Podstawowe zasady bezpieczeństwa przetwarzania danych osobowych określają przepisy ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych, zwanej dalej ustawą. Natomiast szczegółowe wymagania dotyczące zabezpieczeń wymaganych podczas przechowywania i przetwarzania danych osobowych pracowników zostały określone w rozporządzeniu z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych – zwanym dalej rozporządzeniem.
Zbiór danych
Za zbiór danych uważa się każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie. Oznacza to, że zbiorem danych osobowych są zarówno teczki z danymi osobowymi pracowników (są usystematyzowane i podzielone funkcjonalnie), jak i elektroniczne bazy danych, np. zbiór danych kadrowych zawierających grafiki czasu pracy, listy obecności.
Pojęcie zbioru danych osobowych zostało doprecyzowane przez Wojewódzki Sąd Administracyjny w wyroku z 5 października 2005 r. Stwierdził on, że cechę zbioru danych stanowi – stosownie do ustawowej definicji – dostępność danych według określonych kryteriów (np. możliwość przeszukiwania zbioru po imionach i nazwiskach zatrudnionych pracowników). Sąd dodatkowo podkreślił, że zbiorem danych osobowych jest także zbór, w którym dane osobowe są dostępne według innych kryteriów niż dane osobowe, np. zbór pracowników wykonujących pracę na danej zmianie.
Przykład
W zakładzie pracy funkcjonują oddzielnie działy: kadr i płac. Każdy z nich ma swoje komputery, ale każdy z nich korzysta z jednego zbioru danych zawierających informacje o przepracowanych przez pracownikach godzinach i należnym pracownikom wynagrodzeniu. Zbiór danych znajduje się na serwerze, z którym łączą się komputery obu działów. W takiej sytuacji zbiór danych osobowych jest jeden, natomiast jest on przetwarzany na dwóch stanowiskach.
Ustawa nakłada na każdego administratora danych osobowych, w tym na pracodawcę, obowiązek zabezpieczenia danych osobowych przed osobami nieuprawnionymi, a także przed nieautoryzowanym ich przetwarzaniem.
Pracodawca jest zobowiązany zastosować wszystkie niezbędne środki techniczne i organizacyjne mające na celu zapewnienie bezpieczeństwa przetwarzania danych osobowych. Środki te muszą być odpowiednie do zagrożeń oraz kategorii danych objętych ochroną. Minimalne wymagania techniczne, jakie muszą spełnić pracodawcy, aby prawidłowo zabezpieczyć swoje zbiory, zostały określone we wspomnianym wyżej rozporządzeniu. Określa ono również zakres informacji, jakie powinny się znaleźć w dokumentacji opisującej zasady przetwarzania danych osobowych w zakładzie pracy. Do niezbędnych dokumentów należy zaliczyć dokument o nazwie „Polityka bezpieczeństwa” oraz dokument zatytułowany „Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych”.
Polityka bezpieczeństwa oraz Instrukcja
Pojęcie „polityka bezpieczeństwa” użyte w rozporządzeniu należy rozumieć jako zestaw praw, reguł i praktycznych doświadczeń dotyczących sposobu zarządzania, ochrony i dystrybucji danych osobowych wewnątrz określonej organizacji. Należy zaznaczyć, że polityka bezpieczeństwa, o której mowa w rozporządzeniu, powinna odnosić się całościowo do problemu zabezpieczenia danych osobowych u administratora danych, tj. zarówno do zabezpieczenia danych przetwarzanych tradycyjnie, jak i danych przetwarzanych w systemach informatycznych. Jej celem jest wskazanie działań, jakie należy wykonać, oraz ustanowienie zasad i reguł postępowania, które należy stosować, aby właściwie zabezpieczyć dane osobowe. Należy przy tym podkreślić, że dokument „polityki bezpieczeństwa” powinien deklarować zaangażowanie kierownictwa i wyznaczać podejście instytucji do zarządzania bezpieczeństwem informacji.
Jako minimum dokument określający „politykę bezpieczeństwa” powinien zawierać m.in.:
- wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe,
- wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych,
- sposób przepływu danych między poszczególnymi systemami, np. kadrowym i płacowym,
- określenie środków technicznych i organizacyjnych niezbędnych w celu zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.
Przykład
Pracodawca samodzielnie prowadzi kadry i płace przy pomocy pracowników, którzy swoje obowiązki wykonują w dwóch różnych budynkach należących do pracodawcy. W takiej sytuacji w „polityce bezpieczeństwa” pracodawca powinien wskazać oba budynki jako obszar, na którym są przetwarzane dane osobowe. Jednocześnie powinien wskazać sposób przesyłania danych między budynkami. Przesyłanie może się odbywać np. drogą e-mailową lub w sposób zautomatyzowany za pomocą funkcji programu kadrowego lub płacowego.
Drugim dokumentem wymaganym przez przepisy rozporządzenia jest „Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych”.
Jest to dokument, który w swojej treści powinien zawierać m.in.:
- procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności,
- stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem,
- procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu,
- procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania,
- sposób, miejsce i okres przechowywania:
– elektronicznych nośników informacji zawierających dane osobowe, np. płyty CD,
– kopii zapasowych,
● sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego.
Podstawa prawna:
- art. 36–39a ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (DzU z 2002 r. nr 101, poz. 926 ze zm.),
- rozporządzenie MSWiA z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (DzU nr 100, poz. 1024).
Orzecznictwo:
- wyrok WSA w Warszawie z 5 października 2005 r. (II SA/Wa 734/05, niepubl.).