Newsletter
 
 
united kingdom
ukraine
poland
Prawo.pl
  1. Akty Prawne
  2. Dziennik Ustaw
  3. Dz.U.2004.100.1024

Dokumentacja przetwarzania danych osobowych oraz warunki techniczne i organizacyjne, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.

ROZPORZĄDZENIE
MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI1)
z dnia 29 kwietnia 2004 r.
w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych

Na podstawie art. 39a ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 i Nr 153, poz. 1271 oraz z 2004 r. Nr 25, poz. 219 i Nr 33, poz. 285) zarządza się, co następuje:
§  1.
Rozporządzenie określa:
1)
sposób prowadzenia i zakres dokumentacji opisującej sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną;
2)
podstawowe warunki techniczne i organizacyjne, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych;
3)
wymagania w zakresie odnotowywania udostępniania danych osobowych i bezpieczeństwa przetwarzania danych osobowych.
§  2.
Ilekroć w rozporządzeniu jest mowa o:
1)
ustawie - rozumie się przez to ustawę z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, zwaną dalej "ustawą";
2)
identyfikatorze użytkownika - rozumie się przez to ciąg znaków literowych, cyfrowych lub innych jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym;
3)
haśle - rozumie się przez to ciąg znaków literowych, cyfrowych lub innych, znany jedynie osobie uprawnionej do pracy w systemie informatycznym;
4)
sieci telekomunikacyjnej - rozumie się przez to sieć telekomunikacyjną w rozumieniu art. 2 pkt 23 ustawy z dnia 21 lipca 2000 r. - Prawo telekomunikacyjne (Dz. U. Nr 73, poz. 852, z późn. zm.2))
5)
sieci publicznej - rozumie się przez to sieć publiczną w rozumieniu art. 2 pkt 22 ustawy z dnia 21 lipca 2000 r. - Prawo telekomunikacyjne;
6)
teletransmisji - rozumie się przez to przesyłanie informacji za pośrednictwem sieci telekomunikacyjnej;
7)
rozliczalności - rozumie się przez to właściwość zapewniającą, że działania podmiotu mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi;
8)
integralności danych - rozumie się przez to właściwość zapewniającą, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany;
9)
raporcie - rozumie się przez to przygotowane przez system informatyczny zestawienia zakresu i treści przetwarzanych danych;
10)
poufności danych - rozumie się przez to właściwość zapewniającą, że dane nie są udostępniane nieupoważnionym podmiotom;
11)
uwierzytelnianiu - rozumie się przez to działanie, którego celem jest weryfikacja deklarowanej tożsamości podmiotu.
§  3.
1.
Na dokumentację, o której mowa w § 1 pkt 1, składa się polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, zwana dalej "instrukcją".
2.
Dokumentację, o której mowa w § 1 pkt 1, prowadzi się w formie pisemnej.
3.
Dokumentację, o której mowa w § 1 pkt 1, wdraża administrator danych.
§  4.
Polityka bezpieczeństwa, o której mowa w § 3 ust. 1, zawiera w szczególności:
1)
wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe;
2)
wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych;
3)
opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi;
4)
sposób przepływu danych pomiędzy poszczególnymi systemami;
5)
określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.
§  5.
Instrukcja, o której mowa w § 3 ust. 1, zawiera w szczególności:
1)
procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności;
2)
stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem;
3)
procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu;
4)
procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania;
5)
sposób, miejsce i okres przechowywania:
a)
elektronicznych nośników informacji zawierających dane osobowe,
b)
kopii zapasowych, o których mowa w pkt 4,
6)
sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, o którym mowa w pkt III ppkt 1 załącznika do rozporządzenia;
7)
sposób realizacji wymogów, o których mowa w § 7 ust. 1 pkt 4;
8)
procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.
§  6.
1.
Uwzględniając kategorie przetwarzanych danych oraz zagrożenia wprowadza się poziomy bezpieczeństwa przetwarzania danych osobowych w systemie informatycznym:
1)
podstawowy;
2)
podwyższony;
3)
wysoki.
2.
Poziom co najmniej podstawowy stosuje się, gdy:
1)
w systemie informatycznym nie są przetwarzane dane, o których mowa w art. 27 ustawy, oraz
2)
żadne z urządzeń systemu informatycznego, służącego do przetwarzania danych osobowych nie jest połączone z siecią publiczną.
3.
Poziom co najmniej podwyższony stosuje się, gdy:
1)
w systemie informatycznym przetwarzane są dane osobowe, o których mowa w art. 27 ustawy, oraz
2)
żadne z urządzeń systemu informatycznego, służącego do przetwarzania danych osobowych nie jest połączone z siecią publiczną.
4.
Poziom wysoki stosuje się, gdy przynajmniej jedno urządzenie systemu informatycznego, służącego do przetwarzania danych osobowych, połączone jest z siecią publiczną.
5.
Opis środków bezpieczeństwa stosowany na poziomach, o których mowa w ust. 1, określa załącznik do rozporządzenia.
§  7.
1.
Dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym - z wyjątkiem systemów służących do przetwarzania danych osobowych ograniczonych wyłącznie do edycji tekstu w celu udostępnienia go na piśmie - system ten zapewnia odnotowanie:
1)
daty pierwszego wprowadzenia danych do systemu;
2)
identyfikatora użytkownika wprowadzającego dane osobowe do systemu, chyba że dostęp do systemu informatycznego i przetwarzanych w nim danych posiada wyłącznie jedna osoba;
3)
źródła danych, w przypadku zbierania danych, nie od osoby, której one dotyczą;
4)
informacji o odbiorcach, w rozumieniu art. 7 pkt 6 ustawy, którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia, chyba że system informatyczny używany jest do przetwarzania danych zawartych w zbiorach jawnych;
5)
sprzeciwu, o którym mowa w art. 32 ust. 1 pkt 8 ustawy.
2.
Odnotowanie informacji, o których mowa w ust. 1 pkt 1 i 2, następuje automatycznie po zatwierdzeniu przez użytkownika operacji wprowadzenia danych.
3.
Dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym, system zapewnia sporządzenie i wydrukowanie raportu zawierającego w powszechnie zrozumiałej formie informacje, o których mowa w ust. 1.
4.
W przypadku przetwarzania danych osobowych, w co najmniej dwóch systemach informatycznych, wymagania, o których mowa w ust. 1 pkt 4, mogą być realizowane w jednym z nich lub w odrębnym systemie informatycznym przeznaczonym do tego celu.
§  8.
System informatyczny służący do przetwarzania danych, który został dopuszczony przez właściwą służbę ochrony państwa do przetwarzania informacji niejawnych, po uzyskaniu certyfikatu wydanego na podstawie przepisów ustawy z dnia 22 stycznia 1999 r. o ochronie informacji niejawnych (Dz. U. Nr 11, poz. 95, z późn. zm.3)) spełnia wymogi niniejszego rozporządzenia pod względem bezpieczeństwa na poziomie wysokim.
§  9.
Administrator przetwarzanych w dniu wejścia w życie niniejszego rozporządzenia danych osobowych jest obowiązany dostosować systemy informatyczne służące do przetwarzania tych danych do wymogów określonych w § 7 oraz w załączniku do rozporządzenia w terminie 6 miesięcy od dnia wejścia w życie niniejszego rozporządzenia.
§  10.
Rozporządzenie wchodzi w życie z dniem uzyskania przez Rzeczpospolitą Polską członkostwa w Unii Europejskiej4).
______

