Sprawy organizacyjne 15



Pobieranie 2.13 Mb.
Strona1/37
Data01.05.2016
Rozmiar2.13 Mb.
  1   2   3   4   5   6   7   8   9   ...   37

Wstęp 15

Wstęp 15

Sprawy organizacyjne 15

Sprawy organizacyjne 15

w art. 24 przeredagowano ust. 2 rozszerzając zakres zwolnienia z wykonania obowiązku informacyjnego o przypadki, gdy osoba, której dane dotyczą, posiada informacje, które administrator danych jest zobowiązany podać jej przy zbieraniu danych; wprowadzona zmiana odpowiada brzmieniu pkt 40 i 49 wstępu do Dyrektywy i art. 11 ust. 2 Dyrektywy, 20

po art. 26 dodano art. 26 a regulujący problematykę rozstrzygnięć wydawanych wyłącznie na podstawie automatycznego przetwarzania danych osobowych; na podstawie niniejszego przepisu niedopuszczalne jest ostateczne rozstrzygnięcie indywidualnej sprawy osoby, której dane dotyczą, jeżeli jego treść jest wyłącznie wynikiem operacji na danych osobowych, prowadzonych w systemie informatycznym; wyjątek od tej zasady stanowić mogą takie decyzje, które powzięte zostały podczas zawierania lub wypełniania postanowień umowy i uwzględniają wniosek osoby, której dane dotyczą; wprowadzony przepis odpowiada treści art. 15 Dyrektywy, 20

w art. 32 w ust. 1 dodano pkt 9, który jest konsekwencją wprowadzenia art. 26 a; stanowi on o prawie do żądania ponownego, indywidualnego rozpatrzenia sprawy rozstrzygniętej wyłącznie na podstawie automatycznego przetwarzania danych, 20

w art. 32 po ust. 3 dodano ust. 3 a, jako konsekwencję art. 26 a i art. 32 ust. 1 pkt 9; przepis ten tworzy prawną podstawę żądania indywidualnego rozstrzygnięcia sprawy oraz możliwość kontroli i rozstrzygnięcia sprawy w formie decyzji przez niezależny organ w przypadku zaistnienia między administratorem danych a osobą, której sprawa była rozstrzygana sporu co do zasadności przedmiotowego żądania; stanowi on, iż w razie wniesienia żądania ponownego, indywidualnego rozpatrzenia sprawy rozstrzygniętej wyłącznie na podstawie automatycznego przetwarzania danych, administrator danych bez zbędnej zwłoki rozpatruje sprawę lub przekazuje ją wraz z uzasadnieniem swojego stanowiska Generalnemu Inspektorowi, który wydaje stosowną decyzję. 21

Nowelizacja ustawy o ochronie danych osbowych dała również okazję do zmiany innych przepisów, których zmiana była niezbędna ze względu na nietrafną dotychczasową redakcję przepisów, bądź brak niektórych rozwiązań. 21

art. 7 rozszerzono przez zdefiniowanie pojęcia systemu informatycznego oraz zabezpieczenia danych w systemie informatycznym, 21

w art. 15 dodano ust. 2, który pozwala na kontrolowanie przez Generalnego Inspektora Ochrony Danych Osobowych zbiorów prowadzonych przez organy np. Policji czy Straży Granicznej, z zagwarantowaniem tajemnicy danych przetwarzanych w zbiorach tych organów, 22

w art. 18 wprowadzono w ust. 2 a zastrzeżenie, na podstawie którego Generalny Inspektor nie może nakazać w decyzji usunięcia ze zbioru danych zebranych w toku czynności operacyjno-rozpoznawczych prowadzonych na podstawie przepisów prawa, 22

w art. 23 ust. 1 pkt 3 przeredagowano jedną z przesłanek dopuszczających przetwarzanie danych, poprzez stwierdzenie, iż przetwarzanie danych jest dopuszczalne, jeśli jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia koniecznych działań przed zawarciem umowy, 22

w art. 23 ust. 1 nowe brzmienie otrzymał pkt 5; przepis jest wzorowany na art. 7 f Dyrektywy i przyjmuje zasadę, że przetwarzanie danych w formie ich udostępnienia jest możliwe także wtedy, gdy prawnie usprawiedliwionym interesem w ich otrzymaniu legitymuje się odbiorca danych, a nie tylko podmiot, który je udostępnia, 22

w art. 23 dodano ust. 4, który wskazuje, iż prawnie usprawiedliwionym celem jest w szczególności marketing bezpośredni własnych produktów lub usług administratora danych oraz dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej, 23

