Ostatnio bezpłatny audyt zamówiono minut temu
Ostatnio bezpłatny audyt zamówiono minut temu
Dowiedz się co nowego w temacie danych osobowych
Zgodnie z art. 40 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. Dz. U. z 2014 r. poz. 1182 z późn. zm.; dalej jako: ustawa) administrator danych obowiązany jest zgłosić zbiór danych osobowych do rejestracji, której dokonuje Generalny Inspektor Ochrony Danych Osobowych. Wyjątki od tej zasady wyliczone zostały w art. 43 ust. 1 i 1a ustawy. Kontrolę nad prawidłowością procesu przetwarzania danych osobowych sprawuje GIODO. Poniżej przedstawiamy najważniejsze informacje dotyczące procedury rejestracji zbioru w rejestrze prowadzonym przez GIODO. PODMIOT ZOBOWIĄZANY DO ZGŁOSZENIA ZBIORU DO REJESTRACJI GENERALNEMU INSPEKTOROWI (ADMINISTRATOR DANYCH OSOBOWYCH) Obowiązek zgłoszenia zbioru do rejestracji Generalnemu Inspektorowi ciąży na administratorze danych (ADO). ADO to zgodnie z art. 7 pkt 4 ustawy podmiot decydujący o celach i środkach przetwarzania danych osobowych. Może być nim podmiot prywatny oraz podmiot publiczny. Może to być organ państwowy, organ samorządu terytorialnego, państwowa i komunalna jednostka organizacyjna, a także podmiot niepubliczny realizujący zadania publiczne, osoba fizyczna, osoba prawna oraz jednostka organizacyjna niebędąca osobą prawną, jeżeli przetwarza dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych. Nieistotne czy podmiot ten samodzielnie przetwarza dane, czy też zlecił ich przetwarzanie innemu podmiotowi, w drodze umowy zawartej na podstawie art. 31 ustawy. ADO jest co do zasady PODMIOT (np. spółka prawa handlowego, spółdzielnia, przedsiębiorca prowadzący działalność gospodarczą jednoosobowo, stowarzyszenie, fundacja), a nie osoba lub osoby zarządzające tym podmiotem (np. dyrektor przedsiębiorstwa, prezes spółdzielni, zarząd spółki) lub też pracownik wykonujący czynności związane z ochroną danych osobowych (np. pełnomocnik zarządu ds. ochrony danych osobowych, administrator bezpieczeństwa informacji). ADO oddziału spółki jest spółka a nie oddział spółki. ZBIÓR DANYCH OSOBOWYCH JAKO PRZEDMIOT...
Czytaj dalej
Nakazująca przywrócenie stanu zgodnego z prawem poprzez nadanie osobom dopuszczonym do przetwarzania danych osobowych upoważnień oraz uzupełnienie dokumentacji stanowiącej politykę bezpieczeństwa w zakresie opisu przepływu danych pomiędzy systemami. Zarzuty: 1. Dopuszczenie do przetwarzania danych osobowych w Spółce osób, którym nadano upoważnienia niezgodnie z art. 37 ustawy. Pracownicy Spółki zostali zbiorczo upoważnieni do przetwarzania danych osobowych w Spółce w zakresie powierzonych obowiązków. Osoby wymienione w dokumencie otrzymały zgodę na przetwarzanie danych osobowych w Spółce. Zgoda została wyrażona poprzez podpisanie ww. dokumentu przez administratora bezpieczeństwa informacji, który jednak nie posiada pisemnego upoważnienia do nadawania upoważnień do przetwarzania danych osobowych w imieniu administratora danych. 2. Nieuwzględnienie w prowadzonej w Spółce dokumentacji stanowiącej politykę bezpieczeństwa opisu przepływu danych pomiędzy systemami z uwzględnieniem systemu informatycznego o nazwie A, w którym przetwarzane są dane osobowe pracowników i kandydatów do pracy w Spółce (art. 36 ust. 2 w zw. z § 4 pkt 4 rozporządzenia). 3. Niedopełnienie obowiązku, aby w systemach sieciowych oraz w systemie informatycznym o nazwie A (w którym przetwarzane są dane osobowe pracowników i kandydatów do pracy w Spółce) hasła używane do uwierzytelniania użytkowników były zmieniane nie rzadziej niż co 30 dni (część A pkt IV ust. 2 załącznika do rozporządzenia). Wskazówki GIODO: 1. art. 37 ustawy, do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych. 2. Zgodnie z art. 36 ust. 2 ustawy, administrator danych prowadzi dokumentację opisującą sposób przetwarzania danych oraz środki, o których mowa w ust. 1. W myśl § 3 ust. 1 rozporządzenia, na dokumentację, o której mowa w § 1 pkt 1, składa się polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym służącym do...
Czytaj dalej
I. Nakazująca usunięcie uchybień w procesie przetwarzania danych osobowych poprzez uzupełnienie dokumentu o opis przepływu danych pomiędzy poszczególnymi systemami oraz wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych, uwzględniające system informatyczny o nazwie (wykorzystywany do przetwarzania danych osobowych osób, które założyły konto w ww. systemie) Kontrola GIODO objęła przetwarzanie przez Spółkę danych osobowych osób w związku z rezerwacją i zakupem biletów na przejazd (przewóz). Na podstawie tak zgromadzonego materiału dowodowego ustalono, że w procesie przetwarzania danych osobowych Spółka, jako administrator danych, naruszyła przepisy o ochronie danych osobowych. Zarzuty: 1. Umożliwienie dostępu do modułu administracyjnego systemu „[…]” o nazwie „[…]” bez odpowiednich zabezpieczeń, tj. niezastosowanie protokołu http (art. 36 ust. 1 ustawy). 2. Nieuwzględnienie systemu w opisie przepływu danych pomiędzy poszczególnymi systemami oraz w wykazie zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych (§ 3 ust. 2 oraz § 4 pkt 2 i 4 rozporządzenia). 3. Niewskazanie w zgłoszeniu do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych zbioru danych osobowych zgody na przetwarzanie danych osobowych jako podstawy prawnej upoważniającej administratora danych do prowadzenia zbioru danych oraz podanie niepełnego zakresu danych przetwarzanych w ramach ww. Zbioru oraz wszystkich celów przetwarzania tych danych (art. 41 ust. 1 pkt 2, 3 i 3a ustawy). 4. Niezmienianie przez użytkowników haseł dostępu do systemu. Wskazówki GIODO: 1. W razie przesyłania danych metodą teletransmisji przy użyciu sieci publicznej zawsze istnieje możliwość przejęcia przesyłanych danych przez osobę nieuprawnioną. Istnieje również niebezpieczeństwo ich nieuprawnionej zmiany, uszkodzenia lub zniszczenia. Niezbędne jest zatem zastosowanie odpowiednich zabezpieczeń, które ochronią przesyłane dane. O tym, jakie środki należy zastosować, administrator danych powinien zdecydować samodzielnie. Może to być wymieniony w pytaniu protokół...
Czytaj dalej