Oddział 2 - Zabezpieczenie danych osobowych - Ochrona danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości.
Dziennik Ustaw
Dz.U.2023.1206 t.j.
Akt obowiązujący Wersja od: 27 czerwca 2023 r.
Oddział 2
Zabezpieczenie danych osobowych
Zabezpieczenie danych osobowych
Administrator i podmiot przetwarzający stosują środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych, odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, które w szczególności mają na celu:
1)
uniemożliwienie osobom nieuprawnionym dostępu do sprzętu używanego do przetwarzania (kontrola dostępu do sprzętu);2)
zapobiegnięcie nieuprawnionemu odczytywaniu, kopiowaniu, zmienianiu lub usuwaniu nośników danych (kontrola nośników danych);3)
zapobiegnięcie nieuprawnionemu wprowadzaniu danych osobowych oraz nieuprawnionemu oglądaniu, zmienianiu lub usuwaniu przechowywanych danych osobowych (kontrola przechowywania);4)
zapobiegnięcie korzystaniu z systemów zautomatyzowanego przetwarzania przez osoby nieuprawnione, używające sprzętu do przesyłu danych (kontrola użytkowników);5)
zapewnienie osobom, uprawnionym do korzystania z systemu zautomatyzowanego przetwarzania, dostępu wyłącznie do danych osobowych objętych posiadanym przez siebie uprawnieniem (kontrola dostępu do danych);6)
umożliwienie zweryfikowania i ustalenia podmiotów, którym dane osobowe zostały lub mogą zostać przesłane lub udostępnione, za pomocą sprzętu do przesyłu danych (kontrola przesyłu danych);7)
umożliwienie następczej weryfikacji i ustalenia, które dane osobowe zostały wprowadzone do systemów zautomatyzowanego przetwarzania, kiedy i przez kogo (kontrola wprowadzania danych);8)
zapobieżenie nieuprawnionemu odczytywaniu, kopiowaniu, zmienianiu lub usuwaniu danych osobowych podczas ich przekazywania lub podczas przenoszenia nośników danych (kontrola transportu);9)
zapewnienie przywrócenia zainstalowanych systemów w razie awarii (odzyskiwanie);10)
zapewnienie działania funkcji systemu, zgłaszania występujących w nich błędów (niezawodność) oraz odporności przechowywanych danych na uszkodzenia powodowane błędnym działaniem systemu (integralność).Art. 40. [Niszczenie wycofanych z eksploatacji nośników danych wykorzystywanych do przetwarzania danych osobowych]
Administrator i podmiot przetwarzający niszczą w sposób trwały niepodlegające archiwizacji informatyczne nośniki danych wykorzystywane do przetwarzania danych osobowych wycofane z eksploatacji przy użyciu odpowiednich narzędzi i środków technicznych. Nośniki wycofane z eksploatacji nie mogą być zbywane. Ze zniszczenia nośników sporządza się protokół, w którym uwzględnia się wskazanie sposobu ich zniszczenia.
1.
Do przetwarzania danych osobowych może być dopuszczona wyłącznie osoba zapewniająca bezpieczeństwo przetwarzanych danych osobowych oraz posiadająca upoważnienie do przetwarzania danych osobowych w ramach danej kategorii czynności przetwarzania, nadane przez administratora lub podmiot przetwarzający. Zatwierdzony przez administratora lub podmiot przetwarzający wniosek o nadanie uprawnień do dostępu do danych osobowych w ramach danej kategorii czynności przetwarzania uznaje się za nadanie takiego upoważnienia.2.
Wniosek o nadanie uprawnień dostępu do danych osobowych powinien zawierać:1)
imię i nazwisko, stanowisko, miejsce zatrudnienia osoby, której wniosek dotyczy;2)
zakres i czasookres dostępu do danych osobowych;3)
rodzaj danych osobowych i sposób ich przetwarzania.3.
Do wniosku należy dołączyć oświadczenie osoby, której wniosek dotyczy, o zobowiązaniu się do zapewnienia bezpieczeństwa danych osobowych, w tym ochrony przed niedozwolonym lub niezgodnym z prawem przetwarzaniem danych osobowych oraz ich przypadkową utratą, zniszczeniem lub uszkodzeniem.4.
Wniosek oraz oświadczenie, o których mowa odpowiednio w ust. 2 i 3, mogą być sporządzone w formie elektronicznej.1.
Administrator lub podmiot przetwarzający prowadzi ewidencję osób upoważnionych do przetwarzania danych osobowych, która zawiera:1)
imię i nazwisko osoby upoważnionej;2)
datę udzielenia i ustania oraz zakres upoważnienia do przetwarzania danych osobowych;3)
identyfikator, jeżeli dane są przetwarzane w systemie teleinformatycznym.2.
