ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków techni - Akty prawne - Ochrona danych osobowych - Indywidualne prawo pracy - Zarządzanie Zasobami Ludzkimi

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych

Dziennik Ustaw nr 100 z 2004 poz. 1024
zm.

Obowiązuje od: 2004-05-01

Na podstawie art. 39a ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 i Nr 153, poz. 1271 oraz z 2004 r. Nr 25, poz. 219 i Nr 33, poz. 285) zarządza się, co następuje:

§ 1. Rozporządzenie określa:

1) sposób prowadzenia i zakres dokumentacji opisującej sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną;

2) podstawowe warunki techniczne i organizacyjne, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych;

3) wymagania w zakresie odnotowywania udostępniania danych osobowych i bezpieczeństwa przetwarzania danych osobowych.

§ 2. Ilekroć w rozporządzeniu jest mowa o:

1) ustawie – rozumie się przez to ustawę z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, zwaną dalej „ustawą”;

2) identyfikatorze użytkownika – rozumie się przez to ciąg znaków literowych, cyfrowych lub innych jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym;

3) haśle – rozumie się przez to ciąg znaków literowych, cyfrowych lub innych, znany jedynie osobie uprawnionej do pracy w systemie informatycznym;

4) sieci telekomunikacyjnej – rozumie się przez to sieć telekomunikacyjną w rozumieniu art. 2 pkt 23 ustawy z dnia 21 lipca 2000 r. – Prawo telekomunikacyjne (Dz. U. Nr 73, poz. 852, z późn. zm.²⁾)

5) sieci publicznej – rozumie się przez to sieć publiczną w rozumieniu art. 2 pkt 22 ustawy z dnia 21 lipca 2000 r. – Prawo telekomunikacyjne;

6) teletransmisji – rozumie się przez to przesyłanie informacji za pośrednictwem sieci telekomunikacyjnej;

7) rozliczalności – rozumie się przez to właściwość zapewniającą, że działania podmiotu mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi;

8) integralności danych – rozumie się przez to właściwość zapewniającą, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany;

9) raporcie – rozumie się przez to przygotowane przez system informatyczny zestawienia zakresu i treści przetwarzanych danych;

10) poufności danych – rozumie się przez to właściwość zapewniającą, że dane nie są udostępniane nieupoważnionym podmiotom;

11) uwierzytelnianiu – rozumie się przez to działanie, którego celem jest weryfikacja deklarowanej tożsamości podmiotu.

§ 3. 1. Na dokumentację, o której mowa w § 1 pkt 1, składa się polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, zwana dalej „instrukcją”.

2. Dokumentację, o której mowa w § 1 pkt 1, prowadzi się w formie pisemnej.

3. Dokumentację, o której mowa w § 1 pkt 1, wdraża administrator danych.

§ 4. Polityka bezpieczeństwa, o której mowa w § 3 ust. 1, zawiera w szczególności:

1) wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe;

2) wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych;

3) opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi;

4) sposób przepływu danych pomiędzy poszczególnymi systemami;

5) określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.

§ 5. Instrukcja, o której mowa w § 3 ust. 1, zawiera w szczególności:

1) procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności;

2) stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem;

3) procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu;

4) procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania;

5) sposób, miejsce i okres przechowywania:

a) elektronicznych nośników informacji zawierających dane osobowe,

b) kopii zapasowych, o których mowa w pkt 4,

6) sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, o którym mowa w pkt III ppkt 1 załącznika do rozporządzenia;

7) sposób realizacji wymogów, o których mowa w § 7 ust. 1 pkt 4;

8) procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.

§ 6. 1. Uwzględniając kategorie przetwarzanych danych oraz zagrożenia wprowadza się poziomy bezpieczeństwa przetwarzania danych osobowych w systemie informatycznym:

1) podstawowy;

2) podwyższony;

3) wysoki.

2. Poziom co najmniej podstawowy stosuje się, gdy:

1) w systemie informatycznym nie są przetwarzane dane, o których mowa w art. 27 ustawy, oraz

2) żadne z urządzeń systemu informatycznego, służącego do przetwarzania danych osobowych nie jest połączone z siecią publiczną.

3. Poziom co najmniej podwyższony stosuje się, gdy:

1) w systemie informatycznym przetwarzane są dane osobowe, o których mowa w art. 27 ustawy, oraz

2) żadne z urządzeń systemu informatycznego, służącego do przetwarzania danych osobowych nie jest połączone z siecią publiczną.

