Administratorzy bezpieczeństwa informacji odpowiadają teraz za dane osobowe przechowywane w firmie
Do końca czerwca firmy miały obowiązek uregulowania statusu tzw. administratorów bezpieczeństwa informacji (ABI), których zadaniem jest nadzór nad danymi osobowymi. Taki obowiązek nałożyła znowelizowana ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. 2014 nr 0 poz. 1182), która przyznaje szersze kompetencje Generalnemu Inspektorowi Ochrony Danych Osobowych (GIODO). Nowe prawo zostało uchwalone pod koniec ubiegłego roku, zaczęło obowiązywać od 1 stycznia br., ale przedsiębiorstwa miały półroczny okres dostosowania się do jego postanowień. W momencie wejścia w życie ustawy Generalny Inspektor zaczął prowadzić rejestry ABI, jak również uzyskał możliwość przeprowadzenia w każdym podmiocie, na terenie którego dochodzi do przetwarzania danych osobowych, tzw. sprawdzenia. Firmy mogą zatrudniać na tych stanowiskach tylko osoby o określonych kompetencjach (nie karane, mające odpowiednią wiedzę), a ich status w hierarchii przedsiębiorstwa ma być dokładnie określony (mogą podlegać jedynie kierownikowi albo osobie fizycznej będącej administratorem, najczęściej właścicielowi). Jeśli ABI nie zostanie wyznaczony przyjmuje się, że jego funkcje pełni właściciel firmy. – Tego rodzaju stanowiska już istnieją lub jego obowiązki powierzane są podmiotom zewnętrznym, na zasadach outsourcingu – mówi Piotr Didenkow, prawnik z Uniwersytetu Kardynała Stefana Wyszyńskiego.
Kluczowy dysponent
Nawet najmniejszy, zatrudniający co najmniej jedną osobę, podmiot przetwarza dane osobowe (wystarczy, że są to informacje dotyczące pracownika). Nie mówiąc już o tym, że podstawą działalności jest obecnie zbudowanie odpowiednio dużej i szczegółowej bazy kontaktów. Zgodnie z prawem tego rodzaju informacje, dotyczące podmiotów gospodarczych nie wymagają rejestracji. Jeśli jednak baza zawierać ma dane dotyczące osób fizycznych, konieczna jest ich weryfikacja i akceptacja przez GIODO.
Ustawa określa, że podczas zbierania takich informacji należy poinformować osobę, od której mają być pozyskane o adresie siedziby i pełnej nazwie zbierającego podmiotu. W przypadku, gdy budową zbioru zajmuje się osoba fizyczna, powinna ona poinformować „dysponenta danych osobowych” przynajmniej o miejscu swojego zamieszkania oraz imieniu i nazwisku. Konieczne jest także powiadomienie o celu takiej operacji (w szczególności o tym, kto będą dysponować danymi), a także przysługującym prawie dostępu do treści, możliwości poprawienia, usunięcia, a także dobrowolności przekazania. Jeśli budowa takiego zbioru nie odbywa się w celu komercyjnym, a wynika z innego obowiązku nałożonego przez prawo, zbierająca informacje firma (lub osoba fizyczna) powinna powiadomić o podstawie prawnej.
Seks i religia
Nad przetwarzaniem danych powinien czuwać ABI. Jego zadaniem jest monitorowanie właściwego przechowywania, ochrona przed udostępnieniem na zewnątrz, przetwarzaniem niezgodnie z ustawą oraz zmianą, wyniesieniem, utratą, zniszczeniem, uszkodzeniem itp. Administrator musi prowadzić szczegółową dokumentację opisującą sposób przetwarzania oraz podjęte w związku z tym środki bezpieczeństwa. Informacje takie nie mogą bowiem trafić w niepowołane ręce.
Jeżeli przedstawiciele GIODO wykryją, że w przedsiębiorstwie doszło do złamania ustawy (w bazie znajduje się na przykład zbiór danych nie zawierających zgody ich dysponentów), mają prawo zawiadomić organy ścigania o możliwości popełnienia przestępstwa, te z kolei mogą skierować sprawę do sądu. Choć w wydawaniu wyroków w tej materii Temida, póki co, jest stosunkowo wstrzemięźliwa, to jednak za naruszenie zapisów ustawy teoretycznie grozi kara ograniczenia, a nawet pozbawienia wolności. Najgorzej, gdyby w wyniku takiego działania doszłoby do „wycieku” danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym. Wówczas sprawca podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat trzech. Przedsiębiorcy, który złamie ustawę grożą ponadto sankcje administracyjne i cywilne, bo osoby pokrzywdzone mogą domagać się odszkodowania.
