Miesięczne archiwum: Kwiecień 2017

Polityka bezpieczeństwa informacji

Każdy administrator danych osobowych ma obowiązek opracowania oraz wdrożenia polityki bezpieczeństwa informacji. Dokument zawierający politykę bezpieczeństwa informacji ma na celu określenie sposobu przetwarzania danych osobowych oraz środków ich ochrony.

Poniżej przedstawimy listę zagadnień, które powinny znaleźć się w polityce bezpieczeństwa informacji wraz z omówieniem, dzięki czemu będą mogli Państwo w prosty sposób dostosować je do własnych potrzeb.

Zagadnienia ogólne

⧠ wskazanie podmiotu odpowiedzialnego za opracowanie i wdrożenie polityki bezpieczeństwa – administratora danych osobowych
⧠ wyjaśnienie celu wprowadzenia polityki bezpieczeństwa – zapewnienie zgodności działania administratora danych z przepisami o ochronie danych osobowych
⧠ podstawy prawne
– Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych
– Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych
– Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewnienia przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji
– Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbioru danych
⧠ zakres przedmiotowy polityki bezpieczeństwa – opisujemy poniżej

Definicje

Zdefiniowanie pojęć kluczowych, które będą powtarzały się w dalszej części dokumentu, pozwoli na utrzymanie spójności i uniknięcie konieczności ich każdorazowego wyjaśniania. Wprowadzając definicje w polityce bezpieczeństwa można (i jest to nawet wskazane) posłużyć się definicjami ustawowymi.

Administrator Bezpieczeństwa Informacji

Jeśli został powołany, dobrym rozwiązaniem jest poświęcenie miejsca w polityce bezpieczeństwa na określenie jego obowiązków i zakresu odpowiedzialności. Zgodnie z przepisami ustawy o ochronie danych osobowych (u.o.d.o.) administrator bezpieczeństwa informacji odpowiedzialny jest w szczególności za zapewnienie przestrzegania przepisów o ochronie danych osobowych i prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych.

Upoważnienie do przetwarzania danych osobowych

Pracownicy, wykonując swoje obowiązki, przetwarzają dane osobowe. Zgodnie z przepisami u.o.d.o. muszą w tym celu otrzymać stosowne upoważnienie nadane przez administratora danych. Zasady, na jakich będzie się to odbywało, muszą zostać określone w polityce bezpieczeństwa. Wzór dokumentu upoważnienia dołączamy do polityki bezpieczeństwa.

Wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe

⧠ adres siedziby administratora danych osobowych
⧠ siedziby wszystkich podmiotów, którym powierzono przetwarzanie danych na podstawie umowy
⧠ adresy miejsc, w których przechowywanie są nośniki informacji zawierające dane osobowe

Z uwagi na szeroką definicję przetwarzania danych w u.o.d.o., do obszaru tego zalicza się nie tylko miejsca, w których wykonywane są operacje na danych osobowych (wprowadzanie, modyfikowanie, kopiowanie danych), ale także miejsca, w których jedynie przechowuje się wszelkie nośniki informacji zawierające dane osobowe (szafy z dokumentacją papierową, szafy zawierające komputerowe nośniki informacji z kopiami zapasowymi danych, stacje komputerowe, serwery i inne urządzenia komputerowe). Z wielu względów praktycznych zbyt dokładne określanie tych pomieszczeń nie jest wskazane, a często nawet możliwe. Dlatego też przyjmuje się, że wystarczające jest określenie powyższych miejsc poprzez wskazanie ich adresu, bez dokładnego określania poszczególnych pomieszczeń.

Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych

⧠ wskazanie nazw zbiorów danych oraz nazw programów używanych do ich przetwarzania

W wykazie powinny znaleźć się informacje o wszystkich programach wykorzystywanych do przetwarzania danych w ramach danego zbioru, bez względu na to czy zarządzanie oraz administracja tymi programami leży w gestii administratora danych, czy podmiotów zewnętrznych. Ponadto trzeba mieć na uwadze, że – w odróżnieniu od rejestru – wykaz zbiorów danych osobowych zawiera wszystkie zbiory danych przetwarzane przez administratora danych, bez żadnych wyjątków (czyli również te zwolnione z obowiązku rejestracji).

Opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi

W punkcie tym wskazujemy poszczególne grupy informacji (np. dane adresowe klienta, zamówienia klienta, sprzedawane towary) oraz istniejące między nimi relacje, dzięki czemu możliwa będzie identyfikacja pełnego zakresu danych osobowych, jakie są przetwarzane w określonym zbiorze. Powiązania te można przedstawić zarówno w formie opisu tekstowego, jak i w postaci graficznej.

Sposób przepływu danych pomiędzy poszczególnymi systemami

⧠ wskazanie wszystkich używanych systemów informatycznych
⧠ informacja, z jakimi zbiorami danych poszczególne systemy współpracują
⧠ sposób przepływu informacji pomiędzy zbiorem danych a systemem informatycznym – jednokierunkowy (np. informacje pobierane są tylko do odczytu) lub dwukierunkowy (np. informacje pobierane są do odczytu i zapisu)
⧠ sposób przepływu danych pomiędzy poszczególnymi systemami
– wskazanie zakresu przesyłanych danych
– ogólne informacje na temat sposobu przesyłania danych, które mogą decydować o rodzaju narzędzi niezbędnych do zapewnienia ich bezpieczeństwa podczas teletransmisji
– wskazanie podmiotu lub kategorii podmiotów, do których dane są przekazywane

W informacji o sposobie przepływu danych pomiędzy poszczególnymi systemami musimy uwzględnić również przepływ do podmiotów zewnętrznych zaangażowanych w proces przetwarzania danych osobowych – mogą to być np. systemy podmiotów, którym zostało powierzone przetwarzanie danych osobowych na podstawie art. 31 u.o.d.o. Co ważne, w punkcie tym nie jest wymagane szczegółowe omawianie rozwiązań technologicznych – powyższe informacje powinny zostać przedstawione w sposób ogólny i przejrzysty.

Określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych

⧠ środki ochrony fizycznej
⧠ środki sprzętowe, informatyczne i telekomunikacyjne
⧠ środki ochrony w ramach oprogramowania systemu
⧠ środki organizacyjne

Określenie środków technicznych i organizacyjnych powinno być poprzedzone analizą zagrożeń i ryzyka związanych z przetwarzaniem danych osobowych – zastosowane środki muszą być adekwatne do zagrożeń wynikających ze sposobu, jak również kategorii przetwarzanych danych osobowych. Powinny one spełniać wymogi określone w art. 36-39 u.o.d.o. oraz być adekwatne do wymaganych poziomów bezpieczeństwa, o których mowa w § 6 rozporządzenia.

Załączniki

1. Wyznaczenie Administratora Bezpieczeństwa Informacji
2. Upoważnienie do przetwarzania danych osobowych
3. Ewidencja osób uprawnionych do przetwarzania danych osobowych – powinna zawierać następujące informacje:
– imię i nazwisko,
– funkcja,
– zakres upoważnienia,
– numer upoważnienia,
– data przyznania upoważnienia,
– data ustania upoważnienia,
– identyfikator (login)

Jednym z elementów zakładania spółki z ograniczoną odpowiedzialnością, o czym pisaliśmy tutaj, jest złożenie wniosku do KRS o rejestrację spółki. W tym celu należy wypełnić formularz KRS-W3. Formularz należy pobrać ze strony Ministerstwa Sprawiedliwości.

WYPEŁNIENIE WNIOSKU

Jak wypełnić formularz KRS-W3? Zacznijmy od podstawowych informacji:
• Należy wypełnić tylko pola jasne.
• We wszystkich wypełnianych polach, w których występuje możliwość wyboru, należy wstawić X w jednym odpowiednim kwadracie.
• Wszystkie niewypełnione pola należy przekreślić.

Poniżej szczegółowo omówimy wypełnienie formularza i załączników na podstawie przykładowej spółki. Ustalmy, że nasza spółka posiada 2 wspólników, którzy równocześnie zasiadają w jej zarządzie. Kapitał zakładowy spółki wynosi 10 000 zł i dzieli się na 200 udziałów po 50 zł każdy. Spółka prowadzi działalność pod firmą Przykładowa spółka z ograniczoną odpowiedzialnością z siedzibą w Warszawie. Spółka zajmuje się sprzedażą książek.

