- dotyczące ustawy o ochronie danych osobowych
- definicji administratora danych
- definicji danych osobowych
- definicji zbiorów danych osobowych
- instytucji powierzania przetwarzania danych
- obowiązku informacyjnego
- pojęcia "doraźności" - użytego w ustawie
- pojęcia "drobnych bieżących spraw życia codziennego" - użytego w ustawie
- pojęcia zgody na przetwarzanie danych
- praw osób, których dane dotyczą
- przekazywania danych osobowych do państwa trzeciego
- publikacji danych
- rejestracji zbiorów danych
- Systemu Eurodac
- Systemu Informatycznego Schengen
- udostępniania danych
- zabezpieczenia danych
- dotyczące przepisów sektorowych
 |
 |
- Czemu ma służyć konwencja ACTA?, 7.02.2012 r.
- Facebook powinien udostępnić politykę prywatności po polsku, 27.01.2012 r.
- Dzień Ochrony Informacji Niejawnych, 20.01.2012 r.
- GIODO uczestnikiem Dnia Bezpiecznego Internetu - 7 lutego 2012 r.
- Jak wykorzystywać zasoby informacyjne państwa, 30.01.2012 r.
- GIODO jednym z najbardziej wpływowych prawników, 25.01.2012 r.
- Obowiązujący tekst ustawy: Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. (tekst jednolity: Dz. U. 2002 r. Nr 101 poz. 926, ze zm.)
- Jak zarejestrować zbiór danych osobowych
- Elektroniczna Skrzynka Podawcza
- Vademecum ochrony danych osobowych
- Telefon informacyjny
- Kto musi rejestrować swoje zbiory
Czy zastosowanie przez administratora danych odpowiednich zabezpieczeń do przetwarzania danych osobowych jest warunkiem niezbędnym do zarejestrowania zbioru tych danych u Generalnego Inspektora Ochrony Danych Osobowych?
| Podmiot udostępniający: | Zespół Rzecznika Prasowego Biura GIODO | |
| Wytworzył informację: | Małgorzata Kałużyńska-Jasak | 2010-07-30 |
| Wprowadził informację: | Robert Czapski | 2010-07-30 13:57:11 |
| Ostatnio modyfikował: | Rafał Kreusch | 2011-01-11 11:12:19 |
Tak, gdyż wymają tego przepisy ustawy o ochronie danych osobowych.
Uzasadnienie
Zgodnie z art. 40 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych, administrator danych jest obowiązany zgłosić zbiór danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych, chyba że zachodzi jedna z przesłanek określonych w art. 43 ust. 1 ustawy, zwalniających go z tego obowiązku. Aby jednak zgłoszony zbiór mógł zostać zarejestrowany jego administrator musi spełnić wszystkie wymagania, jakie nakłada na niego wspomniana ustawa oraz rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.
Jednym z tych wymogów jest zastosowanie odpowiednich środków technicznych
i organizacyjnych w celu zabezpieczenia przetwarzanych danych osobowych (art. 36 ust. 1 ustawy). Zalicza się do nich m.in. odpowiedni poziom bezpieczeństwa przetwarzania danych osobowych w systemie informatycznym. Poziom środków bezpieczeństwa należy dostosować do zagrożeń oraz kategorii danych osobowych przetwarzanych w systemie informatycznym. Wspomniane rozporządzenie wprowadza trzy takie poziomy: podstawowy, podwyższony oraz wysoki. Poziom co najmniej podstawowy stosuje się, gdy administrator w prowadzonym w systemie informatycznym zbiorze przetwarza tylko dane tzw. zwykłe (bez tzw. szczególnie chronionych, o których mowa w art. 27 ust. 1 ustawy), jak np. imię i nazwisko, adres zamieszkania, czy numer PESEL, i żadne z urządzeń systemu informatycznego, służącego do przetwarzania danych osobowych nie jest połączone z siecią publiczną. Poziom co najmniej podwyższony stosuje się, gdy administrator danych w prowadzonym w systemie informatycznym zbiorze przetwarza dane szczególnie chronione, czyli przykładowo oprócz imienia i nazwisko, adresu zamieszkania, czy numeru PESEL, wykorzystuje także dane o stanie zdrowia, czy o orzeczeniach sądowych lub administracyjnych, ale żadne z urządzeń systemu informatycznego nie jest połączone z siecią publiczną. Natomiast poziom wysoki stosuje się, gdy przynajmniej jedno urządzenie systemu informatycznego, służącego do przetwarzania danych osobowych, połączone jest z siecią publiczną.
Niezastosowanie odpowiedniego poziomu bezpieczeństwa przetwarzania danych osobowych w systemie informatycznym oznacza, że urządzenia i systemy informatyczne służące do przetwarzania zbioru danych zgłoszonego do rejestracji nie spełniają podstawowych warunków technicznych i organizacyjnych, określonych w rozporządzeniu, co stanowi przesłankę odmowy rejestracji zgłoszonego zbioru danych. Stosownie bowiem do art. 44 ust. 1 pkt 3 ustawy o ochronie danych osobowych Generalny Inspektor Ochrony Danych Osobowych odmawia, w drodze decyzji administracyjnej, rejestracji zgłoszonego zbioru danych, jeżeli urządzenia i systemy informatyczne służące do przetwarzania zbioru danych zgłoszonego do rejestracji nie spełniają podstawowych warunków technicznych i organizacyjnych, określonych w przepisach ww. rozporządzenia.
A zatem zastosowanie przez administratora danych odpowiednich zabezpieczeń do przetwarzania danych osobowych jest jednym z warunków, od których spełnienia zależy zarejestrowanie zgłoszonego zbioru przez Generalnego Inspektora Ochrony Danych Osobowych.