SYSTEM OCHRONY DANYCH OSOBOWYCH W PRZEDSIĘBIORSTWIE INFORMACJE OGÓLNE O prawidłowym systemie ochrony danych osobowych w przedsiębiorstwie można mówić wtedy, gdy dopełniane są wszystkie obowiązki administratora danych osobowych (przedsiębiorstwa). Należą do nich między innymi: spełnienie przesłanek legalności przetwarzania danych osobowych, wypełnianie obowiązku informacyjnego, stworzenie i stałe aktualizowanie dokumentacji wymaganej przez przepisy, zarejestrowanie zbiorów danych osobowych w rejestrze prowadzonym przez Generalnego Inspektora Danych Osobowych, właściwe zabezpieczenie fizyczne przetwarzanych zbiorów, wyznaczenie Administratora Bezpieczeństwa Informacji, odpowiednie przeszkolenie pracowników. Istotą sprawnego systemu ochrony danych osobowych jest także odpowiednia świadomość zarówno kadry zarządzającej jak i poszczególnych pracowników, dotycząca prawidłowego przetwarzania tych danych - wiedza na temat ich ochrony i świadomość problemów, jakie wiążą się z ich gromadzeniem, wykorzystywaniem czy usuwaniem. Na straży legalności zarządzania procesami przetwarzania danych osobowych powinien stać Administrator Bezpieczeństwa Informacji (ABI). Im większe posiada kwalifikacje oraz doświadczenie, tym mniejsze ryzyko problemów, jakie mogą pojawić się w przedsiębiorstwie podczas kontaktu z danymi osobowymi. Istotą funkcji ABI jest bowiem nie tylko kontrola i dbałość o system ochrony danych osobowych ale stałe zwiększanie wiedzy pracowników w tym zakresie oraz uświadamianie im, jak ważne jest stosowanie się do wewnętrznych procedur bezpieczeństwa. Niestety najsłabszym ogniwem wszelkich systemów zabezpieczeń jest człowiek i jego brak wiedzy. Dlatego aspekt kompetencji jest w przypadku ABI niezwykle istotny. Poniższy wykres jest ilustracją cykliczności działań związanych z prawidłowym zarządzaniem systemem ochrony danych osobowych w przedsiębiorstwie. INWENTARYZACJA DANYCH OSÓB FIZYCZNYCH Wdrożenie systemu ochrony danych osobowych w przedsiębiorstwie powinno zostać poprzedzone inwentaryzacją danych osób fizycznych, prawidłowym wyodrębnieniem zbiorów takich danych oraz ustaleniem wymagań, jakie powinien spełniać system, aby w pełni zabezpieczyć procesy związane z przetwarzaniem danych osobowych. Inwentaryzacja powinna opierać się na analizie problemu w trzech płaszczyznach: prawnej, technicznej oraz organizacyjnej. W obszarach tych należy prawidłowo sformułować odpowiedź na wiele pytań, takich między innymi jak: Aspekty prawne: Jakie dane osobowe w rozumieniu ustawy o ochronie danych osobowych są przetwarzane przez przedsiębiorstwo? Czy są wśród nich dane o charakterze sensytywnym? Jakie można wyróżnić zbiory danych? Czy zbiory podlegają rejestracji? Jaka jest podstawa prawna przetwarzania danych i czy właściwie określono podstawy prawne przetwarzania danych? Jaki jest zakres danych w poszczególnych zbiorach? Czy wypełniono właściwie obowiązek informacyjny? Czy nie naruszono zakazu rozstrzygania spraw dotyczących osób wyłącznie poprzez operacje na danych osobowych? Czy przetwarzanie danych odbywa się zgodnie z celem i zakresem? Czy zbiory danych są powierzane innym podmiotom? Czy zawarto właściwe umowy powierzenia przetwarzania danych? Czy powierzenie danych jest zgodne z celem i zakresem ich przetwarzania? Itd. Aspekty organizacyjne: • • • • • • • • • • • • • • Kto w ramach przedsiębiorstwa i danego departamentu odpowiada za ochronę danych osobowych? Czy osoby przetwarzające dane posiadają ważne upoważnienia do przetwarzania danych osobowych w ramach poszczególnych zbiorów? Czy są realizowane szczegółowe procedury przetwarzania danych osobowych? Czy wdrożono procedury udostępniania danych oraz