Służba przygotowawcza- IV edycja

Wielkopolski Urząd Wojewódzki w Poznaniu

Poznań 2010

1

1. Zasady ochrony danych osobowych

Opracowanie: Maria Moszycka

O

O

C

C

H

H

R

R

O

O

N

N

A

A

D

D

A

A

N

N

Y

Y

C

C

H

H

O

O

S

S

O

O

B

B

O

O

W

W

Y

Y

C

C

H

H

I

I

I

I

N

N

F

F

O

O

R

R

M

M

A

A

C

C

J

J

I

I

N

N

I

I

E

E

J

J

A

A

W

W

N

N

Y

Y

C

C

H

H

Służba przygotowawcza- IV edycja

Wielkopolski Urząd Wojewódzki w Poznaniu

Poznań 2010

2

OCHRONA DANYCH OSOBOWYCH

I. GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

1. Organem do spraw ochrony danych osobowych jest Generalny Inspektor Ochrony Danych

Osobowych (GIODO)

2. Na stanowisko Generalnego Inspektora może być powołany ten, kto łącznie spełnia

następujące warunki:
1) jest obywatelem polskim i stale zamieszkuje na terytorium Rzeczypospolitej Polskiej,
2) wyróżnia się wysokim autorytetem moralnym,
3) posiada wyższe wykształcenie prawnicze oraz odpowiednie doświadczenie zawodowe,
4) nie był karany za przestępstwo.

3. Generalny Inspektor w zakresie swoich zadań podlega tylko ustawie.

4. W dniu 13 lipca 2006 roku na stanowisko Generalnego Inspektora Ochrony Danych

Osobowych został wybrany przez Sejm RP Michał Serzycki na czteroletnią kadencję.

5. Generalny Inspektor Ochrony Danych Osobowych prowadzi postępowanie w sprawach

należących do jego kompetencji według przepisów Kodeksu postępowania administracyjnego,
chyba że odmienne uregulowania znajdują się w ustawie o ochronie danych osobowych.
Ustawa z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. tekst
jednolity z 2000 r., Nr 98, poz. 1071, ze zm.)

6. Kompetencje GIODO wyznaczają przepisy ustawy z dnia 29 sierpnia 1997 r. o ochronie

danych osobowych (t.j. Dz. U. z 2002 r. Nr 101, poz. 926, ze zm.). W ich świetle GIODO jest
uprawniony do:
1) kontroli zgodności przetwarzania danych z przepisami o ochronie danych osobowych,
2) wydawania decyzji administracyjnych i rozpatrywanie skarg w sprawach wykonania

przepisów o ochronie danych osobowych,

3) prowadzenia rejestru zbioru danych oraz udzielanie informacji o zarejestrowanych

zbiorach,

4) opiniowania projektów ustaw i rozporządzeń dotyczących ochrony danych osobowych,
5) inicjowania i podejmowania przedsięwzięć w zakresie doskonalenia ochrony danych

osobowych,

6) uczestniczenia w pracach międzynarodowych organizacji i instytucji zajmujących się

problematyką ochrony danych osobowych.

7. Uprawnienia kontrolne (art. 14 u.o.d.o.)

W celu wykonania zadań, o których mowa w art. 12 pkt. 1 i 2 u.o.d.o., Generalny Inspektor,
zastępca Generalnego Inspektora lub upoważnieni przez niego pracownicy Biura, zwani dalej
„inspektorami”, mają prawo:
1) wstępu, w godzinach od 6°° do 22°°, za okazaniem imiennego upoważnienia i legitymacji

służbowej, do pomieszczenia, w którym zlokalizowany jest zbiór danych, oraz
pomieszczenia, w którym przetwarzane są dane poza zbiorem danych, i przeprowadzenia

Służba przygotowawcza- IV edycja

Wielkopolski Urząd Wojewódzki w Poznaniu

Poznań 2010

3

niezbędnych badań lub innych czynności kontrolnych w celu oceny zgodności
przetwarzania danych z ustawą,

