Zabezpieczenie danych kadrowych

Zgodnie z art. 36 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, administrator danych osobowych zobowiązany jest do zapewnienia ochrony przetwarzanych danych osobowych, a dokładnie do „zastosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności do zabezpieczenia danych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem”. Obowiązek ten dotyczy wszystkich danych osobowych, jakie są przetwarzane przez administratora danych.

Zabezpieczenie danych powinno być, jak wynika z powyżej przytoczonego ustępu, proporcjonalne do zagrożeń i kategorii przetwarzanych danych osobowych. Jeżeli chodzi o dane kadrowe administrator danych powinien pamiętać, że są to dane obejmujące bardzo szeroki zakres danych o wysokiej kategorii i powinny one być stosownie zabezpieczone. Szczegółowe warunki zabezpieczenia danych osobowych opisane zostały w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.

Środki organizacyjne

Administrator danych powinien zadbać o to, aby dane kadrowe były pozyskiwane i przetwarzane zgodnie z przepisami prawa, czyli pozyskane legalnie, wykorzystywane tylko w określonym celu, zabezpieczone przed nieuprawnionymi zmianami, zabezpieczone przed ujawnieniem nieupoważnionym osobom, zniszczeniem, utratą lub uszkodzeniem. Zabezpieczenia możemy podzielić na zabezpieczenia organizacyjne oraz techniczne. Jednym ze środków organizacyjnych jest prowadzenie przez administratora danych dokumentacji opisującej sposób przetwarzania danych oraz podjęte środki organizacyjne i techniczne. Dokumentacja, o której mowa to polityka bezpieczeństwa oraz instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych.

Kolejną czynnością, która może przyczynić się do zwiększenia bezpieczeństwa danych osobowych jest wyznaczenie administratora bezpieczeństwa informacji, który będzie odpowiedzialny w szczególności za nadzorowanie procesu przetwarzania danych (wyznaczenie ABI jest opcjonalne, tzn. nie jest obowiązkiem). Administrator danych powinien pamiętać, że zgodnie z art. 36a ust. 5 ustawy o ochronie danych osobowych administrator bezpieczeństwa informacji powinien:

  • Mieć pełną zdolność do czynności prawnych oraz korzystać z pełni praw publicznych,
  • Posiadać odpowiednią wiedzę w zakresie ochrony danych osobowych,
  • Nie być karany za umyślne przestępstwo.

Ponadto administrator bezpieczeństwa informacji powinien podlegać bezpośrednio kierownikowi jednostki organizacyjnej albo osobie fizycznej będącej administratorem danych. Administrator danych musi dodatkowo zapewnić środki i organizacyjną odrębność dla ABI niezbędne do niezależnego wykonywania przez niego zadań. Z racji na brak konkretnej formy powołania ABI, spełniać on może swoje obowiązki na podstawie umowy o pracę albo innego stosunku cywilnoprawnego, przy czym sam fakt wyznaczenia ABI najlepiej udokumentować w formie pisemnej. W przypadku niepowołania administratora bezpieczeństwa informacji i niezgłoszenia go do rejestru prowadzonego przez GIODO, to na administratorze danych ciążyć będzie obowiązek wypełniania ustawowych zadań administratora bezpieczeństwa informacji.

Do przetwarzania danych kadrowych, mogą być dopuszczone te osoby, które posiadają nadane przez administratora danych pisemne upoważnienie do ich przetwarzania. Należy tu pamiętać, że samo przeglądanie danych jest również ich przetwarzaniem. Osoby przetwarzające dane kadrowe powinny dodatkowo zostać zobowiązane do zachowania tych danych oraz sposobów ich zabezpieczenia w tajemnicy. Administrator danych zobowiązany jest również do prowadzenie ewidencji takich osób aktualizowanej na bieżąco.

Kolejnym obowiązkiem administratora danych jest kontrola nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane. Obowiązek ten dotyczy każdej postaci przetwarzania danych osobowych, czyli postaci tradycyjnej dokumentów jak i danych przetwarzanych w formie elektronicznej.

Wersje papierowe dokumentów zawierających dane kadrowe powinny być przechowywane w zamykanej szafie, a dokumenty niezbędne do bieżącej pracy, niepozostawiane na biurku na czas nieobecności osoby upoważnionej. Administrator danych powinien zadbać o to, aby dane kadrowe były przetwarzane w pomieszczeniu, w którym przebywają wyłącznie osoby upoważnione do ich przetwarzania. Należy pamiętać o tym, że te same wymogi należy stosować w stosunku do danych kadrowych przechowywanych w archiwum.

Obszar, w którym przetwarzane są dane kadrowe powinien być zabezpieczony przed dostępem osób nieuprawnionych na czas nieobecności w nim osób upoważnionych do przetwarzania danych osobowych. Przebywanie osoby nieuprawnionej w takim obszarze powinno być możliwe wyłącznie za zgodą administratora danych lub w obecności osoby upoważnionej do przetwarzania danych. Administrator danych powinien w tym miejscu pamiętać, że np. osoby sprzątające biuro, są osobami nieuprawnionymi do przetwarzania danych osobowych.

