02 Maj

Ustawa wdrażająca RODO a upoważnienia do przetwarzania danych osobowych

Ustawa z dnia 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania RODO [ustawa wdrażająca RODO] według niektórych cofa nas o kilka lat wstecz w sposobie realizacji obowiązków związanych z ochroną danych osobowych. W zasadzie od samego początku funkcjonowania przepisów o ochronie danych osobowych, nadawanie upoważnień do przetwarzania danych osobowych było jednym z najważniejszych obowiązków administratora. Upoważnianie do przetwarzania danych zapewnia rozliczalność danych osobowych, poprzez kontrolę nad tym, kto i w jakim zakresie jest uprawniony do dostępu do danych. Przepisy nigdy dotychczas nie precyzowały w jaki sposób to upoważnienie powinno wyglądać. Administrator był jedynie zobligowany nadać stosowane upoważnienie pracownikowi przed przyznaniem mu  dostępu do danych osobowych, w formie papierowej lub elektronicznej. Upoważnienie stanowi potwierdzenie, że użytkownik otrzymał stosowne uprawnienie do przetwarzania danych od administratora. Przepisy RODO w zasadzie nic nie zmieniły w zakresie zarządzania upoważnieniami do przetwarzania danych. Zgodnie z art. 29 RODO przetwarzanie danych musi odbywać się tylko i wyłączenie na wyraźne polecenie administratora.  W celu wykazania, że polecenie zostało faktycznie wydane, administrator danych kontynuuje, tak jak to miało miejsce przed wejściem w życie RODO, nadawanie upoważnień do przetwarzania danych osobowych. Należy podkreślić, że upoważnienie przed zmianami wynikającymi z ustawy wdrażającej RODO mogło być w dowolnej formie, tzn. ustnej, wiadomości e-mail, elektronicznej, pisemnej.Jednakże administrator danych, aby wykazać, że wywiązał się z ciążącego na nim obowiązku, powinien przyjąć taką formę, która daje możliwość udowodnienia, że upoważnienie faktycznie zostało nadane. W praktyce najczęściej były stosowane upoważnienia w formie pisemnej lub elektronicznej przy użyciu specjalnego systemu informatycznego. Szczególnie w dużych organizacjach upoważnienia elektroniczne doskonale się sprawdzały, pozwalając skrócić czas zarządzania upoważnieniami i uprawnieniami pracowników, a także skutecznie przekazując informacje o wszelkich zmianach upoważnienia, osobom nadzorującym ochronę danych osobowych. Dzięki takim systemom pracownicy kadr mogli z dużym wyprzedzeniem przekazać informację, że pracownik planuje dłuższy urlop, złożył wypowiedzenie lub będzie zwolniony. Podobnie można było dzięki systemowi informatycznemu zarządzać przyjęciami nowych pracowników.  Ustawa wdrażająca RODO wprowadzając zmiany w prawie 170 ustawach zmodyfikowała także kwestie dotyczące nadawania upoważnień. W przepisach sektorowych pojawiły się zapisy obligujące administratora danych do nadawania pracownikom upoważnienia na piśmie do poszczególnych kategorii danych, jak dane związane z rekrutacją, zatrudnieniem, czy wypłatami z zakładowego funduszu świadczeń socjalnych. Read More

