Obowiązki administratora danych osobowych (cz. III)

7.       Obowiązek wynikający z art. 38 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych[1]

Obowiązek, który jako kolejny jest nałożony na administratora danych, wynika z art. 38 ustawy i dotyczy kontrolowania jakie dane, kiedy i przez kogo zostały wprowadzone do zbioru i komu są przekazywane. Szczegółowe instrukcje, co do rodzajów informacji jakie muszą pozostać po wprowadzeniu danych, zawarte są w § 7 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych[2].

W myśl § 7 ust. 1 tego rozporządzenia, system informatyczny powinien umożliwiać odnotowywanie następujących informacji:

  1. daty pierwszego wprowadzenia danych do systemu,
  2. identyfikatora użytkownika wprowadzającego dane osobowe do systemu, chyba że dostęp do tego systemu i przetwarzanych w nim danych posiada wyłącznie jedna osoba,
  3. źródła danych, w przypadku zbierania danych nie od osoby, której one dotyczą,
  4. informacji o odbiorcach, w rozumieniu art. 7 pkt 6 Uodo, którym dane osobowe zostały udostępnione, o dacie i zakresie tego udostępnienia, chyba że system informatyczny używany jest do przetwarzania danych zawartych w zbiorach jawnych,
  5. sprzeciwu, o którym mowa w art. 32 ust. 1 pkt 8 Uodo.

Rozporządzenie nakazuje, aby system informatyczny dwa pierwsze rodzaje danych zapisywał automatycznie, pozostałe informacje mogą być zapisywane ręcznie, jednak powinno to się odbywać w systemie informatycznym.

System informatyczny jednakże nie musi odnotowywać powyższych informacji w przypadkach gdy:

  1. służy do przetwarzania danych osobowych ograniczonych wyłącznie do edycji tekstu w celu udostępnienia go na piśmie (§ 7 ust. 1 Ruodo); przepis ten jednak należy interpretować ściśle, oznacza to, że powołanie się na niego jest możliwe tylko wtedy, gdy system informatyczny wykorzystywany jest jako maszyna do pisania, tzn. po zakończeniu edycji tekstu nie zapisuje się danych i przechowuje wyłącznie wydruk,
  2. dane osobowe przetwarzane są w co najmniej dwóch systemach informatycznych, wówczas automatyczne odnotowywanie informacji może być realizowane w jednym z nich lub w odrębnym systemie informatycznym, przeznaczonym do ich odnotowywania (§ 7 ust. 4 Ruodo); należy także przyjąć, że zakresem stosowania powołanego przepisu objęte powinny zostać również przypadki, w których dane są na bieżąco przenoszone z systemu niespełniającego wymagań do systemu zapewniającego wymaganą funkcjonalność, jeśli ze względu na niekompatybilność systemów konieczne jest ręczne przenoszenie danych osobowych[3].

System informatyczny służący do przetwarzania danych osobowych powinien umożliwiać sporządzenie i wydrukowanie dla każdej osoby, której dane są w nim przetwarzane, raportu zawierającego następujące informacje w powszechnie zrozumiałej formie:

  1. datę pierwszego wprowadzenia danych do systemu,
  2. identyfikator osoby użytkownika wprowadzającego dane osobowe do systemu, chyba że dostęp do tego systemu i przetwarzanych w nim danych posiada wyłącznie jedna osoba,
  3. źródła danych w przypadku zbierania danych nie od osoby, której one dotyczą,
  4. informacji o odbiorcach, w rozumieniu art. 7 pkt 6 Uodo, którym dane osobowe zostały udostępnione, o dacie i zakresie tego udostępnienia, chyba że system informatyczny używany jest do przetwarzania danych zawartych w zbiorach jawnych,
  5. sprzeciwie, o którym mowa w art. 32 ust. 1 pkt 8 Uodo.

Rozporządzenie nie określa w jaki sposób ma być realizowany obowiązek kontrolowania jakie dane, kiedy i przez kogo zostały wprowadzone do zbioru i komu są przekazywane w przypadku prowadzenia zbioru bez wykorzystania systemów informatycznych, wydaje się uzasadnionym pogląd, że w takiej sytuacji administrator jest zobowiązany do stworzenia dokumentów wewnętrznych, na których będą zawarte wszystkie te informacje.

