Dokumentacja pracownicza a ochrona danych osobowych

Administratorzy danych, w tym również samorządy, na gruncie obowiązującej do dnia 25 maja 2018 r. ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (DzU 2016, poz. 922, t.j. z 28.06.2016) – dalej: UODO i przepisów wykonawczych do niej, byli zobowiązani do prowadzenia ściśle określonej w tych aktach prawnych dokumentacji dotyczącej ochrony danych osobowych. Przede wszystkim były to upoważnienia do przetwarzania danych osobowych, ewidencja nadanych upoważnień, polityka bezpieczeństwa, instrukcja zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych. Z dniem rozpoczęcia stosowania przez Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) – dalej RODO, przepisy te zostały uchylone. Obecnie obowiązujące przepisy, w tym unijnego rozporządzenia, nie zawierają praktycznie żadnych postanowień, czy też wytycznych co do tego, w jaki sposób prowadzić dokumentację związaną z przetwarzaniem danych osobowych. Niemniej jednak, zgodnie z opublikowanym w ostatnim czasie na stronie Urzędu Ochrony Danych Osobowych stanowiskiem, administratorzy danych (bez żadnych wyłączeń), są zobowiązani do prowadzenia dokumentacji, w której zostaną określone zasady i procedury dotyczące przetwarzania danych osobowych zgodnie z przyjętymi rozwiązaniami prawnymi, organizacyjnymi i technicznymi.

Zgodnie z RODO, administratorzy danych mają formalny obowiązek stosowania następujących dokumentów: rejestru czynności przetwarzania (a jeżeli dany podmiot występuje również w roli procesora - także rejestru kategorii czynności przetwarzania) – określonych w art. 30 RODO, rejestru/ewidencji naruszeń ochrony danych (art. 33 ust. 5 RODO), raportu z oceny skutków dla ochrony danych (art. 35 ust. 7). Dokumenty te mogą być prowadzone zarówno w formie papierowej, jak i w postaci elektronicznej (np. zostać zapisane w plikach Word, Excel).

Funkcja rejestrów

Rejestry czynności przetwarzania i kategorii czynności przetwarzania są dokumentami, w których samorządy powinny opisać m.in. jakie dane, kogo dotyczące, w jakim celu i na jakich zasadach, w jaki sposób zabezpieczone przetwarza dana jednostka. Najdogodniejszym rozwiązaniem jest prowadzenie tych dokumentów w formie tabeli. Ze względu na to, że są to rejestry odzwierciedlające rzeczywiste procesy związane z przetwarzaniem danych (oczywiście na poziomie kategorii czynności, kategorii danych osobowych i podmiotów, których one dotyczą – nie danych osobowych konkretnych osób), warto by były one prowadzone elektronicznie, co pozwoli na ich łatwe uzupełnienie w przypadku podjęcia przez administratora nowych czynności związanych z przetwarzaniem danych, zmiany celu przetwarzania, czy choćby w związku ze zmianą środków zabezpieczających.

Rejestr naruszeń ochrony danych, prowadzony zgodnie z art. 33 ust. 5 RODO, również może być prowadzony elektronicznie, w formie tabeli. W tym rejestrze musi być odnotowana m. in. data zaistnienia takiego incydentu, jego okoliczności, skutki, podjęte działania zaradcze. Celem tej dokumentacji jest umożliwienie organowi nadzorczemu weryfikowanie przestrzegania przepisów dotyczących zarządzania incydentami w zakresie ochrony danych osobowych.

Kolejnym obligatoryjnym dokumentem jest raport dokumentujący wyniki przeprowadzonych ocen skutków dla ochrony danych. Ocena taka, zgodnie z art. 35 ust. 1 RODO musi zostać przeprowadzona, jeżeli dany rodzaj przetwarzania - w szczególności z użyciem nowych technologii - ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, przed rozpoczęciem. Będzie to dotyczyło np. czynności związanych z przetwarzaniem danych osobowych pozyskanych w drodze stosowania monitoringu wizyjnego stosowanego przez samorządy jako pracodawcę.

