Informacje


Zgłoszenie zbioru PDF Drukuj Email

Obowiązek rejestracji zbioru jest jednym z podstawowych obowiązków, jakie nakłada na administratora danych osobowych ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych.Ustawodawca wylicza jednak szereg wyjątków od tej zasady. Z obowiązku rejestracji zbiorów zwolnieni są administratorzy danych:

  • zawierających informacje niejawne,
  • danych które zostały uzyskane w wyniku czynności operacyjno-rozpoznawczych przez funkcjonariuszy organów uprawnionych do tych czynności,
  • przetwarzanych przez właściwe organy dla potrzeb postępowania sądowego oraz na podstawie przepisów o Krajowym Rejestrze Karnym,
  • przetwarzanych przez Generalnego Inspektora Informacji Finansowej,
  • przetwarzanych przez właściwe organy na potrzeby udziału Rzeczypospolitej Polskiej w Systemie Informacyjnym Schengen oraz Wizowym Systemie Informacyjnym,
  • przetwarzanych przez właściwie organy na podstawie przepisów o wymianie informacji z organami ścigania państw członkowskich Unii Europejskiej,
  • dotyczących osób należących do kościoła lub innego związku wyznaniowego, o uregulowanej sytuacji prawnej, przetwarzanych na potrzeby tego kościoła lub związku wyznaniowego,
  • przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się,
  • dotyczących osób korzystających z ich usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta,
  • tworzonych na podstawie przepisów dotyczących wyborów do Sejmu, Senatu, Parlamentu Europejskiego, rad gmin, rad powiatów i sejmików województw, wyborów na urząd Prezydenta Rzeczypospolitej Polskiej, na wójta, burmistrza, prezydenta miasta oraz dotyczących referendum ogólnokrajowego i referendum lokalnego,
  • dotyczących osób pozbawionych wolności na podstawie ustawy, w zakresie niezbędnym do wykonania tymczasowego aresztowania lub kary pozbawienia wolności,
  • przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej,
  • powszechnie dostępnych,
  • przetwarzanych w celu przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego,
  • przetwarzanych w zakresie drobnych bieżących spraw życia codziennego,

Należy jednak pamiętać, iż zwolnienie z obowiązku rejestracji zbioru nie zwalnia administratora danych z innych, nałożonych przepisami ustawy obowiązków, takich jak dołożenie szczególnej staranności przy przetwarzaniu danych, a w szczególności przestrzeganie zasad legalności, celowości, adekwatności, czasowego ograniczenia przetwarzania danych osobowych, oraz obowiązku informacyjnego.
Zgodnie z art. 46 ust. 1 ustawy administrator danych może rozpocząć przetwarzanie danych w zbiorze po zgłoszeniu tego zbioru do rejestracji Generalnemu Inspektorowi z zastrzeżeniem sytuacji, gdy administrator danych osobowych zamierza przetwarzać w zbiorze tzw. "dane wrażliwe" czyli dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz dane dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym, wówczas zbieranie tego typu danych może rozpocząć dopiero po zarejestrowaniu zbioru (art. 46 ust. 2 ustawy).
Stosownie do art. 41 ust. 1 ustawy zgłoszenie zbioru danych do rejestracji powinno zawierać:

  • wniosek o wpisanie zbioru do rejestru zbiorów danych osobowych,
  • oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania, w tym numer identyfikacyjny rejestru podmiotów gospodarki narodowej, jeżeli został mu nadany, oraz podstawę prawną upoważniającą do prowadzenia zbioru, a w przypadku powierzenia przetwarzania danych, oznaczenie tego podmiotu i adres jego siedziby lub miejsca zamieszkania,
  • cel przetwarzania danych,
  • opis kategorii osób, których dane dotyczą, oraz zakres przetwarzanych danych,
  • sposób zbierania oraz udostępniania danych,
  • informację o odbiorcach lub kategoriach odbiorców, którym dane mogą być przekazywane,
  • opis środków technicznych i organizacyjnych zastosowanych w celach zabezpieczenia danych osobowych,
  • informację o sposobie wypełniania warunków technicznych i organizacyjnych jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych,
  • informację dotyczącą ewentualnego przekazywania danych do państwa trzeciego.

Zgłoszenie takie powinno zostać podpisane przez administratora danych lub inną osobę upoważnioną do reprezentowania wnioskodawcy. Zgłoszenia należy dokonać na formularzu, którego wzór stanowi załącznik do rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 11 grudnia 2008 r. w sprawie wzoru zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (Dz. U. Nr 229, poz. 1536). Zgłoszenie można przesłać pocztą lub złożyć w Biurze Generalnego Inspektora Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa). Od lipca 2006 r. zgłoszenia można dokonać także drogą elektroniczną, z użyciem bezpiecznego podpisu elektronicznego. Zgłoszenia można również dokonać drogą elektroniczną bez użycia podpisu elektronicznego, a następnie złożyć zgłoszenie w formie tradycyjnej uzupełnione o podpis wnioskodawcy.

