Ochrona danych osobowych w administracji publicznej - podejście praktyczne

Ochrona danych osobowych to temat nieustannie budzący wątpliwości. Trudno o jednoznaczną wykładnię przepisów. Nawet na stronie samego Generalnego Inspektora Ochrony Danych Osobowych (GIODO) możemy znaleźć sprzeczne ze sobą stanowiska prawne.

Dlaczego tak się dzieje? Z pewnością przyczyn jest co najmniej kilka. Po pierwsze, ustawa o ochronie danych osobowych zawiera bardzo dużą ilość tzw. „klauzul generalnych” – zwrotów niedookreślonych pozostawiających pewien luz decyzyjny interpretującemu. Po drugie, nasza ustawa jest niemal idealną kopią unijnej dyrektywy 95/46 WE. Warto dodać w tym miejscu, że pierwsza liczba oznacza datę powstania dyrektywy. Tak, proszę Państwa, możemy śmiało założyć, że tekst pierwotny ustawy powstawał ponad 17 lat temu! Czy to dużo, czy mało? Dla porównania, tekst pierwotny naszego kodeksu cywilnego powstał w latach 60-tych ubiegłego wieku. Jednak sytuacja związana z ochroną danych osobowych jest trochę inna niż sytuacja norm cywilnoprawnych. Ustawa o ochronie danych osobowych jest pierwszą regulacją prawną w naszym kraju w całości poświęconą tylko temu zagadnieniu. A co całkowicie normalne, każdy prototyp posiada pewną liczbę mankamentów. Tutaj jednak dochodzi jeszcze jedna, niezwykle istotna zmienna - postęp technologiczny. Warto wspomnieć tutaj chociażby o tym, że portal, który w kwestii ochrony danych osobowych „postawił wszystko na głowie”, a więc Facebook, powstał w 2004 roku, czyli prawie 10 lat po wejściu w życie dyrektywy UE! Twórcy dyrektywy nie mogli przewidzieć tego, że dane osobowe obywateli UE będę przetwarzane na serwerach należących do spółki z państwa trzeciego (w tym wypadku USA) na tak masową skalę.

Innym zagadnieniem, obecnie niesłychanie przyciągającym uwagę mediów, jest kwestia wykorzystania systemów identyfikacji za pomocą danych biometrycznych (np. linii papilarnych). W Polsce głośne było orzeczenie I OSK 1476/10 - Wyrok NSA, w którym NSA nakazał Urzędowi Skarbowemu zdemontowanie czytników linii papilarnych zainstalowanych w celu ewidencji czasu pracy.

Wszędzie tam, gdzie przepisy „nie nadążają” za postępem technologicznym, rośnie rola i znaczenie orzecznictwa. Mamy różne orzeczenia, różne stanowiska GIODO i różne stanowiska prezentowane przez specjalistów z zakresu ochrony danych osobowych. Jak więc odnaleźć się w tym gąszczu - nieraz sprzecznych ze sobą - informacji? Na co powinniśmy zwrócić szczególną uwagę, zajmując się zagadnieniem ochrony danych osobowych?

Według mnie największym zagrożeniem dla praktycznego stosowania przepisów ustawy jest koncentrowanie się na mało istotnych szczegółach, które może skutkować pominięciem tego, co najistotniejsze.

Jak więc odnaleźć się w tym gąszczu - nieraz sprzecznych ze sobą - informacji?

Co więc jest najważniejsze z perspektywy funkcjonowania administracji publicznej (i nie tylko)? Przede wszystkim musimy pamiętać o wyznaczeniu Administratora Bezpieczeństwa Informacji (ABI). Wyznaczenie odpowiedniego pracownika bądź outsourcowanie funkcji to już połowa sukcesu. Po pierwsze, jest to wymóg ustawowy, szczególnie skrupulatnie kontrolowany przez GIODO. Po drugie, bez delegowania odpowiednio przeszkolonej osoby do kwestii związanych z ochroną danych osobowych nie ma szans na dopełnienie kolejnych obowiązków.

ABI powinien zająć się przygotowaniem dokumentacji (polityki bezpieczeństwa, instrukcji zarządzania), nadaniem upoważnień do przetwarzania danych osobowych oraz opcjonalnie przeszkoleniem pracowników.

Czy wyżej wymienione obowiązki to tylko kolejny przejaw biurokracji i zbyt restrykcyjnych regulacji unijnych? Tutaj wszystko będzie zależało od… Administratora Bezpieczeństwa Informacji i tego, w jaki sposób podejdzie on do nowych obowiązków.