Przetwarzanie zgodnie z prawem

Urząd Ochrony Danych Osobowych wskazuje jednak, że nie jest to jedyna dokumentacja, jaką powinni prowadzić administratorzy danych osobowych. Brak jest co prawda innych przepisów RODO, które nakazywałyby wdrożenie odpowiednich dokumentów. Natomiast zgodnie z zasadą rozliczalności, administratorzy danych, w tym samorządy, mają być w stanie wykazać, że przetwarzają dane osobowe zgodnie z prawem. Przede wszystkim to, że dany podmiot stosuje się do ogólnych zasad przetwarzania określonych w art. 5 RODO; że zapewnia, by dane przetwarzane były zgodnie z prawem oraz by były przestrzegane prawa osób, których dane dotyczą; że stosuje środki zabezpieczające w należyty sposób przetwarzane dane osobowe; zapewnia kontrolę nad przetwarzaniem danych osobowych w postaci monitorowania przepisów i przyjętych procedur przetwarzania przez Inspektora Ochrony Danych lub podmioty certyfikujące, czy monitorujące przestrzeganie przyjętych kodeksów postępowania; stosuje się do wymagań w zakresie transferu danych do państw trzecich/instytucji międzynarodowych; czy też, że przestrzega ogólnych obowiązków ciążących na administratorze i podmiocie przetwarzającym, które zostały wymienione w art. 24-31 RODO.

W celu wykazania zgodności z tymi wymaganiami, jeżeli jest to proporcjonalne do czynności przetwarzania, samorządy mogą wdrożyć odpowiednie polityki ochrony danych (art. 24 ust. 2 RODO). Dodatkowo, będzie to wymagane na podstawie przepisów ustawy z 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (tj. DzU z 2014, poz. 1114) wraz z rozporządzeniem Rady Ministrów z 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (tj. DzU 2016, poz. 113). Zgodnie z §20 ust. 1 w/w rozporządzenia Rady Ministrów, „Podmiot realizujący zadania publiczne opracowuje i ustanawia, wdraża i eksploatuje, monitoruje i przegląda oraz utrzymuje i doskonali system zarządzania bezpieczeństwem informacji zapewniający poufność, dostępność i integralność informacji z uwzględnieniem takich atrybutów, jak autentyczność, rozliczalność, niezaprzeczalność i niezawodność”.

Zgodnie z ust. 2 w/w §20, „zarządzanie bezpieczeństwem informacji realizowane jest w szczególności przez zapewnienie przez kierownictwo podmiotu publicznego warunków umożliwiających realizację i egzekwowanie następujących działań:

1)         zapewnienia aktualizacji regulacji wewnętrznych w zakresie dotyczącym zmieniającego się otoczenia;

2)         utrzymywania aktualności inwentaryzacji sprzętu i oprogramowania służącego do przetwarzania informacji obejmującej ich rodzaj i konfigurację;

3)         przeprowadzania okresowych analiz ryzyka utraty integralności, dostępności lub poufności informacji oraz podejmowania działań minimalizujących to ryzyko, stosownie do wyników przeprowadzonej analizy;

4)         podejmowania działań zapewniających, że osoby zaangażowane w proces przetwarzania informacji posiadają stosowne uprawnienia i uczestniczą w tym procesie w stopniu adekwatnym do realizowanych przez nie zadań oraz obowiązków mających na celu zapewnienie bezpieczeństwa informacji;

5)         bezzwłocznej zmiany uprawnień, w przypadku zmiany zadań osób, o których mowa w pkt 4;

6)         zapewnienia szkolenia osób zaangażowanych w proces przetwarzania informacji ze szczególnym uwzględnieniem takich zagadnień, jak:

a)         zagrożenia bezpieczeństwa informacji,

b)         skutki naruszenia zasad bezpieczeństwa informacji, w tym odpowiedzialność prawna,

c)         stosowanie środków zapewniających bezpieczeństwo informacji, w tym urządzenia i oprogramowanie minimalizujące ryzyko błędów ludzkich;

7)         zapewnienia ochrony przetwarzanych informacji przed ich kradzieżą, nieuprawnionym dostępem, uszkodzeniami lub zakłóceniami, przez:

a)         monitorowanie dostępu do informacji,

b)         czynności zmierzające do wykrycia nieautoryzowanych działań związanych z przetwarzaniem informacji,

c)         zapewnienie środków uniemożliwiających nieautoryzowany dostęp na poziomie systemów operacyjnych, usług sieciowych i aplikacji;

8)         ustanowienia podstawowych zasad gwarantujących bezpieczną pracę przy przetwarzaniu mobilnym i pracy na odległość;

9)         zabezpieczenia informacji w sposób uniemożliwiający nieuprawnionemu jej ujawnienie, modyfikacje, usunięcie lub zniszczenie;

10)       zawierania w umowach serwisowych podpisanych ze stronami trzecimi zapisów gwarantujących odpowiedni poziom bezpieczeństwa informacji;

