Przepisy o ochronie danych osobowych

  • Ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych ( Dz. U. z 2002 r. Nr 101, poz. 926, z późn. zm.),
  • Rozporządzeniem Ministra Spraw wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. 2004, nr 100, poz. 1024),
  • Rozporządzeniem Ministra Spraw wewnętrznych i Administracji z dnia 11 grudnia 2008 r. w sprawie wzoru zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (Dz. U. 2008, nr 229 poz. 1536).
  • Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewnienia przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji (Dz. U. z 2015, poz. 745).
  • Rozporządzenie Ministra Administracji i Cyfryzacji z 11 maja 2015 r. w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych (Dz. U. z 2015, poz. 719).
  • Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 10 grudnia 2014 r. w sprawie wzorów zgłoszeń powołania i odwołania administratora bezpieczeństwa informacji (Dz. U. 2014, poz. 1934).

Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych ( Dz. U. z 2002 r. Nr 101, poz. 926, z późn. zm.), zwana dalej ustawą definiuje pojęcie Administrator Danych Osobowych jako organ, instytucję organizacyjną, podmiot lub osobę, które decydują o celach i środkach przetwarzania danych osobowych (art. 7 ustawy).

Pojęcia: ADO, ABI, LABI, AST

Administratorem Danych Osobowych jesteś wówczas, gdy:

  • masz pracownika,
  • masz petenta,
  • masz klienta,
  • masz pacjenta.
  • Administrator Danych Osobowych (ADO) – jest zobowiązany zapewnić ochronę przetwarzanych danych osobowych, określa cel, środki i sposoby przetwarzania danych – czynności te może prowadzić samodzielnie lub po przez inne osoby, które może upoważnić (pisemnie) do realizacji zadań i obowiązków ADO nałożonych na niego przez ustawę, tj.:
  • Administrator Bezpieczeństwa Informacji (ABI) – wyznaczony przez ADO pracownik odpowiedzialny za bezpieczeństwo przetwarzanych w jednostce danych osobowych, rejestrację zbiorów danych osobowych;
  • Lokalny Administrator Bezpieczeństwa Informacji (LABI) – wyznaczony przez ADO lub ABI pracownik odpowiedzialny za bezpieczeństwo przetwarzanych w komórkach organizacyjnych jednostki danych osobowych. LABI może być wyznaczony w przypadku jednostki, która jest rozproszona w kilku lokalizacjach lub przetwarza duże ilości danych osobowych;
  • Administrator Systemu Teleinformatycznego (AST) – wyznaczony przez ADO lub ABI pracownik odpowiedzialny za eksploatację systemów teleinformatycznych służących do przetwarzania danych osobowych.

Administrator Danych Osobowych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych, art. 31 ust. 1 i ust. 5 ustawy. Do kontroli zgodności przetwarzania danych przez podmiot, o którym mowa w ust. 1, z przepisami o ochronie danych osobowych stosuje się odpowiednio przepisy art. 14 – 19 ustawy.


Aby móc odnaleźć się w gąszczu przepisów i właściwie zorganizować ochronę danych osobowych Proponujemy Państwu pomoc między innymi w:

  • zrealizowaniu niżej wymienionych czynności i przedsięwzięć, które zapewnią wprowadzenie właściwych rozwiązań prawnych w zakresie ochrony danych osobowych wynikających między innymi z wyżej wymienionych aktów prawnych;
  • sprawowaniu fachowej opieki nad właściwym przetwarzaniem danych osobowych;
  • wykonywaniu obowiązków Administratora Bezpieczeństwa Informacji w ramach umów outsourcingowych.

Usługi w obszarze ochrony danych osobowych

Doradztwo Kierownikom Jednostek Organizacyjnych oraz Administratorom Bezpieczeństwa Informacji w zakresie stosowania i interpretacji przepisów o ochronie danych osobowych, które obejmuje:

