Stosownie do art. 41 ust. 1 ustawy zgłoszenie zbioru danych do rejestracji powinno zawierać:

Transkrypt

1 Zgłoszenie zbioru do rejestracji Zgłoszenia zbioru danych należy dokonać na formularzu, którego wzór stanowi załącznik do rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 11 grudnia 2008 r. w sprawie wzoru zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (Dz. U. nr 229, poz. 1536). Stosownie do art. 41 ust. 1 ustawy zgłoszenie zbioru danych do rejestracji powinno zawierać: 1) wniosek o wpisanie zbioru do rejestru zbiorów danych osobowych, 2) oznaczenie podmiotu prowadzącego zbiór i adres jego siedziby lub miejsca zamieszkania, w tym numer identyfikacyjny rejestru podmiotów gospodarki narodowej, jeżeli został mu nadany, oraz podstawę prawną upoważniającą do prowadzenia zbioru, a w przypadku podmiotu, o którym mowa w art. 31a, oznaczenie tego podmiotu i adres jego siedziby lub miejsce zamieszkania, 3) cel przetwarzania danych, 3a) opis kategorii osób, których dane dotyczą, oraz zakres przetwarzanych danych, 4) sposób zbierania oraz udostępniania danych, 4a) informację o odbiorcach lub kategoriach odbiorców, którym dane mogą być przekazywane, 5) opis środków technicznych i organizacyjnych zastosowanych w celach określonych w art , 1 / 7

2 6) informację o sposobie wypełniania warunków technicznych i organizacyjnych, określonych w przepisach, o których mowa w art. 39a, 7) informację dotyczącą ewentualnego przekazywania danych do państwa trzeciego. Zgłoszenie powinno zawierać wszystkie informacje, o których mowa w art. 41 ust. 1 pkt 1 7 ustawy, i powinno zostać podpisane przez administratora danych (np. osobę fizyczną prowadzącą działalność gospodarczą jednoosobowo) lub inną osobę upoważnioną do reprezentowania wnioskodawcy. Zgłoszenie można przesłać pocztą lub złożyć w Biurze Generalnego Inspektora Ochrony Danych Osobowych (ul. Stawki 2, Warszawa). Od lipca 2006 r. zgłoszenia można dokonać także drogą elektroniczną, z użyciem bezpiecznego podpisu elektronicznego. Aplikacja umożliwiająca skuteczne dokonanie zgłoszenia drogą elektroniczną znajduje się na stronie internetowej Generalnego Inspektora Ochrony Danych Osobowych w systemie platforma e-giodo" ( Zgłoszenia można również dokonać drogą elektroniczną bez użycia podpisu elektronicznego, a następnie uzupełnić zgłoszenie w formie papierowej. Wskazówki dotyczące wypełniania zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych Przed rozpoczęciem wypełniania zgłoszenia należy określić, czego ono dotyczy, poprzez zakreślenie właściwego pola odpowiadającego rodzajowi zgłoszenia. Pierwsze pole dotyczy przypadku, gdy administrator danych zgłasza nowy zbiór danych osobowych, w którym nie są przetwarzane dane wskazane w pkt 9 zgłoszenia. Drugie pole dotyczy zgłoszenia zmian zaistniałych po zgłoszeniu zbioru danych osobowych do rejestracji. Trzecie pole dotyczy przypadku, gdy administrator danych zgłasza nowy zbiór danych osobowych, w którym są przetwarzane dane wskazane w pkt 9 zgłoszenia. 2 / 7

