W związku z planami kontrolnymi GIODO o których pisaliśmy w artykule Komornik zmuszony do rejestracji zbioru danych osobowych? Krajowa Rada Komornicza wysłała do Izb Komorniczych z dość osobliwą informacją, o tym iż spółka Currenda posiada wzorcowe rozwiązania dedykowane dla komorników w zakresie procedur oraz dokumentacji w których znajdują się między innymi opis struktur i procedur przetwarzania danych osobowych zarówno w systemie Komornik SQL jak i Kancelaria Komornicza. Dziwne w tej sprawie jest to, że programy Komornik SQL jak i Kancelaria Komornika których twórcą jest spółka Currenda mogą nie spełniać wszystkich wymogów Ustawy o Ochronie Danych Osobowych.
Rozmawiam z Prezesem Zarządu JDS Consulting Dariuszem Kasjaniukiem
Dziennik e-komornik: Jakie dokumenty są niezbędne w celu wprowadzenia w kancelarii komorniczej polityki ochrony danych osobowych zgodniej z ustawą?
D.Kasjaniuk: Zgodnie z art. 36 ust. 2 w związku z art. 39a ustawy o ochronie danych osobowych oraz Rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych Komornik jako administrator danych zobowiązany jest do prowadzenia i wdrożenia Polityki bezpieczeństwa i Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. Zakres tych dokumentów określony został w§ 4 i § 5 wskazanego Rozporządzenia. Podkreślić należy, iż dokumentacja ta dotyczy po pierwsze przetwarzania danych zarówno w formie papierowej jak i w systemach informatycznych. Jednocześnie w odniesieniu do systemów powinna zawierać ona opis wszelkich programów przetwarzających dane tj. w przypadku komorników nie tylko aplikacji używanych do prowadzenia działalności komorniczej, ale także aplikacji używanej do przetwarzania danych pracowników, danych kandydatów do pracy, do prowadzenia rachunkowości – w zależności od tego jakie dane przetwarzają poszczególni komornicy. Kolejną kwestią opisywaną przez wyżej wymienioną dokumentację poza aplikacjami jest kwestia opisu samego środowiska informatycznego i zastosowanych w tym zakresie zabezpieczeń. Wymagane jest także wskazanie zabezpieczeń dla dokumentacji papierowej zawierającej dane osobowe, tj. zabezpieczenia fizyczne, techniczne i organizacyjne.Poza wskazaną dokumentacją na podstawie art. 37 i 39 ustawy o ochronie danych osobowych Komornik zobowiązany jest do wydawania upoważnień do przetwarzania danych osobowych oraz prowadzenia ewidencji osób upoważnionych. Ponadto na podstawie art. 31 ww. ustawy konieczne jest także posiadanie stosownych umów o powierzeniu przetwarzania danych np. dla obsługi kadrowej, informatycznej, rachunkowej, usług ochrony obiektu.
Dziennik e-komornik: Czy producent danego oprogramowania jest zobowiązany do nieodpłatnego przekazania użytkownikowi opisu struktur i procedur przetwarzania danych osobowych w swoim programie ?
D.Kasjaniuk:Stosownie do § 4 pkt 3 ww. Rozporządzenia Polityka bezpieczeństwa powinna zawierać „opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi”. Przyjmowaną powszechnie praktyką jest, iż dla zbiorów przetwarzanych w formie informatycznej opis struktur dotyczących użytkowanego oprogramowania jest dostarczany przez producentów bądź dostawców oprogramowania jako dokumentacja danego programu, najczęściej bezpłatnie..Część producentów bądź dostawców publikuje opisy struktur i powiązania na swoich stronach internetowych i jest to dokument do „pobrania” celem załączenia do ww. Polityki. Jednocześnie powszechną praktyką jest także przekazywanie aktualizacji wraz z dokonywanymi zmianami w samym oprogramowaniu.
W zakresie pytania o procedury to Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych określająca zasady przetwarzania danych w systemie informatycznym dotyczy użytkowanego oprogramowania w bardzo niewielkim zakresie. W związku z powyższym w tym aspekcie informacja od producenta lub dostawcy oczywiście powinna być dostarczona, jednakże nie wystarczy to do opracowania całego dokumentu
Dziennik e-komornik: Jakie kryteria musi spełniać program komputerowy by był zgodny z ustawą oraz innymi aktami prawnymi normującymi problematykę ochrony danych osobowych?
