1. Osobami uczestniczącymi w procesie przetwarzania danych osobowych są: a) administrator danych (osoba zarządzająca procesem zbierania i
przetwa-rzania danych); b) odbiorca danych;
c) podmiot, któremu powierzono przetwarzanie danych; d) administrujący zbiorem danych;
e) administrator bezpieczeństwa informacji (ABI); f) administrator bezpieczeństwa systemów.
2. Administratorem danych jest osoba fi zyczna lub prawna, organ państwowy bądź organ samorządu terytorialnego, który sprawuje władztwo nad przetwa-rzaniem danych – decyduje o celach i środkach przetwarzania danych osobo-wych (art. 7 pkt 4 uodo)26.
25 Szerzej zob. Rozporządzenie w sprawie dokumentacji przetwarzania danych osobo-wych.
26 W przypadku danych pracowników administratorem danych w stosunku do zbioru za-wierającego ich dane osobowe będzie pracodawca. Osoba fi zyczna jest administratorem danych tylko w sytuacji, gdy przetwarza dane osobowe na własny rachunek i to tylko w sytuacji przetwarzania związanego z działalnością zarobkową lub zawodową, np. w sy-tuacji realizowania umowy o dzieło. Osoba fi zyczna nie będzie administratorem w
sytu-Do administratora danych osobowych należy:
a) obowiązek umożliwienia kontroli w miejscu przechowywania danych oso-bowych inspektorom biura GIODO (art. 15 ust. 1 uodo);
b) obowiązek informacyjny wypełniany w stosunku do tych, których dotyczą przetwarzane dane osobowe (art. 24, 25, 32, 33 i 54 uodo)27;
c) szczególna staranność przy przetwarzaniu danych osobowych w celu ochrony interesów osób, których dane przetwarza (art. 26 uodo);
d) obowiązek uzupełniania, uaktualnienia, prostowania danych, czasowego lub stałego wstrzymania przetwarzania kwes onowanych danych lub ich usunięcia ze zbioru, gdy zażąda tego osoba, której dane są przetwarzane przez administratora (art. 35 uodo);
e) stosowanie środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną (art. 36 uodo);
f) obowiązek kontroli, jakie dane, kiedy i przez kogo zostały wprowadzone do zbioru i komu są przekazywane (art. 38 uodo);
g) obowiązek prowadzenia ewidencji i szkolenie osób upoważnionych do przetwarzania danych osobowych (art. 39 uodo);
acji przetwarzania danych wyłącznie w celach osobistych lub domowych, ponieważ prze-pisy wyłączają stosowanie ustawy w takiej sytuacji (art. 3a pkt 1 uodo). Administratorem danych osobowych nie jest również podmiot, któremu zostało powierzone przetwarza-nie danych osobowych (np. przetwarza-nie jest nim agent ubezpieczeniowy, który gromadzi dane dla towarzystwa ubezpieczeniowego).
27 Niezależnie od wspomnianych zasad przetwarzania danych osobowych ustawa zo-bowiązuje administratora danych do poinformowania osoby, której dane dotyczą o: 1) adresie swojej siedziby i pełnej nazwie, w przypadku gdy administratorem danych jest osoba fi zyczna – o miejscu swojego zamieszkania oraz imieniu i nazwisku, 2) celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych, 3) prawie dostępu do treści swoich danych oraz ich poprawiania, 4) dobrowolności albo obowiązku po-dania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej. W przypad-ku natomiast zbierania danych osobowych od osoby, której one nie dotyczą, oprócz podania ww. danych, do poinformowania o źródle pochodzenia danych, uprawnie-niach zezwalających na wniesienie pisemnego, umotywowanego żądania zaprzestania przetwarzania jej danych ze względu na jej szczególną sytuację, wniesienia sprzeciwu wobec przetwarzania jej danych, gdy administrator danych zamierza przetwarzać je w celach marke ngowych lub wobec przekazywania jej danych osobowych innemu administratorowi danych. W niektórych przypadkach ustawa zwalnia administratora danych z obowiązku informowania osoby, w szczególności zaś gdy: a) przepis innej ustawy przewiduje lub dopuszcza zbieranie danych osobowych bez wiedzy osoby, któ-rej dane dotyczą (np. przez policję, służby specjalne czy organy administracji fi nan-sowej, b) dane te są niezbędne do badań naukowych, dydaktycznych, historycznych, statystycznych lub do badania opinii publicznej, c) ich przetwarzanie nie narusza praw lub wolności osoby, której dane dotyczą, a informowanie osób wymagałoby nadmier-nych nakładów lub zagrażałoby realizacji celu przetwarzania (art. 25 ust. 2 pkt 3 uodo).