2) żądać złożenia pisemnych lub ustnych wyjaśnień oraz wzywać i przesłuchiwać osoby

w zakresie niezbędnym do ustalenia stanu faktycznego,

3) wglądu do wszelkich dokumentów i wszelkich danych mających bezpośredni związek

z przedmiotem kontroli oraz sporządzania ich kopii,

4) przeprowadzania oględzin urządzeń, nośników oraz systemów informatycznych służących

do przetwarzania danych,

5) zlecać sporządzanie ekspertyz i opinii.

8. Zakres decyzji nakazujących GIODO (art. 18 ust. 1 u.o.d.o.)

Art. 18. 1. W przypadku naruszenia przepisów o ochronie danych osobowych Generalny
Inspektor z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej,
nakazuje przywrócenie stanu zgodnego z prawem, a w szczególności:
1) usunięcie uchybień,
2) uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych

osobowych,

3) zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe,
4) wstrzymanie przekazywania danych osobowych do państwa trzeciego,
5) zabezpieczenie danych lub przekazanie ich innym podmiotom,
6) usunięcie danych osobowych.

Zgodnie z art. 21 ust. 1 u.o.d.o. strona może zwrócić się do GIODO o ponowne rozpatrzenie
sprawy.

Od drugiej decyzji GIODO stronie przysługuje skarga do sadu administracyjnego.

II. Biuro GIODO

1. Rozporządzenie Prezydenta Rzeczypospolitej Polskiej z dnia 3 listopada 2006 r. w sprawie

nadania statutu Biuru Generalnego Inspektora Ochrony Danych Osobowych (Dz. U. z 2006 r.,
Nr 203, poz. 1494).

2. Rozporządzenie powstało na podstawie art. 13 ust. 3 ustawy z dnia 29 sierpnia 1997r.

o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926, z późn. zm.).

Służba przygotowawcza- IV edycja

Wielkopolski Urząd Wojewódzki w Poznaniu

Poznań 2010

4

STRUKTURA ORGANIZACYJNA

(stan sierpień 2009 r.)

Służba przygotowawcza- IV edycja

Wielkopolski Urząd Wojewódzki w Poznaniu

Poznań 2010

5

III. Akty Prawne regulujące ochronę danych osobowych

1. Międzynarodowe

1) Konwencja Nr 108 Rady Europy o ochronie jednostek w kontekście automatycznego

przetwarzania danych osobowych – z 28 stycznia 1981 r.,

2) Dyrektywy Parlamentu Europejskiego i Rady:

a) 95/46/WE z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie

przetwarzania danych osobowych oraz swobodnego przepływu tych danych,

b) 2000/31/WE z dnia 8 czerwca 2000 r. w sprawie niektórych aspektów prawnych usług,

społeczeństwa informacyjnego, w szczególności handlu elektronicznego w ramach
rynku wewnętrznego (Dyrektywa o handlu elektronicznym),

c) 2006/24/WE z dnia 15 marca 2006 r. w sprawie zatrzymywania generowanych lub

przetwarzanych danych w związku ze świadczeniem ogólnie dostępnych usług łączności
elektronicznej lub udostępnianiem publicznych sieci łączności oraz zmieniająca
dyrektywę 2002/58/WE,

3) Decyzje,
4) Umowy międzynarodowe.

2. W Polsce

1) KONSTYTUCJA RZECZYPOSPOLITEJ POLSKIEJ (art. 47, 51.1),

47. Każdy ma prawo do ochrony prawnej życia prywatnego, rodzinnego, czci i dobrego

imienia oraz do decydowania o swoim życiu osobistym.

51.1 Nikt nie może być obowiązany inaczej, niż na podstawie ustawy do ujawniania

informacji dotyczącej jego osoby.

