Jak postąpić z dokumentacją ochrony danych w przypadku likwidacji podmiotu

Administrator danych odpowiada za bezpieczne przetwarzanie danych, czyli za wdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających poufność i integralność danych oraz za to, aby ich przetwarzanie odbywało się zgodnie z przepisami prawa. Administrator danych musi też umieć wykazać, że rzeczywiście zastosował odpowiednie środki bezpieczeństwa.

Realizacja obowiązku zachowania poufności i integralności danych przez cały okres ich przetwarzania ma zapewnić, że dane nie są udostępniane nieupoważnionym osobom i że nie zostaną zmienione lub zniszczone w sposób nieautoryzowany. Administrator danych musi zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem przepisów oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Dotyczy to też sytuacji, kiedy administrator kończy działalność, czyli w przypadku likwidacji.

Pracownicy, to znaczy osoby upoważnione do przetwarzania danych osobowych, są zobowiązani zachowywać poufność danych zarówno w trakcie zatrudnienia, jak i po jego zakończeniu. Również likwidowana organizacja musi zapewnić bezpieczeństwo dokumentów i systemów, w których gromadzone były dane osobowe. Okresy przechowywania różnego rodzaju dokumentów zawierających dane osobowe określają najczęściej szczegółowe przepisy prawa. Przykładowo, akta osobowe byłych pracowników, zgodnie z aktualnie obowiązującymi przepisami z zakresu ubezpieczeń społecznych i archiwizacji dokumentacji, muszą być przechowywane przez pięćdziesiąt lat.

W przypadku likwidacji podmiotu, pracodawca zapewnia i wskazuje miejsce przechowywania dokumentacji pracowniczej, łącznie z możliwością skorzystania z prywatnej firmy specjalizującej się w archiwizowaniu takich dokumentów.

Zasady postępowania z dokumentacją w związku z likwidacją jednostki określa ustawa z 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach. Zgodnie z nią jednostki państwowe i samorządowe materiały archiwalne – kat. A – przekazują niezwłocznie do archiwum państwowego. Materiały archiwalne mogą zostać przekazane jednostce przejmującej zadania i kompetencje likwidowanego podmiotu na podstawie umowy użyczenia, zawartej na wniosek tej jednostki z właściwym archiwum państwowym.

Dokumentację niearchiwalną – kat. B – przekazuje się jednostce organizacyjnej, przejmującej zadania i kompetencje likwidowanego podmiotu. W przypadku braku takiego podmiotu dokumentację przejmuje organ nadrzędny lub nadzorujący. W przypadku braku również takiego podmiotu – dokumentację przekazuje się przedsiębiorcy prowadzącemu działalność gospodarczą w zakresie przechowywania dokumentacji osobowej i płacowej pracodawców o czasowym okresie przechowywania.

W przypadku jednostek niepaństwowych w terminie 30 dni od prawomocnego orzeczenia sądu lub podjęcia przez właściwy organ decyzji skutkującej zaprzestaniem działalności, zarządzający jednostką informuje Naczelnego Dyrektora Archiwów Państwowych o zamiarze przekazania materiałów archiwalnych do archiwum państwowego. Dokumentację osobową i płacową przekazuje się przedsiębiorcy prowadzącemu działalność gospodarczą w zakresie przechowywania dokumentacji osobowej i płacowej pracodawców o czasowym okresie przechowywania. Jeżeli sąd rejestrowy stwierdzi brak środków na koszty dalszego przechowywania, dokumentacja jest przekazywana do archiwum państwowego.

Dokumentację spółdzielni i związków spółdzielczych przekazuje się do związków rewizyjnych zrzeszających spółdzielnie i Krajowej Rady Spółdzielczej. Archiwizacją zajmują się podmioty komercyjne, przy czym spółka w likwidacji dowolnie wybiera podmiot, w którym będzie archiwizowana jej dokumentacja. Co ważne, dokumenty likwidowanej spółki podlegają obowiązkowo archiwizacji w komercyjnych archiwach na terytorium Polski. Przekazanie do archiwizowania np. w siedzibie udziałowca poza granicami Polski nie zostanie uznane za wywiązanie się z ustawowych obowiązków.

Po reformie oświaty likwidowanych jest wiele szkół. To, gdzie przekazywać dokumentację przebiegu nauczania zlikwidowanych szkół i placówek oświatowych i jak z nią postępować, wskazują m.in. ustawa o systemie oświaty, rozporządzenie MEN w sprawie sposobu prowadzenia przez publiczne przedszkola, szkoły i placówki dokumentacji przebiegu nauczania, działalności wychowawczej i opiekuńczej oraz rodzajów tej dokumentacji, rozporządzenie MKiDN w sprawie warunków i trybu przekazywania do archiwów państwowych materiałów archiwalnych tworzących ewidencjonowany niepaństwowy zasób archiwalny, rozporządzenie MKiDN w sprawie klasyfikowania i kwalifikowania dokumentacji, przekazywania materiałów archiwalnych do archiwów państwowych i brakowania dokumentacji niearchiwalnej.

Jeszcze inaczej postępują likwidowane uczelnie wyższe, zgodnie z ustawą Prawo o szkolnictwie wyższym, czy placówki ochrony zdrowia, zgodnie z ustawą o prawach pacjenta i Rzeczniku Praw Pacjenta.

Nie może być takiej sytuacji, o jakiej między innymi można przeczytać na stronie internetowej Generalnego Inspektora Ochrony Danych Osobowych – niezabezpieczona dokumentacja zlikwidowanej w 2016 roku jednej z warszawskich szkół wyższych była wręcz ogólnodostępna. GIODO zajął się sprawą z urzędu w związku z licznymi sygnałami dotyczącymi niewłaściwego zabezpieczenia danych osobowych przez tę szkołę ze względu na istotę i powagę problemu. Szkoła przez ponad dwadzieścia lat działalności zgromadziła wiele danych osobowych zarówno studentów, jak i pracowników.

Inspektorzy GIODO przeprowadzili czynności kontrolne, m.in. oględziny pomieszczeń zlokalizowanych w 9-piętrowym, nieczynnym budynku uczelni w Warszawie, w których znajdowała się nieobjęta żadną ochroną dokumentacja przebiegu studiów oraz akta osobowe pracowników. Możliwe, że sprawa zakończy się jedynie decyzjami administracyjnymi, zwłaszcza że podjęte zostały kroki mające na celu właściwe zabezpieczenie znajdujących się na terenie uczelni dokumentów zawierających dane osobowe, a rektor uczelni zobowiązał się do realizacji konkretnych działań w tym zakresie.

Niemniej wszystkie osoby zaniepokojone tą sytuacją mogą próbować skontaktować się z administratorem danych, czyli władzami uczelni, które wciąż odpowiadają za zgodne z prawem przetwarzanie danych osobowych (uczelnia formalnie nadal istnieje, choć nie prowadzi już zajęć dydaktycznych). Osoby, które mają uzasadnione podejrzenie, że ich dane osobowe dostały się w ręce osób niepowołanych i zostały wykorzystane niezgodnie z prawem, mają prawo zgłaszać się do organów ścigania.