Ewidencja osób upoważnionych do przetwarzania danych osobowych

Autor: Piotr Glen
Data: 06-10-2014 r.

Polityka bezpieczeństwa informacji, czy szerzej System Zarządzania Bezpieczeństwem Informacji to złożony proces. Składają się na to różne organizacyjne i techniczne środki bezpieczeństwa spisane w odpowiednich instrukcjach, procedurach, regulaminach.

Każdy Administrator danych jest ustawowo zobowiązany do prowadzenia dokumentacji opisującej sposób przetwarzania danych i środki bezpieczeństwa zapewniające ochronę przetwarzanych danych osobowych. Na taką dokumentację składa się Polityka bezpieczeństwa i Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. Jest wiele wytycznych i elementów kształtujących te dokumenty. Konstrukcja i ich zawartość zależy od indywidualnej organizacji danego podmiotu.

 

Są jednak dokumenty, ewidencje czy instrukcje składające się na politykę bezpieczeństwa, których treść bezpośrednio lub pośrednio wynika z przepisów prawa. Jednym z takich jest ewidencja osób upoważnionych do przetwarzania danych osobowych. Zgodnie z Art. 39 ust. 1 ustawy o ochronie danych osobowych administrator danych prowadzi ewidencję osób upoważnionych do ich przetwarzania, która powinna zawierać:

  1. imię i nazwisko osoby upoważnionej;
  2. datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych;
  3. identyfikator, jeżeli dane są przetwarzane w systemie informatycznym.

Wzór takiej ewidencji powinien tym samym wyglądać następująco:

L.p.

Imię i Nazwisko

Data nadania

upoważnienia

Data ustania

upoważnienia

Zakres upoważnienia

Login/

Identyfikator w systemie informatycznym

Uwagi

             
             

           

Ewidencję można prowadzić w formie papierowej lub elektronicznej. Należy wyznaczyć osobę do jej prowadzenia. Czy to będzie ABI, kadrowa, informatyk, czy inna osoba, to zależy od administratora danych.

Każdy pracownik, mający służbowy kontakt z danymi, jest umieszczony w ewidencji. Data nadania upoważnienia, to najczęściej data zatrudnienia czy podjęcia współpracy. W ewidencji powinny znaleźć się wszelkie osoby, które wykonują jakiekolwiek operacje na danych osobowych, takie jak np. zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie. Będą to też praktykanci czy stażyści. Nie będą to natomiast sprzątaczki, konserwatorzy, kucharze itp. Do obowiązków służbowych takich osób nie należy przetwarzanie danych osobowych.

Jeżeli osoba upoważniona do przetwarzania danych kończy zatrudnienie lub z innych względów trzeba jej cofnąć lub zmienić upoważnienie, to wpisujemy datę takiego cofnięcia w kolumnę „data ustania upoważnienia”.

Takiej osobie należy odebrać wszelkie klucze, karty dostępowe, anulować kody i hasła, zablokować konto użytkownika w systemach informatycznych. W kolumnie „zakres upoważnienia” opisujemy czynności i operacje jakie osoba upoważniona może wykonywać na danych osobowych, np. wprowadzanie, wgląd, zmienianie, usuwanie oraz rodzaj, zbiory czy bazy danych, w których może to robić.

Wynika to z art. 38 ustawy o ochronie danych osobowych, który mówi, że administrator danych jest obowiązany zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane.

Kolumna „Login/Identyfikator” musi zawierać nazwę konta użytkownika w systemie informatycznym. Na każdym komputerze, na którym przetwarzane są dane osobowe, musi funkcjonować proces uwierzytelniania i identyfikacji. Każdy użytkownik loguje się do takowego za pomocą swojego indywidualnego loginu – identyfikatora i swojego hasła.

Często wymaga się od administratorów systemu prowadzenia rejestru identyfikatorów użytkowników. Realizuję się to wpisując loginy do ewidencji osób upoważnionych do przetwarzania danych.

Wszelkie zmiany dotyczące użytkownika, takie jak np. zmiana imienia lub nazwiska, zmiana zakresu upoważnienia, podlegają niezwłocznemu odnotowaniu w ewidencji. Z ewidencji nie usuwamy byłych pracowników. Odnotowujemy datę ustania upoważnienia.

Piotr Glen, audytor SZBI wg PN-ISO/IEC 27001, administrator Bezpieczeństwa Informacji

Zaloguj się, aby dodać komentarz

Nie masz konta? Zarejestruj się »

Zobacz także

Jak zatrzeć ślady po przeglądaniu Internetu?

pobierz

Wzór Polityki Bezpieczeństwa w ochronie danych osobowych

pobierz

Konfiguracja bezpieczeństwa. Windows 10

pobierz

10 sprytnych trików na szybkie obliczenia w Excelu

pobierz

Polecane artykuły

Array ( [docId] => 35816 )
Array ( [docId] => 35816 )