Baza wiedzy

LISTA KONTROLNA z zakresu ochrony danych osobowych - czy Twoja organizacja spełnia podstawowe wymogi prawne?

Autor: Jakub WezgrajData dodania: Kategoria: Administrator Bezpieczeństwa Informacji, Wymogi ustawowe

Coraz głośniej mówi się o unijnym ogólnym rozporządzeniu o ochronie danych (RODO), które wejdzie w życie 25 maja 2018 roku. I bardzo słusznie, bo jej stosowanie będzie bardzo dużym wyzwaniem. Ale z drugiej strony moje doświadczenia pokazują, że wiele przedsiębiorstw (a czasem również instytucji publicznych) nadal nie spełnia aktualnych wymogów ustawy o ochronie danych osobowych. Może więc zanim zaczniemy myśleć o RODO, warto zastanowić się na ile spełniamy obecne wymagania prawne? Tym bardziej, że stanowią one fundament również regulacji unijnych, które wejdą w życie w 2018 roku.

W tym artykule przedstawiłem zestawienie absolutnie podstawowych wymogów prawnych z zakresu ochrony danych osobowych, które wynikają z:

  • ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych,
  • Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych,
  • Rozporządzenia Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji.

Zaznaczam, że są to podstawowe wymagania prawne, od których wdrożenia powinna zacząć każda organizacja przetwarzająca dane osobowe. W rzeczywistości jednak aktualnie obowiązujące przepisy przewidują dużo więcej wymagań (jak np. zasada legalności przetwarzania danych o której mowa w art. 23 i 27 ustawy, obowiązki informacyjne, o których mowa w art. 24,25 oraz 32 ustawy i wiele więcej).

Czy wdrożono Politykę bezpieczeństwa?

Podstawa prawna: § 4 Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. 2004 r. Nr 100, poz. 1024).

Co zgodnie z tym przepisem powinna zawierać Polityka bezpieczeństwa?:

  • wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe (tzw. obszar przetwarzania danych),

  • wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych,

  • opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi,

  • opis sposobu przepływu danych pomiędzy poszczególnymi systemami,

  • określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.

Warto pamiętać, że Polityka bezpieczeństwa powinna być prowadzona w formie pisemnej (§ 3 ust. 2 przytaczanego Rozporządzenia).

Czy wdrożono Instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych?

Podstawa prawna: § 5 Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. 2004 r. Nr 100, poz. 1024).

Co powinna zawierać Instrukcja?

  • procedurę nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności,
  • opis stosowanych metod i środków uwierzytelnienia (logowania użytkowników w systemach informatycznych) oraz procedury związane z ich zarządzaniem i użytkowaniem,
  • opis procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu,
  • opis procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania,
  • opis sposobu, miejsca i okresu przechowywania:

a) elektronicznych nośników informacji zawierających dane osobowe,

b) kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania,

  • opis sposobu zabezpieczenia systemu informatycznego przed działalnością oprogramowania, o którym mowa w pkt III ppkt 1 załącznika do rozporządzenia (chodzi o tzw. "złośliwe" oprogramowanie, czyli wirusy, trojany, rootkity etc.),
  • opis sposobu realizacji wymogów, o których mowa w § 7 ust. 1 pkt 4 przytaczanego Rozporządzenia,
  • procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.

Podobnie jak Polityka bezpieczeństwa, również Instrukcja zarządzania systemem informatycznym powinna być prowadzona w formie pisemnej.

Czy wszystkie osoby uzyskujące dostęp do danych osobowych w ramach organizacji otrzymały upoważnienie do ich przetwarzania?

Podstawa prawna: art. 37 ustawy o ochronie danych osobowych

„Do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych”

Upoważnienie do przetwarzania danych osobowych jest imiennym dokumentem, który powinien być wydawany dla konkretnej osoby. Warto pamiętać, że upoważnienia powinny być wydawane nie tylko pracownikom (osobom zatrudnionym w oparciu o stosunek pracy), ale również współpracownikom (osobom wykonującym zlecone prace na podstawie umów cywilnoprawnych, np. umowy zlecenia lub o dzieło), a także praktykantom, stażystom, wolontariuszom etc. jeżeli osoby te uzyskują dostęp do danych osobowych.

Czy jest prowadzona ewidencja wydanych upoważnień do przetwarzania danych osobowych?

Podstawa prawna: art.39 ust. 1 ustawy o ochronie danych osobowych

„Administrator danych prowadzi ewidencję osób upoważnionych do ich przetwarzania, która powinna zawierać:

1) imię i nazwisko osoby upoważnionej;

2) datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych;

3) identyfikator, jeżeli dane są przetwarzane w systemie informatycznym”.

Czy został powołany Administrator Bezpieczeństwa Informacji?

Podstawa prawna: art. 36a i 36b ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych

„Administrator danych może powołać administratora bezpieczeństwa informacji”

„W przypadku niepowołania administratora bezpieczeństwa informacji zadania określone w art. 36a ust. 2 pkt 1, z wyłączeniem obowiązku sporządzania sprawozdania, o którym mowa w art. 36a ust. 2 pkt 1 lit. a, wykonuje administrator danych.”

