Standardy w zakresie ochrony danych osobowych

Standardy w zakresie ochrony danych osobowych stanowią ważny element funkcjonowania organizacji pozarządowej. Unormowania dotyczące ochrony danych osobowych przyznają szereg praw osobie, której dane dotyczą, z drugiej zaś strony uprawnieniom tym odpowiadają obowiązki podmiotu przetwarzającego dane osobowe (przede wszystkim administratora danych).

Kluczowym aktem w tym zakresie jest ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. Dz.U. z 2002 r., Nr 101, poz. 926, z późn. zm. – w dalszej części skrótowo: ustawa), określająca zasady postępowania przy przetwarzaniu danych osobowych oraz prawa tych osób.

Najistotniejszymi obszarami, na które należy zwrócić uwagę podczas standaryzacji w organizacji pozarządowej w zakresie ochrony danych osobowych, są:

  1. 1)Legalność procesów przetwarzania danych osobowych.
  2. 2)Spełnienie obowiązku informacyjnego.
  3. 3)Obowiązek zabezpieczenia przetwarzanych danych.
  4. 4)Obowiązek dokonania zgłoszenia rejestracyjnego do Generalnego Inspektora Ochrony Danych Osobowych (GIODO).

Poniżej przedstawiono zestawienie najważniejszych zagadnień związanych z ochroną danych, które należy uwzględnić przy opracowywaniu i wdrażaniu standardów.

  1. I.Analiza posiadanych lub/i przeznaczonych do przetwarzania danych osobowych
  1. Pojęcie danych osobowych (art. 6 ustawy) – co jest daną osobową, a co nie:
  • •dane osobowe to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej;
  • •osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne;
  • •informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań;
  • •danymi osobowymi nie są pojedyncze informacje o dużym stopniu ogólności, np. sama nazwa ulicy i numer domu, w którym mieszka wiele osób, czy miejsce zatrudnienia. Takie informacje będą stanowić dane osobowe w zestawieniu z innymi informacjami, które można odnieść do konkretnej osoby;
  • •przykładem pojedynczej informacji stanowiącej dane osobowe jest numer PESEL.
  • adres poczty elektronicznej

 

  1. Dane szczególnie chronione
  • dane tzw. wrażliwe, sensytywne – szczególny rodzaj danych, do których art. 27 ust. 1 ustawy zalicza: dane ujawniające pochodzenie rasowe, etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz dane dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym;
  • •zabrania się ich przetwarzania, z wyjątkiem przypadków przewidzianych w ustawie;
  • wymagania w przypadku przetwarzania takich danych są bardziej rygorystyczne.
  1. II.Sposób przetwarzania danych osobowych
  • •ustawę stosuje się do przetwarzania danych osobowych w kartotekach, skorowidzach, księgach, wykazach i w innych zbiorach ewidencyjnych, w systemach informatycznych, także w przypadku przetwarzania danych poza uporządkowanym zbiorem danych;
  • •w odniesieniu do zbiorów danych osobowych sporządzanych doraźnie, wyłącznie ze względów technicznych, szkoleniowych lub w związku z dydaktyką w szkołach wyższych, a po ich wykorzystaniu niezwłocznie usuwanych albo poddanych anonimizacji, mają zastosowanie jedynie przepisy dotyczące zabezpieczenia danych;
  • •wszelkie materiały gromadzone w formie akt są zbiorami danych osobowych. Typowym zbiorem danych jest zestaw informacji o pracownikach, zgromadzonych w związku z ich zatrudnieniem i świadczeniem przez nich pracy, wykorzystywany przez różne komórki organizacyjne pracodawcy, zarówno w systemach informatycznych, jak i w formie papierowej;
  • monitoring może zostać uznany za zbiór danych, jeżeli obraz z kamer zawiera wizerunki osób i jest utrwalony w systemie monitoringu na elektronicznym nośniku;
  • przetwarzanie danych - jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych;
  • przetwarzaniem jest już samo przechowywanie danych, nawet jeśli podmiot faktycznie z nich nie korzysta.

 

  1. III.Podstawa prawna przetwarzania danych osobowych
  1. Badaniu podlega legalność przetwarzania danych. W tym celu dokonywana jest analiza przepisów prawa regulujących zadania lub działalność, w związku z realizacją których administrator przetwarza dane osobowe w zbiorze. Administrator danych zobowiązany jest bowiem gromadzić tylko takiego rodzaju dane, które są niezbędne ze względu na cel ich przetwarzania.
  2. Dopuszczalność przetwarzania – dane zwykłe:

Administrator danych może przetwarzać dane osobowe wtedy, gdy wystąpi przynajmniej jedna z przesłanek legalności przetwarzania, określona w ustawie. W przypadku danych „zwykłych” (art. 23 ustawy) są nimi:

  • zgoda osoby, której dane dotyczą, chyba że chodzi o usunięcie dotyczących jej danych;
  • niezbędność realizacji uprawnień lub spełnienia obowiązku wynikającego z przepisu prawa;
  • konieczność realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy przetwarzanie jest niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą;
  • niezbędność przetwarzania danych do wykonania określonych prawem zadań realizowanych dla dobra publicznego;
  • niezbędność przetwarzania danych dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów albo odbiorców danych, o ile przetwarzanie danych nie narusza praw i wolności osoby, której one dotyczą.
  1. 3.Dopuszczalność przetwarzania – dane sensytywne:

