Jak postąpić z dokumentacją ochrony danych w przypadku likwidacji podmiotu

Piotr Glen

Autor: Piotr Glen

Dodano: 18 września 2017
Dokument archiwalny
Jak postąpić z dokumentacją ochrony danych w przypadku likwidacji podmiotu

Kilka tygodni temu GIODO informował, że wszczyna kontrolę w jednej ze szkół wyższych, która wprawdzie zakończyła działalność, ale nie zabezpieczyła odpowiednio dokumentów zawierających dane osobowe pracowników i byłych studentów. Za takie naruszenie może grozić nawet odpowiedzialność karna. Sprawdź, jak prawidłowo postąpić z dokumentacją ochrony danych i dokumentami zawierającymi dane osobowe w przypadku likwidacji podmiotu.

Administrator danych odpowiada za bezpieczne przetwarzanie danych, czyli za wdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających poufność i integralność danych oraz za to, aby ich przetwarzanie odbywało się zgodnie z przepisami prawa. Administrator danych musi też umieć wykazać, że rzeczywiście zastosował odpowiednie środki bezpieczeństwa.

Realizacja obowiązku zachowania poufności i integralności danych przez cały okres ich przetwarzania ma zapewnić, że dane nie są udostępniane nieupoważnionym osobom i że nie zostaną zmienione lub zniszczone w sposób nieautoryzowany. Administrator danych musi zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem przepisów oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Dotyczy to też sytuacji, kiedy administrator kończy działalność, czyli w przypadku likwidacji.

Tajemnica danych osobowych nie ulega przedawnieniu

Pracownicy, to znaczy osoby upoważnione do przetwarzania danych osobowych, są zobowiązani zachowywać poufność danych zarówno w trakcie zatrudnienia, jak i po jego zakończeniu. Również likwidowana organizacja musi zapewnić bezpieczeństwo dokumentów i systemów, w których gromadzone były dane osobowe. Okresy przechowywania różnego rodzaju dokumentów zawierających dane osobowe określają najczęściej szczegółowe przepisy prawa. Przykładowo, akta osobowe byłych pracowników, zgodnie z aktualnie obowiązującymi przepisami z zakresu ubezpieczeń społecznych i archiwizacji dokumentacji, muszą być przechowywane przez pięćdziesiąt lat.

W przypadku likwidacji podmiotu, pracodawca zapewnia i wskazuje miejsce przechowywania dokumentacji pracowniczej, łącznie z możliwością skorzystania z prywatnej firmy specjalizującej się w archiwizowaniu takich dokumentów.

Co zrobić z dokumentacją w przypadku likwidacji jednostki państwowej

Zasady postępowania z dokumentacją w związku z likwidacją jednostki określa ustawa z 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach. Zgodnie z nią jednostki państwowe i samorządowe materiały archiwalne – kat. A – przekazują niezwłocznie do archiwum państwowego. Materiały archiwalne mogą zostać przekazane jednostce przejmującej zadania i kompetencje likwidowanego podmiotu na podstawie umowy użyczenia, zawartej na wniosek tej jednostki z właściwym archiwum państwowym.

Dokumentację niearchiwalną – kat. B – przekazuje się jednostce organizacyjnej, przejmującej zadania i kompetencje likwidowanego podmiotu. W przypadku braku takiego podmiotu dokumentację przejmuje organ nadrzędny lub nadzorujący. W przypadku braku również takiego podmiotu – dokumentację przekazuje się przedsiębiorcy prowadzącemu działalność gospodarczą w zakresie przechowywania dokumentacji osobowej i płacowej pracodawców o czasowym okresie przechowywania.

A co z jednostkami niepaństwowymi

W przypadku jednostek niepaństwowych w terminie 30 dni od prawomocnego orzeczenia sądu lub podjęcia przez właściwy organ decyzji skutkującej zaprzestaniem działalności, zarządzający jednostką informuje Naczelnego Dyrektora Archiwów Państwowych o zamiarze przekazania materiałów archiwalnych do archiwum państwowego. Dokumentację osobową i płacową przekazuje się przedsiębiorcy prowadzącemu działalność gospodarczą w zakresie przechowywania dokumentacji osobowej i płacowej pracodawców o czasowym okresie przechowywania. Jeżeli sąd rejestrowy stwierdzi brak środków na koszty dalszego przechowywania, dokumentacja jest przekazywana do archiwum państwowego.

Likwidacja spółdzielni i związku spółdzielczego – co z dokumentacją

Dokumentację spółdzielni i związków spółdzielczych przekazuje się do związków rewizyjnych zrzeszających spółdzielnie i Krajowej Rady Spółdzielczej. Archiwizacją zajmują się podmioty komercyjne, przy czym spółka w likwidacji dowolnie wybiera podmiot, w którym będzie archiwizowana jej dokumentacja. Co ważne, dokumenty likwidowanej spółki podlegają obowiązkowo archiwizacji w komercyjnych archiwach na terytorium Polski. Przekazanie do archiwizowania np. w siedzibie udziałowca poza granicami Polski nie zostanie uznane za wywiązanie się z ustawowych obowiązków.

