Odliczamy do RODO

Czy w świetle przepisów o ochronie danych osobowych system informatyczny służący do przetwarzania danych osobowych powinien zapewniać odnotowanie identyfikatora każdego użytkownika wprowadzającego dane?

Metadane
Podmiot udostępniający: Zespół Rzecznika Prasowego Biura GIODO
Wytworzył informację: Małgorzata Kałużyńska-Jasak
Wprowadził‚ informację: Rafał Kreusch 2010-02-02 13:55:48
Ostatnio modyfikował: 2013-11-28 12:56:59

Odpowiedź

Tak, gdyż taki wymów wprowadza rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i  organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.

Uzasadnienie

Wymagania, jakie powinien spełniać system informatyczny służący do przetwarzania danych osobowych zostały określone w rozporządzeniu Ministra Spraw Wewnętrznych i  Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Każdy administrator danych, który przetwarza (m.in. gromadzi, modyfikuje, udostępnia) dane osobowe w systemie informatycznym ma obowiązek dostosować go do wskazanych w rozporządzeniu wymogów. Należy bowiem pamiętać, że to administrator danych odpowiada za bezpieczeństwo przetwarzanych danych. Musi on stosować takie zabezpieczenia systemowe, aby chronić dane przed ich udostępnieniem osobom nieupoważnionym, uszkodzeniem lub zniszczeniem. Stosowanie się do wskazówek zawartych w powołanym rozporządzeniu pomaga administratorowi danych w podjęciu odpowiednich zabezpieczeń systemowych.

Jedną z tych wskazówek jest ta zawarta w § 7 ust. 1 pkt 2 ww. rozporządzenia. Określa ona, iż dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym — z wyjątkiem systemów służących do przetwarzania danych osobowych ograniczonych wyłącznie do edycji tekstu w celu udostępnienia go na piśmie — system ten powinien zapewniać odnotowanie identyfikatora użytkownika wprowadzającego dane osobowe do systemu, chyba, że dostęp do systemu informatycznego i przetwarzanych w nim danych posiada wyłącznie jedna osoba. Oznacza to, że system informatyczny, w którym przetwarzane są dane osobowe, powinien stosować mechanizmy kontroli dostępu do tych danych. Jeśli zatem dostęp do danych przetwarzanych w systemie informatycznym posiadają co najmniej dwie osoby, wówczas należy zapewnić, aby w systemie tym rejestrowany był dla każdego użytkownika odrębny identyfikator, a dostęp do danych był możliwy wyłącznie po wprowadzeniu identyfikatora i dokonaniu uwierzytelnienia.

Serwisy GIODO:

Ostatnie aktualności