Jednym z najczęstszych błędów obserwowanych przeze mnie u różnych administratorów danych osobowych jest przygotowywanie zbyt szczegółowych i zbyt skomplikowanych procedur związanych z ochroną danych osobowych. Tymczasem ochrona danych osobowych ma pomagać i być tylko jednym z elementów funkcjonowania urzędu, a nie celem samym w sobie. Zdarzało mi się obserwować administratorów danych hasłujących 15 systemów informatycznych, z których korzystali pracownicy, hasłami o bardzo skomplikowanej składni i wymuszających ich cotygodniową zmianę. Na papierze wszystko wygląda bardzo elegancko – wychodzimy przed szereg i stosujemy restrykcyjne systemy zabezpieczeń. Ale w praktyce kończy się to tak, że na terenie całego urzędu znajdujemy żółte karteczki z zapisanymi hasłami.

Zdarza się też, że Administrator Bezpieczeństwa Informacji zwleka z wdrożeniem polityki bezpieczeństwa, czekając cały czas na dokładny opis zabezpieczeń całego obszaru przetwarzania danych osobowych. Jest problem? Jest rozwiązanie. Szczegółowe i często zmieniające się informacje zalecam „wyrzucić” z polityki bezpieczeństwa i opisać w formie załącznika. W najgorszym wypadku załącznik zostanie sporządzony później, ale dzięki temu nasza polityka bezpieczeństwa zostanie już podpisana przez osobę reprezentującą administratora danych i zacznie funkcjonować.

Warto, aby jak najszybciej zaczęły funkcjonować najważniejsze procedury opisane w polityce bezpieczeństwa. Jakie?

Przede wszystkim nadawanie upoważnień do przetwarzania danych osobowych oraz szkolenia dla osób, które je przetwarzają. Nie ma uniwersalnych procedur dobrych dla każdego administratora danych. Każdy administrator jest inny i wymaga indywidualnego podejścia. W jednym urzędzie sprawdzi się procedura nadawania upoważnień do przetwarzania danych osobowych i szkoleń bezpośrednio przez ABI, gdzie indziej lepiej sprawdzą się szkolenia realizowane przez podmiot zewnętrzny bądź e-learningi. Pamiętajmy również o jednym – świadomość osób przetwarzających dane osobowe to nasza najskuteczniejsza broń przy ich zabezpieczeniu.

Jak donoszą liczne raporty, prawie 90% wycieków danych jest powodowane tzw. „czynnikiem ludzkim”. A więc różne świadome bądź nieświadome działania, w wyniku których możemy utracić dane osobowe, powodowane są brakiem świadomości osób je przetwarzających. Dlatego też zdecydowanie odradzam (czasami jeszcze stosowaną) procedurę tzw. „samoszkolenia”, polegającą na wręczeniu pracownikowi ustawy o ochronie danych osobowych i polityki bezpieczeństwa oraz zebranie jego podpisu poświadczającego zapoznanie się z dokumentami. Taka procedura nie działa i naraża nas na potencjalne ryzyko wycieku danych osobowych.

Warto spojrzeć na system ochrony danych osobowych z perspektywy korzyści. Dobrze przygotowany do pełnienia swojej funkcji ABI będzie pomagał w łagodzeniu różnych konfliktów związanych z prawem do prywatności pracowników bądź interesantów. Aby ABI mógł być aktywny, konieczna jest też jego własna inicjatywa oraz wsparcie osoby reprezentującej administratora danych. Pozostali pracownicy muszą wiedzieć, że ktoś taki jak ABI w urzędzie w ogóle „istnieje” i że mogą się do niego zgłosić w sprawach związanych z prawem do prywatności.

Zakończę artykuł opisem sytuacji, która przydarzyła mi się w trakcie wizyty we właściwym mi urzędzie dzielnicowym. Podczas wypełniania formularza o zmianę wpisu do ewidencji działalności gospodarczej zostałem poproszony o pełną identyfikację i podanie swoich danych osobowych, wraz z dowodem osobistym. Zaraz za mną ustawionych było kilkanaście osób, które czekały na swoją kolej. Jednak czekający stali bardzo blisko mnie i było niemal pewne, że usłyszą wszystkie informacje, o które prosiła mnie urzędniczka. I tutaj spotkało mnie bardzo miłe zaskoczenie, ponieważ pani obsługująca stanowisko poprosiła pozostałe osoby z kolejki o odsunięcie się, ponieważ zależy jej na ochronie danych osobowych interesantów. Podobnie profesjonalne podejście zauważyłem później również na innych płaszczyznach funkcjonowania urzędu. Ludzie doceniają takie szczegóły. Często nawet bardziej niż kwestię tego, czy nasza sprawa zostanie rozpatrzona pozytywnie, czy negatywnie. Wszystkie te detale wpływają na postrzeganie urzędników przez interesantów. Dzięki ochronie danych osobowych mamy więc kolejną szansę na pokazanie się od tej dobrej i pozytywnej strony, do czego wszystkich zachęcam.

Autorem artykułu jest Przemysław Zegarek, Właściciel Lex Artist

DLP expert magazyn
DLP expert 2/2013

Tekst pochodzi z magazynu DLP expert 2/2013 (5)- który bezpłatnie można pobrać ze strony: https://www.dlp-expert.pl/magazine

Źródło: Redakcja