Kategorie

Jak zabezpieczyć zbiór danych osobowych

Wojciech Brzeziński
Pracodawca ma dostęp do licznych dokumentów zawierających dane osobowe. Część z nich jest przechowywana w teczkach osobowych pracowników, jednak znaczna większość jest przetwarzana w postaci elektronicznej, np. w programach kadrowych lub płacowych.

Podstawowe zasady bezpieczeństwa przetwarzania danych osobowych określają przepisy ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych, zwanej dalej ustawą. Natomiast szczegółowe wymagania dotyczące zabezpieczeń wymaganych podczas przechowywania i przetwarzania danych osobowych pracowników zostały określone w rozporządzeniu z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych – zwanym dalej rozporządzeniem.

Zbiór danych

Reklama

Za zbiór danych uważa się każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie. Oznacza to, że zbiorem danych osobowych są zarówno teczki z danymi osobowymi pracowników (są usystematyzowane i podzielone funkcjonalnie), jak i elektroniczne bazy danych, np. zbiór danych kadrowych zawierających grafiki czasu pracy, listy obecności.

Pojęcie zbioru danych osobowych zostało doprecyzowane przez Wojewódzki Sąd Administracyjny w wyroku z 5 października 2005 r. Stwierdził on, że cechę zbioru danych stanowi – stosownie do ustawowej definicji – dostępność danych według określonych kryteriów (np. możliwość przeszukiwania zbioru po imionach i nazwiskach zatrudnionych pracowników). Sąd dodatkowo podkreślił, że zbiorem danych osobowych jest także zbór, w którym dane osobowe są dostępne według innych kryteriów niż dane osobowe, np. zbór pracowników wykonujących pracę na danej zmianie.

Przykład

W zakładzie pracy funkcjonują oddzielnie działy: kadr i płac. Każdy z nich ma swoje komputery, ale każdy z nich korzysta z jednego zbioru danych zawierających informacje o przepracowanych przez pracownikach godzinach i należnym pracownikom wynagrodzeniu. Zbiór danych znajduje się na serwerze, z którym łączą się komputery obu działów. W takiej sytuacji zbiór danych osobowych jest jeden, natomiast jest on przetwarzany na dwóch stanowiskach.

Ustawa nakłada na każdego administratora danych osobowych, w tym na pracodawcę, obowiązek zabezpieczenia danych osobowych przed osobami nieuprawnionymi, a także przed nieautoryzowanym ich przetwarzaniem.

Pracodawca jest zobowiązany zastosować wszystkie niezbędne środki techniczne i organizacyjne mające na celu zapewnienie bezpieczeństwa przetwarzania danych osobowych. Środki te muszą być odpowiednie do zagrożeń oraz kategorii danych objętych ochroną. Minimalne wymagania techniczne, jakie muszą spełnić pracodawcy, aby prawidłowo zabezpieczyć swoje zbiory, zostały określone we wspomnianym wyżej rozporządzeniu. Określa ono również zakres informacji, jakie powinny się znaleźć w dokumentacji opisującej zasady przetwarzania danych osobowych w zakładzie pracy. Do niezbędnych dokumentów należy zaliczyć dokument o nazwie „Polityka bezpieczeństwa” oraz dokument zatytułowany „Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych”.


Polityka bezpieczeństwa oraz Instrukcja

Pojęcie „polityka bezpieczeństwa” użyte w rozporządzeniu należy rozumieć jako zestaw praw, reguł i praktycznych doświadczeń dotyczących sposobu zarządzania, ochrony i dystrybucji danych osobowych wewnątrz określonej organizacji. Należy zaznaczyć, że polityka bezpieczeństwa, o której mowa w rozporządzeniu, powinna odnosić się całościowo do problemu zabezpieczenia danych osobowych u administratora danych, tj. zarówno do zabezpieczenia danych przetwarzanych tradycyjnie, jak i danych przetwarzanych w systemach informatycznych. Jej celem jest wskazanie działań, jakie należy wykonać, oraz ustanowienie zasad i reguł postępowania, które należy stosować, aby właściwie zabezpieczyć dane osobowe. Należy przy tym podkreślić, że dokument „polityki bezpieczeństwa” powinien deklarować zaangażowanie kierownictwa i wyznaczać podejście instytucji do zarządzania bezpieczeństwem informacji.

Jako minimum dokument określający „politykę bezpieczeństwa” powinien zawierać m.in.:

  • wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe,
  • wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych,
  • sposób przepływu danych między poszczególnymi systemami, np. kadrowym i płacowym,
  • określenie środków technicznych i organizacyjnych niezbędnych w celu zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.

Przykład

Pracodawca samodzielnie prowadzi kadry i płace przy pomocy pracowników, którzy swoje obowiązki wykonują w dwóch różnych budynkach należących do pracodawcy. W takiej sytuacji w „polityce bezpieczeństwa” pracodawca powinien wskazać oba budynki jako obszar, na którym są przetwarzane dane osobowe. Jednocześnie powinien wskazać sposób przesyłania danych między budynkami. Przesyłanie może się odbywać np. drogą e-mailową lub w sposób zautomatyzowany za pomocą funkcji programu kadrowego lub płacowego.

Drugim dokumentem wymaganym przez przepisy rozporządzenia jest „Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych”.

Jest to dokument, który w swojej treści powinien zawierać m.in.:

  • procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności,
  • stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem,
  • procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu,
  • procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania,
  • sposób, miejsce i okres przechowywania:

– elektronicznych nośników informacji zawierających dane osobowe, np. płyty CD,

– kopii zapasowych,

● sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego.

Podstawa prawna:

  • art. 36–39a ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (DzU z 2002 r. nr 101, poz. 926 ze zm.),
  • rozporządzenie MSWiA z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (DzU nr 100, poz. 1024).

Orzecznictwo:

  • wyrok WSA w Warszawie z 5 października 2005 r. (II SA/Wa 734/05, niepubl.).

 

Poszerzaj swoją wiedzę, korzystając z naszego programu
INFORLEX Książki dla Firm
INFORLEX Książki dla Firm
Tylko teraz
598,00 zł
798,00
Przejdź do sklepu
Źródło: INFOR
Czy ten artykuł był przydatny?
tak
nie
Dziękujemy za powiadomienie
Jeśli nie znalazłeś odpowiedzi na swoje pytania w tym artykule, powiedz jak możemy to poprawić.
UWAGA: Ten formularz nie służy wysyłaniu zgłoszeń . Wykorzystamy go aby poprawić artykuł.
Jeśli masz dodatkowe pytania prosimy o kontakt

Komentarze(0)

Uwaga, Twój komentarz może pojawić się z opóźnieniem do 10 minut. Zanim dodasz komentarz -zapoznaj się z zasadami komentowania artykułów.
    QR Code

    © Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone. Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A.

    Kadry
    Zapisz się na newsletter
    Zobacz przykładowy newsletter
    Zapisz się
    Wpisz poprawny e-mail

    Emerytura brutto netto - kalkulator

    Emerytura brutto - ile to netto? Kalkulator emerytalny pozwala ustalić wysokość emerytury. Oblicz.

    Ochrona przedemerytalna - ile lat?

    Ochrona przedemerytalna - ile lat trwa ochrona przed zwolnieniem? Od ilu lat pracownika zaczyna obowiązywać pracodawcę?

    Strategia Demograficzna 2040 - ocena Konfederacji Lewiatan

    Strategia Demograficzna 2040 jest zbyt ogólna i nie odpowiada współczesnym trendom związanym z rodziną. Jak ocenia ją Konfederacja Lewiatan?

    Zwolnienie lekarskie musi wskazywać aktualny adres pobytu

    Zwolnienie lekarskie musi wskazywać aktualny adres pobytu. Czy trzeba poinformować ZUS o zmianie miejsca pobytu?

    Zmiana dostawcy PPK wymaga konsultacji z załogą

    Zmiana dostawcy PPK wymaga konsultacji z załogą czyli z zakładową organizacją związkową lub inną reprezentacją osób zatrudnionych.

    Emerytura bez podatku – tabela

    Emerytura bez podatku - tabela z kwotą netto w 2021 r. i po zmianach w 2022 r. wskazuje, ile emeryt otrzyma na rękę po podwyżce.

    Pracownik oczekuje elastyczności zatrudnienia

    Elastyczność zatrudnienia - tego oczekuje pracownik od miejsca pracy.

    Pracownicy ocenili sytuację w zakładach pracy [BADANIE]

    Sytuacja w zakładach pracy została oceniona przez pracowników. Jakie są wyniki badania CBOS?

