Ustawa Przetwarzanie danych osobowych

1024
ROZPORZŃDZENIE MINISTRA SPRAW WEWNóTRZNYCH I ADMINISTRACJI1)
z dnia 29 kwietnia 2004 r.
w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych,
jakim powinny odpowiada� urządzenia i systemy informatyczne s"uŻące do przetwarzania danych
osobowych
Na podstawie art. 39a ustawy z dnia 29 sierpnia przetwarzania danych osobowych w systemie in-
1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. formatycznym;
Nr 101, poz. 926 i Nr 153, poz. 1271 oraz z 2004 r.
3) haĘle rozumie si� przez to ciąg znaków litero-
Nr 25, poz. 219 i Nr 33, poz. 285) zarządza si�, co na-
wych, cyfrowych lub innych, znany jedynie osobie
st�puje:
uprawnionej do pracy w systemie informatycz-
nym;
ż 1. Rozporządzenie okreĘla:
4) sieci telekomunikacyjnej rozumie si� przez to
1) sposób prowadzenia i zakres dokumentacji opisu-
sie� telekomunikacyjną w rozumieniu art. 2 pkt 23
jącej sposób przetwarzania danych osobowych
ustawy z dnia 21 lipca 2000 r. Prawo telekomu-
oraz Ęrodki techniczne i organizacyjne zapewniają-
nikacyjne (Dz. U. Nr 73, poz. 852, z póęn. zm.2))
ce ochron� przetwarzanych danych osobowych
5) sieci publicznej rozumie si� przez to sie� pu-
odpowiednią do zagroŻeł oraz kategorii danych
bliczną w rozumieniu art. 2 pkt 22 ustawy z dnia
obj�tych ochroną;
21 lipca 2000 r. Prawo telekomunikacyjne;
2) podstawowe warunki techniczne i organizacyjne,
6) teletransmisji rozumie si� przez to przesy"anie
jakim powinny odpowiada� urządzenia i systemy
informacji za poĘrednictwem sieci telekomunika-
informatyczne s"uŻące do przetwarzania danych
cyjnej;
osobowych;
7) rozliczalnoĘci rozumie si� przez to w"aĘciwoĘ�
3) wymagania w zakresie odnotowywania udost�p-
zapewniającą, Że dzia"ania podmiotu mogą by�
niania danych osobowych i bezpieczełstwa prze-
przypisane w sposób jednoznaczny tylko temu
twarzania danych osobowych.
podmiotowi;
8) integralnoĘci danych rozumie si� przez to w"a-
ż 2. Ilekro� w rozporządzeniu jest mowa o:
ĘciwoĘ� zapewniającą, Że dane osobowe nie zo-
1) ustawie rozumie si� przez to ustaw� z dnia sta"y zmienione lub zniszczone w sposób nieauto-
29 sierpnia 1997 r. o ochronie danych osobowych, ryzowany;
zwaną dalej ustawą ;
9) raporcie rozumie si� przez to przygotowane
przez system informatyczny zestawienia zakresu
2) identyfikatorze uŻytkownika rozumie si� przez to
i treĘci przetwarzanych danych;
ciąg znaków literowych, cyfrowych lub innych jed-
noznacznie identyfikujący osob� upowaŻnioną do
10) poufnoĘci danych rozumie si� przez to w"aĘci-
woĘ� zapewniającą, Że dane nie są udost�pniane

nieupowaŻnionym podmiotom;
1)
Minister Spraw Wewn�trznych i Administracji kieruje
dzia"em administracji rządowej administracja publicz-
2)
na, na podstawie ż 1 ust. 2 pkt 1 rozporządzenia Prezesa Zmiany wymienionej ustawy zosta"y og"oszone w Dz. U.
Rady Ministrów z dnia 14 marca 2002 r. w sprawie szcze- z 2001 r. Nr 122, poz. 1321 i Nr 154, poz. 1800 i 1802,
gó"owego zakresu dzia"ania Ministra Spraw Wewn�trz- z 2002 r. Nr 25, poz. 253, Nr 74, poz. 676 i Nr 166, poz. 1360
nych i Administracji (Dz. U. Nr 35, poz. 325 i Nr 58, oraz z 2003 r. Nr 50, poz. 424, Nr 113, poz. 1070, Nr 130,
poz. 533). poz. 1188 i Nr 170, poz. 1652.
