UWAGA!

Od 25 maja 2018 r. organem właściwym w zakresie ochrony danych osobowych jest Prezes Urzędu Ochrony Danych Osobowych. Nowa strona internetowa urzędu jest dostępna pod adresem: www.uodo.gov.pl.

Materiały zamieszczone na stronie Generalnego Inspektora Ochrony Danych Osobowych (GIODO) dostępnej pod adresem www.giodo.gov.pl mają charakter archiwalny.

POZOSTAŃ NA STRONIE ARCHIWALNEJ (GIODO)

Czy zastosowanie przez administratora danych odpowiednich zabezpieczeń do przetwarzania danych osobowych jest warunkiem niezbędnym do zarejestrowania zbioru tych danych u Generalnego Inspektora Ochrony Danych Osobowych?

Metadane
Podmiot udostępniający: Zespół Rzecznika Prasowego Biura GIODO
Wytworzył informację: Małgorzata Kałużyńska-Jasak 2010-07-30
Wprowadził‚ informację: Robert Czapski 2010-07-30 13:57:11
Ostatnio modyfikował: Rafał Kreusch 2013-11-28 12:56:59

Tak, gdyż wymają tego przepisy ustawy o ochronie danych osobowych.

Uzasadnienie

Zgodnie z art. 40 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych, administrator danych jest obowiązany zgłosić zbiór danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych, chyba że zachodzi jedna z przesłanek określonych w art. 43 ust. 1 ustawy, zwalniających go z tego obowiązku. Aby jednak zgłoszony zbiór mógł zostać zarejestrowany jego administrator musi spełnić wszystkie wymagania, jakie nakłada na niego wspomniana ustawa oraz rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.

Jednym z tych wymogów jest zastosowanie odpowiednich środków technicznych
i organizacyjnych w celu zabezpieczenia przetwarzanych danych osobowych (art. 36 ust. 1  ustawy). Zalicza się do nich m.in. odpowiedni poziom bezpieczeństwa przetwarzania danych osobowych w systemie informatycznym. Poziom środków bezpieczeństwa należy dostosować do zagrożeń oraz kategorii danych osobowych przetwarzanych w systemie informatycznym. Wspomniane rozporządzenie wprowadza trzy takie poziomy: podstawowy, podwyższony oraz wysoki. Poziom co najmniej podstawowy stosuje się, gdy administrator w prowadzonym w systemie informatycznym zbiorze przetwarza tylko dane tzw. zwykłe (bez tzw. szczególnie chronionych, o których mowa w art. 27 ust. 1 ustawy), jak np. imię i nazwisko, adres zamieszkania, czy numer PESEL, i żadne z urządzeń systemu informatycznego, służącego do przetwarzania danych osobowych nie jest połączone z siecią publiczną. Poziom co najmniej podwyższony stosuje się, gdy administrator danych w prowadzonym w systemie informatycznym zbiorze przetwarza dane szczególnie chronione, czyli przykładowo oprócz imienia i nazwisko, adresu zamieszkania, czy numeru PESEL, wykorzystuje także dane o stanie zdrowia, czy o orzeczeniach sądowych lub administracyjnych, ale żadne z urządzeń systemu informatycznego nie jest połączone z siecią publiczną. Natomiast poziom wysoki stosuje się, gdy przynajmniej jedno urządzenie systemu informatycznego, służącego do przetwarzania danych osobowych, połączone jest z siecią publiczną.

Niezastosowanie odpowiedniego poziomu bezpieczeństwa przetwarzania danych osobowych w systemie informatycznym oznacza, że urządzenia i systemy informatyczne służące do przetwarzania zbioru danych zgłoszonego do rejestracji nie spełniają podstawowych warunków technicznych i organizacyjnych, określonych w rozporządzeniu, co stanowi przesłankę odmowy rejestracji zgłoszonego zbioru danych. Stosownie bowiem do art. 44 ust. 1 pkt 3 ustawy o ochronie danych osobowych Generalny Inspektor Ochrony Danych Osobowych odmawia, w drodze decyzji administracyjnej, rejestracji zgłoszonego zbioru danych, jeżeli urządzenia i systemy informatyczne służące do przetwarzania zbioru danych zgłoszonego do rejestracji nie spełniają podstawowych warunków technicznych i organizacyjnych, określonych w przepisach ww. rozporządzenia.

A zatem zastosowanie przez administratora danych odpowiednich zabezpieczeń do przetwarzania danych osobowych jest jednym z warunków, od których spełnienia zależy zarejestrowanie zgłoszonego zbioru przez Generalnego Inspektora Ochrony Danych Osobowych.

Ostatnie aktualności