Baza wiedzy

Ustawa o ochronie danych osobowych reguluje podstawowe zasady bezpieczeństwa oraz prawidłowego przetwarzania danych osobowych. Ale fundamentalna zasada stanowi, że zanim ustalimy jakie konkretnie środki bezpieczeństwa należy stosować, najpierw musimy wiedzieć co podlega ochronie. W omawianym przypadku ustawowej ochronie podlegają dane osobowe przetwarzane w zbiorach danych oraz systemach informatycznych.

Tylko jak ustalić z iloma zbiorami danych mamy do czynienia?

Posłuchaj Podcastu ODOeksperta

Odcinek 1 "Jak prawidłowo przeprowadzić inwentaryzację zbiorów danych osobowych?"

Pobierz ten odcinek Podcastu w formacie MP3 (kliknij prawym przyciskiem myszy "zapisz jako...").

Kluczowa zasada wdrażania systemu ochrony danych osobowych – najpierw ustal co w twojej organizacji podlega ochronie, a dopiero później planuj konkretne rozwiązania

Gdy otworzymy tekst ustawy o ochronie danych osobowych (dla zainteresowanych tekst ustawy znajduje się TUTAJ), bardzo szybko zauważymy, że w pierwszej kolejności wskazano w niej, co podlega ustawowej ochronie. Już w art. 2 możemy przeczytać, że niniejszą ustawę stosuję się do przetwarzania danych osobowych:

• w kartotekach, skorowidzach, księgach, wykazach i w innych zbiorach ewidencyjnych
• w systemach informatycznych, także w przypadku przetwarzania danych poza zbiorem danych.

Innymi słowy ustawę o ochronie danych osobowych stosuje się do danych osobowych przetwarzanych w zbiorach danych oraz w systemach informatycznych.

Przez zbiory danych należy rozumieć takie zestawienia danych osobowych, które posiadają wewnętrzną strukturę, a konkretne dane osobowe które się w nich znajdują można wyszukiwać według określonych kryteriów (np. według liter alfabetu można wyszukiwać nazwiska, które zaczynają się na konkretną literę albo konkretne dane można wyszukiwać po numerze PESEL, NIP lub chociażby po dacie wprowadzenia danych do zestawienia). Co bardzo istotne, dane osobowe z konkretnego zbioru danych mogą być przetwarzane zarówno w formie papierowej jak i elektronicznej lub w obu tych formach jednocześnie.

Sztandarowym przykładem zbioru danych przetwarzanego zarówno w formie papierowej jak i elektronicznej jest zbiór kadrowo-płacowy. W tym zbiorze przetwarzane są bowiem dane obecnych oraz byłych pracowników, które zgodnie z wymaganiami przepisów prawa pracy pracodawca ma obowiązek prowadzić w formie papierowej (w postaci tzw. teczek osobowych, które prowadzi każdy dział kadr), ale jednocześnie dane te zazwyczaj znajdują się także w systemie kadrowo-płacowym (a często również w innych, np. bankowości elektronicznej która służy do przelewania wynagrodzeń), a także w systemie niezbędnym do rozliczeń z ZUS – Płatnikiem.

Skoro ustawa o ochronie danych osobowych w pierwszej kolejności wskazuje co podlega ochronie,
my również powinniśmy się zastanowić co konkretnie podlega ustawowej ochronie w naszej organizacji. Musimy się więc zastanowić z iloma zbiorami danych oraz systemami informatycznymi służącymi do przetwarzania danych osobowych mamy do czynienia. Każda organizacja (przedsiębiorstwo, zakład pracy, urząd, fundacja, stowarzyszenie etc.) ma bowiem swoją specyfikę i w związku z tym występują w nich różnice w posiadanych zbiorach danych oraz systemach informatycznych.

Konieczność ustalenia (inwentaryzacji) w pierwszej kolejności zbiorów danych wynika z jeszcze jednego, bardzo logicznego powodu. W jaki sposób mielibyśmy skutecznie stosować wymagania ustawy (np. w zakresie stosowanych środków bezpieczeństwa) skoro nie wiemy wobec czego je stosować?

Zbiory danych osobowych to punkt wyjścia i klucz do skutecznego stosowania wymogów ustawy

Można zaryzykować twierdzenie, że zbiory danych są tak istotnym aktywem w każdym systemie ochrony danych osobowych, że w zasadzie wszystko się od nich zaczyna. Wszystkie zbiory danych osobowych muszą być dokładnie opisane w Polityce bezpieczeństwa – podstawowym dokumencie przetwarzania danych osobowych jaki musi być wdrożony w każdej organizacji (zgodnie z wymaganiami § 4 Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych).

Na tym nie koniec. Każde sprawdzenie planowe przeprowadzane przez Administratora Bezpieczeństwa Informacji również musi uwzględniać konkretne zbiory danych osobowych oraz systemy informatyczne, które służą do ich przetwarzania.

