Mnogość i różnorodność – tak najkrócej można scharakteryzować stan regulacji prawnych dotyczących przetwarzania i ochrony danych w naszym kraju. I mimo że jest kilka podstawowych aktów prawnych, które określają zasady postępowania w wybranych, przekrojowych obszarach (takich jak ochrona danych osobowych, prowadzenie dokumentacji finansowo-księgowej), poznanie szczegółowych wymagań odnośnie do – na przykład – czasu przechowywania dokumentów, wymaga zapoznania się z wieloma różnymi, zazwyczaj branżowymi lub dziedzinowymi, przepisami. Nie można wskazać jednej ustawy lub jednego rozporządzenia, w którym byłyby określone kompleksowe, uniwersalne zasady przechowywania i ochrony danych dla wszystkich obszarów funkcjonowania firm i instytucji.

Obecnie dyskusja o prawnych aspektach ochrony danych jest oczywiście zdominowana przez tematy związane z RODO. Nowe, unijne rozporządzenie o ochronie danych osobowych zacznie obowiązywać od maja przyszłego roku. Jego zapisy wywołują jednak wiele pytań i wątpliwości, a nawet kontrowersji. Firmy, które chcą się przygotować do spełnienia przyszłych wymagań muszą już dzisiaj podejmować konkretne działania. A nie jest to wcale proste.

W RODO nie ma bowiem jednoznacznych, ścisłych wytycznych i wymagań dotyczących systemów przetwarzania danych osobowych i ich zabezpieczania. Nie ma też konkretnych ustaleń co do sposobu przechowywania i przetwarzania gromadzonych informacji. Użyte do ochrony narzędzia i systemy mają być po prostu adekwatne do zdiagnozowanych wcześniej ryzyk i zagrożeń. Każde przedsiębiorstwo musi więc przeprowadzić analizę i ocenić, na ile wykorzystywane przez nie rozwiązania odpowiadają aktualnym wyzwaniom i wymogom bezpieczeństwa.

W zamyśle ustawodawcy taki sposób regulacji ma zapewnić uniwersalność przepisów i ich „odporność” na zmiany technologiczne. W praktyce jednak brak jasno sprecyzowanych wymagań oznacza spore wyzwanie zarówno dla dużych, jak i dla małych podmiotów. Każda firma i instytucja musi samodzielnie określić, jakie techniki i poziomy zabezpieczeń są właściwe dla prowadzonego przez nią rodzaju działalności, charakteru posiadanych zbiorów danych osobowych, sposobów ich wykorzystania oraz sytuacji na rynku. Musi również wprowadzić odpowiednie mechanizmy i procedury postępowania z danymi.

Z punktu widzenia firm świadczących usługi przetwarzania danych (tzw. procesorów) ważne jest, że muszą zagwarantować administratorom danych (czyli zlecającym ich przetwarzanie podmiotom) należyty poziom zabezpieczeń przetwarzania danych w swoich systemach. Oznacza to, że muszą przystosować do wymogów RODO nie tylko wewnętrzne systemy i procesy ochrony danych osobowych, lecz również infrastrukturę i rozwiązania służące do wykonywania usług przetwarzania danych osobowych. I znowu: przepisy nie mówią, jakie dokładnie wymogi mają spełnić te systemy. Nakazują tylko, by gwarantowały właściwy poziom bezpieczeństwa przetwarzanych informacji.

 

Regulacje made in Poland

Być może sytuacja stanie się bardziej klarowna po uchwaleniu ustawy o ochronie danych osobowych. Jej projekt został przygotowany przez Ministerstwo Cyfryzacji. Wśród zadań przypisanych prezesowi Urzędu Ochrony Danych Osobowych, który ma zastąpić GIODO, jest wydawanie rekomendacji dotyczących sposobów zabezpieczania danych osobowych. Mają uwzględniać specyfikę danego rodzaju działalności, a ich opracowanie ma być konsultowane z zainteresowanymi podmiotami z poszczególnych sektorów gospodarki. Będą w nich określone środki techniczne i organizacyjne niezbędne do zapewnienia bezpieczeństwa przetwarzania danych osobowych.