Przetwarzanie danych wrażliwych co do zasady jest zabronione. Zgodnie z  27 ust. 2 ustawy przetwarzanie tej kategorii danych jest jednak dopuszczalne jeżeli:

  • osoba, której dane dotyczą wyrazi na to zgodę na piśmie, chyba że chodzi o usunięcie dotyczących jej danych;
  • przepis szczególny innej ustawy zezwala na przetwarzanie takich danych bez zgody osoby, której dane dotyczą i stwarza pełne gwarancje ich ochrony;
  • •przetwarzanie takich danych jest niezbędne dla ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby, gdy osoba, której dane dotyczą, nie jest fizycznie lub prawnie zdolna do wyrażenia zgody, do czasu ustanowienia opiekuna prawnego lub kuratora;
  • jest to niezbędne do wykonywania statutowych zadań kościołów i innych związków wyznaniowych, stowarzyszeń, fundacji lub innych niezarobkowych organizacji lub instytucji o celach politycznych, naukowych, religijnych, filozoficznych lub związkowych, pod warunkiem, że przetwarzanie danych dotyczy wyłącznie członków tych organizacji lub instytucji albo osób utrzymujących z nimi stałe kontakty w związku z ich działalnością i zapewnione są pełne gwarancje ochrony przetwarzanych danych;
  • •przetwarzanie dotyczy danych, które są niezbędne do dochodzenia praw przed sądem;
  • przetwarzanie jest niezbędne do wykonania zadań administratora danych odnoszących się do zatrudnienia pracowników i innych osób, a zakres przetwarzanych danych jest określony w ustawie;
  • •przetwarzanie jest prowadzone w celu ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów przez osoby trudniące się zawodowo leczeniem lub świadczeniem innych usług medycznych, zarządzania udzielaniem usług medycznych i są stworzone pełne gwarancje ochrony danych osobowych;
  • •przetwarzanie dotyczy danych, które zostały podane do wiadomości publicznej przez osobę, której dane dotyczą;
  • •jest to niezbędne do prowadzenia badań naukowych, w tym do przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego; publikowanie wyników badań naukowych nie może następować w sposób umożliwiający identyfikację osób, których dane zostały przetworzone;
  • •przetwarzanie danych jest prowadzone przez stronę w celu realizacji praw i obowiązków wynikających z orzeczenia wydanego w postępowaniu sądowym lub administracyjnym.

Należy pamiętać, że powyższe podstawy przetwarzania danych osobowych są od siebie „niezależne” i w przypadku gdy np. przepis prawa dopuszcza przetwarzania danych osobowych, nie potrzeba uzyskiwać dodatkowo zgody osoby, której dane dotyczą.

 

  1. Zgoda na przetwarzanie danych (oświadczenie) – zawartość oświadczenia
  1. Zgoda osoby, której dane dotyczą, jest to oświadczenie woli, którego treścią jest zgoda składającego oświadczenie na przetwarzanie jego danych osobowych. Zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści. Zgoda może być odwołana w każdym czasie.
  2. Z treści zgody powinno w sposób niebudzący wątpliwości wynikać, w jakim celu, w jakim zakresie i przez kogo dane osobowe będą przetwarzane. Wyrażający zgodę musi mieć pełną świadomość tego, na co się godzi.
  3. Zgoda może być złożona pisemnie lub ustnie - ze względów dowodowych preferowana jest forma pisemna. W przypadku danych wrażliwych – zgoda musi być wyrażona na piśmie.
  4. Zgoda osoby musi zawierać następujące elementy:
  • •informacja o dobrowolnym podaniu danych osobowych;
  • •wskazanie pełnej nazwy i siedziby administratora danych;
  • •cel przetwarzania danych;
  • •informacja o potencjalnych odbiorcach;
  • •informacja o prawie wglądu do danych osobowych oraz prawie do ich poprawiania.
  1. Konstruując formularz lub oświadczenie należy pamiętać, aby zawierał wszystkie niezbędne ww. elementy. Należy zwrócić także uwagę na to, żeby oświadczenie o wyrażeniu zgody było samodzielnie podpisane. W przypadku pozyskiwania zgody w formie elektronicznej, należy stworzyć formularz zawierający odpowiednie pole / znacznik, umożliwiające wyrażenie zgody poprzez zaznaczenie go / ”kliknięcie”.
  2. Zgoda nie jest wymagana w przypadku usunięcia danych osobowych ze zbioru.

 

  1. Cele zbierania i przetwarzania danych osobowych
  1. Cel zbierania i przetwarzania danych osobowych wyznacza zasada celowości.
  2. Zasada celowości oznacza, iż zbieranie danych osobowych powinno być dokonywane dla oznaczonych, zgodnych z prawem celów i niepoddawane dalszemu przetwarzaniu, niezgodnemu z tymi celami.
  • •zbierający dane nie może pominąć ani zataić tego celu;
  • •nie można określać celu przetwarzania danych w sposób ogólnikowy;
  • •cel powinien być zakomunikowany zainteresowanemu przed zebraniem danych osobowych;
  • •niedopuszczalne jest uzależnianie zawarcia umowy od wyrażenia zgody na przetwarzanie danych w zupełnie innych celach (np. marketingu produktów i usług podmiotów trzecich);
  • •przetwarzanie danych w celu innym niż ten, w którym zostały zebrane, jest jednak dopuszczalne, jeżeli nie narusza praw i wolności osoby, której dane dotyczą, oraz następuje:

-       w celach badań naukowych, dydaktycznych, historycznych lub statystycznych;

-       z zachowaniem przepisów art. 23 i 25 ustawy.