11)       ustalenia zasad postępowania z informacjami, zapewniających minimalizację wystąpienia ryzyka kradzieży informacji i środków przetwarzania informacji, w tym urządzeń mobilnych;

12)       zapewnienia odpowiedniego poziomu bezpieczeństwa w systemach teleinformatycznych, polegającego w szczególności na:

a)         dbałości o aktualizację oprogramowania,

b)         minimalizowaniu ryzyka utraty informacji w wyniku awarii,

c)         ochronie przed błędami, utratą, nieuprawnioną modyfikacją,

d)         stosowaniu mechanizmów kryptograficznych w sposób adekwatny do zagrożeń lub wymogów przepisu prawa,

e)         zapewnieniu bezpieczeństwa plików systemowych,

f)         redukcji ryzyk wynikających z wykorzystania opublikowanych podatności technicznych systemów teleinformatycznych,

g)         niezwłocznym podejmowaniu działań po dostrzeżeniu nieujawnionych podatności systemów teleinformatycznych na możliwość naruszenia bezpieczeństwa,

h)         kontroli zgodności systemów teleinformatycznych z odpowiednimi normami i politykami bezpieczeństwa;

13)       bezzwłocznego zgłaszania incydentów naruszenia bezpieczeństwa informacji w określony i z góry ustalony sposób, umożliwiający szybkie podjęcie działań korygujących;

14)       zapewnienia okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji, nie rzadziej niż raz na rok.”

Te kwestie powinny być zatem również uwzględnione w stosowanej przez samorządy dokumentacji.

Wykorzystanie dotychczasowych rozwiązań

W wytycznych Urzędu Ochrony Danych Osobowych wskazano, że mogą być stosowane wdrożone dotychczas polityki ochrony danych, czy też instrukcje zarządzania systemami informatycznymi. Muszą być one jednak uzupełnione o następujące elementy: rejestr czynności przetwarzania i zakres rejestru kategorii czynności przetwarzania, wytyczne dotyczące klasyfikacji naruszeń i procedurę zgłaszania naruszeń ochrony danych do organu nadzorczego (UODO), procedurę na wypadek wystąpienia naruszeń mogących powodować wysokie ryzyko naruszenia praw i wolności osób, w zakresie ich informowaniu o działaniach jakie powinni wykonać, aby ryzyko to ograniczyć, procedurę prowadzenia wewnętrznej dokumentacji stanowiącej rejestr naruszeń ochrony danych, raport z przeprowadzonej, ogólnej analizy ryzyka, raport z ocen skutków dla ochrony danych, procedury związane z pseudonimizacją i szyfrowaniem (jeżeli dotyczy to danego administratora), plan ciągłości działania, procedury odtwarzania systemu po awarii, oraz ich testowania. Warto także, aby dokumentacja taka zawierała również instrukcję w zakresie odpowiadania na żądania podmiotów danych w zakresie ich praw (np. prawa dostępu, prawa ograniczenia przetwarzania danych, prawa do usunięcia danych, i in.), czy też w zakresie nadawania w danym podmiocie upoważnień do przetwarzania danych osobowych.

Sporządzając takie instrukcje, procedury, warto rzeczywiście pochylić się nad danym zagadnieniem i w jak najbardziej precyzyjny sposób ustalić, kto w danej jednostce będzie odpowiedzialny za realizowanie konkretnych obowiązków wynikających z RODO i jak najpełniej opisać scenariusz postępowania w określonych unijnym rozporządzeniem sytuacjach. Mimo pokusy skorzystania z gotowych schematów, zaleca się jednak opisanie tych procedur w taki sposób, jaki rzeczywiście będzie możliwy do zrealizowania w danym podmiocie. Jest to ważne o tyle, że np. na spełnienie obowiązku związanego ze zgłoszeniem incydentu w zakresie ochrony danych do organu nadzorczego administrator ma tylko 72 godziny od powzięcia informacji o takim naruszeniu. Jeżeli dana jednostka będzie miała opracowany realny scenariusz postępowania w takim wypadku, dużo łatwiej będzie ten obowiązek realizować, niż gdyby precyzyjna instrukcja nie została wdrożona.