Prezes UODO będzie również zatwierdzał i udostępniał standardowe klauzule umowne, reguły korporacyjne oraz kodeksy postępowania w sprawach związanych z ochroną danych osobowych. Do jego kompetencji będzie należało także prowadzenie kontroli i nakładanie kar za niespełnienie wymogów RODO. Przedstawiciele Ministerstwa Cyfryzacji podkreślają, że w praktyce równie istotnym zadaniem nowego organu będzie edukowanie i wspomaganie firm w staraniach na rzecz należytego wykonywania  obowiązków zawartych w unijnym rozporządzeniu.

 

Wspólna podstawa plus przepisy sektorowe

Znaczenie rozstrzygnięć związanych z RODO jest ważne również dlatego, że z przepisów o ochronie danych osobowych wynika wiele innych regulacji dotyczących ochrony i przetwarzania danych w różnych obszarach działalności biznesowej i publicznej.

Tak jest chociażby w przypadku danych medycznych. W obowiązującej ustawie o ochronie danych osobowych są one określone wprost jako wrażliwe. W związku z tym przepisy dotyczące ich ochrony mają bezpośrednie zastosowanie do działalności związanej z prowadzeniem dokumentacji medycznej w placówkach ochrony zdrowia. Szczegółowe zasady korzystania z danych medycznych zostały dodatkowo określone w ustawie o prawach pacjenta i rzeczniku praw pacjenta, w ustawie o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych oraz w ustawie o wykonywaniu zawodu lekarza i lekarza dentysty. Wymagania dotyczące systemów informatycznych służących do przetwarzania danych medycznych znalazły się z kolei w ustawie o systemie informacji w ochronie zdrowia. Warto też zauważyć, że obowiązujące w Polsce prawo pozwala obecnie na oddanie przetwarzania danych medycznych w outsourcing.

Jak długo trzeba przechowywać dokumenty firmowe

Jednym z ważniejszych aktów prawnych określających zasady przechowywania dokumentacji firmowej jest ustawa o rachunkowości. Wynika z niej, że zatwierdzone roczne sprawozdania finansowe firmy muszą przechowywać w sposób trwały. Księgi rachunkowe powinny być dostępne przez 5 lat. Na taki sam okres należy również zabezpieczyć m.in. dowody księgowe dotyczące pożyczek, kredytów i umów handlowych, roszczeń dochodzonych w postępowaniu cywilnym lub objętych postępowaniem karnym albo podatkowym oraz dokumentację przyjętego sposobu prowadzenia ksiąg rachunkowych i dokumenty inwentaryzacyjne.

Według przepisów ordynacji podatkowej, podatnicy powinni przechowywać księgi podatkowe i związane z nimi dokumenty do czasu upływu okresu przedawnienia zobowiązania podatkowego. Przedawnia się ono z upływem 5 lat, licząc od końca roku kalendarzowego, w którym upłynął termin płatności podatku. Termin przechowywania może zostać wydłużony, gdy przykładowo bieg terminu przedawnienia ulegnie zawieszeniu.

Dokumentacja pracownicza (np. listy płac, karty wynagrodzeń albo inne dowody, na podstawie których ustalana jest podstawa wymiaru emerytury lub renty) musi być przechowywana przez 50 lat od dnia zakończenia pracy przez ubezpieczonego. Wynika to z ustawy o emeryturach i rentach. Okres przechowywania kopii deklaracji rozliczeniowych i imiennych raportów miesięcznych przez płatnika składek określa natomiast ustawa o systemie ubezpieczeń społecznych. Muszą być dostępne w firmie przez 5 lat od dnia ich przekazania do ZUS. W stosunku do dokumentów przekazanych do ZUS przed 1 stycznia 2012 r. obowiązuje jednak 10-letni okres ich przechowywania.

 

Z podobną sytuacją mamy do czynienia w oświacie. Tutaj również przetwarzane dane mają głównie charakter danych osobowych i sposób ich wykorzystania musi być zgodny z odpowiednimi przepisami. A przetwarzaniu podlegają nie tylko dane uczniów, ale też dane rodziców i opiekunów dzieci, chociażby zaświadczenia o wysokości zarobków. Szczegółowe zasady przetwarzania i korzystania z danych zawartych w dziennikach lekcyjnych, w tym dziennikach elektronicznych, i innej dokumentacji szkolnej reguluje rozporządzenie Ministra Edukacji Narodowej w sprawie sposobu prowadzenia przez publiczne przedszkola, szkoły i inne placówki dokumentacji przebiegu nauczania, działalności wychowawczej i opiekuńczej oraz rodzajów tej dokumentacji. Szkołom przysługuje z mocy prawa możliwość przetwarzania danych osobowych uczniów bez pytania ich samych lub rodziców o zgodę.