KRS-W3 – Wniosek o rejestrację podmiotu w rejestrze przedsiębiorców

Wypełnianie formularza rozpoczynamy od ustalenia sądu rejonowego (sądu gospodarczego) właściwego ze względu na siedzibę naszej spółki. W naszym przypadku jest to Sąd Rejonowy dla m.st. Warszawy w Warszawie, XIII Wydział Krajowego Rejestru Sądowego. Następnie wypełniamy cztery pola określające siedzibę naszej spółki oraz zakreślamy kwadrat dotyczący rejestracji nowego podmiotu.

W części A.1 zaznaczamy, że wniosek o wpis składa spółka, zatem zgodnie z poleceniem poniżej – pozostałe pola przekreślamy. Następnie w części A.2 oznaczamy adresata korespondencji, w tym przypadku będzie to nasza spółka. Jeśli nie korzystamy z pomocy profesjonalnego pełnomocnika, pole A.3 należy przekreślić.

W części B i C wpisujemy dane, które będą widniały w rejestrze, a zaczynamy od firmy spółki – w naszym przypadku jest to Przykładowa spółka z ograniczoną odpowiedzialnością. Należy pamiętać, aby wpisać pełną nazwę spółki wraz z oznaczeniem formy prawnej, pomimo że forma prawna została poniżej oznaczona automatycznie. Jeśli tego nie zrobimy, firma spółki będzie błędna. W rubryce 32 i 33 należy wpisać NIP i REGON spółki, jeśli spółka je posiada, natomiast jeśli tak nie jest, należy przekreślić te pola, a pola 30 i 31 zaznaczyć.

Pola C.2 dotyczą spółki uprzednio zarejestrowanej w dowolnym rejestrze. W naszym przypadku spółka jest nowym podmiotem, więc je przekreślamy. W rubryce 37 zaznaczamy, czy nasza spółka prowadzi działalność z innymi podmiotami na podstawie umowy spółki cywilnej. W polach C.4 wpisujemy dane spółki dotyczące jej siedziby i adresu, natomiast jeśli spółka nie posiada poczty elektronicznej i strony internetowej – pola 47 i 48 przekreślamy. W naszym przypadku spółka posiada jedynie adres e-mailowy, w związku z czym rubrykę odnoszącą się do strony internetowej przekreśliliśmy.

W rubryce 49 wpisujemy informacje dotyczące umowy spółki. Zgodnie z treścią polecenia, w pustym polu powinniśmy zawrzeć datę sporządzenia aktu notarialnego, oznaczenie notariusza i kancelarii prawnej oraz numer repertorium. W przypadku naszej spółki, wymagana informacja brzmi: AKT NOTARIALNY Z DNIA 27 LUTEGO 2017 ROKU, NOTARIUSZ KATARZYNA PRZYKŁADOWA, KANCELARIA NOTARIALNA W WARSZAWIE PRZY ULICY REJONOWEJ 4/8, REPERTORIUM A NR 5567/2017. W części C.6 określamy na jaki czas została utworzona spółka. Nasza spółka została utworzona na czas nieoznaczony, w związku z czym zaznaczamy drugą odpowiedź. Pole 51 wypełniamy tylko w przypadku, gdy umowa spółki przewiduje do ogłoszeń spółki inne pismo niż Monitor Sądowy i Gospodarczy.

W rubryce 52 należy określić, zgodnie z umową spółki, ile udziałów może mieć jej wspólnik (w naszej spółce jest to więcej niż jeden udział). W części C.9 wpisujemy słownie i liczbowo informację dotyczącą kapitału zakładowego, gdzie w polu 53 wpisujemy jego wysokość, a w polu 55 wartość udziałów objętych za aport. W naszym przypadku w polu 53 wpisaliśmy słownie i liczbowo kwotę 10 000 zł, a pole 55 przekreśliliśmy, ponieważ w naszej spółce udziały nie zostały objęte za aport. W polach 54 i 56 należy wpisać walutę kapitału spółki (w naszym przypadku jest to PLN), a w rubryce C.10 określić dzień kończący pierwszy rok obrotowy (u nas – 31 grudnia 2017).

W części D.1 autor formularza pozostawił nam krótką ściągę dotycząca wykorzystania załączników. Jeśli mają Państwo wątpliwości w tym zakresie, zdecydowanie polecamy z niej skorzystać. W części D.1.1 oznaczamy liczbę wykorzystanych przez nas załączników, wpisując je w puste miejsce z prawej strony, a pozostałe przekreślając. W polu D.1.2 wpisujemy listę załączonych do wniosku dokumentów (listę wymaganych dokumentów zawarliśmy tutaj). Z prawej strony spisu należy określić ich liczbę oraz zaznaczyć krzyżykiem czy mają formę papierową, czy elektroniczną. Należy pamiętać, że liczba załączników i dokumentów jest skrupulatnie sprawdzana – warto więc zadbać o to, aby (podobnie jak w przypadku innych wpisywanych treści) była prawidłowa. Wypełniony wniosek i jego załączniki podpisują zawsze wszyscy członkowie zarządu lub pełnomocnik spółki (art. 164 § 1 ksh), w naszym przypadku jest to prezes oraz wiceprezes spółki.

Uwaga! Warto pamiętać o konieczności przekreślenia każdego pola, w którym nie wpisaliśmy informacji. W sytuacji prawidłowego wypełnienia wniosku i pozostawienia niewykreślonego pustego pola, wniosek i tak zostanie zwrócony.

Poniżej zamieszczamy wypełniony formularz KRS-W3 dla naszej spółki.

Po wypełnieniu głównego formularza przystępujemy do wypełniania jego załączników. W naszym przypadku będą to 3 załączniki – KRS-WE, KRS-WK oraz KRS-WM.

KRS-WE – Wspólnicy spółki z ograniczoną odpowiedzialnością podlegający wpisowi do rejestru

Wypełnianie załącznika zaczynamy od wpisania nazwy podmiotu, którego dotyczy wniosek – w naszym przypadku jest to Przykładowa Spółka z ograniczoną odpowiedzialnością. Poniżej znajduje się informacja dotycząca liczby potrzebnych nam załączników KRS-WE: Jeśli wspólników podlegających wpisowi do rejestru jest więcej niż trzech, informacje o pozostałych należy wpisać na kolejnych egzemplarzach załącznika. Nasza spółka ma 2 wspólników, zatem wystarczy nam jeden egzemplarz załącznika.

Dodatkowo należy pamiętać, że w związku z art. 38. pkt 8) lit. c) ksh wpisowi do rejestru podlegają wspólnicy, którzy posiadają co najmniej 10% kapitału zakładowego. W naszym przypadku drugi wspólnik posiada jedynie 2 udziały, które stanowią 1% kapitału zakładowego spółki, więc nie podlega on wpisowi do rejestru.

W polu 1 określamy, czy wspólnik jest osobą fizyczną. Jeśli tak, to pola o numerach 7 i 8 należy przekreślić (dotyczą one numeru KRS i numeru REGON). Nasz wspólnik jest osobą fizyczną, zatem zakreślamy taką odpowiedź oraz (zgodnie z poleceniem) przekreślamy pola 7 i 8 poniżej. Następnie w punkcie 2 wpisujemy nazwę, firmę lub nazwisko wspólnika, przy czym w przypadku nazwiska złożonego, pierwszy człon nazwiska wpisujemy do rubryki 2, a drugi człon do rubryki 3. Za błąd uznaje się wpisanie 2 członów nazwiska łącznie do jednego pola oraz nieprzekreślenie pola 3 w sytuacji, kiedy wspólnik ma nazwisko jednoczłonowe. W rubrykach 4 i 5 podajemy imiona wspólnika, a w punkcie 6 jego numer PESEL. Dane naszego wspólnika – Agnieszki Barbary Przypadek – wpisujemy w określone pola, zgodnie z poleceniem. W polu 9 określamy liczbę udziałów wspólnika oraz ich łączną wartość (nie należy podawać tu wartości nominalnej jednej akcji). Agnieszka Barbara Przypadek posiada 198 udziałów o łącznej wartości 9 900,00 złotych i taką też informację podajemy w załączniku. W punkcie 10 zaznaczamy czy zgłaszany wspólnik posiada całość udziałów (w naszym przypadku nie posiada). Pozostałe pola przekreślamy. Załącznik podobnie jak formularz podpisują wszyscy członkowie zarządu.