Konkluzja: każdy podmiot (administrator danych) może zdecydować, czy wyznaczy Administratora Bezpieczeństwa Informacji. Funkcję tą może pełnić wyłącznie konkretna osoba fizyczna, która spełnia wymagania określone w art. 36a ust. 5 ustawy o ochronie danych osobowych. Jeżeli taka osoba zostanie wyznaczona, będzie musiała realizować zadania określone w art. 36a ust. 2 ustawy - zgodnie z treścią tego przepisu poprzez realizację swoich ustawowych zadań będzie odpowiadała za zapewnienie przestrzegania przepisów o ochronie danych osobowych w danej organizacji.

Do ustawowych zadań osoby pełniącej funkcję Administratora Bezpieczeństwa Informacji należy:

1)  zapewnianie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez:

a) sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych,

b) nadzorowanie opracowania i aktualizowania dokumentacji, o której mowa w art. 36 ust. 2, oraz przestrzegania zasad w niej określonych,

c) zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych.

2)  prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych, z wyjątkiem zbiorów, o których mowa w art. 43 ust. 1 ustawy, zawierającego nazwę zbioru oraz informacje, o których mowa w art. 41 ust. 1 pkt 2-4a i 7 ustawy.

 

Uwaga: jeżeli konkretna organizacja (administrator danych) nie zdecyduje się na powołanie Administratora Bezpieczeństwa Informacji, będzie zmuszona samodzielnie realizować jego ustawowe zadania, o których mowa w punkcie 1 litera a) (za wyjątkiem obowiązku opracowania sprawozdań, o których mowa w tym przepisie) oraz b) i c) powyżej. W praktyce więc i tak będzie zmuszona wyznaczyć kogoś, aby wykonywał te czynności w jej imieniu.

Jeśli chcesz się dowiedzieć w jaki sposób należy realizować poszczególne zadania Administratora Bezpieczeństwa Informacji, w tym jak przeprowadzać sprawdzenia planowe z zakresu ochrony danych osobowych, zapraszam do lektury mojego eBooka "Zawód - Administrator Bezpieczeństwa Informacji".

eBook można pobrać na stronie głównej www.odoekspert.pl.

Czy są przeprowadzane sprawdzenia planowe z zakresu ochrony danych osobowych?

Podstawa prawna: art. 36a i 36b ustawy o ochronie danych osobowych oraz Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji (Dz. U. z 2015 r., poz. 745).

„Ilekroć w rozporządzeniu jest mowa o:

sprawdzeniu - należy przez to rozumieć czynności mające na celu zweryfikowanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych”

Szczegółowy opis w jaki sposób należy przeprowadzać sprawdzenia planowe zawarłem w moim eBooku, tak więc osoby zainteresowane odsyłam do jego treści.

Czy wewnętrzna dokumentacja przetwarzania danych osobowych jest nadzorowana i okresowo aktualizowana?

Podstawa prawna: art. 36a i 36b ustawy o ochronie danych osobowych oraz Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji (Dz. U. z 2015 r., poz. 745).

Przez "dokumentację przetwarzania danych" należy rozumieć Politykę bezpieczeństwa oraz Instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych osobowych (o których była mowa wcześniej).

Zgodnie z wymaganiami § 7 przytaczanego Rozporządzenia dokumentację przetwarzania danych należy weryfikować pod kątem:

1) opracowania i kompletności tej dokumentacji;

2) zgodności dokumentacji z obowiązującymi przepisami prawa;

3) stanu faktycznego w zakresie przetwarzania danych osobowych;

4) zgodności ze stanem faktycznym przewidzianych w dokumentacji przetwarzania danych środków technicznych i organizacyjnych służących przeciwdziałaniu zagrożeniom dla ochrony danych osobowych;

5) przestrzegania zasad i obowiązków określonych w dokumentacji przez osoby, które powinny się do nich stosować.

Sposób w jaki należy przeprowadzać weryfikację dokumentacji przetwarzania danych opisałem szczegółowo w moim eBooku.

Czy osoby upoważnione do przetwarzania danych są zapoznawane z wymaganiami prawnymi z zakresu ochrony danych osobowych?

Podstawa prawna: art. 36a ust. 2 pkt 1 lit. c i 36b ustawy o ochronie danych osobowych.

Do zadań Administratora Bezpieczeństwa Informacji (a gdy nie został powołany – do obowiązków Administratora Danych) należy między innymi zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych.

Sposób w jaki można "zapoznawać" osoby upoważnione z przepisami z zakresu ochrony danych osobowych opisałem w odrębnym artykule (kliknij TUTAJ).

Czy organizacja stosuje minimalnie wymagane środki bezpieczeństwa wobec przetwarzanych danych osobowych?

Podstawa prawna: Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. 2004 r. Nr 100, poz. 1024).

Uwaga na treść Załącznika A, B oraz C do Rozporządzenia - to właśnie w tych załącznikach wymienione są minimalne wymagania w zakresie środków bezpieczeństwa jakie należy stosować.

Treść Rozporządzenia razem z Załącznikiem A, B oraz C znajduje się TUTAJ.

Zadaj pytanie  lub  Zadzwoń: 600 677 026

GIODOochrona danych osobowychprzepisy prawaustawa

Wróć

Do góry