Jak można przeczytać na stronie internetowej TVN24, parę dni temu miał miejsce dość spory wyciek danych z jednej ze szkół językowych. Danymi tymi były adresy e-mail, a te jak wiadomo, bywają niekiedy uznawane za dane osobowe w rozumieniu ustawy o ochronie danych osobowych. Swego czasu pisałem o tym tutaj. Sam news do przeczytania w tym miejscu.
piątek, 22 maja 2009
wtorek, 19 maja 2009
GIODO w akcji
Dziś rano trafiłem na interesujący news - Generalny Inspektor Ochrony Danych Osobowych ma zamiar dokładnie przyjrzeć się firmie Google, a to za sprawą nowej usługi, czyli Google Street View. Usługa ta ma polegać na tym, że w sieci pojawią się trójwymiarowe obrazy miast (w Polsce na pierwszy ogień idą Warszawa i Kraków), przy czym obrazy te będą bardzo szczegółowe dzięki nagraniom z kamer instalowanych na samochodach. GIODO stwierdziło, że usługa ta może naruszać sferę prywatności Polaków, a to oznacza, że może tu dojść do złamania prawa, a konkretnie naruszenia przepisów ustawy o ochronie danych osobowych.
Pozostaje nam zatem obserwować jak poradzi sobie z tym tematem nasz rodzimy urząd, zwłaszcza w kontekście wcześniejszej, mocno kontrowersyjnej decyzji w sprawie zdjęć na Naszej-Klasie.
Pozostaje nam zatem obserwować jak poradzi sobie z tym tematem nasz rodzimy urząd, zwłaszcza w kontekście wcześniejszej, mocno kontrowersyjnej decyzji w sprawie zdjęć na Naszej-Klasie.
czwartek, 14 maja 2009
Jakie dokumenty musi posiadać ADO?
Życie przedsiębiorcy w świetle przepisów ustawy o ochronie danych osobowych nie jest łatwe. Oprócz tego, że istnieje wymóg zgłaszania pewnych kategorii danych do GIODO, każdy podmiot przetwarzający dane osobowe (zarówno swoje jak i powierzone mu do przetwarzania) musi spełniać szereg innych wymogów, a zwłaszcza posiadać dokumentację opisującą system ochrony danych osobowych. Przyjrzyjmy się zatem, czego od przedsiębiorcy wymaga ustawodawca w świetle interesującego nas tematu.
Przede wszystkim na warsztat musimy wziąć rozdział 5 ustawy o ochronie danych osobowych. I tak po kolej:
- art. 36 ust. 2 mówi nam o tym, że administrator danych prowadzi dokumentację opisującą sposób przetwarzania danych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych (do tematu dokumentacji wrócę w dalszej części wpisu),
- art. 37 nakazuje natomiast, by administrator danych upoważnił każdą osobę przetwarzającą dane osobowe (a więc wymóg posiadania upoważnienia),
- art. 39 ust. 1 wprowadza wymóg prowadzenia ewidencji osób upoważnionych do przetwarzania danych osobowych,
- art. 39 ust. 2 przewiduje zaś, że osoby, które zostały upoważnione mają obowiązek zachować w tajemnicy dane osobowe do których mają dostęp, przy czym obowiązek ten rozciąga się również na informacje o tym jak dane osobowe są zabezpieczone,
- art. 39a jest ściśle powiązany z art. 36 ust. 2, ponieważ rozwija temat związany z koniecznością posiadania dokumentacji. Ta ostatnia opisana jest, zgodnie z delegacją zawartą w niniejszym przepisie, w akcie wykonawczym wydanym do ustawy o ochronie danych osobowych, a dokładniej w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dn. 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Należy zauważyć, że przywołane tu rozporządzenie nakazuje, by podmiot przetwarzający dane osobowe posiadał kolejne dwa dokumenty, a mianowicie: politykę bezpieczeństwa oraz instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych.
Zróbmy zatem małe podsumowanie tego, o czym napisałem powyżej. Administrator danych osobowych (lub podmiot, który w imieniu administratora przetwarza dane) powinien posiadać:
Przede wszystkim na warsztat musimy wziąć rozdział 5 ustawy o ochronie danych osobowych. I tak po kolej:
- art. 36 ust. 2 mówi nam o tym, że administrator danych prowadzi dokumentację opisującą sposób przetwarzania danych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych (do tematu dokumentacji wrócę w dalszej części wpisu),
- art. 37 nakazuje natomiast, by administrator danych upoważnił każdą osobę przetwarzającą dane osobowe (a więc wymóg posiadania upoważnienia),
- art. 39 ust. 1 wprowadza wymóg prowadzenia ewidencji osób upoważnionych do przetwarzania danych osobowych,
- art. 39 ust. 2 przewiduje zaś, że osoby, które zostały upoważnione mają obowiązek zachować w tajemnicy dane osobowe do których mają dostęp, przy czym obowiązek ten rozciąga się również na informacje o tym jak dane osobowe są zabezpieczone,
- art. 39a jest ściśle powiązany z art. 36 ust. 2, ponieważ rozwija temat związany z koniecznością posiadania dokumentacji. Ta ostatnia opisana jest, zgodnie z delegacją zawartą w niniejszym przepisie, w akcie wykonawczym wydanym do ustawy o ochronie danych osobowych, a dokładniej w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dn. 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Należy zauważyć, że przywołane tu rozporządzenie nakazuje, by podmiot przetwarzający dane osobowe posiadał kolejne dwa dokumenty, a mianowicie: politykę bezpieczeństwa oraz instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych.
Zróbmy zatem małe podsumowanie tego, o czym napisałem powyżej. Administrator danych osobowych (lub podmiot, który w imieniu administratora przetwarza dane) powinien posiadać:
- dokumentację obejmującą: politykę bezpieczeństwa oraz instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych,
- upoważnienia do przetwarzania danych osobowych,
- ewidencję osób upoważnionych,
- oświadczenia o zachowaniu danych osobowych w tajemnicy oraz informacji o sposobach ich zabezpieczeń.
W zasadzie to nie wszystko. Szybkie spojrzenie na art. 31 interesującej nas ustawy i okazuje się, że jeżeli administrator danych osobowych chce powierzyć innemu podmiotowi dane osobowe może to zrobić, ale tylko w drodze tzw. umowy powierzenia przetwarzania danych osobowych.
Obecnie nie jest już wymagane, by każda osoba, która przetwarza dane została w tym zakresie przeszkolona.
Obecnie nie jest już wymagane, by każda osoba, która przetwarza dane została w tym zakresie przeszkolona.
W którymś z następnych wpisów przyjrzę się dokładniej polityce bezpieczeństwa i instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych. Póki co polecam natomiast poczytać sobie o tych dokumentach na stronie GIODO pod tymi linkami: polityka, instrukcja.
Subskrybuj:
Posty (Atom)