 

  1. Merytoryczna poprawność i adekwatność danych do celów przetwarzania
  1. Adekwatność danych:
  • •zgodnie z zasadą adekwatności administrator powinien przetwarzać dane tylko takiego rodzaju i tylko o takiej treści, które są niezbędne ze względu na cel zbierania danych;
  • •adekwatność danych w stosunku do celu ich przetwarzania powinna być rozumiana jako równowaga pomiędzy uprawnieniem osoby do dysponowania swoimi danymi a interesem administratora danych;
  • •równowaga będzie zachowana, jeżeli administrator zażąda danych tylko w takim zakresie, w jakim jest to niezbędne do wypełnienia celu, w jakim dane są przez niego przetwarzane;
  • •zakres danych osobowych, adekwatnych do celu przetwarzania, trzeba oceniać każdorazowo, z uwzględnieniem określonego stosunku prawnego, w związku z którym administrator przetwarza dane osobowe;
  • •niekiedy ustawodawca w przepisach prawa wskazuje wprost na zakres danych, adekwatnych do celu przetwarzania;
  • •dane osobowe nie mogą być zbierane na zapas, „na wszelki wypadek”, tj. bez wykazania celowości ich pozyskania i niezbędności dla realizacji zadań administratora danych.
  1. Merytoryczna poprawność:
  • administrator danych powinien zadbać o to, żeby zbierane / zgromadzone dane osobowe nie zawierały błędów, by były dokładne i kompletne. Dane osobowe powinny odpowiadać rzeczywistości i - w przypadku zmian - powinny być aktualizowane;
  • naruszeniem może być zbieranie danych ze źródeł, które nie dają gwarancji poprawności danych (brak wiarygodności).

 

  1. Okres przetwarzania danych osobowych

Zgodnie z zasadą ograniczenia czasowego – dane, w postaci umożliwiającej identyfikację osób, których dotyczą, nie mogą być przetwarzane dłużej, niż jest to niezbędne do osiągnięcia celu, dla którego zostały zebrane.

 

  1. VIII.Obowiązki informacyjne, związane ze zbieraniem danych osobowych
  1. Administrator danych w przypadku zbierania danych od osoby, której one dotyczą, jest obowiązany poinformować tę osobę o:
  • §adresie swojej siedziby i jej pełnej nazwie;
  • §celu zbierania danych (o przewidywanych odbiorcach);
  • §prawie dostępu do treści swoich danych oraz ich poprawiania;
  • §dobrowolności albo obowiązku podania danych (o jego podstawie prawnej).

Obowiązku poinformowania nie stosuje się jeżeli:

  • •przepis innej ustawy zezwala na przetwarzanie danych bez ujawniania faktycznego celu ich zbierania;
  • •osoba, której dane dotyczą, posiada ww. informacje.
  • §adresie swojej siedziby i jej pełnej nazwie;
  • §celu i zakresie zbierania danych (o odbiorcach);
  • §źródle danych;
  • §prawie dostępu do treści swoich danych oraz ich poprawiania;
  • §o prawie wniesienia żądania zaprzestania przetwarzania danych oraz o prawie wniesienia sprzeciwu.
  1. Administrator danych - w przypadku zbierania danych osobowych nie od osoby, której one dotyczą - bezpośrednio po utrwaleniu zebranych danych jest obowiązany poinformować tę osobę o:

Administrator danych może odstąpić od poinformowania osoby jeżeli:

  • •przepis innej ustawy przewiduje lub dopuszcza zbieranie danych osobowych bez wiedzy osoby, której dane dotyczą;
  • •dane te są niezbędne do badań naukowych, dydaktycznych itd., jeżeli ich przetwarzanie nie narusza praw lub wolności osoby;
  • •dane są przetwarzane przez administratora „publicznego” na podstawie przepisów prawa;
  • •osoba, której dane dotyczą, posiada ww. informacje.

 

  1. Realizacja prawa do informacji i kontroli osoby, której dane dotyczą
  • •prawu do informacji i kontroli osoby, której dane dotyczą (art. 32 ustawy) – odpowiada obowiązek udzielenia informacji, spoczywający na administratorze (art. 33 ustawy);
  • •każdej osobie przysługuje prawo do kontroli przetwarzania danych, które jej dotyczą, zawartych w zbiorach danych;
  • •osoba zainteresowana może skorzystać z prawa do informacji, nie częściej niż raz na 6 miesięcy;
  • •na wniosek osoby, której dane dotyczą, administrator danych jest obowiązany w terminie 30 dni poinformować o przysługujących jej prawach oraz udzielić informacji (odnośnie do jej danych osobowych) m.in. o istnieniu zbioru, o nazwie i siedzibie, o źródle, z którego informacje pochodzą, o celu, zakresie i sposobie wykorzystywania danych zawartych w zbiorze, powinien podać, od kiedy wykorzystuje dane osobowe, o sposobie udostępniania danych, a w szczególności o ich odbiorcach. Administrator winien także poinformować osobę o treści (zakresie) posiadanych na jej temat danych;
  • •informacja powinna być udzielona w zrozumiałej formie;
  • •na wniosek osoby, której dane dotyczą, informacji, udziela się na piśmie.

