Służba przygotowawcza- IV edycja
Wielkopolski Urząd Wojewódzki w Poznaniu
Poznań 2010
1
1. Zasady ochrony danych osobowych
Opracowanie: Maria Moszycka
O
O
C
C
H
H
R
R
O
O
N
N
A
A
D
D
A
A
N
N
Y
Y
C
C
H
H
O
O
S
S
O
O
B
B
O
O
W
W
Y
Y
C
C
H
H
I
I
I
I
N
N
F
F
O
O
R
R
M
M
A
A
C
C
J
J
I
I
N
N
I
I
E
E
J
J
A
A
W
W
N
N
Y
Y
C
C
H
H
Służba przygotowawcza- IV edycja
Wielkopolski Urząd Wojewódzki w Poznaniu
Poznań 2010
2
OCHRONA DANYCH OSOBOWYCH
I. GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH
1. Organem do spraw ochrony danych osobowych jest Generalny Inspektor Ochrony Danych
Osobowych (GIODO)
2. Na stanowisko Generalnego Inspektora może być powołany ten, kto łącznie spełnia
następujące warunki:
1) jest obywatelem polskim i stale zamieszkuje na terytorium Rzeczypospolitej Polskiej,
2) wyróżnia się wysokim autorytetem moralnym,
3) posiada wyższe wykształcenie prawnicze oraz odpowiednie doświadczenie zawodowe,
4) nie był karany za przestępstwo.
3. Generalny Inspektor w zakresie swoich zadań podlega tylko ustawie.
4. W dniu 13 lipca 2006 roku na stanowisko Generalnego Inspektora Ochrony Danych
Osobowych został wybrany przez Sejm RP Michał Serzycki na czteroletnią kadencję.
5. Generalny Inspektor Ochrony Danych Osobowych prowadzi postępowanie w sprawach
należących do jego kompetencji według przepisów Kodeksu postępowania administracyjnego,
chyba że odmienne uregulowania znajdują się w ustawie o ochronie danych osobowych.
Ustawa z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. tekst
jednolity z 2000 r., Nr 98, poz. 1071, ze zm.)
6. Kompetencje GIODO wyznaczają przepisy ustawy z dnia 29 sierpnia 1997 r. o ochronie
danych osobowych (t.j. Dz. U. z 2002 r. Nr 101, poz. 926, ze zm.). W ich świetle GIODO jest
uprawniony do:
1) kontroli zgodności przetwarzania danych z przepisami o ochronie danych osobowych,
2) wydawania decyzji administracyjnych i rozpatrywanie skarg w sprawach wykonania
przepisów o ochronie danych osobowych,
3) prowadzenia rejestru zbioru danych oraz udzielanie informacji o zarejestrowanych
zbiorach,
4) opiniowania projektów ustaw i rozporządzeń dotyczących ochrony danych osobowych,
5) inicjowania i podejmowania przedsięwzięć w zakresie doskonalenia ochrony danych
osobowych,
6) uczestniczenia w pracach międzynarodowych organizacji i instytucji zajmujących się
problematyką ochrony danych osobowych.
7. Uprawnienia kontrolne (art. 14 u.o.d.o.)
W celu wykonania zadań, o których mowa w art. 12 pkt. 1 i 2 u.o.d.o., Generalny Inspektor,
zastępca Generalnego Inspektora lub upoważnieni przez niego pracownicy Biura, zwani dalej
„inspektorami”, mają prawo:
1) wstępu, w godzinach od 6°° do 22°°, za okazaniem imiennego upoważnienia i legitymacji
służbowej, do pomieszczenia, w którym zlokalizowany jest zbiór danych, oraz
pomieszczenia, w którym przetwarzane są dane poza zbiorem danych, i przeprowadzenia
Służba przygotowawcza- IV edycja
Wielkopolski Urząd Wojewódzki w Poznaniu
Poznań 2010
3
niezbędnych badań lub innych czynności kontrolnych w celu oceny zgodności
przetwarzania danych z ustawą,
2) żądać złożenia pisemnych lub ustnych wyjaśnień oraz wzywać i przesłuchiwać osoby
w zakresie niezbędnym do ustalenia stanu faktycznego,
3) wglądu do wszelkich dokumentów i wszelkich danych mających bezpośredni związek
z przedmiotem kontroli oraz sporządzania ich kopii,
4) przeprowadzania oględzin urządzeń, nośników oraz systemów informatycznych służących
do przetwarzania danych,
5) zlecać sporządzanie ekspertyz i opinii.