Środki techniczne

Jeżeli dane kadrowe przetwarzane są również za pomocą systemów informatycznych, do których dostęp posiada więcej niż jedna osoba, to administrator danych powinien nadać odrębny identyfikator dla każdej posiadającej do nich dostęp osoby, a identyfikator osoby, która utraciła dostęp do systemu informatycznego, nie może zostać przydzielony kolejnej osobie. Dodatkowo każdy system informatyczny, za pomocą którego są przetwarzane dane osobowe (w tym kadrowe) powinien być zabezpieczony odpowiednio skomplikowanym hasłem. Jest to jeden ze środków umożliwiających administratorowi danych kontrolowanie dostępu do danych kadrowych. Stosowanie haseł jest najczęściej stosowaną metodą, jeżeli chodzi o zabezpieczenie systemu informatycznego.

System informatyczny może być zabezpieczony z wykorzystaniem karty magnetycznej, karty mikroprocesorowej tokenu, technologii biometrycznych, itp. Jeżeli chodzi o wykorzystywanie metody uwierzytelniania, bazującej na identyfikatorze użytkownika i haśle to należy pamiętać, że długość hasła nie może być krótsza niż 6 lub 8 znaków w zależności od poziomu bezpieczeństwa wynikającego z Rozporządzenia, a jego zmiana musi następować nie rzadziej niż co 30 dni.

W przypadku, kiedy pracownicy administratora danych, korzystają z komputerów przenośnych, nośników zewnętrznych (pendrive, dysk zewnętrzny), na których znajdują się dane osobowe, administrator danych powinien stworzyć stosowne procedury określające sposób transportu, przechowywania, użytkowania i postępowania z takimi urządzeniami. Jeżeli, któreś z tych urządzeń zostanie przeznaczone do naprawy lub do likwidacji powinno ono zostać pozbawione zapisanych na nich danych w sposób uniemożliwiający ich odtworzenie. Wymagania te dotyczą również urządzeń przeznaczonych do naprawy. W przypadku problemu z usunięciem danych naprawa może być dokonywana wyłącznie pod nadzorem osoby upoważnionej przez administratora danych lub po zawarciu stosownej umowy z firmą, która takiej naprawy będzie dokonywała.

Administrator danych, który przetwarza dane osobowe swoich pracowników w systemie informatycznym, powinien zapewnić, aby ten system (z wyjątkiem systemów służących wyłącznie do edycji tekstu) zapewniał możliwość odnotowania:

  • daty pierwszego wprowadzenia danych do systemu,
  • identyfikatora użytkownika, który te dane wprowadził,
  • źródła danych (gdy dane nie były zebrane od osoby, której dotyczą),
  • informacji o odbiorcach, którym te dane zostały udostępnione, dacie i zakresie tego udostępnienia,
  • sprzeciwu na przetwarzanie danych (w przypadkach, wymienionych w art. 23 ust. 1 pkt 4 i 5 Ustawy) w celach marketingowych lub na przekazywanie innemu administratorowi danych.

Systemy informatyczne rzadko posiadają wszystkie podane wyżej funkcjonalności, dlatego dopuszczalnym rozwiązaniem jest w przypadku realizacji dwóch ostatnich wymogów, skorzystanie z innego systemu, tak aby ostatecznie spełnić wszystkie wymogi.
System informatyczny, za pomocą którego administrator danych przetwarza dane kadrowe, powinien być zabezpieczony przed szkodliwym oprogramowaniem (system antywirusowy, firewall, itp.) oraz przed awarią zasilania lub innych zakłóceń w sieci zasilającej, które mogą spowodować utratę danych. W przypadku, gdy dane kadrowe są przesyłane w sieci publicznej, administrator danych powinien zapewnić, aby te dane były szyfrowane.

Administrator danych powinien wykonywać kopię zapasową danych osobowych przetwarzanych za pomocą systemu informatycznego, która powinna być przechowywana w odpowiednio zabezpieczonym miejscu, do którego dostęp posiadają wyłącznie osoby upoważnione oraz niszczona w przypadku ustania jej przydatności.

Administrator danych powinien pamiętać, ze jeżeli chce skorzystać w usług firmy zewnętrznej, w celu powierzenia jej niektórych obowiązków związanych z przetwarzaniem danych kadrowych (hosting, biuro rachunkowe, archiwum, itp.) powinien wybrać firmę, która również spełnia opisane powyżej wymagania oraz zawrzeć z nią stosowną umowę z takim podmiotem.

Opisane wymagania, jeżeli zostaną wdrożone, będę przestrzegane oraz aktualizowane na bieżąco, pozwolą zapewnić bezpieczeństwo przetwarzanych danych kadrowych oraz uchronią administratora danych przed konsekwencjami wynikającymi z przepisów prawa, za nieodpowiednie przetwarzanie danych osobowych.

Autor:

Maria Lothamer

Informatyk i audytor, partner zarządzający w firmie iSecure Sp. z o.o., specjalizującej się w doradztwie z zakresu ochrony danych osobowych.

Dodaj komentarz