Zbiory danych osobowych

Ochrona Danych Osobowych - zbiory danych osobowych w firmie Każdy Administrator Danych osobowych (np. pracodawca, przedsiębiorca, Sp. z o.o., spółdzielnia mieszkaniowa) zobligowany jest do opracowania i wdrożenia Polityki Bezpieczeństwa i Instrukcji Zarządzania Systemem Informatycznym.

Zgodnie z wymaganiami Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r., Nr 100, poz. 1024), Polityka Bezpieczeństwa musi zawierać:

wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe;
wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych;
opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania miedzy nimi;
sposób przepływu danych pomiędzy poszczególnymi systemami;
określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.

Przedsiębiorca zobowiązany jest do określenia jakie zbiory danych osobowych przetwarza. Ustawodawca terminem zbiór określa:

zestaw danych o charakterze osobowym (rozproszony lub podzielony funkcjonalnie),
posiadający własną strukturę, w którym dane są dostępne wg określonych kryteriów,

Typowym przykładem zbioru danych osobowych są dane osobowe pracowników przetwarzane nie tylko w formie akt osobowych, ale także w systemach informatycznych. Innym przykładem może być zbiór danych osobowych klientów lub przyszłym klientów, którzy wyrazili zgodę na przesyłanie na skrzynki email wiadomości w formie newslettera.

Pamiętaj:

przetwarzanie danych osobowych dotyczy zarówno zbiorów w systemach informatycznych oraz zbiorach tradycyjnych tj. kartotekach, aktach osobowych, skoroszytach,
Brak obowiązku rejestracji zbioru danych osobowych w GIODO nie zawalnia Administratora Danych z pozostałych obowiązków wynikających z ustawy tj. opracowania wymaganych dokumentów oraz zabezpieczenia zbiorów

Warto zaznaczyć, że zbiór taki nie podlega ustawowemu zwolnieniu z obowiązku rejestracji zbioru zgodnie z art. 43 ustawy i każdy przedsiębiorca wysyłający takie wiadomości zobligowany jest do zarejestrowania zbioru w Biurze Generalnego Inspektora Ochrony Danych Osobowych.

W zależności jednak od branży lub wiekości przedsiębiorstwa ilość i rodzaj zbiorów będzie różna i w związku z tym należy przeprowadzić indywidualną analizę i ocenę rodzju zbiorów przetwarzanych w przedsiębiorstwie oraz obowiązków ustawowych z tym związanych.

BDG HOSSA w ramach świadczonych usług proponuje Państwu usługi konsultacyjno-doradcze, które pomogą prawidłowo określić Państwa obowiązki wynikające z ustawy o ochronie danych osobowych oraz sprawnie opracować wymaganą dokumentację przetwarzania danych osobowych.

Zobacz także: