Nasze serwerownie

Wymogi GIODO

Informujemy iż wszystkie świadczone przez nas usługi spełniają wymogi Ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. (tekst jednolity: Dz. U. 2002 r. Nr 101 poz. 926, ze zm.).

Fakt ten na życzenie Klienta potwierdzamy w formie oświadczenia stanowiącego załącznik do Umowy, wraz ze specyfikacją techniczną niezbędną do wypełnienia załącznika F zgłoszenia bazy danych osobowych.

W przypadku gdy konieczne jest podpisanie odrębnej Umowy zgodnie z Art. 31. 1. Ustawy  "Administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych." z przyjemnością przygotujemy niezbędny dokument dostosowany do specyfiki Usługi.

Pragniemy tu zaznaczyć, że zgodnie z Ustawą oraz wytycznymi GIODO Umowa taka musi jasno definiować:
  • granice odpowiedzialności,
  • cel przetwarzania danych (w przypadku usług hostingowych i pokrewnych jest to ograniczone do faktu utrzymywania zbioru na zasobach technicznych, lub przechowywania kopii zapasowych o ile Usługa zawiera taką opcję)
Odpowiadając na częste pytania o "certyfikat GIODO" informujemy iż GIODO nie wydaje takich certyfikatów, a jeżeli jakikolwiek podmiot powołuje się na posiadanie takowego to jest to oczywistą nieprawdą. W wydanym przez GIODO oświadczeniu czytamy:

"W związku z powoływaniem się przez niektóre podmioty na posiadanie "certyfikatu GIODO" Biuro Generalnego Inspektora Ochrony Danych Osobowych informuje, iż Generalny Inspektor Ochrony Danych Osobowych, ani żaden inny podmiot, nie wydaje certyfikatów, których posiadanie jest warunkiem legalności przetwarzania danych. Zatem ewentualne certyfikaty wydane przez inne podmioty nie mają znaczenia z punktu widzenia dopuszczalności przetwarzania danych przez posiadacza takiego dokumentu."
(źródło: http://www.giodo.gov.pl/560/id_art/2652/j/pl/)

Pragniemy także poinformować iż zgodnie z wytycznymi GIODO (zamieszczonymi poniżej) sama dzierżawa przestrzeni dyskowej, serwera w całości, lub usługi hostingowej nie jest "Powierzeniem przetwarzania danych", co nie wymaga odrębnej umowy. Zastosowanie w takim przypadku mają zapisy o tajemnicy telekomunikacyjnej zgodnie z Ustawą Prawo Telekomunikacyjne zawarte w Art 159 oraz art. 14 ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną.

Tak więc Umowa powierzenia przetwarzania danych osobowych jest przez nas zawierana w przypadku gdy z natury wykupionej usługi wynika iż w wyniku wykonywania usługi DataHouse.Pl lub jego pracownicy "posiądą wiedzę co do rodzaju danych przetwarzanych w tym systemie". Dotyczy to więc usług połączonych z usługą administracji serwerem lub aplikacją.

W przypadku pytań lub niejasności z przyjemnością nasz dział prawny udzieli niezbędnych wyjaśnień. Zachęcamy do kontaktu.

Wytyczne GIODO (źródło http://www.giodo.gov.pl/) :

