Xevin Consulting - Blog Blog

Dokumentacja administratora danych

dodał Michał, 2010-02-24 17:16

Życie przedsiębiorcy w świetle przepisów ustawy o ochronie danych osobowych nie jest łatwe. Oprócz tego, że istnieje wymóg zgłaszania pewnych kategorii danych do GIODO, każdy podmiot przetwarzający dane osobowe (zarówno swoje jak i powierzone mu do przetwarzania) musi spełniać szereg innych wymogów, a zwłaszcza posiadać dokumentację opisującą system ochrony danych osobowych. Przyjrzyjmy się zatem, czego od przedsiębiorcy wymaga ustawodawca w świetle interesującego nas tematu.

Przede wszystkim na warsztat musimy wziąć rozdział 5 ustawy o ochronie danych osobowych. I tak po kolej:
- art. 36 ust. 2 mówi nam o tym, że administrator danych prowadzi dokumentację opisującą sposób przetwarzania danych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych (do tematu dokumentacji wrócę w dalszej części wpisu),
- art. 37 nakazuje natomiast, by administrator danych upoważnił każdą osobę przetwarzającą dane osobowe (a więc wymóg posiadania upoważnienia),
- art. 39 ust. 1 wprowadza wymóg prowadzenia ewidencji osób upoważnionych do przetwarzania danych osobowych,
- art. 39 ust. 2 przewiduje zaś, że osoby, które zostały upoważnione mają obowiązek zachować w tajemnicy dane osobowe do których mają dostęp, przy czym obowiązek ten rozciąga się również na informacje o tym jak dane osobowe są zabezpieczone,
- art. 39a jest ściśle powiązany z art. 36 ust. 2, ponieważ rozwija temat związany z koniecznością posiadania dokumentacji. Ta ostatnia opisana jest, zgodnie z delegacją zawartą w niniejszym przepisie, w akcie wykonawczym wydanym do ustawy o ochronie danych osobowych, a dokładniej w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dn. 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Należy zauważyć, że przywołane tu rozporządzenie nakazuje, by podmiot przetwarzający dane osobowe posiadał kolejne dwa dokumenty, a mianowicie: politykę bezpieczeństwa oraz instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych.

Zróbmy zatem małe podsumowanie tego, o czym napisałem powyżej. Administrator danych osobowych (lub podmiot, który w imieniu administratora przetwarza dane) powinien posiadać:
  • dokumentację obejmującą: politykę bezpieczeństwa oraz instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych,
  • upoważnienia do przetwarzania danych osobowych,
  • ewidencję osób upoważnionych,
  • oświadczenia o zachowaniu danych osobowych w tajemnicy oraz informacji o sposobach ich zabezpieczeń.

W zasadzie to nie wszystko. Szybkie spojrzenie na art. 31 interesującej nas ustawy i okazuje się, że jeżeli administrator danych osobowych chce powierzyć innemu podmiotowi dane osobowe może to zrobić, ale tylko w drodze tzw. umowy powierzenia przetwarzania danych osobowych.

Jak widać, dokumentów jest całkiem sporo, a nie można zapominać o tym, ze w niektórych branżach np. firmach medycznych, katalog wymaganych dokumentów może być jeszcze większy, gdyż wynika to wprost z przepisów szczególnych.

Komentarze (0)

Kategorie:
iSecure

Księgi akcyjne

dodał Michał, 2010-02-18 17:39

Jeśli ktoś od jakiegoś już czasu zajmuje się tematyką danych osobowych, doskonale zdaje sobie sprawę jak łatwo przeoczyć jakiś zbiór danych. W niniejszej notatce chciałbym zwrócić uwagę na taki właśnie, wydawałoby się niepozorny, zbiór. Zgodnie z wymogami przepisów kodeksu spółek handlowych spółki akcyjne mają obowiązek prowadzić dla swych akcjonariuszy tzw. księgę akcyjną. Księga taka, o ile akcjonariusze są osobami fizycznymi (mogą być nimi także inne firmy!), z oczywistych względów zawiera dane osobowe (np. takie jak imię, nazwisko, adres, nr NIP, miejsce pracy etc.). Dane te przetwarzane są, rzecz jasna, w sposób legalnych, gdyż wynika to z przepisów wspomnianego wyżej ksh. Powstaje jednak pytanie czy taki zbiór wymaga rejestracji.
Ustawa o ochronie danych osobowych określa w art. 43 jakie zbiory nie wymagają zgłoszenia do GIODO. Wydawać by się mogło, że do ksiąg akcyjnych zastosowanie będzie miała przesłanka mówiąca o danych powszechnie dostępnych. Jednak nie jest to prawdą. Dane zawarte w księdze akcyjnej znane są tylko innym akcjonariuszom, a więc ciężko nazwać je danymi powszechnie znanymi, stąd też konkluzja jest taka, że zbiór danych zawarty w księdze akcyjnej podlega rejestracji w GIODO.

Komentarze (0)

Kategorie:
iSecure

Wspomnienia ze Spodka 2.0

dodał Michał, 2010-02-12 17:21

Co prawda Spodek 2.0 w swej 10 odsłonie już za nami, niemniej warto zapoznać się z dwoma relacjami z tej imprezy. Pierwsza z nich dostępna jest na stronach mmsilesia.pl, druga zaś na seoparty.net. Do obejrzenia są również zdjęcia: tutaj i tutaj.

Komentarze (0)

Kategorie:
iSecure

Adres IP daną osobową

dodał Michał, 2010-02-10 12:08

Sporo się o tym dyskutuje, bo zagadnienie jest mocno kontrowersyjne. Chodzi oczywiście o zaklasyfikowanie adresu IP jako danej osobowej w rozumieniu ustawy o ochronie danych osobowych. Ostatnio głos w tej sprawie zabrał wojewódzki sąd administracyjny i w swym orzeczeniu potwierdził już to co wcześniej twierdziło GIODO - adres IP jest daną osobową. Krótką informację na ten temat można przeczytać na stronie internetowej “Gazety Wyborczej”.

Komentarze (0)

Kategorie:
iSecure

Awaria serwera

dodał Michał, 2010-02-08 01:48

Co tu dużo pisać - od środy strona iSecure nie była widoczna w Internecie, ponieważ serwer na którym była postawiona, miał awarię. Do tego nakładał się na to wszystko nasz wyjazd na Spodek 2.0 (bardzo fajna impreza!) i w zasadzie dopiero w czwartek mogliśmy coś zacząć działać, by reaktywować stronę. Na tę chwilę wszystko powinno już dobrze działać, a pierwsza awaria w historii iSecure stała się… historią.

Komentarze (0)

Kategorie:
iSecure