Zgłoszenie zbioru danych osobowych do GIODO jak zaklęcie

16.09.2009, Krzysztof Jarosiński

Kolejne przypadki wycieku danych osobowych ze zbiorów danych nie tylko serwisów społecznościowych i banków pokazują, że nie sztuką jest dane osobowe zebrać i zgłosić zbiór do GIODO, ale konieczne jest odpowiednie zabezpieczenie tych zbiorów, wyznaczenie osób odpowiedzialnych za ochronę danych osobowych oraz stworzenie dokumentacji, która nie będzie zbiorem pustych zapisów, ale będzie istotnym elementem zapewniającym należytą ochronę danych osobowych. W szczególności istotne jest, by taka dokumentacja była stale aktualizowana, np. o nowe upoważnienia dla osób dopuszczonych do przetwarzania danych osobowych, o kolejne umowy o powierzenie przetwarzania danych etc.

Jeżeli dane osobowe są przetwarzane w systemie informatycznym, znajdują zastosowanie przepisy Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. z 2004 Nr 100, poz. 1024). Polecam jego lekturę tym wszystkim, którzy działają w sferze Internetu i w taki, czy inny sposób zbierają lub wykorzystują (w języku ustawy: przetwarzają) dane osobowe.

To, o czym każdy administrator serwisu internetowego, który przetwarza dane osobowe, powinien wiedzieć, to wymóg wprowadzenia tzw. wysokiego poziomu bezpieczeństwa przetwarzania danych osobowych w systemie informatycznym, jeśli przynajmniej jedno urządzenie systemu informatycznego, służącego do przetwarzania danych osobowych, połączone jest z siecią publiczną. Innymi słowy, każdy serwis społecznościowy (jego administrator) ma obowiązek zastosowania środków technicznych i organizacyjnych właściwych dla poziomu wysokiego bezpieczeństwa danych osobowych.

I tu przechodzimy do magicznego zgłoszenia zbioru danych do GIODO, które w opinii wielu administratorów serwisów ?załatwia’ sprawę ochrony danych osobowych. Tyle tylko, że na ostatniej stronie zgłoszenia widnieje wykaz środków technicznych i organizacyjnych, które ma obowiązek zastosować dokonujący zgłoszenia. Jeśli zbiór danych jest prowadzony w systemie informatycznym, obowiązkowe jest zastosowanie wszystkich wskazanych w pkt 16 zgłoszenia środków technicznych i organizacyjnych. Czyli dokonujący zgłoszenia oświadcza, że np. wyznaczył administratora bezpieczeństwa informacji (ABI), prowadzi ewidencję osób upoważnionych do przetwarzania danych, wdrożył dokumentację pod nazwą polityka bezpieczeństwa oraz instrukcję zarządzania systemem informatycznym.

Praktyka jest taka, że zgłoszenie, dla świętego spokoju, się wysyła, a środków technicznych i organizacyjnych nikt nie wprowadza. Nikt nie wie, co to takiego. I nagle zdarza się wyciek danych….

Wtedy administrator serwisu zaczyna gorączkowo szukać pomocy i zastanawia się, co mu grozi.

W tym czasie działania wobec niego podejmuje GIODO. Może on wszcząć kontrolę w danej firmie, zażądać w toku kontroli wyjaśnień, okazania dokumentów, umożliwienia dokonania oględzin urządzeń, nośników i systemów informatycznych etc. W razie stwierdzenia naruszenia przepisów o ochronie danych osobowych GIODO może nakazać, np. zastosowanie dodatkowych środków zabezpieczających dane osobowe albo nawet usunięcie danych. Ponadto na podstawie ustaleń kontroli inspektor (pracownik biura GIODO) może żądać wszczęcia postępowania dyscyplinarnego lub innego przewidzianego prawem postępowania przeciwko  osobom winnym dopuszczenia do uchybień i poinformowania go, w określonym terminie, o wynikach tego postępowania i podjętych działaniach.

Marcin w swoim ostatnim poście - Administrator serwisu nie zawsze jest administratorem danych osobowych - trafnie zauważył, że nie zawsze administrator serwisu internetowego jest administratorem danych osobowych. Co nie zmienia faktu, że w przypadku, gdy przetwarza on dane osobowe na innej podstawie, np. umowy o powierzenie przetwarzania danych, również może zostać skontrolowany przez GIODO i może stać się adresatem decyzji wydanych przez GIODO.

Ponadto, w razie stwierdzenia, że działanie lub zaniechanie kierownika jednostki organizacyjnej, jej pracownika lub innej osoby fizycznej będącej administratorem danych wyczerpuje znamiona przestępstwa określonego w ustawie, GIODO kieruje do organu powołanego do ścigania przestępstw zawiadomienie o popełnieniu przestępstwa, dołączając dowody dokumentujące podejrzenie (zob. art. 19 ustawy o ochronie danych osobowych).

Warto wiedzieć, że wszystkie czyny naruszające przepisy ustawy o ochronie danych osobowych są kwalifikowane jako przestępstwa i podlegają ściganiu z urzędu.