3 Część A. Nazwa Zbioru Danych Administrator danych dowolnie określa nazwę zbioru. Zaleca się, aby nazwa zbioru była zwięzła i adekwatna do rodzaju danych przetwarzanych w zbiorze. Część B. Charakterystyka administratora danych - pkt 1. Wnioskodawca (administrator danych) Punkt ten powinien zawierać określenie administratora danych osobowych. Mogą nim być: organy państwowe, organy samorządu terytorialnego, państwowe i komunalne jednostki organizacyjne, a także: podmioty niepubliczne realizujące zadania publiczne, osoby fizyczne, osoby prawne i jednostki organizacyjne nie będące osobami prawnymi, które przetwarzają dane w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych, mające siedzibę albo miejsce zamieszkania na terytorium Rzeczypospolitej Polskiej albo w państwie trzecim, jeśli przetwarzają dane osobowe wykorzystując środki techniczne znajdujące się na terytorium Rzeczypospolitej Polskiej które decydują o celach i środkach przetwarzania danych osobowych. Zgłoszenie powinno zawierać określenie nazwy administratora danych, adres jego siedziby oraz numer REGON, a jeżeli zgłaszającym jest osoba fizyczna jej nazwisko i imię oraz miejsce zamieszkania. - pkt 2. Przedstawiciel Wnioskodawcy, o którym mowa w art. 31a ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych W przypadku przetwarzania danych osobowych przez podmioty mające siedzibę albo miejsce zamieszkania w państwie trzecim, tj. państwie nie należącym do Europejskiego Obszaru Gospodarczego, administrator danych jest obowiązany wyznaczyć swojego przedstawiciela w Rzeczypospolitej Polskiej. W przypadku wyznaczenia przedstawiciela administratora danych należy w punkcie tym podać jego nazwę i adres siedziby lub nazwisko, imię i miejsce zamieszkania. - pkt 3. Powierzenie przetwarzania danych osobowych Jeżeli administrator danych zamierza powierzyć przetwarzanie danych osobowych innemu podmiotowi, to powinien spełnić warunki określone w art. 31 ustawy o ochronie danych osobowych. W przypadku powierzenia danych innemu podmiotowi należy w punkcie tym podać nazwę i siedzibę podmiotu, któremu powierzono przetwarzanie danych osobowych. - pkt 4. Sposób dopełnienia ogólnych warunków legalności przetwarzania danych osobowych Należy zakreślić właściwe pole, które odpowiada podstawie prawnej przetwarzania danych w zbiorze. W przypadku, gdy zgłaszający zakreślił pole drugie, powinien określić przepisy prawa, które zezwalają na przetwarzanie danych osobowych, podając tytuł oraz publikator aktu 3 / 7

4 prawnego. Część C. Zakres i cel przetwarzania danych W rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Informacji nie uważa się za umożliwiające określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań. - pkt 5. Cel przetwarzania danych w zbiorze W punkcie tym należy dokładnie opisać cel, w którym administrator przetwarza dane w zbiorze. - pkt 6. Opis kategorii osób, których dane dotyczą W punkcie tym należy wskazać, jakich kategorii osób dotyczą dane przetwarzane w zbiorze (np. klienci, darczyńcy). - pkt 7. Zakres przetwarzanych w zbiorze danych o osobach W punkcie tym należy wskazać kategorie danych pozyskiwanych do zgłoszonego zbioru danych. - pkt 8. Inne dane osobowe, oprócz wymienionych w pkt 7, przetwarzane w zbiorze W punkcie tym należy podać informację o innych, niż wskazane w pkt 7, kategoriach danych pozyskiwanych do zgłoszonego zbioru danych. - pkt 9. Dane przetwarzane w zbiorze W przypadku przetwarzania w zbiorze tzw. danych szczególnie chronionych, określonych w art. 27 ust. 1 ustawy o ochronie danych osobowych, należy zakreślić odpowiednie pole wskazane w pkt 9. - pkt 10. Podstawa prawna przetwarzania danych wskazanych w punkcie 9 Przetwarzanie tzw. danych szczególnie chronionych, określonych w art. 27 ust. 1 ustawy o ochronie danych osobowych, jest dopuszczalne tylko w wyjątkowych przypadkach wymienionych enumeratywnie w art. 27 ust. 2 ustawy o ochronie danych osobowych. Jeżeli więc zgłaszający wskazał w pkt 9, że przetwarza tzw. dane szczególnie chronione, powinien jednocześnie zakreślić w pkt 10 zgłoszenia co najmniej jedno z pól, które odpowiada podstawie prawnej przetwarzania takich danych w zbiorze. 4 / 7