8. Zakres decyzji nakazujących GIODO (art. 18 ust. 1 u.o.d.o.)
Art. 18. 1. W przypadku naruszenia przepisów o ochronie danych osobowych Generalny
Inspektor z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej,
nakazuje przywrócenie stanu zgodnego z prawem, a w szczególności:
1) usunięcie uchybień,
2) uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych
osobowych,
3) zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe,
4) wstrzymanie przekazywania danych osobowych do państwa trzeciego,
5) zabezpieczenie danych lub przekazanie ich innym podmiotom,
6) usunięcie danych osobowych.
Zgodnie z art. 21 ust. 1 u.o.d.o. strona może zwrócić się do GIODO o ponowne rozpatrzenie
sprawy.
Od drugiej decyzji GIODO stronie przysługuje skarga do sadu administracyjnego.
II. Biuro GIODO
1. Rozporządzenie Prezydenta Rzeczypospolitej Polskiej z dnia 3 listopada 2006 r. w sprawie
nadania statutu Biuru Generalnego Inspektora Ochrony Danych Osobowych (Dz. U. z 2006 r.,
Nr 203, poz. 1494).
2. Rozporządzenie powstało na podstawie art. 13 ust. 3 ustawy z dnia 29 sierpnia 1997r.
o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926, z późn. zm.).
Służba przygotowawcza- IV edycja
Wielkopolski Urząd Wojewódzki w Poznaniu
Poznań 2010
4
STRUKTURA ORGANIZACYJNA
(stan sierpień 2009 r.)
Służba przygotowawcza- IV edycja
Wielkopolski Urząd Wojewódzki w Poznaniu
Poznań 2010
5
III. Akty Prawne regulujące ochronę danych osobowych
1. Międzynarodowe
1) Konwencja Nr 108 Rady Europy o ochronie jednostek w kontekście automatycznego
przetwarzania danych osobowych – z 28 stycznia 1981 r.,
2) Dyrektywy Parlamentu Europejskiego i Rady:
a) 95/46/WE z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie
przetwarzania danych osobowych oraz swobodnego przepływu tych danych,
b) 2000/31/WE z dnia 8 czerwca 2000 r. w sprawie niektórych aspektów prawnych usług,
społeczeństwa informacyjnego, w szczególności handlu elektronicznego w ramach
rynku wewnętrznego (Dyrektywa o handlu elektronicznym),
c) 2006/24/WE z dnia 15 marca 2006 r. w sprawie zatrzymywania generowanych lub
przetwarzanych danych w związku ze świadczeniem ogólnie dostępnych usług łączności
elektronicznej lub udostępnianiem publicznych sieci łączności oraz zmieniająca
dyrektywę 2002/58/WE,
3) Decyzje,
4) Umowy międzynarodowe.
2. W Polsce
1) KONSTYTUCJA RZECZYPOSPOLITEJ POLSKIEJ (art. 47, 51.1),
47. Każdy ma prawo do ochrony prawnej życia prywatnego, rodzinnego, czci i dobrego
imienia oraz do decydowania o swoim życiu osobistym.
51.1 Nikt nie może być obowiązany inaczej, niż na podstawie ustawy do ujawniania
informacji dotyczącej jego osoby.