Dziennik Ustaw Nr 100 7021 Poz. 1024
11) uwierzytelnianiu rozumie si� przez to dzia"anie, 7) sposób realizacji wymogów, o których mowa
którego celem jest weryfikacja deklarowanej toŻ- w ż 7 ust. 1 pkt 4;
samoĘci podmiotu.
8) procedury wykonywania przeglądów i konserwacji
ż 3. 1. Na dokumentacj�, o której mowa w ż 1
systemów oraz noĘników informacji s"uŻących do
pkt 1, sk"ada si� polityka bezpieczełstwa i instrukcja
przetwarzania danych.
zarządzania systemem informatycznym s"uŻącym do
przetwarzania danych osobowych, zwana dalej in- ż 6. 1. Uwzgl�dniając kategorie przetwarzanych
strukcją .
danych oraz zagroŻenia wprowadza si� poziomy bez-
pieczełstwa przetwarzania danych osobowych w sys-
2. Dokumentacj�, o której mowa w ż 1 pkt 1, pro-
temie informatycznym:
wadzi si� w formie pisemnej.
1) podstawowy;
3. Dokumentacj�, o której mowa w ż 1 pkt 1, wdra-
Ża administrator danych.
2) podwyŻszony;
ż 4. Polityka bezpieczełstwa, o której mowa w ż 3
3) wysoki.
ust. 1, zawiera w szczególnoĘci:
2. Poziom co najmniej podstawowy stosuje si�,
1) wykaz budynków, pomieszczeł lub cz�Ęci po-
gdy:
mieszczeł, tworzących obszar, w którym przetwa-
rzane są dane osobowe;
1) w systemie informatycznym nie są przetwarzane
dane, o których mowa w art. 27 ustawy, oraz
2) wykaz zbiorów danych osobowych wraz ze wska-
zaniem programów zastosowanych do przetwa-
2) Żadne z urządzeł systemu informatycznego, s"uŻą-
rzania tych danych;
cego do przetwarzania danych osobowych nie jest
3) opis struktury zbiorów danych wskazujący zawar- po"ączone z siecią publiczną.
toĘ� poszczególnych pól informacyjnych i powią-
3. Poziom co najmniej podwyŻszony stosuje si�,
zania mi�dzy nimi;
gdy:
4) sposób przep"ywu danych pomi�dzy poszczegól-
nymi systemami;
1) w systemie informatycznym przetwarzane są dane
osobowe, o których mowa w art. 27 ustawy, oraz
5) okreĘlenie Ęrodków technicznych i organizacyj-
nych niezb�dnych dla zapewnienia poufnoĘci, in-
2) Żadne z urządzeł systemu informatycznego, s"uŻą-
tegralnoĘci i rozliczalnoĘci przetwarzanych da-
cego do przetwarzania danych osobowych nie jest
nych.
po"ączone z siecią publiczną.
ż 5. Instrukcja, o której mowa w ż 3 ust. 1, zawiera
4. Poziom wysoki stosuje si�, gdy przynajmniej
w szczególnoĘci:
jedno urządzenie systemu informatycznego, s"uŻące-
go do przetwarzania danych osobowych, po"ączone
1) procedury nadawania uprawnieł do przetwarzania
jest z siecią publiczną.
danych i rejestrowania tych uprawnieł w syste-
mie informatycznym oraz wskazanie osoby odpo-
5. Opis Ęrodków bezpieczełstwa stosowany na po-
wiedzialnej za te czynnoĘci;
ziomach, o których mowa w ust. 1, okreĘla za"ącznik
2) stosowane metody i Ęrodki uwierzytelnienia oraz
do rozporządzenia.