w art. 25 w ust. 2 dodano pkt 5 i 6; zmiana polega na odstąpieniu od wykonania obowiązku informacyjnego w sytuacji, gdy osoba, której dane dotyczą ma pełną świadomość faktu i okoliczności ich przetwarzania oraz gdy przetwarzanie jest przewidziane prawem.; zmiana jest skorelowana z wyżej wskazanymi postanowieniami Dyrektywy, 23

w art. 27 w ust. 1 do dotychczasowej treści dodano treść art. 28 ust. 1, skreślając ten ostatni; tym samym rozszerzono katalog danych szczególnie chronionych obejmując nim dane dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym; w obecnym stanie prawnym ich przetwarzanie jest dopuszczalne po spełnieniu jednej z przesłanek określonych w art. 27 ust. 2, wprowadzona zmiana zgodna jest z art. 8 ust. 5 Dyrektywy, 23

w art. 27 w ust. 2 dodano dwie kolejne przesłanki do katalogu przesłanek dopuszczających przetwarzanie danych szczególnie chronionych, a mianowicie, gdy jest to niezbędne do prowadzenia badań naukowych oraz gdy przetwarzanie danych jest prowadzone przez stronę w celu realizacji praw i obowiązków wynikających z orzeczenia wydanego w postępowaniu sądowym lub administracyjnym, 24

w art. 32 w ust. 3 dodano zdanie drugie, na mocy którego administrator danych może pozostawić w zbiorze imię lub imiona i nazwisko osoby oraz numer PESEL lub adres w celu uniknięcia ponownego wykorzystania danych tej osoby w celach objętych sprzeciwem, 24

w art. 35 dodano ust. 3, który zobowiązuje administratora danych do poinformowania innych administratorów, którym udostępnił zbiór danych, o dokonanym uaktualnieniu lub sprostowaniu danych, 24

skorygowany art. 36 ma zapewnić odpowiedni do charakteru danych i zagrożeń związanych z przetwarzaniem danych poziom ich ochrony, 24

w art. 41 w ust. 1 dodano pkt 4 a oraz pkt 7, które wskazują kolejne informacje (o odbiorcach lub kategoriach odbiorców, którym dane mogą być przekazywane oraz informację dotyczącą ewentualnego przekazywania danych za granicę), które powinny być zawarte w zgłoszeniu zbioru do rejestracji, 24

w art. 43 w ust. 1 dodano pkt 1 a rozszerzając katalog administratorów danych zwolnionych z obowiązku rejestracji o administratorów danych, które zostały uzyskane w wyniku czynności operacyjno-rozpoznawczych przez funkcjonariuszy organów uprawnionych do tych czynności, 24

w art. 43 dodano ust. 2, który ogranicza uprawnienia kontrolne Generalnego Inspektora Ochrony Danych Osobowych w odniesieniu do zbiorów wymienionych w art. 41 ust. 1 pkt 1 i 3 oraz pkt 1 a przetwarzanych przez służby ochrony państwa w rozumieniu ustawy z dnia 22 stycznia 1999 r. o ochronie informacji niejawnych (Dz. U. Nr 11, poz. 95, z późn. zm.). 24

jest to niezbędne do prowadzenia badań naukowych, w tym do przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego; publikowanie wyników badań naukowych nie może następować w sposób uniemożliwiający identyfikację osób, których dane zostały przetworzone, 119

przetwarzanie danych jest prowadzone przez stronę w celu realizacji praw i obowiązków wynikających z orzeczenia wydanego w postępowaniu sądowym lub administracyjnym. 119

nie dopełnienie w pełnym zakresie obowiązku informacyjnego wynikającego z art. 24 ust. 1 i art. 25 ust. 1 ustawy o ochronie danych osobowych, 330

przetwarzanie danych szczególnie chronionych, w tym zwłaszcza danych o karalności, bez podstawy prawnej, 330

niewłaściwe zabezpieczenie zbiorów danych osobowych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy, zmianą, utratą, uszkodzeniem lub zniszczeniem, 330

brak ewidencji osób zatrudnionych przy przetwarzaniu danych osobowych albo nie wpisanie do niej identyfikatorów użytkowników systemu informatycznego, 330

brak wypełnienia podstawowych warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, stosownie do wymogów określonych w przepisach wykonawczych do ustawy. 330

Niedopełnienie obowiązku w zakresie określeniem zakresu odpowiedzialności osób za ochronę danych osobowych i jego wpisania do indywidualnego zakresu czynności (§4 rozporządzenia). W wielu Urzędach (np. Powiatowy Urząd Pracy w Ciechanowie, Urząd Miasta we Włocławku) obowiązek wynikający z §4 rozporządzenia nie był przestrze­gany. 332