 

  1. Odmowa udzielenia informacji

Administrator danych odmawia udzielenia informacji osobie, której dane dotyczą, jeżeli spowodowałoby to:

  • •ujawnienie wiadomości zawierających informacje niejawne;
  • •zagrożenie dla obronności lub bezpieczeństwa państwa, życia i zdrowia ludzi lub bezpieczeństwa i porządku publicznego;
  • •zagrożenie dla podstawowego interesu gospodarczego lub finansowego państwa;
  • •istotne naruszenie dóbr osobistych osób, których dane dotyczą, lub innych osób.

 

  1. Obowiązki związane z prawami osób, których dane dotyczą
  1. Prawo do poprawiania danych, żądanie wstrzymania ich przetwarzania lub ich usunięcia. Wyżej wymienionemu prawu odpowiada obowiązek uzupełnienia i sprostowania danych (art. 35 ustawy).
  • w razie wykazania przez osobę, której dane osobowe dotyczą, że dane są niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem ustawy albo są zbędne do realizacji celu, dla którego zostały zebrane, administrator danych – bez zbędnej zwłoki – jest obowiązany do uzupełnienia, uaktualnienia, sprostowania danych, czasowego lub stałego wstrzymania przetwarzania kwestionowanych danych lub ich usunięcia ze zbioru (chyba, że inny tryb określają odrębne ustawy);
  • •administrator danych – bez zbędnej zwłoki – jest obowiązany poinformować innych administratorów, którym udostępnił zbiór danych, o dokonanym uaktualnieniu lub sprostowaniu danych (art. 35 ust. 3 ustawy);
  • •jeżeli administrator danych nie uwzględni żądania osoby, której dane dotyczą, to może ona wystąpić do Generalnego Inspektora Ochrony Danych Osobowych z wnioskiem o nakazanie dopełnienia tego obowiązku (art. 35 ust. 2 ustawy).
  • •W sytuacji wpłynięcia pisemnego, umotywowanego żądania (przysługuje w przypadkach z art. 23 ust. 1 pkt 4 i 5 ustawy), administrator danych zaprzestaje przetwarzania kwestionowanych danych osobowych albo bez zbędnej zwłoki przekazuje żądanie GIODO, który wydaje stosowną decyzję.
  • •przysługuje w przypadkach wymienionych w art. 23 ust. 1 pkt 4 i 5, gdy administrator danych zamierza przetwarzać dane w celach marketingowych lub wobec przekazywania danych osobowych innemu administratorowi danych;
  • •w razie wniesienia sprzeciwu, dalsze przetwarzanie kwestionowanych danych jest niedopuszczalne. Administrator danych może pozostawić w zbiorze imię lub imiona i nazwisko osoby oraz numer PESEL lub adres wyłącznie w celu uniknięcia ponownego wykorzystania danych w celach objętych sprzeciwem.
    • może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie;
    • przed rozpoczęciem przetwarzania danych jest obowiązany podjąć środki zabezpieczające zbiór danych, o których mowa w art. 36-39 ustawy, oraz spełnić wymagania określone w przepisach, o których mowa w art. 39a ustawy, (zastosowanie środków zabezpieczających musi nastąpić przed przystąpieniem do przetwarzania danych);
    • w zakresie przestrzegania wymienionych przepisów ustawy i rozporządzenia podmiot przetwarzający dane ponosi odpowiedzialność jak administrator danych;
    • ponosi odpowiedzialność wobec administratora w zakresie działań niezgodnych z umową zawartą z administratorem danych;
    • w związku z tym, że nie staje się administratorem danych, nie spoczywają na nim obowiązki, którymi ustawodawca obciążył administratora danych, m.in. obowiązek rejestracji;
    • GIODO jest uprawniony do kontroli zgodności danych z przepisami o ochronie danych osobowych, przetwarzanych przez podmiot, któremu przetwarzanie powierzono.
  1. Żądanie zaprzestania przetwarzania danych, ze względu na szczególną sytuację osoby (art. 32 ust. 1 pkt 7 ustawy)
  1. Prawo do wniesienia sprzeciwu (art. 32 ust. 1 pkt 8 ustawy)
  1. Możliwość powierzania przetwarzania danych osobowych
  1. Administrator danych może powierzyć przetwarzanie danych innemu podmiotowi (art. 31 ustawy).
  2. Instytucja powierzenia przetwarzania danych ma istotne znaczenie praktyczne - stwarza możliwość skorzystania z usług wyspecjalizowanych podmiotów zewnętrznych. Administrator danych osobowych nie musi wykonywać wszystkich czynności związanych z procesem przetwarzania – może powierzyć ich przetwarzanie w całości lub w części.
  3. Istotne jest to, żeby umowa powierzenia zawarta była na piśmie oraz wyraźnie określała zakres i cel przetwarzania danych. Podmiot, przetwarzający dane na podstawie umowy, nie staje się ich administratorem.
  4. Podmiot, któremu powierzono przetwarzanie danych osobowych:

 