Poniżej wypełniony załącznik KRS-WE dla naszej spółki.

KRS-WK – Organy podmiotu / wspólnicy uprawnieni do reprezentowania spółki

W jednym egzemplarzu KRS-WK możemy wpisać maksymalnie 2 osoby wchodzące w skład organu lub 2 wspólników reprezentujących spółkę. Podobnie jak w przypadku załącznika KRS-WE, wypełnianie dokumentu rozpoczynamy od wpisania nazwy spółki. Następnie w polu 1, spośród 3 możliwości (organ uprawniony do reprezentacji podmiotu, wspólnicy uprawnieni do reprezentowania spółki oraz organ nadzoru) wybieramy jedną, która określa czego dotyczy zgłoszenie. W przypadku naszej spółki jest to organ uprawniony do reprezentacji podmiotu, czyli zarząd spółki. W polu 2 wpisujemy nazwę tego organu. W sytuacji, kiedy zamierzamy zgłosić wspólników uprawnionych do reprezentacji spółki, pole 2 należy przekreślić.

Punkt 3 powinien zawierać informację dotyczącą sposobu reprezentacji podmiotu przez określony przez nas podmiot (zarząd, wspólników bądź prokurentów). W naszym przypadku informacja dotycząca sposobu reprezentacji brzmi: DO SKŁADANIA OŚWIADCZEŃ W IMIENIU SPÓŁKI UPOWAŻNIONY JEST KAŻDY CZŁONEK ZARZĄDU SAMODZIELNIE. Warto natomiast zauważyć, że w sytuacji reprezentowania spółki przez wspólnika będącego osobą prawną, informacja powinna obejmować również wskazanie osób reprezentujących taką osobę prawną.

Część II załącznika wypełniamy dokładnie w taki sam sposób, jak wygląda to w KRS-WE, z tym zastrzeżeniem, że w KRS-WK zamiast liczby udziałów podajemy funkcję osoby w organie reprezentacji (pole 9). W naszym przypadku 2 osoby przez nas zgłaszane pełnią funkcję PREZESA oraz WICEPREZESA ZARZĄDU, zatem wpisujemy taką informację we wskazane miejsce. Dodatkowo poniżej musimy odpowiedzieć na pytanie, czy te osoby są zawieszone (pola 10, 11). Pod załącznikiem podpisy składają wszyscy członkowie zarządu.

Poniżej wypełniony załącznik KRS-WK dla naszej spółki.

KRS-WM – Przedmiot działalności

Tradycyjnie, wypełnianie załącznika rozpoczynamy od podania nazwy spółki. Następnie w polu I.1.1 wpisujemy przedmiot przeważającej działalności według Polskiej Klasyfikacji Działalności (PKD), określony w umowie spółki. Co ważne, przedmiot przeważającej działalności musi zostać wpisany na poziomie podklasy. Nasza spółka specjalizuje się w sprzedaży książek, zatem jako przedmiot przeważającej działalności wyróżniliśmy kod PKD: 47.61.Z SPRZEDAŻ DETALICZNA KSIĄŻEK PROWADZONA W WYSPECJALIZOWANYCH SKLEPACH.

W pozostałych polach wpisujemy przedmioty pozostałej działalności, a niewykorzystane rubryki przekreślamy. Dla naszej spółki wybraliśmy jeszcze dwa kody PKD i wpisaliśmy je w polach I.1.2. – 47.62.Z SPRZEDAŻ DETALICZNA GAZET I ARTYKUŁÓW PIŚMIENNYCH PROWADZONA W WYSPECJALIZOWANYCH SKLEPACH oraz 47.63.Z SPRZEDAŻ DETALICZNA NAGRAŃ DŹWIĘKOWYCH I AUDIOWIZUALNYCH PROWADZONA W WYSPECJALIZOWANYCH SKLEPACH. Pod załącznikiem także podpisują się wszyscy członkowie zarządu.

Należy pamiętać, że wpisowi do KRS podlega maksymalnie 10 kodów PKD, w tym jeden przedmiot przeważającej działalności. Warto zatem wybrać do tego celu najczęściej używane kody, te które najlepiej charakteryzują działalność naszej spółki.

Poniżej wypełniony załącznik KRS-WM dla naszej spółki.

Po wypełnieniu wszystkich potrzebnych załączników, należy załączyć je do głównego formularza wraz z wcześniej przygotowanymi dokumentami spółki, jeszcze raz dokładnie sprawdzić oraz złożyć na biurze podawczym sądu.

Instrukcja zarządzania systemem informatycznym

Przetwarzając dane osobowe należy zadbać o ich prawidłową ochronę. Jeżeli dane osobowe przetwarzane są w systemie informatycznym, ich administrator musi przygotować i stosować (wdrożyć) dokument o nazwie „instrukcja zarządzania systemem informatycznym”.

Dokument będzie opisywał sposób przetwarzania danych osobowych w systemie informatycznym oraz środki techniczne i organizacyjne, jakie administrator danych osobowych stosuje w celu ochrony danych osobowych. Obowiązek przygotowania instrukcji zarządzania systemem informatycznym wynika z art. 36 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity: Dz. U. 2002 r. Nr 101 poz. 926, ze zm.) oraz § 3 ust. 3 i § 5 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 roku, w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.

Treść instrukcji zarządzania systemem informatycznym zależy m.in. od rodzaju przetwarzanych danych osobowych i systemu informatycznego, w którym dane osobowe są przetwarzane (jego budowy, struktury, dostępu do systemu, jego ochrony). Nie da się więc przygotować uniwersalnego wzoru instrukcji zarządzania systemem informatycznym. Żeby ułatwić Państwu przygotowanie takiego dokumentu, stworzyliśmy listę punktów, która musi zostać omówiona w instrukcji zarządzania systemem informatycznym.


Zagadnienia ogólne

⧠ systemy informatyczne, których dotyczy instrukcja
⧠ lokalizacja systemów
⧠ stosowane metody dostępu (bezpośrednio z komputera, na którym system jest zainstalowany, w lokalnej sieci komputerowej, poprzez sieć telekomunikacyjną)

Procedury nadawania uprawnień do przetwarzania danych osobowych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności

⧠ zasady przyznawania użytkownikowi identyfikatora
⧠ zasady nadawania uprawnień użytkownika do zasobów systemu
⧠ zasady modyfikacji uprawnień użytkownika do zasobów systemu:
– operacje związane z nadawaniem użytkownikowi uprawnień do pracy w systemie, począwszy od utworzenia użytkownikowi konta, poprzez przydzielenie i modyfikację jego uprawnień, aż do momentu usunięcia konta z systemu
⧠ procedura określająca zasady rejestracji użytkowników:
– zasady postępowania z hasłami użytkowników uprzywilejowanych (tzn. użytkowników posiadających uprawnienia na poziomie administratorów systemów informatycznych)
– zasady administrowania systemem w przypadkach awaryjnych (np. nieobecności administratora)
⧠ osoby odpowiedzialne za realizację procedur oraz rejestrowanie i wyrejestrowywanie użytkowników w systemie

Stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem

⧠ tryb przydzielania haseł (zaleca się, aby unikać przekazywania haseł przez osoby trzecie lub za pośrednictwem niechronionych wiadomości poczty elektronicznej)
­ – wskazanie czy hasła użytkowników przekazywane mają być w formie ustnej czy pisemnej
­ – wskazanie zaleceń dotyczących stopnia ich złożoności – 6 lub 8 znaków (pkt IV ppkt 2 oraz pkt VIII załącznika do rozporządzenia z dnia 29 kwietnia 2004 r.)
⧠ wskazanie osób odpowiedzialnych za przydział haseł (funkcjonalnie lub personalnie)
⧠ zobowiązanie użytkownika do niezwłocznej zmiany hasła po jego otrzymaniu – chyba że system nie umożliwia wykonania takiej operacji
⧠ dodatkowe informacje dotyczące haseł (w zależności od stosowanych rozwiązań):
­ – wymogi dotyczące ich powtarzalności
­ – wymogi dotyczące zestawu tworzących je znaków
⧠ informacja o wymaganej częstotliwości i metodzie zmiany hasła
­ – częstotliwość – nie rzadziej niż co 30 dni (pkt IV ppkt 2 załącznika do rozporządzenia z dnia 29 kwietnia 2004 r.)
­ – informacja czy zmiana hasła wymuszana jest po określonym czasie przez system, czy użytkownik sam musi o tym pamiętać
⧠ wymóg przechowywania haseł w postaci zaszyfrowanej
⧠ sposób przechowywania haseł użytkowników posiadających uprawnienia administratorów systemów oraz sposób odnotowywania ich awaryjnego użycia
⧠ dodatkowo w przypadku zastosowania innych niż identyfikator i hasło metod weryfikacji tożsamości użytkownika, np. kart mikroprocesorowych lub metod biometrycznych
­ – sposób personalizacji kart
­ – sposób pobierania danych biometrycznych w procesie rejestrowania użytkownika w systemie
­ – sposób przechowywania danych biometrycznych

Procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu

⧠ kolejne czynności, jakie należy wykonać w celu uruchomienia systemu, w szczególności zasady postępowania użytkowników podczas przeprowadzania procesu uwierzytelniania się (logowania się do systemu)
⧠ metody postępowania w sytuacji tymczasowego zaprzestania pracy na skutek opuszczenia stanowiska pracy
⧠ metody postępowania, kiedy wgląd w wyświetlane na monitorze dane może mieć nieuprawniona osoba
⧠ informacja o konieczności wykonania operacji wyrejestrowania się z systemu przed wyłączeniem stacji komputerowej oraz o czynnościach, jakie w tym celu należy wykonać
⧠ sposób postępowania w sytuacji podejrzenia naruszenia bezpieczeństwa systemu, np. w przypadku braku możliwości zalogowania się użytkownika na jego konto, czy też w przypadku stwierdzenia fizycznej ingerencji w przetwarzane dane albo użytkowane narzędzia programowe lub sprzętowe

Procedury tworzenia kopii zapasowych zbiorów danych osobowych oraz programów i narzędzi programowych służących do ich przetwarzania

⧠ metody i częstotliwość tworzenia kopii zapasowych danych oraz kopii zapasowych systemu używanego do ich przetwarzania:
­ – informacja, dla jakich danych wykonywane będą kopie zapasowe
­ – typ nośników, na których kopie będą wykonywane
­ – narzędzia programowe i urządzenia, które mają być do tego celu wykorzystywane
­ – harmonogram wykonywania kopii zapasowych dla poszczególnych zbiorów danych wraz ze wskazaniem odpowiedniej metody sporządzania kopii (kopia przyrostowa, kopia całościowa)
⧠ okresy rotacji oraz całkowity czas użytkowania poszczególnych nośników danych
⧠ procedury likwidacji nośników zawierających kopie zapasowe danych po ich wycofaniu na skutek utraty przydatności lub uszkodzenia
­ – wymóg wcześniejszego pozbawienia przeznaczonych do likwidacji urządzeń, dysków lub innych nośników zawierających dane osobowe zapisu tych danych, a w przypadku gdy nie jest to możliwe, uszkodzenia w sposób uniemożliwiający ich odczytanie (pkt VI załącznika do rozporządzenia z dnia 29 kwietnia 2004 r.)

Sposób, miejsce i okres przechowywania:

a) elektronicznych nośników informacji zawierających dane osobowe (dyskietki, płyty CD, taśmy magnetyczne itp.)
b) kopii zapasowych

⧠ wskazanie pomieszczeń przeznaczonych do przechowywania nośników informacji
⧠ sposób zabezpieczenia nośników przed nieuprawnionym przejęciem, odczytem, skopiowaniem lub zniszczeniem
– ­wymóg przechowywania kopii zapasowych w miejscach zabezpieczających je przed nieuprawnionym przejęciem, modyfikacją, uszkodzeniem lub zniszczeniem (pkt IV ppkt 4a załącznika do rozporządzenia z dnia 29 kwietnia 2004 r.)
⧠ wymóg usuwania kopii zapasowych niezwłocznie po ustaniu ich użyteczności (pkt IV ppkt 4b załącznika do rozporządzenia z dnia 29 kwietnia 2004 r.)
⧠ w przypadku przekazywania nośników informacji podmiotom zewnętrznym w celu bezpiecznego ich przechowywania (np. deponowanie kopii zapasowych w skarbcach bankowych)
­ – procedury przekazywania nośników tym podmiotom
­ – metody zabezpieczania przekazywanych nośników przed dostępem osób nieuprawnionych podczas ich transportu/przekazywania

Sposób zabezpieczania systemu informatycznego przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu

⧠ określenie obszarów systemu narażonych na ingerencję wirusów komputerowych oraz wszelkiego innego szkodliwego oprogramowania
⧠ wskazanie możliwych źródeł przedostania się szkodliwego oprogramowania do systemu
⧠ wskazanie działań, jakie należy podejmować, aby minimalizować możliwość zainstalowania się szkodliwego oprogramowania
⧠ wskazanie zastosowanych narzędzi programowych, których zadaniem jest przeciwdziałanie skutkom szkodliwego działania oprogramowania
­ – wskazanie oprogramowania antywirusowego, które zostało zainstalowane
­ – określenie metody i częstotliwości aktualizacji definicji wirusów
­ – wskazanie osób odpowiedzialnych za zarządzane oprogramowaniem
⧠ procedury postępowania użytkowników na okoliczność zidentyfikowania określonego typu zagrożeń – informacja o czynnościach, które użytkownik powinien wykonać
⧠ w przypadku, gdy stosowane są inne niż oprogramowanie antywirusowe metody ochrony – wskazanie tych metod i procedur związanych z ich stosowaniem

Sposób realizacji wymogów, o których mowa w § 7 ust. 1 pkt 4 rozporządzenia z dnia 29 kwietnia 2004 r.

⧠ opis sposobu oraz formy odnotowania informacji o odbiorcach (art. 7 pkt 6 ustawy o ochronie danych osobowych), którym dane osobowe zostały udostępnione oraz dacie i zakresie tego udostępnienia (nie jest wystarczające odnotowanie w formie papierowej) – nie dotyczy sytuacji, kiedy system informatyczny jest używany do przetwarzania danych zawartych w zbiorach jawnych

Procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych osobowych

⧠ cel procedur
⧠ zakres procedur
⧠ częstotliwość procedur
⧠ opis procedur
­ – podmioty i osoby uprawnione do dokonywania przeglądów i konserwacji
­ – określenie sposobu, w jaki administrator danych nadzoruje czynności konserwacyjne systemu wykonywane przez osoby nieposiadające upoważnień do przetwarzania danych (np. specjalistów z firm zewnętrznych)
­ – określenie sposobu usuwania danych osobowych z nośników informatycznych w przypadku przekazywania ich do naprawy – wymóg, aby urządzenia, dyski lub inne elektroniczne nośniki informacji, zawierające dane osobowe, pozbawić przed oddaniem do naprawy zapisu tych danych w sposób uniemożliwiający ich odzyskanie albo naprawiać je pod nadzorem osoby upoważnionej przez administratora danych (pkt VI ppkt 3 załącznika do rozporządzenia z dnia 29 kwietnia 2004 r.)

Ochrona danych osobowych – czy każdy zbiór danych trzeba zgłosić do GIODO?

Nie, nie zawsze trzeba zgłaszać zbiór danych do rejestracji GIODO (dla niecierpliwych – o tym piszemy w punkcie 5).

Ale po kolei. Najpierw wyjaśnijmy, co to są dane osobowe (1), potem czym jest zbiór danych osobowych (2), kto powinien zgłosić zbiór danych osobowych do rejestracji GIODO (3), kiedy zbiór danych osobowych należy zgłosić do rejestracji GIODO (4), a kiedy ustawa przewiduje zwolnienia z obowiązku rejestracji zbioru danych osobowych GIODO (5).