Niedopełnienie obowiązków w zakresie prowadzenia ewidencji osób zatrudnionych przy przetwarzaniu danych osobowych. Ewidencji takich nie prowadzono, lub były to ewidencje prowadzone lokalnie przez administratorów poszczególnych aplikacji. Zdarzało się, iż w ewidencji nie był odnotowany identyfikator użytkownika, lub nie byli w niej wymieniani wszyscy użytkownicy. 332

Niedopełnienie obowiązków właściwej organizacji przetwarzania. Zdarzało się, że pomimo istnienia mechanizmów autoryzacji i kontroli dostępu, z jednego identyfikatora i hasła korzystała grupa użytkowników (Urząd Dzielnicy Praga Południe Gminy Warszawa Centrum, Urząd Gminy w Sławie). Nie przestrzegano wymogu zmiany hasła co 30 dni (Urząd Gminy w Sławie, Urząd Miasta we Włocławku, Urząd Miejski w Gdańsku). Stwierdzono nawet przypadek, gdzie zmiana hasła dostępu do sieci Novell była ustawiona na 365 dni - Powiatowy Urząd Pracy w Ciechanowie. 332

Brak spełnienia przez użytkowane systemy informatyczne warunków, o których mowa w §16 ust. 4 i §17 rozporządzenia dotyczących odpowiednio możliwości odnotowania udostępnień oraz udostępnienia na piśmie informacji o przetwarzanych danych. Należy jednak zaznaczyć, że większość podmiotów zdawała sobie z tego uchybienia sprawę i prowadziła działania mające na celu ich usunięcie. Jak wykazały wyniki kontroli sprawdzających oraz złożone w tych sprawach wyjaśnienia, w wielu przypadkach uchybienia te usunięto jako wykonanie zaleceń pokontrolnych. 332

podmioty duże o bardzo rozbudowanej, hierarchicznej organizacji z jednostkami organizacyjnymi rozproszonymi na terytorium całego kraju jak np. Komenda Główna Policji, czy centrale banków ze swoimi oddziałami i filiami terenowymi, 334

podmioty średniej wielkości, posiadające swoje oddziały na terenie jednego regionu, województwa lub powiatu jak np. Kasy Chorych czy Urzędy Pracy, 334

podmioty małe, nie posiadające w swej strukturze organizacyjnej jednostek terenowych takie jak urzędy gmin i inne, małe organizacje i przedsiębiorstwa, oraz 334

podmioty bardzo małe, gdzie przetwarzanie danych wykonywane było przy użyciu jednego, bądź kilku komputerów typu PC jak np. Antykwariat Naukowy S. C. Anna i Piotr Wójtowicz, Kraków, ul. Floriańska 15. 334

typ systemów operacyjnych i jakość używanych narzędzi zarządzania bazami danych, 336

integralność systemu komputerowego używanego do przetwarzania danych osobowych, 336

funkcjonalność, architektura logiczna i jakość użytkowanego systemu. 336

W systemach kontrolowanych jednostek, gdzie platformą systemów operacyjnych był UNIX, nie odnotowywano z reguły uchybień w zakresie nie spełnienia przez system informatyczny możliwości wymogu autoryzacji użytkowników oraz możliwości kontroli dostępu do danych. W systemach tych wymagane w rozporządzeniu mechanizmy autoryzacji dostępu do danych realizowane były zazwyczaj już na poziomie warstwy systemu operacyjnego. Mechanizmy te, na zasadzie dziedziczenia własności przenoszone były do konkretnego systemu informatycznego czy też aplikacji. Liczba kontrolowanych jednostek, których systemy informatyczne bazują na wspomnianej wyżej platformie systemowej nie jest jednak zbyt liczna. Wśród podmiotów kontrolowanych w 2001 r. były to między innymi Komenda Główna Policji oraz niektóre podmioty z sektora finansowego (banki, zakłady ubezpieczeń, fundusze emerytalne). 336

większość podmiotów zaznajomiła swoich pracowników z przepisami o ochronie danych osobowych. Sytuacja w tym zakresie była taka sama w dużych jednostkach, jak i w małych. 339

zdecydowana większość skontrolowanych systemów posiadała mechanizmy uwierzy­telniania użytkownika oraz w sposób dostateczny zabezpieczała dane przed zniszczeniem (wykonywała kopie awaryjne i odpowiednio je przechowywała). 339

większość używanych systemów informatycznych pozwalała na odnotowanie identyfikatora użytkownika, który po raz pierwszy wprowadza dane osobowe do zbioru oraz daty tego wprowadzenia. W każdej z jednostek zostały opracowane instrukcje zarządzania systemem informatycznym, jak również instrukcje postępowania w sytuacji naruszenia ochrony danych osobowych. Instrukcje te nie zawsze były jednak poprawne merytorycznie. W kilku przypadkach opracowane instrukcje nie opisywały stanu faktycznego istniejącego w danej jednostce (Urząd Gminy w Szastarce). W większości przypadków opracowano jedną instrukcje, bardzo ogólną, którą można zastosować praktycznie do wszystkich eksploatowanych w danej firmie aplikacji, w których są przetwarzane dane osobowe. Instrukcje takie są mało przydatne. 339