1) Minister Spraw Wewnętrznych i Administracji kieruje działem administracji rządowej - administracja publiczna, na podstawie § 1 ust. 2 pkt 1 rozporządzenia Prezesa Rady Ministrów z dnia 14 marca 2002 r. w sprawie szczegółowego zakresu działania Ministra Spraw Wewnętrznych i Administracji (Dz. U. Nr 35, poz. 325 i Nr 58, poz. 533).

2) Zmiany wymienionej ustawy zostały ogłoszone w Dz. U. z 2001 r. Nr 122, poz. 1321 i Nr 154, poz. 1800 i 1802, z 2002 r. Nr 25, poz. 253, Nr 74, poz. 676 i Nr 166, poz. 1360 oraz z 2003 r. Nr 50, poz. 424, Nr 113, poz. 1070, Nr 130, poz. 1188 i Nr 170, poz. 1652.

3) Zmiany wymienionej ustawy zostały ogłoszone w Dz. U. z 2000 r. Nr 12, poz. 136 i Nr 39, poz. 462, z 2001 r. Nr 22, poz. 247, Nr 27, poz. 298, Nr 56, poz. 580, Nr 110, poz. 1189, Nr 123, poz. 1353, Nr 154 poz. 1800, z 2002 r. Nr 74, poz. 676, Nr 89, poz. 804 i Nr 153, poz. 1271, z 2003 r. Nr 17, poz. 155 oraz z 2004 r. Nr 29, poz. 257.

4) Niniejsze rozporządzenie było poprzedzone rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 3 czerwca 1998 r. w sprawie określenia podstawowych warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 80, poz. 521 oraz z 2001 r. Nr 121, poz. 1306), które utraci moc z dniem wejścia w życie ustawy z dnia 22 stycznia 2004 r. o zmianie ustawy o ochronie danych osobowych oraz ustawy o wynagrodzeniu osób zajmujących kierownicze stanowiska państwowe (Dz. U. Nr 33, poz. 285).

