BIURO

GENERALNEGO INSPEKTORA
OCHRONY DANYCH OSOBOWYCH
Departament Orzecznictwa, Legislacji i Skarg

Warszawa, dnia 18 lutego 2016 r.

DOLiS 035 2919/15/KK

Pani
E.L.
Dyrektor Poradni PsychologicznoPedagogicznej

W zwizku z Pani pismem, ktre do Biura Generalnego Inspektora Ochrony Danych Osobowych
wpyno w dniu () sierpnia 2015 r., uprzejmie dzikuj za zainteresowanie problematyk ochrony
danych osobowych, ktra uregulowana jest przepisami ustawy z dnia 29 sierpnia 1997 r. o ochronie
danych osobowych (Dz. U. z 2015 r., poz. 2135, z pn. zm., dalej: ustawa o ochronie danych
osobowych, ustawa). Wice stanowisko Generalnego Inspektora w przedmiocie zbadania, czy dane
osobowe s przetwarzane zgodnie z prawem co do zasady moe by zawarte jedynie w treci decyzji
administracyjnej po przeprowadzeniu postpowania administracyjnego, w toku ktrego zostan ustalone
wszystkie okolicznoci sprawy majce istotne znaczenie dla jej rozstrzygnicia, na podstawie stosownych
przepisw prawa.
W odpowiedzi na Pani pytanie uprzejmie informuj, i zgodnie z art. 36 ust. 1 ustawy,
administrator danych jest obowizany zastosowa rodki techniczne i organizacyjne zapewniajce
ochron przetwarzanych danych osobowych odpowiedni do zagroe oraz kategorii danych objtych
ochron, a w szczeglnoci powinien zabezpieczy dane przed ich udostpnieniem osobom
nieupowanionym, zabraniem przez osob nieuprawnion, przetwarzaniem z naruszeniem ustawy
oraz zmian, utrat, uszkodzeniem lub zniszczeniem.
W odniesieniu do zagroe zwizanych z wymian informacji poprzez sie publiczn, pkt. XII
zacznika do rozporzdzenia Ministra Spraw Wewntrznych i Administracji z dnia 29 kwietnia 2004 r.
w sprawie dokumentacji przetwarzania

danych

osobowych

oraz warunkw

technicznych

ul. Stawki 2

tel. 0-22 531 03 00

00 193 Warszawa

fax 0-22 531 03 01

www.giodo.gov.pl

i organizacyjnych, jakim powinny odpowiada urzdzenia i systemy informatyczne suce

do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024), stanowi, e administrator
danych powinien wdroy urzdzenie lub rozwizanie logiczne zapewniajce odpowiedni poziom
ochrony przed zagroeniami pochodzcymi z sieci publicznej. Rozwizania te powinny zapewni
kontrol przepywu informacji pomidzy systemem informatycznym administratora danych a sieci
publiczn. Kontrola ta moe by oparta na instalacji specjalistycznego oprogramowania, ktre analizuje
i rejestruje przepyw informacji na styku lokalnej sieci administratora danych z sieci publiczn oraz
podejmuje zaprogramowane decyzje np. w zakresie czy dan informacje przekaza do sieci lokalnej
czy te zablokowa z uwagi na zwizane z ni zagroenie. Oprogramowanie, o ktrym wspomniano
wyej, wykorzystywane do analizy tego ruchu to systemy antywirusowe, antyspamowe, firewalle, IDS-y,
IPS-y i inne, ktre naley wdroy w odpowiednich miejscach w strukturze lokalnej sieci administratora
danych. Systemy te mog by instalowane jako oddzielne, niezalene programy lub jako elementy
okrelonych pakietw sprztowo programowych stanowicych wielofunkcyjne zapory sieciowe
zintegrowane w postaci jednego urzdzenia UTM (ang. Unified Threat Management).
Urzdzenia tego typu oferuj rne funkcj, w tym gwnie: filtra antyspamowego, filtra
antywirusowego, sondy wykrywajcej i blokujcej prby wama, filtra treci stron internetowych,
routera, VPN, translatora adresw (NAT) i inne. Wrd tych innych funkcji systemu UTM mog by
np. kontrola aplikacji, kontrola sieci bezprzewodowej WiFi), czy ochrona przed wyciekiem danych
(funkcja DLP). Wymienione rozwizania, jeli zostan waciwie wdroone i bd monitorowane, s
w stanie wypeni zobowizanie administratora danych w zakresie zabezpieczenia systemu w sposb
okrelony w punkcie XII.2 zacznika do wyej wymienionego rozporzdzenia.
Na zakoczenie wskazuj, e wicej informacji na temat zasad przetwarzania danych osobowych,
w tym tre obowizujcych we wspomnianej materii aktw prawnych, jak rwnie wskazwki co do ich
stosowania w praktyce mona znale na stronie internetowej Biura Generalnego Inspektora Ochrony
Danych Osobowych, pod adresem: www.giodo.gov.pl, jak rwnie na stronie internetowej
https://edugiodo.giodo.gov.pl. W szczeglnoci polecam uwadze nowy serwis Generalnego Inspektora
ABI Informator dostpny pod adresem www.abi.giodo.gov.pl. Jest on dedykowany zagadnieniom
zwizanym z powoywaniem, statusem oraz zadaniami jakie ci na Administratorze Bezpieczestwa
Informacji, ktry ma zapewnia przestrzeganie przepisw o ochronie danych osobowych.