Czy zastosowanie przez administratora danych odpowiednich zabezpieczeń do przetwarzania danych osobowych jest warunkiem niezbędnym do zarejestrowania zbioru tych danych u Generalnego Inspektora Ochrony Danych Osobowych?
| Podmiot udostępniający: | Zespół Rzecznika Prasowego Biura GIODO | |
| Wytworzył informację: | Małgorzata Kałużyńska-Jasak | 2010-07-30 |
| Wprowadził‚ informację: | Robert Czapski | 2010-07-30 13:57:11 |
| Ostatnio modyfikował: | Rafał Kreusch | 2013-11-28 12:56:59 |
Tak, gdyż wymają tego przepisy ustawy o ochronie danych osobowych.
Uzasadnienie
Zgodnie z art. 40 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych, administrator danych jest obowiązany zgłosić zbiór danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych, chyba że zachodzi jedna z przesłanek określonych w art. 43 ust. 1 ustawy, zwalniających go z tego obowiązku. Aby jednak zgłoszony zbiór mógł zostać zarejestrowany jego administrator musi spełnić wszystkie wymagania, jakie nakłada na niego wspomniana ustawa oraz rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.
Jednym z tych wymogów jest zastosowanie odpowiednich środków technicznych
i organizacyjnych w celu zabezpieczenia przetwarzanych danych osobowych (art. 36 ust. 1 ustawy). Zalicza się do nich m.in. odpowiedni poziom bezpieczeństwa przetwarzania danych osobowych w systemie informatycznym. Poziom środków bezpieczeństwa należy dostosować do zagrożeń oraz kategorii danych osobowych przetwarzanych w systemie informatycznym. Wspomniane rozporządzenie wprowadza trzy takie poziomy: podstawowy, podwyższony oraz wysoki. Poziom co najmniej podstawowy stosuje się, gdy administrator w prowadzonym w systemie informatycznym zbiorze przetwarza tylko dane tzw. zwykłe (bez tzw. szczególnie chronionych, o których mowa w art. 27 ust. 1 ustawy), jak np. imię i nazwisko, adres zamieszkania, czy numer PESEL, i żadne z urządzeń systemu informatycznego, służącego do przetwarzania danych osobowych nie jest połączone z siecią publiczną. Poziom co najmniej podwyższony stosuje się, gdy administrator danych w prowadzonym w systemie informatycznym zbiorze przetwarza dane szczególnie chronione, czyli przykładowo oprócz imienia i nazwisko, adresu zamieszkania, czy numeru PESEL, wykorzystuje także dane o stanie zdrowia, czy o orzeczeniach sądowych lub administracyjnych, ale żadne z urządzeń systemu informatycznego nie jest połączone z siecią publiczną. Natomiast poziom wysoki stosuje się, gdy przynajmniej jedno urządzenie systemu informatycznego, służącego do przetwarzania danych osobowych, połączone jest z siecią publiczną.
Niezastosowanie odpowiedniego poziomu bezpieczeństwa przetwarzania danych osobowych w systemie informatycznym oznacza, że urządzenia i systemy informatyczne służące do przetwarzania zbioru danych zgłoszonego do rejestracji nie spełniają podstawowych warunków technicznych i organizacyjnych, określonych w rozporządzeniu, co stanowi przesłankę odmowy rejestracji zgłoszonego zbioru danych. Stosownie bowiem do art. 44 ust. 1 pkt 3 ustawy o ochronie danych osobowych Generalny Inspektor Ochrony Danych Osobowych odmawia, w drodze decyzji administracyjnej, rejestracji zgłoszonego zbioru danych, jeżeli urządzenia i systemy informatyczne służące do przetwarzania zbioru danych zgłoszonego do rejestracji nie spełniają podstawowych warunków technicznych i organizacyjnych, określonych w przepisach ww. rozporządzenia.
A zatem zastosowanie przez administratora danych odpowiednich zabezpieczeń do przetwarzania danych osobowych jest jednym z warunków, od których spełnienia zależy zarejestrowanie zgłoszonego zbioru przez Generalnego Inspektora Ochrony Danych Osobowych.



