OPUBLIKOWANO: 1 LUTEGO 2016
Ochrona danych osobowych – pytania i odpowiedzi
Podstawa prawna:
- Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2015 poz. 2135 ze zm.),
- Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 10 grudnia 2014 r. w sprawie wzorów zgłoszeń powołania i odwołania administratora bezpieczeństwa informacji (Dz.U. z 2014 r. poz. 1934),
- Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji (Dz.U. z 2015 r. poz. 745),
- Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych (Dz.U. z 2015 r. poz. 719),
- Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. z 2004 r. Nr 100 poz. 1024).
Kim jest administrator danych osobowych?
Zgodnie z art. 7 pkt 4 Ustawy o ochronie danych osobowych (dalej: uodo.) administrator danych osobowych (ADO) to podmiot, osoba, organ lub jednostka organizacyjna, które decydują o celach i środkach przetwarzania danych osobowych. W przypadku ośrodka wychowawczego administratorem danych osobowych podopiecznych, ich rodziców oraz personelu administracyjnego jest ośrodek. Jednak to jej dyrektor, jako podmiot reprezentujący placówkę, odpowiada za przetwarzane w ośrodku dane osobowe. Zatem to na nim, jako osobie kierującej placówką, ciąży obowiązek przyjęcia takich rozwiązań, aby dokonywane w ośrodku procesy ochrony danych osobowych były zgodne z obowiązującymi regulacjami prawnymi.
Na podstawie przepisów uodo. ADO jest zobowiązany w szczególności do:
- stosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności zabezpieczenia danych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem uodo. oraz zmianą, utratą, uszkodzeniem lub zniszczeniem,
- prowadzenia dokumentacji ochrony danych osobowych, na którą składają się polityka bezpieczeństwa oraz instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych,
- zapewnienia, że do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające stosowne upoważnienie,
- prowadzenia ewidencji osób upoważnionych do przetwarzania danych osobowych,
- zgłaszania zbiorów danych osobowych do rejestracji w rejestrze prowadzonym przez Generalnego Inspektora Ochrony Danych Osobowych (GIODO).
Kim jest administrator bezpieczeństwa informacji?
Stosownie do art. 36a uodo. administrator danych może powołać administratora bezpieczeństwa informacji (ABI). Jeśli tego nie zrobi – sam realizuje jego zadania.
ABI może być osoba, która spełnia łącznie następujące warunki:
- ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych,
- posiada odpowiednią wiedzę w zakresie ochrony danych osobowych,
- nie była karana za umyślne przestępstwo.
Administrator bezpieczeństwa informacji podlega bezpośrednio kierownikowi jednostki; należy zapewnić mu odpowiednie środki oraz organizacyjną odrębność, niezbędne do niezależnego wykonywania jego zadań.
Do ustawowych zadań ABI należą:
- zapewnianie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez:
- sprawdzenie zgodności przetwarzania danych osobowych z przepisami oraz opracowanie w tym zakresie sprawozdania dla administratora danych,