2. Władze publiczne nie mogą pozyskiwać, gromadzić i udostępniać innych informacji o

obywatelach, niż niezbędne w demokratycznym państwie prawnym.

3. Każdy ma prawo dostępu do dotyczących go urzędowych dokumentów i zbiorów

danych. Ograniczenie tego prawa może określić ustawa.

4. Każdy ma prawo do żądania sprostowania oraz usunięcia informacji nieprawdziwych,

niepełnych lub zebranych w sposób sprzeczny z ustawą.

5. Zasady i tryb gromadzenia oraz udostępniania informacji określi ustawa.

2) Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych

(tj. Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.).

3) Akty wykonawcze do ustawy o ochronie danych osobowych.

IV. USTAWA O OCHRONIE DANYCH OSOBOWYCH

(Dz. U. z 2002r. Nr 101, poz. 926, z późn. zm.)

Pojęcie „Danych osobowych” (art. 6 u.o.d.o.)
Art. 6. 1. W rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące

zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.

2. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić

bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer
identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy
fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.

Służba przygotowawcza- IV edycja

Wielkopolski Urząd Wojewódzki w Poznaniu

Poznań 2010

6

3. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli

wymagałoby to nadmiernych kosztów, czasu lub działań.

Rodzaje danych osobowych

Dane zwykłe
brak wyliczenia (wszelkie inne dane osobowe oprócz danych wrażliwych)
Dane wrażliwe
dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania
religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak
również dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz
dane dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń
wydanych w postępowaniu sądowym lub administracyjnym (art. 27 ust. 1 u.o.d.o.).
Przykład danych wrażliwych:
Dane o stanie zdrowia – wszelkie informacje, które bezpośrednio lub pośrednio
(„w kontekście”)ujawniają stan zdrowia zidentyfikowanej lub możliwej do
zidentyfikowania osoby fizycznej.

Inne pojęcia (art. 7 u.o.d.o.)
Art. 7. Ilekroć w ustawie jest mowa o:
1) zbiorze danych - rozumie się przez to każdy posiadający strukturę zestaw danych

o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego,
czy zestaw ten jest rozproszony lub podzielony funkcjonalnie,

2) przetwarzaniu danych - rozumie się przez to jakiekolwiek operacje wykonywane na

danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie,
zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach
informatycznych,

2a) systemie informatycznym - rozumie się przez to zespół współpracujących ze sobą

urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych
zastosowanych w celu przetwarzania danych,

2b) zabezpieczeniu danych w systemie informatycznym - rozumie się przez to wdrożenie

i eksploatację stosownych środków technicznych i organizacyjnych zapewniających
ochronę danych przed ich nieuprawnionym przetwarzaniem,

3) usuwaniu danych - rozumie się przez to zniszczenie danych osobowych lub taką ich

modyfikację, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą,

4) administratorze danych - rozumie się przez to organ, jednostkę organizacyjną, podmiot

lub osobę, o których mowa w art. 3, decydujące o celach i środkach przetwarzania danych
osobowych,

5) zgodzie osoby, której dane dotyczą - rozumie się przez to oświadczenie woli, którego

treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie;
zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści,

6)odbiorcy danych - rozumie się przez to każdego, komu udostępnia się dane osobowe,

z wyłączeniem:
a) osoby, której dane dotyczą,
b) osoby upoważnionej do przetwarzania danych,
c) przedstawiciela, o którym mowa w art. 31a,
d) podmiotu, o którym mowa w art. 31,

Służba przygotowawcza- IV edycja

Wielkopolski Urząd Wojewódzki w Poznaniu

Poznań 2010

7

e) organów państwowych lub organów samorządu terytorialnego, którym dane są

udostępniane w związku z prowadzonym postępowaniem,

7) państwie trzecim - rozumie się przez to państwo nienależące do Europejskiego Obszaru

Gospodarczego.

