« Powrót

Paragraf 3. Upoważnienie w zakresie przetwarzania danych osobowych



Ustawa nakłada na administratorów danych obowiązek zapewnienia ich bezpieczeństwa. Administratorzy powinni zatem zadbać, aby dane były przetwarzane w sposób bezpieczny. Zapewnienie bezpieczeństwa polega nie tylko na zorganizowaniu odpowiednich środków technicznych i organizacyjnych, ale też na zapobieganiu ujawnienia danych osobom trzecim.

Zgodnie z art. 36 ustawy:
Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich:
a) udostępnieniem osobom nieupoważnionym;
b) zabraniem przez osobę nieuprawnioną;
c) przetwarzaniem z naruszeniem ustawy;
d) zmianą;
e) utratą;
f) uszkodzeniem;
g) zniszczeniem.
Administrator danych zobowiązany jest do prowadzenia dokumentacji opisującej sposób przetwarzania danych oraz zastosowane środki techniczne i organizacyjne, mające na celu ochronę danych osobowych.

Ponadto administrator danych powinien wyznaczyć administratora bezpieczeństwa informacji (tzw. ABI), którego zadaniem jest nadzorowanie przestrzegania zasad ochrony danych osobowych. Nie ma jednakże przeszkód, aby administrator danych sam wykonywał te zadania.
Powyższe wymogi zabezpieczenia danych osobowych dotyczą danych przetwarzanych zarówno w sposób manualny (tradycyjny), jak również w systemach informatycznych.

Niewątpliwie zastosowane środki techniczne i organizacyjne powinny być dostosowane do miejsca, w którym przetwarzane są dane osobowe. Do środków mających na celu ochronę danych osobowych można zaliczyć m.in.:
a) stosowanie odpowiednich rozwiązań architektoniczno-budowlanych;
b) instalowanie systemów alarmowych;
c) zapewnienie odpowiedniej ochrony;
d) stosowanie kart dostępu .

W doktrynie słusznie zauważono, że stopień środków ochrony danych osobowych powinien być uzależniony od konkretnych okoliczności i warunków ich przetwarzania .
J. Barta, P. Fajgielski oraz R. Markiewicz uważają, że powinna zachodzić adekwatność pomiędzy zagrożeniem a skalą i rodzajami zastosowanych środków ochrony. Adekwatność należy oceniać według zobiektywizowanych kryteriów, typowych, przeciętnych zachowań i potrzeb. Nie ulega bowiem wątpliwości, iż wyższy poziom ochrony powinien być zapewniony, gdy przetwarzane są dane wrażliwe (sensytywne) .

Kilka słów o administratorze bezpieczeństwa informacji (ABI)
Jak wskazano powyżej, podstawowym obowiązkiem administratora bezpieczeństwa informacji jest pełnienie nadzoru nad przestrzeganiem zasad ochrony danych osobowych. Nadzór oznacza kontrolę połączoną z możliwością wiążącego oddziaływania, władczej ingerencji . ABI powinien zostać ustanowiony przez administratorów danych, którzy przetwarzają dane zarówno w sposób tradycyjny (manualny), jak również w systemach informatycznych.
Do podstawowych zadań administratora bezpieczeństwa informacji należy zaliczyć w szczególności:
a) nadzór nad zabezpieczeniem pomieszczeń, w których przetwarzane są dane osobowe;
b) nadzór nad osobami przetwarzającymi dane osobowe;
c) nadzór nad procedurami nadawania uprawnień do przetwarzania danych osobowych;
d) nadzór nad prowadzeniem ewidencji osób przetwarzających dane osobowe;
e) nadzór nad funkcjonowaniem sprzętu elektronicznego służącego do przetwarzania danych osobowych;
f) nadzór nad systemami informatycznymi;
g) nadzór nad przydzielaniem użytkownikom haseł do systemów informatycznych;
h) nadzór nad procedurami wykonywania kopii zapasowych danych osobowych oraz ich przetwarzaniem;
i) nadzór nad pracami mającymi na celu konserwację sprzętu elektronicznego;
j) nadzór nad uaktualnianiem systemów informatycznych, oprogramowania (np. oprogramowania antywirusowego);
k) nadzór nad obiegiem dokumentów zawierających dane osobowe.

Ustawodawca nie przesądził, kto powinien pełnić funkcję ABI. Należy zatem uznać, że może ją wykonywać zarówno osoba zatrudniona u administratora danych na podstawie umowy o pracę, jak również osoba zatrudniona na podstawie umowy cywilnoprawnej (np. umowy zlecenia).
Wymaga jednakże podkreślenia, że zadania administratora bezpieczeństwa informacji może wykonywać wyłącznie osoba fizyczna. Wobec powyższego ABI nie może być żaden inny podmiot, np. spółka z ograniczoną odpowiedzialnością.
Rekomenduje się, aby administrator bezpieczeństwa informacji został wyznaczony w formie pisemnej. Ustne wyznaczenie ABI będzie ważne, niemniej jednak ze względów dowodowych wskazane jest, aby administrator danych posiadał dokument, z którego będzie wprost wynikał fakt wyznaczenia ABI. Ów dokument będzie miał znaczenie przede wszystkim w przypadku ewentualnej kontroli Generalnego Inspektora Ochrony Danych Osobowych.