1. CO TO SĄ DANE OSOBOWE?

Dane osobowe to informacje dotyczące konkretnej osoby fizycznej. Zatem, jeżeli jakieś informacje pozwalają stwierdzić, że kryje się za nimi konkretna osoba fizyczna, to takie informacje będą danymi osobowymi.
Taka informacja może być wyrażona w dowolny sposób, np. słowem, zapisem elektronicznym, zapisem dźwiękowym (dlatego podczas rozmów z call center jesteśmy informowani o tym, że są one rejestrowane – jest to nasza zgoda na zapisywanie danych osobowych nas dotyczących, czyli naszego głosu), fotograficznym (zdjęcia przedstawiające osoby).

Przykłady danych osobowych:

a) numery identyfikacyjne, np.:

  • PESEL
  • NIP

b) dane o osobie:

  • imię
  • nazwisko
  • adres
  • głos (informujemy, że rozmowy są nagrywane)
  • numer telefonu
  • e-mail
  • IP komputera, numer rejestracyjny samochodu

c) czynniki określające cechy, np.:

  • wygląd zewnętrzny
  • grupa krwi
  • status majątkowy
  • pochodzenie
  • poglądy polityczne, przynależność religijna
  • stan zdrowia, nałogi, seksualność
  • orzeczenia dotyczące karania
  • kod genetyczny

Niemal każda informacja z udziałem człowieka może zostać uznana za informację zindywidualizowaną, gdyż zawsze istnieje możliwość określenia tożsamości człowieka. Dlatego informacji nie uznaje się za dane osobowe, gdy możliwość określenia tożsamości osoby byłaby nadmiernie kosztowna lub czasochłonna.

Jak wynika z powyższego, niemal w każdym biznesie korzysta się z danych osobowych. Sklep internetowy, produkt w modelu SaaS – korzystają z danych osobowych klientów. Wysyłając newsletter – korzystamy z danych osobowych w postaci adresów e-mail (a czasem imienia i nazwiska adresata).

2. CZYM JEST ZBIÓR DANYCH OSOBOWYCH?

Zbiór danych osobowych występuje wówczas, gdy zebrane dane osobowe są uporządkowane i dostępne według określonych kryteriów.
Zatem, żeby jakikolwiek zestaw danych mógł zostać zakwalifikowany jako zbiór podlegający rejestracji, musi on wykazywać się uporządkowaną strukturą, w której możliwe jest odnalezienie informacji bez potrzeby przeglądania całego zestawu. Możliwość posłużenia się jakimkolwiek kryterium osobowym (np. imię, nazwisko, data urodzenia, PESEL) bądź nieosobowym (np. data zamieszczenia danych w zbiorze, numer referencyjny) w celu wyszukania informacji o danych osobowych jest decydująca dla uznania zebranych danych za zbiór danych osobowych.

Zbiorem danych osobowych będzie więc np. baza klientów sklepu bądź serwisu internetowego, baza adresatów newslettera, rejestr danych przetwarzanych w związku z prowadzeniem spraw księgowych czy rejestr darczyńców bądź osób, którym została udzielona pomoc w przypadku fundacji i stowarzyszeń.
Jeżeli zbieramy dane, ale nie tworzą one zbioru danych w rozumieniu tej definicji (nie są w żaden sposób uporządkowane), to nie musimy ich zgłaszać i rejestrować w GIODO.

3. KOGO DOTYCZY OBOWIĄZEK REJESTRACJI ZBIORU DANYCH OSOBOWYCH?

Co do zasady zbiór danych osobowych należy zarejestrować w GIODO.
Obowiązek ten dotyczy KAŻDEGO administratora danych osobowych. Administratora danych osobowych czyli podmiotu, który decyduje o zebranych danych osobowych (posiłkując się ustawą – administratorem danych osobowych jest podmiot decydujący o celach i środkach przetwarzania danych osobowych). Nie ma przy tym znaczenia to, czy przedsiębiorca, który korzysta z newslettera, wykonuje wszystkie związane z nim czynności sam, czy zlecił zebranie bazy mailingowej i przesyłanie newslettera podmiotowi zewnętrznemu (czyli tym samym zlecił przetwarzanie danych) – przedsiębiorca ten jest wciąż administratorem danych osobowych i to na nim ciąży obowiązek zgłoszenia zbioru danych osobowych do rejestracji GIODO.

4. ZGŁOSZENIE ZBIORU

Zgłoszenia zbioru danych osobowych do rejestracji GIODO należy dokonać przed rozpoczęciem przetwarzania danych osobowe w zbiorze, czyli jeszcze przed pozyskaniem pierwszych danych do zbioru. Jeżeli zbiór obejmuje wyłącznie tzw. dane zwykłe, możemy rozpocząć ich przetwarzanie już od momentu zgłoszenia (w przypadku zbioru danych zawierającego dane wrażliwe, z rozpoczęciem przetwarzania należy zaczekać do momentu rejestracji zbioru przez GIODO i otrzymania odpowiedniego zaświadczenia).

Zbiór danych zgłaszamy do GIODO na odpowiednim formularzu w formie papierowej lub za pośrednictwem elektronicznej platformy e-GIODO.
Tutaj opublikowaliśmy artykuł z instrukcją, jak wypełnić wniosek.

5. ZWOLNIENIA Z OBOWIĄZKU REJESTRACJI

Przed przystąpieniem do wypełniania odpowiedniego zgłoszenia warto zapoznać się z przewidzianym w art. 43 u.o.d.o. zamkniętym katalogiem wyjątków od obowiązku rejestracji.

Zgłoszeń zbioru danych do rejestracji GIODO nie muszą dokonywać m.in. administratorzy danych:

1) przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się (wyjątek ten dotyczy w szczególności aktualnych i byłych pracowników administratora danych osobowych, kandydatów do pracy, osób pracujących na podstawie umowy zlecenia lub umowy o dzieło);

2) dotyczących osób korzystających z ich usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta;

3) przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej;

4) powszechnie dostępnych (np. dane dostępne w książce telefonicznej, Internecie czy prasie);

5) przetwarzanych w zakresie drobnych bieżących spraw życia codziennego (np. zbiory będące rejestrami przepustek jednorazowych, kontakty w telefonie służbowym);

6) przetwarzanych w zbiorach papierowych (jednakże wyjątek ten nie dotyczy danych wrażliwych, tj. ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz dane dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym);

7) którzy powołali i zgłosili do GIODO administratora bezpieczeństwa informacji.

Powyższe zwolnienia dotyczą jedynie obowiązku zgłoszenia zbioru danych do rejestracji GIODO. Administrator danych obowiązany jest stosować się do wszelkich pozostałych zasad przetwarzania danych osobowych przewidzianych przez u.o.d.o. i przepisy wykonawcze.

Ochrona danych osobowych – jak zgłosić zbiór danych do rejestracji GIODO?

ZGŁOSZENIE – INFORMACJE PRAKTYCZNE

Zgłoszenie zbioru danych osobowych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych powinno zostać dokonane przed rozpoczęciem przetwarzania danych, czyli z reguły przed rozpoczęciem zbierania danych osobowych. Ponadto zgłoszenie nie obejmuje poszczególnych danych przetwarzanych w zbiorze, ani dokumentów potwierdzających zawarte w nim oświadczenia (np. polityki bezpieczeństwa). Zgłoszeniu podlega wyłącznie zbiór danych osobowych.

Zgłaszając zbiór danych osobowych do rejestracji GIODO, administratorzy danych powinni pamiętać o zasadzie, że jedno zgłoszenie obejmuje tylko jeden zbiór danych osobowych. Zgłoszeniu zbioru danych osobowych do rejestracji GIODO podlegają zbiory prowadzone z użyciem systemu informatycznego. Administrator danych ma obowiązek zgłoszenia zbioru prowadzonego w formie papierowej tylko wówczas, gdy przetwarzane są w nim dane wrażliwe.

