Baza wiedzy

Zapewnianie zapoznania osób upoważnionych do przetwarzania danych z przepisami o ochronie danych osobowych

Autor: Jakub WezgrajData dodania: Kategoria: Administrator Bezpieczeństwa Informacji, Wymogi ustawowe

Jednym z podstawowych obowiązków Administratora Bezpieczeństwa Informacji jest zapewnienie by osoby upoważnione do przetwarzania danych były zapoznane z przepisami obowiązującymi w tym zakresie. Ustawa nie wskazuje jednak w jaki sposób należy ten obowiązek realizować? Jakie więc ABI ma możliwości i co powinien robić by nie narażać się na odpowiedzialność?

Zawartość artykułu:
  • na czym polega obowiązek zapoznawania z przepisami o ochronie danych osobowych?
  • w jaki sposób i jak często należy realizować ten obowiązek?
  • wobec kogo ma zastosowanie?
Obowiązek zapoznawania z przepisami z zakresu ochrony danych osobowych - ustawowy obowiązek ABI i administratora danych

W przypadku, gdy konkretna organizacja powoła Administratora Bezpieczeństwa Informacji, osoba
pełniąca tą funkcję jest zobligowana do realizacji ustawowych obowiązków z zakresu ochrony danych osobowych, o których mowa w art. 36a ust. 2 ustawy.

Jednym z tych obowiązków jest „zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych” (art. 36a ust. 2 pkt 1 lit c. ustawy).

Jest to więc ustawowy obowiązek, który ciąży w pierwszej kolejności na ABI. Gdyby jednak organizacja nie powołała takiej osoby, obowiązek ten będzie musiała realizować samodzielnie (jako administrator danych – wynika to z treści art. 36b ustawy).

Zazpoznawanie osób upoważnionych - czyli kogo?

Wszystkie osoby, które wykonując pracę lub inne zlecone czynności na rzecz administratora danych (organizacji) uzyskują dostęp do danych osobowych, powinny mieć wydane upoważnienia do przetwarzania danych. Wymóg ten wynika wprost z art. 37 ustawy.

Warto w tym miejscu zauważyć, że osobami upoważnionymi do przetwarzania danych nie muszą
być wyłącznie pracownicy (osoby, z którymi pracodawca zawarł umowę o pracę), ale również współpracownicy (realizujący pracę w oparciu o umowę cywilnoprawną, np. zlecenia, o dzieło), stażyści, praktykanci, wolontariusze – o ile z ich pomocy korzysta dany podmiot.

Wszystkie te osoby, o ile uzyskują dostęp do danych osobowych, powinny posiadać wydane upoważnienie. I właśnie je należy zapoznawać z przepisami z zakresu ochrony danych osobowych.

„Każda osoba mająca dostęp do danych osobowych powinna mieć wydane upoważnienie.
I to właśnie te osoby powinny być zapoznawane z przepisami dotyczącymi tej tematyki”

Zapoznawanie z przepisami o ochronie danych osobowych – czyli z czym konkretnie?

Administrator Bezpieczeństwa Informacji ma za zadanie zapoznawać osoby upoważnione z przepisami o ochronie danych osobowych. Należy przyjąć, że w pierwszej kolejności chodzi o wymagania ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, a także aktów wykonawczych do ustawy, np. Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. 2004 r. Nr 100, poz. 1024).

Nie należy również zapominać o regulacjach wewnętrznych z zakresu o ochrony danych osobowych, które powinny obowiązywać w każdej organizacji – w szczególności Polityce bezpieczeństwa i Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych.

Treść tych przepisów i dokumentów powinna być znana osobom upoważnionym, oczywiście w zakresie adekwatnym do stanowiska i wykonywanych obowiązków służbowych.  Dobrze więc jest dostosowywać zakres przekazywanych informacji do charakteru pracy osób upoważnionych.

ABI może wybrać w jaki sposób chce „zapoznawać” z przepisami o ochronie danych osobowych

Ustawa nie narzuca sposobu, w jakim ABI miałby zapoznawać osoby upoważnione z wymaganiami prawnymi. Nie wskazuje nawet, że musi to robić osobiście – ABI ma jedynie zapewnić, że osoby upoważnione zostaną zapoznanie z przepisami, przy czym nie jest wymagane że będzie to robił osobiście (może np. zlecić przeprowadzenie szkolenia komuś innemu i w ten sposób zapewnić, że osoby zostaną zapoznane z wymaganiami prawnymi).