  • pomoc we wprowadzeniu obowiązków wynikających z ustawy o ochronie danych osobowych nałożonych na Administratora Danych Osobowych (ADO), w tym obowiązku wyznaczenia Administratora Bezpieczeństwa Informacji (ABI), który zagwarantuje bezpieczeństwo przetwarzania danych osobowych w organizacji.
  • pomoc we wprowadzeniu alternatywnych rozwiązań dotyczących przekazania wszystkich obowiązków oraz odpowiedzialności spoczywających na ABI, na rzecz innej firmy, trudniącej się profesjonalnie administrowaniem danych osobowych – outsourcing. Outsourcing ABI jest sprawdzoną i powszechnie praktykowaną formą współpracy z Klientami w zakresie ochrony danych osobowych – moja firma proponuje taka formę współpracy,
  • fachowy nadzór nad procesami przetwarzania danych osobowych oraz podjęcie szybkich i sprawnych działania związane z ochrona danych osobowych, przygotowanie dokumentacji bezpieczeństwa danych osobowych oraz jej wdrażanie i bieżąca aktualizacja.

Ochrona i bezpieczeństwo fizyczne przetwarzanych danych osobowych, która obejmuje:

  • organizację, przygotowanie oraz funkcjonowanie systemu ochrony fizycznej danych osobowych,
  • analizę poziomu zagrożeń dla przetwarzanych w jednostce organizacyjnej danych osobowych,
  • przygotowanie dokumentacji ochronnej wymaganej przez ustawę OODO, to jest:
    • Polityki bezpieczeństwa danych osobowych (Polityka bezpieczeństwa informacji),
    • Instrukcji zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych,
    • opracowanie dokumentacji dla sił ochronnych i służb dyżurnych jednostki organizacyjnej,
    • organizację ochrony danych osobowych na podstawie Polityki bezpieczeństwa danych osobowych (Polityka bezpieczeństwa informacji) oraz Instrukcji zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych;

Rejestracja zbiorów danych osobowych:

Zbiory danych osobowych przetwarzane przez Administratorów Danych Osobowych, muszą być, zgodnie z ustawą o ochronie danych osobowych, zgłoszone do rejestracji w biurze GIODO. Niektóre z przetwarzanych zbiorów danych osobowych ustawodawca wyłączona z obowiązku rejestracyjnego (np. zbiory danych klientów lub danych osobowych sensytywnych).

Jeśli są Państwo zainteresowani rejestracją zbiorów danych osobowych w biurze GIODO lub w swojej jednostce organizacyjnej proponuję pomoc w tym zakresie, która obejmie:

  • ocenę zbiorów danych osobowych i wskazanie zbiorów podlegających obowiązkowi rejestracyjnemu,
  • przeprowadzenie procesu zgłoszenia zbiorów danych osobowych podlegających rejestracji w GIODO lub we własnej jednostce organizacyjnej, który obejmuje opracowanie wniosku zgłoszenia wraz z niezbędnymi załącznikami oraz opracowania niezbędnej w jednostce dokumentacji;

Bezpieczeństwo teleinformatyczne systemów przetwarzających dane osobowe, które obejmuje:

  • wymagania organizacyjno – formalne oraz techniczne jakim powinny odpowiadać urządzenia i systemy teleinformatyczne służące do przetwarzania danych osobowych,
  • przygotowanie do zatwierdzenia przez kierownika jednostki organizacyjnej dokumentacji bezpieczeństwa teleinformatycznego dla systemu teleinformatycznego przeznaczonego do przetwarzania danych osobowych;

Bezpieczeństwo osobowe oraz procedury dla osób funkcyjnych, które obejmuje:

  • właściwy dobór i zakres upoważnienia personelu do ochrony danych osobowych,
  • zakres obowiązków Administratora Danych Osobowych,
  • zakres obowiązków Administratora Bezpieczeństwa Informacji,
  • zakres i forma upoważnień do przetwarzania danych osobowych dla osób funkcyjnych oraz personelu jednostki organizacyjnej,
  • obowiązki spoczywające na osobach dopuszczonych do przetwarzania danych osobowych;

Wprowadzenie sprawnie działających procedur ochrony danych osobowych w jednostce organizacyjnej, które obejmą:

  • zabezpieczenie pomieszczeń i systemów teleinformatycznych służących do przetwarzania danych osobowych,
  • wprowadzanie procedur w zakresie bezpieczeństwa fizycznego oraz procedur organizacyjnych zapewniających skuteczną ochronę przetwarzanych danych osobowych, reagowanie na fakty naruszania przepisów o ochronie danych osobowych, utraty baz danych oraz ujawnienia baz danych osobom nieupoważnionym,
  • powierzanie danych osobowych innym jednostkom organizacyjnym,
  • zasady i tryb udostępniania danych osobowych,
  • kontrole stanu ochrony danych osobowych w jednostce organizacyjnej;

Przygotowanie dokumentacji ochronnej – Polityka Bezpieczeństwa Informacji (danych osobowych) itp.