Rolę ewidencji, o której mowa w ust. 1, może pełnić wykaz osób uprawnionych, prowadzony na podstawie zatwierdzonych przez administratora lub podmiot przetwarzający wniosków o nadanie uprawnień do dostępu do zbioru danych, o których mowa w art. 41.Osoby, które zostały upoważnione do przetwarzania danych osobowych, są obowiązane do zapewnienia bezpieczeństwa danych osobowych, w tym ochrony przed niedozwolonym lub niezgodnym z prawem przetwarzaniem danych osobowych oraz ich przypadkową utratą, zniszczeniem lub uszkodzeniem, jak również do zachowania w tajemnicy udostępnionych danych osobowych oraz sposobów ich zabezpieczenia.
1.
W przypadku naruszenia ochrony danych osobowych, administrator, bez zbędnej zwłoki, nie później jednak niż w ciągu 72 godzin po stwierdzeniu naruszenia, zgłasza naruszenie Prezesowi Urzędu. Przepisu nie stosuje się, jeżeli nie wystąpiło ryzyko naruszenia praw i wolności osób fizycznych.2.
W przypadku niedotrzymania terminu, o którym mowa w ust. 1, administrator niezwłocznie zgłasza naruszenie oraz sporządza i przekazuje Prezesowi Urzędu uzasadnienie niedotrzymania tego terminu.3.
Podmiot przetwarzający po stwierdzeniu naruszenia ochrony danych osobowych zgłasza je administratorowi, bez zbędnej zwłoki, nie później jednak niż w ciągu 48 godzin.4.
Zgłoszenie, o którym mowa w ust. 1 i 3, zawiera co najmniej następujące informacje:1)
opis charakteru naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazanie kategorii i przybliżonej liczby osób, których dane dotyczą, oraz kategorii i przybliżonej liczby wykazów danych osobowych, których dotyczy naruszenie;2)
imię i nazwisko lub nazwę oraz dane kontaktowe inspektora ochrony danych lub innego punktu kontaktowego, który może udzielić dodatkowych informacji;3)
opis możliwych konsekwencji naruszenia ochrony danych osobowych;4)
opis środków zastosowanych lub zaproponowanych przez administratora w celu usunięcia naruszenia ochrony danych osobowych, w tym zminimalizowania jego ewentualnych negatywnych skutków.5.
Jeżeli nie można przekazać informacji, o których mowa w ust. 4, w jednym zgłoszeniu, można je udzielać sukcesywnie bez zbędnej zwłoki.6.
Administrator dokumentuje dla celów kontrolnych przypadki naruszenia ochrony danych osobowych, o których mowa w ust. 1, podając okoliczności ich naruszenia, skutki oraz podjęte działania naprawcze, dołączając uwierzytelnioną przez siebie kopię zgłoszenia, o którym mowa w ust. 4.7.
W przypadku gdy naruszenie ochrony danych osobowych dotyczyło danych osobowych:1)
otrzymanych od administratora innego państwa członkowskiego Unii Europejskiej,2)
przesłanych do administratora innego państwa członkowskiego Unii Europejskiej- informacje, o których mowa w ust. 4, przekazuje się bez zbędnej zwłoki administratorowi tego państwa członkowskiego Unii Europejskiej.
8.
Prezes Urzędu może przeprowadzać kontrolę realizacji przez administratora obowiązków, o których mowa w ust. 1-7.1.
W przypadku gdy naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o naruszeniu ochrony danych osobowych.2.
Zawiadomienie, o którym mowa w ust. 1, zawiera w szczególności:1)
opis charakteru naruszenia ochrony danych osobowych;2)
informacje, o których mowa w art. 44 ust. 4 pkt 2-4.3.
Zawiadomienie, o którym mowa w ust. 1, nie jest wymagane, jeżeli został spełniony jeden z poniższych warunków:1)
administrator zastosował odpowiednie techniczne i organizacyjne środki ochrony, w szczególności szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych;2)
administrator zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osób, których dane dotyczą, wskazanych w ust. 1;3)
zawiadomienie wymagałoby niewspółmiernie dużego wysiłku.4.
W przypadku, o którym mowa w ust. 3 pkt 3, administrator wydaje publiczny komunikat lub stosuje podobny środek zawierający elementy wskazane w ust. 2, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób.5.
Jeżeli administrator nie zawiadomił jeszcze osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych, Prezes Urzędu, biorąc pod uwagę prawdopodobieństwo, że naruszenie ochrony danych osobowych spowoduje wysokie ryzyko, może:1)
zażądać wystosowania przez administratora zawiadomienia;2)
stwierdzić, że został spełniony jeden z warunków, o których mowa w ust. 3.6.
W przypadku, o którym mowa w art. 26 ust. 1, zawiadomienie, o którym mowa w ust. 1, można opóźnić, ograniczyć lub pominąć.