skreśleniu § 1. Przyczyną tej zmiany było wprowadzenie do ustawy o ochronie danych osobowych definicji systemu informatycznego i zabezpieczenia systemu informatycznego, które do czasu zmiany znajdowały się w rozporządzeniu. 345

nadaniu nowego brzmienia § 2 i § 6, które miało na celu doprecyzowanie


zawartych tam zapisów. 345

ośrodki pomocy społecznej - 40 zbiorów danych osobowych, 346

powiatowe centra pomocy rodzinie - 43 zbiory danych osobowych, 346

poszerzono zakres przetwarzanych danych o osobach, 347

rozpoczęto wykorzystywanie danych w celach marketingowych, 347

nastąpiła zmiana na stanowisku administratora bezpieczeństwa informacji 347

poinformowano o powierzeniu przetwarzania danych innemu podmiotowi. 347

w przypadku braku podstawy prawnej przetwarzania danych osobowych - art. 23 ust. 1 ustawy o ochronie danych osobowych (zgłoszenia nr: R 054004/99, R 000701/00), 355

w przypadku naruszenia zasady zachowania szczególnej staranności przy przetwarzaniu danych osobowych w celu ochrony interesów osób, których dane dotyczą - art. 26 ust. 1 ustawy (zgłoszenia nr: R 001396/99, R 069749/99), 355

w przypadku przetwarzania bez podstawy prawnej tzw „danych wrażliwych” - art. 27 ust. 2 ustawy (zgłoszenia nr: R 001622/00, R 002781/00), 355

Gminny Ośrodek Pomocy Społecznej w Kołobrzegu (zgłoszenie nr R 065144/99), 364

Gminny Ośrodek Pomocy Społecznej w Świdwinie (zgłoszenie nr R 020531/99), 364

Gminny Ośrodek Pomocy Społecznej w Ustroniu Morskim (zgłoszenie nr
R 046380/99). 364

czy zagadnienie to reguluje jakikolwiek przepis prawa, 386

czy są określone zasady przygotowywania albumów zdjęć sygnalitycznych i prezentowania tych zdjęć osobom postronnym, 386

czy Ministerstwo Spraw Wewnętrznych i Administracji, jako jednostka nadzorująca Policję, kontroluje prawidłowość przygotowywania ww. albumów, 386

jakie są kryteria doboru osób, których zdjęcia są umieszczane w albumie, a następnie na tablicach poglądowych. 386

bezprawnego przetwarzania danych osobowych przez podmiot nieuprawniony, tj. popełnienia przestępstwa określonego w art. 49 ust. 1 ustawy o ochronie danych osobowych (zarzut wskazany w 18 zawiadomieniach), w tym 2 zawiadomienia dotyczyły wypełnienia znamion przestępstwa z art. 49 w zw. z art. 52 u.o.d.o. zaś trzy wypełnienia znamion przestępstwa z art. 49 w zw. z art. 54 u.o.d.o. 416

przetwarzania danych niezgodnie z celem utworzenia zbioru, tj. popełnienia przestępstwa określonego w art. 50 ustawy (zarzut wskazany w 1 zawiadomieniu), 416

niedopełnienia obowiązku właściwego zabezpieczenia danych osobowych poprzez ich udostępnienie lub umożliwienie dostępu do nich osobom nieupoważnionym, tj. popełnienia przestępstwa stypizowanego w art. 51 ustawy o ochronie danych osobowych (zarzut wskazany w 21 zawiadomieniach), 416

nieumyślnego naruszenia obowiązku właściwego zabezpieczenia danych osobowych przed ich zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem, tj. popełnienia przestępstwa określonego w art. 52 ustawy o ochronie danych osobowych (zarzut wskazany w 4 zawiadomieniach) 416

niedopełnienia przez administratora danych obowiązku rejestracyjnego, tj. popełnienia przestępstwa określonego w art. 53 ustawy o ochronie danych osobowych (zarzut wskazany w 3 zawiadomieniach) 416

niedopełnienia przez administratora danych obowiązku informacyjnego, tj. popełnienia przestępstwa określonego w art. 54 ustawy o ochronie danych osobowych (zarzut wskazany w 7 zawiadomieniach) 416

Wnioski końcowe 443

Wnioski końcowe 443

Załączniki 451

Załączniki 451

  1   2   3   4   5   6   7   8   9   ...   37


©absta.pl 2016
wyślij wiadomość

    Strona główna