"Zgodnie z art. 31 ust. 1 ustawy powierzenie przetwarzania danych osobowych musi być dokonane w formie umowy, która określi m.in. jego zakres oraz zadania i obowiązki podmiotu, któremu przetwarzanie zostaje powierzone. Nie każda zatem umowa hostingu stron internetowych może być uznana za umowę powierzenia przetwarzania danych osobowych. Z sytuacją powierzenia przetwarzania danych osobowych będziemy mieli do czynienie tylko wtedy, gdy zawarta umowa spełniać będzie wymagania określone w art. 31 ustawy. Oznacza to, że musi być ona sporządzona w formie pisemnej i wskazywać cel oraz zakres przetwarzania. Jeżeli usługa hostingu sprowadza się wyłącznie do dzierżawy miejsca na serwerze, to w zakresie przetwarzania danych powinien się znaleźć co najmniej obowiązek odpowiedniego zabezpieczenia przetwarzanych danych przed nieupoważnionymi zmianami lub zniszczeniem. Ponadto, jeżeli powierzający przetwarzanie nie wykonuje kopii zapasowej przetwarzanego zbioru danych u siebie, to obowiązek ten musi być wykonywany przez podmiot hostujący, co również powinno być zawarte w umowie.
Jeżeli podmiot udostępniający system (serwer) nie posiada wiedzy co do rodzaju danych przetwarzanych w tym systemie i nie powierzono mu danych w myśl art. 31 ustawy, to podlega on postanowieniom art. 14 ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną i jego odpowiedzialność za przetwarzane dane jest ograniczona zgodnie z art. 12-15 tej ustawy."


W związku z wieloma pytaniami i niejasnościami, bazując na zapisach ustaw, orzecznictwie oraz interpretacji urzędu GIODO pragniemy streścić odpowiedź na pytanie kiedy wymagane jest podpisanie "Umowy o powierzeniu danych osobowych".

Podpisanie umowy niezbędne jest :
W przypadku, gdy z natury świadczonej przez dostawcę usługi wynika iż posiądzie on wiedzę o zgromadzonych w systemie danych.
- Administracja bazą danych lub aplikacją służącą do przetwarzania danych.
- Administracja całym systemem operacyjnym i aplikacjami.
- Odzyskiwanie danych.
- inne o ile z zawartej umowy o świadczenie usługi wynika iż usługodawca ma wykonywać działania na danych osobowych.

Podpisanie umowy nie jest konieczne:
W przypadku, gdy dostawca dostarcza jedynie platformę sprzętową, bądź systemową, a umowa o usługi nie definiuje charakteru danych, ani nie obliguje usługodawcy do działań na nich.
- Hosting (bez administracji)
- Serwer dedykowany (bez administracji)
- Konta shellowe
- Sewer VPS (bez administracji)

Czyli umowa jest niezbędna, gdy usługodawca ma wykonywać logiczne i świadome operacje na zgromadzonym zbiorze.

Dodatkowo prosimy pamiętać, że podpisanie "Umowy powierzenia przetwarzania danych osobowych" nie zmniejsza ani odpowiedzialności , ani obowiązków "Administratora", którym zawsze z mocy Ustawy pozostaje podmiot zleceniodawca.


Poniżej przedstawiamy cytat z pytań i odpowiedzi skierowanych do urzędu GIODO bedące interpretacją urzędu.

PYTANIA I ODPOWIEDZI

Zgodnie z ustawą nie trzeba rejestrować zbiorów danych osobowych,które służą tylko do przetwarzania danych w celu wystawienia faktury. Czy zwolnienie to zwalnia również administratora danych z obowiązku zabezpieczenia danych w tym zbiorze?

Wymogi dotyczące zabezpieczenia zbiorów danych osobowych,o których mowa w art. 36 ustawy, odnoszą się do wszystkich zbiorów, w których przetwarzane są dane osobowe. Obowiązek zabezpieczenia danych nie jest uzależniony od celu przetwarzania, rodzaju podmiotu będącego administratorem, jak również przywilejów, do których m.in. należy zwolnienie administratorów danych z obowiązku rejestracji określonego typu zbiorów. Zwolnienie z obowiązku zgłoszenia zbioru danych osobowych do rejestracji, które dotyczy zbiorów wskazanych w art. 43 ust. 1 ustawy nie implikuje zwolnienia z innych obowiązków, w tym również z zabezpieczenia danych, o którym mowa w art. 36 ustawy.


Jeśli w bazie danych mam takie dane klienta, jak imię, nazwisko i adres, i użytkownik A po zalogowaniu się zobaczy jego dane (np. Jan Nowak), to czy do rejestru zdarzeń („logów”) systemu należy wpisać informację w postaci: użytkownik A o godzinie 11:11:12 dnia 23 lipca 2006 r. widział dane klienta: Jan Nowak?