procedury związane z ich zarządzaniem i uŻytko-
waniem; ż 7. 1. Dla kaŻdej osoby, której dane osobowe są
przetwarzane w systemie informatycznym z wyjąt-
3) procedury rozpocz�cia, zawieszenia i zakołczenia
kiem systemów s"uŻących do przetwarzania danych
pracy przeznaczone dla uŻytkowników systemu;
osobowych ograniczonych wy"ącznie do edycji tekstu
w celu udost�pnienia go na piĘmie system ten za-
4) procedury tworzenia kopii zapasowych zbiorów
pewnia odnotowanie:
danych oraz programów i narz�dzi programowych
s"uŻących do ich przetwarzania;
1) daty pierwszego wprowadzenia danych do syste-
mu;
5) sposób, miejsce i okres przechowywania:
a) elektronicznych noĘników informacji zawierają-
2) identyfikatora uŻytkownika wprowadzającego da-
cych dane osobowe,
ne osobowe do systemu, chyba Że dost�p do sys-
temu informatycznego i przetwarzanych w nim
b) kopii zapasowych, o których mowa w pkt 4,
danych posiada wy"ącznie jedna osoba;
6) sposób zabezpieczenia systemu informatycznego
przed dzia"alnoĘcią oprogramowania,októrymmowa 3) ęród"a danych, w przypadku zbierania danych, nie
w pkt III ppkt 1 za"ącznika do rozporządzenia; od osoby, której one dotyczą;
Dziennik Ustaw Nr 100 7022 Poz. 1024
4) informacji o odbiorcach, w rozumieniu art. 7 pkt porządzenia pod wzgl�dem bezpieczełstwa na pozio-
6 ustawy, którym dane osobowe zosta"y udo- mie wysokim.
st�pnione, dacie i zakresie tego udost�pnienia,
chyba Że system informatyczny uŻywany jest do ż 9. Administrator przetwarzanych w dniu wejĘcia
przetwarzania danych zawartych w zbiorach jaw- w Życie niniejszego rozporządzenia danych osobo-
nych; wych jest obowiązany dostosowa� systemy informa-
tyczne s"uŻące do przetwarzania tych danych do wy-
5) sprzeciwu, o którym mowa w art. 32 ust. 1 pkt 8 mogów okreĘlonych w ż 7 oraz w za"ączniku do rozpo-
ustawy. rządzenia w terminie 6 miesi�cy od dnia wejĘcia w Ży-
cie niniejszego rozporządzenia.
2. Odnotowanie informacji, o których mowa
w ust. 1 pkt 1 i 2, nast�puje automatycznie po zatwier- ż 10. Rozporządzenie wchodzi w Życie z dniem uzy-
dzeniu przez uŻytkownika operacji wprowadzenia da- skania przez Rzeczpospolitą Polską cz"onkostwa
w Unii Europejskiej4).
nych.
3. Dla kaŻdej osoby, której dane osobowe są prze-
Minister Spraw Wewn�trznych i Administracji:
twarzane w systemie informatycznym, system zapew-
w z. T. Matusiak
nia sporządzenie i wydrukowanie raportu zawierające-
go w powszechnie zrozumia"ej formie informacje,

o których mowa w ust. 1.
3)
Zmiany wymienionej ustawy zosta"y og"oszone w Dz.U.
z 2000 r. Nr 12, poz. 136 i Nr 39, poz. 462, z 2001 r. Nr 22,
4. W przypadku przetwarzania danych osobo-
poz. 247, Nr 27, poz. 298, Nr 56, poz. 580, Nr 110,
wych, w co najmniej dwóch systemach informatycz-
poz. 1189, Nr 123, poz. 1353, Nr 154 poz. 1800, z 2002 r.
nych, wymagania, o których mowa w ust. 1 pkt 4,
Nr 74, poz. 676, Nr 89, poz. 804 i Nr 153, poz. 1271,
mogą by� realizowane w jednym z nich lub w odr�b- z 2003 r. Nr 17, poz. 155 oraz z 2004 r. Nr 29, poz. 257.
4)
nym systemie informatycznym przeznaczonym do te- Niniejsze rozporządzenie by"o poprzedzone rozporządze-
niem Ministra Spraw Wewn�trznych i Administracji z dnia
go celu.
3 czerwca 1998 r. w sprawie okreĘlenia podstawowych
warunków technicznych i organizacyjnych, jakim powinny
ż 8. System informatyczny s"uŻący do przetwarza-
odpowiada� urządzenia i systemy informatyczne s"uŻące
nia danych, który zosta" dopuszczony przez w"aĘciwą
do przetwarzania danych osobowych (Dz. U. Nr 80,
s"uŻb� ochrony pałstwa do przetwarzania informacji
poz. 521 oraz z 2001 r. Nr 121, poz. 1306), które utraci moc
niejawnych, po uzyskaniu certyfikatu wydanego na
z dniem wejĘcia w Życie ustawy z dnia 22 stycznia 2004 r.
podstawie przepisów ustawy z dnia 22 stycznia 1999 r.
o zmianie ustawy o ochronie danych osobowych oraz
o ochronie informacji niejawnych (Dz. U. Nr 11,
ustawy o wynagrodzeniu osób zajmujących kierownicze
poz. 95, z póęn. zm.3)) spe"nia wymogi niniejszego roz- stanowiska pałstwowe (Dz. U. Nr 33, poz. 285).
Za"ącznik do rozporządzenia Ministra Spraw Wewn�trznych
i Administracji z dnia 29 kwietnia 2004 r. (poz. 1024)
A. �rodki bezpieczełstwa na poziomie podstawowym
I b) dost�p do danych by" moŻliwy wy"ącznie po wpro-
wadzeniu identyfikatora i dokonaniu uwierzytel-
1. Obszar, o którym mowa w ż 4 pkt 1 rozporządze-
nienia.
nia, zabezpiecza si� przed dost�pem osób nieupraw-
nionych na czas nieobecnoĘci w nim osób upowaŻnio-
III
nych do przetwarzania danych osobowych.
System informatyczny s"uŻący do przetwarzania
2. Przebywanie osób nieuprawnionych w obsza-
danych osobowych zabezpiecza si�, w szczególnoĘci
rze, o którym mowa w ż 4 pkt 1 rozporządzenia, jest
przed:
dopuszczalne za zgodą administratora danych lub
1) dzia"aniem oprogramowania, którego celem jest
w obecnoĘci osoby upowaŻnionej do przetwarzania
uzyskanie nieuprawnionego dost�pu do systemu
danych osobowych.
informatycznego;
II
2) utratą danych spowodowaną awarią zasilania lub
1. W systemie informatycznym s"uŻącym do prze-
zak"óceniami w sieci zasilającej.
twarzania danych osobowych stosuje si� mechanizmy
IV
kontroli dost�pu do tych danych.
2. JeŻeli dost�p do danych przetwarzanych w sys- 1. Identyfikator uŻytkownika, który utraci" upraw-
nienia do przetwarzania danych, nie moŻe by� przy-
temie informatycznym posiadają co najmniej dwie
dzielony innej osobie.
osoby, wówczas zapewnia si�, aby:
a) w systemie tym rejestrowany by" dla kaŻdego 2. W przypadku gdy do uwierzytelniania uŻytkow-
uŻytkownika odr�bny identyfikator; ników uŻywa si� has"a, jego zmiana nast�puje nie rza-
Dziennik Ustaw Nr 100 7023 Poz. 1024
dziej niŻ co 30 dni. Has"o sk"ada si� co najmniej z 6 VI
znaków.
Urządzenia, dyski lub inne elektroniczne noĘniki
3. Dane osobowe przetwarzane w systemie infor- informacji, zawierające dane osobowe, przeznaczone
matycznym zabezpiecza si� przez wykonywanie kopii do:
zapasowych zbiorów danych oraz programów s"uŻą-
1) likwidacji pozbawia si� wczeĘniej zapisu tych
cych do przetwarzania danych.
danych, a w przypadku gdy nie jest to moŻliwe,
4. Kopie zapasowe: uszkadza si� w sposób uniemoŻliwiający ich od-
czytanie;
a) przechowuje si� w miejscach zabezpieczających je
przed nieuprawnionym przej�ciem, modyfikacją, 2) przekazania podmiotowi nieuprawnionemu do
uszkodzeniem lub zniszczeniem; przetwarzania danych pozbawia si� wczeĘniej
zapisu tych danych, w sposób uniemoŻliwiający
b) usuwa si� niezw"ocznie po ustaniu ich uŻyteczno-
ich odzyskanie;
Ęci.