D.Kasjaniuk: Zgodnie z § 7 ww. Rozporządzenia ust. 1. Dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym (…) system ten zapewnia odnotowanie:
daty pierwszego wprowadzenia danych do systemu;
identyfikatora użytkownika wprowadzającego dane osobowe do systemu, chyba że dostęp do systemu informatycznego i przetwarzanych w nim danych posiada wyłącznie jedna osoba;
źródła danych, w przypadku zbierania danych, nie od osoby, której one dotyczą;
informacji o odbiorcach, w rozumieniu art. 7 pkt 6 ustawy, którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia, chyba że system informatyczny używany jest do przetwarzania danych zawartych w zbiorach jawnych(…)
Dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym, system zapewnia sporządzenie i wydrukowanie raportu zawierającego w powszechnie zrozumiałej formie informacje, o których mowa w ust. 1.
Z dokonanych przez nas obserwacji w oprogramowaniu użytkowanym przez komorników do przetwarzania danych osobowych w związku z prowadzoną działalnością występuje problem zarówno z pełną realizacją wymagań określonych ust. 1 w szczególności w pkt 3 i 4 jak i w ust. 3.
Dziennik e-komornik: Czy przed przystąpieniem do wykonania dokumentacji o której mowa w ustawie oraz innych aktach prawnych niezbędna jest wizyta audytora w kancelarii komorniczej, czy też dokumentację tą wykonać można zdalnie?
D.Kasjaniuk: Opracowanie wskazanej dokumentacji wymaga wiedzy o prowadzonej przez danego komornika działalności i stosowanych przez niego zabezpieczeniach dokumentacji i systemów przetwarzających dane osobowe. Tylko pod warunkiem posiadania informacji w tym zakresie możliwe jest opracowanie dokumentacji zdalnie na podstawie przekazanych danych. W praktyce częściej jednak dokonywana jest wizja lokalna. Z pewnością nie jest możliwe przyjęcie i wdrożenie dokumentacji, która ma charakter wzorca, a wynika to bezpośrednio z wymagań stawianych przez ww. Rozporządzenia samej dokumentacji.
Dziennik e-komornik: Jakie są konsekwencje wprowadzenia niekompletnej, lub niezgodnej z ustawą polityki ochrony danych osobowych dla komornika, oraz czy firma lub osoba która wdrożyła taką politykę również ponosi odpowiedzialność?
D.Kasjaniuk:Posiadanie stosowej dokumentacji jest elementem wymaganego zabezpieczenia danych osobowych, o którym mowa w ustawie. Naruszenie obowiązku zabezpieczenia zagrożone jest odpowiedzialnością karną stosownie do art. 52, przy czym ewentualna odpowiedzialność nie będzie dotyczyła sytuacji związanej z brakiem bądź niekompletnością dokumentacji. Wskazany przepis penalizuje bowiem naruszenie obowiązku zabezpieczenia, które doprowadzić może do zabrania, uszkodzenia lub zniszczenia danych osobowych, co związane jest pośrednio z brakiem stosownych regulacji u Komornika określających zasady legalnego i bezpiecznego przetwarzania danych.
Administratorowi danych poddanemu czynnościom kontrolnym za brak dokumentacji grozi także odpowiedzialność administracyjna. Firma, która opracuje nieprawidłową dokumentację wbrew postanowieniom umowy będzie ponosiła odpowiedzialność cywilną związaną z nienależytym wykonaniem umowy.
O wyjaśnienia poprosiłem spółkę Currenda :
Rozmawiam z Panem Piotrem Brudkiem z krakowskiego Oddziału Currenda sp. z o.o. odpowiedzialnym za projekt Kancelaria Komornika
Dziennik e-komornik: Czy program Kancelaria Komornika zapewnia odnotowanie daty pierwszego wprowadzenia danych do systemu ?
P.Brudek: Tak funkcja taka została oczywiście zaimplementowana w programie.
Dziennik e-komornik: Czy program Kancelaria Komornika zapewnia odnotowanie identyfikatora użytkownika wprowadzającego dane osobowe do systemu
P.Brudek: Oczywiście program odnotowuje identyfikator osoby wprowadzającej dane do systemu.
Dziennik e-komornik: Czy program Kancelaria Komornika zapewnia odnotowanie źródła danych, w przypadku zbierania danych od osoby której nie dotyczą?.
P.Brudek: Tak w programie przewidziano możliwość odnotowania źródła danych?
W celu udzielenia odpowiedzi na podane niżej pytania Pan Brudek poprosił o ich przesłanie w formie pisemnej na podany adres poczty elektronicznej. Otrzymaliśmy jedynie ustną odpowiedź, która sprowadza się do stwierdzenia, iż wszystko jest w jak najlepszym porządku.
Dziennik e-komornik: Czy program Kancelaria Komornika zapewnia odnotowanie informacji o odbiorcach, w rozumieniu art. 7 pkt 6 ustawy, którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia?