Obowiązek odnotowywania informacji o tym: komu, kiedy, jakie dane i w jakim celu zostały udostępnione, zgodnie z § 7 ust. 1 pkt 4 rozporządzenia, dotyczy tylko odbiorców danych. Użytkownik systemu przeglądający dane klienta lub klientów, który zgodnie z art. 7 pkt 6 lit. b ustawy musi być osobą upoważnioną do przetwarzania danych, nie jest odbiorcą danych. Stąd też należy stwierdzić, że z ustawy nie wynika obowiązek  odnotowywania faktu zapoznania się użytkownika systemu z danymi osób, które są w nim zarejestrowane. Nie oznacza to jednak, że obowiązku takiego, w celu prowadzenia ścisłej kontroli dostępu do danych, nie mogą nakładać inne, odrębne przepisy.


Jeżeli zbiór danych znajduje się na stanowisku komputerowym wydzielonym z sieci, a jedynie proces zbierania danych osobowych odbywa się metodą teletransmisji poprzez sieć Internet, to czy konieczne jest zastosowanie wysokiego poziomu bezpieczeństwa w stosunku do komputera (sieci komputerowej) używanej wyłącznie do zbierania danych? Czy w razie zbierania danych osobowych drogą mailową konieczne jest stosowanie wysokiego poziomu zabezpieczeń?

Zgodnie z § 6 ust. 4 rozporządzenia wysoki poziom zabezpieczeń należy stosować w stosunku do komputera bądź sieci, które połączone są z siecią publiczną. Fakt zbierania danych przy użyciu poczty elektronicznej, która nie jest pocztą wewnętrzną funkcjonującą tylko w obrębie lokalnej sieci komputerowej, świadczy o tym, że sieć ta oraz podłączone do niej komputery, w tym ten, na którym odbierana jest poczta elektroniczna,połączone są z siecią publiczną. Komputer ten należy zatem zabezpieczyć na poziomie wysokim. Należy również zaznaczyć, że ankiety osobowe, które mają być przesyłane pocztą elektroniczną, powinny być zabezpieczone przed ujawnieniem osobom nieuprawnionym – poprzez zastosowanie odpowiednich środków kryptograficznych.


Jeżeli dla zbioru danych stosuje się wysoki poziom zabezpieczeń i zbieranie ich od podmiotów zewnętrznych odbywa się metodą teletransmisji poprzez sieć Internet, to czy konieczne jest zabezpieczenie procesu przesyłania danych za pomocą połączenia szyfrowanego protokołem SSL? Czy wpływ na zastosowanie tego instrumentu ma fakt przetwarzania danych wrażliwych?

Zgodnie z art. 36 ustawy administrator danych ma obowiązek zabezpieczenia danych m.in. przed ich nieuprawnionym ujawnieniem.W razie przesyłania danych metodą teletransmisji przy użyciu sieci publicznej zawsze istnieje możliwość przejęcia przesyłanych danych przez osobę nieuprawnioną. Istnieje również niebezpieczeństwo ich nieuprawnionej zmiany, uszkodzenia lub zniszczenia. Niezbędne jest zatem zastosowanie odpowiednich zabezpieczeń, które ochronią przesyłane dane. O tym, jakie środki należy zastosować, administrator danych powinien zdecydować samodzielnie. Może to być wymieniony w pytaniu protokół szyfrowania danych SSL, jak również inne środki ochrony kryptografi cznej, np. szyfrowanie przy użyciu poczty elektronicznej i klucza publicznego odbiorcy.


Jestem odpowiedzialny za stworzenie dokumentów dotyczących ustawy w firmie liczącej około 1000 pracowników. Moje pytanie dotyczy dwóch punktów, które powinny być opisane w polityce bezpieczeństwa: „Wykazu budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe” oraz „Wykazu zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych”. Czy w ww. punktach należy umieścić spis wszystkich pracowników, komputerów i pokoi, w których są wprowadzane i modyfi kowane dane osobowe, czy wystarczy tylko podać działy/piony, w których przetwarzane są dane?