3) naprawy pozbawia si� wczeĘniej zapisu tych da-
V
nych w sposób uniemoŻliwiający ich odzyskanie
albo naprawia si� je pod nadzorem osoby upo-
Osoba uŻytkująca komputer przenoĘny zawierają-
waŻnionej przez administratora danych.
cy dane osobowe zachowuje szczególną ostroŻnoĘ�
podczas jego transportu, przechowywania i uŻytkowa-
VII
nia poza obszarem, o którym mowa w ż 4 pkt 1 rozpo-
rządzenia, w tym stosuje Ęrodki ochrony kryptograficz- Administrator danych monitoruje wdroŻone za-
nej wobec przetwarzanych danych osobowych. bezpieczenia systemu informatycznego.
B. �rodki bezpieczełstwa na poziomie podwyŻszonym
VIII X
W przypadku gdy do uwierzytelniania uŻytkowni-
Instrukcja zarządzania systemem informatycznym,
ków uŻywa si� has"a, sk"ada si� ono co najmniej z 8
o której mowa w ż 5 rozporządzenia, rozszerza si�
znaków, zawiera ma"e i wielkie litery oraz cyfry lub
o sposób stosowania Ęrodków, o których mowa w pkt
znaki specjalne.
IX za"ącznika.
IX
XI
Urządzenia i noĘniki zawierające dane osobowe,
o których mowa w art. 27 ust. 1 ustawy z dnia
Administrator danych stosuje na poziomie pod-
29 sierpnia 1997 r. o ochronie danych osobowych,
wyŻszonym Ęrodki bezpieczełstwa okreĘlone w cz�Ęci
przekazywane poza obszar, o którym mowa w ż 4 pkt
A za"ącznika, o ile zasady zawarte w cz�Ęci B nie sta-
1 rozporządzenia, zabezpiecza si� w sposób zapewnia-
jący poufnoĘ� i integralnoĘ� tych danych. nowią inaczej.
C. �rodki bezpieczełstwa na poziomie wysokim
XII b) kontrol� dzia"ał inicjowanych z sieci publicznej
i systemu informatycznego administratora danych.
1. System informatyczny s"uŻący do przetwarzania
XIII
danych osobowych chroni si� przed zagroŻeniami po-
chodzącymi z sieci publicznej poprzez wdroŻenie fi-
Administrator danych stosuje Ęrodki kryptograficz-
zycznych lub logicznych zabezpieczeł chroniących
nej ochrony wobec danych wykorzystywanych do
przed nieuprawnionym dost�pem.
uwierzytelnienia, które są przesy"ane w sieci publicznej.
2. W przypadku zastosowania logicznych zabezpie-
XIV
czeł, o których mowa w ust. 1, obejmują one:
Administrator danych stosuje na poziomie wyso-
a) kontrol� przep"ywu informacji pomi�dzy syste- kim Ęrodki bezpieczełstwa, okreĘlone w cz�Ęci A i B
mem informatycznym administratora danych
za"ącznika, o ile zasady zawarte w cz�Ęci C nie stano-
a siecią publiczną; wią inaczej.

Wyszukiwarka

Podobne podstrony:
ustawa o ochronie danych osobowych
Zarz¦ůdzanie systemami BHP, upowaznienie do przetwarzania danych osobowychdoc
ABC zasad kontroli przetwarzania danych osobowych
ABC zasad bezpieczenstwa przetwarzania danych osobowych
Ustawa o ochronie danych osobowych
Ustawa o ochronie danych osobowych
Ustawa o ochronie danych osobowych
ustawa o ochronie danych osobowych 21,09,2015
Ustawa z dnia 29 sierpnia 1997 r o ochronie danych osobowych
O ochronie danych osobowych (USTAWA z dnia 29 sierpnia 1997 r )

więcej podobnych podstron