Zgłoszenie zbioru danych osobowych do GIODO to dopiero początek obowiązków
Kolejne przypadki wycieku danych osobowych ze zbiorów danych nie tylko serwisów społecznościowych i banków pokazują, że nie sztuką jest dane osobowe zebrać i zgłosić zbiór do GIODO, ale konieczne jest odpowiednie zabezpieczenie tych zbiorów, wyznaczenie osób odpowiedzialnych za ochronę danych osobowych oraz stworzenie dokumentacji, która nie będzie zbiorem pustych zapisów, ale będzie istotnym elementem zapewniającym należytą ochronę danych osobowych. W szczególności istotne jest, by taka dokumentacja była stale aktualizowana, np. o nowe upoważnienia dla osób dopuszczonych do przetwarzania danych osobowych, o kolejne umowy o powierzenie przetwarzania danych etc.
Jeżeli dane osobowe są przetwarzane w systemie informatycznym, znajdują zastosowanie przepisy Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. z 2004 Nr 100, poz. 1024). Polecam jego lekturę tym wszystkim, którzy działają w sferze Internetu i w taki, czy inny sposób zbierają lub wykorzystują (w języku ustawy: przetwarzają) dane osobowe.
To, o czym każdy administrator serwisu internetowego, który przetwarza dane osobowe, powinien wiedzieć, to wymóg wprowadzenia tzw. wysokiego poziomu bezpieczeństwa przetwarzania danych osobowych w systemie informatycznym, jeśli przynajmniej jedno urządzenie systemu informatycznego, służącego do przetwarzania danych osobowych, połączone jest z siecią publiczną. Innymi słowy, każdy serwis społecznościowy (jego administrator) ma obowiązek zastosowania środków technicznych i organizacyjnych właściwych dla poziomu wysokiego bezpieczeństwa danych osobowych.
I tu przechodzimy do magicznego zgłoszenia zbioru danych do GIODO, które w opinii wielu administratorów serwisów 'załatwia’ sprawę ochrony danych osobowych. Tyle tylko, że na ostatniej stronie zgłoszenia widnieje wykaz środków technicznych i organizacyjnych, które ma obowiązek zastosować dokonujący zgłoszenia. Jeśli zbiór danych jest prowadzony w systemie informatycznym, obowiązkowe jest zastosowanie wszystkich wskazanych w pkt 16 zgłoszenia środków technicznych i organizacyjnych. Czyli dokonujący zgłoszenia oświadcza, że np. wyznaczył administratora bezpieczeństwa informacji (ABI), prowadzi ewidencję osób upoważnionych do przetwarzania danych, wdrożył dokumentację pod nazwą polityka bezpieczeństwa oraz instrukcję zarządzania systemem informatycznym.
Praktyka jest taka, że zgłoszenie, dla świętego spokoju, się wysyła, a środków technicznych i organizacyjnych nikt nie wprowadza. Nikt nie wie, co to takiego. I nagle zdarza się wyciek danych….
Wtedy administrator serwisu zaczyna gorączkowo szukać pomocy i zastanawia się, co mu grozi.
W tym czasie działania wobec niego podejmuje GIODO. Może on wszcząć kontrolę w danej firmie, zażądać w toku kontroli wyjaśnień, okazania dokumentów, umożliwienia dokonania oględzin urządzeń, nośników i systemów informatycznych etc. W razie stwierdzenia naruszenia przepisów o ochronie danych osobowych GIODO może nakazać, np. zastosowanie dodatkowych środków zabezpieczających dane osobowe albo nawet usunięcie danych. Ponadto na podstawie ustaleń kontroli inspektor (pracownik biura GIODO) może żądać wszczęcia postępowania dyscyplinarnego lub innego przewidzianego prawem postępowania przeciwko osobom winnym dopuszczenia do uchybień i poinformowania go, w określonym terminie, o wynikach tego postępowania i podjętych działaniach.
Marcin w swoim ostatnim poście – Administrator serwisu nie zawsze jest administratorem danych osobowych – trafnie zauważył, że nie zawsze administrator serwisu internetowego jest administratorem danych osobowych. Co nie zmienia faktu, że w przypadku, gdy przetwarza on dane osobowe na innej podstawie, np. umowy o powierzenie przetwarzania danych, również może zostać skontrolowany przez GIODO i może stać się adresatem decyzji wydanych przez GIODO.
Ponadto, w razie stwierdzenia, że działanie lub zaniechanie kierownika jednostki organizacyjnej, jej pracownika lub innej osoby fizycznej będącej administratorem danych wyczerpuje znamiona przestępstwa określonego w ustawie, GIODO kieruje do organu powołanego do ścigania przestępstw zawiadomienie o popełnieniu przestępstwa, dołączając dowody dokumentujące podejrzenie (zob. art. 19 ustawy o ochronie danych osobowych).
Warto wiedzieć, że wszystkie czyny naruszające przepisy ustawy o ochronie danych osobowych są kwalifikowane jako przestępstwa i podlegają ściganiu z urzędu.
Ponadto nieprawdziwe oświadczenie objęte zgłoszeniem zbioru danych do GIODO może zostać ewentualnie zakwalifikowane jako poświadczenie nieprawdy (tzw. fałsz intelektualny), czyli przestępstwo z art. 271 Kodeksu karnego.
Ponadto, w razie wycieku danych osobowych, zwłaszcza gdy nie były one należycie zabezpieczone, administrator serwisu musi liczyć się z potencjalnymi pozwami o naprawienie szkody wyrządzonej na skutek wycieku danych. A to może skutkować sporymi kosztami obrony w sądach oraz potencjalnymi odszkodowaniami zasądzonymi powodom.
W związku z tym, że wszelkie obowiązki związane z należytym zabezpieczeniem danych osobowych obciążają administratorów danych oraz podmioty przetwarzające na innej podstawie dane osobowe (dotyczy to wielu administratorów serwisów internetowych), warto wydatkować pewne środki – nawet w dłuższym odcinku czasu, ale regularnie – na wprowadzenie odpowiednich środków technicznych i organizacyjnych (pomoc informatyczna i prawna). Można w ten sposób zaoszczędzić sobie wysokich i nieprzewidzianych wydatków na ekspresową pomoc prawną w toku kontroli GIODO lub procesów odszkodowawczych oraz na poprawę nadszarpniętej renomy po wycieku danych.