Zgodnie z art. 41 ust. 2 ustawy administrator danych jest obowiązany zgłaszać Generalnemu Inspektorowi każdą zmianę informacji zawartych w zgłoszeniu, w terminie 30 dni od dnia dokonania zmiany, z zastrzeżeniem "danych wrażliwych" przy zmianie których zgłoszenie zmiany powinno poprzedzać jakiekolwiek zmiany w zbiorze. Do zgłaszania zmian stosuje się odpowiednio przepisy o rejestracji zbioru danych

Na żądanie administratora danych może być wydane zaświadczenie o zarejestrowaniu zgłoszonego przez niego zbioru danych natomiast w przypadku "danych wrażliwych, Generalny Inspektor z urzędu wydaje administratorowi danych zaświadczenie o zarejestrowaniu zbioru niezwłocznie po dokonaniu rejestracji.
Ustawa o ochronie danych osobowych określa również przesłanki, których zaistnienie skutkuje wydaniem przez GIODO decyzji o odmowie rejestracji zbioru danych. Sytuacja taka ma miejsce gdy zgłoszenie nie zawiera wszystkich wymaganych informacji, przetwarzanie danych naruszałoby podstawowe zasady np.: legalności i adekwatności, gdy nie został dopełniony obowiązek informacyjny gdy administrator nie ma podstawy prawnej do przetwarzania danych itd. W przypadku zaistnienia takich sytuacji Generalny Inspektor nakazuje:
1.    Ograniczenie przetwarzania wszystkich albo niektórych kategorii danych wyłącznie do ich przechowywania lub
2.    Zastosowanie innych środków tj.:
a.    usunięcie uchybień,
b.    uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych,
c.    zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe,
d.    wstrzymanie przekazywania danych osobowych do państwa trzeciego,
e.    zabezpieczenie danych lub przekazanie ich innym podmiotom,
f.    usunięcie danych osobowych.

 

 
Dokumentacja ochrony danych osobowych PDF Drukuj Email

Prowadzenie dokumentacji ochrony danych osobowych w jednostce organizacyjnej to obowiązek wynikający z art. 36 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Sposób prowadzenia i zakres dokumentacji normującej sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną został sprecyzowany w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. Zgodnie z §.3 pkt 1 tego rozporządzenia na dokumentację ochrony danych osobowych składa się polityka bezpieczeństwa ochrony danych osobowych i instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. Oba dokumenty muszą mieć formę pisemną i być prowadzone przez administratora danych osobowych. Rozporządzenie przedstawia wytyczne co do zawartości każdego z powyższych dokumentów.

W § 4 przedstawiono minimalne wymagania w stosunku do polityki bezpieczeństwa, która powinna zawierać:

  • wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe;
  • wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych;
  • opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi;
  • sposób przepływu danych pomiędzy poszczególnymi systemami;
  • określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.

W § 5 zawiera wytyczne co do zawartości instrukcji, która powinna zawierać co naj mniej:

  • procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności;
  • stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem;
  • procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu;
  • procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania;
  • sposób, miejsce i okres przechowywania elektronicznych nośników informacji zawierających dane osobowe oraz kopii zapasowych,
  • sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego
  • sposób realizacji wymogów informacyjnych co do odbiorców, daty i zakresu udostępnianych danych osobowych,
  • procedury wykonywania przeglądó.

Podsumowując, każda jednostka organizacyjna przetwarzająca dane osobowe musi posiadać sporządzoną politykę bezpieczeństwa i instrukcję zarządzania systemem informatycznym, natomiast w zależności od wielkości, złożoności struktury i rodzaju przetwarzanych danych (ustawodawca wymaga stosowania dodatkowych środków przy przetwarzaniu danych wrażliwych) w danej firmie w skład dokumentacji mogą też wchodzić inne dokumenty powiązane np.: regulaminy pracy, regulaminy wynagradzania, decyzje cedujące uprawnienia, zakresy obowiązków, plany ochrony, instrukcje przeciwpożarowe, plany ciągłości działania (BCM), instrukcje zarządzania kryzysowego (DR), i wiele innych.