2. Władze publiczne nie mogą pozyskiwać, gromadzić i udostępniać innych informacji o
obywatelach, niż niezbędne w demokratycznym państwie prawnym.
3. Każdy ma prawo dostępu do dotyczących go urzędowych dokumentów i zbiorów
danych. Ograniczenie tego prawa może określić ustawa.
4. Każdy ma prawo do żądania sprostowania oraz usunięcia informacji nieprawdziwych,
niepełnych lub zebranych w sposób sprzeczny z ustawą.
5. Zasady i tryb gromadzenia oraz udostępniania informacji określi ustawa.
2) Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych
(tj. Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.).
3) Akty wykonawcze do ustawy o ochronie danych osobowych.
IV. USTAWA O OCHRONIE DANYCH OSOBOWYCH
(Dz. U. z 2002r. Nr 101, poz. 926, z późn. zm.)
Pojęcie „Danych osobowych” (art. 6 u.o.d.o.)
Art. 6. 1. W rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące
zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.
2. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić
bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer
identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy
fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.
Służba przygotowawcza- IV edycja
Wielkopolski Urząd Wojewódzki w Poznaniu
Poznań 2010
6
3. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli
wymagałoby to nadmiernych kosztów, czasu lub działań.
Rodzaje danych osobowych
Dane zwykłe
brak wyliczenia (wszelkie inne dane osobowe oprócz danych wrażliwych)
Dane wrażliwe
dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania
religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak
również dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz
dane dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń
wydanych w postępowaniu sądowym lub administracyjnym (art. 27 ust. 1 u.o.d.o.).
Przykład danych wrażliwych:
Dane o stanie zdrowia – wszelkie informacje, które bezpośrednio lub pośrednio
(„w kontekście”)ujawniają stan zdrowia zidentyfikowanej lub możliwej do
zidentyfikowania osoby fizycznej.
Inne pojęcia (art. 7 u.o.d.o.)
Art. 7. Ilekroć w ustawie jest mowa o:
1) zbiorze danych - rozumie się przez to każdy posiadający strukturę zestaw danych
o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego,
czy zestaw ten jest rozproszony lub podzielony funkcjonalnie,
2) przetwarzaniu danych - rozumie się przez to jakiekolwiek operacje wykonywane na
danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie,
zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach
informatycznych,
2a) systemie informatycznym - rozumie się przez to zespół współpracujących ze sobą
urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych
zastosowanych w celu przetwarzania danych,
2b) zabezpieczeniu danych w systemie informatycznym - rozumie się przez to wdrożenie
i eksploatację stosownych środków technicznych i organizacyjnych zapewniających
ochronę danych przed ich nieuprawnionym przetwarzaniem,
3) usuwaniu danych - rozumie się przez to zniszczenie danych osobowych lub taką ich
modyfikację, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą,
4) administratorze danych - rozumie się przez to organ, jednostkę organizacyjną, podmiot
lub osobę, o których mowa w art. 3, decydujące o celach i środkach przetwarzania danych
osobowych,
5) zgodzie osoby, której dane dotyczą - rozumie się przez to oświadczenie woli, którego
treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie;
zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści,
6)odbiorcy danych - rozumie się przez to każdego, komu udostępnia się dane osobowe,
z wyłączeniem:
a) osoby, której dane dotyczą,
b) osoby upoważnionej do przetwarzania danych,
c) przedstawiciela, o którym mowa w art. 31a,
d) podmiotu, o którym mowa w art. 31,
Służba przygotowawcza- IV edycja
Wielkopolski Urząd Wojewódzki w Poznaniu
Poznań 2010
7
e) organów państwowych lub organów samorządu terytorialnego, którym dane są
udostępniane w związku z prowadzonym postępowaniem,
7) państwie trzecim - rozumie się przez to państwo nienależące do Europejskiego Obszaru
Gospodarczego.
