Decyzja GIODO w sprawie warunków technicznych systemów informatycznych służących do przetwarzania danych osobowych

utworzone przez | lis 3, 2016 | Blog o danych osobowych, GIODO | 0 komentarzy

warunki techniczne systemow informatycznych przy przetwarzaniu danych osobowych

Decyzja w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.

GIODO wykrył w procesie przetwarzania danych osobowych naruszenia administratora serwisu internetowego polegające na niezawarciu umów powierzenia z podmiotem zewnętrznym, niezarejestrowaniu zbioru danych w GIODO, nieopracowaniu obowiązkowej dokumentacji przetwarzania danych osobowych oraz uchybienia w procesie stosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych.

Zarzuty GIODO:

  1. Spółka powierza przetwarzanie danych osobowych pozyskiwanych w toku rejestracji użytkownika serwisu internetowego podmiotowi mimo, ze nie zawarła umowy powierzenia przetwarzania ww. danych osobowych zgodnie z art. 31 ust. 1 ustawy o ochronie danych osobowych, określających cel i zakres, w jakim podmioty te mogą przetwarzać powierzone dane osobowe,
  1. Spółka nie realizuje wobec użytkowników serwisu internetowego (o którym mowa w art. 24 ust. 1 ustawy o ochronie danych osobowych) i osób wskazanych przez użytkowników serwisu obowiązku informacyjnego, (o którym mowa w art. 25 ust. 1 ustawy o ochronie danych osobowych)
  1. Niestosowanie odpowiednich do zagrożeń środków technicznych w celu ochrony danych osobowych w toku uwierzytelniania użytkowników serwisu internetowego oraz podczas wprowadzania i modyfikacji danych osobowych przetwarzanych w ramach kont użytkowników tego serwisu poprzez wprowadzenie środków kryptograficznej ochrony wyżej wskazanych danych,
  1. Niezapewnienie, aby hasło logowania do systemu informatycznego o nazwie A, w którym przetwarzane są dane osobowe użytkowników serwisu internetowego o nazwie było zmieniane nie rzadziej niż co 30 dni.
  1. Brak opracowanej i wdrożonej dokumentacji opisującej sposób przetwarzania danych oraz zastosowane środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych, o której mowa w art. 36 ust. 2 ustawy o ochronie danych osobowych,
  1. Niewyznaczenie administratora bezpieczeństwa informacji, o którym mowa w art. 36 ust. 3 ustawy o ochronie danych osobowych, w terminie 30 od dnia, w którym niniejsza decyzja stanie się ostateczna.
  1. Niezgłoszenie Generalnemu Inspektorowi Ochrony Danych Osobowych do rejestracji zbioru danych osobowych pozyskiwanych w związku z rejestracją użytkowników serwisu internetowego

 

Wskazówki GIODO

  1. Serwis internetowy, który zlecił utrzymanie na serwerze (hosting) firmie zewnętrznej oraz utrzymanie na serwerze poczty elektronicznej powinien zawrzeć z tym podmiotem umowę powierzenia przetwarzania danych.
  1. W celu zarejestrowania się w serwisie należy założyć konto firmowe, w którym należy podać następujące dane: nazwa firmy, adres, NIP, hasło, dane osoby do kontaktu, e-mail, telefon kontaktowy oraz opcjonalnie numer licencji posiadanej przez użytkownika. Jednocześnie stwierdzono, iż użytkownikami serwisu mogą być także osoby fizyczne prowadzące indywidualną działalność gospodarczą.

 

Decyzja odnosi się do nieaktualnego stanu prawnego:

W związku z faktem, iż z dniem 1 stycznia 2012 r. uchylono art. 7a ust. 2 ustawy z dnia 19 listopada 1999 r. Prawo działalności gospodarczej (Dz.U. 1999 nr 101 poz. 1178 z późn. zm.), który wyłączał dane osobowe zawarte w ewidencji działalności gospodarczej spod przepisów ustawy o ochronie danych osobowych, ochronie przewidzianej w tej ustawie podlegają obecnie również dane osób fizycznych prowadzących działalność gospodarczą.

 

Z dniem 19 maja 2016 r. wchodzą w życie zmiany przepisów ustawy o swobodzie działalności gospodarczej. Szczególne znaczenie ma dodany art. 39b) :

„Do jawnych danych i informacji udostępnianych przez CEIDG nie stosuje się przepisów ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2014 r. poz. 1182 i 1662 oraz z 2015 r. poz. 1309), z wyjątkiem przepisów art. 14–19a i art. 21–22a oraz rozdziału 5 tej ustawy.”

Nowelizacja nie oznacza całkowitego wyłączenia stosowania przepisów ustawy o ochronie danych osobowych do danych osób fizycznych prowadzących działalność gospodarczą. W dużej mierze odformalizuje zasady ich przetwarzania. Informacje z CEIDG nie będą podlegały pod większość przepisów Ustawy o ochronie danych osobowych, z zastrzeżeniem postanowień dotyczących kontroli i zabezpieczeń.

