WIEDZA


Szanowni Państwo

Obowiązująca Ustawa z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (tekst jednolity: Dz. U. 2016 r. poz 922) określa zasady przetwarzania danych osobowych, w tym obowiązki Administratora Danych, a także prawa osób, których dane dotyczą.


Ustawa o ochronie danych osobowych nakłada na wszystkich administratorów danych obowiązek stosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych oraz zabezpieczenia ich przed udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Jednym z podstawowych wymogów w tym zakresie jest opracowanie i wdrożenie polityki bezpieczeństwa, o której mowa w przepisach wykonawczych do ustawy.


Od 1 stycznia 2015 r. organizacje przetwarzające dane osobowe mogą zdecydować o tym, czy zgłaszać rejestrację zbiorów danych do GIODO, czy powołać Administratora Bezpieczeństwa Informacji.


Administrator danych osobowych (ADO) przetwarzający dane osobowe może:

sama być odpowiedzialna za właściwe, zgodne z prawem, w tym z normami ustawy o ochronie danych osobowych, zorganizowanie procesu przetwarzania danych osobowych;

powołać administratora bezpieczeństwa informacji (ABI) i powierzyć mu wykonywanie wyżej wymienionych zadań.


Najważniejsze akty prawne w zakresie ochrony danych osobowych

1.Ustawa o ochronie danych osobowych z dnia 29 sierpnia 1997 r. (Dz. U. 2016 r. poz. 922);

2. Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewnienia przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji (Dz. U. z 2015, poz. 745);

3.Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych (Dz. U. z 2015, poz. 719);

4.Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 10 grudnia 2014 r. w sprawie wzorów zgłoszeń powołania i odwołania administratora bezpieczeństwa informacji (Dz. U. 2014, poz. 1934);

5.Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 22 kwietnia 2004 r. w sprawie wzorów imiennego upoważnienia i legitymacji służbowej inspektora Biura Generalnego Inspektora Ochrony Danych Osobowych (Dz. U. z 2004 r. Nr 94, poz. 923);

6.Rozporządzenie ministra spraw wewnętrznych i administracji z dnia 11 maja 2011 r. zmieniające rozporządzenie w sprawie wzorów imiennego upoważnienia i legitymacji służbowej inspektora Biura Generalnego Inspektora Ochrony Danych Osobowych (Dz. U. z 2011 r. Nr 103, poz. 601);

7.Rozporządzenie Prezydenta Rzeczypospolitej Polskiej z dnia 10 października 2011 r. w sprawie nadania statutu Biuru Generalnego Inspektora Ochrony Danych Osobowych (Dz. U. z 2011, Nr 225, poz. 1350);

8.Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 11 grudnia 2008 r. w sprawie wzoru zgłoszenia zbioru do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (Dz. U. z 2008 r., Nr 229, poz. 1536);

9.Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024).


SŁOWNICZEK POJĘĆ:

Dane osobowe

W rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.

Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jedne lub klika specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.

Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.


Dane wrażliwe

Dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz dane dotyczące skazań, orzeczeń o ukaraniu i mandatach karnych, a także innych orzeczeniach wydanych w postępowaniu sądowym lub administracyjnym.


Zbiór danych

Każdy posiadający strukturę zestaw danych o charakterze osobowych, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie.


Przetwarzanie danych osobowych

Jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych.


Systemy informatyczne

Zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji narzędzi programowych zastosowanych w celu przetwarzania danych.


Zabezpieczenie danych w systemów informatycznych – wdrożenie i eksploatacja stosowanych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem.


Usuwanie danych

Zniszczenie danych osobowych lub taką ich modyfikacja, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą.


Zgoda osoby, której dane dotyczą

Oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie, zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści, zgoda może być odwołana w każdym czasie.


Odbiorca danych

Każdy, komu udostępnia się dane osobowe, z wyłączeniem:

Osoby, której dane dotyczą;

Osoby upoważnionej do przetwarzania danych;

Przedstawiciela o którym mowa w art. 31a;

Podmiotu, o którym mowa w art. 31;

Organów państwowych lub organów samorządu terytorialnego, którym dane są udostępniane w związku z prowadzonym postępowaniem.


Państwo trzecie

Państwo nienależące do Europejskiego Obszaru Gospodarczego.


Administrator danych osobowych

Administrator danych osobowych (ADO) - organ, jednostka organizacyjna podmiot lub osoba, o których mowa w art. 3 decydujące o celach i środkach przetwarzania danych osobowych.

Podmioty o których mówi art. 3 to:

organy państwowe, organy samorządu terytorialnego oraz państwowe i komunalne jednostki organizacyjne;

podmioty niepubliczne realizujące zadania publiczne;

osoby fizyczne i osoby prawne oraz jednostki organizacyjne niebędące osobami prawnymi, jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych.

Obowiązki informacyjne Administratora danych osobowych:

Jeżeli administrator zbiera dane osobowe od osoby, której dane dotyczą, zobowiązany jest ją poinformować o pewnych elementach. Będą to przede wszystkim informacje o:

1.adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna - o miejscu swojego zamieszkania oraz imieniu i nazwisko;

2.celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych;

3.prawie dostępu do treści swoich danych oraz ich poprawieniu;

4.dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej.


Administrator bezpieczeństwa informacji

Administrator danych może powołać Administratora bezpieczeństwa informacji (ABI).

Do zadań ABI należy:

1.Sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych.

2.Nadzorowanie opracowania i aktualizowania dokumentacji o której mowa w art. 36 ust. 2, oraz przestrzegania zasad w niej określonych.

3.Zapewnienie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych.

4.Prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych , z wyjątkiem zbiorów o których mowa w art. 43 ust. 1, zawierającego nazwę zbioru oraz informacje, o których mowa w art.41 ust. 1 pkt 2-4a i 7.


Generalny Inspektor Ochrony Danych Osobowych

Organ do spraw ochrony danych osobowych, którego powołuje Sejm Rzeczpospolitej Polskiej.

Do zdań Generalnego Inspektora w szczególności należy:

Kontrola zgodności przetwarzania danych z przepisami o ochronie danych osobowych.

Wydawanie decyzji administracyjnych i rozpatrywanie skarg w sprawach wykonywania przepisów o ochronie danych osobowych.

Zapewnienie wykonywania przez zobowiązanych obowiązków o charakterze niepieniężnym wynikających z decyzji o których mowa w pkt 2, przez stosowanie środków egzekucyjnych przewidzianych w ustawie z dnia 17 czerwca 1966 r. o postępowaniu egzekucyjnym w administracji.

Prowadzenie rejestru zbiorów danych oraz rejestru administratorów informacji, a także udzielania informacji o zarejestrowanych zbiorach i zarejestrowanych administratorach bezpieczeństwa informacji.


Polityka bezpieczeństwa danych osobowych

Polityka bezpieczeństwa danych osobowych zawiera w szczególności:

wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe;

wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania danych;

opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi;

sposób przepływu danych pomiędzy poszczególnymi systemami;

określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przy przetwarzaniu danych.


Instrukcja zarządzania systemem informatycznym

Instrukcja zarządzania systemem informatycznym zawiera w szczególności:

1.procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności;

2.stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem;

3.procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu;

4.procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania;

5.sposób, miejsce i okres przechowywania:
- elektronicznych nośników informacji zawierających dane osobowe,

- kopii zapasowych, o których mowa w pkt. 4;

6.sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, o którym mowa w pkt III ppkt 1 załącznika do rozporządzenia;

7.sposób realizacji wymogów, o których mowa w § 7 ust. 1 pkt 4 rozporządzenia;

8.procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.