1. Zakres stosowania ustawy o ochronie danych osobowych
1) Ustawa określa zasady postępowania przy przetwarzaniu danych osobowych oraz prawa
osób fizycznych, których dane są lub mogą być przetwarzane w zbiorach danych.
2) Ustawę stosuje się do przetwarzania danych osobowych:
a) w systemach informatycznych, także w przypadku przetwarzania danych osobowych
poza zbiorem danych,
b) w kartotekach, skorowidzach, księgach, wykazach i innych zbiorach ewidencyjnych.
2. Zakres podmiotowy ustawy o ochronie danych osobowych
1) Ustawę stosuje się do organów państwowych, organów samorządu terytorialnego oraz do
państwowych i komunalnych jednostek organizacyjnych.
2) Ustawę stosuje się również do:
a) podmiotów niepublicznych realizujących zadania publiczne,
b) osób fizycznych i osób prawnych oraz jednostek organizacyjnych niebędących osobami
prawnymi, jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową,
zawodową lub dla realizacji celów statutowych - które mają siedzibę albo miejsce
zamieszkania na terytorium Rzeczypospolitej Polskiej, albo w państwie trzecim, o ile
przetwarzają dane osobowe przy wykorzystaniu środków technicznych znajdujących się
na terytorium Rzeczypospolitej Polskiej.
3) Ustawy nie stosuje się do:
a) osób fizycznych, które przetwarzają dane wyłącznie w celach osobistych lub
domowych,
b) podmiotów mających siedzibę lub miejsce zamieszkania w państwie trzecim,
wykorzystujących środki techniczne znajdujące się na terytorium Rzeczypospolitej
Polskiej wyłącznie do przekazywania danych.
c) 2. Ustawy, z wyjątkiem przepisów art. 14-19 i art. 36 ust. 1, nie stosuje się również do
prasowej działalności dziennikarskiej w rozumieniu ustawy z dnia 26 stycznia 1984 r. -
Prawo prasowe (Dz. U. Nr 5, poz. 24, z późn. zm.) oraz do działalności literackiej lub
artystycznej, chyba że wolność wyrażania swoich poglądów i rozpowszechniania
informacji istotnie narusza prawa i wolności osoby, której dane dotyczą.
3. Podmioty i osoby odpowiedzialne:
1) ADMINISTRATOR DANYCH - organ, jednostka organizacyjna, podmiot lub osoba
decydująca o celach i środkach przetwarzania danych osobowych (art.7 ust.4 u.o.d.o.).
Kategorie obowiązków administratora danych:
1. warunki („przesłanki”) dopuszczalności przetwarzania danych osobowych:
- tzw. danych zwykłych,
- danych wrażliwych,
Przesłanki przetwarzania danych tzw. zwykłych (art.23 ust.1 u.o.d.o.)
Służba przygotowawcza- IV edycja
Wielkopolski Urząd Wojewódzki w Poznaniu
Poznań 2010
8
1) osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie
dotyczących jej danych,
2) jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku
wynikającego
z przepisów prawa,
3) jest konieczne dla realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną
lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie
osoby, której dane dotyczą,
4) jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra
publicznego,
5) jest niezbędne do wypełnienia prawnie usprawiedliwionych celów administratorów
danych albo odbiorców danych, a przetwarzanie danych nie narusza praw
i wolności osoby, której dane dotyczą.
Przesłanki przetwarzania danych tzw. wrażliwych (art.27 ust.2 u.o.d.o.)