 

 
Definicja informacji niejawnych PDF Drukuj Email

 

Informacje niejawne to informacje, których nieuprawnione ujawnienie spowodowałoby lub mogłoby spowodować szkody dla Rzeczypospolitej Polskiej albo byłoby z punktu widzenia jej interesów niekorzystne, także w trakcie ich opracowywania oraz niezależnie od formy i sposobu ich wyrażania (art. 1 ust 1 uoin). Należy w tym miejscu także zauważyć, że już przy pierwszej nadarzającej się okazji nowa ustawa odchodzi od podziału na tajemnicę państwową i służbową. Przy ochronie informacji niejawnych brany jest pod uwagę tylko interes Rzeczypospolitej Polskiej, zatem śmiało można twierdzić, że wszystkie informacje niejawne będą stanowiły tajemnicę państwową. Stwierdzenie „także w trakcie ich opracowywania” mówi, że ochronie na mocy uoin podlega każda dowolna część finalnego dokumentu, np. pierwsza wersja jakiegoś projektu niejawnego (o ile wersja finalna nie jest zupełnie inna) lub pierwsza z dziesięciu stron dokumentu niejawnego. Natomiast sformułowanie „niezależnie od formy i sposobu ich wyrażania” przypomina, że ujawnieniem informacji niejawnych nie jest tylko fizyczne wyniesienie dokumentu niejawnego i przekazanie go osobie do tego nieuprawnionej. Jako ujawnienie będzie również traktowane przekazanie treści takiego dokumentu podczas rozmowy (osobistej lub telefonicznej) za pomocą poczty elektronicznej lub w jakikolwiek inny sposób.

W art. 5 uoin znajdują się definicje czterech klauzul tajności na jakie podzielone są informacje niejawne. Wszystkie informacje niejawne chronione są ze względu na interes Rzeczypospolitej Polskiej. Kryterium podziału na poszczególne klauzule stanowi tylko strata, która wynika z ujawnienia tych informacji. Nieuprawnione ujawnienie informacji niejawnych o klauzuli „ściśle tajne” spowoduje wyjątkowo poważną szkodę dla Rzeczypospolitej Polskiej. Nieuprawnione ujawnienie informacji niejawnych o klauzuli „tajne” spowoduje poważną szkodę dla Rzeczypospolitej Polskiej. Nieuprawnione ujawnienie informacji niejawnych o klauzuli „poufne” spowoduje szkodę dla Rzeczypospolitej Polskiej. Natomiast nieuprawnione ujawnienie informacji niejawnych o klauzuli „zastrzeżone” może mieć szkodliwy wpływ na wykonywanie zadań przez organy władzy publicznej lub inne jednostki organizacyjne. Jako informacje niejawne mogą być klasyfikowane informacje dotyczące przede wszystkim: bezpieczeństwa i suwerenności RP, obrony narodowej i sił zbrojnych RP, polityki zagranicznej, interesów ekonomicznych Rzeczypospolitej Polskiej, bezpieczeństwa publicznego, przestrzegania praw i wolności obywateli, wymiaru sprawiedliwości.

Informacje niejawne mogą być przetwarzane w postaci dokumentów niejawnych, które w rozumieniu art. 2 pkt 3 uoin muszą zostać utrwalone na jakimkolwiek nośniku. Zgodnie z obecną definicją cechą podstawową dokumentu niejawnego jest to, że musi on zawierać informacje niejawne. Niedopuszczalne jest bowiem uznawanie za dokument niejawny kilku kartek papieru z technicznie naniesioną klauzulą zawierających informacje jawne, dostępne większej lub mniejszej grupie osób.

 

 
Przetwarzanie informacji niejawnych PDF Drukuj Email

 

Za przetwarzanie informacji niejawnych, zgodnie z art. 2 pkt 5 uoin, należy uważać wszelkie operacje wykonywane w odniesieniu do informacji niejawnych i na tych informacjach, w szczególności ich wytwarzanie, modyfikowanie, kopiowanie, klasyfikowanie, gromadzenie, przechowywanie, przekazywanie lub udostępnianie. Za generalna zasadę należy przyjąć, że informacje niejawne mogą być przetwarzane w postaci dokumentów i materiałów niejawnych.

Zgodnie z zasadą wiedzy uzasadnionej (ang. need to know) zawartej w art. 4 ust 1 uoin informacje niejawne mogą być przetwarzane tylko przez osoby sprawdzone (dające rękojmię zachowania tajemnicy) i przeszkolone z zasad ochrony informacji niejawnych. Czynności te składają się na tak zwane bezpieczeństwo osobowe.

Przetwarzanie informacji niejawnych przez sprawdzony i przeszkolony personel może mieć miejsce tylko w wyznaczonych i specjalnie zabezpieczonych pomieszczeniach lub zespołach takich pomieszczeń, które musza być zabezpieczone przez zastosowanie odpowiedniej kombinacji środków bezpieczeństwa fizycznego.

