Xevin Consulting - Blog Blog

Dokumentacja administratora danych

dodał Michał, 2010-02-24 17:16

Życie przedsiębiorcy w świetle przepisów ustawy o ochronie danych osobowych nie jest łatwe. Oprócz tego, że istnieje wymóg zgłaszania pewnych kategorii danych do GIODO, każdy podmiot przetwarzający dane osobowe (zarówno swoje jak i powierzone mu do przetwarzania) musi spełniać szereg innych wymogów, a zwłaszcza posiadać dokumentację opisującą system ochrony danych osobowych. Przyjrzyjmy się zatem, czego od przedsiębiorcy wymaga ustawodawca w świetle interesującego nas tematu.

Przede wszystkim na warsztat musimy wziąć rozdział 5 ustawy o ochronie danych osobowych. I tak po kolej:
- art. 36 ust. 2 mówi nam o tym, że administrator danych prowadzi dokumentację opisującą sposób przetwarzania danych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych (do tematu dokumentacji wrócę w dalszej części wpisu),
- art. 37 nakazuje natomiast, by administrator danych upoważnił każdą osobę przetwarzającą dane osobowe (a więc wymóg posiadania upoważnienia),
- art. 39 ust. 1 wprowadza wymóg prowadzenia ewidencji osób upoważnionych do przetwarzania danych osobowych,
- art. 39 ust. 2 przewiduje zaś, że osoby, które zostały upoważnione mają obowiązek zachować w tajemnicy dane osobowe do których mają dostęp, przy czym obowiązek ten rozciąga się również na informacje o tym jak dane osobowe są zabezpieczone,
- art. 39a jest ściśle powiązany z art. 36 ust. 2, ponieważ rozwija temat związany z koniecznością posiadania dokumentacji. Ta ostatnia opisana jest, zgodnie z delegacją zawartą w niniejszym przepisie, w akcie wykonawczym wydanym do ustawy o ochronie danych osobowych, a dokładniej w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dn. 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Należy zauważyć, że przywołane tu rozporządzenie nakazuje, by podmiot przetwarzający dane osobowe posiadał kolejne dwa dokumenty, a mianowicie: politykę bezpieczeństwa oraz instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych.

Zróbmy zatem małe podsumowanie tego, o czym napisałem powyżej. Administrator danych osobowych (lub podmiot, który w imieniu administratora przetwarza dane) powinien posiadać:
  • dokumentację obejmującą: politykę bezpieczeństwa oraz instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych,
  • upoważnienia do przetwarzania danych osobowych,
  • ewidencję osób upoważnionych,
  • oświadczenia o zachowaniu danych osobowych w tajemnicy oraz informacji o sposobach ich zabezpieczeń.

W zasadzie to nie wszystko. Szybkie spojrzenie na art. 31 interesującej nas ustawy i okazuje się, że jeżeli administrator danych osobowych chce powierzyć innemu podmiotowi dane osobowe może to zrobić, ale tylko w drodze tzw. umowy powierzenia przetwarzania danych osobowych.

Jak widać, dokumentów jest całkiem sporo, a nie można zapominać o tym, ze w niektórych branżach np. firmach medycznych, katalog wymaganych dokumentów może być jeszcze większy, gdyż wynika to wprost z przepisów szczególnych.

Kategorie:
iSecure

Nikt tego jeszcze nie skomentował.

Dodaj komentarz