7 najczęstszych błędów w dokumentacji ochrony danych osobowych – jak ich uniknąć

Monika Brzozowska-Pasieka

Autor: Włodzimierz Dola

Dodano: 10 lipca 2017
Dokument archiwalny
7 najczęstszych błędów w dokumentacji ochrony danych osobowych – jak ich uniknąć

Prowadzenie dokumentacji ochrony danych osobowych jest jednym z podstawowych obowiązków wynikających z przepisów o ochronie danych osobowych, które administrator danych musi spełnić, aby w sposób prawidłowy przetwarzać dane osobowe. Wielokrotnie zdarza się, że dokumentacja prowadzona jest w sposób nieprawidłowy. Dowiedz się, jak uniknąć najczęściej pojawiających się błędów.

Administrator danych prowadzi dokumentację opisującą sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych (art. 36 ust. 2 ustawy o ochronie danych osobowych). Przepisy nie wymieniają jednak dokumentów, jakie powinny składać się na tę dokumentację. Dopiero jak sięgniemy do art. 39a, dowiemy się, że sposób prowadzenia i zakres dokumentacji określa rozporządzenie odpowiedniego ministra.

Stosownie do § 3 ust. 1 rozporządzenia ministra spraw wewnętrznych i administracji w sprawie dokumentacji przetwarzania danych osobowych na dokumentację składa się polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. Do pojęcia dokumentacja ochrony danych osobowych można zaliczyć również inne obowiązkowe dokumenty, które administrator danych musi prowadzić, w tym w szczególności:

  • upoważnienia do przetwarzania danych osobowych,
  • oświadczenia o zachowaniu danych osobowych w poufności,
  • ewidencję osób upoważnionych do przetwarzania danych osobowych czy
  • jawny rejestr zbiorów danych osobowych (jeśli powołany jest ABI).
Ważne:

Rozporządzenie Parlamentu Europejskiego i Rady z 27 kwietnia 2016 r. (rodo), wprowadzi nowy obowiązek dokumentacyjny. Administrator będzie musiał dokumentować wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze (art. 33 ust. 5 rodo). Przepis ten trzeba będzie jednak stosować dopiero po 25 maja 2018 r.

Jakie są najczęstsze błędy w dokumentacji ochrony danych osobowych?

1. Korzystanie z niesprawdzonych wzorów dokumentów

Podstawowym błędem przy przygotowywaniu dokumentacji jest korzystanie z powszechnie dostępnych wzorów dokumentów. Wystarczy wpisać w wyszukiwarkę Google frazę „dokumentacja ochrony danych osobowych”, a w wynikach wyszukiwania znajdziemy wiele wzorów polityki bezpieczeństwa czy instrukcji zarządzania systemami informatycznymi.

Z korzystaniem z tego typu wzorów jest jak z leczeniem się za pomocą „Wujka Googla”, gdzie na podstawie wyników wyszukiwania możemy przypisać chorobę do opisywanych objawów. Czasami taka diagnoza będzie trafna i zastosowane przez nas działanie przyniesie oczekiwany skutek i odzyskamy zdrowie, a czasami nasz stan się pogorszy. Leczeniem powinien się zająć lekarz (specjalista), który na podstawie zleconych badań i wywiadu zastosuje adekwatne metody leczenia.

Tak się dzieje również w przypadku dokumentacji ochrony danych osobowych. Samo posiłkowanie się wiedzą pozyskaną w Internecie nie jest niczym złym, jednak należy pamiętać o tym, że znalezione rozwiązania nie zawsze odpowiadają rozwiązaniom przez nas stosowanym. Efekt takiego działania może być taki, że korzystając z tego typu wzorów dokumentacji ochrony danych osobowych, deklarujemy pewnego rodzaju rozwiązania, w szczególności w zakresie zabezpieczeń, których faktycznie nie stosujemy. Prowadzenie dokumentacji ochrony danych osobowych jest obowiązkiem administratorów danych, jednakże dokumentacja ma na celu usystematyzować system ochrony danych osobowych, a ponadto odpowiadać stanowi rzeczy w instytucji, w której obowiązuje.

Kolejną konsekwencją tego błędu jest to, że administrator danych stara się bezrefleksyjnie zastosować do postanowień zawartych w dokumentacji i przeznacza środki finansowe na zabezpieczenia niekoniecznie mu potrzebne. Przepisy rozporządzenia MSWiA w sprawie dokumentacji przetwarzania danych osobowych, wskazują, że administrator danych powinien stosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednie do zagrożeń i kategorii przetwarzanych danych osobowych.