Upoważnienie do przetwarzania danych osobowych
W myśl art. 37 ustawy do przetwarzania danych osobowych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych. Zgodnie zatem z powyższym przepisem upoważnienie do przetwarzania danych osobowych powinny mieć wszystkie osoby, które przetwarzają ten rodzaj danych. Nie ma przy tym znaczenia, czy przetwarzanie danych osobowych realizowane jest w formie manualnej czy też w systemach informatycznych.
Należy wyraźnie podkreślić, że dane osobowe mogą być przetwarzane wyłącznie przez osoby, którym nadano stosowne upoważnienie. Indywidualne upoważnienie do przetwarzania danych osobowych powinno być nadane przez administratora danych.
Upoważnienie do przetwarzania danych osobowych może być nadane zarówno w formie pisemnej, jak również w formie ustnej. Niemniej jednak zaleca się, aby ze względów dowodowych administratorzy danych nadawali upoważnienia w formie pisemnej.
Upoważnieniem do przetwarzania danych osobowych powinni legitymować się:
1) osoby zajmujące się na stałe przetwarzaniem danych;
2) osoby, które potencjalnie mogą przetwarzać dane osobowe, np. kierownicy działów kadr, kierownicy działu płac, kierownicy poszczególnych jednostek organizacyjnych przedsiębiorstwa;
3) osoby czasowo wykonujące czynności w zakresie związanym z przetwarzaniem danych, w szczególności:
a) osoby dokonujące przeglądów serwisowych sprzętu elektronicznego oraz oprogramowania,
b) osoby usuwające awarie sprzętu elektronicznego lub oprogramowania,
c) osoby, których zadaniem jest fizyczne zniszczenie zbiorów danych osobowych .
Upoważnienie do przetwarzania danych osobowych wymagane jest we wszystkich przypadkach, gdy dana osoba może zapoznać się z treścią danych.
W ustawie nie została określona ani treść, ani forma upoważnienia do przetwarzania danych osobowych. W doktrynie wskazuje się natomiast, że upoważnienie powinno mieć charakter imienny oraz powinno określać dozwolony zakres przetwarzania danych osobowych .

Ponadto warto zauważyć, że osoba, której udzielono upoważnienia do przetwarzania danych osobowych, powinna złożyć pisemne oświadczenie o zapoznaniu się z przepisami ustawy oraz o przyjęciu do wiadomości obowiązku zachowania tajemnicy .
Przypisy
Bibliografia
Lista publikacji dotycząca tematyki artykułu
1) J. Barta, P. Fajgielski, R. Markiewicz, Ochrona danych osobowych. Komentarz, wydanie 4, Wydawnictwo Lex a Wolters Kluwer business, Kraków 2007.
2) A. Drozd, Ustawa o ochronie danych osobowych. Komentarz. Wzory pism i przepisy, Wydawnictwo Prawnicze LexisNexis, Warszawa 2008.
3) T. Cygan, Podręcznik administratora bezpieczeństwa informacji, wyd. I, PRESSCOM, Wrocław 2011.
4) G. Sibiga, Administrator bezpieczeństwa informacji (uwagi de lege lata), w: Ochrona informacji niejawnych, biznesowych i danych osobowych, red. M. Gajos, Krajowe Stowarzyszenie Ochrony Informacji Niejawnych i Uniwersytet Śląski, Katowice 2010.
5) M. Sakowska-Baryła, Sporne kwestie w stosowaniu ustawy o ochronie danych osobowych przez administratora danych, w: Ochrona danych osobowych. Skuteczność regulacji, red. G. Szpor, Wydawnictwo Municipium, Warszawa 2009.

Lista adresów internetowych dotycząca tematyki artykułu, [data odczytu 11.11.2013 r.]
1) http://www.giodo.gov.pl/ – strona zawiera informacje w przedmiocie upoważnienia do przetwarzania danych osobowych.
2) http://ochronadanychosobowych.info/ – strona zawiera szereg praktycznych porad związanych z przetwarzaniem danych osobowych.
3) http://www.frog.org.pl/ncrm/poradnik.pdf - na stronie znajduje się poradnik w zakresie ochrony danych osobowych.
4) http://mamstartup.pl/poradnik/3511/twoj-startup-a-ochrona-danych-osobowych-cz-1 - artykuł na temat ochrony danych osobowych.
5) http://www.ngo.pl/x/468727 - na stronie został zamieszczony praktyczny poradnik w przedmiocie ochrony danych osobowych.