W
poprzednim artykule przybliżyliśmy zagadnienie czym są dane osobowe i jakie informacje gromadzone i przetwarzane przez serwis internetowy mogą podlegać pod obowiązek ochrony danych osobowych.
W niniejszym artykule skupimy się na obowiązkach jakie nakłada
ustawa o ochronie danych osobowych na osoby bądź podmioty przetwarzające dane osobowe.
Na
Administratora Danych Osobowych (ADO), czyli osobę bądź podmiot decydujący o celach i środkach przetwarzania danych osobowych, ustawa o ochronie danych osobowych nakłada:
- Obowiązek zapewnienia legalności przetwarzania danych
- Obowiązek informacyjny względem osoby, której dane są przetwarzane
- Obowiązek zgłoszenia zbioru (lub zbiorów) danych do Generalnego Inspektora Ochrony Danych Osobowych (GIODO)
- Obowiązek zabezpieczenia danych
- Obowiązek prowadzenia ewidencji osób upoważnionych do przetwarzania danych
- Obowiązek prowadzenia dokumentacji przetwarzania danych osobowych
1. Obowiązek zapewnienia legalności przetwarzanych danych
Wedle ustawy przetwarzanie danych jest dopuszczalne w następujących przypadkach:
- gdy osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych,
- gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa,
- gdy jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą,
- jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego,
- jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.
Za prawnie usprawiedliwiony cel, o którym mowa w ostatnim punkcie uważa się w szczególności:
- marketing bezpośredni własnych produktów lub usług administratora danych,
- dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej.
2. Obowiązek informacyjny
Administrator danych osobowych jest zobowiązany do przedstawienia osobom, które umieszczają swoje dane w zbiorze danych, czytelnych i łatwo dostępnych informacji uwzględniających:
- dane podmiotu gromadzącego i przetwarzającego dane (w przypadku osoby fizycznej - imię, nazwisko, dokładny adres),
- cel oraz środki przetwarzania danych osobowych, a w szczególności informacje o odbiorcach lub kategoriach odbiorców danych,
- informacje o prawie dostępu do treści danych oraz prawie do ich poprawiania (przez użytkownika, którego dane dotyczą),
- informacje o dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej.
Informacje te mogą zostać przedstawione na przykład w regulaminie korzystania z serwisu internetowego bądź każdorazowo na formularzach wymagających podania danych osobowych. Jeśli informację o celach i środkach przetwarzania danych osobowych chcemy umieścić jedynie w regulaminie - należy pamiętać o tym, aby na wszelkich formularzach wymagających podania danych osobowych, stosować odnośniki do strony, gdzie użytkownik może zapoznać się z regulaminem. Formularze zbierające dane osobowe powinny posiadać pole checkbox, za pomocą którego użytkownik będzie mógł potwierdzić przyznanie zgody na przetwarzanie jego danych w określonym celu bądź potwierdzić akceptację regulaminu.
Każdej osobie przysługuje prawo do kontroli przetwarzania jej danych, a zwłaszcza uzyskiwania następujących informacji:
- od kiedy przetwarza się w zbiorze dane jej dotyczące,
- jakie dane osobowe zawiera zbiór,
- w jaki sposób zebrano dane,
- w jakim celu i zakresie dane są przetwarzane,
- w jakim zakresie oraz komu dane zostały udostępnione.
Na wniosek osoby, której dane dotyczą, administrator danych jest zobowiązany do poinformowania na piśmie w terminie 30 dni o przysługujących danej osobie prawach oraz udzielić informacji, o których mowa powyżej - a w szczególności podać w jakim zakresie oraz komu zostały udostępnione dane, które dotyczą tej osoby.
3. Obowiązek zgłoszenia zbioru danych do GIODO
Zgłoszenia zbioru do rejestracji należy dokonać przed rozpoczęciem przetwarzania danych, czyli przed pierwszą czynnością, jaką administrator może wykonać na danych (na przykład przed pozyskaniem pierwszych danych do zbioru).
Zbiór danych zgłasza się poprzez urzędowy formularz.
Administrator danych jest także zobowiązany do:
- aktualizacji zgłoszonych zbiorów, w terminie 30 dni od zaistnienia zmiany podlegającej zgłoszeniu,
- zawiadomieniu o zaprzestaniu przetwarzania danych w zbiorze.
