UWAGA!

Od 25 maja 2018 r. organem właściwym w zakresie ochrony danych osobowych jest Prezes Urzędu Ochrony Danych Osobowych. Nowa strona internetowa urzędu jest dostępna pod adresem: www.uodo.gov.pl.

Materiały zamieszczone na stronie Generalnego Inspektora Ochrony Danych Osobowych (GIODO) dostępnej pod adresem www.giodo.gov.pl mają charakter archiwalny.

POZOSTAŃ NA STRONIE ARCHIWALNEJ (GIODO)

Czy zostanie zarejestrowany przez GIODO zbiór danych osobowych, jeśli w zgłoszeniu jego administrator nie wskazał środków technicznych i organizacyjnych służących do przetwarzania danych w tym zbiorze?

Metadane
Podmiot udostępniający: Zespół Rzecznika Prasowego Biura GIODO
Wytworzył informację: Małgorzata Kałużyńska-Jasak 2010-06-01
Wprowadził‚ informację: Rafał Kreusch 2010-06-07 11:49:09
Ostatnio modyfikował: Rafał Kreusch 2013-11-28 12:56:59

Odpowiedź

Nie, gdyż wskazanie takich środków technicznych i organizacyjnych jest warunkiem konicznym, aby można było zarejestrować u GIODO zgłoszony zbiór danych

Uzasadnienie

Ustawa z  dnia 29 sierpnia 1997 r. o ochronie danych osobowych wprowadziła dla administratora danych obowiązek zgłoszenia Generalnemu Inspektorowi Ochrony Danych Osobowych zbioru danych do rejestracji, z wyjątkiem przypadków zwolnienia z tego obowiązku określonych w ustawie (art. 43 ust. 1). Natomiast zgłoszony do rejestracji zbiór danych musi spełniać wymogi, o których mowa w art. 41 ust. 1  ustawy.

Jednym z  tych wymogów jest to, że zgłoszenie zbioru do rejestracji powinno zawierać opis środków technicznych i organizacyjnych zastosowanych w celu zabezpieczenia przetwarzanych danych osobowych (art. 41 ust. 1 pkt 5). Stosownie do art. 36 ustawy administrator danych jest obowiązany zastosować środki techniczne i  organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną. Jednakże każdy administrator danych, bez względu na kategorię przetwarzanych danych oraz zagrożenia, ma obowiązek spełnić wymogi wskazane wprost w przepisach art. 36-39 ustawy, tj.: wyznaczyć administratora bezpieczeństwa informacji, nadzorującego przestrzeganie zasad ochrony danych osobowych - chyba że administrator danych sam wykonuje te czynności (art. 36 ust. 3 ustawy), nadać upoważnienia osobom dopuszczonym do przetwarzania danych osobowych (art. 37 ustawy), prowadzić ewidencję osób upoważnionych do przetwarzania danych osobowych (art. 39 ust. 1 ustawy), a także prowadzić dokumentację opisującą sposób przetwarzania danych osobowych oraz środki ich ochrony (art. 36 ust. 2 ustawy). Na ww. dokumentację, stosownie do treści § 3 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i  systemy informatyczne służące do przetwarzania danych osobowych składa się polityka bezpieczeństwa (§ 4 rozporządzenia), a w przypadku przetwarzania danych w systemie informatycznym również instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych (§ 5 rozporządzenia).

A zatem, jeśli w zgłoszeniu zbioru do rejestracji brak jest informacji o zastosowanych środkach technicznych i organizacyjnych służących do przetwarzania danych, to Generalny Inspektor Ochrony Danych Osobowych odmawia, w drodze decyzji administracyjnej, rejestracji zgłoszonego zbioru danych (art. 44 ust. 1  ustawy).

Ostatnie aktualności