CZĘŚĆ A. NAZWA ZBIORU DANYCH. Administrator danych dowolnie określa nazwę zbioru. Zaleca się, aby nazwa zbioru była zwięzła i adekwatna do rodzaju danych przetwarzanych w zbiorze. CZĘŚĆ B. CHARAKTERYSTYKA ADMINISTRATORA DANYCH. pkt 1. Wnioskodawca (administrator danych). Punkt ten powinien zawierać określenie administratora danych osobowych. Mogą nim być: organy państwowe, organy samorządu terytorialnego, inne państwowe i komunalne jednostki organizacyjne, podmioty niepaństwowe realizujące zadania publiczne, a także: osoby fizyczne, osoby prawne, jednostki organizacyjne nie posiadające osobowości prawnej, które przetwarzają dane w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych, które decydują o celach i środkach przetwarzania danych osobowych. Podmioty te muszą mieć siedzibę albo miejsce zamieszkania na terytorium Rzeczpospolitej Polskiej lub przetwarzać dane osobowe przy wykorzystaniu środków technicznych znajdujących się na terytorium Rzeczpospolitej Polskiej. Zgłoszenie powinno zawierać określenie nazwy administratora danych oraz adres jego siedziby, Numer Identyfikacji Podatkowej (NIP) oraz REGON, a jeżeli zgłoszeniodawcą jest osoba fizyczna - jej nazwisko i imię oraz adres zamieszkania. pkt 2. Dane o działalności wnioskodawcy / odpis z Krajowego Rejestru Sądowego lub zaświadczenie o wpisie do ewidencji działalności gospodarczej (jeżeli dotyczy). W punkcie tym należy zamieścić dane o działalności gospodarczej wnioskodawcy oraz załączyć odpis z Krajowego Rejestru Sądowego lub zaświadczenie o wpisie do ewidencji działalności gospodarczej administratora danych osobowych. W przypadku, gdy zgłoszenia dokonuje pełnomocnik ustanowiony przez administratora danych należy załączyć odpowiednie pełnomocnictwo. Jeśli punkt ten nie znajduje zastosowania w stosunku do zgłoszeniodawcy wpisuje on "nie dotyczy". pkt 3. Sposób dopełnienia ogólnych warunków legalności przetwarzania danych osobowych.
Należy zakreślić właściwe pole, które odpowiada podstawie prawnej dla przetwarzania danych w zbiorze. W przypadku, gdy zgłoszeniodawca zakreślił pole drugie powinien wskazać przepisy, które zezwalają na przetwarzanie danych osobowych. W przypadku, gdy przetwarzanie danych osobowych jest niezbędne zgłoszeniodawcy do wykonania określonych prawem zadań, powinien zakreślić pole czwarte oraz opisać zadanie i wskazać podstawę prawną, która zobowiązuje go do jego realizacji. CZĘŚĆ C. NAZWA ZBIORU DANYCH. W rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Informacji nie uważa się za umożliwiające określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań. pkt 4. Zakres przetwarzanych w zbiorze danych o osobach. pkt 5. Inne dane osobowe, oprócz wymienionych w pkt 4, przetwarzane w zbiorze. pkt 6. Dane przetwarzane w zbiorze: a) ujawniają bezpośrednio lub w kontekście. b) dotyczą. pkt 7. Podstawa prawna przetwarzania danych wskazanych w punkcie 6. Zakreślenie jednego z pól wymienionych w punkcie 6 wskazuje, że administrator danych osobowych przetwarza dane określone w art. 27 ust. 1 ustawy o ochronie danych osobowych (tzw. dane wrażliwe). Wg przepisów ustawy przetwarzanie tego rodzaju danych jest dopuszczalne tylko w wyjątkowych przypadkach wymienionych enumeratywnie w art. 27 ust. 2 ustawy o ochronie danych osobowych. Jeżeli więc zgłoszeniodawca wskazał, że przetwarza "dane wrażliwe", powinien jednocześnie zakreślić w pkt 7 zgłoszenia co najmniej jedno z pól, które odpowiada podstawie prawnej dla przetwarzania danych wrażliwych w zbiorze. pkt 8. Cel przetwarzania danych w zbiorze. Cel przetwarzania danych, podany w tym punkcie, powinien odpowiadać zakresowi przedmiotowemu prowadzonej działalności, z którą wiąże się przetwarzanie danych osobowych. CZĘŚĆ D. SPOSÓB ZBIERANIA ORAZ UDOSTĘPNIANIA DANYCH OSOBOWYCH. pkt 9. Sposób zbierania danych do zbioru. Pierwsze cztery pola określają jakie jest wyłączne lub główne źródło pozyskiwania danych osobowych.
