Zarejestruj się i uzyskaj dostęp do licznych narzędzi

Konsekwencje dla zarządów spółdzielni mieszkaniowych w Polsce w myśl nowelizacji ustawy o ochronie danych osobowych - część 2

15/02/2016

W niniejszej części zostanie przedstawiony sposób realizacji wymogu przeprowadzania okresowych sprawdzeń zgodności przetwarzania danych osobowych w spółdzielniach mieszkaniowych. Artykuł został zamieszczony na łamach ogólnopolskiego miesięcznika "Domy Spółdzielcze" (nr 1, styczeń 2016 r.).


 

Okresowe sprawdzenia zgodności przetwarzania danych osobowych

 

Kluczowym zadaniem, jakie należy realizować zgodnie z wytycznymi znowelizowanych przepisów,jest  przeprowadzanie sprawdzeń, które mają na celu ustalenie czy spółdzielnia mieszkaniowa spełnia poszczególne wymagania ustawy o ochronie danych osobowych. Sposób i tryb przeprowadzania sprawdzeń został określony w Rozporządzeniu Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji (Dz. U. z 25 maja 2015 r., poz. 745). Jak wskazuje sam tytuł rozporządzenia, ustawodawca przyjął, iż w pierwszej kolejności zadanie to realizuje Administrator Bezpieczeństwa Informacji, jednakże wobec jego niewyznaczenia odpowiedzialność za przeprowadzanie sprawdzeń ponosi zarząd spółdzielni.

 

Zgodnie z wytycznymi wskazanymi w Rozporządzeniu spółdzielnia musi przeprowadzać następujący rodzaj sprawdzeń:
 

  • planowe – w oparciu o opracowany plan sprawdzeń; jest to jedyny rodzaj sprawdzeń, który można zaplanować „z góry” i zrealizować zgodnie z opracowanym planem;
  • doraźne – należy je przeprowadzać w sytuacji powzięcia wiadomości o naruszeniu zasad ochrony danych osobowych w spółdzielni lub uzasadnionego podejrzenia takiego naruszenia; chodzi więc o reagowanie na „incydenty” i zagrożenia dla bezpieczeństwa danych osobowych,
  • realizowane na żądanie Generalnego Inspektora Ochrony Danych Osobowych – możliwe tylko w przypadkach, gdy zarząd spółdzielni powoła Administratora Bezpieczeństwa Informacji; w takim wypadku GIODO może zwrócić się do ABI spółdzielni o przeprowadzenie sprawdzenia we własnym zakresie, co w praktyce może uchronić spółdzielnię przed przeprowadzeniem typowej kontroli przez inspektorów GIODO.

 

Najistotniejszym rodzajem sprawdzeń są sprawdzenia planowe, które należy realizować na podstawie opracowanego planu sprawdzeń. Każdy plan sprawdzeń musi obejmować konkretne okresy czasu (minimalnie jeden kwartał, maksymalnie 1 rok) i zawierać co najmniej jedno sprawdzenie. Oznacza to, że należy realizować minimum jedno sprawdzenie rocznie. W planie należy uwzględnić przedmiot, zakres oraz termin przeprowadzenia, a także sposób i zakres dokumentowania poszczególnych sprawdzeń.

 

Zgodnie z wymaganiami Rozporządzenia w ramach konkretnych sprawdzeń uwzględnionych w planie należy brać pod uwagę potrzebę badania poszczególnych zbiorów danych osobowych przetwarzanych w spółdzielni oraz systemów informatycznych, w których spółdzielnia przetwarza dane osobowe (np. systemy kadrowo-płacowe, finansowe, czynszowe etc.), a także obowiązek weryfikacji sposobu przetwarzania danych osobowych z poszczególnymi wymogami ustawy o ochronie danych osobowych:

 

1)  z zasadami, o których mowa w art. 23-27 i art. 31-35 ustawy;

2)  z zasadami dotyczącymi zabezpieczenia danych osobowych, o których mowa w art. 36, art. 37-39 ustawy oraz przepisach wydanych na podstawie art. 39a ustawy;

3)  z zasadami przekazywania danych osobowych, o których mowa w art. 47-48 ustawy;

4)  z obowiązkiem zgłoszenia zbioru danych do rejestracji i jego aktualizacji, jeżeli zbiór zawiera dane wrażliwe (o których mowa w art. 27 ust. 1 ustawy).