odmowy udostępniania? Czy właściwie przeszkolono w w/w zakresie pracowników? Czy udostępnianie jest rejestrowane? Czy ustalono szczegółowe procedury związane z realizacją umów powierzenia? W jaki sposób weryfikuje się powierzeniobiorców pod względem zapewnienia właściwej ochrony zbiorów powierzonych? Czy wdrożono procedury bezpieczeństwa fizycznego danych? Czy realizowane są procedury niszczenia i utylizacji dokumentów i nośników zawierających dane osobowe? Czy jest prowadzona właściwie ewidencja osób upoważnionych? Czy wprowadzono mechanizmy rozliczalności danych? Czy pracownicy podpisali oświadczenia o zachowaniu poufności? (...) Aspekty techniczne: Czy dane są przetwarzane w systemach informatycznych? Jaki jest model przepływu danych między systemami? Jak zabezpieczono poszczególne jednostki? Czy komputery posiadają prawidłowo działające aktualne oprogramowanie antywirusowe? Czy komputery posiadają odpowiednie zabezpieczenie przed zmianami napięcia? Czy komputery są zabezpieczone aktualnym oprogramowaniem typu „firewall”? Czy dostęp do poszczególnych systemów przetwarzających dane osobowe został właściwie ograniczony? Czy zastosowano właściwe systemy uwierzytelniania? Czy zabezpieczono dane przed nieupoważnionym kopiowaniem? Czy poszczególne systemy monitorują dostęp i modyfikacje prowadzone przez użytkowników? Czy właściwie zabezpieczono integralność danych? Czy właściwie tworzy się i zabezpiecza kopie zapasowe? Czy prowadzony jest rejestr tworzenia kopii zapasowych? Czy zabezpieczono ciągłość pracy systemów informatycznych? (...). PRZYGOTOWANIE NIEZBĘDNEJ DOKUMENTACJI Aby spełnić wymogi prawne dotyczące właściwego przetwarzania danych osobowych należy przygotować niezbędną dokumentację (w nawiasie podajemy ich podstawę prawną), między innymi taką jak: • polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych (art. 36 ust. 2 wraz z art. 39a ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych oraz § 3 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dn. 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych), • wnioski rejestracyjne do Generalnego Inspektora Ochrony Danych Osobowych (art. 40 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych), • upoważnienia do przetwarzania danych osobowych (art. 37 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych), • ewidencję upoważnień do przetwarzania danych osobowych (art. 39 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych), • oświadczenia dla pracowników o zachowaniu w tajemnicy danych osobowych oraz informacji o sposobach ich zabezpieczenia (art. 39 ust. 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych), • umowy powierzenia przetwarzania danych osobowych (art. 31 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych), • klauzule spełniające obowiązek informacyjny administratora danych osobowych (art. 24 i 25 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych), • klauzule zgód na przetwarzanie danych osobowych (art. 23 ust. 1 pkt. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych). • oraz inne niezbędne dokumenty stosowne do metod przetwarzania i rodzaju danych osobowych. REJESTRACJA ZBIORÓW DANYCH OSOBOWYCH W REJESTRZE PROWADZONYM PRZEZ GIODO Jednym z podstawowych obowiązków administratora danych osobowych (przedsiębiorstwa) jest rejestracja zbiorów danych osobowych w rejestrze prowadzonym przez Generalnego Inspektora Danych Osobowych. Należy dokonać tego na odpowiednim wniosku, którego wzór określa Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 11 grudnia 2008 r. w sprawie wzoru zgłoszenia zbioru do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (Dziennik Ustaw z 2008 r. Nr 