Strona główna
  Aktualności  
  Komunikaty Izby  
  Materiały i Publikacje  
  Akty prawne  
  Seminaria i Konferencje  
 
Materiały i Publikacje

"Formalno - administracyjne wymogi działalności brokerskiej"
Grażyna Pałyska, biegły rewident, Członek Zarządu Stowarzyszenia ISACA

KONSPEKT

Ustawa o ochronie danych osobowych

  • Zasady ogólne - powszechność stosowania, zastosowanie
    • do wszystkich jednostek,
    • do większości informacji,
    • do każdej czynności,
    • Definicja zbioru danych
  • Zakaz przetwarzania wrażliwych danych osobowych - możliwości wyłączeń
  • Procedury prawno - organizacyjne:
    • obowiązek zgłoszenia
    • polityka bezpieczeństwa
    • administrator danych osobowych
  • Obowiązek zapewnienia poufności zbiorów danych:
    • bezpieczeństwo fizyczne,
    • bezpieczeństwo organizacyjne,
    • bezpieczeństwo technologiczne.
  • Dane osobowe przesyłane za granicę. Instytucja Generalnego Inspektora
  • Ochrony Danych Osobowych.
  • Restrykcyjność ustawy:
    • dla jednostek - możliwość sparaliżowania działalności, konfiskaty sprzętu,
    • dla Zarządu - odniesienia do Kodeksu Karnego.
  • Ustawa o rachunkowości, odpowiedzialność Zarządu związana z poufnością danych.

STRESZCZENIE

Zagadnienia poufności informacji wydają się być problemami technicznymi służb informatycznych. Celem niniejszej prezentacji jest próba przekonania przedstawicieli firm brokerskich - jak bardzo się mylą.

  • I.Uchwalona w 1997 roku ustawa o ochronie danych osobowych, zaskoczyła wszystkich swoją powszechnością i restrykcyjnością.
    1. Ustawę stosuje się nie tylko do organów państwowych i samorządu terytorialnego, ale także do osób fizycznych i prawnych , które przetwarzają dane w związku z działalnością zarobkową, zawodową lub do realizacji celów statutowych ( art.3) W rozumieniu tej ustawy, za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej ( art.6), a przez przetwarzanie danych osobowych rozumie się jakiekolwiek operacje wykonywane na danych osobowych. Do operacji takich należą: zbieranie, utrwalanie , udostępnianie, przechowywanie, opracowywanie, zmienianie (art.7). Ustawa reguluje przetwarzanie danych w formie zbiorów, przy czym należy pamiętać, iż zbiorem danych jest każdy zestaw danych posiadający strukturę, dostępny według określonych kryteriów, np. według alfabetu. Nie ma tu znaczenia forma zbioru ani nośnik danych.
    2. Mocą ustawy zabrania się przetwarzania danych osobowych dotyczących m.inn. pochodzenia rasowego, poglądów politycznych, stanu zdrowia, nałogów czy życia seksualnego (art.27), jest to możliwe tylko i wyłącznie po wyrażeniu pisemnej zgody przez osobę, której to dotyczy.
    3. Administratorem danych osobowych jest organ, instytucja, podmiot lub osoba decydujące o celach i środkach przetwarzania. Definicja ta obejmuje także wszystkich Kierowników jednostek, czyli np. Zarządy spółek kapitałowych. Administrator danych jest obowiązany zgłosić zbiór danych do rejestracji Generalnemu Inspektorowi (art.40), w niektórych wypadkach administrator jest zwolniony z tego obowiązku.
    4. Administrator danych jest zobowiązany do zastosowania środków technicznych i organizacyjnych zapewniających ochronę przed udostępnieniem , zabraniem, rozpowszechnianiem przez osoby nieupoważnione a także przed utratą, uszkodzeniem lub zniszczeniem danych (art. 36 - 39) Jednym z podstawowych procedur w tym zakresie jest opracowanie i stosowanie - Polityki Bezpieczeństwa. Ogromne znaczenie mają tu szkolenia pracowników przetwarzających dane.
    5. Dane osobowe można przesyłać za granicę tylko w przypadku gdy kraj docelowy daje gwarancje ochrony danych przynajmniej takie, jakie obowiązują w Polsce, lub po uzyskaniu zezwolenia od Generalnego Inspektora (art.47).
    6. Generalny Inspektor Ochrony Danych Osobowych - mianowany przez Sejm RP, poprzez swoich pracowników ma uprawnienia do kontrolowania wszystkich osób i jednostek objętych ustawą.
    7. W razie stwierdzenia naruszenia przepisów ustawy, Generalny Inspektor może nakazać (w trybie kodeksu postępowania administracyjnego), usunięcie uchybień, zastosowanie dodatkowych środków zabezpieczających lub zabezpieczenie danych (konfiskata sprzętu) a nawet usunięcie danych osobowych (art.18). Generalny Inspektor ma obowiązek, w uzasadnionych przypadkach, powiadomienia organów ścigania o popełnieniu przestępstwa (art.19). Kto, zaś, administrując zbiorem danych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, pozwala na uszkodzenie lub zniszczenie danych, podlega karze grzywny, ograniczenia wolności lub pozbawienia wolności do lat 2. (art.49-54)
    II.Zgodnie z ustawą o rachunkowości, za przestrzeganie postanowień ustawy odpowiada Kierownik jednostki (art.4), w tym także za zapewnienie rozwiązań programowych i organizacyjnych chroniących przed nieupoważnionym dostępem lub zniszczeniem.

Całą dokumentację jednostki należy przechowywać w sposób należyty i chronić przed niedozwolonymi zmianami, nieupoważnionym rozpowszechnianiem, uszkodzeniem lub zniszczeniem (art.71).

Grażyna Pałyska
biegły rewident
członek Zarządu ISACA - Stowarzyszenia do spraw audytu i kontroli systemów informatycznych.
członek Komitetu Założycielskiego ISSA Polska - Stowarzyszenia do spraw bezpieczeństwa informacji.
grazyna.palyska@interia.pl

 

O Izbie   Statut   Władze   Członkowie   Kontakt