  1. Zabezpieczanie danych osobowych. Stosowane środki zabezpieczające
  1. Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne, zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.
  2. Administrator danych odpowiada za bezpieczeństwo przetwarzania oraz zastosowanie zabezpieczeń danych.
  3. Przepisy dotyczące zabezpieczenia stosuje się również w odniesieniu do zbiorów danych osobowych sporządzanych doraźnie, ze względów technicznych, szkoleniowych lub w związku z dydaktyką w szkołach wyższych, a które po ich wykorzystaniu są niezwłocznie usuwane albo poddane anonimizacji.
  4. Zastosowanie odpowiednich środków będzie zależne od sytuacji. Mogą to być różnego rodzaju środki, począwszy od rozwiązań architektoniczno-budowlanych, poprzez systemy alarmowe i służby ochrony, po środki o charakterze technicznym i informatycznym. Środki te powinny zapewniać prawidłowe przetwarzanie danych oraz minimalizować ryzyko wystąpienia nieprawidłowości.
  5. Przy zastosowaniu środków należy uwzględniać stan wiedzy w tej dziedzinie oraz koszty potrzebne do zapewnienia odpowiedniego poziomu bezpieczeństwa.
  6. Administrator danych osobowych, podejmując decyzje w sprawie zabezpieczenia danych, powinien wziąć pod uwagę w szczególności takie okoliczności, jak: koszt zastosowania zabezpieczeń; charakter przetwarzanych danych oraz niebezpieczeństwa związane z ich przetwarzaniem; możliwość powstania szkody w związku z nieuprawnionym dostępem do danych lub innym, sprzecznym z ustawą przetwarzaniem danych.
  7. Obowiązki związane z zabezpieczeniem danych osobowych powinny być realizowane przez podmioty, którym powierzono przetwarzanie danych osobowych.

 

  1. Obowiązki związane z zabezpieczeniem danych
  1. 1)Prowadzenie dokumentacji opisującej sposób przetwarzania danych.
  2. 2)Wyznaczenie administratora bezpieczeństwa informacji (ABI).
  3. 3)Nadanie upoważnień do przetwarzania danych osobowych.
  4. 4)Zapewnienie kontroli nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane (art. 38 ustawy).
  5. 5)Prowadzenie ewidencji osób upoważnionych do ich przetwarzania (art. 39 ustawy).

 

  1. Przygotowanie i prowadzenie dokumentacji przetwarzania
  1. Zgodnie z § 3 Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. 2004, Nr 100, poz. 1024) na dokumentację składa się polityka bezpieczeństwa oraz instrukcja zarządzania systemem informatycznym, służącym do przetwarzania danych osobowych (dalej: instrukcja).
  2. Przygotowanie dokumentacji w praktyce:
  • •właściwie sporządzona dokumentacja powinna odzwierciedlać strukturę organizacyjną administratora (w zależności od wielkości, formy, kategorii przetwarzania zbiorów itd.);
  • •rozporządzenie wyznacza ogólne ramy informacji, jakie powinny zostać zawarte w dokumentacji;
  • •administrator danych decyduje czy stworzy dokument bardzo restrykcyjny, czy względnie liberalny. W przypadku przetwarzania ograniczonej liczby danych osobowych oraz względnie niewielkiego ryzyka ich wycieku wystarczy, że procedury będą spełniały wyłącznie wytyczne rozporządzenia;
  • •jeżeli przetwarza się szeroki zakres danych osobowych bądź dane wrażliwe (art. 27 ustawy), należy znaleźć obszary największego ryzyka i zabezpieczyć je dodatkowymi procedurami (np. specjalne szkolenie dla pracowników, zabezpieczenie pomieszczeń, w którym znajdują się dane, specjalnym systemem kontroli dostępu itp.);
  • •dokumentacja powinna odpowiadać rzeczywistości, zawierać realne procedury i reguły;
  • •zapisy zawarte w dokumentacji powinny być jasne i konkretne oraz proste do  wyegzekwowania;
  • •należy określić / stworzyć „strukturę odpowiedzialności” za przetwarzane dane osobowe oraz określić zadania.
  • •wykaz budynków, pomieszczeń lub części pomieszczeń tworzących obszar, w którym przetwarzane są dane osobowe;
  • •wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych;
  • •opis struktury zbiorów danych, wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi;
  • •sposób przepływu danych pomiędzy poszczególnymi systemami;
  • •określenie środków technicznych i organizacyjnych, niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych;
  • •inne informacje, jeżeli są one istotne dla zapewnienia należytej ochrony przetwarzania danych.
  1. Polityka bezpieczeństwa powinna zawierać w szczególności:

Celem jest wskazanie działań oraz ustanowienie zasad i reguł postępowania, które mają zmierzać do właściwego wykonania obowiązków administratora danych w zakresie zabezpieczenia danych.

Dotyczy zarówno przetwarzania danych w sposób tradycyjny, jak i w systemach informatycznych.

  1. Instrukcja powinna zawierać:
  • •procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za  te czynności;
  • •stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem;
  • •procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu;
  • •procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania;
  • •sposób, miejsce i okres przechowywania elektronicznych nośników informacji zawierających dane osobowe oraz kopii zapasowych;

Instrukcja powinna być zatwierdzona przez administratora danych i przyjęta do stosowania. Procedury i wytyczne zawarte w instrukcji powinny być przekazane osobom odpowiedzialnym w jednostce za ich realizację. Instrukcja powinna zawierać ogólne informacje o systemie informatycznym i zbiorach danych osobowych, które są przy ich użyciu przetwarzane oraz zastosowanych rozwiązaniach technicznych, jak również procedury eksploatacji i zasady użytkowania zastosowane w celu zapewnienia bezpieczeństwa przetwarzania.