Uwaga

Korzystanie z powszechnie dostępnych wzorów dokumentów powinno odbywać się z zachowaniem zasad rozsądku. Jeżeli administrator danych korzysta z takich wzorów, musi porównać rozwiązania w nich wskazane z realnie stosowanymi zabezpieczeniami, ryzykiem, kategoriami przetwarzanych danych osobowych i przepisami w zakresie ochrony danych osobowych, w tym w szczególności z przepisami rozporządzenia MSWiA w sprawie dokumentacji przetwarzania danych osobowych, zamiast bezrefleksyjnie kopiować pozyskane treści.

Jeżeli w polityce bezpieczeństwa znajduje się postanowienie, z którego wynika, że wszystkie dokumenty zawierające dane osobowe przechowywane są w zamykanych szafkach, to czy racjonalne jest przeznaczanie środków finansowych na nowe szafki, zawierające zamki w całym biurze? Odpowiedź jest prosta – to zależy. Dowiemy się tego, po zbadaniu już stosowanych sposobów zabezpieczeń. Z żadnego przepisu z zakresu ochrony danych osobowych nie wynika, że dokumenty zawierające dane osobowe należy przechowywać w zamykanych szafkach. Administrator danych musi stosować środki odpowiednie do zagrożeń i kategorii danych.

PRZYKŁAD

Jeżeli w danym pomieszczeniu (np. open space) pracownicy przetwarzają dane klientów i mają taki sam zakres upoważnień, a pomieszczenie jest zabezpieczone przed dostępem osób nieupoważnionych, to nie ma potrzeby, aby dodatkowo montować tam zamykane na klucz szafki. Zabezpieczenia w mojej opinii w tym przypadku są wystarczające w odniesieniu do zagrożeń i kategorii danych osobowych.

2. Niewłaściwie określony obszar, w którym przetwarzane są dane osobowe

Zgodnie z § 4 ust. 1 rozporządzenia MSWiA w sprawie dokumentacji przetwarzania danych osobowych jednym z elementów polityki bezpieczeństwa powinien być wykaz budynków, pomieszczeń lub części pomieszczeń tworzących obszar, w którym przetwarzane są dane osobowe. Różne są metody określania, czym jest obszar przetwarzania danych osobowych, zwłaszcza że często korzystamy w pracy z urządzeń mobilnych, a obszarem przetwarzania jest miejsce, gdzie się aktualnie znajdujemy, przetwarzając dane osobowe.

W praktyce przyjmuje się, że aby spełnić wymóg określenia obszaru przetwarzania danych osobowych, wystarczy wskazać fizyczny adres siedziby i miejsc (np. wynajmowanych powierzchni biurowych), gdzie są przetwarzane dane osobowe. Nie wchodząc jednak w dyskusję na ten temat, chciałbym zwrócić uwagę na to, że przy tworzeniu dokumentacji pomijana jest kwestia podmiotów, którym powierzyliśmy dane osobowe do przetwarzania.

PRZYKŁAD

Jeżeli administrator danych korzysta z zewnętrznej firmy IT specjalizującej się w hostingu i kolokacji, to obszarem przetwarzania będzie również miejsce, gdzie fizycznie znajdują się serwery z danymi osobowymi i ten fizyczny adres również należy wskazać w polityce bezpieczeństwa jako obszar, w którym przetwarzane są dane osobowe. Podobnie będzie z firmą zewnętrzną prowadzącą usługi w zakresie kadr i płac (prowadzenie teczek osobowych, obsługa płacowa). Wystarczy samo wskazanie adresu i nazwy procesora.

3. Niepełny zakres oświadczenia o zachowaniu danych w poufności

Ustawa o ochronie danych osobowych w art. 39 ust. 2 wymaga, aby osoby upoważnione do przetwarzania danych osobowych zachowały w tajemnicy dane osobowe oraz sposoby ich zabezpieczania. Jednym z najbardziej rozpowszechnionych sposobów na spełnienie tego wymogu jest zbieranie od pracowników oświadczenia w tym zakresie. Nagminnym błędem jest to, że oświadczenie ma niepełny zakres, gdyż zawiera informacje tylko i wyłącznie na temat zachowania danych osobowych w poufności, zupełnie pomijając fakt, że ustawa wymaga, aby oprócz danych osobowych zachować w poufności także sposoby ich zabezpieczania.