1. Zakres stosowania ustawy o ochronie danych osobowych

1) Ustawa określa zasady postępowania przy przetwarzaniu danych osobowych oraz prawa

osób fizycznych, których dane są lub mogą być przetwarzane w zbiorach danych.

2) Ustawę stosuje się do przetwarzania danych osobowych:

a) w systemach informatycznych, także w przypadku przetwarzania danych osobowych

poza zbiorem danych,

b) w kartotekach, skorowidzach, księgach, wykazach i innych zbiorach ewidencyjnych.

2. Zakres podmiotowy ustawy o ochronie danych osobowych

1) Ustawę stosuje się do organów państwowych, organów samorządu terytorialnego oraz do

państwowych i komunalnych jednostek organizacyjnych.

2) Ustawę stosuje się również do:

a) podmiotów niepublicznych realizujących zadania publiczne,
b) osób fizycznych i osób prawnych oraz jednostek organizacyjnych niebędących osobami

prawnymi, jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową,
zawodową lub dla realizacji celów statutowych - które mają siedzibę albo miejsce
zamieszkania na terytorium Rzeczypospolitej Polskiej, albo w państwie trzecim, o ile
przetwarzają dane osobowe przy wykorzystaniu środków technicznych znajdujących się
na terytorium Rzeczypospolitej Polskiej.

3) Ustawy nie stosuje się do:

a) osób fizycznych, które przetwarzają dane wyłącznie w celach osobistych lub

domowych,

b) podmiotów mających siedzibę lub miejsce zamieszkania w państwie trzecim,

wykorzystujących środki techniczne znajdujące się na terytorium Rzeczypospolitej
Polskiej wyłącznie do przekazywania danych.

c) 2. Ustawy, z wyjątkiem przepisów art. 14-19 i art. 36 ust. 1, nie stosuje się również do

prasowej działalności dziennikarskiej w rozumieniu ustawy z dnia 26 stycznia 1984 r. -
Prawo prasowe (Dz. U. Nr 5, poz. 24, z późn. zm.) oraz do działalności literackiej lub
artystycznej, chyba że wolność wyrażania swoich poglądów i rozpowszechniania
informacji istotnie narusza prawa i wolności osoby, której dane dotyczą.

3. Podmioty i osoby odpowiedzialne:

1) ADMINISTRATOR DANYCH - organ, jednostka organizacyjna, podmiot lub osoba

decydująca o celach i środkach przetwarzania danych osobowych (art.7 ust.4 u.o.d.o.).

Kategorie obowiązków administratora danych:
1. warunki („przesłanki”) dopuszczalności przetwarzania danych osobowych:
- tzw. danych zwykłych,
- danych wrażliwych,

Przesłanki przetwarzania danych tzw. zwykłych (art.23 ust.1 u.o.d.o.)

Służba przygotowawcza- IV edycja

Wielkopolski Urząd Wojewódzki w Poznaniu

Poznań 2010

8

1) osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie

dotyczących jej danych,

2) jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku

wynikającego
z przepisów prawa,

3) jest konieczne dla realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną

lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie
osoby, której dane dotyczą,

4) jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra

publicznego,

5) jest niezbędne do wypełnienia prawnie usprawiedliwionych celów administratorów

danych albo odbiorców danych, a przetwarzanie danych nie narusza praw
i wolności osoby, której dane dotyczą.

Przesłanki przetwarzania danych tzw. wrażliwych (art.27 ust.2 u.o.d.o.)
1) osoba, której dane dotyczą, wyrazi na to zgodę na piśmie, chyba że chodzi

o usunięcie dotyczących jej danych,

2) przepis szczególny innej ustawy zezwala na przetwarzanie takich danych bez zgody

osoby, której dane dotyczą, i stwarza pełne gwarancje ich ochrony,

3) przetwarzanie takich danych jest niezbędne do ochrony żywotnych interesów osoby,

której dane dotyczą, lub innej osoby, gdy osoba, której dane dotyczą, nie jest
fizycznie lub prawnie zdolna do wyrażenia zgody, do czasu ustanowienia opiekuna
prawnego lub kuratora,

