Zbiory danych osobowych

Każdy Administrator danych osobowych (np. pracodawca, przedsiębiorca, Sp. z o.o., spółka mieszkaniowa) zobligowany jest do opracowania i wdrożenia Polityki Bezpieczeństwa i Instrukcji Zarządzania Systemem Informatycznym.

Zgodnie z wymaganiami Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r., nr 100 poz. 1024), Polityka Bezpieczeństwa musi zawierać:

  • wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe
  • wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych
  • opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi
  • sposób przepływu danych pomiędzy poszczególnymi systemami
  • określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzania danych.

Przedsiębiorca zobowiązany jest do określenia jakie zbiory danych osobowych przetwarza. Ustawodawca terminem "zbiór" określa:

  • zestaw danych o charakterze osobowym (rozproszony lub podzielony funkcjonalnie),
  • posiadający własną strukturę, w którym dane są dostępne wg określonych kryteriów.

Typowym przykładem zbioru danych osobowych są dane osobowe pracowników przetwarzane nie tylko w formie akt osobowych, ale także w systemach informatycznych. Innym przykładem może być zbiór danych osobowych klientów lub przyszłych klientów, którzy wyrazili zgodę na przesyłanie na skrzynki email wiadomości w formie newslettera.

Pamiętaj!

  • Przetwarzanie danych osobowych dotyczy zarówno zbiorów w systemach informatycznych oraz zbiorach tradycyjnych tj. kartotekach, aktach osobowych, skoroszytach
  • Brak obowiązku rejestracji zbioru danych osobowych w GIODO nie zwalnia Administratora Danych z pozostałych obowiązków wynikających z ustawy tj. opracowania wymaganych dokumentów oraz zabezpieczenia zbiorów

Warto zaznaczyć, że zbiór taki nie podlega ustawowemu zwolnieniu z obowiązku rejestracji zbioru zgodnie z art. 43 ustawy i każdy przedsiębiorca wysyłający takie wiadomości zobligowany jest do zarejestrowania zbioru w Biurze Generalnego Inspektora Ochrony Danych Osobowych.

W zależności od branży lub wielkości przedsiębiorstwa ilość i rodzaj zbiorów będzie różna i w związku z tym należy przeprowadzić indywidualną analizę i ocenę rodzaju zbiorów przetwarzanych w przedsiębiorstwie oraz obowiązków ustawowych z tym związanych.

BDG Hossa w ramach świadczonych usług proponuje Państwu usługi konsultacyjno-doradcze, które pomogą prawidłowo określić Państwa obowiązki wynikające z ustawy o ochronie danych osobowych oraz sprawnie opracować dokumentację przetwarzania danych osobowych.


Zobacz ponadto: