08 Gru

Czy instytucje przetwarzające informacje niejawne są „zwolnione z ochrony danych osobowych”?

Spotkałam się z opinią, że podmioty przetwarzające informacje niejawne są zwolnione z obowiązków wynikających z ustawy o ochronie danych osobowych. Jest to oczywiście błędne przeświadczenie, ale warto omówić jego genezę i wyjaśnić dlaczego tak nie jest. Zwłaszcza, że wiele takich podmiotów stosuję tę „zasadę zwolnienia” i nie wypełnia obowiązków wynikających z przepisów prawa.

Miejska legenda wywodzi się z art. 43. 1. ustawy: Z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych zawierających informacje niejawne. Z treści cytowanego przepisu wyraźnie wynika, że zwolnienie dotyczy tylko zbiorów danych zawierających informacje niejawne, nie dotyczy pozostałych zbiorów danych, nie oznacza także, że taki administrator danych jest zwolniony z pozostałych obowiązków wynikających z ustawy (stworzenia polityki bezpieczeństwa, instrukcji zarządzania systemami informatycznymi, upoważnienia, zobowiązania do poufności, itd.).

Warto zwrócić uwagę na wyłączenia z ustawy wynikające z przepisów o ochronie informacji niejawnych:
Jest zwolniony z obowiązku udzielenia informacji na żądanie osoby, której dane dotyczą w zakresie jej danych (celu, zakresu, źródła i daty pozyskania), jeżeli administrator danych jest zobowiązany do zachowania w tajemnicy informacji niejawnych.

Zwolnienie ze zgłaszania zbiorów danych zawierających informacje niejawne, oznacza że administrator danych musi zgłosić dane wrażliwe oraz zwykłe (zbiory zwykłe można też wpisać do rejestru ABI), które nie zawierają informacji niejawnych. W szczególności zgłoszeniu podlegają:

  • dane zbierane w ramach monitoringu wizyjnego
  • dane zbierane przez bibliotekę (jeżeli są przetwarzane w systemie bibliotecznym)
  • dane przetwarzane w ramach zamówień publicznych (dane wrażliwe)

miniSpodobał Ci się ten wpis?

Masz jeszcze jakieś pytania? A może potrzebujesz pomocy przy danych osobowych? Pomogłam już wielu, pomogę i Tobie!

Napisz do mnie