Ochrona danych osobowych w Ośrodku Pomocy Społecznej to zagadnienie, które nie jednemu z nas spędza sen z powiek. Ustawa o ochronie danych osobowych, przepełniona jest pojęciami nie jasnymi, o dużym natężeniu abstrakcyjności, stąd prawidłowe wdrożenie systemu ochrony danych osobowych w Ośrodku, przysparza wielu problemów.
Dodatkową trudność dla osób, które nigdy nie miały do czynienia z ochroną danych osobowych sprawia prawidłowe odczytanie treści rozporządzeń wykonawczych, które na wielu płaszczyznach wymagają specjalistycznej wiedzy z zakresu informatyki, w tym w szczególności w dziedzinie związanej z zarządzaniem siecią wewnętrzną Ośrodka i jego systemem informatycznym.
Choć na pierwszy rzut oka wydaje się, że dla spełnienia wymogów określonych w ustawie nie potrzeba wiele, to jednak głębsza analiza połączona z próbami wdrożenia systemu ochrony danych osobowych w Ośrodku, sprawia spore problemy.
Podstawową lekturą dla osób chcących w sposób prawidłowy wdrożyć system ochrony danych osobowych w Ośrodku jest;
– ustawa z dnia 19 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity: Dz. U. z 2014 r., poz. 1182) oraz;
– rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r., Nr 100, poz. 1024);
Wydaje się, że bez znajomości powyżej wskazanych przepisów, o wdrażaniu systemu ochrony danych osobowych w Ośrodku mowy być nie może.
Od czego więc zacząć budowanie systemu ochrony danych osobowych? Jakie wymagania powinna spełniać procedura ochrony danych osobowych? Wreszcie jakie działania musimy podjąć dla sprawnego zarządzania systemem ochrony danych osobowych w Ośrodku?
O tym w wielkim skrócie poniżej.
Krok pierwszy:
Zastanów się jakie dane osobowe są przetwarzane w Ośrodku i w jakich zbiorach. Które zbiory danych osobowych są niezbędne dla funkcjonowania instytucji, w której pracujesz, a które są tylko zlepkiem niepotrzebnych informacji, tworzonych z niewiadomo z jakich powodów i dla jakich celów.
To podstawowa czynność, która powinna poprzedzać wszystkie inne zabiegi podejmowanie w ramach budowania systemu ochrony danych osobowych w Ośrodku. Aby prawidłowo odpowiedzieć na powyżej postawione pytanie, przywołać należy definicję ustawową zbioru danych osobowych, o której mowa w art. 6 i art. 7 pkt 1 ustawy o ochronie danych osobowych.
Ustawa o ochronie danych osobowych:
Art. 6. 1. W rozumieniu ustawy, za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.
- Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.
- Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.
Art. 7. Ilekroć w ustawie jest mowa o:
1) zbiorze danych – rozumie się przez to każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie;
Ustawodawca nie pozostawia wątpliwości. Za zbiór danych osobowych może zostać uznana każda struktura o charakterze osobowym, jeśli tylko w strukturze tej istnieją kryteria pozwalające zidentyfikować (wyszukać) osobę fizyczną, której tożsamość można określić bezpośrednio lub pośrednio. Wnioskować więc można, że każdy zbiór (papierowy jak i elektroniczny) zawierający imiona, nazwiska, adres zamieszkania bądź inne indywidualne kwantyfikatory, stanowi zbiór danych osobowych.
W tym miejscu powinniśmy się zatrzymać i zastanowić, czy w Ośrodku krążą różnego rodzaju listy klientów, na których najczęściej widnieje imię, nazwisko i adres. Dalej, czy ktokolwiek panuje nad ilością nieformalnie i bez zgłoszenia tworzonych zbiorów danych osobowych. Wreszcie, czy definicja zbioru danych osobowych, nie powinna znaleźć także zastosowania do licznych folderów tworzonych i zapisywanych na komputerach, na których przetwarzane są dane osobowe, choćby w postaci katalogów w których zapisujemy pliki podpisując je imieniem i nazwiskiem, rodzajem przyznanego wsparcia a często także adresami świadczeniobiorców.
