Jeśli nie chcesz mojej zguby, o komputer nie proś luby

Na prośbę autora usunąłem opublikowany właśnie artykuł, gdyż - jak się okazało - Rzeczpospolita zdecydowałą się go opublikować właśnie tego samego dnia, nie informując autora wcześniej o tym, że tekst został przyjęty do druku i kiedy będzie opublikowany. Cóż. Wychodząc na przeciw prośbie autora pozostaje zrobić meta tekst. W każdym razie chodzi o zapewnienie obsługi administracyjnoprawnej i warunków techniczno-materialnych pracy obwodowych komisji wyborczych.

Tekst Witolda Rygiela (w nieco skróconej wersji) został opublikowany w Rzeczpospolitej pt. Administrator odpowiada za bezpieczeństwo.

W nadesłanej do mnie wersji można było przeczytać: "Burmistrz miasta W., ustawowo zobowiązany do zapewnienia obsługi administracyjnej i warunków techniczno-materialnych pracy obwodowych komisji wyborczych, zorganizował spotkanie z dyrektorami lokalnych "jednostek sprawujących trwały zarząd nieruchomości państwowych i komunalnych" poświęcone problematyce udostępnienia pomieszczeń na siedziby lokali wyborczych. W czasie spotkania zwrócono się do dyrektorów szkół i przedszkoli miasta W. z apelem o udostępnienie członkom komisji wyborczych komputerów należących do poszczególnych jednostek oświatowych".

W Rzeczpospolitej podsumowanie: "Zanim jednak dyrektorzy jednostek oświatowych zdecydują się na powierzenie sprzętu dla potrzeb zbliżających się wyborów, powinni wnikliwie ocenić, czy nie będzie to kolidowało z przepisami ustawy z 29 sierpnia 1977 r. o ochronie danych osobowych (DzU z 2002 r. nr 101, poz. 926 ze zm. - dalej: uodo) i rozporządzenia ministra spraw wewnętrznych i administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (DzU nr 100, poz. 1024). Administrator danych osobowych (ADO) - tutaj: szkoła lub przedszkole - na podstawie art. 36 ust. 1 uodo "jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem""

Witold Rygiel wymienia (w oryginalnym tekście, który tu był niedawno w całości opublikowany)

Administrator danych osobowych (ADO) - w tym przypadku szkoła lub przedszkole - na podstawie art. 36 ust. 1 uodo "jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem". Analiza przepisów uodo, zawartych w jej rozdziale 5, zatytułowanym „Zabezpieczenie danych osobowych” wskazuje, że ADO winien:

• wyznaczyć administratora bezpieczeństwa informacji nadzorującego przestrzeganie zasad ochrony danych osobowych, chyba że sam wykonuje te czynności – por. art. 36 ust. 3 uodo),
• dopuścić do obsługi systemu informatycznego wyłącznie osoby, którym nadał upoważnienie do przetwarzania danych – por. art. 37 uodo,
• zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane (w opisywanym przypadku chodzi o zapewnienie bezpieczeństwa danym przetwarzanym w oprogramowaniu wykorzystywanym przez jednostkę oświatową) – por. art. 38 uodo,
• wpisać do ewidencji osób upoważnionych do przetwarzania danych: imię i nazwisko osoby upoważnionej, datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych, identyfikator, jeżeli dane są przetwarzane w systemie informatycznym – por. art. 39 ust. 1 uodo,
• pobrać od osób upoważnionych do przetwarzania danych osobowych oświadczenia o zachowaniu w tajemnicy zarówno danych, jak i stosowanych sposobów ich zabezpieczenia – por. art. 39 ust. 2 uodo.

I dalej:

Ponadto prawodawca sprecyzował i skonkretyzował warunki techniczne i organizacyjne, które spełnić winien ADO w przywołanym rozporządzeniu wykonawczym MSWiA. Warto przywołać w tym kontekście m. in. konieczność przestrzegania zasad:

• rozliczalności — rozumie się przez to właściwość zapewniającą, że działania podmiotu mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi,
• integralności danych — rozumie się przez to właściwość zapewniającą, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany,
• poufności danych — rozumie się przez to właściwość zapewniającą, że dane nie są udostępniane nieupoważnionym podmiotom.

A jeśli chodzi o ustawę:

Ustawa o ochronie danych osobowych (wybór)

Art. 51
1. Kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.

2. Jeżeli sprawca działa nieumyślnie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.

Art. 52
Kto administrując danymi narusza choćby nieumyślnie obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.