1) osoba, której dane dotyczą, wyrazi na to zgodę na piśmie, chyba że chodzi
o usunięcie dotyczących jej danych,
2) przepis szczególny innej ustawy zezwala na przetwarzanie takich danych bez zgody
osoby, której dane dotyczą, i stwarza pełne gwarancje ich ochrony,
3) przetwarzanie takich danych jest niezbędne do ochrony żywotnych interesów osoby,
której dane dotyczą, lub innej osoby, gdy osoba, której dane dotyczą, nie jest
fizycznie lub prawnie zdolna do wyrażenia zgody, do czasu ustanowienia opiekuna
prawnego lub kuratora,
4) jest to niezbędne do wykonania statutowych zadań kościołów i innych związków
wyznaniowych, stowarzyszeń, fundacji lub innych niezarobkowych organizacji lub
instytucji o celach politycznych, naukowych, religijnych, filozoficznych lub
związkowych, pod warunkiem, że przetwarzanie danych dotyczy wyłącznie
członków tych organizacji lub instytucji albo osób utrzymujących z nimi stałe
kontakty w związku z ich działalnością i zapewnione są pełne gwarancje ochrony
przetwarzanych danych,
5) przetwarzanie dotyczy danych, które są niezbędne do dochodzenia praw przed
sądem,
6) przetwarzanie jest niezbędne do wykonania zadań administratora danych
odnoszących się do zatrudnienia pracowników i innych osób, a zakres
przetwarzanych danych jest określony w ustawie,
2. obowiązki informacyjne w stosunku do podmiotu danych (art.24 i art.25 u.o.d.o.),
3. obowiązek informacyjne względem innych administratorów danych (art.35 ust.3
u.o.d.o.),
4. obowiązki „szczególnej staranności” (art.26 u.o.d.o.),
5. zakaz automatyzacji rozstrzygnięć indywidualnych (art.26a u.o.d.o.),
6. obowiązki dotyczące treści numerów porządkowych (art.28 u.o.d.o.),
7. udostępnienie danych osobowych (art.29 u.o.d.o.)
8. wymogi powierzenia przetwarzania danych osobowych (art.31 u.o.d.o.),
9. obowiązki realizacji żądań osoby, której dane dotyczą (art.32-35 u.o.d.o.),
10. obowiązki zabezpieczenia technicznego i organizacyjnego zbiorów danych
(art.36-39 u.o.d.o.),
11. zgłoszenie zbioru danych do rejestracji GIODO/aktualizacja zgłoszenia
(art.40-46 u.o.d.o.),
Służba przygotowawcza- IV edycja
Wielkopolski Urząd Wojewódzki w Poznaniu
Poznań 2010
9
12. warunki przekazywania danych osobowych do państwa trzeciego (art.47-48 u.o.d.o.).
2) ADMINISTRATOR BEZPIECZEŃSTWA INFORMACJI - osoba wyznaczona przez
Administratora danych, nadzorująca przestrzeganie zasad ochrony (art.36 ust.3 u.o.d.o.),
Status i rola ABI
- forma wyznaczenia,
- charakter obowiązków ABI,
- usytuowanie w strukturze organizacyjnej.
3) OSOBA UPOWAŻNIONA DO PRZETWARZANIA DANYCH OSOBOWYCH -
posiadająca upoważnienie nadane przez administratora danych (art. 37 u.o.d.o.).
Art. 39.
1. Administrator danych prowadzi ewidencję osób upoważnionych do ich przetwarzania,
która powinna zawierać:
1) imię i nazwisko osoby upoważnionej,
2) datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych,
3) identyfikator, jeżeli dane są przetwarzane w systemie informatycznym.
2. Osoby, które zostały upoważnione do przetwarzania danych są obowiązane zachować w
tajemnicy te dane osobowe oraz sposoby ich zabezpieczenia.
Obowiązki osób upoważnionych
1. Wykonywanie czynności na danych wyłącznie w zakresie nadanego upoważnienia.
2. Zachowanie w tajemnicy dane osobowe oraz sposoby ich zabezpieczenia.
3. Przestrzeganie zasad bezpieczeństwa technicznego i organizacyjnego,
tj. określonych przez administratora danych środków zabezpieczenia:
- organizacyjnych,
- fizycznych,
- programowych,
- sprzętowych.
4. Odpowiedzialność
- służbowa,
- karna.