229 poz. 1536). Zgłoszenia można dokonać wypełniając wniosek znajdujący się na stronie GIODO : https://egiodo.giodo.gov.pl/formular_step0.dhtml lub przesyłając odpowiednio wypełniony wzór wniosku będący załącznikiem do wspomnianego wyżej Rozporządzenia. Należy pamiętać, że przetwarzanie tzw. danych zwykłych jest możliwe w momencie złożenia stosownego wniosku w Rejestrze. W przypadku danych o charakterze sensytywnym (danych wrażliwych) takich jak: informacje o pochodzeniu rasowym lub etnicznym, poglądach politycznych, religijnych, filozoficznych, wyznaniu, przynależności do partii lub związku, stanie zdrowia, kodzie genetycznym, nałogach, życiu seksualnym, skazaniach, orzeczeniach o ukaraniu, mandatach i innych orzeczeniach wydanych w postępowaniu przed sądem lub urzędem, legalne przetwarzanie danych jest możliwe dopiero po zarejestrowaniu zbiorów przez GIODO. OPRACOWANIE PROCEDUR WEWNĘTRZNYCH Przetwarzanie danych osobowych to m.in. procesy: pozyskiwania danych, wprowadzania do systemów informatycznych, prezentacji, przesyłania, wykorzystywania zarówno w wersji elektronicznej jak i papierowej, archiwizacji i przechowywania czy też ich usuwania. Wszystkie te procesy, ze względu na konieczność zapewnienia odpowiedniego poziomu ochrony, powinny być prawidłowo opisane w wewnętrznych procedurach, zawierających między innymi zalecenia dotyczące właściwego sposobu przetwarzania danych przez pracowników. Procedury te są optymalne tylko wtedy, gdy nie tylko spełniają wszelkie wymogi formalne, ale są dobrze dostosowane do specyfiki danego przedsiębiorstwa. Ich posiadanie świadczy o należytej dbałości administratora o bezpieczeństwo danych osobowych przetwarzanych w przedsiębiorstwie. WDROŻENIE SYSTEMU OCHRONY DANYCH OSOBOWYCH Wdrożenie optymalnego systemu ochrony danych osobowych opiera się z jednej strony na dostosowaniu przedsiębiorstwa do wymogów wynikających z przepisów prawa, ale także na faktycznym zapewnieniu bezpieczeństwa przetwarzanym danym. Jest to skomplikowany i niejednokrotnie długi proces związany z koniecznością opracowywania skomplikowanej dokumentacji, wdrażania pracowników do nowych, nie znanych wcześniej procedur, zaangażowania kierownictwa i zarządu przedsiębiorstwa w zapewnienie odpowiedniego nadzoru nad procesami przetwarzania danych. Wdrożenie wymaga kompetencji w zakresie przepisów prawa, informatyki, organizacji i zarządzania kadrami, bezpieczeństwa fizycznego i innych aspektów, które towarzyszą przetwarzaniu danych osobowych. SZKOLENIE PRACOWNIKÓW PRZETWARZAJĄCYCH DANE OSOBOWE Szkolenie pracowników jest niezbędnym elementem zarządzania systemem ochrony danych osobowych w przedsiębiorstwie. Poniżej przestawiamy problemy, z jakimi powinni zapoznać się pracownicy na co dzień przetwarzający dane osobowe: • • • • • • • • • • Dlaczego musimy chronić dane osobowe? Podstawowe pojęcia z zakresu ochrony danych osobowych. Rola (obowiązki) administratora danych osobowych, administratora bezpieczeństwa informacji, administratora systemu informatycznego oraz pracowników i współpracowników. Podstawowe zasady postępowania z danymi osobowymi. Procedury wewnętrzne dotyczące przetwarzania danych osobowych. Dokumentacja wewnętrzna i zasady jej prowadzenia. Prawa osób których dane są przetwarzane i wynikające z tego obowiązki przedsiębiorcy i pracowników. Podstawowe kompetencje Generalnego Inspektora Ochrony Danych Osobowych (GIODO) Zasady przeprowadzania kontroli przez GIODO. Konsekwencje nieprzestrzegania prawa i przepisy karne. Szkolenia powinny mieć charakter cykliczny ze względu na rotację kadry oraz konieczność stałej aktualizacji wiedzy. Nad właściwym szkoleniem pracowników powinien czuwać