Tak szeroka definicja danych osobowych pozwala wykluczyć możliwość tworzenia dodatkowych, niezarejestrowanych zbiorów danych osobowych, a to choćby na potrzeby zapisywania szablonów decyzji czy też zwykłego zapobiegawczego auto – zapisu, wykonywanego przez system / program automatycznie.
Nie oznacza to, że na komputerach nie można zapisywać szablonów decyzji, czy też tworzyć list pomocniczych, które ułatwiają życie każdemu z nas. Niemniej jednak forma zapisu szablonów decyzji w poszczególnych folderach musi przybrać postać, która uniemożliwi wyszukanie poszczególnych i indywidualnie oznaczonych osób, wg kryterium imienia, nazwiska bądź adresu zamieszkania czy nr PESEL. Także listy pomocnicze, tabele które tworzymy na potrzeby przetwarzania danych osobowych w Ośrodku, muszą dotyczyć danych osobowych, których przetwarzanie zgłosiliśmy.
Krok drugi:
Zanim zaczniesz przetwarzać dane osobowe w Ośrodku, zadbaj o to aby w ramach jego struktury organizacyjnej funkcjonowała dokumentacja określająca zasady przetwarzania danych osobowych w Ośrodku.
Ustawa o ochronie danych osobowych:
Art. 36. 1. Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.
- Administrator danych prowadzi dokumentację opisującą sposób przetwarzania danych oraz środki, o których mowa w ust. 1.
- Administrator danych wyznacza administratora bezpieczeństwa informacji, nadzorującego przestrzeganie zasad ochrony, o których mowa w ust. 1, chyba że sam wykonuje te czynności.
Rozporządzenie Ministra Spraw Wewnętrznych i Administracji:
- 3. 1. Na dokumentację, o której mowa w § 1 pkt 1, składa się polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, zwana dalej „instrukcją”.
- Dokumentację, o której mowa w § 1 pkt 1, prowadzi się w formie pisemnej.
- Dokumentację, o której mowa w § 1 pkt 1, wdraża administrator danych
4. Polityka bezpieczeństwa, o której mowa w § 3 ust. 1, zawiera w szczególności:
1) wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe;
2) wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych;
3) opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi.
4) sposób przepływu danych pomiędzy poszczególnymi systemami.
5) określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.
Stworzenie systemu ochrony danych Osobowych w Ośrodku, w głównej mierze sprowadza się do opracowania prawidłowej dokumentacji, która wyznaczy zasady i tryby przetwarzania danych osobowych w Ośrodku. W Polityce Bezpieczeństwa w pierwszej kolejności wskaż wszystkie budynki i pomieszczenia, w których przetwarzane są dane osobowe. Możemy mieć do czynienia ze strukturą centralną bądź rozproszoną. Warto wskazać na liczbę stanowisk znajdujących się w poszczególnych pomieszczeniach.
Wykaz zbiorów danych osobowych, wraz ze wskazaniem programów zastosowanych do ich przetwarzania powinien wskazywać na poszczególne zbiory danych osobowych, w tym poprzez wskazanie ich struktury logicznej. Strukturę logiczną zbiorów danych osobowych można zamieścić w załączniku do Polityki Bezpieczeństwa. Jeżeli dane osobowe przetwarzane są w specjalnie do tego zakupionych programach komputerowych, skontaktuj się z dostawcą oprogramowania, który prześle strukturę logiczną programu. Jeżeli zbiór danych osobowych stanowi nieskomplikowana tabela, jej strukturę logiczną łatwo przedstawisz za pomocą podstawowych programów graficznych, bądź oprogramowania biurowego.
