dane osobowe, ochrona danych osobowych, przetwarzanie danych osobowych, upowaznienie
W trakcie audytów ochrony danych osobowych niejednokrotnie spotykamy się z brakiem nadawania upoważnień do przetwarzania danych lub nadawaniem ich w sposób szablonowy, nieodpowiadający rzeczywistym uprawnieniom. Skąd wynika obowiązek upoważniania do przetwarzania danych? Kiedy, komu i w jakim celu należy nadawać upoważnienia?
Obowiązek nadawania upoważnień
O obowiązku nadawania upoważnień stanowi art. 37 ustawy o ochronie danych osobowych. Zgodnie z tym przepisem, do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające odpowiednie upoważnienie. Nadawanie upoważnień jest obowiązkiem administratora danych. Wykonanie tego obowiązku może on oczywiście powierzyć określonej osobie w swojej strukturze, udzielając jej w tym celu odpowiedniego pełnomocnictwa. Często zdarza się, że za nadawanie upoważnień odpowiedzialny jest administrator bezpieczeństwa informacji, jako osoba najlepiej rozumiejąca specyfikę systemu ochrony danych osobowych u administratora.
Ze względu na to, że upoważnienie musi być nadane każdej osobie, którą administrator danych dopuszcza do ich przetwarzania, powinien on stworzyć wzór upoważnienia. Wzór upoważnienia stanowi bardzo często załącznik do polityki bezpieczeństwa danych osobowych. Dzięki temu, każde upoważnienie nadawane jest wg tego samego schematu, a zarządzanie upoważnieniami jest prostsze i szybsze.
Indywidualizacja uprawnień
Warto pamiętać, że upoważnienie do przetwarzania danych musi być imienne. Upoważnienie nadawane jest zawsze konkretnej osobie, a jego zakres musi zostać indywidualnie ustalony. Nieprawidłową praktyką jest nadawanie upoważnień wszystkim i do wszystkiego. Nie temu bowiem służą upoważnienia. Ich celem jest indywidualizowanie uprawnień osób przetwarzających dane i ograniczenie nadmiarowych dostępów do danych czy też wyeliminowanie możliwości wykonywania zbyt wielu operacji na danych osobowych. Poza tym, nadawanie upoważnień ma pomóc zapobiegać naruszeniom zasad ochrony danych. Jednym z podstawowych zadań i obowiązków administratora danych jest zabezpieczenie tych danych przed dostępem osób nieuprawnionych. Ustalenie kto, na jakich zasadach i do czego może mieć dostęp pomaga zagwarantować, że do dane nie będą przetwarzane przez osobę nieupoważnioną.
Forma i elementy upoważnienia
Ustawodawca nie wskazuje, w jakiej formie ma być nadawane upoważnienie. Może mieć ono postać odrębnego dokumentu, i tak jest najczęściej. Choć nie wynika to wprost z przepisów, upoważnienia nadawane są na piśmie. Dzięki temu, administratorowi danych łatwiej jest udowodnić, komu nadał upoważnienie i w jakim zakresie.
Konstruując wzór upoważnienia, którym chcemy posługiwać się w bieżącej pracy, warto uwzględnić kilka elementów. Upoważnienie powinno określać:
- imię i nazwisko osoby upoważnionej;
- datę jego nadania i jeżeli jest ona znana – datę wygaśnięcia;
- określenie, do przetwarzania jakich danych osoba ma myć upoważniona (np. poprzez wskazanie określonych zbiorów danych);
- określenie, do których systemów informatycznych dana osoba ma mieć dostęp;
- zakres operacji, które upoważniona osoba może wykonywać na danych osobowych.
Nadając upoważnienie zawsze warto rozważyć, jak daleko idące uprawnienia należy przyznać określonej osobie (np. czy praktykant powinien mieć możliwość trwałego usuwania danych?, czy osoba odpowiadająca wyłącznie za archiwizację danych może mieć prawo ich modyfikacji?).