Jak ustalić, ile konkretnie zbiorów danych przetwarzanych jest w organizacji? Podpowiedź znajdziemy w orzecznictwie GIODO

Aby dokonać inwentaryzacji zbiorów danych osobowych, w pierwszej kolejności należy się zastanowić, w oparciu o jakie kryteria należy je rozróżniać. I tu przychodzi nam z pomocą Generalny Inspektor Ochrony Danych Osobowych, który w ramach prowadzonych postępowań wielokrotnie wskazywał na kryteria inwentaryzacji zbiorów danych osobowych. Co ciekawe, wskazówki te pochodzą z decyzji GIODO odmawiających dokonania rejestracji zbiorów danych osobowych w rejestrze prowadzonym przez Generalnego Inspektora. Zdarza się bowiem stosunkowo często, że konkretny administrator danych dokonując zgłoszenia zbioru danych do rejestru GIODO w ramach jednego wniosku rejestracyjnego… dokonywał próby zgłoszenia kilku zbiorów danych. W takich właśnie przypadkach Generalny Inspektor Ochrony Danych Osobowych odmawiał dokonania rejestracji (wskazując,
że wniosek dotyczy w rzeczywistości kilku a nie jednego zbioru danych), a przy okazji wskazywał jakie kryteria należy stosować, by prawidłowo inwentaryzować poszczególne zbiory danych.

Przykłady takich orzeczeń znajdziemy poniżej:

• decyzja z dnia 18 lutego 2009 r., DRZDO/DEC-113/09/5462 (tekst decyzji znajduje się TUTAJ)
• decyzja z dnia 9 września 2009 r., DRZDO-DEC/904/09/32874 (tekst decyzji znajdziesz TUTAJ)

W decyzjach tych GIODO wskazywał, że „Administrator danych, dokonując zgłoszenia zbioru danych do rejestracji, powinien mieć na uwadze, iż poszczególne zbiory danych osobowych różnią się między sobą m.in. zakresem przetwarzanych danych, celem przetwarzania danych, podstawą prawną prowadzenia zbioru” (fragment decyzji DRZDO-DEC/904/09/32874).

Tak więc do podstawowych kryteriów rozgraniczania (inwentaryzacji) zbiorów danych należy zaliczyć:

• zakres przetwarzanych danych
• cel przetwarzania danych
• podstawa prawna przetwarzania danych w zbiorze.

W moim eBooku pt.  „Zawód – Administrator Bezpieczeństwa Informacji” na stronach 60-62 przedstawiłem w jaki sposób kryteria inwentaryzacji pomagają „wyodrębnić” poszczególne zbiory danych osobowych oraz jak te kryteria należy stosować w praktyce. Przykład oparty jest na zbiorach „Kandydatów do pracy” oraz „Kadrowo – płacowym”, a więc takich które występują w przeważającej większości podmiotów.

Przykłady zbiorów danych osobowych

W mojej praktyce pojawiały się bardzo zróżnicowane zbiory danych osobowych, co wynika ze specyfiki konkretnych organizacji, z którymi miałem okazję współpracować. Również liczba zbiorów danych osobowych w konkretnych podmiotach jest bardzo zróżnicowana (może sięgać od kilku do nawet ponad stu zbiorów danych). Tak więc bardzo ważna jest tutaj specyfika konkretnego podmiotu, choć czasami może się zdarzyć tak, że niektóre zbiory danych występować będą w większości organizacji (dotyczy to tych, które należy prowadzić w takim samym zakresie w oparciu o obowiązujące przepisy prawa – np. przepisy prawa pracy).

Poniżej prezentuję wybraną listę przykładowych zbiorów danych występujących w różnych podmiotach oraz sektorach rynku:

• kandydaci do pracy
• kadrowo – płacowy
• osoby uprawnione do świadczeń z Zakładowego Funduszu Świadczeń Socjalnych
• BHP (w tym szkolenia wstępne i okresowe oraz rejestry wypadków)
• współpracownicy
• kontrahenci (i ich przedstawiciele)
• pracownicy tymczasowi
• klienci
• potencjalni klienci (zbiór marketingowy)
• konkursy
• wydarzenia firmowe (np. gwiazdka, dzień dziecka)
• newsletter
• użytkownicy sklepu internetowego / portalu internetowego
• reklamacje
• windykacja należności
• pacjenci (dotyczy placówek leczniczych)
• członkowie (dotyczy podmiotów, w których przewidziane jest członkostwo – np. stowarzyszenia, fundacje)
• rejestr osób wchodzących i wychodzących do budynków (często prowadzone rejestry gości w portierniach)
• wideomonitoring
• rejestr korespondencji
• księga akcjonariuszy
• rejestr darczyńców
• osoby korzystające z prywatnej opieki medycznej
• osoby korzystające z zajęć rekreacyjnych
• osoby objęte ubezpieczeniem grupowym
• rejestr wydanych przepustek / kart wstępu na teren budynku
• rejestry transakcji (branża finansowa)

i wiele, wiele innych.

Nazewnictwo zbiorów danych

Kwestia nazewnictwa zbiorów danych nie jest uregulowana prawnie i ma charakter czysto umowny. Możemy więc nazywać zbiory danych według własnego uznania. Zazwyczaj przyjmuje się jednak, że konkretna nazwa zbioru pochodzi albo od kategorii osób, których dane są w nim przetwarzane (np. zbiór „klienci”, „kandydaci do pracy”) albo od celu w jakim dane w zbiorze są przetwarzane (wymienione wcześniej zbiory równie dobrze można nazwać „sprzedaż usług” oraz „rekrutacja”). Ma to jednak znaczenie wyłącznie praktyczne i nie jest podyktowane wymogami prawnymi.

Więcej usłyszysz w moim podcaście

Jeżeli ten artykuł jest dla Ciebie interesujący, zapraszam do wysłuchania Podcastu ODOeksperta, który zawiera jeszcze więcej ciekawych informacji. Link do odtwarzacza z Podcastem znajduje się na górze tego artykułu.