W celu lepszej kontroli oraz zabezpieczenia danych osobowych, rozporządzenie wydane przez Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. nakłada na każdą jednostkę organizacyjną przetwarzającą dane osobowe, obowiązek prowadzenia specjalnie w tym celu przygotowanej dokumentacji ochronnej. Niezależnie od tego czy baza danych osobowych podlega obowiązkowi zgłaszana jej do GIODO czy też nie, każdy administrator, przetwarzający dane osobowe powinien wdrożyć niżej wymienioną dokumentację.

Wychodząc na przeciw stawianym administratorom danych osobowych wymaganiom w zakresie przygotowania dokumentacji ochronnej oferuję fachowe i rzeczowe przygotowanie niżej wymienionej dokumentacji:

  • Polityki bezpieczeństwa danych osobowych (Polityka bezpieczeństwa informacji),
  • Instrukcji zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych,
  • ewidencji osób upoważnionych do przetwarzania danych osobowych,
  • upoważnienia do przetwarzania danych osobowych,
  • dokumentacji pracowniczej (kwestionariusze osobowe, oświadczenia o zachowaniu danych osobowych w poufności),
  • innych dokumentów i formularzy związanych z przetwarzaniem danych osobowych (np. zgoda na przetwarzanie danych osobowych itp.);

Audyt jednostki organizacyjnej oraz ocena ochrony przetwarzanych danych osobowych

Aby dostosować jednostkę organizacyjna do wymogów UODO, wdrożyć Politykę bezpieczeństwa informacji, Instrukcję zarządzania oraz zarejestrować zbiory danych u GIODO, należy przeprowadzić audyt procesów w ramach których przetwarzają Państwo dane osobowe oraz wskazać bazy danych podlegające rejestracji. Po zakończeniu audytu, sporządzamy dla Państwa raport, w którym szczegółowo wskażemy jakie działania należy podjąć aby przystosować proces przetwarzania danych osobowych do wymogów ustawowych.

W ramach audytu wykonuję następujące czynności:

  • weryfikuję legalność procesów biznesowych wymienionych pod kątem zgodności z art. 23 ustawy o ochronie danych osobowych oraz innych przepisów składających się na spełnienie przesłanki legalności przetwarzania danych osobowych,
  • dokonuję oceny poziomu bezpieczeństwa informacji, poprawności stosowanych środków organizacyjnych i technicznych zapewniających ochronę przetwarzanych danych osobowych w odniesieniu do poziomu zagrożeń oraz kategorii przetwarzanych danych osobowych,
  • identyfikuję i inwentaryzuję zbiory danych osobowych przetwarzane w jednostce organizacyjnej w wersji papierowej oraz w wersji elektronicznej,
  • sprawdzam zgodność systemów informatycznych przeznaczonych do przetwarzania danych osobowych z wymogami stawianymi przez rozporządzenie wydane przez Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r.,
  • sprawdzam poziom zabezpieczeń stosowanych przez systemy informatyczne w których przetwarzane są dane osobowe,
  • sprawdzam poziom zabezpieczeń zbiorów danych przetwarzanych w formie papierowej;

Szkolenie personelu w zakresie stosowania przepisów ustawy o ochronie danych osobowych, które obejmie:

  • szkolenie wszystkich pracowników administracyjnych zatrudnionych i biorących udział w procesie przetwarzania danych osobowych w zakresie koniecznym do zajmowanego stanowiska służbowego oraz posiadanego upoważnienia do przetwarzania danych osobowych,
  • szkolenie teoretyczne i praktyczne dla osób wyznaczonych przez Administratora Danych Osobowych i realizujących w ramach uzyskanego upoważnienia zadań Administratora Bezpieczeństwa Informacji,
  • przygotowanie dla uczestników szkoleń materiałów informacyjno – szkoleniowych tematycznie dostosowanych do zakresów obowiązków pracowników przetwarzających dane osobowe.