Okrągły rok za nami!

Drodzy Czytelnicy!

Jesteśmy już razem od roku. W dniu wczorajszym minął okrągły rok od naszego pierwszego wpisu. Do tej pory udało nam się przygotować ponad 30 artykułów, w których staraliśmy się podzielić praktycznymi informacjami na temat ochrony danych osobowych. Serwis został odwiedzony ponad 110 000 razy, co robi na nas duże wrażenie. Co nas niezmiernie cieszy, na dzień dzisiejszy mamy zarejestrowanych ponad 1200 subskrybentów bloga. Patrząc na liczby uważamy, że udało nam się stworzyć ciekawą przestrzeń do dzielenia się przemyśleniami na temat ochrony danych osobowych. Żeby nie było tak bardzo różowo, cały czas nie jesteśmy zadowoleni z poziomu interakcji z Wami drodzy Czytelnicy. Najciekawsze w ochronie danych osobowych wydaje się właśnie dyskusja i przedstawianie różnych poglądów. Wielokrotnie przekonywaliśmy się, że „świeże” spojrzenie na jakiś problem może pozwolić na lepsze zrozumienie danej instytucji.

Przed nami kolejny rok. Mamy nadzieję, że osób czytających regularnie bloga będzie przybywało. Czeka na nas wejście w życie rozporządzenia unijnego w sprawie ochrony danych osobowych więc możemy być pewni, że najbliższy czas na pewno będzie obfitował w tematy związane z ochroną danych osobowych, którymi warto będzie się zająć.

Egzekucja decyzji GIODO

Nowelizacja ustawy o ochronie danych osobowych z dn. 7 marca 2011 r. zmieniła m.in. ustawę z dnia 17 czerwca 1966 r. o postępowaniu egzekucyjnym w administracji (Dz. U. z 2012 r. poz 1015), dalej zwaną „Ustawą”. Choć trudno w to uwierzyć i kłóci się to z logiką, do ww. daty, decyzje GIODO nie podlegały egzekucji, czyli mówić wprost, GIODO nie posiadał narzędzia, które pozwalało wymusić wykonanie prawomocnej decyzji administracyjnej w zakresie usunięcia uchybień w procesie przetwarzania danych osobowych. Z punktu widzenia praktyki, brak egzekucji decyzji GIODO wpływał bardzo negatywnie na zgodność działania administratorów danych z ustawą o ochronie danych osobowych. Znane są mi przypadki, gdy przed wejściem w życie ww. nowelizacji, administrator danych świadomie i umyślnie nie wykonywał decyzji GIODO. Oczywiście zdarzało się tak wtedy, gdy był dobrze poinformowany i zdawał sobie sprawę, że brak działania nie spowoduje nałożenia na niego dodatkowych sankcji (oczywiście w artykule pomijam całkowicie inne reżimy odpowiedzialności prawnej, tj. odpowiedzialność karną i cywilną). Czy wejście w życie nowelizacji poprawiło sytuację? Niestety nie. Same przepisy (poza sporadycznymi wyjątkami) nie kształtują rzeczywistości. Póki więc GIODO nie zacznie korzystać z przysługujących mu uprawnień do egzekucji swoich decyzji, póty administratorzy danych będą posiadali tą furtkę i szansę na uniknięcie odpowiedzialności związanej z niewykonaniem decyzji GIODO.

Pozostawiając powyższe dywagacje, rzućmy okiem jak wyglądają uprawnienia GIODO, o których mowa w ustawie o postępowaniu egzekucyjnym w administracji. Zgodnie z art. 18 ustawy o ochronie danych osobowych, decyzje wydawane przez GIODO dotyczą obowiązku podjęcia lub zaniechania określonej czynności. Są to zatem obowiązki o charakterze niepieniężnym. Dla tego typu decyzji administracyjnych, Ustawa przewiduje następujące środki egzekucyjne:

  1. grzywna w celu przymuszenia,
  2. wykonanie zastępcze
  3. odebranie rzeczy ruchomej,
  4. odebranie nieruchomości, opróżnienia lokali i innych pomieszczeń,
  5. przymus bezpośredni

GIODO w postępowaniu egzekucyjnym jest zarówno wierzycielem (czyli podmiotem uprawnionym do żądania wykonania decyzji) jak i organem egzekucyjnym. W związku z faktem, iż GIODO posiada status wierzyciela i organu egzekucyjnego, GIODO wszczyna postępowanie egzekucyjne z urzędu, na podstawie wystawionego przez siebie tytułu wykonawczego. Tytuł wykonawczy powinien zostać doręczony administratorowi danych, który nie wykonał decyzji, wraz z dowodem doręczenia wcześniej upomnienia, którego celem było skłonienie administratora danych do dobrowolnego wykonania decyzji.