Zgłoszenia zbioru danych osobowych należy dokonać na formularzu stanowiącym załącznik do rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 11 grudnia 2008 r. w sprawie wzoru zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych, który jest dostępny również w formie elektronicznej za pośrednictwem „Elektronicznej platformy komunikacji z Generalnym Inspektorem Ochrony Danych Osobowych” (e-GIODO).

Papierową wersję zgłoszenia (wymaganą także w przypadku przesłania wniosku za pośrednictwem platformy bez podpisu elektronicznego) można przesłać pocztą bądź złożyć osobiście w Biurze GIODO (ul. Stawki 2, 00-193 Warszawa). Administratorzy danych osobowych, którzy posiadają kwalifikowany podpis elektroniczny bądź elektroniczny podpis potwierdzony profilem zaufanym e-PUAP, mogą dokonać zgłoszenia w formie elektronicznej bez konieczności dostarczenia wersji papierowej do GIODO.

Na administratorze danych, który dokonał zgłoszenia zbioru, ciąży ponadto obowiązek poinformowania GIODO o każdej zmianie informacji w stosunku do tej podanej w zgłoszeniu, w terminie 30 dni od dnia dokonania zmiany (w przypadku, gdy zmiana dotyczy rozszerzenia zakresu przetwarzanych danych o dane wrażliwe, zmianę tę należy zgłosić przed jej dokonaniem).

Zgłoszenie zbioru danych osobowych do rejestracji GIODO oraz zgłoszenie zmian informacji zawartych w zgłoszeniu jest wolne od opłat.
Gdy zbiór obejmuje wyłącznie tzw. dane zwykłe, można rozpocząć ich przetwarzanie już od momentu zgłoszenia. Natomiast, jeżeli zgłoszony zostaje zbiór danych zawierający dane wrażliwe, wówczas z rozpoczęciem przetwarzania należy zaczekać do momentu rejestracji zbioru danych osobowych przez GIODO i otrzymania odpowiedniego zaświadczenia.


FORMULARZ KROK PO KROKU

W kolejnej części artykułu przeanalizujemy krok po kroku formularz zgłoszenia na przykładzie zbioru danych osobowych o nazwie Klienci sklepu XYZ.

Wypełnienie formularza rozpoczynamy od określenia przedmiotu naszego zgłoszenia. Do wyboru mamy trzy możliwości:
(i) zgłoszenie zbioru na podstawie art. 40 ustawy o ochronie danych osobowych (u.o.d.o.) (tzw. zbioru zwykłego),
(ii) zgłoszenie zmian na podstawie art. 41 ust. 2 u.o.d.o. oraz
(iii) zgłoszenie zbioru, w którym będą przetwarzane dane określone w art. 27 ust. 1 u.o.d.o. (tzw. dane wrażliwe).

W naszym wniosku zaznaczamy pierwszy kwadracik, ponieważ chcemy zgłosić nowy zbiór niezawierający danych wrażliwych (tak zresztą będzie w zdecydowanej większości zgłaszanych zbiorów). Co ważne, w tej części wniosku należy zaznaczyć tylko jedno pole, w przeciwnym razie wniosek nie zostanie rozpatrzony.

Część A. Nazwa zbioru danych

Pierwsza część wniosku dotyczy nazwy zgłaszanego zbioru danych osobowych – w naszym przypadku brzmi ona Klienci sklepu XYZ. W tym zakresie nie obowiązują żadne szczegółowe wytyczne, każdy administrator danych może w zasadzie dowolnie określić nazwę zbioru. Ważne jest tylko, aby pamiętać o dwóch zasadach – określenia nazwy w sposób jak najbardziej zwięzły i adekwatny do rodzaju danych przetwarzanych w zbiorze.

Część B. Charakterystyka administratora danych

1. Wnioskodawca (administrator danych)
W tym polu wskazujemy:
 nazwę administratora danych (UWAGA: w przypadku spółek prawa handlowego administratorem spółki nie jest jej prezes, a sama spółka – zatem w tym miejscu wpisujemy pełną nazwę spółki);
 adres siedziby administratora;
 numer REGON.
W przypadku, gdy zgłaszającym jest osoba fizyczna, wpisujemy jej imię i nazwisko oraz adres zamieszkania.

2. Przedstawiciel wnioskodawcy, o którym mowa w art. 31a u.o.d.o.
Administrator danych osobowych, który ma siedzibę albo miejsce zamieszkania w państwie trzecim i jednocześnie przetwarza dane osobowe przy wykorzystaniu środków technicznych znajdujących się na terytorium naszego kraju, jest obowiązany wyznaczyć swojego przedstawiciela w Polsce. Pojęcie państwa trzeciego oznacza państwo nienależące do Europejskiego Obszaru Gospodarczego (EOG tworzą państwa członkowskie Unii Europejskiej oraz Islandia, Lichtenstein i Norwegia).

Jeżeli komentowany przepis ma zastosowanie i administrator danych wyznaczył swojego przedstawiciela w Polsce, w tym punkcie należy podać jego nazwę i adres siedziby lub imię i nazwisko oraz adres zamieszkania. W naszym przypadku to pole pozostawiamy puste.

3. Powierzenie przetwarzania danych osobowych
Zgodnie z art. 31 u.o.d.o. administrator danych może powierzyć innemu podmiotowi przetwarzanie danych w drodze umowy zawartej na piśmie. Jak wyjaśnia sam GIODIO: Instytucja powierzenia przetwarzania danych, o której mowa w art. 31 ustawy, ma bardzo istotne znaczenie praktyczne. Zezwala ona administratorowi danych na skorzystanie z usług wyspecjalizowanych podmiotów zewnętrznych. Oznacza to, że administrator danych osobowych nie musi osobiście wykonywać wszystkich czynności związanych z procesem przetwarzania danych osobowych. Może powierzyć ich przetwarzanie – w całości lub w części (źródło).

Wskazany przepis ma na celu zapobieżenie sytuacji, w której powierzenie przez administratora innemu podmiotowi przetwarzania danych prowadziłoby do osłabienia ich ochrony. W praktyce ma on zastosowanie m.in. w przypadkach, takich jak zlecanie obsługi księgowej zewnętrznym podmiotom czy korzystanie z usług firmy informatycznej. W takich sytuacjach podmioty zewnętrzne mogą uzyskać dostęp do chronionych danych osobowych (co jest niezbędne do wykonania usługi) jedynie na podstawie odpowiedniej umowy.

Jeżeli administrator powierzył przetwarzanie danych innemu podmiotowi, w punkcie tym należy podać nazwę i siedzibę tego podmiotu. Natomiast w przypadku, gdy administrator jeszcze nie powierzył żadnemu podmiotowi przetwarzania danych, ale przewiduje dokonanie tej czynności – należy zaznaczyć drugi kwadracik i – po podpisaniu umowy powierzenia przetwarzania danych osobowych – zgłosić do GIODO zmianę tej informacji. W naszym formularzu niniejsze pole pozostawimy puste.

4. Podstawa prawna upoważniająca do prowadzenia zbioru danych

Dla naszego zbioru danych – bazy klientów sklepu internetowego – jako podstawy prawne upoważniające do prowadzenia zbioru posłużą nam dwie przesłanki.

a) Zgoda osoby, której dane dotyczą, na przetwarzanie danych jej dotyczących

Przesłanka ta nie jest tak oczywista, jak mogłoby się wydawać i wymaga szerszego omówienia. Po pierwsze, zgoda musi być wyraźna, nie może być dorozumiana albo domniemana z innego oświadczenia woli. W tym świetle za niedopuszczalne należy uznać takie praktyki, jak automatyczne zaznaczenie opcji „tak” obok klauzuli zgody (tzw. opcja domyślna), czy umieszczanie zgody w dokumentach pośrednich obowiązujących klienta (np. w regulaminie). Oznacza to, że do wyrażenia zgody na przetwarzanie danych osobowych niezbędne jest aktywne działanie klienta. Natomiast forma wyrażenia zgody może być dowolna, np. mailowa, telefoniczna czy poprzez zaznaczenie odpowiedniego checkboxa.

