ABC bezpieczeństwa danych osobowych przetwarzanych przy użyciu systemów informatycznych

5. PYTANIA I ODPOWIEDZI


Aby wyświetlić odpowiedź wskaż (bez klikania) za pomocą wskaźnika myszy odsyłacz znajdujący się na końcu interesującego Cię pytania.

1. Zgodnie z ustawą nie trzeba rejestrować zbiorów danych osobowych, które służą tylko do przetwarzania danych w celu wystawienia faktury. Czy zwolnienie to zwalnia również administratora danych z obowiązku zabezpieczenia danych w tym zbiorze? ODPOWIEDŹ

2. Jeśli w bazie danych mam takie dane klienta, jak imię, nazwisko i adres, i użytkownik A po zalogowaniu się zobaczy jego dane (np. Jan Nowak), to czy do rejestru zdarzeń („logów”) systemu należy wpisać informację w postaci: użytkownik A o godzinie 11:11:12 dnia 23 lipca 2006 r. widział dane klienta: Jan Nowak? ODPOWIEDŹ

3. Jeżeli zbiór danych znajduje się na stanowisku komputerowym wydzielonym z sieci, a jedynie proces zbierania danych osobowych odbywa się metodą teletransmisji poprzez sieć Internet, to czy konieczne jest zastosowanie wysokiego poziomu bezpieczeństwa w stosunku do komputera (sieci komputerowej) używanej wyłącznie do zbierania danych? Czy w razie zbierania danych osobowych drogą mailową konieczne jest stosowanie wysokiego poziomu zabezpieczeń? ODPOWIEDŹ

4. Jeżeli dla zbioru danych stosuje się wysoki poziom zabezpieczeń i zbieranie ich od podmiotów zewnętrznych odbywa się metodą teletransmisji poprzez sieć Internet, to czy konieczne jest zabezpieczenie procesu przesyłania danych za pomocą połączenia szyfrowanego protokołem SSL? Czy wpływ na zastosowanie tego instrumentu ma fakt przetwarzania danych wrażliwych? ODPOWIEDŹ

5. Jestem odpowiedzialny za stworzenie dokumentów dotyczących ustawy w firmie liczącej około 1000 pracowników. Moje pytanie dotyczy dwóch punktów, które powinny być opisane w polityce bezpieczeństwa:
„Wykazu budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe” oraz
„Wykazu zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych”.
Czy w ww. punktach należy umieścić spis wszystkich pracowników, komputerów i pokoi, w których są wprowadzane i modyfikowane dane osobowe, czy wystarczy tylko podać działy/piony, w których przetwarzane są dane? ODPOWIEDŹ

6. Czy firma zajmująca się hostingiem stron internetowych (czyli dzierżawą miejsca na serwerze i świadczeniem usług dostępu do tych serwisów z Internetu) staje się podmiotem przetwarzającym dane w sytuacji, gdy hostowany serwis posiada w swej strukturze dane osobowe i mechanizmy je obsługujące? ODPOWIEDŹ

7. Czy administrator serwera, na którym w ramach świadczonych usług hostingowych przetwarzane są dane osobowe, staje się automatycznie administratorem tych danych? ODPOWIEDŹ

8. Jaka jest rola i odpowiedzialność hostingodawcy w sytuacji, kiedy w ramach jego usług hostingobiorca przetwarza we własnym celu zbiór danych osobowych? Czy pojecie systemu informatycznego, o którym mowa w rozporządzeniu, i wymagania, jakie powinien on spełniać, odnoszą się wówczas tylko do tej części systemu, którą wykorzystuje hostingobiorca? ODPOWIEDŹ

9. Serwer bazy danych sam w sobie jest systemem informatycznym. Załóżmy, że przechowuję w nim dane osobowe, np. listę z adresami osób. Producenci takich systemów nie dostarczają wbudowanych mechanizmów do ewidencjonowania operacji na rekordach (zapisach) w poszczególnych tabelach takich, jak data wprowadzenia danych i identyfikator użytkownika, który dane wprowadził. Można zatem wnioskować, że system taki nie spełnia wymogów prawa z zakresu danych osobowych. Jak zatem traktować zbiór danych osobowych zawarty w bazie danych, np. tabelę z listą adresów osób fizycznych? Jak traktować sam serwer bazy danych – aplikację, która de facto staje się systemem informatycznym? ODPOWIEDŹ

10. Czy system informatyczny służący do adresowania kopert, w których wysyłane są informacje o bieżącej działalności naszej instytucji (wystawy, wykłady itp.) można uznać za system „służący do przetwarzania danych osobowych i ograniczony wyłącznie do edycji tekstu w celu udostępnienia go na piśmie”, o którym mowa w § 7 rozporządzenia? Na dane osobowe przetwarzane w tym systemie składają się takie pola, jak imię i nazwisko, stanowisko, nazwa instytucji, adres i kod pocztowy. Dane te są drukowane na kopertach, które następnie wysyła się za pomocą Poczty Polskiej lub rozwozi na adresy odpowiednich instytucji. Czy jest to jedyny sposób wykorzystywania tych danych? ODPOWIEDŹ