5 Część D. Sposób zbierania oraz udostępniania danych osobowych - pkt 11. Dane ze zbioru będą zbierane. W punkcie tym należy wskazać źródło pozyskiwania danych. Jeżeli dane będą pozyskiwane zarówno od osób, których one dotyczą, jak i z innych źródeł, wówczas należy zaznaczyć obydwa wymienione w tym punkcie pola. - pkt 12. Dane ze zbioru będą udostępniane Należy wypełnić w przypadku udostępniania danych ze zbioru podmiotom innym niż upoważnione na podstawie przepisów prawa. - pkt 13. Odbiorcy lub kategorie odbiorców, którym dane mogą być przekazywane Odbiorcą danych jest każdy, komu udostępnia się dane osobowe, z wyjątkiem: osoby, której dane dotyczą; osoby upoważnionej do przetwarzania danych; przedstawiciela, o którym mowa w pkt 2 zgłoszenia; podmiotu, o którym mowa w pkt 3 zgłoszenia; organów państwowych lub organów samorządu terytorialnego, którym dane są udostępniane w związku z prowadzonym postępowaniem. W przypadku wskazania poszczególnych odbiorców należy podać nazwę i adres siedziby lub imię, nazwisko i miejsce zamieszkania tych podmiotów. - pkt 14. Informacja dotycząca ewentualnego przekazywania danych do państwa trzeciego Jeżeli administrator danych zamierza przekazywać dane osobowe do państwa trzeciego, tj. państwa nienależącego do Europejskiego Obszaru Gospodarczego, powinien spełnić warunki określone w art. 47 lub art. 48 ustawy o ochronie danych osobowych. Część E. Opis środków technicznych i organizacyjnych zastosowanych w celach określonych w art ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych - pkt 15. Zbiór danych osobowych jest prowadzony: Centralne prowadzenie zbioru danych, zarówno w przypadku przetwarzania danych w systemie informatycznym, jak i w tzw. systemie tradycyjnym (na papierze), oznacza zlokalizowanie danych w jednym miejscu. Zbiór prowadzony jest centralnie, gdy dane zgromadzone zostały (zarówno te na papierze, jak i zamieszczone na serwerze) w jednym pomieszczeniu lub budynku. Wyłącznie w postaci papierowej zbiór tradycyjny (papierowy) to kartoteki, skorowidze, księgi, wykazy i inne zbiory ewidencyjne. Z użyciem systemu informatycznego system informatyczny to zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programów zastosowanych w celu przetwarzania danych. - pkt 16. Przedsięwzięcia zastosowane w zakresie zabezpieczenia zbiorów W punkcie 16 należy wymienić środki służące do zabezpieczenia zbiorów danych osobowych, zgodnie z wymogami określonymi w art ustawy o ochronie danych 5 / 7