Wydaje się, że z punktu widzenia GIODO będą mogły być stosowane w praktyce środki egzekucyjne o których mowa w pkt 1, 2 i 5. Teraz kilka słów grzywnie. Zgodnie z Ustawą, grzywna w celu przymuszenia wykonania decyzji może być nałożona dopiero w ostateczności, gdy inne środki egzekucyjne nie wchodzą już w grę. Wynieść ona może do 10 000 zł w przypadku osób fizycznych (do 50 000 zł w przypadku wielokrotnego niewykonania decyzji GIODO) i odpowiednio w stosunku do innych podmiotów niż osoby fizyczne 50 000 zł (i 200 000 zł w przypadku wielokrotnego niewykonania decyzji GIODO). Nałożone i nieuiszczone grzywny podlegają ściągnięciu w trybie egzekucji należności pieniężnych. Co istotne, obowiązek uiszczenia nałożonych grzywien nie przechodzi na spadkobierców lub prawnonabywców administratora danych. Zatem można postawić tezę, iż w razie zbycia (udostępnienia) zbioru danych na rzecz innego administratora danych, na odbiorcę danych, nie przechodzi obowiązek zapłaty grzywny. Jeżeli zdarzy się tak, że administrator danych wykona w międzyczasie decyzję GIODO, nałożone a nieuiszczone lub nieściągnięte grzywny podlegają umorzeniu. Administrator danych, który wykonał decyzję, posiada również uprawnienie, do złożenia wniosku o zwrot uiszczonych lub ściągniętych grzywn w wysokości 75% lub 100%. O zwrocie ww. kwot decydować będzie GIODO.

W kolejnych artykułach omówimy kolejne środki egzekucyjne, które może stosować GIODO.

Kontrola u procesora

Na początku należy wyjaśnić kim jest procesor[1]. Dla przeciętnego „Kowalskiego” wskazane pojęcie oznacza część komputera odpowiedzialną za prędkość obliczeniową. Jednakże w świecie ochrony danych osobowych pojęcie procesora oznacza podmiot, któremu administrator danych powierzył przetwarzanie danych osobowych. Powierzenie danych jest związane z podpisaniem stosownej umowy, która powinna zawierać przynajmniej zakres i cel powierzonych danych osobowych (zgodnie z art. 31 ustawy o ochronie danych osobowych). Co jeszcze należy wpisać do ww. umowy?

Biorąc pod uwagę okoliczność, iż nawet pomimo zawarcia umowy powierzenia, w razie naruszenia zasad ochrony danych osobowych odpowiada administrator danych, w mojej ocenie należy dodać postanowienie regulują kontrolę zasad przetwarzania powierzonych danych osobowych, czyli możliwość skontrolowania czy nasze dane osobowe są przetwarzane zgodnie z ustawą o ochronie danych osobowych. Moje dotychczasowe doświadczenie wskazuje, że nie zawsze podpisanie umowy powierzenia przekłada się na spełnienie wszystkich wymagań w niej zapisanych.

Dlatego właśnie warto skontrolować naszego podwykonawcę, zwłaszcza wtedy gdy przetwarza dane istotne dla naszego funkcjonowania np. w związku z outsouricngiem kadrowym. Dodatkowo, kontrole u procesorów są zaliczane do tzw. „dobrych praktyk” z zakresu ochrony danych osobowych na co również wskazuje GIODO[2].

Od czego zacząć? Pierwszym krokiem jest wpisanie odpowiednich postanowień do umowy powierzenia. Kolejnym etapem jest przeprowadzenie właściwej kontroli.

W porozumieniu z procesorem powinniśmy wyznaczyć osoby biorące udział w kontroli. Następnym elementem jest przygotowanie planu kontroli, który usprawni nam cały proces. W ww. planie powinniśmy wskazać obszary przez nas kontrolowane oraz dokumenty jakich będziemy wymagali od procesora (np. Polityki Bezpieczeństwa Danych Osobowych oraz Instrukcji Zarządzania Systemami Informatycznymi). Podczas samej kontroli powinniśmy się skoncentrować na tym, czy procesor przed rozpoczęciem przetwarzania danych podął środki zabezpieczające powierzony zbiór danych oraz czy spełnił wymagania określone w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. W związku z powyższym, sprawdzamy czy osoby mające dostęp do danych mają wystawione upoważnienia do przetwarzania danych oraz czy podpisały oświadczenia o zachowaniu danych w poufności. Powinniśmy również sprawdzić aktualność ewidencji osób upoważnionych. Kolejnym krokiem jest sprawdzenie, czy nasze dane nie są przekazywane dalej np. powierzane, a jeżeli tak to do jakiego podmiotu trafiają i czy jest podpisana stosowana umowa podpowierzenia. Jeżeli nasze dane osobowe są przetwarzane w systemach informatycznych to należy sprawdzić również te systemy, szczególnie pod kątem konstrukcji haseł oraz spełnienia wymagań z rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.

Na koniec powinniśmy dokonać oględzin miejsca przetwarzania danych osobowych zwracając szczególną uwagę na zabezpieczenia fizyczne i warunki w jakich są przechowywane dane osobowe (czy do obszaru przetwarzania danych nie mają dostępu osoby nieupoważnione).

Końcowym etapem jest przygotowanie notatki podsumowującej naszą kontrolę. Notatka powinna zawierać opis odkrytych uchybień. Notatkę należy przekazać do osób odpowiedzialnych w naszej organizacji za zarządzanie bezpieczeństwem informacji (Zarząd/Dyrektor) oraz można ją przesłać do procesora.



[1] Zwany również „administrującym” sygn. II KKN 438/2000