Jednocześnie, chociaż rozporządzenie tego nie wymaga, wydaje się za uzasadnione, żeby system informatyczny miał możliwość zapisywania automatycznie innych danych, np. informacje o przesłankach, na podstawie których przetwarzane są dane osobowe, wymienionych w art. 23 Uodo (ew. art. 27 Uodo). Wydaje się to tym bardziej uzasadnione, że pozwoliłoby na wyeliminowanie ew. błędów użytkowników i usprawniłoby proces kontrolowania przez administratora danych.

8.       Obowiązek wynikający z art. 39 ustawy

Administrator danych jest również zobowiązany do prowadzenia ewidencji osób upoważnionych do przetwarzania danych osobowych zgodnie z art. 39 ustawy. Z tego przepisu wynika również dla administratora danych obowiązek nadania osobom, które mają przetwarzać dane osobowe, stosownych upoważnień do przetwarzania tych danych.

Ewidencja osób upoważnionych do przetwarzania danych osobowych powinna zawierać co najmniej:

  1. imię i nazwisko osoby upoważnionej,
  2. datę nadania i ustania upoważnienia do przetwarzania danych osobowych,
  3. zakres upoważnienia do przetwarzania danych osobowych,
  4. identyfikator, jeżeli dane są przetwarzane w systemie informatycznym.

Powyższe wartości stanowią podstawowe i konieczne dla prowadzenia ewidencji informacje, których brak stanowi przetwarzanie danych niezgodnie z zasadami ochrony danych osobowych.

W stosunku do danych osobowych przetwarzanych w systemie informatycznym Ruodo przewiduje dla poziomu podstawowego ochrony danych osobowych, że jeśli dostęp do danych przetwarzanych w systemie informatycznym posiadają co najmniej dwie osoby, wówczas konieczne jest rejestrowanie w systemie dla każdego użytkownika odrębnego identyfikatora. Niedopuszczalne jest przydzielanie osobie upoważnionej do przetwarzania danych osobowych identyfikatora użytkownika, który utracił uprawnienia do przetwarzania danych osobowych. Identyfikator musi jednoznacznie identyfikować osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym. Sposób tworzenia identyfikatora należy określić w instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. Natomiast zasady przydzielania identyfikatora powinny być określone w polityce bezpieczeństwa.

Osoby, które zostały upoważnione przez administratora do przetwarzania danych, są obowiązane zachować w tajemnicy dane osobowe oraz sposoby ich zabezpieczenia[4].

9.       Obowiązek wynikający z art. 40 ustawy

Jednym z ważniejszych obowiązków administratora danych jest, na mocy art. 40 ustawy, zgłaszanie zbioru do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych w przypadkach przewidzianych prawem. Zgłoszenie zbioru danych do rejestracji powinno zawierać:

  1. wniosek o wpisanie zbioru do rejestru zbiorów danych osobowych,
  2. oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania, w tym numer identyfikacyjny rejestru podmiotów gospodarki narodowej, jeżeli został mu nadany, oraz podstawę prawną upoważniającą do prowadzenia zbioru, a w przypadku powierzenia przetwarzania danych podmiotowi, o którym mowa w art. 31 Uodo, lub wyznaczenia podmiotu, o którym mowa w art. 31a Uodo, oznaczenie tego podmiotu i adres jego siedziby lub miejsca zamieszkania,
  3. cel przetwarzania danych,
  4. opis kategorii osób, których dane dotyczą, oraz zakres przetwarzanych danych,
  5. sposób zbierania oraz udostępniania danych,
  6. informację o odbiorcach lub kategoriach odbiorców, którym dane mogą być przekazywane,
  7. opis środków technicznych i organizacyjnych zastosowanych w celach określonych w art. 36 – 39 Uodo,
  8. informację o sposobie wypełnienia warunków technicznych i organizacyjnych, określonych w przepisach, o których mowa w art. 39a Uodo,
  9. informację dotyczącą ewentualnego przekazywania danych do państwa trzeciego.

