7 najczęstszych błędów w dokumentacji ochrony danych osobowych – jak ich uniknąć

Administrator danych prowadzi dokumentację opisującą sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych (art. 36 ust. 2 ustawy o ochronie danych osobowych). Przepisy nie wymieniają jednak dokumentów, jakie powinny składać się na tę dokumentację. Dopiero jak sięgniemy do art. 39a, dowiemy się, że sposób prowadzenia i zakres dokumentacji określa rozporządzenie odpowiedniego ministra.

Stosownie do § 3 ust. 1 rozporządzenia ministra spraw wewnętrznych i administracji w sprawie dokumentacji przetwarzania danych osobowych na dokumentację składa się polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. Do pojęcia dokumentacja ochrony danych osobowych można zaliczyć również inne obowiązkowe dokumenty, które administrator danych musi prowadzić, w tym w szczególności:

• upoważnienia do przetwarzania danych osobowych,
• oświadczenia o zachowaniu danych osobowych w poufności,
• ewidencję osób upoważnionych do przetwarzania danych osobowych czy
• jawny rejestr zbiorów danych osobowych (jeśli powołany jest ABI).

1. Korzystanie z niesprawdzonych wzorów dokumentów

Podstawowym błędem przy przygotowywaniu dokumentacji jest korzystanie z powszechnie dostępnych wzorów dokumentów. Wystarczy wpisać w wyszukiwarkę Google frazę „dokumentacja ochrony danych osobowych”, a w wynikach wyszukiwania znajdziemy wiele wzorów polityki bezpieczeństwa czy instrukcji zarządzania systemami informatycznymi.

Z korzystaniem z tego typu wzorów jest jak z leczeniem się za pomocą „Wujka Googla”, gdzie na podstawie wyników wyszukiwania możemy przypisać chorobę do opisywanych objawów. Czasami taka diagnoza będzie trafna i zastosowane przez nas działanie przyniesie oczekiwany skutek i odzyskamy zdrowie, a czasami nasz stan się pogorszy. Leczeniem powinien się zająć lekarz (specjalista), który na podstawie zleconych badań i wywiadu zastosuje adekwatne metody leczenia.

Tak się dzieje również w przypadku dokumentacji ochrony danych osobowych. Samo posiłkowanie się wiedzą pozyskaną w Internecie nie jest niczym złym, jednak należy pamiętać o tym, że znalezione rozwiązania nie zawsze odpowiadają rozwiązaniom przez nas stosowanym. Efekt takiego działania może być taki, że korzystając z tego typu wzorów dokumentacji ochrony danych osobowych, deklarujemy pewnego rodzaju rozwiązania, w szczególności w zakresie zabezpieczeń, których faktycznie nie stosujemy. Prowadzenie dokumentacji ochrony danych osobowych jest obowiązkiem administratorów danych, jednakże dokumentacja ma na celu usystematyzować system ochrony danych osobowych, a ponadto odpowiadać stanowi rzeczy w instytucji, w której obowiązuje.

Kolejną konsekwencją tego błędu jest to, że administrator danych stara się bezrefleksyjnie zastosować do postanowień zawartych w dokumentacji i przeznacza środki finansowe na zabezpieczenia niekoniecznie mu potrzebne. Przepisy rozporządzenia MSWiA w sprawie dokumentacji przetwarzania danych osobowych, wskazują, że administrator danych powinien stosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednie do zagrożeń i kategorii przetwarzanych danych osobowych.

Jeżeli w polityce bezpieczeństwa znajduje się postanowienie, z którego wynika, że wszystkie dokumenty zawierające dane osobowe przechowywane są w zamykanych szafkach, to czy racjonalne jest przeznaczanie środków finansowych na nowe szafki, zawierające zamki w całym biurze? Odpowiedź jest prosta – to zależy. Dowiemy się tego, po zbadaniu już stosowanych sposobów zabezpieczeń. Z żadnego przepisu z zakresu ochrony danych osobowych nie wynika, że dokumenty zawierające dane osobowe należy przechowywać w zamykanych szafkach. Administrator danych musi stosować środki odpowiednie do zagrożeń i kategorii danych.

2. Niewłaściwie określony obszar, w którym przetwarzane są dane osobowe

Zgodnie z § 4 ust. 1 rozporządzenia MSWiA w sprawie dokumentacji przetwarzania danych osobowych jednym z elementów polityki bezpieczeństwa powinien być wykaz budynków, pomieszczeń lub części pomieszczeń tworzących obszar, w którym przetwarzane są dane osobowe. Różne są metody określania, czym jest obszar przetwarzania danych osobowych, zwłaszcza że często korzystamy w pracy z urządzeń mobilnych, a obszarem przetwarzania jest miejsce, gdzie się aktualnie znajdujemy, przetwarzając dane osobowe.

