pomieszczenie, w którym przetwarzane są dane osobowe, wyposażone jest w system alarmowy przeciwwłamaniowy,
7. dostęp do pomieszczeń, w których przetwarzane są dane osobowe, objęty jest systemem kontroli dostępu,
8. dostęp do pomieszczeń, w których przetwarzane są dane osobowe, kontrolowany jest przez system monitoringu z zastosowaniem kamer przemysłowych,
9. dostęp do pomieszczeń, w których przetwarzane są dane osobowe, jest nadzorowany przez całą dobę, a kopie zapasowe zbioru danych osobowych przechowywane są w innym pomieszczeniu niż to, w którym znajduje się komputer główny, na którym dane osobowe przetwarzane są na bieżąco,
10. kopie zapasowe/archiwalne zbioru danych osobowych przechowywane są w zamkniętej niemetalowej szafie,
11. kopie zapasowe/archiwalne zbioru danych osobowych przechowywane są w zamkniętej szafie metalowej (nieantywłamaniowej),
12. kopie zapasowe/archiwalne zbioru danych osobowych przechowywane są w zamkniętym sejfie lub kasie pancernej,
13. zbiór danych osobowych w formie pisemnej przechowywany jest w zamkniętej niemetalowej szafie,
14. zbiór danych w formie pisemnej przechowywany jest w zamkniętej szafie metalowej (nieantywłamaniowej),
15. zbiór danych w formie pisemnej przechowywany jest w zamkniętym sejfie lub kasie pancernej.

Należy zwrócić uwagę, że wskazówki sformułowane przez Generalnego Inspektora Ochrony Danych Osobowych są na tyle ogólne, że możliwe jest zastosowanie rozmaitych środków w celu ich zrealizowania. Administrator danych natomiast musi zapewnić takie fizyczne środki ochrony danych osobowych, które gwarantują, że osoby upoważnione do przetwarzania danych będą miały dostęp tylko do tych danych, które są objęte zakresem ich upoważnień, a osoby nieupoważnione nie będą mogły zapoznać się z danymi osobowymi, o ile nie są do tego uprawnione. Stąd wynika konieczność przechowywania akt w zamykanych szafach, a nie na otwartych regałach, oraz dopuszczania osób nieupoważnionych tylko do tych pomieszczeń, w których wykluczona jest możliwość nieuprawnionego zapoznania się z danymi osobowymi[10]. Ważne jest również określenie zasad przekazywania dokumentów tradycyjnych w ramach struktury organizacyjnej administratora danych między poszczególnymi komórkami organizacyjnymi oraz weryfikacja zgodności zasad obiegu dokumentów z przepisami o ochronie danych osobowych.