    Kasy zapomogowo-pożyczkowe u pracodawców - projekt ustawy

    Kasy zapomogowo-pożyczkowe u pracodawców - komisje sejmowe pozytywnie zaopiniowały projekt ustawy. Projekt reguluje zasady tworzenia, organizowania i działania kas w zakładach pracy.

    Pracownicy PIP z dodatkowym urlopem wypoczynkowym

    Dodatkowy urlop wypoczynkowy zostanie przyznany niektórym pracownikom PIP. Ile dni?

    Emerytury czerwcowe od 2009 do 2019 r. - ponowne przeliczenie

    Emerytury czerwcowe od 2009 do 2019 r. będą ponownie przeliczone. Takie rozwiązanie przewiduje nowelizacja ustawy o systemie ubezpieczeń społecznych.

    Państwowy egzamin na maszynistę od 2023 r. - projekt

    Państwowy egzamin na maszynistę od 2023 r. przewiduje projekt nowelizacji ustawy o transporcie kolejowym. Co się zmieni?

    Szczepienia pracowników przeciwko COVID-19 - stanowisko PIP

    Szczepienia pracowników przeciwko COVID-19 są celowe i zasadne, lecz mają charakter dobrowolny. To oficjalne stanowisko PIP na temat szczepień pracowników.

    Pracownik niepełnosprawny - zwolnienie lekarskie, czas pracy

    Pracownik niepełnosprawny - jakie ma uprawnienia? Jakie są zasady przebywania na zwolnieniu lekarskim? Jaki jest wymiar czasu pracy pracownika niepełnosprawnego? Co z urlopem wypoczynkowym?

    5 korzyści z audytu wynagrodzeń

    Audyt wynagrodzeń przynosi liczne korzyści. Poniższy artykuł omawia 5 najważniejszych z nich.

    Badania do celów sanitarno-epidemiologicznych

    Badania sanitarno-epidemiologiczne to dodatkowa weryfikacja zdrowotna wymagana do pracy, przy wykonywaniu której istnieje możliwość przeniesienia zakażenia lub choroby zakaźnej na inne osoby.

    Reforma rynku pracy w Polsce

    Reforma rynku pracy w Polsce jest częścią Krajowego Planu Odbudowy. Jakie zmiany zakłada nowy model polityki zatrudnienia?

    Zakaz noszenia hidżabu w miejscu pracy - wyrok TSUE

    Hidżab w miejscu pracy - pod pewnymi warunkami można wprowadzić zakaz noszenia hidżabu w pracy. Tak zdecydował TSUE w swoim wyroku. Krytykuje go Prezydent Turcji.

    Ile osób odbiera telefony służbowe na urlopie?

    Telefon służbowy na urlopie? Ile osób odbiera je podczas urlopowego wypoczynku?

    Przeciętne wynagrodzenie i zatrudnienie - czerwiec i II kwartał 2021

    Przeciętne wynagrodzenie i zatrudnienie - ile wyniosło w czerwcu i II kwartale 2021 r.? GUS podaje kwoty.

    Niedziela handlowa - sierpień 2021

    Niedziela handlowa - sierpień 2021 ma aż 5 niedziel. Czy 1 sierpnia, 8 sierpnia, 15 sierpnia, 22 sierpnia lub 29 sierpnia to niedziela handlowa? Kiedy jest najbliższa niedziela handlowa?

    Nowy pracownik zdalny - jak mu pomóc?

    Nowy pracownik zdalny może mieć wiele trudności z wdrożeniem się do pracy w nowej firmie. Jak mu pomóc?

    Zapisanie nowego pracownika do PPK - 90 dni zatrudnienia

    Zapisanie nowego pracownika do PPK wymaga 90 dni zatrudnienia. Co wlicza się do tego okresu według ustawy o PPK?

    Praca podczas upałów – zalecenia PIP

    Praca podczas upałów - jakie są zalecenie PIP? Po pierwsze, pracodawca zapewnia zimne napoje. Po drugie, wentylację i klimatyzację w pomieszczeniach pracy. PIP zaleca także skracanie czasu pracy.

    Wyższe zarobki i 4 dni pracy w tygodniu w gastronomii - Niemcy

    Wyższe zarobki i 4 dni pracy w tygodniu to rozwiązanie dla sektora gastronomii w Niemczech. Czy to pomoże na niedobory kadrowe?