Przepisy o ochronie danych osobowych mają zastosowanie także w przypadku ewidencji gruntów i budynków (EGiB). Jej prowadzenie leży zazwyczaj w gestii starostów powiatów, którzy mogą przekazać to zadanie wójtom, burmistrzom lub prezydentom miast. Oprócz informacji dotyczących np. wymiarów działki czy budynku i materiałów użytych do budowy, ewidencja zawiera także informacje na temat właścicieli i współwłaścicieli opisanych nieruchomości. Te dane muszą być zabezpieczane zgodnie z przepisami o ochronie danych osobowych. Sposoby przetwarzania innych danych określają odrębne przepisy dotyczące dokumentacji geodezyjnej bądź funkcjonowania organów administracji publicznej (np. w zakresie udostępniania i wymiany danych).

>>> Trzy  pytania do…

mecenasa Macieja Gawrońskiego, partnera zarządzającego Kancelarii Prawnej Gawroński & Partners

CRN Technologie informatyczne umożliwiają gromadzenie i bezterminowe przechowywanie praktycznie wszystkich danych. Pytanie, czy RODO będzie na to pozwalało?

Maciej Gawroński Podstawową zasadą, na której opierają się przepisy RODO, jest zasada minimalizacji. Nie można zbierać zbyt wielu danych, nie można ich przechowywać za długo i nie może mieć do nich dostępu zbyt wiele osób. O ile nie ma konkretnej podstawy prawnej, dane osobowe mogą być przetwarzane tylko za zgodą osób, których dotyczą, i tylko wtedy, gdy jest to rzeczywiście potrzebne. To określa długość przechowywania danych osobowych. Co jakiś czas trzeba będzie sprawdzać, czy te dane są faktycznie jeszcze potrzebne.

 

CRN Na kim spoczywa odpowiedzialność za spełnienie wynikających z RODO wymogów dotyczących rozwiązań informatycznych?

Maciej Gawroński Obowiązek zapewnienia bezpieczeństwa danych osobowych będzie spoczywał nie tylko na administratorze danych, czyli firmie, która wykorzystuje je w swojej działalności, ale także na procesorze, czyli podmiocie, który te dane przetwarza, oraz na podprocesorze, czyli podwykonawcy, któremu procesor zlecił przetwarzanie danych osobowych.

Procesor będzie mógł być pociągnięty do odpowiedzialności za niezapewnienie odpowiedniego poziomu bezpieczeństwa w swoich systemach przetwarzania danych osobowych, tak samo jak i administrator. Również w przypadku szkody wyrządzonej osobie fizycznej. Przetwarzający dane osobowe może zostać ukarany za to, że nie zapewnił adekwatnych – technicznych i organizacyjnych –  środków bezpieczeństwa danych.

 

CRN Jak przetwarzający dane osobowe powinni zabezpieczyć działalność, by być w zgodzie z nowymi przepisami?

Maciej Gawroński Podmioty świadczące usługi przetwarzania danych osobowych muszą korzystać ze sprawdzonych, wiarygodnych dostawców i partnerów. Resellerzy i integratorzy powinni też wymuszać na swoich partnerach spełnianie wymogów bezpieczeństwa wynikających z przepisów RODO. Przetwarzający dane osobowe muszą, tak samo jak administratorzy, robić analizę ryzyka związanego z prowadzoną działalnością i na jej podstawie dobierać odpowiednie środki i rozwiązania wykorzystywane do świadczenia usług. Do procesorów należy obowiązkowa weryfikacja legalności zleceń otrzymywanych od administratorów. W razie kontroli będą musieli udokumentować, że ich działalność jest prowadzona na zlecenie działającego zgodnie z prawem administratora danych osobowych.

Podstawą RODO jest zasada rozliczalności, a więc rozliczanie się ze zgodności z RODO. To można osiągnąć tylko przez odpowiednią analizę zgodności z RODO. Kwestionariusz gotowości może liczyć 130 pytań, lista wymogów zawierać około 50 pozycji, lista produktów – około 140, komplet regulacji wewnętrznych i wzorów – np. 60 pozycji. Pełna lista audytorska to około 600 pytań. Zatem wyzwanie jest spore.