W przypadku zgłaszania do GIODO zbiorów danych niezawierających tzw. danych wrażliwych (z
poprzedniego artykułu możecie dowiedzieć się czym są dane wrażliwe) - już samo złożenie wniosku rejestracyjnego uprawnia administratora do przetwarzania danych. W przypadku przetwarzania zbioru zawierającego dane wrażliwe - przetwarzanie danych może rozpocząć się dopiero po dokonaniu rejestracji przez GIODO.
Jeśli dane osobowe przetwarzane są na różne cele - każdy zbiór danych, służący danemu celowi należy zgłosić jako osobny zbiór. Na przykład w przypadku sklepu internetowego, który gromadzi dane osobowe (imię, nazwisko, adres) na potrzeby realizacji zamówień, a także przetwarza adresy e-mail do obsługi newslettera na cele marketingowe - dane te należy zgłosić jako dwa osobne zbiory.
4. Obowiązek zabezpieczenia danych
Administrator danych zobowiązany jest do zabezpieczenia danych w systemie informatycznym - rozumie się przez to wdrożenie i eksploatację stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem. Administrator powinien w szczególności zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.
Administrator danych zobowiązany jest również do wyznaczenia
Administratora Bezpieczeństwa Informacji (ABI), który jest osobą nadzorującą przestrzeganie stosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych. Jeśli administrator danych nie powoła ABI, sam jest zobowiązany do pełnienia czynności jemu przypisanych.
5. Obowiązek prowadzenia ewidencji osób upoważnionych do przetwarzania danych
Do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych.
Administrator danych jest zobowiązany do prowadzenia ewidencji osób upoważnionych do przetwarzania danych.
Ewidencja osób upoważnionych powinna być sporządzana w formie pisemnej (z podpisem lub pieczątką) i powinna zawierać:
- imię i nazwisko osoby upoważnionej,
- datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych,
- identyfikator, jeżeli dane są przetwarzane w systemie informatycznym.
Osoby, które zostały upoważnione do przetwarzania danych, są obowiązane zachować w tajemnicy przetwarzane dane osobowe oraz sposoby ich zabezpieczenia.
6. Obowiązek prowadzenia dokumentacji przetwarzanych danych osobowych
Administrator danych zobowiązany jest do prowadzenia pisemnej dokumentacji, na którą składają się:
- Polityka Bezpieczeństwa Danych Osobowych,
- Instrukcja Zarządzania Systemem Informatycznym.
Polityka bezpieczeństwa jest zestawem reguł, procedur oraz praktycznych doświadczeń, które dotyczą sposobu zarządzania, ochrony i dystrybucji danych osobowych wewnątrz organizacji. Celem polityki bezpieczeństwa jest wskazanie działań, jakie należy wykonać oraz ustanowienie zasad i reguł postępowania, które należy stosować, aby właściwie zabezpieczyć dane osobowe.
Polityka bezpieczeństwa powinna obejmować wskazanie możliwych rodzajów naruszenia bezpieczeństwa, scenariusze postępowania w takich sytuacjach i działania, które pozwolą uniknąć powtórzenia się danego incydentu, a także powinna również definiować poprawne i niepoprawne korzystanie z zasobów (np. kont użytkowników, danych, oprogramowania).
Polityka bezpieczeństwa powinna zawierać w szczególności następujące informacje:
- wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe,
- wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych,
- opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi,
- sposób przepływu danych pomiędzy poszczególnymi systemami,
- określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przy przetwarzaniu danych.
Zobacz:
Wytyczne dotyczące opracowania i wdrożenia polityki bezpieczeństwa
Instrukcja zarządzania systemem informatycznym to dokumentacja opisująca sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ich ochronę.
Instrukcja powinna zawierać w szczególności:
- procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności,
- stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem,
- procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu,
- procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania,
- sposób, miejsce i okres przechowywania
a) elektronicznych nośników informacji zawierających dane osobowe,
b) kopii zapasowych, o których mowa w pkt 4,
- sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, o którym mowa w pkt III ppkt 1 załącznika do rozporządzenia,
- sposób realizacji wymogów, o których mowa w § 7 ust. 1 pkt 4 ustawy,
- procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.
Zobacz:
Wskazówki dotyczące opracowania instrukcji zarządzania systemem informatycznym
Zobacz także:
Polecamy również:
Komentarze (0)