h) zgłoszenie zbioru do rejestracji GIODO (art. 40 uodo)28;
i) obowiązek zgłaszania (w terminie 30 dni) GIODO każdej zmiany w zbiorze informacji (art. 41 uodo).
3. Odbiorcą danych jest osoba, której udostępnia się dane osobowe, z wyłącze-niem:
a) osoby, której dane dotyczą;
b) osoby upoważnionej do przetwarzania danych;
c) przedstawiciela administratora danych, gdy przetwarzanie danych odby-wa się poza miejscem jego zamieszkania lub w państwie trzecim;
d) osoby przetwarzającej dane w drodze umowy z administratorem da-nych29.
4. Administrator bezpieczeństwa informacji to osoba wyznaczona przez admi-nistratora danych do sprawowania nadzoru i kontroli nad przestrzeganiem zasad ochrony danych osobowych przed ich udostępnieniem osobom nie-uprawnionym, nieuprawnioną ich zmianą, utratą, uszkodzeniem lub znisz-czeniem30.
Administrator bezpieczeństwa informacji jest de facto prawą ręką
administra-28 Zgłoszenie zbioru danych do rejestracji powinno zawierać: 1) wniosek o wpisanie zbio-ru do rejestzbio-ru zbiorów danych osobowych, 2) oznaczenie podmiotu prowadzącego zbiór i adres jego siedziby lub miejsca zamieszkania, w rym numer identyfi kacyjny reje-stru podmiotów gospodarki narodowej, jeżeli został mu nadany, oraz podstawę praw-ną upoważniającą do prowadzenia zbioru, a w przypadku podmiotu, o którym mowa w art. 31a, oznaczenie tego podmiotu i adres jego siedziby lub miejsce zamieszkania, 3) cel przetwarzania danych, 4) opis kategorii osób, których dane dotyczą, oraz zakres przetwarzanych danych, 5) sposób zbierania oraz udostępniania danych, 6) informa-cję o odbiorcach lub kategoriach odbiorców, którym dane mogą być przekazywane, 7) opis środków technicznych i organizacyjnych zastosowanych w celach określonych w art. 36–39 uodo, 8) informację o sposobie wypełnienia warunków technicznych i or-ganizacyjnych, określonych w przepisach, o których mowa w art. 39a uodo, 9) infor-mację dotyczącą ewentualnego przekazywania danych do państwa trzeciego (art. 41 uodo).
29 Odmowa udostępnienia danych osobowych przez administratora danych podmiotom i osobom innym niż uprawnionym na mocy ustawy następuje w przypadku, gdy spo-wodować by to mogło ujawnienie wiadomości zawierających informacje niejawne, zagrożenie dla obronności lub bezpieczeństwa, życia i zdrowia ludzi, mienia lub bez-pieczeństwa i porządku publicznego, zagrożenie dla podstawowego interesu gospo-darczego lub fi nansowego państwa, istotne naruszenie dóbr osobistych osób, których dane dotyczą lub innych osób.
