 |
 |
- Senat zaakceptował kandydaturę nowego GIODO
- Oświadczenie prasowe Grupy Roboczej Artykułu 29 ds. Ochrony Danych
- Z dziennikarzami TVN o wycieku danych, 12.07.2010 r.
- Nagranie dla POLSAT NEWS, 8.07.2010 r.
- TVP INFO pyta o wykorzystywanie danych przez CBA, 7.07.2010 r.
- Oświadczenie prasowe Grupy Roboczej Art. 29 w sprawie umowy SWIFT
- Obowiązujący tekst ustawy: Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. (tekst jednolity: Dz. U. 2002 r. Nr 101 poz. 926, ze zm.)
- Jak zarejestrować zbiór danych osobowych
- Elektroniczna Skrzynka Podawcza
- Vademecum ochrony danych osobowych
- Telefon informacyjny
- Kto musi rejestrować swoje zbiory
Aspekty prawne powierzenia przetwarzania danych osobowych w kontekście obowiązku zgłoszenia zbioru danych do rejestracji
| Podmiot udostępniający: | Zespół Rzecznika Prasowego Biura GIODO | |
| Wytworzył informację: | Małgorzata Kałużyńska-Jasak | 2009-05-21 |
| Wprowadził informację: | Rafał Kreusch | 2009-05-21 14:27:14 |
Ustawa o ochronie danych osobowych nakłada w art. 40 obowiązek zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych. Zgłoszenia należy dokonać na formularzu, którego wzór stanowi załącznik do rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 11 grudnia 2008 r. w sprawie wzoru zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (Dz. U. Nr 229, poz. 1536). Powyższy obowiązek ciąży na administratorze danych. Należy przypomnieć, iż zgodnie z art. 7 pkt 4 ustawy za administratora danych uważa się organ, jednostkę organizacyjną, podmiot lub osobę, o których mowa w art. 3 ustawy, decydujące o celach i środkach przetwarzania danych. Należy jednak podkreślić, że dane osobowe mogą być przetwarzane zarówno przez podmiot będący ich administratorem, jak również przez podmiot nie posiadający takiego statusu. Administrator danych może bowiem przetwarzać dane osobowe samodzielnie, jak również powierzyć przetwarzanie danych innemu podmiotowi, na podstawie art. 31 ustawy o ochronie danych osobowych. Powierzenie przetwarzania danych powinno nastąpić na podstawie umowy zawartej na piśmie. Umowa ta powinna dokładnie określać cel i zakres przetwarzania danych przez podmiot, któremu je powierzono. Trzeba przy tym pamiętać, iż zawierając taką umowę administrator danych nie może przekazać więcej uprawnień, niż sam posiada. Informacje o powierzeniu przetwarzania danych należy podać w pkt. 3 części B formularza zgłoszenia zbioru danych do rejestracji, wskazując pełną nazwę, adres siedziby lub nazwisko, imię i adres miejsca zamieszkania podmiotu, któremu powierzono przetwarzanie danych. Podane informacje powinny być aktualne, a w przypadku ich zmiany administrator danych ma obowiązek poinformować o dokonanych zmianach Generalnego Inspektora Ochrony Danych Osobowych, w terminie 30 dni od dnia dokonania zmiany. Należy podkreślić, iż podmiot przetwarzający dane na podstawie umowy powierzenia nie staje się ich administratorem. W konsekwencji odpowiedzialność za przestrzeganie przepisów ustawy nadal spoczywa na administratorze danych, który powinien dopełnić licznych obowiązków nałożonych przepisami ustawy o ochronie danych osobowych, m. in. zgłosić zbiór danych osobowych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych. Nie wyłącza to jednak odpowiedzialności podmiotu, któremu administrator powierzył przetwarzanie danych, za przetwarzanie danych niezgodnie z umową powierzenia. Co istotne, podmiot ten powinien przed rozpoczęciem przetwarzania danych zastosować środki zabezpieczające zbiór danych, o których mowa w art. 36-39 ustawy, w szczególności zobowiązany jest do:
- prowadzenia dokumentacji opisującej sposób przetwarzania danych oraz środki techniczne i organizacyjne powzięte dla ich ochrony, na którą składa się polityka bezpieczeństwa oraz instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych,
- wyznaczenia administratora bezpieczeństwa informacji,
- dopuszczenia do przetwarzania danych wyłącznie osób posiadających upoważnienie nadane przez administratora danych,
- prowadzenia ewidencji osób upoważnionych do przetwarzania danych.
Podmiot, któremu powierzono przetwarzanie danych powinien także spełnić wymagania określone w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024).
W zakresie przestrzegania powyższych przepisów podmiot, któremu powierzono przetwarzanie danych ponosi odpowiedzialność taką samą jak administrator danych.
W odniesieniu do podmiotu, któremu powierzono przetwarzanie danych Generalnemu Inspektorowi Ochrony Danych Osobowych przysługuje prawo kontroli zgodności przetwarzania danych z przepisami dotyczącymi ochrony danych osobowych - analogicznie jak w odniesieniu do administratora danych.