Dziennik e-komornik: Czy program Kancelaria Komornika zapewnia sporządzenie i wydrukowanie raportu zawierającego w powszechnie zrozumiałej formie informacje, o których mowa w § 7ust.1 Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych?
W odpowiedzi na nasze pytania analogiczne jak w przypadku programu Kancelaria Komornika a dotyczące programu Komornik SQL odpowiedział nam pisemnie Pan Tomasz Hejmowski z sopockiego oddziału firmy Currenda.
Realizacja wymogu rejestracji informacji określających daty wprowadzenia danych do systemu wraz z identyfikatorem operatora ( § 7 Rozporządzenia):
11.1 Rejestracja daty wprowadzenia danych do systemu wraz z identyfikatorem operatora ( § 7. 1 Rozporządzenia): Tabela uczestnik zawierająca dane osobowe przechowuje identyfikator systemowy (systemu Komornik SQL) użytkownika który tworzy/dopisuje nowy wiersz w tej tabeli (kolumna id_zakl) i użytkownika wykonującego ostatnią modyfikację (kolumna id_mod). Automatycznie zapisywane są też odpowiednio: data dopisania wiersza (kolumna data_zakl) i data ostatniej modyfikacji (kolumna data_mod) pobierana z zegara systemowego komputera. Aby usunąć zapis o uczestniku należy wypełnić pole data_koncowa - nastąpi wówczas wykreślenie go z listy uczestników. Informacje dotyczące daty wprowadzenia danych oraz identyfikatora operatora dostępne są w Rejestracji w oknie „Osoba fizyczna” na zakładce „Modyfikacje”.
11.2 Wydruk raportu o dacie wprowadzenia danych do systemu wraz z identyfikatorem operatora ( § 7. 3 Rozporządzenia)
Program „Komornik SQL” w module Repertorium w oknie „Lista wybranych uczestników” pozwala po zaznaczeniu opcji „GIODO” na wydruk informacji zawartych w § 7 ust.1 Rozporządzenia. Przykładowe okno przedstawiono na rysunku poniżej. Tworzony przez tę funkcję wydruk może obejmować jedną lub kilka osób.
Zestawienie wybranych uczestników
11.3 Pozostałe informacje dotyczące spełnienia przez system Komornik SQL wymogów rozporządzenia.
§ 7. 1. Dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym - z wyjątkiem systemów służących do przetwarzania danych osobowych ograniczonych wyłącznie do edycji tekstu w celu udostępnienia go na piśmie - system ten zapewnia odnotowanie:
- 1) daty pierwszego wprowadzenia danych do systemu;
Opis - pkt 11.1 - 2) identyfikatora użytkownika wprowadzającego dane osobowe do systemu, chyba że dostęp do systemu informatycznego i przetwarzanych w nim danych posiada wyłącznie jedna osoba;
Opis - pkt 11.1 - 3) źródła danych, w przypadku zbierania danych, nie od osoby, której one dotyczą;
Nie dotyczy systemu Komornik SQL – źródłem danych są zawsze akta sprawy - 4) informacji o odbiorcach, w rozumieniu art. 7 pkt 6 ustawy, którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia, chyba że system informatyczny używany jest do przetwarzania danych zawartych w zbiorach jawnych;
Nie dotyczy systemu Komornik SQL – dane z systemu nie są udostępniane osobom niedopuszczonym do ich przetwarzania. Krąg odbiorców precyzuje kodeks postępowania cywilnego - 5) sprzeciwu, o którym mowa w art. 32 ust. 1 pkt 8 ustawy;
Nie dotyczy systemu Komornik SQL – art.25 ust.2 pkt 5 ustawy - 2. Odnotowanie informacji, o których mowa w ust. 1 pkt 1 i 2, następuje automatycznie po zatwierdzeniu przez użytkownika operacji wprowadzenia danych.
Opis - pkt 11.1 - 3. Dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym, system zapewnia sporządzenie i wydrukowanie raportu zawierającego w powszechnie zrozumiałej formie informacje, o których mowa w ust. 1.;Opis – pkt 11.2
Zaznaczmy wyraźnie : Nie jesteśmy specjalistami w sprawie bezpieczeństwa danych osobowych, lecz kilka odpowiedzi budzi wątpliwości.