Dokumentacja stanowiąca politykę bezpieczeństwa powinna zawierać w szczególności wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe, jak również wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych. Wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe należy rozumieć jako wyszczególnienie w sposób spójny i jednoznaczny miejsc, w których przetwarza się dane osobowe zarówno w zbiorach prowadzonych w postaci zwykłej (papierowej), jak i elektronicznej. Należy zauważyć, że miejscem, o którym mowa powyżej, może być zarówno obszar całego budynku lub budynków, obszar kilku wybranych pomieszczeń, jak i obszar stanowiący wydzieloną  część danego pomieszczenia. Przykładowo, gdy upoważniony podmiot realizuje przetwarzanie danych osobowych we wszystkich pomieszczeniach budynku, wówczas zawartym w polityce bezpieczeństwa wykazem obszaru przetwarzania danych może być ogólna informacja, że miejscem przetwarzania danych osobowych są wszystkie pomieszczenia znajdujące się w budynku o danym adresie. Podobnie jest, gdy proces przetwarzania danych realizowany jest w pomieszczeniach zajmujących całe piętro budynku – w wykazie można wówczas opisać wszystkie pomieszczenia znajdujące się na danym piętrze budynku o wskazanym adresie. Wskazanie w sposób ogólny miejsca przetwarzania danych – rozumianego jako pomieszczenia stanowiące cały budynek, wybraną kondygnację budynku itp. – możliwe jest tylko wówczas, gdy we wszystkich pomieszczeniach tego obszaru podmiot przetwarza dane osobowe. Wykaz zbiorów danych osobowych, wraz ze wskazaniem programów używanych do ich przetwarzania, powinien zawierać informacje o tym, jakie zbiory danych osobowych są przetwarzane przez podmiot oraz przy użyciu jakich systemów dane zawarte w tych zbiorach są przetwarzane.


Czy firma zajmująca się hostingiem stron internetowych (czyli dzierżawą miejsca na serwerze i świadczeniem usług dostępu do tych serwisów z Internetu) staje się podmiotem przetwarzającym dane w sytuacji, gdy hostowany serwis posiada w swej strukturze dane osobowe i mechanizmy je obsługujące?

Zgodnie z art. 31 ust. 1 ustawy powierzenie przetwarzania danych osobowych musi być dokonane w formie umowy, która określi m.in. jego zakres oraz zadania i obowiązki podmiotu, któremu przetwarzanie zostaje powierzone. Nie każda zatem umowa hostingu stron internetowych może być uznana za umowę powierzenia przetwarzania danych osobowych. Z sytuacją powierzenia przetwarzania danych osobowych będziemy mieli do czynienia tylko wtedy, gdy zawarta umowa spełniać będzie wymagania określone w art. 31 ustawy. Oznacza to, że musi być ona sporządzona w formie pisemnej i wskazywać cel oraz zakres przetwarzania. Jeżeli usługa hostingu sprowadza się wyłącznie do dzierżawy miejsca na serwerze, to w zakresie przetwarzania danych powinien się znaleźć co najmniej obowiązek odpowiedniego zabezpieczenia przetwarzanych danych przed nieupoważnionymi zmianami lub zniszczeniem. Ponadto, jeżeli powierzający przetwarzanie nie wykonuje kopii zapasowej przetwarzanego zbioru danych u siebie, to obowiązek ten musi być wykonywany przez podmiot hostujący, co również powinno być zawarte w umowie. Jeżeli podmiot udostępniający system (serwer) nie posiada wiedzy co do rodzaju danych przetwarzanych w tym systemie i nie powierzono mu danych w myśl art. 31 ustawy, to podlega on postanowieniom art. 14 ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną i jego odpowiedzialność za przetwarzane dane jest ograniczona zgodnie z art. 12–15 tej ustawy.

Czy administrator serwera, na którym w ramach świadczonych usług hostingowych przetwarzane są dane osobowe, staje się automatycznie administratorem tych danych?

