Strona główna Serwis prasowy GIODO w mediach Artykuły o działalności GIODO
Artykuły o działalności GIODO

Jak chronić dane w gminie

Podmiot udostępniający: Zespół Rzecznika Prasowego Biura GIODO
Wytworzył informację: Gazeta Prawna2007-10-18
Wprowadził informację: Robert Czapski2006-10-31 12:41:31
Ostatnio modyfikował: Robert Czapski 2013-11-28 12:56:59

Jak powinna wyglądać ochrona danych osobowych w urzędach gminy i jakie zasady obowiązują przy ochronie tych danych? Jaki środki bezpieczeństwa powinny zastosować urzędy gminy, aby skutecznie chronić posiadane i przetwarzane przez siebie dane osobowe?

Gminy w ramach realizacji swoich zadań gromadzą ogromne zasoby danych osobowych. Wystarczy przejrzeć prowadzony przeze mnie rejestr zbiorów danych, by zobaczyć jak dużą ilością różnorodnych danych dysponują. Dlatego szczególnie istotne jest właściwe ich zabezpieczenie.

Wymagania w tym zakresie nie odbiegają od zasad określonych dla innych podmiotów. Wyznaczają je przepisy ustawy o ochronie danych osobowych, a w szczególności jej art. 36 - 39 oraz rozporządzenia w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Nakładają one na gminy jako administratorów danych szereg obowiązków, w tym zastosowania środków technicznych i organizacyjnych zapewniających ochronę danym osobowym. Te środki powinny być adekwatne do stopnia zagrożenia oraz kategorii danych, aby zabezpieczały dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem, zmianą, utratą, uszkodzeniem lub zniszczeniem.

Zastosowane środki muszą być opisane w prowadzonej przez gminę dokumentacji, na którą składa się w szczególności polityka bezpieczeństwa oraz instrukcja zarządzania systemem informatycznym. Wymagania, co do zawartości tych dokumentów wskazane są w wymienionym już rozporządzeniu. Należy jednak pamiętać o zapoznaniu pracowników z ich obowiązkami wynikającymi z tych dokumentów, gdyż w przeciwnym razie będą to tylko martwe procedury.

Obowiązkiem gminy jest również konieczność wyznaczenia administratora bezpieczeństwa informacji, który powinien czuwać nad całokształtem spraw związanych z bezpieczeństwem danych i nadzorować systematycznie proces przetwarzania danych.

Z przepisów ustawy wynika także konieczność zapewnienia kontroli nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane. Sposób sprawowania takiej kontroli określa gmina, uwzględniając przede wszystkim podjęte środki organizacyjne.

Kolejnym obowiązkiem jest wydanie wszystkim osobom uczestniczącym w procesie przetwarzania danych upoważnień, w których należy wskazać: komu i na jaki okres zostało wydane, a przede wszystkim do jakiego zbioru dana osoba ma dostęp i w jakim zakresie z danych może korzystać. Te upoważnienia powinny zostać ewidencjonowane. Ewidencja taka musi zawierać: imię nazwisko osoby upoważnionej, datę nadania i ustania upoważnienia, jego zakres oraz identyfikator, gdy dane są przetwarzane w systemie informatycznym.

Sposób wykonania tych przepisów oceniamy w trakcie kontroli. Z ustaleń kontroli wynika, że błędami najczęściej popełnianymi przez gminy jest brak wymaganej dokumentacji, np. polityki bezpieczeństwa; brak mechanizmów kontroli dostępu do danych; nie zapewnianie przez systemy informatyczne odnotowania daty wprowadzenia danych do systemu, brak identyfikatora użytkownika; nieprawidłowe prowadzenie ewidencji osób upoważnionych. Kontrole wykazują też, że wbrew takiemu obowiązkowi nie są zgłaszane zbiory danych do rejestracji.

Gazeta Prawna (tygodnik prawa administracyjnego), 18 października 2006 roku.


TS v1109.