Wizja lokalna
Sprawdzenie zbiorów danych może być wykonane na polecenie GIODO przez ABI. Ale inspektorzy mają także prawo przeprowadzenia kontroli w pomieszczeniu, w którym zlokalizowany jest zbiór (w godzinach od 6 rano do 22 wieczorem, po okazaniu imiennego upoważnienia i legitymacji służbowej), zażądać od właściciela pisemnych i ustnych wyjaśnień, wzywać i przesłuchiwać. Przysługuje im również prawo wglądu do dokumentów i danych mających związek z przedmiotem kontroli. Do ich kompetencji należy sporządzanie kopii, przeprowadzenie oględzin urządzeń, nośników oraz systemów informatycznych, zlecanie sporządzenia specjalistycznych ekspertyz i opinii. –Najczęściej jednak, jeśli do złamania ustawy dochodzi po raz pierwszy, a zbiór niezarejestrowanych informacji nie jest pokaźny, GIODO wzywa właściciela bazy do naprawienia błędów, uzupełnienia, uzyskania brakujących oświadczeń od dysponentów itp. – precyzuje Artur Gajda, specjalista IT w małych i średnich przedsiębiorstwach.
W przypadku niewykonania wydanej przez GIODO decyzji organ ten może jednak nałożyć grzywnę, której wysokość określają przepisy ustawy z 17 czerwca 1966 r. o postępowaniu egzekucyjnym w administracji (Dz.U. 2012 nr 0 poz. 1015). W przypadku osób fizycznych jej maksymalna wysokość może wynieść 10 tys. zł., a gdy przedmiotem postępowania jest osoba prawna – 50 tys. zł. W razie wielokrotnego nakładania grzywien w jednym postępowaniu egzekucyjnym ich łączna kwota nie może tylko przekraczać (odpowiednio) 50 oraz 200 tys. zł.
Co pod ochroną
Nie każda informacja dotycząca osoby fizycznej podlega ochronie. Zgodnie z zapisami prawa są nimi tylko dane, które identyfikują konkretnego człowieka. Może to być więc jego imię i nazwisko, przypisane urzędowe numery, a także określenie jego cech indywidualnych (kolor oczu, charakterystyczne znamiona itp.). Bardziej ogólne informacje, takie jak na przykład numer domu, mieszkania czy wysokość wynagrodzenia, stają się danymi dopiero w połączeniu z informacjami, które identyfikują konkretną osobę. Przykładem wiadomości, będącej z całą pewnością daną osobową, jest numer identyfikacyjny PESEL. Ale już nią nie będzie samo imię lub nazwisko, bo nie pozwalają one na dokładną, szczegółową i konkretną identyfikację. Podawany podczas zapisów w rozmaitych serwisach internetowych adres mailowy może, choć absolutnie nie musi, mieć statusu informacji chronionej. – Konstrukcje abstrakcyjne, takie jak na przykład karol999@gazeta.pl, nie spełniają kryteriów informacji chronionej, bo nie pozwalają na pełną identyfikację konkretnej osoby – zauważa Artur Gajda.
– Natomiast adres zawierający imię i nazwisko, reprezentowane przedsiębiorstwo, które nie jest portalem internetowym, czy innym dostawcą tego typu usług (np. jan.malinowski@poczta.polska.pl) już za taką informację uznany zostanie niemal na pewno. Zbierając dane osobowe trudno jednak szczegółowo i na bieżąco weryfikować w jakim formacie zapisywane są adresy kontrahentów, czy klientów. – W takiej sytuacji najlepiej, gdy organizujący akcję przedsiębiorca założy, że wszystkie zebrane w pamięci lub na osobnym dysku adresy mailowe będą mieć status informacji chronionej i cały zbiór zostanie zarejestrowany – radzi Gajda.