Z art. 31 ust. 1 ustawy wynika, że administrator danych może powierzyć wykonywanie czynności obejmujących przetwarzanie danych, w tym przy użyciu systemu informatycznego, innemu podmiotowi. Może to mieć miejsce na podstawie zawartej na piśmie umowy. Podmiot, któremu powierzono przetwarzanie danych osobowych nie staje się ich administratorem, jest jednak obowiązany, przed rozpoczęciem przetwarzania, podjąć środki zabezpieczające, o których mowa w art. 36– –39 ustawy, oraz spełnić wymagania, określone w rozporządzeniu do ustawy. W zakresie przestrzegania wskazanych powyżej przepisów podmiot ten ponosi taką samą odpowiedzialność jak administrator danych. Nie zwalnia to oczywiście tego ostatniego z obowiązku sprawowania nadzoru nad przestrzeganiem przepisów ustawy przez podmiot, któremu powierzył przetwarzanie danych. Art. 31 ust. 4 ustawy mówi wyraźnie, że odpowiedzialność za przestrzeganie przepisów niniejszej ustawy spoczywa na administratorze danych, co nie wyłącza odpowiedzialności podmiotu, który zawarł umowę, za przetwarzanie danych niezgodnie z tą umową. Z przywołanych przepisów wynika, że zarówno podmiot powierzający przetwarzanie danych (administrator danych), jak i podmiot, któremu dane zostały powierzone, zobligowane są do przestrzegania przepisów dotyczących ochrony danych osobowych. Do administratora danych należy jednak wybór takiego rozwiązania informatycznego (systemu informatycznego), które spełnia wymogi zawarte w ustawie i aktach wykonawczych do niej. Wiąże się to z wyborem takiego dostawcy usług internetowych, który oferuje system informatyczny spełniający wymogi ustawy. Należy również zaznaczyć, że administrator danych zawierający umowę powierzenia przetwarzania danych osobowych z dostawcą usług internetowych ma wpływ na treść takiej umowy i jego obowiązkiem jest ujęcie w niej wszystkich aspektów dotyczących ochrony przetwarzanych danych. W umowie takiej podmiot, któremu zleca się przetwarzanie danych osobowych, powinien być poinformowany przede wszystkim o fakcie, że na jego serwerach będą przetwarzane dane osobowe i w związku z tym przyjmuje on na siebie odpowiedzialność wynikającą ze wskazanych powyżej przepisów. Może jednak zaistnieć sytuacja, w której podmiot udostępniający system (serwer) nie posiada wiedzy co do rodzaju danych przetwarzanych w tym systemie (np. w przypadku konta shell’owego). Wówczas udostępniający zasoby systemu informatycznego podlega postanowieniom art. 14 ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną i jego odpowiedzialność za przetwarzane dane jest ograniczona zgodnie z art. 12–15 tej ustawy.Reasumując, należy stwierdzić, iż rozumowanie, jakoby administrator serwera, na którym świadczone są usługi hostingu automatycznie stawał się administratorem danych osobowych, jest nieprawidłowe. Gdy mamy do czynienia z powierzeniem przetwarzania danych, w rozumieniu art. 31 ustawy, co oznacza, że podmiot udostępniający infrastrukturę informatyczną posiada wiedzę co do charakteru przetwarzanych danych, wówczas podlega jej przepisom w zakresie art. 36–39, pomimo iż nie jest administratorem danych osobowych. Natomiast jeżeli podmiot udostępniający system nie posiada wiedzy co do charakteru przetwarzanych danych, to podlega przepisom art. 12–15 ustawy o świadczeniu usług drogą elektroniczną.


Jaka jest rola i odpowiedzialność hostingodawcy w sytuacji, kiedy w ramach jego usług hostingobiorca przetwarza we własnym celu zbiór danych osobowych? Czy pojecie systemu informatycznego, o którym mowa w rozporządzeniu, i wymagania, jakie powinien on spełniać, odnoszą się wówczas tylko do tej części systemu, którą wykorzystuje hostingobiorca?