Instrukcja wymagana jest jedynie w przypadku przetwarzania danych w systemie informatycznym.

 

  1. ABI – administrator bezpieczeństwa informacji
  1. ABI „nadzoruje przestrzeganie zasady ochrony” (art. 36 ust. 3 ustawy). Obowiązki ABI powinny być ściśle dostosowane do struktury organizacyjnej administratora danych oraz do sposobu przetwarzania danych.
  2. Obowiązek wyznaczenia ABI nie dotyczy sytuacji, w której administrator danych sam wykonuje jego obowiązki.
  3. Do zadań ABI może należeć w szczególności:
  • •wdrażanie zasad bezpieczeństwa, określonych w dokumentacji przetwarzania oraz nadzór nad ich przestrzeganiem. Nadzór nad realizowaniem procedur wynikających z dokumentacji;
  • •analiza aktualności dokumentacji przetwarzania i składanie wniosków o ich zmianę;
  • •analiza zagrożeń dla bezpieczeństwa danych osobowych;
  • •kontrolowanie osób upoważnionych pod względem wykonywania przez nich obowiązków związanych z ochroną przetwarzanych danych osobowych;
  • •prowadzenie ewidencji osób upoważnionych;
  • •kontrolowanie służb informatycznych pod względem skuteczności zastosowanych środków fizycznych, sprzętowych i programowych, mających na celu zachowanie poufności, integralności i rozliczalności danych osobowych. Nadzór nad właściwym skonfigurowaniem systemu według wymagań wynikających z Instrukcji. Weryfikowanie eksploatowanego sprzętu i oprogramowania;
  • •kontrolowanie osób zajmujących się przechowywaniem i archiwizacją dokumentów zawierających dane osobowe pod względem prawidłowego zabezpieczenia tych dokumentów;
  • •udział w czynnościach kontrolnych, dokonywanych przez uprawnione organy;
  • •prowadzenie szkoleń z zakresu ochrony danych osobowych dla osób upoważnionych.

 

  1. Upoważnienia do przetwarzania danych osobowych
  1. Do przetwarzania danych osobowych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie do przetwarzania danych osobowych.
  2. Upoważnienie do przetwarzania danych osobowych:
  • należy sporządzić indywidualnie dla każdej użytkownika;
  • powinno zostać sporządzone na piśmie;
  • powinno zawierać imię i nazwisko osoby upoważnionej, datę nadania oraz zakres upoważnienia do przetwarzania danych Powinno być podpisane przez administratora danych.
  1. Osoby upoważnione do przetwarzania danych osobowych są zobowiązane zachować w tajemnicy przetwarzane dane osobowe oraz sposoby ich zabezpieczenia.

 

  1. Kontrola nad wprowadzaniem i przekazywaniem danych
  1. 1.Niezależnie od tego, w jaki sposób jest prowadzony zbiór, należy zapewnić kontrolę nad tym, jakie dane, kiedy i przez kogo zostały włączone do zbioru oraz komu zostały przekazane/udostępnione.
  2. 2.W przypadku przetwarzania przy pomocy systemów informatycznych, system – dla każdej osoby, której dane osobowe są w nim przetwarzane – powinien odnotować:
  • •datę pierwszego wprowadzenia danych do systemu;
  • •identyfikator użytkownika wprowadzającego dane osobowe do systemu, chyba że dostęp do systemu informatycznego i przetwarzanych w nim danych posiada wyłącznie jedna osoba;
  • •źródła danych, w przypadku zbierania danych nie od osoby, której one dotyczą;
  • •informację o odbiorcach, którym dane osobowe zostały udostępnione, datę i zakres tego udostępnienia, chyba że system informatyczny używany jest do przetwarzania danych zawartych w zbiorach jawnych;
  • •sprzeciw wobec marketingowego wykorzystania danych.

Odnotowanie wyżej wymienionych informacji ma następować automatycznie po zatwierdzeniu przez użytkownika operacji wprowadzenia danych.

System informatyczny powinien zapewniać dla każdej osoby, której dane osobowe są przetwarzane w tym systemie, sporządzenie i wydrukowanie raportu zawierającego w powszechnie zrozumiałej formie powyższe informacje. W przypadku przetwarzania danych osobowych w co najmniej dwóch systemach informatycznych, wymagania te mogą być realizowane w jednym z nich lub w odrębnym systemie informatycznym, przeznaczonym do tego celu.

 

  1. Ewidencja osób upoważnionych do przetwarzania danych
  1. Ewidencja osób upoważnionych powinna zawierać:
  • imię i nazwisko osoby upoważnionej;
  • datę nadania i ustania upoważnienia oraz zakres upoważnienia do przetwarzania danych osobowych;
  • identyfikator, jeżeli dane są przetwarzane w systemie informatycznym.
  1. W ewidencji mogą być odnotowywane także inne informacje np. o stanowiskach osób upoważnionych.
  2. Wszystkie upoważnienia muszą zostać wpisane do ewidencji osób upoważnionych do przetwarzania danych osobowych.

