UWAGA!

Od 25 maja 2018 r. organem właściwym w zakresie ochrony danych osobowych jest Prezes Urzędu Ochrony Danych Osobowych. Nowa strona internetowa urzędu jest dostępna pod adresem: www.uodo.gov.pl.

Materiały zamieszczone na stronie Generalnego Inspektora Ochrony Danych Osobowych (GIODO) dostępnej pod adresem www.giodo.gov.pl mają charakter archiwalny.

POZOSTAŃ NA STRONIE ARCHIWALNEJ (GIODO)

Czy system teleinformatyczny, który uzyskał akredytację ABW do przetwarzania informacji niejawnych, może być wykorzystywany do przetwarzania danych osobowych?

Metadane
Podmiot udostępniający: Zespół Rzecznika Prasowego Biura GIODO
Wytworzył informację: Małgorzata Kałużyńska-Jasak 2009-11-13
Wprowadził‚ informację: Rafał Kreusch 2009-11-16 13:36:35
Ostatnio modyfikował: Rafał Kreusch 2013-11-28 12:56:59

Odpowiedź:

Tak, gdyż dopuszczenie systemu teleinformatycznego do przetwarzania informacji niejawnych jest równoznaczne z tym, że w najwyższym stopniu spełnia on wymogi stawiane systemom służącym do przetwarzania danych osobowych.

Uzasadnienie:

Choć ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych stanowi ogólnie, że administrator danych jest zobowiązany zastosować takie środki techniczne i organizacyjnie, aby skutecznie chronić dane osobowe, to już wydane na jej podstawie rozporządzenie ministra spraw wewnętrznych i administracji z  dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych wprowadza trzy stopnie ich zabezpieczenia zależne od kategorii przetwarzanych danych i istniejących zagrożeń:

  • podstawowy – który powinien być stosowany wówczas, gdy administrator nie przetwarza danych szczególnie chronionych (np. danych o stanie zdrowia, kodzie genetycznym czy życiu seksualnym) i wówczas, gdy żadne z urządzeń systemu informatycznego służącego do przetwarzania danych osobowych nie jest połączone z  publiczną siecią internetową,
  • podwyższony – który powinien być stosowany tam, gdzie przetwarzane są dane szczególnie chronione (np. o stanie zdrowia), ale żadne z urządzeń systemu informatycznego służącego do przetwarzania danych osobowych nie jest połączone z  publiczną siecią internetową,
  • wysoki – który powinien być stosowany wówczas, gdy przynajmniej jedno urządzenie systemu informatycznego służącego do przetwarzania danych osobowych jest połączone z publiczną siecią internetową.

Zgodnie z § 8 wymienionego rozporządzenia, system informatyczny służący do przetwarzania danych, który został dopuszczony przez właściwą służbę ochrony państwa do przetwarzania informacji niejawnych, po uzyskaniu certyfikatu wydanego na podstawie przepisów ustawy z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych spełnia wymogi niniejszego rozporządzenia pod względem bezpieczeństwa na poziomie wysokim.

Ostatnie aktualności