Zgodnie z nowelizacją ustawy o swobodzie działalności gospodarczej, z dniem 18 maja 2016 roku jawne dane i informacje udostępniane w CEIDG nie podlegają ustawie o ochronie danych osobowych. Wyjątek stanowią jedynie przepisy odnoszące się do kontroli przetwarzania danych przez GIODO i zabezpieczeniu danych osobowych.

art. 39 b

„Do jawnych danych i informacji udostępnianych przez CEIDG nie stosuje się przepisów ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych z wyjątkiem przepisów art. 14-19a i art. 21-22a oraz rozdziału 5 tej ustawy.”

W świetle znowelizowanych przepisów musimy wyłącznie odpowiednio zabezpieczyć pozyskane z CEIDG informacje. Odpowiednio, czyli spełniając wymagania wskazane w rozdziale 5 ustawy o ochronie danych osobowych. Warto podkreślić, iż zgodnie z nowymi przepisami nie musimy już zbierać zgód (czy zapewnić inną podstawę przetwarzania danych), dopełniać obowiązku informacyjnego czy rejestrować zbioru ale dalej powinniśmy w sposób odpowiedni zabezpieczać posiadane dane. Poprzez odpowiednie zabezpieczenia należy rozumieć nie tylko np. nie wyrzucanie dokumentów na śmieci ale również posiadanie polityki bezpieczeństwa, instrukcji zarządzania systemem informatycznym czy wydanie upoważnień do przetwarzania danych.

  1. Niestosowanie środków kryptograficznej ochrony danych osobowych w toku uwierzytelniania użytkowników serwisu oraz podczas wprowadzania i modyfikacji danych osobowych przetwarzanych w ramach kont użytkowników serwisu.

Zgodnie z art. 36 ust. 1 ustawy o ochronie danych osobowych, administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.

  1. Niezapewnienie by do uwierzytelniania użytkowników używać hasła, którego zmiana następuje nie rzadziej, niż co 30 dni.

Kontrola wykazała, iż hasło logowania do systemu informatycznego, w którym przetwarzane są dane osobowe użytkowników serwisu jest zmieniane raz na pół roku.

  1. Brak dokumentacji opisującej sposób przetwarzania danych oraz środki, o których mowa w ust. 1. W myśl § 3 ust. 1 rozporządzenia, na dokumentację, o której mowa w § 1 pkt 1, składa się polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. Zgodnie z ust. 2, dokumentację, o której mowa w § 1 pkt 1, prowadzi się w formie pisemnej. Dokumentacja, o której jest mowa wyżej, zgodnie z ust. 3, powinna zostać wdrożona przez administratora danych.
  1. Zgodnie z art. 36 ust. 3 ustawy o ochronie danych osobowych, administrator danych wyznacza administratora bezpieczeństwa informacji, nadzorującego przestrzeganie zasad ochrony, o których mowa w ust. 1, chyba że sam wykonuje te czynności. Stwierdzono, iż w Spółce nie wyznaczono osoby pełniącej obowiązki administratora bezpieczeństwa informacji.

-NIEAKTUALNY STAN PRAWNY – obecnie nie ma takiego obowiązku

  1. Niezgłoszenie zbioru danych osobowych do rejestracji GIODO Zgodnie z art. 40 ustawy o ochronie danych osobowych, administrator danych jest obowiązany zgłosić zbiór danych do rejestracji Generalnemu Inspektorowi, z wyjątkiem przypadków, o których mowa w art. 43 ust. 1.

Z racji, że Spółka w związku z funkcjonowaniem serwisu przetwarza w zbiorze danych dane osób fizycznych wskazanych przez użytkownika (może to być sam przedsiębiorca lub inna osoba) – ciążył na niej obowiązek dokonania rejestracji zbioru danych w GIODO, Spółka nie zgłaszając ww. zbioru naruszyła obowiązek, o którym mowa w art. 40 ustawy o ochronie danych osobowych.

Podsumowanie

W świetle aktualnego stanu prawnego nie należy stosować ustawy o ochronie danych osobowych do przedsiębiorców, których dane zostały ujawnione w CEIDG jak również nie ma obowiązku wyznaczania Administratora Bezpieczeństwa Informacji.

Serwis internetowy powinien usunąć uchybienia w procesie przetwarzania danych osobowych wytknięte przez GIODO, a zwłaszcza zawrzeć umowy powierzenia z hostingodawcą, zapewnić by hasła logowania do systemu informatycznego były zmieniane co 30 dni.

 

DIS/DEC-1022/14/84106

http://www.giodo.gov.pl/299/id_art/8218/j/pl/

Prześlij komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Czy prowadzisz sklep internetowy?

 

Czy sprzedajesz produkty online lub na Allegro?