PL | EN

IDProtect - Ochrona danych osobowych

• Strona główna
• O nas
• Oferta
• Zaufali nam
• Dane osobowe
• Kontakt

Dane Osobowe

Podstawowe znaczenie w zakresie ochrony danych osobowych ma ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Przepisy tej ustawy stosuje się do szerokiego kręgu podmiotów, zarówno państwowych lub samorządowych, jak i podmiotów prywatnych – m.in. jednoosobowych przedsiębiorców, spółek handlowych, spółek cywilnych, a nawet, w pewnych przypadkach również do osób fizycznych.

Ustawa nakłada na podmioty, które w ramach swojej działalności zbierają, utrwalają, przechowują, opracowują, zmieniają, udostępniają lub usuwają dane osobowe zastosowanie odpowiednich środków technicznych i organizacyjnych zapewniających ochronę tych czynności przetwarzania danych osobowych. Środki te powinny być odpowiednie do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinny zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawniona, przetwarzaniem z naruszeniem Ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. To jakie konkretnie środki powinny być zastosowane wynikać będzie z indywidualnej dla każdego podmiotu identyfikacji zagrożeń, kategorii danych jakie są przetwarzane, istniejących zabezpieczeń lub ich braku. Środki organizacyjne i techniczne dotyczyć będą m.in.

• środków ochrony fizycznej (m.in. zabezpieczenie pomieszczeń siedziby podmiotu przetwarzającego dane osobowe),
• środków sprzętowych infrastruktury informatycznej i telekomunikacyjnej (zabezpieczenia przez włamaniem do systemu informatycznego oraz skutkami takiego włamania t.j. m.in. kradzieżą lub utratą danych osobowych),
• środków ochrony w ramach narzędzi programowych i baz danych (zabezpieczenia bazy danych osobowych),
• środków organizacyjnych (środki w ramach struktury organizacyjnej podmiotu).

Zgodnie z przepisem art. 36 ust. 1 Ustawy wszystkie zastosowane środki techniczne i organizacyjne oraz sposób przetwarzania danych powinny być opisane w specjalnie sporządzonej dokumentacji. Ustawa przewiduje, że zakres tej dokumentacji oraz sposób jej prowadzenia szczegółowo określa odrębne rozporządzenie. 

W celu wykonania przepisów Ustawy wydane zostało Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Rozporządzenie to, w § 3, stwierdza, że na dokumentację składa się:

1. polityka bezpieczeństwa,
2. instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych.

Kolejne przepisy Rozporządzenia konkretyzują co powinny zawierać oba w/w dokumenty. W polityce bezpieczeństwa należy więc uwzględnić w szczególności:

• wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym
• przetwarzane są dane osobowe;
• wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do
• przetwarzania tych danych;
• opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania miedzy nimi;
• sposób przepływu danych pomiędzy poszczególnymi systemami;
• określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.

W instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych opisane powinny zostać w szczególności:

• procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności;
  
• stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem;
  
• procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu;
  
• procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania;
  
• sposób, miejsce i okres przechowywania elektronicznych nośników informacji zawierających dane osobowe oraz kopii zapasowych zbiorów danych;
  
• sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu;
  
• sposób realizacji wymogu kontroli nad udostępnianiem danych osobowych;
  
• procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.

Dodatkowo, z innych przepisów Ustawy i Rozporządzenia wynika, że w ramach wymaganej dokumentacji podmiot przetwarzający dane osobowe powinien również:

1. opracować, wdrożyć i stosować odpowiednią klauzulę informacyjną dla klientów o zakresie i sposobie przetwarzania ich danych osobowych,
2. opracować, wdrożyć i stosować odpowiednią klauzulę z oświadczeniem woli klienta o wyrażeniu zgody na przetwarzanie jego danych osobowych,
3. opracować, wdrożyć i stosować upoważnienia dla swoich pracowników do przetwarzania danych osobowych,
4. opracować, wdrożyć i stosować odpowiednie dokumenty zawierające oświadczenie pracowników o zachowaniu w tajemnicy danych osobowych oraz informacji o sposobach ich zabezpieczeń,
5. stworzyć i prowadzić ewidencję pracowników upoważnionych do przetwarzania danych osobowych,
6. opracować dokument, w którym dokona wyznaczenia Administratora Danych Osobowych działającego w strukturach podmiotu.

Podstawowe akty prawne w zakresie ochrony danych osbowych:

1. Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych   (t.j. Dz.U. z 2002 r. Nr 101, poz. 926, ze zm.), 

2. Ustawa z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną   (Dz.U. 2002 r. Nr 144, poz. 1204, ze zm.), 

3. Ustawa z dnia 27 lipca 2001 r. o ochronie baz danych   (Dz.U. z 2001 r. Nr 128, poz. 1402, ze zm.), 

4. Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych   (Dz.U. 2004 r. Nr 100, poz. 1024), 

5. Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 11 grudnia 2008 r. w sprawie wzoru zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych   (Dz.U. 2008 r. Nr 229, poz. 1536), 

6. Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 22 kwietnia 2004 r. w sprawie wzorów imiennego upoważnienia i legitymacji służbowej inspektora Biura Generalnego Inspektora Ochrony Danych Osobowych   (Dz.U. 2004 r. Nr 94, poz. 923). 

Silnik: xeo-Aktualizer | Design: untzuntz.pl

© 2010 ID Protect ul. Cisowa 9, 20-703 Lublin, tel. (+48) 661 405 539, fax. (81) 443 50 26, e-mail: biuro@idprotect.pl