Wraz z wyszczególnieniem pojedynczych zbiorów danych osobowych watro wskazać na sposób ich zabezpieczenia, które łatwo znaleźć można wypełniając wniosek o rejestrację zbioru danych osobowych w rejestrze prowadzonym przez Generalnego Inspektora Ochrony Danych Osobowych. We wniosku tym dokonuje się wyboru konkretnych zabezpieczeń dla konkretnie wskazanego zbioru, np. zbiór danych osobowych może być zabezpieczony poprzez przechowywanie go w metalowej / niemetalowej szafie, w pomieszczeniu, w którym istnieje system przeciwpożarowy i które jest chronione po godzinach funkcjonowania Ośrodka przez prywatną firmę.
Jeżeli chodzi o sposób przepływu danych pomiędzy poszczególnymi systemami w Ośrodku, to uwagę należy skupić w głównej mierze na programy do obsługi świadczeń rodzinnych, funduszu alimentacyjnego czy też pomocy społecznej. To właśnie te programy (np. Pomost / Amazis czy Nemezis) generują pliki, które później są wczytywane do aplikacji obsługujących świadczenia z zakresu ubezpieczenia społecznego bądź zdrowotnego (np. Płatnik). W ostateczności sprowadza się to do dwóch paragrafów w Polityce Bezpieczeństwa, które wskazują na sposoby przepływu tych danych pomiędzy poszczególnymi systemami.
W Ośrodku może także dochodzić do przepływu danych osobowych pomiędzy poszczególnymi działami funkcjonującymi wewnątrz jego struktury organizacyjnych. Dzieje się tak wtedy, gdy pracownik socjalny bądź świadczeń rodzinnych potrzebuje informacji znajdujących się w innym dziale Ośrodka, zaś do pozyskania tych informacji uprawnia go sama ustawa. Jako przykład wskazać można zaświadczenie wydane przez dział pomocy społecznej o wysokości pobieranych świadczeń w zawnioskowanym okresie, które jest niezbędne dla ustalenia dochodu świadczeniobiorcy korzystającego ze świadczeń rodzinnych. Także takie operacje, powinny zostać uwzględnione w Polityce Bezpieczeństwa Przetwarzania Danych Osobowych w Ośrodku.
W ostatniej kolejności, w Polityce Bezpieczeństwa powinien znaleźć się wykaz środków technicznych i organizacyjnych zapewniających poufność, integralność i możliwość rozliczenia przetwarzania danych osobowych w Ośrodku. Także w tym przypadku można posłużyć się sposobami zabezpieczeń technicznych zawartych we wniosku o zarejestrowanie zbioru danych osobowych, choć nie zawsze muszą one być tożsame ze środkami stosowanymi w Ośrodku. Możliwość rozliczenia przetwarzania danych osobowych w Ośrodku skutkować musi gwarancją ustalenia, kto dane osobowe wprowadził do systemu, jakie to były dane osobowe, kto dane osobowe wykasował z systemu i jakie dane zostały wykasowane z systemu (odpowiednio zmienione). Wreszcie poufność, musi gwarantować odpowiedni stopień zabezpieczeń zbioru danych osobowych. Mowa tak zarówno o podstawowych zabezpieczeniach takich jak ustawienie monitorów ekranowych tak, by osoby postronne, np. czekając w kolejce na obsługę nie mogły odczytać zawartości ekranu, hasła wymuszające wzbudzenie wygaszonego ekranu bądź środki bardziej zaawansowane tj. takie jak ochrona kryptograficzna, dla danych przesyłanych pomiędzy systemami informatycznymi różnych instytucji danych osobowych, gdy co najmniej jedno z urządzeń systemu informatycznego Ośrodka zostało podłączone do sieci publicznej.
Rozporządzenie Ministra Spraw Wewnętrznych i Administracji:
- 5. Instrukcja, o której mowa w § 3 ust. 1 rozporządzenia, zawiera w szczególności:
1) procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności;
2) stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem;
3) procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu;
4) procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania;
5) sposób, miejsce i okres przechowywania:
- a) elektronicznych nośników informacji zawierających dane osobowe,
- b) kopii zapasowych, o których mowa w pkt 4,
6) sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, o którym mowa w pkt III ppkt 1 załącznika do rozporządzenia;
7) sposób realizacji wymogów, o których mowa w § 7 ust. 1 pkt 4.
8) procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.
Instrukcja zarządzania systemem informatycznym w Ośrodku, to odrębny od Polityki Bezpieczeństwa Przetwarzania Danych Osobowych w Ośrodku dokument, w którym w pierwszej kolejności należy sformalizować procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz procedury dotyczące metod i środków uwierzytelniania oraz procedury związane z ich zarządzeniem i użytkowaniem
Procedura ta powinna z góry zakładać, że każdy pracownik, który chce skorzystać z systemu informatycznego ośrodka powinien być wpierw zarejestrowany przez administratora systemu. Dalej użytkownikowi takiemu nadaje się indywidualny identyfikator i hasło startowe, które ten zmienia w trybie niezwłocznym na własne i niepowtarzalne. Wreszcie dokument ten powinien z całą stanowczością zabronić udostępnienia sobie przez pracowników identyfikatorów i haseł, jak również korzystnie z komputera zalogowanego na innego pracownika, który to proceder może sprawić, że do zmiany, wprowadzenia bądź wykasowania danych osobowych dojdzie przez inną osobę, niż ta która jest zalogowana.
Procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu pozwolą ustalić jasne i czytelne zasady korzystania ze stanowisk komputerowych, na których przetwarzane są dane osobowe, z którymi każdy pracownik powinien być przez podjęciem zatrudnienia zapoznany. Rozpoczęcie pracy na komputerze powinno zostać poprzedzone koniecznością zalogowania się do systemu operacyjnego komputera jak również koniecznością odrębnego logowania się do programu / aplikacji, w której przetwarzane są dane osobowe. W komputerach przenośnych, warto rozważyć możliwość wprowadzenia hasła, które będzie poprzedzać załadowanie jakiegokolwiek programu operacyjnego – hasło na poziomie systemu BIOS. Dalej, procedury te powinny wskazywać na sposoby zabezpieczenia komputera przed opuszczeniem miejsca pracy, także gdy opuszczenie stanowiska będzie tylko chwilowe. Najbezpieczniej wprowadzić hasła, które pojawiają się przy każdym wygaszeniu ekranu (tutaj nie dłużej niż 5 min) czy też obowiązek samego wygaszenia ekranu przed odstąpieniem od miejsca pracy. Wreszcie obowiązek wylogowania z systemu i wyłączenie komputera w przypadku zakończenia pracy, zakaz korzystania z komputera zalogowanego na innego użytkownika czy też zakaz posługiwania się hasłami kolegów w pracy.
Jeżeli chodzi o procedury tworzenia kopii zapasowych, sposób, miejsce i okres przechowywania elektronicznych nośników informacji i kopii zapasowych to warto zwrócić uwagę na załącznik do rozporządzenia, który wymaga, by kopie zapasowe przechowywano w miejscach zabezpieczających je przed nieuprawnionym przejęciem, modyfikacją, uszkodzeniem lub zniszczeniem. Dalej kopie te należy usunąć niezwłocznie po ustaniu ich użyteczności. Kopie te powinny być przechowywane przez pracownika wskazanego w instrukcji, który będzie ponosił odpowiedzialność za ich sporządzenie i należyte przechowywanie (najczęściej osobą tą będzie administrator bezpieczeństwa przetwarzania danych osobowych w Ośrodku).
Sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, o którym mowa w pkt III ppkt 1 załącznika do rozporządzenia. Zgodnie z pkt III ppkt 1, system informatyczny służący do przetwarzania danych osobowych zabezpiecza się, w szczególności przed działaniem oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego. Jak nie trudno się domyślić w pierwszej kolejności będziemy mogli zastosować blokadę firewall, dalej program antywirusowy a w ostateczności bieżący monitoring dostępu do sieci, gdzie przepływ użytkowników jest monitorowany w sposób ciągły, zaś poszczególni użytkownicy zyskują zgodę na dostęp do sieci od administratora bądź np. kluczy generowanych dla każdego wejścia osobno.
