 |
Jeśli są Państwo zainteresowani otrzymaniem darmowego newslettera z informacjami dotyczącymi prawnej ochrony danych prosimy o podanie adresu e-mail:
|
 |
|
>Najczęściej zadawane pytania>Powierzenie >
Proszę sprecyzować o jakie wymagania chodzi w przypadku dostępu do danych osobowych dla użytkowników zewnętrznych, o których mowa w artykule 31 ustawy ?
2007-10-30
Zgodnie z art. 31 ust. 3 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 100, poz. 926 z późń. zm.) podmiot, któremu powierzono przetwarzanie danych jest obowiązany podjąć środki zabezpieczające zbiór danych, o których mowa w art. 36 – 39 tej ustawy oraz spełnić wymagania określone w przepisach, o których mowa w art. 39a tej ustawy. Kwestia ta jest istotna z punktu widzenia odpowiedzialności administratora danych oraz podmiotu, któremu powierzono przetwarzanie danych osobowych, gdyż obydwa podmioty w zakresie przestrzegania tych przepisów ponoszą taką samą odpowiedzialność. Do środków zabezpieczających zbiór danych, o których mowa w art. 36 – 39 w/w ustawy należy zaliczyć:
1) zastosowanie środków organizacyjnych i technicznych w celu zabezpieczenia danych osobowych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osoby nieupoważnione, przetwarzaniem z naruszeniem ustawy, zmianą, utratą, uszkodzeniem lub zniszczeniem,
2) prowadzenie dokumentacji opisującej sposób przetwarzania danych osobowych oraz środki zastosowane dla ich ochrony,
3) wyznaczenie administratora bezpieczeństwa informacji, chyba że administrator danych sam wykonuje jego czynności,
4) dopuszczenie do przetwarzania danych osobowych wyłącznie osób posiadających upoważnienie nadane przez administratora danych,
5) zapewnienie kontroli nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane,
6) prowadzenie ewidencji osób upoważnionych do przetwarzania danych osobowych,
7) zobowiązanie osób upoważnionych do przetwarzania danych osobowych do zachowania tych danych w tajemnicy.
Natomiast odnośnie spełnienia wymagań określonych w przepisach, o których mowa w art. 39a ustawy o ochronie danych osobowych, chodzi tutaj o wymagania zawarte w przepisach rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024). Rozporządzenie to określa:
1) sposób prowadzenia i zakres dokumentacji opisującej sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną,
2) podstawowe warunki techniczne i organizacyjne, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych,
3) wymagania w zakresie odnotowywania udostępniania danych osobowych i bezpieczeństwa przetwarzania danych osobowych.
Istotne znaczenie ma zwłaszcza załącznik od tego rozporządzenia określający opis środków bezpieczeństwa stosowanych na poszczególnych poziomach bezpieczeństwa przetwarzania danych osobowych w systemach informatycznych.
|