 

  1. Zabezpieczanie danych w systemie informatycznym
  1. Podstawowe wymogi techniczne oraz organizacyjne, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, zostały określone w Rozporządzeniu w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne, służące do przetwarzania danych osobowych.
  2. Rozporządzenie wprowadza poziomy bezpieczeństwa przetwarzania danych osobowych w systemie informatycznym, uwzględniające zagrożenia związane z przetwarzaniem oraz kategorie przetwarzanych danych.
  3. Na określenie poziomu bezpieczeństwa wpływ mają dwa kryteria: rodzaj przetwarzanych danych oraz dostęp do sieci publicznej.
  1. A.Poziom podstawowy stosuje się, gdy: w systemie informatycznym nie są przetwarzane dane sensytywne oraz żadne z urządzeń systemu informatycznego, służącego do przetwarzania danych osobowych, nie jest połączone z siecią publiczną.
  2. B.Poziom podwyższony stosuje się, gdy w systemie informatycznym przetwarzane są dane osobowe sensytywne oraz żadne z urządzeń systemu informatycznego, służącego do przetwarzania danych osobowych, nie jest połączone z siecią publiczną.
  3. C.Poziom wysoki stosuje się, gdy przynajmniej jedno urządzenie systemu informatycznego, służącego do przetwarzania danych osobowych, połączone jest z siecią publiczną.

A - Poziom podstawowy

  1. 1)W przypadku, gdy do uwierzytelniania użytkowników używa się hasła, jego zmiana następuje nie rzadziej niż co 30 dni. Hasło składa się co najmniej z 6 znaków (hasło jako ciąg znaków literowych, cyfrowych lub innych, znany jedynie osobie uprawnionej do pracy w systemie informatycznym).
  2. 2)Dane osobowe, przetwarzane w systemie informatycznym, zabezpiecza się przez wykonywanie kopii zapasowych zbiorów danych oraz programów służących do przetwarzania danych. Kopie zapasowe przechowuje się w miejscach zabezpieczających je przed nieuprawnionym przejęciem, modyfikacją, uszkodzeniem lub zniszczeniem, usuwa się niezwłocznie po ustaniu ich użyteczności.
  3. 3)Osoba użytkująca komputer przenośny zawierający dane osobowe powinna zachować szczególną ostrożność podczas jego transportu, przechowywania i użytkowania poza obszarem przetwarzania danych osobowych, w tym stosować środki ochrony kryptograficznej wobec przetwarzanych danych osobowych.
  4. 4)Urządzenia dyski lub inne elektroniczne nośniki informacji, zawierające dane osobowe, przeznaczone do: likwidacji - pozbawia się wcześniej zapisu tych danych, a w przypadku gdy nie jest to możliwe, uszkadza się w sposób uniemożliwiający ich odczytanie; przekazania podmiotowi nieuprawnionemu do przetwarzania danych - pozbawia się wcześniej zapisu tych danych, w sposób uniemożliwiający ich odzyskanie; naprawy - pozbawia się wcześniej zapisu tych danych w sposób uniemożliwiający ich odzyskanie albo naprawia się je pod nadzorem osoby upoważnionej przez administratora danych.
  5. 5)Działanie wdrożonego zabezpieczenia systemu informatycznego powinno być przez administratora danych monitorowane.

 

B- Poziom podwyższony

Środki bezpieczeństwa na poziomie podwyższonym.

  1. 1)W przypadkach, w których należy zastosować podwyższone środki bezpieczeństwa, stosuje się podstawowe środki bezpieczeństwa, a ponadto:
  2. 1.W przypadku, gdy do uwierzytelniania użytkowników używa się hasła, składa się ono co najmniej z 8 znaków, zawiera małe i wielkie litery oraz cyfry lub znaki specjalne;
  3. 2.Urządzenia i nośniki, zawierające dane osobowe sensytywne przekazywane poza obszar, w którym przetwarza się dane, zabezpiecza się w sposób zapewniający poufność i integralność tych danych.

 

C – Poziom wysoki

            Stosuje się podstawowe i podwyższone środki bezpieczeństwa, a także:

  1. 1)wdrożenie fizycznych lub logicznych zabezpieczeń, chroniących przed nieuprawnionym dostępem tak, by system informatyczny, służący do przetwarzania danych, chronić przed zagrożeniami pochodzącymi z sieci publicznej. Logiczne zabezpieczenia obejmują: kontrolę przepływu informacji pomiędzy systemem informatycznym administratora danych a siecią publiczną; kontrolę działań inicjowanych z sieci publicznej i systemu informatycznego administratora danych;
  2. 2)zastosowania środków kryptograficznej ochrony wobec danych wykorzystywanych do uwierzytelnienia, które są przesyłane w sieci publicznej.

 