4. Poziom wysoki stosuje się, gdy przynajmniej jedno urządzenie systemu informatycznego, służącego do przetwarzania danych osobowych, połączone jest z siecią publiczną.

5. Opis środków bezpieczeństwa stosowany na poziomach, o których mowa w ust. 1, określa załącznik do rozporządzenia.

§ 7. 1. Dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym – z wyjątkiem systemów służących do przetwarzania danych osobowych ograniczonych wyłącznie do edycji tekstu w celu udostępnienia go na piśmie – system ten zapewnia odnotowanie:

1) daty pierwszego wprowadzenia danych do systemu;

2) identyfikatora użytkownika wprowadzającego dane osobowe do systemu, chyba że dostęp do systemu informatycznego i przetwarzanych w nim danych posiada wyłącznie jedna osoba;

3) źródła danych, w przypadku zbierania danych, nie od osoby, której one dotyczą;

4) informacji o odbiorcach, w rozumieniu art. 7 pkt 6 ustawy, którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia, chyba że system informatyczny używany jest do przetwarzania danych zawartych w zbiorach jawnych;

5) sprzeciwu, o którym mowa w art. 32 ust. 1 pkt 8 ustawy.

2. Odnotowanie informacji, o których mowa w ust. 1 pkt 1 i 2, następuje automatycznie po zatwierdzeniu przez użytkownika operacji wprowadzenia danych.

3. Dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym, system zapewnia sporządzenie i wydrukowanie raportu zawierającego w powszechnie zrozumiałej formie informacje, o których mowa w ust. 1.

4. W przypadku przetwarzania danych osobowych, w co najmniej dwóch systemach informatycznych, wymagania, o których mowa w ust. 1 pkt 4, mogą być realizowane w jednym z nich lub w odrębnym systemie informatycznym przeznaczonym do tego celu.

§ 8. System informatyczny służący do przetwarzania danych, który został dopuszczony przez właściwą służbę ochrony państwa do przetwarzania informacji niejawnych, po uzyskaniu certyfikatu wydanego na podstawie przepisów ustawy z dnia 22 stycznia 1999 r. o ochronie informacji niejawnych (Dz. U. Nr 11, poz. 95, z późn. zm.³⁾) spełnia wymogi niniejszego rozporządzenia pod względem bezpieczeństwa na poziomie wysokim.

§ 9. Administrator przetwarzanych w dniu wejścia w życie niniejszego rozporządzenia danych osobowych jest obowiązany dostosować systemy informatyczne służące do przetwarzania tych danych do wymogów określonych w § 7 oraz w załączniku do rozporządzenia w terminie 6 miesięcy od dnia wejścia w życie niniejszego rozporządzenia.

§ 10. Rozporządzenie wchodzi w życie z dniem uzyskania przez Rzeczpospolitą Polską członkostwa w Unii Europejskiej⁴⁾.

Za�. 1.

Załącznik do rozporządzenia Ministra Spraw Wewnętrznych i Administracji
z dnia 29 kwietnia 2004 r. (poz. 1024)

infoRgrafika

Minister Spraw Wewnętrznych i Administracji: w z. T. Matusiak

¹⁾ Minister Spraw Wewnętrznych i Administracji kieruje działem administracji rządowej – administracja publiczna, na podstawie § 1 ust. 2 pkt 1 rozporządzenia Prezesa Rady Ministrów z dnia 14 marca 2002 r. w sprawie szczegółowego zakresu działania Ministra Spraw Wewnętrznych i Administracji (Dz. U. Nr 35, poz. 325 i Nr 58, poz. 533).

²⁾ Zmiany wymienionej ustawy zostały ogłoszone w Dz. U. z 2001 r. Nr 122, poz. 1321 i Nr 154, poz. 1800 i 1802, z 2002 r. Nr 25, poz. 253, Nr 74, poz. 676 i Nr 166, poz. 1360 oraz z 2003 r. Nr 50, poz. 424, Nr 113, poz. 1070, Nr 130, poz.1188 i Nr 170, poz. 1652.

³⁾ Zmiany wymienionej ustawy zostały ogłoszone w Dz. U. z 2000 r. Nr 12, poz. 136 i Nr 39, poz. 462, z 2001 r. Nr 22, poz. 247, Nr 27, poz. 298, Nr 56, poz. 580, Nr 110, poz. 1189, Nr 123, poz. 1353, Nr 154 poz. 1800, z 2002 r. Nr 74, poz. 676, Nr 89, poz. 804 i Nr 153, poz. 1271, z 2003 r. Nr 17, poz. 155 oraz z 2004 r. Nr 29, poz. 257.

