Publicystyka - ngo.pl

Ministerstwo Administracji i Cyfryzacji, w ostatnich dniach maja 2015 r. wydało, oczekiwane od kilku miesięcy, rozporządzenia wykonawcze do znowelizowanej ustawy o ochronie danych osobowych. dotyczące administratorów bezpieczeństwa informacji (ABI):

• rozporządzenie w sprawie sposobu prowadzenia przez ABI rejestru zbiorów danych,
• rozporządzenie w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez ABI.

Obydwa rozporządzenia weszły w życie w końcu maja br.

Dla przypomnienia – organizacja pozarządowa przetwarzająca dane osobowe może:

1. zgłosić zbiór danych osobowych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (GIODO)
2. lub powołać ABI, który będzie rejestr takich zbiorów prowadził i zapewni ochronę danych osobowych; powołanie ABI nie jest obowiązkiem – więcej na ten temat tutaj: „Powołane ABI – obowiązek czy nie?” (nie dla każdej organizacji będzie to idealne rozwiązanie, zależy to m.in. od tego, czy stać ją na powołanie, jako ABI, kogoś z zewnątrz lub spośród pracowników – przyp. red.).

Prowadzenie rejestru przez ABI zwalnia AD (administratora danych, jakim jest np. stowarzyszenie, fundacja) z postępowania przed GIODO, w trakcie którego wniosek jest weryfikowany i może zostać wydana, np. decyzja o odmowie rejestracji zbioru. Plusem wyboru i prowadzenia przez ABI rejestru jest oszczędność czasu oraz łatwiejsza, natychmiastowa rejestracja zbioru danych przez ABI.

• darczyńców, będących osobami fizycznymi, które przekazują organizacji darowizny lub 1% (jeśli darczyńcami są tylko firmy, to nie prowadzi się rejestru takiego zbioru),
• pracowników organizacji, współpracowników organizacji (umowy zlecenia, umowy
  o dzieło),
• wolontariuszy/praktykantów/stażystów,
• członków stowarzyszenia.

ABI powołany w organizacji do końca 2014 r. pełnił swoją funkcję do czasu zgłoszenia go do rejestru administratorów bezpieczeństwa informacji – nie dłużej jednak niż do dnia 30.06.2015 r. Oznacza to, że do 30 czerwca br. organizacja taka powinna była zdecydować czy rejestruje dotychczasowego ABI w GIODO czy też nie.

Pierwsze wspomniane rozporządzenie reguluje organizacyjno-techniczne aspekty prowadzenia przez ABI rejestru zbiorów danych przetwarzanych w organizacji:

1. zbiór jest prowadzony w formie papierowej lub elektronicznej (forma do wyboru);
    
2. zakres informacji o każdym zbiorze obejmuje (dane te zamieszcza ABI w prowadzonym przez siebie rejestrze):

• nazwę zbioru,
• oznaczenie administratora danych i adres jego siedziby oraz numer identyfikacyjny rejestru podmiotów gospodarki narodowej (REGON) – jeżeli został mu nadany,
• oznaczenie przedstawiciela administratora danych i adres jego siedziby – jeśli został wyznaczony (administrator danych jest obowiązany wyznaczyć swojego przedstawiciela w Polsce, jeśli dane osobowe przetwarzane są przez podmioty mające siedzibę albo miejsce zamieszkania poza Europejskim Obszarem Gospodarczym – EOG),
• oznaczenie podmiotu, któremu powierzono przetwarzanie danych ze zbioru (na podstawie art. 31 ustawy o ochronie danych osobowych) – informację tę podaje się
  w przypadku powierzenia przetwarzania danych firmie zewnętrznej (a nie np. pracownikowi organizacji),
• podstawę prawną upoważniającą do prowadzenia zbioru danych (np. zgody osób, których dane dotyczą na przetwarzanie danych ich dotyczących),
• cel przetwarzania danych w zbiorze (np. przeprowadzenie naboru do pracy
  w przypadku zbioru kandydatów do pracy; w związku z zatrudnieniem, w celu prowadzenia dokumentacji kadrowej – w przypadku zbioru pracowników),
• opis kategorii osób, których dane są przetwarzane w zbiorze (np. byli i obecni: członkowie stowarzyszenia, darczyńcy organizacji, kandydaci do pracy, pracownicy organizacji, adresaci działań),
• zakres danych przetwarzanych w zbiorze (np. zbiór danych pracowników – imiona
  i nazwiska, imiona rodziców, data i miejsce urodzenia, obywatelstwo, miejsce zamieszkania, adres do korespondencji, nr telefonu, wykształcenie /nazwa szkoły, rok ukończenia, specjalność/, wykształcenie uzupełniające /kursy, studia podyplomowe/, przebieg dotychczasowego zatrudnienia, dodatkowe uprawnienia, umiejętności, zainteresowania, seria i nr dowodu osobistego, nr ewidencyjny PESEL, nr NIP, stan rodzinny /imiona i nazwiska oraz daty urodzenia dzieci/, stosunek do powszechnego obowiązku obrony, nazwa banku i numer rachunku bankowego),
• sposób zbierania danych do zbioru (w szczególności informacja o tym, czy dane są zbierane bezpośrednio od osób, których dotyczą, czy z innych źródeł niż te osoby),
• sposób udostępniania danych ze zbioru (w szczególności informacja, czy dane ze zbioru są udostępniane innym podmiotom niż upoważnione na podstawie przepisów),
• oznaczenie odbiorcy danych lub kategorii odbiorców, którym dane mogą być przekazywane (należy podać jego/ich nazwę, adres siedziby lub nazwisko, imię, adres miejsca zamieszkania),
• informacje o ewentualnym przekazywaniu danych do państwa poza EOG;

3. dodatkowe informacje – data wpisu każdego zbioru danych do rejestru oraz data ostatniej aktualizacji informacji dotyczących każdego zbioru danych;
    
4. sposób postępowania w przypadku wykreślenia zbioru danych z rejestru;
    
5. obowiązki ABI dotyczące prowadzenia rejestru;
    
6. sposób upubliczniania informacji zawartych w rejestrze – w zależności od wybranej formy jego prowadzenia (papierowej lub elektronicznej).