Administrator Bezpieczeństwa Informacji. AUDYT SYSTEMU OCHRONY DANYCH OSOBOWYCH Audyt systemu ochrony danych osobowych powinien dotyczyć zgodności systemu z aktualnymi przepisami prawa, dobrymi praktykami stosowanymi w przedsiębiorstwach o podobnej strukturze oraz stopnia optymalizacji przyjętych rozwiązań. Ważną kwestią jest rzetelność i skrupulatność prowadzonych prac, stąd najwłaściwsze wydaje się, aby przeprowadzali go specjaliści z niezależnej zewnętrznej firmy. Pozwala to także na wymagany w tym przypadku obiektywizm oraz niezbędną profesjonalną wiedzę dotyczącą standardów bezpieczeństwa danych. Audyt powinien zawierać analizę wszystkich procesów zachodzących w przedsiębiorstwie związanych z przetwarzaniem danych osobowych i dotyczyć aspektów prawnych, organizacyjnych oraz teleinformatycznych. Wynikiem audytu powinien być raport poaudytowy zawierający informacje dotyczące stanu systemu ochrony danych osobowych w przedsiębiorstwie wraz z protokołem rozbieżności oraz wnioskami i zaleceniami, co do niezbędnych zmian. OUTSOURCING OBOWIĄZKÓW ADMINISTRATORA BEZPIECZEŃSTWA INFORMACJI Przejęcie obowiązków spoczywających na Administratorze Bezpieczeństwa Informacji (ABI) przez zewnętrzną specjalistyczną firmę jest praktycznym rozwiązaniem zmierzającym do zapewnienia najwyższego stopnia bezpieczeństwa danych. Specjalistyczne firmy posiadają odpowiednie doświadczenie oraz merytoryczne przygotowanie do realizacji zadań, jakie powinien realizować ABI. Oto niektóre istotne zalety outsourcingu ABI: • • • • • • Ochrona danych osobowych jest procesem, więc nadzór nad prawidłowym przetwarzaniem danych powinien być sprawowany stale i w sposób profesjonalny; Całość dokumentacji oraz niezbędnych procedur wewnętrznych przygotowuje zespół ekspertów posiadających doświadczenie; Wszystkie prace dotyczące przygotowania dokumentacji, wewnętrznych audytów, rejestracji zbiorów, opracowania procedur, aktualizacji dokumentacji, kontaktów z GIODO są zwykle realizowane w ramach abonamentu; Firma outsourcingowa będzie kontaktowała się z biurem GIODO oraz uczestniczyła w ewentualnych kontrolach prowadzonych przez ten Urząd; Przejęcie obowiązków ABI jest jednoznaczne ze stałą opieką nad przedsiębiorstwem; Niezależność od wewnętrznych struktur organizacyjnych daje gwarancję bezstronności podczas audytów i kontroli stanu ochrony danych osobowych. Administrator Bezpieczeństwa Informacji jest zobowiązany do nadzorowania przestrzegania obowiązków zabezpieczenia danych osobowych wynikających z ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.) oraz rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Pełnienie zadań Administratora Bezpieczeństwa Informacji dotyczy zadań określonych w art. 36 ust. 3 Ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2002 r., Nr 101, poz. 926 ze zm.) oraz powinno obejmować: • • • • • • • • • stałe aktualizowanie polityki bezpieczeństwa, stałe aktualizowanie instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, pomoc w nadzorowaniu przestrzegania zasad określonych w polityce bezpieczeństwa oraz instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, pomoc w zarządzaniu upoważnieniami do przetwarzania danych osobowych oraz ewidencji osób upoważnionych, nadzorowanie procesu udostępniania dokumentów zawierających dane osobowe, przygotowywanie wniosków zgłoszeń rejestracyjnych do GIODO i dbanie o aktualizowanie już zarejestrowanych zbiorów danych, prowadzenie korespondencji z GIODO, opiniowanie wzorów dokumentów, w tym w szczególności odpowiednich klauzul w dokumentach dotyczących ochrony danych osobowych, asystowanie podczas kontroli GIODO. Opracowała firma Pin Consulting Sp. z o.o.