ZAŁĄCZNIK

A.

Środki bezpieczeństwa na poziomie podstawowym

I

1. Obszar, o którym mowa w § 4 pkt 1 rozporządzenia, zabezpiecza się przed dostępem osób nieuprawnionych na czas nieobecności w nim osób upoważnionych do przetwarzania danych osobowych.

2. Przebywanie osób nieuprawnionych w obszarze, o którym mowa w § 4 pkt 1 rozporządzenia, jest dopuszczalne za zgodą administratora danych lub w obecności osoby upoważnionej do przetwarzania danych osobowych.

II

1. W systemie informatycznym służącym do przetwarzania danych osobowych stosuje się mechanizmy kontroli dostępu do tych danych.

2. Jeżeli dostęp do danych przetwarzanych w systemie informatycznym posiadają co najmniej dwie osoby, wówczas zapewnia się, aby:

a) w systemie tym rejestrowany był dla każdego użytkownika odrębny identyfikator;

b) dostęp do danych był możliwy wyłącznie po wprowadzeniu identyfikatora i dokonaniu uwierzytelnienia.

III

System informatyczny służący do przetwarzania danych osobowych zabezpiecza się, w szczególności przed:

1) działaniem oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego;

2) utratą danych spowodowaną awarią zasilania lub zakłóceniami w sieci zasilającej.

IV

1. Identyfikator użytkownika, który utracił uprawnienia do przetwarzania danych, nie może być przydzielony innej osobie.

2. W przypadku gdy do uwierzytelniania użytkowników używa się hasła, jego zmiana następuje nie rzadziej niż co 30 dni. Hasło składa się co najmniej z 6 znaków.

3. Dane osobowe przetwarzane w systemie informatycznym zabezpiecza się przez wykonywanie kopii zapasowych zbiorów danych oraz programów służących do przetwarzania danych.

4. Kopie zapasowe:

a) przechowuje się w miejscach zabezpieczających je przed nieuprawnionym przejęciem, modyfikacją, uszkodzeniem lub zniszczeniem;

b) usuwa się niezwłocznie po ustaniu ich użyteczności.

V

Osoba użytkująca komputer przenośny zawierający dane osobowe zachowuje szczególną ostrożność podczas jego transportu, przechowywania i użytkowania poza obszarem, o którym mowa w § 4 pkt 1 rozporządzenia, w tym stosuje środki ochrony kryptograficznej wobec przetwarzanych danych osobowych.

VI

Urządzenia, dyski lub inne elektroniczne nośniki informacji, zawierające dane osobowe, przeznaczone do:

1) likwidacji - pozbawia się wcześniej zapisu tych danych, a w przypadku gdy nie jest to możliwe, uszkadza się w sposób uniemożliwiający ich odczytanie;

2) przekazania podmiotowi nieuprawnionemu do przetwarzania danych - pozbawia się wcześniej zapisu tych danych, w sposób uniemożliwiający ich odzyskanie;

3) naprawy - pozbawia się wcześniej zapisu tych danych w sposób uniemożliwiający ich odzyskanie albo naprawia się je pod nadzorem osoby upoważnionej przez administratora danych.

VII

Administrator danych monitoruje wdrożone zabezpieczenia systemu informatycznego.

B.

Środki bezpieczeństwa na poziomie podwyższonym

VIII

W przypadku gdy do uwierzytelniania użytkowników używa się hasła, składa się ono co najmniej z 8 znaków, zawiera małe i wielkie litery oraz cyfry lub znaki specjalne.

IX

Urządzenia i nośniki zawierające dane osobowe, o których mowa w art. 27 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, przekazywane poza obszar, o którym mowa w § 4 pkt 1 rozporządzenia, zabezpiecza się w sposób zapewniający poufność i integralność tych danych.

X

Instrukcja zarządzania systemem informatycznym, o której mowa w § 5 rozporządzenia, rozszerza się o sposób stosowania środków, o których mowa w pkt IX załącznika.

XI

Administrator danych stosuje na poziomie podwyższonym środki bezpieczeństwa określone w części A załącznika, o ile zasady zawarte w części B nie stanowią inaczej.

C.

Środki bezpieczeństwa na poziomie wysokim

XII

1. System informatyczny służący do przetwarzania danych osobowych chroni się przed zagrożeniami pochodzącymi z sieci publicznej poprzez wdrożenie fizycznych lub logicznych zabezpieczeń chroniących przed nieuprawnionym dostępem.

2. W przypadku zastosowania logicznych zabezpieczeń, o których mowa w ust. 1, obejmują one:

a) kontrolę przepływu informacji pomiędzy systemem informatycznym administratora danych a siecią publiczną;

b) kontrolę działań inicjowanych z sieci publicznej i systemu informatycznego administratora danych.