Administrator Bezpieczeństwa Informacji ma więc pełną swobodę w doborze środków i sposobie komunikacji jak również może te czynności realizować osobiście lub przy pomocy innych osób. Może więc zdecydować o wyborze różnych form zapoznawania, np.:

  • poprzez klasyczne szkolenia,
  • e – learning lub webinaria,
  • przekazywanie drogą mailową do osób upoważnionych wytycznych, krótkich opisów, prezentacji (np. w postaci pliku MS PowerPoint) zawierających informacje o zasadach ochrony danych osobowych,
  • opracowywanie wyciągów z aktów prawnych zawierających wymagania z którymi powinny zapoznać się osoby upoważnione.

Nic nie stoi również na przeszkodzie, aby szkolenia dla osób upoważnionych zrealizował zewnętrzny ekspert. Tak naprawdę kluczowym kryterium, które ABI powinien brać pod uwagę przy doborze środków jest kryterium skuteczności (czyli na ile dany sposób daje gwarancję, że osoby upoważnione faktycznie zapoznają się z przepisami o ochronie danych). Administrator Bezpieczeństwa Informacji odpowiada bowiem za osiągnięcie skutku – zapewnienie, że osoby te zostały zapoznane z wymaganiami prawnymi.

Jak często należy „zapoznawać” z przepisami konkretną osobę upoważnioną?

Ustawa nie wskazuje częstotliwości w jakiej konkretna osoba upoważniona do przetwarzania danych powinna być zapoznawana z przepisami. Teoretycznie więc wystarczy jednorazowe zapoznanie (najlepiej niedługo po wydaniu upoważnienia do przetwarzania danych osobowych).

Należy jednak mieć na względzie, że każda osoba ma inne możliwości zapamiętywania przekazywanych informacji. Ponadto może się tak zdarzyć, że niektóre osoby np. ze względu na zakres wykonywanych czynności służbowych lub charakter pracy (i związany z tym szeroki dostęp do danych osobowych) będą wymagały by ABI częściej zwracał im uwagę na obowiązujące regulacje z zakresu ochrony danych osobowych. Dotyczy to w szczególności osób wykonujących swoje obowiązki w ramach działów kadr i płac oraz bhp, sprzedaży, windykacji, marketingu czy szeroko pojętej obsługi klienta. 

Dobrym rozwiązaniem jest objęcie osób upoważnionych systemem okresowych czynności „przypominających” o wymaganiach wynikających z przepisów o ochronie danych osobowych (np. coroczne szkolenia, komunikaty wysyłane na adresy mailowe etc.). Dzięki takiemu rozwiązaniu osoby te mają możliwość „odświeżenia” i ugruntowania swojej wiedzy w tym zakresie.

Warto dokumentować, kto i kiedy został zapoznany z przepisami

Ponieważ obowiązek zapoznawania osób upoważnionych z wymogami z zakresu ochrony danych osobowych jest ustawową powinnością Administratora Bezpieczeństwa Informacji, warto postarać się o możliwość udokumentowania, że działania te są faktycznie realizowane.

W tym celu ABI może prowadzić listy obecności uczestników szkoleń z zakresu ochrony danych osobowych lub też listy osób, które w inny sposób zostały zapoznane z wymaganiami (np. do których rozesłano prezentacje zawierające opis wymagań prawnych).

Dobrze jest również okresowo weryfikować poziom posiadanej wiedzy przez osoby upoważnione, dzięki czemu ABI będzie mógł oszacować na ile aktualnie stosowany sposób zapoznawania z przepisami o ochronie danych osobowych jest skuteczny. Jednym z najczęściej stosowanych sposobów weryfikowania wiedzy są oczywiście testy przekazywane do wypełnienia osobom upoważnionym po zakończonym szkoleniu.

Podsumowanie

Pamiętaj, że obowiązek zapoznania z przepisami o ochronie danych osobowych:

  1. jest ustawowym wymogiem prawnym, który realizuje Administrator Bezpieczeństwa Informacji, a w braku jego powołania bezpośrednio administrator danych (organizacja),
  2. powinien być zrealizowany wobec wszystkich osób upoważnionych do przetwarzania danych osobowych w organizacji,
  3. jest wymogiem, który ABI może wykonywać samodzielnie lub też za pomocą osób trzecich (również zewnętrznych ekspertów),
  4. może być realizowany w dowolne formie, wedle uznania Administratora Bezpieczeństwa Informacji. Liczy się przede wszystkim skuteczność przekazywanej wiedzy - ABI ma zapewnić, że osoby upoważnione są faktycznie zapoznane z przepisami o ochronie danych osobowych (to z tego ABI jest rozliczany!),
  5. sposób jego realizacji może być dokumentowany przez ABI tak by istniała możliwość wykazania, że jest faktycznie realizowany.

Zadaj pytanie  lub  Zadzwoń: 600 677 026

ABIochrona danych osobowychosoby upoważnione do przetwarzania danychszkoleniaszkolenie z ochrony danych osobowychzadania ABI

Wróć

Do góry