4) jest to niezbędne do wykonania statutowych zadań kościołów i innych związków

wyznaniowych, stowarzyszeń, fundacji lub innych niezarobkowych organizacji lub
instytucji o celach politycznych, naukowych, religijnych, filozoficznych lub
związkowych, pod warunkiem, że przetwarzanie danych dotyczy wyłącznie
członków tych organizacji lub instytucji albo osób utrzymujących z nimi stałe
kontakty w związku z ich działalnością i zapewnione są pełne gwarancje ochrony
przetwarzanych danych,

5) przetwarzanie dotyczy danych, które są niezbędne do dochodzenia praw przed

sądem,

6) przetwarzanie jest niezbędne do wykonania zadań administratora danych

odnoszących się do zatrudnienia pracowników i innych osób, a zakres
przetwarzanych danych jest określony w ustawie,

2. obowiązki informacyjne w stosunku do podmiotu danych (art.24 i art.25 u.o.d.o.),
3. obowiązek informacyjne względem innych administratorów danych (art.35 ust.3

u.o.d.o.),

4. obowiązki „szczególnej staranności” (art.26 u.o.d.o.),
5. zakaz automatyzacji rozstrzygnięć indywidualnych (art.26a u.o.d.o.),
6. obowiązki dotyczące treści numerów porządkowych (art.28 u.o.d.o.),
7. udostępnienie danych osobowych (art.29 u.o.d.o.)
8. wymogi powierzenia przetwarzania danych osobowych (art.31 u.o.d.o.),
9. obowiązki realizacji żądań osoby, której dane dotyczą (art.32-35 u.o.d.o.),
10. obowiązki zabezpieczenia technicznego i organizacyjnego zbiorów danych

(art.36-39 u.o.d.o.),

11. zgłoszenie zbioru danych do rejestracji GIODO/aktualizacja zgłoszenia

(art.40-46 u.o.d.o.),

Służba przygotowawcza- IV edycja

Wielkopolski Urząd Wojewódzki w Poznaniu

Poznań 2010

9

12. warunki przekazywania danych osobowych do państwa trzeciego (art.47-48 u.o.d.o.).

2) ADMINISTRATOR BEZPIECZEŃSTWA INFORMACJI - osoba wyznaczona przez

Administratora danych, nadzorująca przestrzeganie zasad ochrony (art.36 ust.3 u.o.d.o.),

Status i rola ABI
- forma wyznaczenia,
- charakter obowiązków ABI,
- usytuowanie w strukturze organizacyjnej.

3) OSOBA UPOWAŻNIONA DO PRZETWARZANIA DANYCH OSOBOWYCH -

posiadająca upoważnienie nadane przez administratora danych (art. 37 u.o.d.o.).

Art. 39.
1. Administrator danych prowadzi ewidencję osób upoważnionych do ich przetwarzania,

która powinna zawierać:

1) imię i nazwisko osoby upoważnionej,
2) datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych,
3) identyfikator, jeżeli dane są przetwarzane w systemie informatycznym.
2. Osoby, które zostały upoważnione do przetwarzania danych są obowiązane zachować w

tajemnicy te dane osobowe oraz sposoby ich zabezpieczenia.

Obowiązki osób upoważnionych
1. Wykonywanie czynności na danych wyłącznie w zakresie nadanego upoważnienia.
2. Zachowanie w tajemnicy dane osobowe oraz sposoby ich zabezpieczenia.
3. Przestrzeganie zasad bezpieczeństwa technicznego i organizacyjnego,

tj. określonych przez administratora danych środków zabezpieczenia:

- organizacyjnych,

- fizycznych,

- programowych,

- sprzętowych.

4. Odpowiedzialność

- służbowa,

- karna.