 

Trudno obecnie powiedzieć, które ze szczegółowych rozstrzygnięć dotyczących przetwarzania danych osobowych będą obowiązywać w przyszłości. Projekt nowej ustawy przewiduje bowiem propozycje zmian przepisów sektorowych w ponad 130 ustawach. Jedna z propozycji dotyczy na przykład skrócenia czasu przechowywania dokumentacji pracowniczej z 50 do 5 lat.

 

Firma musi mieć archiwum

Zasady gromadzenia i przechowywania, czyli archiwizacji dokumentacji w instytucjach publicznych, w szczegółowy sposób regulują odrębne przespisy. Mówi o tym ustawa o narodowym zasobie archiwalnym i archiwach. Podlegają jej również zbiory dokumentów elektronicznych wytwarzanych zgodnie z przepisami ustawy o informatyzacji działalności podmiotów realizujących zadania publiczne.

W przedsiębiorstwach prywatnych przechowywanie dokumentów, również tych w postaci cyfrowej, podlega ustawom dotyczącym poszczególnych obszarów działalności biznesowej. Zalicza się do nich m.in. ordynację podatkową, ustawę o rachunkowości, przepisy o ubezpieczeniu społecznym i dotyczące zatrudnienia pracowników. Przepisy określające okres obowiązkowego przechowywania dokumentów zawierają bardzo zróżnicowane wymagania. Jego długość zależy od rodzaju dokumentu, dziedziny, której dotyczy, jego znaczenia dowodowego, a często także relacji z innymi szczegółowymi regulacjami branżowymi. Generalnie waha się od kilku do kilkudziesięciu lat. Jedne rodzaje dokumentów można zniszczyć po określonym czasie, inne powinny być dostępne przez cały okres istnienia przedsiębiorstwa. Niektóre muszą być nawet przechowywane bezterminowo. A wszystko to dotyczy zarówno dokumentów papierowych, jak i tych w formie elektronicznej.

Przesłanki regulacji zasad przetwarzania danych w firmie wynikają też z kodeksu cywilnego. Chodzi tu głównie o przepisy dotyczące przedawnień. Mówią one m.in., że jeśli klient czy kontrahent firmy jest już nieaktywny, to dotyczące go dane tracą znaczenie i należy je usunąć. Jeśli zostały wyłączone możliwości dochodzenia roszczeń, ustały też powody do przetwarzania danych.

Dominik Łabiński

BPO/BPS Business Development Manager, Xerox

Według IDC w 2018 r. jedna trzecia wydatków na bezpieczeństwo informatyczne będzie dotyczyła dostosowania systemów i procesów do nowych wymogów ochrony danych osobowych. Potwierdzają to nasze obserwacje. Znacznie zwiększyło się zainteresowanie klientów rozwiązaniami do digitalizacji i bezpiecznego przechowywania dokumentów. Firmy poszukują przede wszystkim aplikacji, które umożliwią automatyczne zarządzanie regułami przechowywania danych osobowych oraz zapewnią ochronę przed nieautoryzowanym dostępem, niepożądaną modyfikacją i kradzieżą. Główny nurt dyskusji o RODO koncentruje się na infrastrukturze systemowej i danych zgromadzonych w aplikacjach informatycznych. Pomijany jest temat dokumentów przechowywanych w formie papierowej. Wiele firm ma duże archiwa skatalogowane w sposób, który często utrudnia, a nawet uniemożliwia dotarcie do wszystkich danych klienta. W tej sytuacji konieczna jest inwentaryzacja takich zasobów, co jest pracochłonne i kosztowne. Stąd duże zainteresowanie podpisem cyfrowym, który umożliwia zawieranie umów od razu w formie elektronicznej.