W praktyce przyjmuje się, że aby spełnić wymóg określenia obszaru przetwarzania danych osobowych, wystarczy wskazać fizyczny adres siedziby i miejsc (np. wynajmowanych powierzchni biurowych), gdzie są przetwarzane dane osobowe. Nie wchodząc jednak w dyskusję na ten temat, chciałbym zwrócić uwagę na to, że przy tworzeniu dokumentacji pomijana jest kwestia podmiotów, którym powierzyliśmy dane osobowe do przetwarzania.

3. Niepełny zakres oświadczenia o zachowaniu danych w poufności

Ustawa o ochronie danych osobowych w art. 39 ust. 2 wymaga, aby osoby upoważnione do przetwarzania danych osobowych zachowały w tajemnicy dane osobowe oraz sposoby ich zabezpieczania. Jednym z najbardziej rozpowszechnionych sposobów na spełnienie tego wymogu jest zbieranie od pracowników oświadczenia w tym zakresie. Nagminnym błędem jest to, że oświadczenie ma niepełny zakres, gdyż zawiera informacje tylko i wyłącznie na temat zachowania danych osobowych w poufności, zupełnie pomijając fakt, że ustawa wymaga, aby oprócz danych osobowych zachować w poufności także sposoby ich zabezpieczania.

4. Niepełny zakres informacji w ewidencji osób upoważnionych do przetwarzania danych osobowych

Ewidencja osób upoważnionych do przetwarzania danych osobowych, stosownie do art. 39 ust. 1 ustawy o ochronie danych osobowych, powinna zawierać informacje o imieniu i nazwisku upoważnionej osoby, dacie nadania, ustania oraz zakresie upoważnienia, identyfikatorze użytkownika, jeżeli dane osobowe są przetwarzane w systemie informatycznym.

W prowadzonych ewidencjach bardzo często brakuje tej ostatniej informacji, czyli identyfikatorów użytkowników, czyli mówiąc inaczej loginów do systemów informatycznych, w których przetwarzane są dane osobowe. Aby unikać tego typu błędów, należałoby wdrożyć rozwiązania (proceduralne i realne), zgodnie z którymi osoby odpowiedzialne za nadawanie loginów do systemów informatycznych będą informowały o nadawaniu i obieraniu uprawnień do systemów informatycznych, w których przetwarzane są dane osobowe.

5. Brak aktualizacji dokumentacji

Raz napisana dokumentacja nie będzie wiecznie aktualna. Przepisy o ochronie danych osobowych zmieniają się dość szybko, wprowadzając nowe obowiązki lub modyfikując istniejące rozwiązania. Zmiany prawne, ale również i zmiany faktyczne wewnątrz organizacji, takie jak: nowy system informatyczny, nowe biuro, zmiana systemu zabezpieczeń pomieszczeń, wymagają, aby wraz z nimi aktualizowana była dokumentacja ochrony danych osobowych, co niestety rzadko z tym idzie w parze. Dlatego rekomenduję, aby osoba odpowiedzialna za prowadzenie dokumentacji dokonywała systematycznych przeglądów jej aktualności, nie rzadziej jednak niż raz na pół roku.

6. Brak formalnego wprowadzenia dokumentacji

Dokumentacja ochrony danych osobowych ma zastosowanie do pracowników/współpracowników wtedy, jeżeli jest oficjalnie wprowadzona, o czym administratorzy danych często zapominają. Konsekwencje mogą być dotkliwe dla administratorów danych. Pracownik odpowiedzialny za ewentualne naruszenia może się bowiem uwolnić od tej odpowiedzialności, jeśli powoła się na to, że administrator danych nie wprowadził dokumentacji i w związku z tym nie miał obowiązku się do niej stosować.

7. Brak zapoznania pracowników z dokumentacją

Podstawową funkcją dokumentacji ochrony danych osobowych jest chronić zasoby administratora danych w zakresie danych osobowych. Spełni ona swoją funkcję, jeśli osoby, które mają dostęp do danych osobowych, będą miały możliwość się do niej stosować. Zalecam więc, aby dokonać wszelkich czynności pozwalających pracownikom na zapoznanie się z dokumentacją, począwszy od szkoleń pracowników i współpracowników, poprzez udostępnienie wyciągów i przystępnych opracowań z obowiązujących procedur po egzekwowanie postanowień i procedur zawartych dokumentacji.