Możliwe jest zakreślenie tylko jednego z pól. Pozostałe dwa pola dotyczą przekazywania danych osobowych metodą teletransmisji. Możliwe jest zakreślenie tylko jednego z pól. pkt 10. Udostępnianie danych ze zbiorów. Jeżeli dane osobowe będą udostępniane metodą teletransmisji - patrz część E pkt 15 c poradnika. Jeżeli administrator danych zamierza udostępniać dane osobowe za granicę powinien spełnić warunki określone w art. 47 ustawy o ochronie danych osobowych. W przypadku zakreślenia przynajmniej jednego kwadratu należy wymienić odbiorców lub kategorie odbiorców, którym dane mogą być przekazywane. pkt 11. Dane ze zbioru będą służyć. Możliwe jest wskazanie więcej niż jednego celu, któremu ma służyć przetwarzanie danych osobowych w zbiorze. pkt 12. Powierzenie przetwarzania danych osobowych. W przypadku, gdy administrator danych przewiduje powierzenie przetwarzania danych innemu podmiotowi należy wskazać adres i siedzibę tego podmiotu. Jeżeli administrator danych zamierza powierzyć przetwarzanie danych osobowych innemu podmiotowi, to powinien spełnić warunki określone w art. 31 ustawy o ochronie danych osobowych. W przypadku powierzenia danych innemu podmiotowi należy podać nazwę i siedzibę podmiotu, któremu powierzono przetwarzanie danych osobowych. W CZĘŚCI E NALEŻY WYMIENIĆ ZASTOSOWANE ŚRODKI SŁUŻĄCE DO ZABEZPIECZANIA ZBIORÓW DANYCH OSOBOWYCH ZGODNIE Z WYMOGAMI OKREŚLONYMI W ART. 36-39 USTAWY O OCHRONIE DANYCH OSOBOWYCH. pkt 13. Zbiór danych osobowych będzie przetwarzany centralnie, w architekturze rozproszonej. pkt 14. Przedsięwzięcia zastosowane w zakresie: W punkcie 14 należy wymienić środki służące do zabezpieczenia zbiorów danych osobowych zgodnie z wymogami określonymi w art. 36-39 ustawy o ochronie danych osobowych, a w szczególności: w pkt 14 a) podać informację dotyczącą fizycznego zabezpieczenia pomieszczeń, w których są przetwarzane dane osobowe oraz przechowywane są archiwa i kopie awaryjne zawierające dane osobowe. w pkt 14 b) określić typ, standard: sprzętu wykorzystywanego w ramach systemu informatycznego przetwarzającego zbiory danych osobowych (komputery, sieci, rutery, huby, sprzętowe szyfratory do
szyfrowania dysków, modemy, urządzenia eliminujące zakłócenia i przepięcia w sieci zasilającej oraz urządzenia podtrzymujące zasilanie w przypadku jego zaniku UPS-y), systemu operacyjnego i sieci komputerowej oraz ich konfiguracji zapewniającej odpowiednie restrykcje w zakresie dostępu do danych. w pkt 14 c) podać informacje o zabezpieczeniu teletransmisji (np. ograniczenie identyfikatorem i hasłem dostępu do urządzeń teletransmisji, szyfrowanie przesyłanych danych, wykorzystanie poufnych protokołów, stosowanie procedury oddzwonienia- "callback"). w pkt 14 d) wskazać środki w ramach systemu operacyjnego serwera ograniczające dostęp użytkownika jedynie do konkretnych zasobów (np. system użytkowników i haseł, ograniczenie dostępu do poziomu poleceń systemowych lub zakaz wykonywania poleceń systemowych (restricted shell), rejestracja nieudanych logowań do systemu). W przypadku dostępu