4. Niepełny zakres informacji w ewidencji osób upoważnionych do przetwarzania danych osobowych

Ewidencja osób upoważnionych do przetwarzania danych osobowych, stosownie do art. 39 ust. 1 ustawy o ochronie danych osobowych, powinna zawierać informacje o imieniu i nazwisku upoważnionej osoby, dacie nadania, ustania oraz zakresie upoważnienia, identyfikatorze użytkownika, jeżeli dane osobowe są przetwarzane w systemie informatycznym.

W prowadzonych ewidencjach bardzo często brakuje tej ostatniej informacji, czyli identyfikatorów użytkowników, czyli mówiąc inaczej loginów do systemów informatycznych, w których przetwarzane są dane osobowe. Aby unikać tego typu błędów, należałoby wdrożyć rozwiązania (proceduralne i realne), zgodnie z którymi osoby odpowiedzialne za nadawanie loginów do systemów informatycznych będą informowały o nadawaniu i obieraniu uprawnień do systemów informatycznych, w których przetwarzane są dane osobowe.

5. Brak aktualizacji dokumentacji

Raz napisana dokumentacja nie będzie wiecznie aktualna. Przepisy o ochronie danych osobowych zmieniają się dość szybko, wprowadzając nowe obowiązki lub modyfikując istniejące rozwiązania. Zmiany prawne, ale również i zmiany faktyczne wewnątrz organizacji, takie jak: nowy system informatyczny, nowe biuro, zmiana systemu zabezpieczeń pomieszczeń, wymagają, aby wraz z nimi aktualizowana była dokumentacja ochrony danych osobowych, co niestety rzadko z tym idzie w parze. Dlatego rekomenduję, aby osoba odpowiedzialna za prowadzenie dokumentacji dokonywała systematycznych przeglądów jej aktualności, nie rzadziej jednak niż raz na pół roku.

6. Brak formalnego wprowadzenia dokumentacji

Dokumentacja ochrony danych osobowych ma zastosowanie do pracowników/współpracowników wtedy, jeżeli jest oficjalnie wprowadzona, o czym administratorzy danych często zapominają. Konsekwencje mogą być dotkliwe dla administratorów danych. Pracownik odpowiedzialny za ewentualne naruszenia może się bowiem uwolnić od tej odpowiedzialności, jeśli powoła się na to, że administrator danych nie wprowadził dokumentacji i w związku z tym nie miał obowiązku się do niej stosować.

Ważne:

Sposób wprowadzenia dokumentacji ochrony danych osobowych zależy od formy prawnej podmiotu. Może być dokonane uchwałą zarządu lub zarządzeniem prezesa zarządu – w spółkach kapitałowych (w zależności od sposobu prowadzenia spraw spółki) albo decyzją właściwego organu w przypadku podlotów prawa publicznego.

7. Brak zapoznania pracowników z dokumentacją

Podstawową funkcją dokumentacji ochrony danych osobowych jest chronić zasoby administratora danych w zakresie danych osobowych. Spełni ona swoją funkcję, jeśli osoby, które mają dostęp do danych osobowych, będą miały możliwość się do niej stosować. Zalecam więc, aby dokonać wszelkich czynności pozwalających pracownikom na zapoznanie się z dokumentacją, począwszy od szkoleń pracowników i współpracowników, poprzez udostępnienie wyciągów i przystępnych opracowań z obowiązujących procedur po egzekwowanie postanowień i procedur zawartych dokumentacji.

Uwaga

Postanowienia ogólnego rozporządzenia o ochronie danych nie przewidują obowiązku prowadzenia dokumentacji ochrony danych osobowych w formie, jaką dziś mamy, jednakże administratorzy danych będą zobowiązani wykazać przestrzeganie przepisów rodo. W związku z tym jakąś formę dokumentacyjną będą zobowiązani prowadzić. Dodatkowo rodo nakłada na administratorów danych nowe obowiązki w zakresie dokumentacyjnym w tym rejestr czynności przetwarzania danych osobowych.

Podstawa prawna: 
  • ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn.: Dz.U. z 2016 r. poz. 922),
  • rozporządzenie ministra spraw wewnętrznych i administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. z 2004 r. nr 100, poz. 1024).
Monika Brzozowska-Pasieka

Autor: Włodzimierz Dola

radca prawny, prezes zarządu DAPR sp. z o.o.

Czytelnicy tego artykułu skorzystali również z poniższych narzędzi

Nasi partnerzy i zdobyte nagrody


© Portal Poradyodo.pl

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

SPRAWDŹ »

x
wiper-pixel