28 Lis

RODO: czy trzeba będzie upoważniać do przetwarzania danych

Chciałabym częściej dla Was pisać, ale niestety doba ma tylko 24 godziny. Bycie popularnym blogerem ma swoją cenę, spędzam nawet kilka godzin dziennie (głownie wieczorami) odpisując na pytania z Waszych maili. Jednakże wiele z nich bardzo pozytywnie mnie nastraja, bo tworzą obraz naprawdę dużego i fajnego zaangażowania w tematykę ochrony prywatności. Ale pora wrócić do zagadnienia rozliczalności procesów przetwarzania. Zodnie z art. 38. UODO: Administrator danych jest obowiązany zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane, czyli jednym z najważniejszych obowiązków administratora danych jest posiadanie wiedzy nad tym kto, kiedy i w jakim zakresie ma dostęp do jego zasobów chronionych. Dlatego powinien nadawać uprawnienia do systemów informatycznych oraz zasobów papierowych (np. akta pracownicze, umowy z podwykonawcami). Często mówimy: zakres uprawnień powinien być zgodny z zakresem obowiązków pracownika. Jednakże żyjemy w ciekawych czasach, gdy zakresy obowiązków z upływem przepracowanych lat zaczynają rozmijać się z faktycznym zakresem wykonywanych czynności, a większość osób mających dostęp do danych to wykonawcy usług, na podstawie umów zleceń, dzieł, czy umów na usługi. W dotychczasowym stanie prawnym, odpowiedzią na taki stan rzeczy, było wprowadzenie przez ustawodawcę dodatkowego obowiązku nadawania upoważnień do przetwarzania danych osobowych. Upoważnienie nadaje się każdej osobie, która wykonuje czynności na danych osobowych (także osobom, które robią to w imieniu podmiotu przetwarzającego, o ile umowa powierzenia nie stanowi inaczej). Jest to dość żmudny i czasochłonny obowiązek. Dodatkowo z czasem upoważnień robi się bardzo dużo i ciężko byłoby się w nich odnaleźć, gdyby nie prowadzona dodatkowo ewidencja upoważnień. W praktyce jest to główne źródło wiedzy osoby, która nadzoruje procesy przetwarzania danych, nad tym kto i w jakim zakresie ma dostęp do danych. Jest to także bardzo przydatne narzędzie, gdy trzeba sięgnąć do wiedzy historycznej. Read More

03 Kwi

Jak wprowadzić nowy wzór upoważnienia do przetwarzania danych?

Ostatnio otrzymałam takie pytanie od Pani Samanty i uświadomiłam sobie, że nie jest to banalny problem, bo sama musiałam się z nim zmierzyć na początku mojej przygody w roli ABI. Wtedy niestety nie wyszło mi to najlepiej…

Zasady nadawania/zmiany/odwołania upoważnień są istotnym elementem, którego nie powinno zabraknąć w polityce bezpieczeństwa (jest to jeden ze stosowanych przez administratora danych środków organizacyjnych mających na celu zapewnienie poufności informacji). Ja w mojej ówczesnej polityce nie miałam przewidzianej sytuacji zmiany wzoru upoważnienia. Dlatego za pierwszym razem odwoływałam wszystkie upoważnienia i nadawałam wszystkim nowe. Wyobraźcie sobie ile było z tym pracy i zamieszania przy ponad 100 osobowej organizacji i ponad 20 zbiorach danych, gdzie stosowałam zasadę nadawania upoważnienia do każdego zbioru. Koszmar. W dodatku ciągle mi czegoś brakowało, nie zgadzało się, itd. Nie wiedziałam co zrobić ze starymi upoważnieniami (niszczyć, czy trzymać?) oraz jak wpisać zmianę do ewidencji upoważnień.  To doświadczenie nauczyło mnie, że najpierw należy zastanowić się nad przebiegiem procesu, następnie zacząć działać. Read More

03 Sty

Czy administrator danych może upoważnić do przetwarzania danych kogoś kto nie jest jego pracownikiem?

Nadawanie upoważnień do przetwarzania danych osobowych jest jednym z podstawowych obowiązków administratora danych, wynikających z ustawy o ochronie danych osobowych.

Informację jak nadawać upoważnienia oraz wzór upoważnienia znajdziesz tutaj

Większość administratorów danych nie ma wątpliwości, że obowiązkiem otrzymania upoważnienia są objęci jego pracownicy i współpracownicy.  Nawet jeżeli przetwarzanie danych wynika bezpośrednio z obowiązku narzuconego przez przepisy prawa (opisywałam to na przykładzie upoważniania nauczycieli przez szkołę). Jednakże w podanym przykładzie zabrakło odpowiedzi na pytanie, kto powinien upoważnić osobę, która nie jest pracownikiem szkoły, np. pielęgniarkę szkolną lub pracownika ochrony. Zgodnie z art. 37. ustawy o ochronie danych osobowych: Do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych.Oznacza to, że administrator danych upoważnia do swoich danych. Nawet jeżeli osoba, która otrzyma dostęp do danych nie jest pracownikiem administratora, to właśnie on powinien nadać upoważnienie. Read More

19 Kwi

Różnica w pojęciu osoby upoważnionej, uprawnionej oraz użytkownika

Bardzo często spotykam się w dokumentacjach, które przesyłacie mi do sprawdzenia w pomieszaniu pojęć: użytkownika, osoby upoważnionej oraz osoby uprawnionej.  Nie są to synonimy i nie można używać ich zamiennie. Natomiast każde z nich ma kluczowe znaczenie dla dobrej organizacji polityki bezpieczeństwa informacji.