Każda zmiana powyższych informacji, która została dokonana w zbiorze danych administratora, musi zostać zgłoszona Generalnemu Inspektorowi Ochrony Danych Osobowych, w terminie 30 dni od dnia dokonania zmiany. Jeżeli zmiana dotyczyłaby rozszerzenia zakresu przetwarzanych danych o dane, które dotyczą tzw. „danych wrażliwych”, czyli np. pochodzenia rasowego lub etnicznego, poglądów politycznych, przekonań religijnych lub filozoficznych, przynależności wyznaniowej, partyjnej lub związkowej, jak również danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym, to administrator danych jest zobowiązany do zgłoszenia tej zmiany Generalnemu Inspektorowi Ochrony Danych Osobowych jeszcze przed jej dokonaniem w zbiorze.

Zgodnie z art. 43 ust. 1 Uodo, administrator danych jest zwolniony z obowiązku rejestracji zbioru danych, które:

  1. zawierają informacje niejawne,
  2. zostały uzyskane w wyniku czynności operacyjno-rozpoznawczych przez funkcjonariuszy organów uprawnionych do tych czynności,
  3. przetwarzane są przez właściwy organ dla potrzeb postępowania sądowego oraz na podstawie przepisów o Krajowym Rejestrze Karnym,
  4. przetwarzane są przez Generalnego Inspektora Informacji Finansowej,
  5. przetwarzane są przez właściwy organ na potrzeby udziału Rzeczypospolitej Polskiej w Systemie Informacyjnym Schengen oraz Wizowym Systemie Informacyjnym,
  6. dotyczą osób należących do kościoła lub innego związku wyznaniowego o uregulowanej sytuacji prawnej, przetwarzanych na potrzeby tego kościoła lub związku wyznaniowego,
  7. przetwarzane są w związku z zatrudnieniem u administratora, świadczeniem mu usług na podstawie umów cywilnoprawnych, a także dotyczących osób u niego zrzeszonych lub uczących się,
  8. dotyczą osób korzystających z usług medycznych administratora danych bądź, jego obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta,
  9. tworzy się na podstawie przepisów dotyczących wyborów do Sejmu, Senatu, Parlamentu Europejskiego, rad gmin, rad powiatów i sejmików województw, wyborów na urząd Prezydenta Rzeczypospolitej Polskiej, na wójta, burmistrza, prezydenta miasta oraz dotyczących referendum ogólnokrajowego i referendum lokalnego,
  10. dotyczą osób pozbawionych wolności na podstawie ustawy, w zakresie niezbędnym do wykonania tymczasowego aresztowania lub kary pozbawienia wolności,
  11. przetwarza się wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej,
  12. są powszechnie dostępne,
  13. przetwarza się w celu przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego,
  14. przetwarza się w zakresie drobnych bieżących spraw życia codziennego.

Zgłoszenia zbioru danych należy dokonać na formularzu, którego wzór stanowi załącznik do rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 11 grudnia 2008 r. w sprawie wzoru zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych[5].


[1] Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm. Powoływana dalej jako ustawa lub Uodo.

[2] Dz. U. z 2004 r. Nr 100, poz. 1024. Powoływane dalej jako rozporządzenie lub Ruodo.

[3] A. Drozd, Zabezpieczanie danych osobowych, Presscom Sp. z o.o, Wrocław 2008, s. 37.

[4] Art. 39 ust. 2 Uodo.

[5] Dz. U. z 2008 r. Nr 229, poz. 1536.

Eliza Źródło artykułu: http://e-ochronainformacji.pl/artykuly-darmowe/dane-osobowe-darmowe/obowiazki-administratora-danych-osobowych-cz-iii/
Autor:

  • authorOpublikowany przez:
  • writerOpublikowany: Listopad 17, 2011
  • liveOpublikowane artykuły: 55



Wyślij Komentarz

Najnowsze artykuły z kategorii - Artykuły Darmowe