Obowiązki administratora danych osobowych – wymagane dokumenty.

blog INLEGIS Kancelarie Prawne

Każdy ma prawo do ochrony dotyczących go danych osobowych.

O ochronie danych osobowych słyszeli niemal wszyscy jednakże często nie wiemy co jest daną osobową i kiedy mamy do czynienia z przetwarzaniem danych osobowych.

Daną osobową w rozumieniu ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych są wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio bez użycia nadmiernych kosztów, czasu lub działań, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.

Zaś z przetwarzaniem tych danych osobowych mamy do czynienia nie tylko w momencie ich wykorzystania. Przetworzeniem danych jest bowiem każda czynność wykonywana na danych osobowych, tj. zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i ich usuwanie.

Administratorami danych osobowych są podmioty, które przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych, mające siedzibę albo miejsce zamieszkania na terytorium Polski, albo w państwie trzecim, o ile przetwarzają dane osobowe przy wykorzystaniu środków technicznych znajdujących się na terytorium Polski.

Administratorem danych osobowych będzie więc zarówno spółka prawa handlowego jak i osoba fizyczna prowadząca jednoosobową działalność gospodarczą.

Administratorzy danych osobowych powinni pamiętać o tym, że ciąży na nich obowiązek prowadzenia dokumentacji opisującej sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednie do zagrożeń oraz kategorii danych objętych ochroną.

Sposób prowadzenia i zakres tej dokumentacji określa Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 roku w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.

Wymagane dokumenty to:

  1. polityka bezpieczeństwa oraz
  2. instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych.

Polityka bezpieczeństwa zgodnie z ww. rozporządzeniem powinna określać w szczególności:

  1. wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe;
  2. wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych;
  3. opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi;
  4. sposób przepływu danych pomiędzy poszczególnymi systemami;
  5. określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.

Natomiast instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych powinna opisywać procedury:

  1. nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności;
  2. rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu;
  3. tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania jak również sposób, miejsce i okres ich przechowywania;
  4. wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.

Ponadto w instrukcji administrator danych osobowych powinien określić stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem jak również sposób, miejsce i okres przechowywania elektronicznych nośników informacji zawierających dane osobowe.

Ważne jest także aby w instrukcji wskazać sposób zabezpieczenia systemu informatycznego oraz sposób odnotowywania informacji o odbiorcach, którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia, chyba że system informatyczny używany jest do przetwarzania danych zawartych w zbiorach jawnych.

Należy pamiętać, że ww. instrukcja konieczna jest w sytuacji gdy do przetwarzania danych osobowych wykorzystywany jest system informatyczny rozumiany jako zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych.

Powyżej wskazane dokumenty powinny odpowiadać standardom i zasadom obowiązującym u danego administratora. Nie powinny mieć charakteru abstrakcyjnego.

W pierwszej kolejności administrator danych osobowych właściwie identyfikuje przetwarzane dane osobowe oraz określa miejsca i sposób ich przetwarzania. Od stosowanych przez niego nośników informacji, a także rodzaju urządzeń oraz oprogramowania jaki wykorzystuje w tym procesie zależeć będą bowiem przyjęte przez niego metody zapewnienia ochrony tych danych.

Z uwagi na kategorie przetwarzanych danych oraz zagrożenia wprowadzono 3 poziomy bezpieczeństwa przetwarzania danych osobowych w systemie informatycznym: podstawowy, podwyższony oraz wysoki. Ww. rozporządzenie określa konieczne do zastosowania środki bezpieczeństwa na każdym z powyższych poziomów.

Pamiętać trzeba, o tym, że obowiązki administratora danych osobowych nie ograniczają się do przygotowania i wdrożenia powyższej opisanych dokumentów. Na administratorze ciążą bowiem jeszcze inne obowiązki związane z ochroną danych osobowych.

Zapraszamy do kontaktu z Kancelarią (tel.: +48 71 729 21 50 lub e-mail: kancelarie@inlegis.pl) - reprezentujemy klientów na terenie całej Polski.