Choć nie wynika to wprost z przepisów, biorąc pod uwagę interes administratora danych, nadając upoważnienie warto zobowiązać na piśmie osobę upoważnianą do zachowania poufności danych osobowych i sposobów ich zabezpieczenia. Obowiązek zachowania poufności wynika wprawdzie z art. 39 ust. 2 ustawy o ochronie danych osobowych, ale choćby ze względu na walor budowania świadomości i podwyższanie rygoru odpowiedzialności, warto rozważyć takie rozwiązanie.
Ewidencjonowanie upoważnień
Poza samym obowiązkiem zapewnienia, by do przetwarzania danych dopuszczone były wyłącznie osoby posiadające odpowiednie upoważnienie, administrator danych ma także obowiązek prowadzenia ewidencji osób upoważnionych. Zgodnie z art. 39 ustawy, administrator musi zawrzeć w ewidencji następujące informacje:
- Imię i nazwisko osoby upoważnionej;
- Datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych;
- Identyfikator nadany osobie upoważnionej w systemie informatycznym.
W ewidencji uwzględniać należy każde nadawane upoważnienie. Pamiętać trzeba też o tym, że musi znaleźć się w niej informacja o ustaniu upoważnienia. Oznacza to, że osoba odpowiadająca za prowadzenie u danego administratora ewidencji, musi posiadać nie tylko informację o tym, że w strukturze administratora danych pojawia się nowa osoba, której nadano upoważnienie, ale także o tym, że określone upoważnienie zostało odwołane lub wygasło.
Przetwarzanie danych bez upoważnienia
Administrator danych, zobowiązany do zabezpieczenia danych m.in. przed ich udostępnieniem osobom nieupoważnionym, powinien zwrócić szczególną uwagę na opisywane w dzisiejszym alercie kwestie. Pamiętać bowiem trzeba, że ustawa o ochronie danych osobowych przewiduje sankcje karne za jej naruszenie. Art. 49 ustawy stanowi, że podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2 (lub 3, gdy naruszenie dotyczy danych wrażliwych) ten, kto przetwarzania w zbiorze dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo kto przetwarza dane, do których przetwarzania nie jest uprawniony. O przetwarzaniu danych bez uprawnienia mówić można m.in. właśnie w przypadku przetwarzania danych przez osobę, której nie zostało nadane odpowiednie upoważnienie. Przestępstwo określone w art. 49 popełnia więc osoba, która dane przetwarza, choć nie zostało jej nadane upoważnienie, nie zaś administrator danych, który upoważnienia nie nadał.
Powyższe nie oznacza jednak, że administrator danych nie ponosi odpowiedzialności za nienadawanie upoważnień. Pomijając, oczywistą odpowiedzialność administracyjną, warto wspomnieć także o przepisie at. 51 ustawy, zgodnie z którym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2 (lub do roku w przypadku działania nieumyślnego), ten, kto administrując zbiorem danych lub będąc obowiązanym do ich ochrony udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym. Powszechnie przyjmuje się, że pojęcie administrującego danymi zawiera w sobie pojęcie samego administratora danych. Przestępstwo określone w art. 51 może więc popełnić właśnie administrator danych. Może je też popełnić osoba obowiązana do ochrony danych, czyli osoba upoważniona do ich przetwarzania. Ponadto, ustawa przewiduje także odpowiedzialność za naruszenie obowiązku zabezpieczenia danych.
Konsekwencje nienadawania upoważnień mogą być daleko idące. Z tego względu, administratorzy danych, którzy nie jeszcze nie zrealizowali tego obowiązku, powinni to zrobić jak najszybciej. Warto też pamiętać, że nadanie upoważnienia pomaga ustalić, kto, dlaczego i do czego ma dostęp w danej organizacji, porządkując tym samym nie tylko kwestie związane z ochroną danych osobowych, ale też z ochroną szeroko pojętych informacji, które mogą mieć duże znaczenie dla danego podmiotu.
Post Views:
4 380