Zdaniem integratora

• Janusz Kaszuba, dyrektor ds. konsultingu, Engave

Większość podmiotów skupia się obecnie na interpretacjach RODO i projekcie nowelizacji ustawy o ochronie danych osobowych. Istnieje jednak wiele innych aktów prawnych, które określają zasady bezpieczeństwa informacji w różnych obszarach. Prawo krajowe jest pod tym względem mocno rozbudowane, ale też mało spójne. Warto wykorzystać zainteresowanie tematyką RODO jako pretekst do szerszego spojrzenia na kwestie bezpieczeństwa systemów informatycznych. Dane osobowe są niezwykle istotne, ale skuteczną ochronę trzeba zapewnić także innym informacjom. Do bezpieczeństwa należy podejść kompleksowo. Przy okazji tworzenia zabezpieczeń danych osobowych warto zadbać o ochronę innych obszarów: unikalnych technologii i receptur, know-how, danych finansowych itp. Warto też zrobić swoisty remanent systemu ochrony danych osobowych pod kątem produktów, które będą oferowane klientom.

 

Najlepszy jest klucz branżowy

Firmy, które są zainteresowane świadczeniem usług w dziedzinie przetwarzania danych, muszą na bieżąco śledzić związane z tym przepisy. Najlepiej zastosować do tego klucz branżowy lub dziedzinowy. Liczba przepisów jest tak duża, że nie sposób dokładnie orientować się we wszystkich.

Wśród wielu specyficznych regulacji branżowych można wymienić te dotyczące zasad zachowania tajemnicy, np. bankowej, lekarskiej, adwokackiej, dziennikarskiej czy ubezpieczeniowej. Zasady korzystania z danych w relacjach biznesowych określają z kolei przepisy ustawy o zwalczaniu nieuczciwej konkurencji. Sposoby udostępniania strategicznych informacji o działalności firmy czy instytucji publicznej i organów państwa reguluje ustawa o tajemnicy państwowej i służbowej. Z kolei możliwości dysponowania danymi o klientach i kontrahentach określone są w przepisach o tajemnicy handlowej.

Także przepisy odnoszące się do outsourcingu zarządzania danymi zawarte są najczęściej w regulacjach branżowych. Nie ma jednego, uniwersalnego aktu prawnego dotyczącego outsourcingu czy przetwarzania informacji w chmurze. Przykładowo, zapisy w odniesieniu do administracji publicznej można znaleźć w ustawie o zamówieniach publicznych, a w odniesieniu do banków – w prawie bankowym.

W związku z upowszechnianiem się technik informacyjnych niemal każda nowo uchwalana ustawa wprowadza mniej lub bardziej szczegółowe wymogi dotyczące tworzenia, gromadzenia, przetwarzania, przechowywania i zabezpieczania danych. W praktyce najlepiej więc wyspecjalizować się w konkretnej dziedzinie lub obszarze przetwarzania danych lub zdobywać wiedzę na ten temat sukcesywnie, w miarę pojawiających się potrzeb rynkowych. Przynajmniej do momentu upowszechnienia się takiego sposobu regulacji przetwarzania i ochrony danych, jaki został zastosowany w RODO.

 

Spoza granic

Warto znać także regulacje, które nie mają mocy w Polsce, ale mogą być punktem odniesienia dla niektórych firm działających w naszym kraju. Takim przepisem jest na przykład amerykańska ustawa SOA (Sarbanes-Oxley Act). Bazuje na zasadzie, że nie wolno z systemu usuwać danych istotnych. Formalnie polskie przedsiębiorstwa nie są zobligowane do jej przestrzegania. W praktyce czasami zdarza się jednak, że amerykańskie koncerny wymagają tego od swoich polskich spółek-córek. Oczywiście, pod warunkiem, że związane z tym wymagania nie stoją w sprzeczności z prawem obowiązującym w naszym kraju.

Innym rodzajem regulacji, które zyskują moc dopiero od pewnego etapu ich wdrażania, są dyrektywy unijne stanowione wspólnie przez Parlament Europejski oraz Radę Unii Europejskiej. Określone w nich zalecenia i zasady postępowania nie są obowiązujące, dopóki nie zostaną właczone do porządku prawnego w danym kraju. Poszczególne państwa członkowskie mają swobodę wyboru konkretnych rozwiązań. Gdyby jednak nie dokonały implementacji, według Europejskiego Trybunału Sprawiedliwości obywatel ma prawo powoływać się na dyrektywę wobec niezgodnych z nią przepisów prawa krajowego. W związku z tym, że dyrektywa zawiera tylko ogólne zasady, nie zawsze tę niezgodność da się łatwo wykazać.