Już za dwa lata w całej Unii Europejskiej zaczną obowiązywać zaostrzone przepisy regulujące zasady pozyskiwania i przetwarzania danych osobowych. To zasługa nowego Rozporządzenia uchwalonego przez Parlament Europejski. W dniu 14 kwietnia 2016 r. Parlament Europejski przyjął pakiet legislacyjny dotyczący nowych unijnych ram prawnych ochrony danych osobowych. Pakiet składa się rozporządzenia w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (ogólne rozporządzenie o ochronie danych) oraz dyrektywy w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych. Głosowanie Parlamentu, poprzedzone przyjęciem obu dokumentów przez Radę Unii Europejskiej, wieńczy trwające ponad cztery lata prace mające na celu całkowitą przebudowę unijnych zasad ochrony danych. Wejście w życie powyższych uregulowań poprzedzone będzie jednak 2- letnim okresem przejściowym.
Tymczasem, jak wynika z naszej codziennej praktyki wielu przedsiębiorców w ogóle nie przestrzega przepisów regulujących przetwarzanie danych osobowych. Najczęściej nie wynika to ze świadomego działania, lecz właśnie nieświadomości obowiązującego w tym zakresie prawa. Nie traci jednak na znaczeniu rzymska sentencja – Nieznajomość prawa szkodzi… a zaszkodzić faktycznie może, bo za naruszenie przepisów ustawy o ochronie danych osobowych ustawodawca przewidział karę grzywny, ograniczenia wolności a nawet pozbawienia wolności.
Ustawa o ochronie danych osobowych z dnia 29 sierpnia 1997 r. (t.j. Dz.U. z 2015 r. poz. 2135) nakłada na przedsiębiorców wiele obowiązków, jednak wystarczy wprowadzić w swoim przedsiębiorstwie odpowiednie procedury i zasady, aby spełnić wymagania ustawowe i zachować spokój w razie kontroli inspektora danych osobowych.
Każdy administrator danych, czyli osoba decydująca o celach ich przetwarzania jest zobowiązany do identyfikacji posiadanych zbiorów danych oraz zgłoszenia ich do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (dalej: GIODO). Zgłoszone zbiory wymagają aktualizacji zarówno wtedy, gdy pojawi się w przedsiębiorstwie nowy zbiór danych, jak i w sytuacji, gdy w już zgłoszonym zbiorze zmienią się informacje.
Oprócz zgłoszenia zbioru danych osobowych, administrator danych osobowych ma ustawowy obowiązek opracowania, wdrożenia i prowadzenia dokumentacji systemu ochrony danych osobowych (art. 36 ust. 2 ustawy o ochronie danych osobowych). System ochrony danych osobowych to najogólniej mówiąc zbiór celowo zdefiniowanych elementów organizacyjnych i technicznych, które wzajemnie ze sobą powiązane funkcjonują jako jedna całość, wspólnie realizując jeden cel – zapewnienie niezakłóconego procesu przetwarzania danych osobowych i minimalnego akceptowalnego poziomu ich odporności na działania niepożądane. Szczegółowe zasady opracowywania tej dokumentacji określa Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024 z późn. zm.). Zgodnie z dyspozycją powyższego Rozporządzenia w skład obowiązkowej dokumentacji systemu ochrony danych osobowych wchodzą:
1) Polityka bezpieczeństwa;
2) Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych.
Co istotne, obowiązek prowadzenia dokumentacji dotyczy każdego przedsiębiorcy przetwarzającego dane osobowe, bez względu na rodzaj danych osobowych, cel przetwarzania, wielkość przetwarzanych zbiorów danych osobowych, sposób przetwarzania.
Należy jednak podkreślić, że nie jest to zbiór zamknięty dokumentów i powinien być rozszerzony na pozostałe dokumenty określone wprost lub wynikające z przepisów Ustawy:
3) Upoważnienia do przetwarzania danych osobowych;
4) Ewidencja upoważnień do przetwarzania danych osobowych;
5) Zobowiązania do zachowania poufności;
Oczywiście ze względów organizacyjnych zakres dokumentacji może być jeszcze szerszy i obejmować dokumenty niezbędne do prawidłowego zarządzania procesem przetwarzania danych osobowych w ramach konkretnego przedsiębiorstwa. Istotna jest przede wszystkim zawartość merytoryczna dokumentacji, a nie jej ilość. Najważniejszym pozostaje jednak to, aby opracowana dokumentacji ochrony danych byłą adekwatna do warunków w danej organizacji i nie była tworem czysto teoretycznym. Każdy administrator danych osobowych powinien określić osoby upoważnione do przetwarzania danych osobowych w danym przedsiębiorstwie, wskazując na piśmie jaki jest zakres tego upoważnienia. Osoba przetwarzająca dane osobowe powinna zapoznać się z przepisami regulującymi ochronę danych osobowych a także dokumentacją ochrony danych w firmie.
To na Administratorze danych osobowych spoczywa obowiązek zapewnienia zgodnej z prawem ochrony danych osobowych. Administrator danych osobowych może wywiązywać się z obowiązków sam lub też powołać Administratora bezpieczeństwa informacji (ABI) – czyli osobę nadzorującą z jego upoważnienia przestrzeganie stosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych – poprzez powierzenie zadań z zakresu ochrony danych osobowych swojemu pracownikowi. Powołanie ABI ma charakter dobrowolny – fakt jego powołania należy zgłosić do GIODO, który prowadzi rejestr ABI. Administratorem bezpieczeństwa informacji może zostać zarówno pracownika ADO, jak i podmiot zewnętrzny.
Ustawodawca wymaga od ABI spełnienia następujących warunków:
1) musi mieć pełną zdolność do wykonywania czynności prawnych oraz korzystać z pełni praw publicznych;
2) nie może być osobą karaną za przestępstwo z winy umyślnej;
3) powinien mieć odpowiednią wiedzę z zakresu ochrony danych osobowych.
Do podstawowych obowiązków ABI należy w szczególności:
-prowadzenie rejestru zbiorów danych osobowych;
- opracowywanie dokumentacji z zakresu ochrony danych osobowych (np. Polityka Bezpieczeństwa Informacji);
- rejestracja określonych zbiorów u Generalnego Inspektora;
- nadzorowanie dokumentacji dotyczącej;
- dokonywanie sprawdzeń zgodności przetwarzania danych z przepisami;
- opracowywanie sprawozdań na podstawie dokonanych sprawdzeń.
Warto podkreślić, iż przestrzeganie spełniania wymagań ustawy o ochronie danych osobowych podlega kontroli Generalnego Inspektora Ochrony Danych Osobowych. GIODO uprawniony jest do przeprowadzania kontroli prawidłowości przetwarzania danych osobowych z przepisami o ochronie danych. Z praktyki wynika, iż kontrole te występują dość rzadko, jednak warto zadbać o to, aby w razie ewentualnej uniknąć negatywnych konsekwencji.