- Po pierwsze: W odniesieniu do źródeł danych, w przypadku zbierania danych, nie od osoby, której one dotyczą uzyskaliśmy odpowiedź, iż sytuacja ta „ Nie dotyczy systemu Komornik SQL – źródłem danych są zawsze akta sprawy”
W naszej opinii akta sprawy są swoistym kontenerem na dane, nie zaś źródłem danych gdyż:komornik pozyskuje informacje nie z akt sprawy, lecz z różnych innych, zewnętrznych baz danych takich jak CEPIK, BIK, Starostwo Powiatowe, system Pesel, Urzędy Skarbowe itp. Źródłem więc nie są akta sprawy, lecz wskazane wyżej bazy danych - Po drugie: jeśli data dopisania wiersza (kolumna data_zakl) i data ostatniej modyfikacji (kolumna data_mod) pobierana jest z zegara systemowego komputera, to co stanie się w sytuacji awarii systemu operacyjnego, bądź systemu BIOS polegającej na przestawieniu daty zegara systemowego?
- Po trzecie
W odniesieniu do wymogu dotyczącego odnotowania informacji o odbiorcach, w rozumieniu art. 7 pkt 6 ustawy, którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia, chyba że system informatyczny używany jest do przetwarzania danych zawartych w zbiorach jawnych;
jak zapisano wyżej otrzymaliśmy stanowisko, że przepis ten „Nie dotyczy systemu Komornik SQL – dane z systemu nie są udostępniane osobom niedopuszczonym do ich przetwarzania. Krąg odbiorców precyzuje kodeks postępowania cywilnego.” Wszystko to prawda, natomiast fakt ten jest bez znaczenia w sensie prawnym , bowiem informacji można udzielić jedynie osobom które są do tego upoważnione.
Norma prawna zawarta w przepisie rozporządzenia obliguje do odnotowania samego faktu udostępnienia danych np. w przypadku prowadzonego przez komornika postępowania egzekucyjnego udostepnienia danych wierzycielowi Co więcej wydaje się że Currenda sama nie bardzo wie co posiada, gdyż Komornik SQL w części spełnia te wymagania poprzez odnotowanie w systemie daty oraz nazwy wierzyciela w momencie tworzenia pisma.Wiadomo więc komu i kiedy udostępniono dane. Nie jest więc zrozumiała odpowiedź, że norma ta nie dotyczy programu Komornik SQL - Skoro nowym komornikom zabrania się jakiejkolwiek reklamy swojej działalności, odmawia zwolnienia z przymusowych składek na KRK, to czy moralnie uzasadniona jest działalność członka Krajowej Rady Komorniczej we władzach spółki którą następnie KRK rekomenduje komornikom jako wykonawcę prac za ponad milion złotych ?(koszt wykonania i wdrożenia polityki ochrony danych osobowych spółka oszacowała na 1500,00zł netto. W kraju jest około 700 kancelarii komorniczych)
- W czyim imieniu działa samorząd komorniczy: w imieniu zrzeszonych w nim członków czyli wszystkich komorników, czy w imieniu spółki Currenda?
Z jakiego powodu spółka Currenda która tworzy programy dedykowane dla komorników nie spełniające całkowicie warunków narzuconych Ustawą wspierana jest przez Krajowa Radę Komorniczą jako firma wdrażajaca polityke ochrony danych osobowych w kancelariach komorniczych ?
Wiadomościom komorniczym udało się dowiedzieć, Pani Alicję Duda-Jaśtak - Przewodnicząca Rady Izby Komorniczej w Gdańsku, członek Krajowej Rady Komorniczej, a jednocześnie Komornik Sądowy Rewiru VI przy Sądzie Rejonowym w Gdańsku jest jednocześnie prezesem zarządu spółki CURRENDA z siedzibą w Sopocie.
Co ciekawe zgodnie z art. 21 Ustawy z dnia 29 sierpnia 1997 r. o komornikach sądowych i egzekucji
1.Komornikowi nie wolno podejmować dodatkowego zajęcia lub zatrudnienia, które by przeszkadzało w pełnieniu obowiązków albo mogło uchybiać powadze wykonywanego zawodu.2.Dodatkowe zatrudnienie komornik może podjąć za zgodą prezesa właściwego sądu apelacyjnego i rady izby komorniczej.
3.O zamiarze podjęcia dodatkowego zajęcia komornik zawiadamia prezesa właściwego sądu apelacyjnego i radę izby komorniczej. Prezes tego sądu w terminie tygodniowym może sprzeciwić się podjęciu tego zajęcia.
W jaki sposób Pani ta godzi wykonywanie zawodu komornika , pracę w Izbie Komorniczej w Gdańsku , oraz Krajowej Radzie Komorniczej z pracą w spółce Currenda pozostanie zapewne wyłącznie jej tajemnicą.
Na koniec: dwa pytania bardziej natury moralnej niż prawnej:
Odpowiedzi na te pytania pozostawiamy naszym czytelnikom.
ciąg dalszy nastąpi…