Rozdział 5 - Zabezpieczenie danych osobowych - Ochrona danych osobowych.

Dziennik Ustaw

Dz.U.2016.922 t.j.

Akt utracił moc
Wersja od: 13 lipca 2018 r.

Rozdział  5

Zabezpieczenie danych osobowych

Art.  36.  [Obowiązek zabezpieczenia danych osobowych]
1. 
Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.
2. 
Administrator danych prowadzi dokumentację opisującą sposób przetwarzania danych oraz środki, o których mowa w ust. 1.
3. 
(uchylony).
Art.  36a.  [Administrator bezpieczeństwa informacji]
1. 
Administrator danych może powołać administratora bezpieczeństwa informacji.
2. 
Do zadań administratora bezpieczeństwa informacji należy:
1)
zapewnianie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez:
a)
sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych,
b)
nadzorowanie opracowania i aktualizowania dokumentacji, o której mowa w art. 36 ust. 2, oraz przestrzegania zasad w niej określonych,
c)
zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych;
2)
prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych, z wyjątkiem zbiorów, o których mowa w art. 43 ust. 1, zawierającego nazwę zbioru oraz informacje, o których mowa w art. 41 ust. 1 pkt 2-4a i 7.
3. 
Rejestr, o którym mowa w ust. 2 pkt 2, jest jawny. Przepis art. 42 ust. 2 stosuje się odpowiednio.
4. 
Administrator danych może powierzyć administratorowi bezpieczeństwa informacji wykonywanie innych obowiązków, jeżeli nie naruszy to prawidłowego wykonywania zadań, o których mowa w ust. 2.
5. 
Administratorem bezpieczeństwa informacji może być osoba, która:
1)
ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych;
2)
posiada odpowiednią wiedzę w zakresie ochrony danych osobowych;
3)
nie była karana za umyślne przestępstwo.
6. 
Administrator danych może powołać zastępców administratora bezpieczeństwa informacji, którzy spełniają warunki określone w ust. 5.
7. 
Administrator bezpieczeństwa informacji podlega bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych.
8. 
Administrator danych zapewnia środki i organizacyjną odrębność administratora bezpieczeństwa informacji niezbędne do niezależnego wykonywania przez niego zadań, o których mowa w ust. 2.
9. 
Minister właściwy do spraw informatyzacji określi, w drodze rozporządzenia:
1)
tryb i sposób realizacji zadań, o których mowa w ust. 2 pkt 1 lit. a i b,
2)
sposób prowadzenia rejestru zbiorów danych, o którym mowa w ust. 2 pkt 2
uwzględniając konieczność zapewnienia prawidłowości realizacji zadań administratora bezpieczeństwa informacji oraz niezależności i organizacyjnej odrębności w wykonywaniu przez niego zadań.
Art.  36b.  [Niepowołanie administratora bezpieczeństwa informacji]

W przypadku niepowołania administratora bezpieczeństwa informacji zadania określone w art. 36a ust. 2 pkt 1, z wyłączeniem obowiązku sporządzania sprawozdania, o którym mowa w art. 36a ust. 2 pkt 1 lit. a, wykonuje administrator danych.

Art.  36c.  [Sprawozdanie o zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych]

Sprawozdanie, o którym mowa w art. 36a ust. 2 pkt 1 lit. a, powinno zawierać:

1)
oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania;
2)
imię i nazwisko administratora bezpieczeństwa informacji;
3)
wykaz czynności podjętych przez administratora bezpieczeństwa informacji w toku sprawdzenia oraz imiona, nazwiska i stanowiska osób biorących udział w tych czynnościach;
4)
datę rozpoczęcia i zakończenia sprawdzenia;
5)
określenie przedmiotu i zakresu sprawdzenia;
6)
opis stanu faktycznego stwierdzonego w toku sprawdzenia oraz inne informacje mające istotne znaczenie dla oceny zgodności przetwarzania danych z przepisami o ochronie danych osobowych;
7)
stwierdzone przypadki naruszenia przepisów o ochronie danych osobowych w zakresie objętym sprawdzeniem wraz z planowanymi lub podjętymi działaniami przywracającymi stan zgodny z prawem;
8)
wyszczególnienie załączników stanowiących składową część sprawozdania;
9)
podpis administratora bezpieczeństwa informacji, a w przypadku sprawozdania w postaci papierowej - dodatkowo parafy administratora bezpieczeństwa informacji na każdej stronie sprawozdania;
10)
datę i miejsce podpisania sprawozdania przez administratora bezpieczeństwa informacji.
Art.  37.  [Osoby uprawnione do przetwarzania danych]

Do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych.

Art.  38.  [Kontrola wprowadzania i przekazywania danych osobowych]

Administrator danych jest obowiązany zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane.

Art.  39.  [Ewidencja osób upoważnionych do przetwarzania danych osobowych]
1. 
Administrator danych prowadzi ewidencję osób upoważnionych do ich przetwarzania, która powinna zawierać:
1)
imię i nazwisko osoby upoważnionej;
2)
datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych;
3)
identyfikator, jeżeli dane są przetwarzane w systemie informatycznym.
2. 
Osoby, które zostały upoważnione do przetwarzania danych, są obowiązane zachować w tajemnicy te dane osobowe oraz sposoby ich zabezpieczenia.
Art.  39a.  [Delegacja ustawowa - sposób prowadzenia dokumentacji, wymogi w odniesieniu do urządzeń i systemów informatycznych]

Minister właściwy do spraw informatyzacji określi, w drodze rozporządzenia, sposób prowadzenia i zakres dokumentacji, o której mowa w art. 36 ust. 2, oraz podstawowe warunki techniczne i organizacyjne, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, uwzględniając zapewnienie ochrony przetwarzanych danych osobowych odpowiedniej do zagrożeń oraz kategorii danych objętych ochroną, a także wymagania w zakresie odnotowywania udostępniania danych osobowych i bezpieczeństwa przetwarzanych danych.

Dokumenty powiązane

Pytania i odpowiedzi liczba obiektów na liście: (1)
Pytania i odpowiedzi liczba obiektów na liście: (1)
Orzeczenia i pisma urzędowe liczba obiektów na liście: (1)
Orzeczenia sądów liczba obiektów na liście: (1)
Komentarze i publikacje liczba obiektów na liście: (2)
Komentarze praktyczne liczba obiektów na liście: (1)
Monografie liczba obiektów na liście: (1)
Nasza strona internetowa wykorzystuje pliki cookie. Jeśli zgadzasz się na używanie plików cookie kliknij "Zamknij" lub po prostu kontynuuj przeglądanie. Uzyskaj więcej informacji lub zmień ustawienia .