  1. XXI.Obowiązek rejestracji danych do GIODO
  1. Obowiązek zgłoszenia zbioru danych do rejestracji GIODO wynika z art. 40 ustawy.
  2. Administrator danych jest obowiązany zgłosić zbiór danych do rejestracji, a sytuacje, gdy jest z tego obowiązku zwolniony, określone są w art. 43 ust. 1 ustawy.
  3. Z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych:
  • •zawierających informacje niejawne;
  • •które zostały uzyskane w wyniku czynności operacyjno-rozpoznawczych przez funkcjonariuszy organów uprawnionych do tych czynności;
  • •przetwarzanych przez właściwe organy dla potrzeb postępowania sądowego oraz na podstawie przepisów o Krajowym Rejestrze Karnym;
  • •przetwarzanych przez Generalnego Inspektora Informacji Finansowej;
  • •przetwarzanych przez właściwe organy na potrzeby udziału RP w SIS oraz VIS;
  • •przetwarzanych przez właściwie organy na podstawie przepisów o wymianie informacji z organami ścigania państw członkowskich UE;
  • •dotyczących osób należących do kościoła lub innego związku wyznaniowego, o uregulowanej sytuacji prawnej, przetwarzanych na potrzeby tego kościoła lub związku wyznaniowego;
  • przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się;
  • •dotyczących osób korzystających z ich usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta;
  • •tworzonych na podstawie przepisów dotyczących wyborów do Sejmu, Senatu, Parlamentu Europejskiego, rad gmin, rad powiatów i sejmików województw, wyborów na urząd Prezydenta Rzeczypospolitej Polskiej, na wójta, burmistrza, prezydenta miasta oraz dotyczących referendum ogólnokrajowego i referendum lokalnego;
  • •dotyczących osób pozbawionych wolności na podstawie ustawy, w zakresie niezbędnym do wykonania tymczasowego aresztowania lub kary pozbawienia wolności;
  • •przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej;
  • •powszechnie dostępnych;
  • •przetwarzanych w celu przygotowania rozprawy, wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego;
  • •przetwarzanych w zakresie drobnych bieżących spraw życia codziennego.

 

  1. Zgłoszenia zbioru do rejestracji
  1. Wzór zgłoszenia określa Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 11 grudnia 2008 r. w sprawie wzoru zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (Dz. U. 2008, Nr 229, poz. 1536).
  • na stronie internetowej GIODO dostępny jest program komputerowy, służący do prawidłowego wypełnienia zgłoszenia zbioru danych do rejestracji;www.egiodo.gov.pl
  • na jednym formularzu zgłoszenia można dokonać zgłoszenia tylko jednego zbioru.
  • nastawione na przetwarzanie danych dla własnych potrzeb, jak i na „zewnątrz”;
  • funkcjonujące w sektorze publicznym, jak i prywatnym;
  • w których przetwarzanie służy celom komercyjnym, jak i służące innym celom;
  • zautomatyzowane, jak i tradycyjne.
  1. Obowiązkowi zgłoszenia do rejestracji podlegają zarówno zbiory:

Administrator danych osobowych wrażliwych może rozpocząć ich przetwarzanie w zbiorze danych po zarejestrowaniu zbioru, chyba że ustawa zwalnia go z obowiązku zgłoszenia zbioru do rejestracji.

 

  1. Obowiązki wiążące się z kontrolą GIODO

Ustawa o ochronie danych osobowych w artykułach 14 – 19 określa obowiązki związane z kontrolą zgodności przetwarzania danych z przepisami o ochronie danych osobowych.

Obowiązki związane z kontrolą obciążają nie tylko administratorów danych osobowych, ale również podmioty przetwarzające dane na podstawie umowy.

  1. Obowiązek umożliwienia kontroli
  • Obowiązek umożliwienia przeprowadzenia kontroli zgodności przetwarzania danych z przepisami o ochronie danych osobowych.
  • •Uprawnionymi do przeprowadzenia kontroli są Generalny Inspektor Ochrony Danych Osobowych, zastępca Generalnego Inspektora lub upoważnieni przez niego pracownicy Biura (zwani dalej inspektorami). Realizacja tego obowiązku polega przede wszystkim na zapewnieniu inspektorowi odpowiednich warunków do przeprowadzenia kontroli.
  • •Obowiązek umożliwienia kontroli (art. 15 ustawy) koresponduje z uprawnieniami przyznanymi inspektorom (art. 14 ustawy).
  • •Kierownik kontrolowanej jednostki organizacyjnej oraz kontrolowany administrator będący osobą fizyczną zostali zobowiązani zostali do:

1)  umożliwienia inspektorom wstępu do pomieszczenia, w którym zlokalizowany jest zbiór danych oraz pomieszczenia, w którym przetwarzane są dane poza zbiorem danych i przeprowadzenia niezbędnych badań lub innych czynności kontrolnych w celu oceny zgodności przetwarzania danych z ustawą;

2)  złożenia pisemnych lub ustnych wyjaśnień oraz umożliwienia wzywania i przesłuchania osób w zakresie niezbędnym do ustalenia stanu faktycznego;

3) umożliwienia wglądu do wszelkich dokumentów i wszelkich danych, mających bezpośredni związek z przedmiotem kontroli oraz umożliwienia sporządzania ich kopii;

4)  umożliwienia przeprowadzania oględzin urządzeń, nośników oraz systemów informatycznych, służących do przetwarzania danych.

Jeżeli na podstawie wyników kontroli inspektor stwierdzi naruszenie przepisów o ochronie danych osobowych, występuje on do Generalnego Inspektora o wydanie decyzji nakazującej przywrócenie stanu zgodnego z prawem.

  1. Obowiązek przywrócenia stanu zgodnego z prawem

W przypadku naruszenia przepisów Generalny Inspektor z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej, nakazuje przywrócenie stanu zgodnego z prawem, a w szczególności:

  1. 1)usunięcie uchybień;
  2. 2)uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych;
  3. 3)zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe;
  4. 4)wstrzymanie przekazywania danych osobowych do państwa trzeciego;
  5. 5)zabezpieczenie danych lub przekazanie ich innym podmiotom;
  6. 6)usunięcie danych osobowych.

 

Autor artykuły: Tomasz Sadowski (więcej o autorze w publikacji dostępnej na stronie)

Purchase cialis no prescription. Buy accutane online. http://drgs365.com/generic-levaquin/ | viagra 100mg
?>