Informacje niejawne

Istotnym zagadnieniem jest, komu taka dokumentacja powinna zostać udostępniona. Generalnie przyjmuje się, że wewnętrzna dokumentacja szczegółowo opisująca środki zabezpieczające dane osobowe, procedury związane z realizowaniem obowiązków w zakresie danych osobowych, nie może być upubliczniana i powinny być z nią zapoznawane jedynie osoby upoważnione do przetwarzania danych osobowych. Na gruncie obowiązujących jeszcze przed dniem 25.05.2018 r. przepisów bardzo często zdarzało się, że podmioty publiczne, w tym samorządy, udostępniały polityki bezpieczeństwa i instrukcje zarządzania systemami informatycznymi, np. poprzez zamieszczanie ich na stronie internetowej i było to związane np. z udostępnianiem ich jako informacji publicznej w rozumieniu przepisów ustawy o dostępie do informacji publicznej. Tymczasem w świetle opublikowanego jeszcze przez GIODO stanowiska (https://www.giodo.gov.pl/pl/222/9906) działanie takie jest nieprawidłowe. Dokumenty te zawierają informacje poufne, w tym takie jak rodzaj i konfiguracja stosowanych zabezpieczeń, wykaz zabezpieczeń fizycznych i technicznych, miejsca, gdzie dane są przetwarzane oraz programy zastosowane do przetwarzania danych osobowych. Ujawnienie takich informacji może osłabić skuteczność wdrożonych środków zabezpieczających, a w konsekwencji zagrozić bezpieczeństwu przetwarzanych danych osobowych.

Takie stanowisko jest również spójne z orzecznictwem sądów administracyjnych. Dla przykładu wskazać można wyrok z 8 grudnia 2005 r. (sygn. akt II SA/WA 1539/05, publik. LexPolonica, „Rzeczpospolita” 2005, nr 289, s. C5.), w którym Wojewódzki Sąd Administracyjny w Warszawie wskazał, że biorąc pod uwagę wymaganą przepisami prawa zawartość polityki bezpieczeństwa nie powinna być ona udostępniana publicznie. W ocenie sądu, elementy polityki bezpieczeństwa mają charakter informacji niejawnych i w związku z tym ich udostępnienie podlega ograniczeniu, zgodnie z art. 5 ust. 1 ustawy o dostępie do informacji publicznej. Podobnie w wyroku z 26 października 2015 r. (sygn. akt II SA/Wa 1135/15) w odniesieniu do innego wniosku o udostępnienie informacji publicznej Sąd zaznaczył, że „dokument Polityka Bezpieczeństwa Systemu Informatycznego PESEL-SAD wersja [...] podlega szczególnej ochronie, jako że jego ujawnienie może mieć szkodliwy wpływ na wykonywanie zadań m.in. w zakresie właśnie bezpieczeństwa publicznego, czy wymiaru sprawiedliwości. (…) nieuprawniony dostęp do żądanego dokumentu, mógłby nieść ze sobą zagrożenie dla praw i wolności obywateli, ich bowiem dane osobowe w tym systemie, którego dotyczy dokument, są przetwarzane w ramach wykonywania ustawowych zadań”.

Podsumowując, fakt  że RODO nie konkretyzuje obowiązków samorządów jako administratorów danych w zakresie stosowania dokumentacji dotyczącej przetwarzania danych osobowych nie oznacza, że nie musi być ona prowadzona. Przeciwnie, Urząd Ochrony Danych Osobowych zaleca stosowanie polityk, wytycznych, czy instrukcji w tym zakresie. Dokumentacja ta może być prowadzona zarówno w formie papierowej, jak i elektronicznej. Ważne, aby zawierała wszystkie konieczne elementy. Jeżeli w danym podmiocie były wdrożone przed 25 maja 2018 takie dokumenty jak polityka bezpieczeństwa, czy instrukcja zarządzania systemami informatycznymi, mogą być one nadal stosowne. Muszą one jednak zostać zaktualizowane, aby umożliwiały wykazanie realizacji obowiązków nałożonych na samorządy przez RODO. Wytyczne takie nie powinny być udostępniane publicznie, a jedynie osobom upoważnionym do przetwarzania danych osobowych. Fakt upublicznienia informacji na temat stosowanych przez administratora zabezpieczeń w zakresie ochrony danych może powodować istotne zagrożenia dla bezpieczeństwa tych danych.

*radca prawny, SDZLEGAL SCHINDHELM Kancelaria Prawna Schampera, Dubis, Zając i Wspólnicy Sp. k.

Realizacja ustawy o ochronie danych osobowych w  samorządach, inspektorzy ochrony danych w praktyce funkcjonowania urzędów, rozwiązania techniczne wspierające ochronę danych.