Sposób realizacji wymogów, o których mowa w § 7 ust. 1 pkt 4, zgodnie z którym to dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym – z wyjątkiem systemów służących do przetwarzania danych osobowych ograniczonych wyłącznie do edycji tekstu w celu udostępnienia go na piśmie – system ten zapewnia odnotowanie informacji o odbiorcach, w rozumieniu art. 7 pkt 6 ustawy, którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia, chyba że system informatyczny używany jest do przetwarzania danych zawartych w zbiorach jawnych. Art. 7 pkt 6 stanowi, że ilekroć w ustawie mowa jest o odbiorcy danych należy przez to rozumieć każdego, komu udostępnia się dane osobowe, z wyłączeniem osoby, której dane dotyczą, osoby upoważnionej do przetwarzania danych, przedstawiciela podmiotu, który siedzibę swoją ma za granicą RP, a któremu to podmiotowi przekazuje się dane osobowe, podmiotu, którym administrator danych powierzył przetwarzanie danych osobowych w Ośrodku, a także organów państwowych lub organów samorządu terytorialnego, którym dane są udostępniane w związku z prowadzonym postępowaniem.
Procedura wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych została doprecyzowana w pkt. VI załącznika do rozporządzenia, gdzie wskazuje się, że urządzenia, dyski lub inne elektroniczne nośniki informacji, zawierające dane osobowe, przeznaczone do likwidacji – pozbawia się wcześniej zapisu tych danych, a w przypadku gdy nie jest to możliwe, uszkadza się w sposób uniemożliwiający ich odczytanie; przekazania podmiotowi nieuprawnionemu do przetwarzania danych – pozbawia się wcześniej zapisu tych danych, w sposób uniemożliwiający ich odzyskanie; naprawy – pozbawia się wcześniej zapisu tych danych w sposób uniemożliwiający ich odzyskanie albo naprawia się je pod nadzorem osoby upoważnionej przez administratora danych.
Krok trzeci:
Rejestracja zbiorów danych osobowych w rejestrze Generalnego Inspektora Ochrony Danych Osobowych.
Rejestrację zbiorów danych osobowych przeprowadzić można na platformie elektronicznej E – GIODO – https://egiodo.giodo.gov.pl/index.dhtml. Proces rejestracji jest banalnie prosty i wydaje się, że nie potrzeba tu większego komentarza. Z praktycznych aspektów mogę uspokoić, że procedura jest długa. Zgłoszenie zbioru danych osobowych może nastąpić za pośrednictwem podpisu elektronicznego bądź w wersji papierowej. Wniosek o rejestracje zbioru danych osobowych rozpatrywany jest z niespełna dwumiesięcznym opóźnieniem. Samo zgłoszenie zbioru, nie oznacza, że GIODO zbiór zarejestruje. Wreszcie proces rejestracji poszczególnych zbiorów danych osobowych można śledzić w panelu administracyjnym, po zarejestrowaniu profilu Ośrodka na platformie E-GIODO.
Krok czwarty:
Przetwarzanie danych Osobowych w Ośrodku.
Ustawa o ochronie danych osobowych:
Art. 46. 1. Administrator danych może, z zastrzeżeniem ust. 2, rozpocząć ich przetwarzanie w zbiorze danych po zgłoszeniu tego zbioru Generalnemu Inspektorowi, chyba że ustawa zwalnia go z tego obowiązku.
- Administrator danych, o których mowa w art. 27 ust. 1, może rozpocząć ich przetwarzanie w zbiorze danych po zarejestrowaniu zbioru, chyba że ustawa zwalnia go z obowiązku zgłoszenia zbioru do rejestracji.
Dane osobowe, o których mowa w art. 27 ustawy to dane szczególnie chronione, ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym.
Warto także zadbać o wprowadzenie procedur, które zagwarantują przestrzeganie dokumentów składających się na system przetwarzania danych osobowych w Ośrodku. Wszyscy wiemy, że praktyka często odbiega od bogatej teorii opisanej w dokumentacji.
Stan prawny na dzień: 3 października 2014 r.
