]]>

zabezpieczenia danych

Czy prowadzona przez administratora danych ewidencja osób upoważnionych do przetwarzania danych musi spełniać dodatkowe wymagania, jeśli dane są przetwarzane w systemie informatycznym?

Podmiot udostępniający: Zespół Rzecznika Prasowego Biura GIODO
Wytworzył informację: Małgorzata Kałużyńska-Jasak2010-01-08
Wprowadził informację: 2010-01-15 14:13:32

Odpowiedź

Tak, jeżeli dane przetwarzane są w systemie informatycznym, wówczas ewidencja ta powinna zawierać identyfikator użytkownika.

Uzasadnienie

Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych zobowiązuje administratora danych do prowadzenia ewidencji osób upoważnionych do przetwarzania danych osobowych. Wyjątek dotyczy jedynie administratorów będących osobami fizycznymi, którzy bez pomocy innych osób przetwarzają dane osobowe. Zgodnie z art. 39 ust.1 ww. ustawy ewidencja ta powinna zawierać:

1) imię i nazwisko osoby upoważnionej,

2) datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych,

3) identyfikator, jeżeli dane są przetwarzane w systemie informatycznym.

Są to podstawowe i konieczne dla prowadzenia ewidencji informacje, których brak stanowi przetwarzanie danych niezgodnie z zasadami ochrony danych osobowych. Jeśli dane przetwarzane są w systemie informatycznym wówczas każdy, kto ma dostęp do tych danych – osoba upoważniona przez administratora danych – powinien mieć odpowiedni identyfikator. Informacja ta powinna być zapisana w ewidencji osób upoważnionych do przetwarzania danych. Wynika to bowiem z tego, że system informatyczny, w którym przetwarzane są dane osobowe, powinien umożliwiać kontrolę dostępu do tych danych. Jeśli zatem dostęp do danych przetwarzanych w systemie informatycznym posiadają co najmniej dwie osoby, wówczas należy zapewnić, aby w systemie tym rejestrowany był dla każdego użytkownika odrębny identyfikator, a dostęp do danych był możliwy wyłącznie po wprowadzeniu identyfikatora i dokonaniu uwierzytelnienia.

Warto także zauważyć, że poza, wymaganymi przez omawianą ustawę informacjami, w ewidencji mogą być odnotowane jeszcze inne, np. stanowiska osób upoważnionych do przetwarzania danych. Zamieszczenie takiej informacji może być przydatne do ustalenia, czy prawidłowo określono zakresy upoważnienia przysługującego poszczególnym osobom.

Ponadto, przedmiotowa ewidencja ma stanowić odrębny dokument administratora danych. Natomiast osoby, które zostały upoważnione do przetwarzania danych, są obowiązane zachować w tajemnicy dane osobowe oraz sposoby ich zabezpieczenia.