do Internetu, podać wykaz zastosowanych środków ochrony, wykaz programów antywirusowych itp. w pkt 14 e) podać informacje o zastosowanej bazie danych (typ, standard), określić czy użyto narzędzi bazy danych do: ograniczenia i kontroli dostępu do zbiorów danych osobowych (identyfikatory i hasła, rejestracja operacji na rekordach itd.), szyfrowania bazy danych. w pkt 14 f) określić w jaki sposób chroniony jest dostęp do aplikacji i jakie procedury ochrony/weryfikacji zostały zastosowane w ramach systemu użytkowego na stanowiskach komputerowych wykorzystanych do przetwarzania danych osobowych. (np. dostęp do systemu ograniczony identyfikatorem i hasłem, hasło w BIOS-ie, zainstalowane wygaszacze ekranu). w pkt 14 g) opisać środki organizacyjne zastosowane przy przetwarzaniu zbiorów danych osobowych, wskazać obowiązujące zasady przydzielania i sprawdzania dostępu w zakresie wdrożonych zabezpieczeń fizycznych i systemowo-programowych oraz oświadczyć o prowadzeniu ewidencji osób zatrudnionych przy przetwarzaniu danych osobowych. Uwaga! W przypadku zbiorów danych osobowych przetwarzanych wyłącznie w tzw. systemie tradycyjnym (kartoteki, skorowidze, księgi, wykazy i inne zbiory ewidencyjne) należy wypełnić tylko punkty 14a) i 14g). CZĘŚĆ F ZGŁOSZENIA. INFORMACJA O SPOSOBIE WYPEŁNIENIA PODSTAWOWYCH WYMAGAŃ TECHNICZNYCH I ORGANIZACYJNYCH Z ROZPORZĄDZENIA MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI Z DNIA 3 CZERWCA 1998 R. (DZ.U. NR 80, POZ. 521 Z PÓŹN. ZM.). Wyjaśnienia zawarte w tej części (polegające głównie na wskazaniu odpowiednich pozycji formularza) powinny odzwierciedlać rzeczywiste parametry i wdrożone procedury środowiska informatycznego, w którym przetwarzane są dane osobowe oraz wdrożone procedury organizacyjno - techniczne, dotyczące w szczególności takich zagadnień jak:
1. Podstawowe zasady dotyczące sposobu wypełnienia wymogów 2 rozporządzenia: określenie celów, strategii i polityki zabezpieczenia systemów informatycznych, w których są przetwarzane dane osobowe, zidentyfikowanie i przeanalizowanie zagrożeń i rodzajów ryzyka, na które może być narażony proces przetwarzanie danych osobowych, określenie potrzeb w zakresie zabezpieczenia zbiorów danych osobowych i systemów informatycznych, z uwzględnieniem potrzeby kryptograficznej ochrony danych osobowych, w szczególności podczas ich przesyłania za pomocą urządzeń teletransmisji danych, określenie zabezpieczeń adekwatnych do zidentyfikowanych zagrożeń i rodzajów ryzyka, monitorowanie działania zabezpieczeń wdrożonych w celu ochrony danych osobowych i ich przetwarzania, opracowanie i wdrożenie planu szkolenia w zakresie zabezpieczeń systemu, wykrywanie i właściwe reagowanie na przypadki naruszenia bezpieczeństwa danych osobowych i systemów informatycznych je przetwarzających. Informacje pomocne przy opracowywaniu materiałów związanych z zarządzaniem bezpieczeństwem systemów informatycznych znajdują się w Polskiej Normie PN-I-13335-1 "Technika Informatyczna. Wytyczne do zarządzania bezpieczeństwem systemów informatycznych. Pojęcia i modele bezpieczeństwa systemów informatycznych."