Po drugie, zgoda musi być dobrowolna. Klient musi mieć możliwość swobodnego, nieskrępowanego podjęcia decyzji w sprawie wyrażenia zgody.
Po trzecie, administrator danych, przed pozyskaniem zgody na przetwarzanie danych osobowych, musi wypełnić ciążący na nim obowiązek informacyjny. Administrator danych jest obowiązany poinformować osobę, od której zbiera dane o: (i) celu i zakresie, w jakim dane mają być przetwarzane, (ii) swoich danych (pełnej nazwie i adresie siedziby bądź w przypadku osób fizycznych – o imieniu i nazwisku oraz miejscu zamieszkania), (iii) prawie dostępu do treści swoich danych oraz ich poprawiania, (iv) dobrowolności albo obowiązku podania danych.
Każdy właściciel sklepu internetowego (administrator danych) powinien przygotować odpowiednią klauzulę zgody adekwatną do powyższych wytycznych, aby nie narazić się na zarzut nielegalnego pozyskania i przetwarzania danych osobowych.

b) Przetwarzanie jest konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą

W przypadku zbioru danych będącego bazą klientów, przesłanka ta ma podstawowe znaczenie. Zezwala ona na przetwarzanie danych osobowych klienta przez właściciela sklepu internetowego w taki sposób i w takim zakresie, w jakim jest to niezbędne do wywiązania się z umowy sprzedaży, która została zawarta z klientem. Ponadto swoim zakresem obejmuje także przetwarzanie danych osobowych w trakcie różnorakich procedur prowadzących do zawarcia umowy, jak np. procedury przetargowej czy konkursowej. Opierając swoją legitymację do przetwarzania danych osobowych klienta na tej przesłance trzeba jednak pamiętać, że umożliwia ona przetwarzanie danych tylko przez okres konieczny do wykonania bądź zawarcia umowy.
Tak więc, zaznaczamy pierwsze oraz trzecie pole wyboru w naszym formularzu i przechodzimy do części C.

Część C. Cel przetwarzania danych, opis kategorii osób, których dane dotyczą oraz zakres przetwarzanych danych

5. Cel przetwarzania danych w zbiorze
Określenie celu przetwarzania danych w zbiorze jest bardzo ważną częścią niniejszego zgłoszenia, gdyż to właśnie na tej podstawie w trakcie jego weryfikacji będzie badana przesłanka adekwatności. Oznacza ona, że administrator danych może zbierać tylko tyle danych osobowych, ile jest konieczne dla osiągnięcia celu, w jakim dane będą przetwarzane. Dlatego też warto określić ten cel dokładnie, tak aby nie powstały żadne wątpliwości, czy jest on proporcjonalny do zakresu zbieranych danych.
W naszym formularzu pole to wypełnimy w następujący sposób: Zarządzanie relacjami z klientami i potencjalnymi klientami oraz wykonywanie umów.

6. Opis kategorii osób, których dane dotyczą
W polu tym należy wpisać krótkie, zbiorcze określenie osób, których dane osobowe mają być przetwarzane, np. klienci, adresaci newslettera, subskrybenci. W żadnym wypadku nie chodzi o wskazanie konkretnych danych, np. imion i nazwisk poszczególnych osób.
W naszym formularzu pole to wypełnimy w następujący sposób: Klienci sklepu internetowego XYZ.

7. Zakres przetwarzania w zbiorze danych o osobach
Punkty 7 i 8 dotyczą zakresu przetwarzanych danych osobowych zwykłych. Natomiast w punktach 9 i 10 można wskazać zakres oraz podstawy prawne przetwarzania danych osobowych wrażliwych – w naszym omówieniu zgłoszenia pominiemy te dwa punkty, gdyż nie mają one zastosowania do zgłaszanego przez nas zbioru danych.

Punkt numer 7 wymienia wszystkie najczęściej występujące dane osobowe, spośród których należy wybrać i zaznaczyć krzyżykiem te, które będą przetwarzane. W naszym przypadku – zbioru zawierającego dane klientów sklepu internetowego – w zupełności wystarczy, jeśli zaznaczymy następujące pola: nazwiska i imiona, adres zamieszkania lub pobytu, Numer Identyfikacji Podatkowej, numer telefonu.
Wypełniając tę część formularza należy przez cały czas mieć na uwadze, aby zakreślone dane były adekwatne do celu ich przetwarzania, wskazanego w punkcie 5.

8. Inne dane osobowe, oprócz wymienionych w pkt 7, przetwarzane w zbiorze
W polu tym należy wymienić zakres danych, które będą przetwarzane i które nie zostały zawarte we wcześniejszym wyliczeniu. W naszym formularzu wpisujemy: adres e-mail.

9. Dane przetwarzane w zbiorze
Tę część zostawiamy pustą.

10. Podstawa prawna przetwarzania danych wskazanych w pkt 9

Tę część zostawiamy pustą.

Część D. Sposób zbierania oraz udostępniania danych

11. Sposób zbierania danych do zbioru
W punkcie tym przekazujemy GIODO informację o źródle pozyskiwania danych osobowych do zbioru. Mamy do wyboru dwie możliwości, spośród których trzeba zaznaczyć przynajmniej jedną (w przypadku, jeżeli dane będą pozyskiwane zarówno od osób, których dotyczą, jak i z innych źródeł, wówczas należy zaznaczyć obydwa wymienione w tym punkcie pola wyboru).

Pojęcie „innych źródeł” co do zasady związane jest z odpłatnym pozyskiwaniem baz danych osobowych od innych przedsiębiorców. W naszym przypadku zakładamy, że będziemy zbierać dane bezpośrednio od osób, których one dotyczą (na podstawie wyrażonej zgody i w związku z wykonywaniem umowy) i zaznaczamy pierwszy kwadracik.

12. Sposób udostępniania danych ze zbioru

Udostępnienie danych to realizowana przez administratora danych operacja przetwarzania danych osobowych, w wyniku której dane zostają przekazane innemu podmiotowi. Podmiot ten staje się ich administratorem i, co za tym idzie, uzyskuje możliwość decydowania o celach i środkach ich przetwarzania. Oznacza to, że – w przeciwieństwie do powierzenia przetwarzania danych – wskutek udostępnienia administrator danych traci kontrolę nad tym, co będzie się z nimi działo. W praktyce w obrocie gospodarczym udostępnienie danych występuje najczęściej w przypadku handlu bazami danych.

Zgodnie z u.o.d.o. odbiorcą danych jest każdy, komu udostępnia się dane osobowe, z wyłączeniem: (i) osoby, której dane dotyczą, (ii) osoby upoważnionej do przetwarzania danych, (iii) przedstawiciela, o którym była mowa w punkcie 2 zgłoszenia, (iv) podmiotu, o którym była mowa w punkcie 3 zgłoszenia, (v) organów państwowych lub organów samorządu terytorialnego, którym dane są udostępniane w związku z prowadzonym postępowaniem.

Zatem, jeśli – jako administratorzy danych – planujemy udostępniać wchodzące w skład zbioru dane podmiotom innym niż wyżej wymienione, w punkcie tym należy zaznaczyć kwadracik i w punkcie 13 wskazać te podmioty (ich nazwę i adres siedziby lub imię i nazwisko oraz adres zamieszkania). Ponieważ w naszym formularzu zakładamy, że dane ze zbioru nie będą udostępniane, pole wyboru pozostawiamy puste i przechodzimy do punktu 14.

13. Odbiorcy lub kategorie odbiorców, którym dane mogą być przekazywane
Tę część zostawiamy pustą.

14. Informacja dotycząca ewentualnego przekazywania danych do państwa trzeciego
Jak już zostało wyjaśnione w punkcie 2, państwami trzecimi są państwa nienależące do Europejskiego Obszaru Gospodarczego (w którego skład wchodzi Unia Europejska oraz Islandia, Lichtenstein i Norwegia). Wskutek ustawodawstwa unijnego na terenie państw należących do EOG został zapewniony swobodny przepływ danych osobowych oraz ujednolicony poziom ich ochrony, co w efekcie pozwala na przekazywanie danych pomiędzy tymi państwami bez konieczności informowania o tym fakcie GIODO. W celu utrzymania tego poziomu, w przypadku przekazywania danych do państwa trzeciego, administrator danych musi pamiętać o konieczności spełnienia dodatkowych wymagań przewidzianych w rozdziale 7 u.o.d.o.
W naszym formularzu tę część zostawiamy pustą.