Ponadto nieprawdziwe oświadczenie objęte zgłoszeniem zbioru danych do GIODO może zostać ewentualnie zakwalifikowane jako poświadczenie nieprawdy (tzw. fałsz intelektualny), czyli przestępstwo z art. 271 Kodeksu karnego.

Ponadto, w razie wycieku danych osobowych, zwłaszcza gdy nie były one należycie zabezpieczone, administrator serwisu musi liczyć się z potencjalnymi pozwami o naprawienie szkody wyrządzonej na skutek wycieku danych. A to może skutkować sporymi kosztami obrony w sądach oraz potencjalnymi odszkodowaniami zasądzonymi powodom.

W związku z tym, że wszelkie obowiązki związane z należytym zabezpieczeniem danych osobowych obciążają administratorów danych oraz podmioty przetwarzające na innej podstawie dane osobowe (dotyczy to wielu administratorów serwisów internetowych), warto wydatkować pewne środki - nawet w dłuższym odcinku czasu, ale regularnie - na wprowadzenie odpowiednich środków technicznych i organizacyjnych (pomoc informatyczna i prawna). Można w ten sposób zaoszczędzić sobie wysokich i nieprzewidzianych wydatków na ekspresową pomoc prawną w toku kontroli GIODO lub procesów odszkodowawczych oraz na poprawę nadszarpniętej renomy po wycieku danych.

Opublikowane w Dane osobowe

4 Responses

  1. szook

    Ciekawy wpis.

    Sam stoje przed koniecznością zgłoszenia takich danych.

    Pytanie tylko czy np. jeżeli na forach człowiek podpisuje sie z własnej woli imieniem i nazwiskiem to administrator forum/właściciel jest już zobowiązany do zgłoszenia bazy do GIODO.
    Niby imię i nazwisko to dane osobowe, jednak wpisując je jako NICK, nazwa użytkownika nie spotkałem się nigdzie z informacją iż wyrażam zgodę na bla bla bla.

    Więc czy serwis społecznościowy staje się posiadaczem danych osobowych w momencie gdy jego użytkownicy posługują się imieniem i nazwiskiem lub nick jest tak rozpoznawalny i łatwy do rozpoznania autora.
    Kiedyś coś czytalem, że danymi są wszelkie informacje,które bez trudu pozwalają ustalić tożsamość.
    Więc teoretycznie rozpoznawalny nick powinien oznaczać dane osobowe.

    Czy jest jakaś szczególna procedura ochrony danych osobowych - np. logowanie się po https ? czy https nie jest wymagany. Nie spotykam tego na społecznościówkach.

    Pozdrawiam
    Mariusz

    Ps. jak nie będzie kłopotem chętnie posłucham opinii i ewentualnych porad jak zgłosić takie dane, wyznaczenie administratora i osób upowaznionych to nie problem.
    Zastanawiam się kiedy jest mowa o odpowiednim zabezpieczeniu danych.

    Pozdrawiam
    Mariusz

  2. Krzysztof Jarosiński

    Odpowiedź na Twoje pytanie znajdziesz w poście Marcina Administrator serwisu nie zawsze jest administratorem danych osobowych. Zwracam uwagę na definicję administratora danych, objętą treścią art. 7 pkt. 4 ustawy o ochronie danych osobowych, zgodnie z którą administratorem danych jest organ, jednostka organizacyjna, podmiot lub osoba (?), decydująca o celach i środkach przetwarzania danych osobowych.

    Jeśli uznamy, że administrator/właściciel forum internetowego jest jedynie podmiotem, któremu zostało powierzone przetwarzanie danych, np. przez użytkownika forum, wówczas taki administrator/właściciel forum nie ma obowiązku zgłaszania zbioru danych do GIODO. Musi jednak zastosować środki techniczne i organizacyjne, o jakich pisałem w poście powyżej oraz o jakich pisał Marcin w swoim poście.

    Co do definicji danych osobowych, polecam uważną lekturę art. 6 ustawy o ochronie danych osobowych:

    Art. 6.
    1. W rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.
    2. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.
    3. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.

  3. szook

    Witam,
    Dziękuje za odpowiedź.
    Będziemy mieli okazje spotkać się w Szczecinie lada dzień to podpytam trochę o te dane a może uda się nawiązać jakąś współprace.

    Z tymi danymi osobowymi to jednak ciągle dla mnie kłopot.
    Nie wiem czy profil typu GoldenLine wymaga zgłoszenia bazy, w końcu jest tam imie i nazwisko, często miasto itp.
    Postaram się jednak poradzić Was na miejscu w Szczecinie i dopytać w GIODO.

    Pozdrawiam
    Mariusz

  4. darryl

    < a href = “http://google.com/?p=48&lol= newman@cushioning.plays”>.< / a >…

    tnx for info!…

Skomentuj

Uwaga: Komentarze są moderowane. Twój komentarz pojawi się po autoryzacji.