XIII

Administrator danych stosuje środki kryptograficznej ochrony wobec danych wykorzystywanych do uwierzytelnienia, które są przesyłane w sieci publicznej.

XIV

Administrator danych stosuje na poziomie wysokim środki bezpieczeństwa, określone w części A i B załącznika, o ile zasady zawarte w części C nie stanowią inaczej.

Zmiany w prawie

Rząd nie dołoży gminom pieniędzy na obsługę wygaszanego dodatku osłonowego
Rząd nie dołoży gminom pieniędzy na obsługę wygaszanego dodatku osłonowego

Na obsługę dodatku osłonowego samorządy dostają 2 proc. łącznej kwoty dotacji wypłaconej gminie. Rząd nie zwiększy wsparcia uzasadniając, że koszt został odpowiednio skalkulowany – wyjaśnia Ministerstwo Klimatu i Środowiska. Ponadto dodatek osłonowy jest wygaszany i gminy kończą realizację tego zdania.

Robert Horbaczewski 23.05.2024
Będą dodatki dla zawodowych rodzin zastępczych i dla pracowników pomocy społecznej
Będą dodatki dla zawodowych rodzin zastępczych i dla pracowników pomocy społecznej

Od 1 lipca 2024 roku zawodowe rodziny zastępcze oraz osoby prowadzące rodzinne domy dziecka mają dostawać dodatki do miesięcznych wynagrodzeń w wysokości 1000 zł brutto. Dodatki w tej samej wysokości będą też wypłacane - od 1 lipca 2024 r. - pracownikom pomocy społecznej. W środę, 15 maja, prezydent Andrzej Duda podpisał obie ustawy.

Grażyna J. Leśniak 16.05.2024
Powstańcy nie zapłacą podatku dochodowego od nagród
Powstańcy nie zapłacą podatku dochodowego od nagród

Minister finansów zaniecha poboru podatku dochodowego od nagród przyznawanych w 2024 roku powstańcom warszawskim oraz ich małżonkom. Zgodnie z przygotowanym przez resort projektem rozporządzenia, zwolnienie będzie dotyczyło nagród przyznawanych przez radę miasta Warszawy od 1 stycznia do końca grudnia tego roku.

Monika Pogroszewska 06.05.2024
Rząd chce zmieniać obowiązujące regulacje dotyczące czynników rakotwórczych i mutagenów
Rząd chce zmieniać obowiązujące regulacje dotyczące czynników rakotwórczych i mutagenów

Rząd przyjął we wtorek projekt zmian w Kodeksie pracy, którego celem jest nowelizacja art. 222, by dostosować polskie prawo do przepisów unijnych. Chodzi o dodanie czynników reprotoksycznych do obecnie obwiązujących regulacji dotyczących czynników rakotwórczych i mutagenów. Nowela upoważnienia ustawowego pozwoli na zmianę wydanego na jej podstawie rozporządzenia Ministra Zdrowia w sprawie substancji chemicznych, ich mieszanin, czynników lub procesów technologicznych o działaniu rakotwórczym lub mutagennym w środowisku pracy.

Grażyna J. Leśniak 16.04.2024
Bez kary za brak lekarza w karetce do końca tego roku
Bez kary za brak lekarza w karetce do końca tego roku

W ponad połowie specjalistycznych Zespołów Ratownictwa Medycznego brakuje lekarzy. Ministerstwo Zdrowia wydłuża więc po raz kolejny czas, kiedy Narodowy Fundusz Zdrowia nie będzie pobierał kar umownych w przypadku niezapewnienia lekarza w zespołach ratownictwa. Pierwotnie termin wyznaczony był na koniec czerwca tego roku.

Beata Dązbłaż 10.04.2024
Będzie zmiana ustawy o rzemiośle zgodna z oczekiwaniami środowiska
Będzie zmiana ustawy o rzemiośle zgodna z oczekiwaniami środowiska

Rozszerzenie katalogu prawnie dopuszczalnej formy prowadzenia działalności gospodarczej w zakresie rzemiosła, zmiana definicji rzemiosła, dopuszczenie wykorzystywania przez przedsiębiorców, niezależnie od formy prowadzenia przez nich działalności, wszystkich kwalifikacji zawodowych w rzemiośle, wymienionych w ustawie - to tylko niektóre zmiany w ustawie o rzemiośle, jakie zamierza wprowadzić Ministerstwo Rozwoju i Technologii.

Grażyna J. Leśniak 08.04.2024
Metryka aktu
Identyfikator:

Dz.U.2004.100.1024
Rodzaj: Rozporządzenie
Tytuł: Dokumentacja przetwarzania danych osobowych oraz warunki techniczne i organizacyjne, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.
Data aktu: 29/04/2004
Data ogłoszenia: 01/05/2004
Data wejścia w życie: 01/05/2004