30 Wyznaczenie ABI jest fakultatywne. W przypadku niepowołania ABI, czynności jemu przypisane wykonuje administrator danych osobowych. Ustawa o ochronie danych osobowych nie stanowi o tym wyraźnie, jednak przyjmuje się, że administrator bez-pieczeństwa informacji powinien być osobą fi zyczną. Ponadto nie jest wymagane, aby ABI był pracownikiem administratora danych. Dlatego osoba pełniąca tę funkcję może zostać dobrana spoza grona pracowników administratora danych. Nie ma bowiem przeszkód, aby ABI wykonywał swoje czynności jako przedsiębiorca w ramach samo-zatrudnienia lub też jako pracownik zatrudniony u pracodawcy innego niż podmiot występujący w roli administratora danych.
tora danych w zakresie ochrony wszystkich informacji przetwarzanych w organi-zacji. Katalog jego zadań i kompetencji jest duży i obejmuje (art. 26 ust. 1 uodo):
a) Nadzór nad fi zycznym zabezpieczeniem pomieszczeń, w których prze-twarzane są dane osobowe, oraz kontrolą przebywających w nich osób. Pomieszczenia, o których mowa, powinny być zabezpieczone przed dostę-pem do nich osób nieposiadających uprawnień do przetwarzania danych osobowych. Osoby nieposiadające takich uprawnień mogą przebywać w nich jedynie w obecności osób uprawnionych. Na czas nieobecności zatrudnionych tam osób pomieszczenia te powinny być odpowiednio za-bezpieczone. W celu zabezpieczenia pomieszczeń należy zastosować od-powiednie zamki do drzwi oraz sprawować właściwy nadzór nad kluczami do tych pomieszczeń.
b) Zapewnienie awaryjnego zasilania komputerów oraz innych urządzeń ma-jących wpływ na bezpieczeństwo przetwarzania. Komputery oraz urządze-nia, o których mowa wyżej, powinny być zasilane przez zastosowanie spe-cjalnych urządzeń podtrzymujących zasilanie. Urządzenia te powinny być wyposażone w oprogramowanie umożliwiające bezpieczne wyłączenie systemu komputerowego. Oznacza to takie wyłączenie, w którym przed zanikiem zasilania zostaną prawidłowo zakończone rozpoczęte transakcje na bazie danych oraz wszelkie inne działania w ramach pracujących apli-kacji i oprogramowania systemowego.
c) Dopilnowanie, aby komputery przenośne, w których przetwarzane są dane osobowe, były zabezpieczone hasłem dostępu przed nieautoryzo-wanym uruchomieniem oraz, aby mikrokomputery te nie były udostęp-niane osobom nieupoważnionym do przetwarzania danych osobowych. Osoby posiadające mikrokomputery przenośne z zapisanymi w nich da-nymi osobowymi należy przeszkolić w kierunku zachowania szczególnej uwagi podczas ich transportu oraz uczulić na to, aby mikrokomputery te przechowywane były we właściwie zabezpieczonym pomieszczeniu. d) Nadzór nad naprawami, konserwacją oraz likwidacją urządzeń
kompute-rowych, na których zapisane są dane osobowe. Dyski i inne informatyczne nośniki danych, zawierające dane osobowe przeznaczone do likwidacji, należy pozbawić zapisu tych danych, a jeśli nie jest to możliwe, należy uszkodzić w sposób uniemożliwiający ich odczyt. Urządzenia przekazywa-ne do naprawy należy pozbawić zapisu danych osobowych lub naprawiać w obecności osoby upoważnionej przez administratora danych.
e) Zarządzanie hasłami użytkowników i nadzór nad przestrzeganiem proce-dur określających częstotliwość ich zmiany zgodnie z wytycznymi, które powinny być zawarte w instrukcji określającej sposób zarządzania syste-mem informatycznym służącym do przetwarzania danych osobowych. f) Nadzór nad czynnościami związanymi ze sprawdzaniem systemu pod
ką-tem obecności wirusów komputerowych, częstości ich sprawdzania oraz nadzorowanie wykonywania procedur uaktualniania systemów antywiru-sowych i ich konfi guracji.
g) Nadzór nad wykonywaniem kopii awaryjnych, ich przechowywaniem oraz okresowym sprawdzaniem pod kątem ich dalszej przydatności do odtwa-rzania danych w przypadku awarii systemu.
h) Nadzór nad przeglądami, konserwacjami oraz uaktualnieniami systemów służących do przetwarzania danych osobowych oraz wszystkimi innymi czynnościami wykonywanymi na bazach danych osobowych.
i) Nadzór nad systemem komunikacji w sieci komputerowej oraz przesyła-niem danych za pośrednictwem urządzeń teletransmisji.