Część E. Opis środków technicznych i organizacyjnych zastosowanych w celach określonych w art. 36 – 39 u.o.d.o.

15. Sposób prowadzenia zbioru danych osobowych
a) centralnie bądź w architekturze rozproszonej
Pomimo, że użyta w tym podpunkcie terminologia wygląda na skomplikowaną, wyjaśnienie jej nie jest trudne. Centralne prowadzenie zbioru danych oznacza – najprościej rzecz ujmując – zlokalizowanie danych należących do tego zbioru w jednym miejscu (w jednym pomieszczeniu, budynku, na jednym serwerze, nośniku).

Natomiast prowadzenie zbioru w architekturze rozproszonej oznacza, że dane są przetwarzane w sposób zdecentralizowany (w różnych miejscach, na różnych nośnikach), czego najlepszym przykładem jest przetwarzanie danych za pomocą systemu informatycznego, do którego możliwy jest dostęp z kilku stanowisk komputerowych czy na dwóch serwerach zlokalizowanych w odrębnych budynkach.
W punkcie tym wybieramy drugi kwadracik (w tym miejscu należy zaznaczyć tylko jeden z nich).

b) wyłącznie w postaci papierowej bądź z użyciem systemu informatycznego
Podpunkt ten chyba nie wymaga dokładniejszych wyjaśnień – zakładając, że nasz sklep korzysta z komputerów i innych urządzeń oraz programów służących do przetwarzania danych osobowych, zaznaczamy drugie pole wyboru (w tym punkcie również należy wybrać tylko jedno pole).

c) z użyciem co najmniej jednego urządzenia systemu informatycznego służącego do przetwarzania danych osobowych połączonego z siecią publiczną (np. Internet) bądź bez użycia takiego urządzenia
W dobie dynamicznego rozwoju technologicznego zapewne wielu osobom ciężko jest wyobrazić sobie komputer bądź inne urządzenie (router, modem) bez dostępu do Internetu, dlatego też w odniesieniu do zbiorów prowadzonych w systemie informatycznym w zdecydowanej większości przypadków będą Państwo w tym podpunkcie zaznaczać drugie pole wyboru. Tak też robimy i w naszym zgłoszeniu.

16. Informacja dotycząca spełnienia wymogów określonych w art. 36 – 39 u.o.d.o.
Podpunkty od 16a do 16e wskazują wymogi, które każdy administrator danych obowiązany jest spełnić przed rozpoczęciem przetwarzania danych w zbiorze.

a) informacja o tym, czy został wyznaczony administrator bezpieczeństwa informacji (ABI)
Do zadań ABI (może być nim, np. pracownik spółki lub zewnętrzna firma świadcząca tego typu usługi) należy, najogólniej mówiąc, zapewnianie przestrzegania przepisów o ochronie danych osobowych. Zgodnie z obecnymi przepisami administrator danych może powołać ABI, ale nie musi. Jeśli administrator danych nie zdecyduje się na powołanie ABI (co w odpowiedni sposób trzeba zgłosić do GIODO), wówczas musi samodzielnie wykonywać należące do niego czynności związane z zapewnieniem odpowiedniego poziomu przetwarzania danych, m.in. sprawdzanie zgodności przetwarzania danych osobowych z przepisami, opracowanie i aktualizowanie odpowiedniej dokumentacji, zapoznawanie osób upoważnionych do przetwarzania danych z przepisami o ochronie danych osobowych, prowadzenie rejestru zbiorów.
W naszym formularzu zaznaczamy drugie pole wyboru – administrator danych sam wykonuje czynności administratora bezpieczeństwa informacji.

b) do przetwarzania danych zostały dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych

c) prowadzona jest ewidencja osób upoważnionych do przetwarzania danych
Powyższe dwa punkty są ze sobą powiązane – do przetwarzania danych mogą zostać dopuszczone wyłącznie osoby, które otrzymały wcześniej indywidualne upoważnienie, a administrator danych ma obowiązek prowadzenia ewidencji takich upoważnień.
Oczywiście obydwa punkty należy zaznaczyć.

d) została opracowana i wdrożona polityka bezpieczeństwa

e) została opracowana i wdrożona instrukcja zarządzania systemem informatycznym
Zarówno polityka bezpieczeństwa, jaki i instrukcja zarządzania systemem informatycznym to wskazane przez ustawodawcę minimum dokumentacji dotyczącej przetwarzania danych osobowych, którą każdy administrator danych musi wdrożyć (oczywiście instrukcja zarządzania systemem informatycznym nie ma zastosowania do zbiorów prowadzonych wyłącznie w formie papierowej). Z uwagi na obszerną materię dokładnego omówienia tych dokumentów dokonamy w osobnych artykułach.
W tym miejscu należy podkreślić, że do zgłoszenia zbioru danych do rejestracji GIODO wystarczy zaznaczenie podpunktów d) i e) w formularzu – dokumentów tych nie należy załączać do zgłoszenia.

f) inne środki zastosowane w celu zabezpieczenia danych
Jeżeli zapewniamy jakiekolwiek inne środki ochrony danych osobowych, w tym miejscu należy je wskazać. Dla przykładu mogą to być:
 środki ochrony fizycznej, takie jak monitoring, służba ochrony zabezpieczająca dostęp do budynku;
 środki sprzętowe, informatyczne i telekomunikacyjne, takie jak określenie zasad szyfrowania w procesie przetwarzania danych, stosowanie identyfikatorów oraz haseł;
 środki organizacyjne, takie jak szkolenia z zakresu przepisów i procedur dotyczących danych osobowych.

Część F. Informacja o sposobie wypełniania warunków technicznych i organizacyjnych, o których mowa w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. Nr 100, poz. 1024)

17. Wskazanie poziomu, na jakim zostały zastosowane środki bezpieczeństwa
UWAGA – ta część zgłoszenia dotyczy wyłącznie zbiorów prowadzonych w systemach informatycznych.

Zgodnie z § 6 ww. rozporządzenia:
a) poziom co najmniej podstawowy stosuje się, gdy: (i) w systemie informatycznym nie są przetwarzane dane wrażliwe oraz (ii) żadne z urządzeń systemu informatycznego nie jest połączone z siecią publiczną;
b) poziom co najmniej podwyższony stosuje się, gdy: (i) w systemie informatycznym przetwarzane są dane wrażliwe oraz (ii) żadne z urządzeń systemu informatycznego nie jest połączone z siecią publiczną;
c) poziom wysoki stosuje się, gdy przynajmniej jedno urządzenie systemu informatycznego połączone jest z siecią publiczną bez względu na rodzaj przetwarzanych danych.

Ponieważ w punkcie 15c naszego zgłoszenia zaznaczyliśmy pierwsze pole wyboru, jesteśmy zobowiązani do przetwarzania danych osobowych na poziomie wysokim i do tego też poziomu musimy dostosować wszystkie środki bezpieczeństwa.

Tak wypełniony formularz należy jeszcze tylko podpisać zgodnie z zasadami reprezentacji i zgłoszenie zbioru danych jest gotowe do doręczenia GIODO.


Trzeba jednak podkreślić, że zgłoszenie zbioru danych do rejestracji GIODO to tylko jeden z obowiązków administratora danych i nie przesądza ono o przetwarzaniu danych osobowych zgodnie z prawem. Przede wszystkim każdy administrator danych powinien pamiętać o dopełnieniu wszelkich obowiązków formalnych i zastosowaniu odpowiednich środków organizacyjnych i technicznych w celu zapewnienia należytej ochrony danych osobowych.

Opisany w niniejszym artykule formularz zgłoszenia zbioru danych do rejestracji GIODO będzie aktualny w takim kształcie do dnia 24 maja 2018 roku. Po tym dniu zacznie obowiązywać Ogólne Rozporządzenie o Ochronie Danych Osobowych, którego regulacje będą miały zastosowanie do wszystkich administratorów danych. O wszelkich zmianach wynikających z Rozporządzenia poinformujemy w osobnym artykule.