(* Wydział Marketingu i Sprzedaży Polskiego Komitetu Normalizacji, 00-950 Warszawa, ul. Elektoralna 2, tel. 620-66-46). 2. Określenie "administratora bezpieczeństwa informacji": stanowisko służbowe oraz numer telefonu służbowego. 3. Informacje o wpisaniu do indywidualnego zakresu czynności osób zatrudnionych przy przetwarzaniu danych osobowych odpowiedzialności za ochronę tych danych. 4. Informacje o zaznajomieniu z przepisami dotyczącymi ochrony danych osobowych pracowników dopuszczonych do pracy przy przetwarzaniu danych osobowych. 5. Załączenie instrukcji postępowania w sytuacji naruszenia ochrony danych osobowych, ewentualnie wyciągu z instrukcji, wskazującego w jaki sposób zrealizowano wymogi 6 rozporządzenia. 6. Określenie obszaru, w którym są przetwarzane dane osobowe z użyciem stacjonarnego sprzętu komputerowego: adres, oznaczenie budynków, pomieszczeń lub części pomieszczeń. 7. Informacje o zastosowanych urządzeniach chroniących przed awarią zasilania lub zakłóceniami w sieci zasilającej. 8. Informacje, czy wykorzystywane są do przetwarzania danych komputery przenośne. W przypadku udzielenia pozytywnej odpowiedzi, należy podać czy zostały spełnione wymogi określone w 9 rozporządzenia tj. zabezpieczono dostęp do komputera hasłem i nie zezwala się na używania komputera osobom nieupoważnionym do dostępu do danych osobowych. 9. Informacje o procedurach postępowania z urządzeniami, dyskami lub innymi informatycznymi nośnikami, zawierającymi dane osobowe przeznaczonymi do likwidacji, przekazania innemu podmiotowi lub naprawy.
10. Załączenie instrukcji określającej sposób zarządzania systemem informatycznym, ewentualnie wyciągu z instrukcji, wskazującego ogólnie w jaki sposób zrealizowano wymogi z 11 rozporządzenia. 11. Informacje o zabezpieczeniu pomieszczeń, w których przechowywane są kopie awaryjne oraz nośniki informacji i wydruki z danymi osobowymi, które nie są przeznaczone do udostępnienia 12. Informacje o zastosowanych mechanizmach uwierzytelniania użytkowników systemu informatycznego oraz kontroli dostępu do tych danych. 13. Informacje o takim zabezpieczeniu i usytuowaniu monitorów, aby osoby postronne nie miały możliwości wglądu w dane oraz o automatycznym wyłączaniu ekranów monitorów po określonym czasie o ile pozwalają na to odpowiednie możliwości techniczne. 14. Informacje w jaki sposób dla każdej osoby, której dane są przetwarzane w systemie informatycznym, system odnotowuje: datę pierwszego wprowadzenia danych tej osoby, źródła pochodzenia danych, identyfikator użytkownika wprowadzającego dane oraz informacje komu, kiedy i w jakim zakresie dane zostały udostępnione. 15. Informacje, w jaki sposób system informatyczny służący do przetwarzania danych osobowych umożliwia udostępnianie na piśmie, w powszechnie zrozumiałej formie, treści danych o każdej osobie, której dane są przetwarzane wraz z informacjami, o których mowa w 16 rozporządzenia. Uwaga! Część F dotyczy wyłącznie zbiorów danych przetwarzanych w systemach informatycznych.