j) Nadzór nad obiegiem oraz przechowywaniem dokumentów i wydawnictw zawierających dane osobowe generowane przez system informatyczny. W zakresie nadzoru, o którym mowa, administrator bezpieczeństwa infor-macji powinien dopilnować, aby osoby zatrudnione przy przetwarzaniu danych osobowych miały dostęp do niszczarki dokumentów w celu nisz-czenia błędnie utworzonych lub już niepotrzebnych wydruków kompute-rowych z danymi osobowymi.
k) Nadzór nad funkcjonowaniem mechanizmów uwierzytelniania użytkow-ników w systemie informatycznym przetwarzającym dane osobowe oraz kontrolą dostępu do danych osobowych. Nadzorowanie, o którym mowa, powinno obejmować:
• ustalenie identyfi katorów użytkowników i ich haseł (identyfi katory użytkowników należy wpisać do ewidencji osób zatrudnionych przy przetwarzaniu danych osobowych);
• dopilnowanie, aby hasła użytkowników były zmieniane co najmniej raz na miesiąc;
• dopilnowanie, aby dostęp do danych osobowych przetwarzanych w systemie był możliwy wyłącznie po podaniu identyfi katora i właści-wego hasła;
• dopilnowanie, aby hasła użytkowników były trzymane w tajemnicy (również po upływie terminu ich ważności);
• dopilnowanie, aby identyfi katory osób, które utraciły uprawnienia do przetwarzania danych osobowych, zostały natychmiast wyrejestrowa-ne, a ich hasła unieważnione;
• dopilnowanie, aby – jeżeli istnieją odpowiednie możliwości techniczne – ekrany monitorów stanowisk komputerowych, na których przetwa-rzane są dane osobowe, automatycznie wyłączały się po upływie usta-lonego czasu nieaktywności użytkownika. Zalecanym rozwiązaniem powyższego problemu jest zastosowanie takich wygaszaczy ekrano-wych, które po upływie określonego czasu bezczynności użytkownika wygaszają monitor i jednocześnie uruchamiają blokadę uniemożliwia-jącą kontynuowanie pracy na komputerze bez podania właściwego hasła. Wygaszacz taki, oprócz ochrony danych, które przez dłuższy czas byłyby wyświetlane na ekranie monitora, chroniłby system przed prze-chwyceniem sesji dostępu do danych przez nieuprawnioną osobę;
• dopilnowanie, aby w pomieszczeniach, gdzie przebywają osoby po-stronne, monitory stanowisk dostępu do danych osobowych były usta-wione w taki sposób, aby uniemożliwić tym osobom wgląd w dane. l) Podjęcie natychmiastowych działań zabezpieczających stan systemu
infor-matycznego w przypadku otrzymania informacji o naruszeniu zabezpie-czeń systemu informatycznego lub o zmianach w sposobie działania pro-gramu lub urządzeń wskazujących na naruszenie bezpieczeństwa danych. Działania, o których mowa, powinny mieć na celu wykrycie przyczyny lub sprawcy zaistniałej sytuacji i jej usunięcie.
m) Analiza sytuacji, okoliczności i przyczyn, które doprowadziły do narusze-nia bezpieczeństwa danych (jeśli takie wystąpiło), i przygotowanie oraz przedstawienie administratorowi danych odpowiednich zmian do instruk-cji zarządzania systemem informatycznym, służącym do przetwarzania danych osobowych. Zmiany te powinny być takie, aby wyeliminować lub ograniczyć wystąpienie podobnych sytuacji w przyszłości. Obowiązek śle-dzenia skuteczności zabezpieczeń, o którym mowa wyżej, oraz obowiązek ich udoskonalania, nałożony na administratora bezpieczeństwa, wynika bezpośrednio z obowiązku podejmowania odpowiednich działań w przy-padku wykrycia naruszeń w systemie zabezpieczeń.
5. Administrator bezpieczeństwa systemu informatycznego (ABSI) odpowiada zaś za wdrożenie i eksploatację stosowanych środków technicznych i organi-zacyjnych zapewniających ochronę systemu informatycznego służącego do przetwarzania danych osobowych.