Informacje niejawne w formie elektronicznej mogą być przetwarzane w akredytowanych systemach teleinformatycznych. Wszystkie czynności mające na celu doprowadzenie do takiej akredytacji, wykonywane w trakcie użytkowana akredytowanego systemu teleinformatycznego, a także niezbędne do wykonania po zakończeniu jego pracy nazywane są bezpieczeństwem teleinformatycznym.

Potwierdzeniem zdolności przedsiębiorcy do bezpiecznego przetwarzania informacji niejawnych jest świadectwo bezpieczeństwa przemysłowego. Dokument ten wydawany jest po pozytywnym zweryfikowaniu osób mogących mieć u przedsiębiorcy dostęp do informacji niejawnych, struktury organizacyjnej, pochodzenia kapitału zakładowego oraz innych czynników mających wpływ na bezpieczeństwo informacji niejawnych (np. zadłużenia w stosunku do Skarbu Państwa). Czynności mające doprowadzić do pozytywnego zakończenia tego procesu nazywane są bezpieczeństwem przemysłowym.

Kontrola ochrony informacji niejawnych zazwyczaj polega na sprawdzeniu poprawności przetwarzania informacji niejawnych. Kontrole można podzielić na kontrole wewnętrzne oraz kontrole zewnętrzne. Kontrole wewnętrzne, miedzy innymi okresową kontrole obiegu informacji niejawnych prowadzi pełnomocnik ochrony. Kontrole zewnętrzne ochrony informacji niejawnych w jednostce organizacyjnej prowadzą upoważnieni funkcjonariusze ABW lub funkcjonariusze i żołnierze SKW.

 

 
Co to są dane osobowe PDF Drukuj Email

 

Pojęcie danych osobowych zostało unormowane ustawą z dnia 29 sierpnia 1997r. o ochronie danych osobowych. Art.6 ustawy ust.1 określa je jako wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. To na pierwszy rzut oka proste pojęcie nastręcza czasami sporo trudności w związku z tym należy je dokładnie przeanalizować.

Zacznijmy od podmiotu ochrony, ustawodawca określa go jako "osobę fizyczną", czyli osobę od chwili narodzin aż do śmierci, zatem ochronie nie podlegają dane osób zmarłych. Należy w tym miejscu zaznaczyć, iż 31 grudnia 2011r. stracił moc art. 7a ust. 2 ustawy z dnia 19 listopada 1999 r. Prawo działalności gospodarczej, który do tej pory wyłączał dane osób wpisanych do centralnej ewidencji działalności gospodarczej spod ochrony ustawy. Oznacza to, że na dzień dzisiejszy zarówno dane osoby prowadzącej jednoosobową działalność gospodarczą, jak i osób prowadzących spółki, zasiadających we władzach tych spółek podlegają ochronie na podstawie ustawy o ochronie danych osobowych.

Przedmiotem ochrony są natomiast "wszelkie informacje" co z kolei jest określeniem bardzo szerokim obejmującym nie tylko znaki językowe lecz również obraz, dźwięk, a także zdobywające coraz większe znaczenie dane biometryczne takie jak odciski palców, wzorzec siatkówki oka, struktura twarzy, głos, geometria dłoni a nawet nawyki czy utrwalone umiejętności (np.: własnoręczne pismo). Warunek, który musi zostać spełniony, aby jakieś dane zostały uznane za dane osobowe to ten aby na ich podstawie dało się określić tożsamość osoby fizycznej w sposób bezpośredni lub pośredni. O bezpośredniej identyfikacji mówimy, jeśli na podstawie omawianych danych możemy daną osobę fizyczną odróżnić od innych osób bez konieczności uwzględniania dodatkowych informacji, natomiast pośrednia - oznacza wykorzystanie sposobów dostępnych dla administratora danych lub osoby trzeciej. Jednocześnie art.6 ust.3 ustawy o ochronie danych osobowych określa, że informacji nie uważa się za umożliwiającą określenie tożsamości, jeżeli wymagało by to nadmiernych kosztów, czasu lub działań. Oznacza to zastosowanie nieproporcjonalnych nakładów do wartości uzyskanej informacji ocenianych indywidualnie na podstawie obiektywnych kryteriów, z uwzględnieniem możliwości administratora danych, a także innych osób.

W art.27 ustawa o ochronie danych osobowych wprowadza pojęcie danych wrażliwych, czyli danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym. Wyodrębnienie ich jest podstawą, do stosowania szczególnych obostrzeń w zakresie ich przetwarzania, a co za tym idzie także surowszej odpowiedzialności karnej za brak ich poszanowania przez administratora danych.

 

 
<< Początek < Poprzednia 1 2 3 Następna > Ostatnie >>

Strona 1 z 3
Nowa ustawa o ochronie informacji niejawnch będzie
 

Logowanie



Zaprzyjaźnieni

Naszą witrynę przegląda teraz 3 gości