- sposób, miejsce i okres przechowywania:
– elektronicznych nośników informacji zawierających dane,
– kopii zapasowych
- sposób zabezpieczenia systemu informatycznego przed działalnością groźnego oprogramowania;
- procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.
Każdy podmiot przetwarzający dane osobowe jest zobowiązany do rejestracji zbiorów danych osobowych w GIODO, uwzględniając wyłączenia ustawowe. Jeżeli przedsiębiorca powoła ABI i zgłosi go do GIODO, to wtedy ABI będzie zobligowany do prowadzenia wewnętrznej ewidencji zbiorów. Niedopełnienie tych obowiązków wyłącza legalne przetwarzanie danych.
Fizyczne i techniczne środki ochrony danych to:
- przechowywanie papierowej dokumentacji oraz elektronicznych nośników danych zawierających dane osobowe w sposób uniemożliwiający dostęp do nich osobom nieupoważnionym, np. w zamkniętych pomieszczeniach i szafach,
- zasada czystego biurka, czyli niezostawianie na biurku żadnych dokumentów po zakończeniu pracy,
- zabezpieczenie budynku poprzez montaż krat w oknach, instalację monitoringu lub zlecenie ochrony.
Prowadzący działalność powinien zadbać o bezpieczeństwo teleinformatyczne, czyli:
- zobowiązać korzystających z komputerów do wprowadzenia unikatowych haseł i ich okresowej zmiany,
- wykonywać kopie zapasowe,
- aktualizować oprogramowanie,
- korzystać z oprogramowania antywirusowego
Pracownik może przetwarzać dane osobowe:
- gdy ma pisemne upoważnienie do ich przetwarzania;
- gdy jest umieszczony w Ewidencji Osób Upoważnionych do przetwarzania danych;
- tylko w celu i zakresie wskazanym w upoważnieniu;
- przez okres, na jaki upoważnienie zostało udzielone.
Pracownicy upoważnieni do przetwarzania danych osobowych są zobligowani do ochrony danych w trakcie zatrudnienia, jak i po jego ustaniu. Takie same zasady stosuje się do osób współpracujących.
Autor jest radcą prawnym
Sprawdzi inspektor
Każdy powinien się liczyć z kontrolą GIODO, który ma prawo:
1) wstępu w godzinach od 6 do 22 za okazaniem imiennego upoważnienia i legitymacji służbowej do pomieszczenia, w którym zlokalizowany jest zbiór danych, oraz pomieszczenia, w którym przetwarzane są dane poza zbiorem danych, i przeprowadzenia niezbędnych badań lub innych czynności kontrolnych w celu oceny zgodności przetwarzania danych z ustawą;
2) żądać złożenia pisemnych lub ustnych wyjaśnień oraz wzywać i przesłuchiwać osoby w zakresie niezbędnym do ustalenia stanu faktycznego;
3) wglądu do wszelkich dokumentów i danych mających bezpośredni związek z przedmiotem kontroli oraz sporządzania ich kopii;
4) przeprowadzania oględzin urządzeń, nośników oraz systemów służących do przetwarzania;
5) zlecać sporządzanie ekspertyz i opinii.
Kierownik kontrolowanej jednostki oraz kontrolowana osoba będąca administratorem danych osobowych są obowiązani umożliwić inspektorowi przeprowadzenie kontroli. Kontrola kończy się spisaniem protokołu i ewentualnym wydaniem decyzji administracyjnej nakazującej przywrócenie stanu zgodnego z prawem.