⁴⁾ Niniejsze rozporządzenie było poprzedzone rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 3 czerwca 1998 r. w sprawie określenia podstawowych warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 80, poz. 521 oraz z 2001 r. Nr 121, poz. 1306), które utraci moc z dniem wejścia w życie ustawy z dnia 22 stycznia 2004 r. o zmianie ustawy o ochronie danych osobowych oraz ustawy o wynagrodzeniu osób zajmujących kierownicze stanowiska państwowe (Dz. U. Nr 33, poz. 285).

Najczęściej czytane 24htydzieńmiesiąc

Użytkownicy szukali

akt prawny

Infor.pl:	•Prawo •Biznes •Życie •Kalkulatory •Wskaźniki i stawki •Terminarz •Druki •Dzienniki Ustaw •Monitor Polski •Dzienniki Urzędowe •Dzienniki UE •Adresy •Newsletter •Forum
Serwisy:	Księgowość: •Podatki •ZUS i kadry •VAT i akcyza •PIT •Rachunkowość budżetowa •Ewidencja księgowa •ISK •VAT w transporcie •ISC •Nowe PKWiU ze stawkami VAT •Komentarze do zmian prawa Kadry: •Indywidualne prawo pracy •Zbiorowe prawo pracy •Inne formy zatrudnienia •Wynagrodzenia •Ubezpieczenia •HRM •BHP •Podróże służbowe •Umowy cywilnoprawne Moja Firma: •ABC zakładania firmy •Działalność gospodarcza •Spółki •Praca i ZUS •Podatki •Firma w UE •Biznes i finanse Sektor Publiczny: •Organizacja •Finanse •Zadania •Rozwój i promocja •ISKB •Pracownicy samorządowi •Nagrody jubileuszowe •ZFŚS Logistyka: •Transport •Spedycja •Magazynowanie •Zarządzanie łancuchem dostaw •Usługi kurierskie •Zarządzanie flotą •Rynek paliw •Produkty i usługi Inne •IPP24 •Student •Narzędzia •e-Książki •Market biznesowy •PITy 2011
Czasopisma:	dla księgowych: •Monitor Księgowego •Biuletyn VAT •Biblioteka Księgowego •Biuletyn Głównego Księgowego •Biuletyn Skarbowy Ministerstwa Finansów •Serwis Finansowo Księgowy dla kadr: •Monitor Prawa Pracy i Ubezpieczeń •Serwis Prawno-Pracowniczy •Sposób na płace •Personel i Zarządzanie dla sfery budżetowej: •Gazeta Samorządu i Administracji •Rachunkowość budżetowa •Poradnik rachunkowości budżetowej •Poradnik Instytucji Pomocy Społecznej •Poradnik Organizacji Non-Profit •Poradnik Oświatowy •Poradnik Samorządowca dla przedsiębiorców: •Twój Biznes •Prawo spółek •Poradnik Gazety Prawnej inne: •Sekretariat •Controlling i rachunkowość zarządcza •Rozliczenia księgowe działalności leczniczej
INFOR System:	•Fakturowanie •Księga Przychodów i Rozchodów •Księga Handlowa •Deklaracje •Płace •Delegacje •Magazyn Standard •Magazyn Biznes
INFORLEX.PL	•Ekspert •Monitor Finansowy •Księgowość i Kadry •Spółdzielnia •Spółka •Firma •Księgowość •Serwis Kadrowego •Administracja •Urząd •Finanse publiczne •Zamówienia publiczne •Szkoła •Pomoc społeczna
Oferta 2012:	•Czasopisma •Wydania elektroniczne •System INFORLEX •Oprogramowanie •Serwisy internetowe •Publikacje książkowe •E-booki
Twoje Finanse:	•Kredyty gotówkowe •Kredyty samochodowe •Kredyty hipoteczne
Holding:	•Wieszjak •Gazeta Prawna •Dziennik •Forsal •Inforbook •Szkolenia •Lucrum

Sprawdź nowe przepisy.

jedyny taki na rynku! Tekst ustawy z komentarzem

Magazyn dla liderów, którzy chcą osiągać cele z zaangażowanym zespołem

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych

Oferta dla kadrowców

Niezbędnik kadrowca

Forum

Najczęściej czytane 24htydzieńmiesiąc

Użytkownicy szukali

Poradniki