Zgodnie z art. 7 pkt 2a ustawy pod pojęciem system informatyczny należy rozumieć zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych. Należy zatem uznać, że dane osobowe, przetwarzane są zarówno w systemie informatycznym hostingobiorcy, jak i systemie informatycznym hostingodawcy. Proces teletransmisji danych zachodzący pomiędzy tymi systemami realizowany jest z wykorzystaniem teleinformatycznej infrastruktury tworzącej publiczną sieć Internet. Przez system informatyczny hostingodawcy należy rozumieć wszelkie urządzenia oraz programy umożliwiające dokonanie zapisu, odczytu, kasowania, przechowywania danych osobowych hostingobiorcy. Do systemu tego należą również urządzenia i programy zabezpieczające dane przed skutkami awarii zasilania oraz działaniem oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do danych. Zgodnie z przyjętą definicją do systemu informatycznego zalicza się również procedury zarządzania procesem przetwarzania danych (procedury nadawania uprawnień do przetwarzania danych, procedury wykonywania kopii zapasowych itp.). Ze względu na fakt, iż pomiędzy systemami informatycznymi hostingodawcy i hostingobiorcy zachodzi teletransmisja danych z wykorzystaniem infrastruktury sieci teleinformatycznej stanowiącej element sieci publicznej Internet, teletransmisja ta – jako jeden z elementów procesu przetwarzania danych – powinna zapewniać im integralność, niezaprzeczalność oraz poufność. Zapewnienie takiej teletransmisji wymaga zastosowania odpowiedniego mechanizmu szyfrowania danych, np.  bezpiecznego protokołu SSL. Ponadto obydwa współpracujące ze sobą systemy powinny być odpowiednio zabezpieczone przed zagrożeniami pochodzącymi z sieci publicznej – m.in. poprzez zastosowanie specjalistycznych urządzeń typu firewall, urządzeń służących wykrywaniu prób nieuprawnionego dostępu, programów antywirusowych, jak również opracowanie i wdrożenie odpowiednich procedur zarządzania.Analizując z informatycznego punktu widzenia problematykę hostingu, należy przyjąć że system informatyczny służący do przetwarzania danych będzie się składał z dwóch części, z których jedna będzie po stronie hostingodawcy, a druga po stronie hostingobiorcy. Szczegółowa specyfikacja poszczególnych części takiego systemu jest indywidualna dla każdego przypadku. Indywidualny jest również podział zadań w zakresie zapewnienia dla danego systemu zgodności z przepisami prawa, w tym problem zapewnienia bezpieczeństwa przetwarzania danych i wzajemnej współpracy obydwu stron.Zatem należy uznać, że zarówno hostingodawca, jak i hostingobiorca powinni dostosować swoje systemy informatyczne do warunków wymaganych w rozporządzeniu. W odniesieniu do systemu informatycznego hostingodawcy warunki, o których mowa w rozporządzeniu, musi spełniać w szczególności ta część systemu, która wykorzystywana jestprzez hostingobiorcę, który przetwarza dane osobowe. Jeżeli chodzio wzajemne relacje pomiędzy nimi, to należy zaznaczyć, że warunki odnoszące się do systemu hostingodawcy oraz środki techniczne i organizacyjne, jakie powinien on zastosować w związku z przetwarzaniemprzez hostingobiorcę danych osobowych powinny być zidentyfikowane i jednoznacznie określone w umowie pomiędzy tymi podmiotami. Stroną decydującą o tym, czy z usług danego hostingodawcy można skorzystać, czy jego system spełnia warunki, jakim powinny odpowiadać syste myużywane do przetwarzania danych osobowych jest administrator danych osobowych, który z usług takich zamierza korzystać.


Serwer bazy danych sam w sobie jest systemem informatycznym. Załóżmy, że przechowuję w nim dane osobowe, np. listę z adresami osób. Producenci takich systemów nie dostarczają wbudowanych mechanizmów do ewidencjonowania operacji na rekordach (zapisach) w poszczególnych tabelach takich, jak data wprowadzenia danych i identyfikator użytkownika, który dane wprowadził. Można zatem wnioskować, że system taki nie  spełnia wymogów prawa z zakresu danych osobowych. Jak zatem traktować zbiór danych osobowych zawarty w bazie danych, np. tabelę z listą adresów osób fi zycznych? Jak traktować sam serwer bazy danych – aplikację,która de facto staje się systemem informatycznym?