Ważne:

Postępowanie w przypadku likwidowania spółki z o.o. opisuje Kodeks spółek handlowych. To, jak długo i w jaki sposób przechowywać określoną dokumentację, określają branżowe przepisy, jak np. Ordynacja podatkowa czy ustawa o finansach publicznych.

Zlikwidowana szkoła – co zrobić z dokumentacją ochrony danych

Po reformie oświaty likwidowanych jest wiele szkół. To, gdzie przekazywać dokumentację przebiegu nauczania zlikwidowanych szkół i placówek oświatowych i jak z nią postępować, wskazują m.in. ustawa o systemie oświaty, rozporządzenie MEN w sprawie sposobu prowadzenia przez publiczne przedszkola, szkoły i placówki dokumentacji przebiegu nauczania, działalności wychowawczej i opiekuńczej oraz rodzajów tej dokumentacji, rozporządzenie MKiDN w sprawie warunków i trybu przekazywania do archiwów państwowych materiałów archiwalnych tworzących ewidencjonowany niepaństwowy zasób archiwalny, rozporządzenie MKiDN w sprawie klasyfikowania i kwalifikowania dokumentacji, przekazywania materiałów archiwalnych do archiwów państwowych i brakowania dokumentacji niearchiwalnej.

Jeszcze inaczej postępują likwidowane uczelnie wyższe, zgodnie z ustawą Prawo o szkolnictwie wyższym, czy placówki ochrony zdrowia, zgodnie z ustawą o prawach pacjenta i Rzeczniku Praw Pacjenta.

Ważne:

Archiwizacja dokumentacji jest konieczna także po zakończeniu działalności podmiotu. Ma ona służyć przede wszystkim zachowaniu informacji dotyczących byłych pracowników, uczniów, pacjentów, ale tak, aby jedynie uprawnione instytucje mogły mieć dostęp do dokumentacji źródłowej.

Uwaga! Nie zabezpieczyłeś dokumentacji – licz się z kontrolą GIODO

Nie może być takiej sytuacji, o jakiej między innymi można przeczytać na stronie internetowej Generalnego Inspektora Ochrony Danych Osobowych – niezabezpieczona dokumentacja zlikwidowanej w 2016 roku jednej z warszawskich szkół wyższych była wręcz ogólnodostępna. GIODO zajął się sprawą z urzędu w związku z licznymi sygnałami dotyczącymi niewłaściwego zabezpieczenia danych osobowych przez tę szkołę ze względu na istotę i powagę problemu. Szkoła przez ponad dwadzieścia lat działalności zgromadziła wiele danych osobowych zarówno studentów, jak i pracowników.

Inspektorzy GIODO przeprowadzili czynności kontrolne, m.in. oględziny pomieszczeń zlokalizowanych w 9-piętrowym, nieczynnym budynku uczelni w Warszawie, w których znajdowała się nieobjęta żadną ochroną dokumentacja przebiegu studiów oraz akta osobowe pracowników. Możliwe, że sprawa zakończy się jedynie decyzjami administracyjnymi, zwłaszcza że podjęte zostały kroki mające na celu właściwe zabezpieczenie znajdujących się na terenie uczelni dokumentów zawierających dane osobowe, a rektor uczelni zobowiązał się do realizacji konkretnych działań w tym zakresie.

Niemniej wszystkie osoby zaniepokojone tą sytuacją mogą próbować skontaktować się z administratorem danych, czyli władzami uczelni, które wciąż odpowiadają za zgodne z prawem przetwarzanie danych osobowych (uczelnia formalnie nadal istnieje, choć nie prowadzi już zajęć dydaktycznych). Osoby, które mają uzasadnione podejrzenie, że ich dane osobowe dostały się w ręce osób niepowołanych i zostały wykorzystane niezgodnie z prawem, mają prawo zgłaszać się do organów ścigania.

Ważne:

Po 25 maja 2018 roku, czyli gdy zacznie być stosowane unijne rozporządzenie ogólne o ochronie danych, za tego typu przewinienia organ ochrony danych będzie mógł nakładać bardzo wysokie administracyjne kary pieniężne.

Piotr Glen

Autor: Piotr Glen

doświadczony administrator bezpieczeństwa informacji pełniący tę funkcję dla wielu firm i instytucji, trener i audytor

Czytelnicy tego artykułu skorzystali również z poniższych narzędzi

Biblioteka ABI

Nasi partnerzy i zdobyte nagrody


© Portal Poradyodo.pl
Strona używa plików cookies. Korzystając ze strony użytkownik wyraża zgodę na używanie plików cookies.

Sprawdź nasz portal - testuj przez 24h za darmo

Aktualności i porady ekspertów

Listy kontrolne

Wzory dokumentów

Załóż konto na próbę x
wiper-pixel