Osoba upoważniona – to osoba (najczęściej pracownik, ale niekoniecznie), która otrzymała upoważnienie do przetwarzania danych osobowych od administratora danych (ADO). Upoważnienie najczęściej jest wydawane na piśmie, chociaż GIODO dopuszcza także wydawanie upoważnień w formie służbowej wiadomości e-mail, ale jest to raczej rozwiązanie dla małych firm. Poza tym może stwarzać problemy w przyszłości przy kontroli upoważnień. Warto jeszcze przypomnieć, że upoważnienie powinno zawierać także informacje o tym do jakich danych (tzn. zbiorów) oraz w jakim zakresie pracownik otrzyma dostęp. Uważam, że warto od razu dodać informację o systemach informatycznych, do których zostaną nadane uprawnienia oraz loginie, który ma zostać przydzielony. Zmniejszy to liczbę dokumentów, które trzeba będzie wypełniać. Możecie skorzystać z przygotowanego przeze mnie wzoru. Read More

18 Lut

Kto upoważnia pracowników do przetwarzania danych przy umowie powierzenia?

Pytanie od Pani Beaty:

Czy firma, która świadczy usługę dla innej firm X, z którą ma podpisaną umowę powierzenia danych osobowych, ma obowiązek zebrać od pracowników oświadczenia o zgodzie na przetwarzanie danych osobowych firmy X? Czy wystarczy sama umowa powierzenia danych? Czy musimy uzyskać zgody od osób, których dane zostaną nam powierzone, na przetwarzanie ich danych?

Read More

06 Lut

Do czego należy upoważnić nauczycieli?

Pytanie od Pana Daniela:

Chciałbym zapytać o upoważnienia dla nauczycieli – czy każdy z nich powinien je posiadać, jeżeli w Polityce Bezpieczeństwa Informacji na wykazie danych osobowych w formie papierowej widnieją między innymi dzienniki zajęć, deklaracje uczęszczania na etykę, itp.? W chwili obecnej upoważnienia posiadają jedynie nauczyciele pracujący w Systemie Informacji Oświatowej.

Read More

14 Sty

2w1, czyli czy upoważnienie i oświadczenie mogą być w jednym pliku

Pytanie od Pani Anny:

Czy istnieje możliwość połączenia w jednym dokumencie upoważnienia pracownika do przetwarzania danych osobowych i oświadczenia o zachowaniu danych w poufności? Czy muszą jednak być to dwa odrębne dokumenty?

Przepisy w żaden sposób nie ograniczają Administratora Danych w tym zakresie, jak najbardziej może to być dokument 2w1. Należy tylko pamiętać o osobach, które nie otrzymują upoważnienia do przetwarzania danych (np. sprzątaczka), a przebywają w pomieszczeniach z danymi. One również powinny podpisać oświadczenie o zachowaniu danych w poufności.

08 Wrz

Dylematy biblioteki publiczno-szkolnej

Niektórzy z Was na pewno kojarzą taki twór, jak biblioteka publiczno-szkolna. Najczęściej jest to biblioteka publiczna, która ma swoją siedzibę (lub filię) w szkole i jednocześnie pełni rolę biblioteki szkolnej i publicznej. W niektórych jest jedna kartoteka czytelników, w innych dwie oddzielne. I od razu nasuwają się pytania natury prawnej.

Kto jest administratorem danych czytelników, biblioteka czy szkoła?

Jeżeli jest to biblioteka publiczna (lub jej filia) mieszcząca się w szkole, to administratorem danych osobowych wszystkich czytelników (także uczniów) jest biblioteka publiczna. Jeżeli w szkole mieści się biblioteka, którą zarządza szkoła i która tylko po godzinach obsługuje mieszkańców, ale nie jest to biblioteka publiczna, a jedynie instytucja pełniąca taką rolę, administratorem danych jest szkoła. Read More