Ustawa nie precyzuje, jakie technologie informatyczne powinny być używane podczas przetwarzania danych osobowych. Obliguje jednak ich administratora do użytkowania systemów informatycznych zgodnych z jej wymogami. Dlatego też decyzja o wykorzystaniu konkretnego systemu informatycznego do przetwarzania danych osobowych powinna być determinowana zgodnością tego systemu z obowiązującymi przepisami (ustawą i  rozporządzeniem). Odnosząc się jednak do przedstawionej w pytaniu sytuacji, należy zaznaczyć, że o tym, jakie pola informacyjne wystąpią w tworzonej bazie danych zawsze decyduje użytkownik. W każdej bazie danych, w której jest możliwe utworzenie pola dla imienia i nazwiska osoby, jest również możliwe utworzenie pola dla innych wymaganych informacji – takich jak np. data wprowadzenia danych czy identyfikator użytkownika, który te dane wprowadził. W wielu bazach danych jest ponadto możliwość umieszczenia procedury, która dany wpis wykona automatycznie (np. czynności odnotowania daty utworzenia nowego wpisu, jak i nazwy użytkownika wprowadzającego ten wpis). Natomiast, jeżeli któraś z wymaganych funkcjonalności w samej bazie danych nie występuje, to bazy takiej nie można wykorzystać jako samodzielnego systemu do przetwarzania danych osobowych. Nie oznacza to jednak, że nie można jej użyć jako składnika systemu informatycznego, który w połączeniu z określonym oprogramowaniem spełni wszystkie wymagane przepisami prawa funkcjonalności.

Czy system informatyczny służący do adresowania kopert, w których wysyłane są informacje o bieżącej działalności naszej instytucji (wystawy, wykłady itp.) można uznać za system „służący do przetwarzania danych osobowych i ograniczony wyłącznie do edycji tekstu w celu udostępnienia go na piśmie”, o którym mowa w § 7rozporządzenia? Na dane osobowe przetwarzane w tym systemie składają się takie pola, jak imię i nazwisko, stanowisko, nazwa instytucji, adres i kod pocztowy. Dane te są drukowane na kopertach,które następnie wysyła się za pomocą Poczty Polskiej lub rozwozi na adresy odpowiednich instytucji. Czy jest to jedyny sposób wykorzystywania tych danych?

Zgodnie z treścią § 7 rozporządzenia spełnienie wymogów określonych w tym paragrafi e nie jest wymagane dla zbiorów danych osobowych służących do przetwarzania danych osobowych ograniczonych wyłącznie do edycji tekstu w celu udostępnienia go na piśmie. Wskazane w pytaniu cechy systemu informatycznego służącego do „przetwarzania danych osobowych w celu adresowania kopert” nie w pełni określają właściwości tego systemu. W ww. opisie nie wskazano, czy przetwarzane w tym systemie dane osobowe są niezwłocznie usuwane z tego systemu po ich wykorzystaniu (tj. po wykonaniu nadruku danych adresowych na kopertach) czy też po wydrukowaniu są w dalszym ciągu przechowywane w tym systemie. Gdyby dane osobowe przetwarzane w ww. systemie były niezwłocznie usuwane po sporządzeniu wydruku (po osiągnięciu celu dla którego zostały wprowadzone), to należy uznać, że zbiór ten służy wyłącznie do edycji tekstu w celu udostępnienia go na piśmie. Gdyby ww. warunek nie był spełniony, to należy wówczas uznać, że zbiór, o którym mowa, służy wyłącznie do edycji tekstu w celu udostępnienia go na piśmie i powinien spełniać wszystkie wymogi określone w § 7 ust. 1 rozporządzenia.