4) PODMIOT, KTÓREMU ADMINISTRATOR POWIERZYŁ PRZETWARZANIE

DANYCH
Administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na
piśmie, przetwarzanie danych (art.31 ust.1 u.o.d.o.)

4. Udostępnianie danych

Art. 29. 1.W przypadku udostępniania danych osobowych w celach innych niż włączenie do

zbioru, administrator danych udostępnia posiadane w zbiorze dane osobom lub podmiotom
uprawnionym do ich otrzymania na mocy przepisów prawa.

2. Dane osobowe, z wyłączeniem danych, o których mowa w art. 27 ust. 1, mogą być także

udostępnione w celach innych niż włączenie do zbioru, innym osobom i podmiotom niż

Służba przygotowawcza- IV edycja

Wielkopolski Urząd Wojewódzki w Poznaniu

Poznań 2010

10

wymienione w ust. 1, jeżeli w sposób wiarygodny uzasadnią potrzebę posiadania tych danych,
a ich udostępnienie nie naruszy praw i wolności osób, których dane dotyczą.

3. Dane osobowe udostępnia się na pisemny, umotywowany wniosek, chyba że przepis innej

ustawy stanowi inaczej. Wniosek powinien zawierać informacje umożliwiające wyszukanie
w zbiorze żądanych danych osobowych oraz wskazywać ich zakres i przeznaczenie.

(...)

Art. 33.
1. Na wniosek osoby, której dane dotyczą, administrator danych jest obowiązany, w terminie
30 dni, poinformować o przysługujących jej prawach oraz udzielić, odnośnie jej danych
osobowych, informacji, o których mowa w art. 32 ust. 1 pkt 1-5a, a w szczególności podać
w formie zrozumiałej:
1) jakie dane osobowe zawiera zbiór,
2) w jaki sposób zebrano dane,
3) w jakim celu i zakresie dane są przetwarzane,
4) w jakim zakresie oraz komu dane zostały udostępnione.

2. Na wniosek osoby, której dane dotyczą informacji, o których mowa w ust. 1, udziela się na

piśmie.

V. POLITYKA BEZPIECZEŃSTWA

Art. 39a.
Minister właściwy do spraw administracji publicznej w porozumieniu z ministrem właściwym do
spraw informatyzacji, określi, w drodze rozporządzenia, sposób prowadzenia i zakres
dokumentacji, o której mowa w art. 36 ust. 2, oraz podstawowe warunki techniczne
i organizacyjne, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do
przetwarzania danych osobowych, uwzględniając zapewnienie ochrony przetwarzanych
danych osobowych odpowiedniej do zagrożeń oraz kategorii danych objętych ochroną,
a także wymagania w zakresie odnotowywania udostępniania danych osobowych
i bezpieczeństwa przetwarzanych danych.

Aktualnie obowiązujący dokument dot. polityki bezpieczeństwa został wprowadzony
zarządzeniem Dyrektora Generalnego Wielkopolskiego Urzędu Wojewódzkiego w Poznaniu
z dnia 19 września 2007 r. w sprawie „Dokumentacji przetwarzania informacji”
Dokument ten jest dostępny w sekretariatach wydziałów oraz w Intranecie WUW
(zakładka: Zarządzenia - Zarządzenia dyrektora generalnego).

1. Polityka bezpieczeństwa zawiera w szczególności:

1) wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym

przetwarzane są dane osobowe;

2) wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do

przetwarzania tych danych;

3) opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych

i powiązania między nimi;

4) sposób przepływu danych pomiędzy poszczególnymi systemami;

Służba przygotowawcza- IV edycja

Wielkopolski Urząd Wojewódzki w Poznaniu

Poznań 2010

11

5) określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia

poufności, integralności i rozliczalności przetwarzanych danych.

2. Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych

osobowych zawiera w szczególności:
1) procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień

w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności;

2) stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem

i użytkowaniem;

3) procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników

systemu;

4) procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi

programowych służących do ich przetwarzania;

5) sposób, miejsce i okres przechowywania:

a) elektronicznych nośników informacji zawierających dane osobowe,
b) kopii zapasowych, o których mowa w pkt 4,

6) sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania
7) sposób realizacji wymogów, o których mowa w § 7 ust. 1 pkt 4 [odnotowywanie w systemie

inf. o udostępnieniu danych],

8) procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji

służących do przetwarzania danych.

3. Stopniowanie zabezpieczeń w systemach informatycznych odpowiednie do kategorii danych

objętych ochroną oraz zagrożeń.
1) podstawowy

a) zabezpieczenie fizyczne obszaru przetwarzania danych.
b) mechanizm kontroli dostępu do danych (identyfikator i hasło). Wymogi wobec hasła:

ilość znaków i okres używania.

c) dopuszczalność stosowania dodatkowych sposobów uwierzytelnienia.
d) ochrona infrastruktury przed zakłóceniami i zagrożeniami wewnętrznymi:

- ochrona przed awarią zasilania lub zakłóceniami w sieci zasilającej,
- ochrona przed dostępem do danych przy pomocy oprogramowania wykorzystującego

luki i błędy w systemach.

e) zabezpieczenie kopii zapasowych.
f) użytkowanie komputera przenośnego.
g) zasady postępowania z nośnikami przeznaczonymi do likwidacji, naprawy lub

przekazania innemu podmiotowi.

2) podwyższony - zabezpieczenia jak podstawowy oraz dodatkowo:

a) ilość znaków w haśle.
b) zabezpieczenie urządzeń i nośników zawierających dane osobowe wynoszone poza

obszar przetwarzania danych.

3) wysoki - zabezpieczenia jak podstawowy, podwyższony oraz dodatkowo:

a) zabezpieczenia logiczne i fizyczne przed zagrożeniami pochodzącymi ze strony sieci
b) zabezpieczenia teletransmisji

Służba przygotowawcza- IV edycja

Wielkopolski Urząd Wojewódzki w Poznaniu

Poznań 2010

12

VI. e-GIODO

Platforma e-GIODO została uruchomiona 7 lipca 2006 r.
Jej wdrożenie współfinansowane było przez Unię Europejską ze środków Europejskiego
Funduszu Rozwoju Regionalnego.

Jej częściami są:
- program komputerowy służący do prawidłowego wypełnienia zgłoszenia zbioru danych do

rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (GIODO),

- internetowa wersja ogólnokrajowego rejestru zbiorów danych osobowych, umożliwiająca

wyszukiwanie zarejestrowanych zbiorów za pomocą wielu kryteriów, takich jak nazwa zbioru,
nazwa administratora danych czy jego siedziba.

VII. edu GIODO

Platforma eduGIODO została uruchomiona październiku 2008 r.

Jest częścią unijnego projektu współfinansowanego ze środków Programu Transition Facility
2005/017-488.01.08 "Rezerwa elastyczna" - "Ochrona danych osobowych - moje prawa, moje
obowiązki".

Umieszczono na niej materiały:
- informacyjne,
- szkoleniowe.


VIII. Dzień Ochrony Danych Osobowych

Europejski Dzień Ochrony Danych Osobowych,
ustalony przez Komitet Ministrów Rady Europy,
na dzień

28 stycznia

o ustanowieniu dnia 28 stycznia świętem ochrony danych osobowych zdecydował Komitet
Ministrów Rady Europy, biorąc pod uwagę, że tego dnia obchodzona jest rocznica otwarcia do
podpisu Konwencji 108 Rady Europy z dnia 28 stycznia 1981r. w sprawie ochrony osób
w zakresie zautomatyzowanego przetwarzania danych osobowych - najstarszego aktu prawnego
o zasięgu międzynarodowym, kompleksowo regulującego zagadnienia związane z ochroną
danych osobowych.