 

Realizowane w ramach sprawdzenia czynności weryfikacyjne należy odpowiednio dokumentować. Treść § 4 Rozporządzenia wskazuje możliwy zakres czynności weryfikacyjnych oraz sposób ich dokumentowania (np. opracowanie notatki z przeprowadzonej czynności, sporządzenie kopii dokumentu objętego sprawdzeniem czy też kopii zapisów z systemów informatycznych).

 

Jeżeli sprawdzenie realizuje Administrator Bezpieczeństwa Informacji (wyznaczony przez zarząd spółdzielni), wyniki sprawdzenia planowego musi przedstawić w sprawozdaniu kierowanym do zarządu spółdzielni. Zgodnie z treścią art. 36c ustawy o ochronie danych osobowych musi ono zawierać:

  • oznaczenie spółdzielni jako administratora danych i adres jej siedziby;
  • imię i nazwisko Administratora Bezpieczeństwa Informacji powołanego w spółdzielni;
  • wykaz czynności podjętych przez ABI w toku sprawdzenia oraz imiona, nazwiska i stanowiska osób biorących udział w tych czynnościach;
  • datę rozpoczęcia i zakończenia sprawdzenia;
  • określenie przedmiotu i zakresu sprawdzenia;
  • opis stanu faktycznego stwierdzonego w toku sprawdzenia oraz inne informacje mające istotne znaczenie dla oceny zgodności przetwarzania danych z przepisami o ochronie danych osobowych;
  • stwierdzone przypadki naruszenia przepisów o ochronie danych osobowych w zakresie objętym sprawdzeniem wraz z planowanymi lub podjętymi działaniami przywracającymi stan zgodny z prawem;
  • wyszczególnienie załączników stanowiących składową część sprawozdania;
  • podpis ABI;
  • datę i miejsce podpisania sprawozdania przez Administratora Bezpieczeństwa Informacji.

 

Sprawozdanie z przeprowadzonego sprawdzenia planowego Administrator Bezpieczeństwa Informacji przekazuje do wiadomości zarządu spółdzielni najpóźniej w terminie 30 dni od zakończenia sprawdzenia. Jest to swoista „informacja zarządcza” dla członków zarządu, na jej podstawie mogą bowiem realnie ocenić sytuację prawną spółdzielni w obszarze ochrony danych osobowych
i związane z tym ryzyka prawne.

 

Powyżej wskazany obowiązek przeprowadzania okresowych sprawdzeń ma na celu zmotywować administratorów danych (w tym wypadku spółdzielnie reprezentowane przez zarządy) do cyklicznego monitorowania stanu zgodności przetwarzania danych osobowych oraz – w przypadku wykrycia nieprawidłowości – do ich eliminowania bez potrzeby ingerencji organu kontrolnego lub wchodzenia w spór z konkretną osobą, której dane przetwarza spółdzielnia.

 

 

Jakub Wezgraj, radca prawny

 

Dostęp do wykazu lokali objętych kwarantanną przez spółdzielnię mieszkaniową
Dostęp do wykazu lokali objętych kwarantanną przez spółdzielnię mieszkaniową
Stosowanie i obsługa systemu zdalnego odczytu stanu wodomierzy a RODO
Stosowanie i obsługa systemu zdalnego odczytu stanu wodomierzy a RODO
Jak prawidłowo  doręczać korespondencje we wspólnocie mieszkaniowej
Jak prawidłowo doręczać korespondencje we wspólnocie mieszkaniowej