4) PODMIOT, KTÓREMU ADMINISTRATOR POWIERZYŁ PRZETWARZANIE
DANYCH
Administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na
piśmie, przetwarzanie danych (art.31 ust.1 u.o.d.o.)
4. Udostępnianie danych
Art. 29. 1.W przypadku udostępniania danych osobowych w celach innych niż włączenie do
zbioru, administrator danych udostępnia posiadane w zbiorze dane osobom lub podmiotom
uprawnionym do ich otrzymania na mocy przepisów prawa.
2. Dane osobowe, z wyłączeniem danych, o których mowa w art. 27 ust. 1, mogą być także
udostępnione w celach innych niż włączenie do zbioru, innym osobom i podmiotom niż
Służba przygotowawcza- IV edycja
Wielkopolski Urząd Wojewódzki w Poznaniu
Poznań 2010
10
wymienione w ust. 1, jeżeli w sposób wiarygodny uzasadnią potrzebę posiadania tych danych,
a ich udostępnienie nie naruszy praw i wolności osób, których dane dotyczą.
3. Dane osobowe udostępnia się na pisemny, umotywowany wniosek, chyba że przepis innej
ustawy stanowi inaczej. Wniosek powinien zawierać informacje umożliwiające wyszukanie
w zbiorze żądanych danych osobowych oraz wskazywać ich zakres i przeznaczenie.
(...)
Art. 33.
1. Na wniosek osoby, której dane dotyczą, administrator danych jest obowiązany, w terminie
30 dni, poinformować o przysługujących jej prawach oraz udzielić, odnośnie jej danych
osobowych, informacji, o których mowa w art. 32 ust. 1 pkt 1-5a, a w szczególności podać
w formie zrozumiałej:
1) jakie dane osobowe zawiera zbiór,
2) w jaki sposób zebrano dane,
3) w jakim celu i zakresie dane są przetwarzane,
4) w jakim zakresie oraz komu dane zostały udostępnione.
2. Na wniosek osoby, której dane dotyczą informacji, o których mowa w ust. 1, udziela się na
piśmie.
V. POLITYKA BEZPIECZEŃSTWA
Art. 39a.
Minister właściwy do spraw administracji publicznej w porozumieniu z ministrem właściwym do
spraw informatyzacji, określi, w drodze rozporządzenia, sposób prowadzenia i zakres
dokumentacji, o której mowa w art. 36 ust. 2, oraz podstawowe warunki techniczne
i organizacyjne, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do
przetwarzania danych osobowych, uwzględniając zapewnienie ochrony przetwarzanych
danych osobowych odpowiedniej do zagrożeń oraz kategorii danych objętych ochroną,
a także wymagania w zakresie odnotowywania udostępniania danych osobowych
i bezpieczeństwa przetwarzanych danych.
Aktualnie obowiązujący dokument dot. polityki bezpieczeństwa został wprowadzony
zarządzeniem Dyrektora Generalnego Wielkopolskiego Urzędu Wojewódzkiego w Poznaniu
z dnia 19 września 2007 r. w sprawie „Dokumentacji przetwarzania informacji”
Dokument ten jest dostępny w sekretariatach wydziałów oraz w Intranecie WUW
(zakładka: Zarządzenia - Zarządzenia dyrektora generalnego).
1. Polityka bezpieczeństwa zawiera w szczególności:
1) wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym
przetwarzane są dane osobowe;
2) wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do
przetwarzania tych danych;
3) opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych
i powiązania między nimi;
4) sposób przepływu danych pomiędzy poszczególnymi systemami;
Służba przygotowawcza- IV edycja
Wielkopolski Urząd Wojewódzki w Poznaniu
Poznań 2010
11
5) określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia
poufności, integralności i rozliczalności przetwarzanych danych.
2. Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych
osobowych zawiera w szczególności:
1) procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień
w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności;
2) stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem
i użytkowaniem;
3) procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników
systemu;
4) procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi
programowych służących do ich przetwarzania;
5) sposób, miejsce i okres przechowywania:
a) elektronicznych nośników informacji zawierających dane osobowe,
b) kopii zapasowych, o których mowa w pkt 4,
6) sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania
7) sposób realizacji wymogów, o których mowa w § 7 ust. 1 pkt 4 [odnotowywanie w systemie
inf. o udostępnieniu danych],
8) procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji
służących do przetwarzania danych.
3. Stopniowanie zabezpieczeń w systemach informatycznych odpowiednie do kategorii danych
objętych ochroną oraz zagrożeń.
1) podstawowy
a) zabezpieczenie fizyczne obszaru przetwarzania danych.
b) mechanizm kontroli dostępu do danych (identyfikator i hasło). Wymogi wobec hasła:
ilość znaków i okres używania.
c) dopuszczalność stosowania dodatkowych sposobów uwierzytelnienia.
d) ochrona infrastruktury przed zakłóceniami i zagrożeniami wewnętrznymi:
- ochrona przed awarią zasilania lub zakłóceniami w sieci zasilającej,
- ochrona przed dostępem do danych przy pomocy oprogramowania wykorzystującego
luki i błędy w systemach.
e) zabezpieczenie kopii zapasowych.
f) użytkowanie komputera przenośnego.
g) zasady postępowania z nośnikami przeznaczonymi do likwidacji, naprawy lub
przekazania innemu podmiotowi.
2) podwyższony - zabezpieczenia jak podstawowy oraz dodatkowo:
a) ilość znaków w haśle.
b) zabezpieczenie urządzeń i nośników zawierających dane osobowe wynoszone poza
obszar przetwarzania danych.
3) wysoki - zabezpieczenia jak podstawowy, podwyższony oraz dodatkowo:
a) zabezpieczenia logiczne i fizyczne przed zagrożeniami pochodzącymi ze strony sieci
b) zabezpieczenia teletransmisji
Służba przygotowawcza- IV edycja
Wielkopolski Urząd Wojewódzki w Poznaniu
Poznań 2010
12
VI. e-GIODO
Platforma e-GIODO została uruchomiona 7 lipca 2006 r.
Jej wdrożenie współfinansowane było przez Unię Europejską ze środków Europejskiego
Funduszu Rozwoju Regionalnego.
Jej częściami są:
- program komputerowy służący do prawidłowego wypełnienia zgłoszenia zbioru danych do
rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (GIODO),
- internetowa wersja ogólnokrajowego rejestru zbiorów danych osobowych, umożliwiająca
wyszukiwanie zarejestrowanych zbiorów za pomocą wielu kryteriów, takich jak nazwa zbioru,
nazwa administratora danych czy jego siedziba.
VII. edu GIODO
Platforma eduGIODO została uruchomiona październiku 2008 r.
Jest częścią unijnego projektu współfinansowanego ze środków Programu Transition Facility
2005/017-488.01.08 "Rezerwa elastyczna" - "Ochrona danych osobowych - moje prawa, moje
obowiązki".
Umieszczono na niej materiały:
- informacyjne,
- szkoleniowe.
VIII. Dzień Ochrony Danych Osobowych
Europejski Dzień Ochrony Danych Osobowych,
ustalony przez Komitet Ministrów Rady Europy,
na dzień
28 stycznia
o ustanowieniu dnia 28 stycznia świętem ochrony danych osobowych zdecydował Komitet
Ministrów Rady Europy, biorąc pod uwagę, że tego dnia obchodzona jest rocznica otwarcia do
podpisu Konwencji 108 Rady Europy z dnia 28 stycznia 1981r. w sprawie ochrony osób
w zakresie zautomatyzowanego przetwarzania danych osobowych - najstarszego aktu prawnego
o zasięgu międzynarodowym, kompleksowo regulującego zagadnienia związane z ochroną
danych osobowych.