6 osobowych. Administrator danych prowadzący zbiór w systemie tradycyjnym (papierowym) zobowiązanych jest do zastosowania środków określonych w pkt 16 ppkt a d, a w przypadku prowadzenia zbioru w systemie informatycznym ponadto środka określonego w pkt 16 ppkt e. Administrator danych może wskazać inne środki zastosowane w celu zabezpieczenia danych, w szczególności: - środki ochrony fizycznej danych podać informację dotyczącą fizycznego zabezpieczenia pomieszczeń, w których są przetwarzane dane osobowe oraz przechowywane są archiwa i kopie awaryjne zawierające dane osobowe; - środki sprzętowe, infrastruktury informatycznej i telekomunikacyjnej określić typ, standard sprzętu wykorzystywanego w ramach systemu informatycznego służącego do przetwarzania danych osobowych (komputery, sieci, routery, huby, sprzętowe szyfratory do szyfrowania dysków, modemy, urządzenia eliminujące zakłócenia i przepięcia w sieci zasilającej oraz urządzenia podtrzymujące zasilanie w przypadku jego zaniku UPS-y), systemu operacyjnego i sieci komputerowej oraz ich konfiguracji, zapewniającej odpowiednie restrykcje w zakresie dostępu do danych; podać informacje o zabezpieczeniu teletransmisji (np. wykorzystanie poufnych protokołów, stosowanie procedury oddzwonienia - callback"); - środki ochrony w ramach systemowych narzędzi programowych i baz danych podać informacje o zabezpieczeniu teletransmisji (np. ograniczenie identyfikatorem i hasłem dostępu do urządzeń teletransmisji, szyfrowanie przesyłanych danych,); wskazać środki w ramach systemu operacyjnego serwera ograniczające dostęp użytkownika jedynie do konkretnych zasobów (np. system użytkowników i haseł, ograniczenie dostępu do poziomu poleceń systemowych lub zakaz wykonywania poleceń systemowych - restricted shell, rejestracja nieudanych logowań do systemu). W przypadku dostępu do Internetu - podać wykaz zastosowanych środków ochrony, wykaz programów antywirusowych itp.; podać informacje o zastosowanej bazie danych (typ, standard), określić, czy użyto narzędzi bazy danych do: - ograniczenia i kontroli dostępu do zbiorów danych osobowych (identyfikatory i hasła, rejestracja operacji na rekordach itd.), - szyfrowania bazy danych; określić, w jaki sposób chroniony jest dostęp do aplikacji i jakie procedury ochrony/weryfikacji zostały zastosowane w ramach systemu użytkowego na stanowiskach komputerowych wykorzystanych do przetwarzania danych osobowych (np. dostęp do systemu ograniczony identyfikatorem i hasłem, hasło w BIOS-ie, zainstalowane wygaszacze ekranu); opisać środki organizacyjne zastosowane przy przetwarzaniu zbiorów danych osobowych, wskazać obowiązujące zasady przydzielania i sprawdzania dostępu w zakresie wdrożonych zabezpieczeń fizycznych i systemowo-programowych. - środki organizacyjne podać czy: osoby zatrudnione przy przetwarzaniu danych zostały zaznajomione z przepisami dotyczącymi ochrony danych osobowych. przeszkolono osoby zatrudnione przy przetwarzaniu danych osobowych w zakresie zabezpieczeń systemu informatycznego. osoby zatrudnione przy przetwarzaniu danych osobowych obowiązane zostały do zachowania ich w tajemnicy. monitory komputerów, na których przetwarzane są dane osobowe ustawione są w sposób 6 / 7

7 uniemożliwiający wgląd osobom postronnym w przetwarzane dane. kopie zapasowe zbioru danych osobowych przechowywane są w innym pomieszczeniu niż to, w którym znajduje się serwer, na którym dane osobowe przetwarzane są na bieżąco. - Część F. Informacja o sposobie wypełnienia warunków technicznych i organizacyjnych, o których mowa w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. nr 100, poz. 1024) - pkt 17. Zastosowane środki bezpieczeństwa W tym punkcie należy wskazać poziom bezpieczeństwa przetwarzania danych w systemie informatycznym, który zastosował administrator danych. Poziom przynajmniej podwyższony należy zastosować, jeżeli wnioskodawca przetwarza dane wymienione w pkt 9 zgłoszenia. W przypadku gdy przynajmniej jedno urządzenie systemu informatycznego służącego do przetwarzania danych osobowych połączone jest z siecią publiczną, należy zastosować środki bezpieczeństwa na poziomie wysokim. W pozostałych przypadkach przetwarzania danych w systemie informatycznym, wystarczające jest zastosowanie środków bezpieczeństwa na poziomie podstawowym. Uwaga! Część F dotyczy wyłącznie zbiorów danych przetwarzanych w systemach informatycznych. Na podstawie: edugiodo 7 / 7