Zakres informacji o przetwarzanych przez organizację pozarządową zbiorach danych osobowych, wpisywanych do rejestru prowadzonego przez ABI, jest tożsamy z informacjami zawartymi w częściach „A”, „B”, „C” i „D” zgłoszenia zbioru danych do rejestracji GIODO. Może to być istotne dla organizacji, które dotychczas zgłaszały zbiory danych do GIODO,

a teraz chcą powołać ABI do prowadzenia rejestru zbiorów i mogą skorzystać z dokumentów związanych z wcześniejszym zgłoszeniem zbioru danych do GIODO.

Drugie rozporządzenie dotyczy trybu i sposobu realizacji przez ABI zadań, które mają zapewnić przestrzeganie przepisów o ochronie danych osobowych, czyli ABI:

• sprawdza zgodność przetwarzania danych z przepisami o ochronie danych osobowych oraz opracowuje sprawozdanie w tym zakresie,
   
• nadzoruje opracowanie i aktualizowanie dokumentacji opisującej sposób przetwarzania danych osobowych (czyli polityka bezpieczeństwa, upoważnienia do przetwarzania danych, odwołania upoważnień do ich przetwarzania, ewidencja osób upoważnionych do przetwarzania danych, instrukcja zarządzania system informatycznym służącym do przetwarzania danych osobowych – w przypadku ich przetwarzania w systemach informatycznych) oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych odpowiednią do zagrożeń i kategorii danych objętych ochroną,
   
• nadzoruje przestrzeganie zasad określonych w dokumentacji, o której mowa powyżej.

Zgodnie z rozporządzeniem, ABI dokonuje sprawdzenia dla administratora danych (zarządu organizacji pozarządowej) i GIODO (tylko w przypadku, gdy GIODO zwróci się o nie do ABI).

Sprawdzenie dla administratora danych może zostać przeprowadzone w trybie zaplanowanym (w ustalonym terminie) lub doraźnym.

ABI przygotowuje plan sprawdzeń (kontroli), obejmujący nie mniej niż jedno sprawdzenie (na czas nie krótszy niż kwartał i nie dłuższy niż rok), a następnie przedstawia go AD. Robi to nie później niż na dwa tygodnie przed dniem rozpoczęcia okresu objętego planem kontroli.

Sprawdzenie doraźne ABI przeprowadza niezwłocznie po otrzymaniu informacji o naruszeniu ochrony danych osobowych lub uzasadnionym podejrzeniu takiego naruszenia. O rozpoczęciu sprawdzenia doraźnego lub sprawdzenia dla GIODO ABI zawiadamia AD przed podjęciem pierwszej czynności w ramach sprawdzenia.

Po przeprowadzonej kontroli ABI opracowuje dla AD sprawozdanie (papierowe lub elektroniczne):

• ze sprawdzenia planowego – nie później niż w terminie 30 dni od jego zakończenia;
   
• ze sprawdzenia doraźnego – niezwłocznie po jego zakończeniu;
   
• ze sprawdzenia dla GIODO – zachowując termin wskazany przez GIODO.

W ramach nadzoru ABI weryfikuje m.in.:

• opracowanie i kompletność dokumentacji przetwarzania danych osobowych (np. polityka bezpieczeństwa wraz z upoważnieniami do przetwarzania danych, odwołaniami upoważnień do ich przetwarzania, ewidencją osób upoważnionych do ich przetwarzania, instrukcja zarządzania systemem informatycznym służącym do przetwarzania – w przypadku przetwarzania danych osobowych w systemach informatycznych);
   
• stan faktyczny w zakresie przetwarzania danych osobowych (np. jaka jest podstawa prawna przetwarzania danych w zbiorze, np. jeśli jest nią zgoda osoby, której dane dotyczą – to czy każda osoba wpisana do zbioru udzieliła takiej zgody; czy osoby przetwarzające dane osobowe w zbiorze mają do tego upoważnienia, czy upoważnienia są ważne, czy nie zostały odwołane);
   
• zgodność ze stanem faktycznym przewidzianych w dokumentacji przetwarzania danych środków technicznych i organizacyjnych, służących przeciwdziałaniu zagrożeniom dla ochrony danych osobowych (np. czy w praktyce stosowane są zabezpieczenia określone w zgłoszeniu zbioru danych obejmującym dane wrażliwe, np. o stanie zdrowia – do rejestracji w GIODO).

• Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów
  o ochronie danych osobowych przez administratora bezpieczeństwa informacji (Dz. U. z 2015 r., poz. 745)
• Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych (Dz. U. z 2015 r., poz. 719)
• Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity: Dz. U. z 2014 r., poz. 1182 z późń. zm.)
• Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 11 grudnia 2008 r. w sprawie wzoru zgłoszenia zbioru do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (Dz. U. z 2008 r., Nr 229, poz. 1536)