Ewidencja osób upoważnionych do przetwarzania danych osobowych

Autor: Piotr Glen
Data: 06-10-2014 r.

Polityka bezpieczeństwa informacji, czy szerzej System Zarządzania Bezpieczeństwem Informacji to złożony proces. Składają się na to różne organizacyjne i techniczne środki bezpieczeństwa spisane w odpowiednich instrukcjach, procedurach, regulaminach.

Każdy Administrator danych jest ustawowo zobowiązany do prowadzenia dokumentacji opisującej sposób przetwarzania danych i środki bezpieczeństwa zapewniające ochronę przetwarzanych danych osobowych. Na taką dokumentację składa się Polityka bezpieczeństwa i Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. Jest wiele wytycznych i elementów kształtujących te dokumenty. Konstrukcja i ich zawartość zależy od indywidualnej organizacji danego podmiotu.

Są jednak dokumenty, ewidencje czy instrukcje składające się na politykę bezpieczeństwa, których treść bezpośrednio lub pośrednio wynika z przepisów prawa. Jednym z takich jest ewidencja osób upoważnionych do przetwarzania danych osobowych. Zgodnie z Art. 39 ust. 1 ustawy o ochronie danych osobowych administrator danych prowadzi ewidencję osób upoważnionych do ich przetwarzania, która powinna zawierać:

  1. imię i nazwisko osoby upoważnionej;
  2. datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych;
  3. identyfikator, jeżeli dane są przetwarzane w systemie informatycznym.

Wzór takiej ewidencji powinien tym samym wyglądać następująco:

L.p.

Imię i Nazwisko

Data nadania

upoważnienia

Data ustania

upoważnienia

Zakres upoważnienia

Login/

Identyfikator w systemie informatycznym

Uwagi

             
             

           

Ewidencję można prowadzić w formie papierowej lub elektronicznej. Należy wyznaczyć osobę do jej prowadzenia. Czy to będzie ABI, kadrowa, informatyk, czy inna osoba, to zależy od administratora danych.

Każdy pracownik, mający służbowy kontakt z danymi, jest umieszczony w ewidencji. Data nadania upoważnienia, to najczęściej data zatrudnienia czy podjęcia współpracy. W ewidencji powinny znaleźć się wszelkie osoby, które wykonują jakiekolwiek operacje na danych osobowych, takie jak np. zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie. Będą to też praktykanci czy stażyści. Nie będą to natomiast sprzątaczki, konserwatorzy, kucharze itp. Do obowiązków służbowych takich osób nie należy przetwarzanie danych osobowych.

Jeżeli osoba upoważniona do przetwarzania danych kończy zatrudnienie lub z innych względów trzeba jej cofnąć lub zmienić upoważnienie, to wpisujemy datę takiego cofnięcia w kolumnę „data ustania upoważnienia”.

Takiej osobie należy odebrać wszelkie klucze, karty dostępowe, anulować kody i hasła, zablokować konto użytkownika w systemach informatycznych. W kolumnie „zakres upoważnienia” opisujemy czynności i operacje jakie osoba upoważniona może wykonywać na danych osobowych, np. wprowadzanie, wgląd, zmienianie, usuwanie oraz rodzaj, zbiory czy bazy danych, w których może to robić.

Wynika to z art. 38 ustawy o ochronie danych osobowych, który mówi, że administrator danych jest obowiązany zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane.

Kolumna „Login/Identyfikator” musi zawierać nazwę konta użytkownika w systemie informatycznym. Na każdym komputerze, na którym przetwarzane są dane osobowe, musi funkcjonować proces uwierzytelniania i identyfikacji. Każdy użytkownik loguje się do takowego za pomocą swojego indywidualnego loginu – identyfikatora i swojego hasła.

Często wymaga się od administratorów systemu prowadzenia rejestru identyfikatorów użytkowników. Realizuję się to wpisując loginy do ewidencji osób upoważnionych do przetwarzania danych.

Wszelkie zmiany dotyczące użytkownika, takie jak np. zmiana imienia lub nazwiska, zmiana zakresu upoważnienia, podlegają niezwłocznemu odnotowaniu w ewidencji. Z ewidencji nie usuwamy byłych pracowników. Odnotowujemy datę ustania upoważnienia.

Piotr Glen, audytor SZBI wg PN-ISO/IEC 27001, administrator Bezpieczeństwa Informacji

Zaloguj się, aby dodać komentarz

Nie masz konta? Zarejestruj się »

Zobacz także

Jak zatrzeć ślady po przeglądaniu Internetu?

pobierz

Wzór Polityki Bezpieczeństwa w ochronie danych osobowych

pobierz

Konfiguracja bezpieczeństwa. Windows 10

pobierz

10 sprytnych trików na szybkie obliczenia w Excelu

pobierz

Polecane artykuły

Polecamy kancelarię:

  • Kancelaria Radcy Prawnego Małgorzata Suchecka

    al. Grunwaldzka 472D Lokal 1 Olivia Business Centre, Olivia Six (13. piętro), 80-309 Gdańsk

    Wyświetl wizytówkę
  • Kancelaria Prawna Iurisco Edyta Przybyłek

    ul. Zgrzebnioka 28, 40-520 Katowice

    Wyświetl wizytówkę
  • Kancelaria Radcy Prawnego Marcin Majcherczyk

    ul. Stawowa 4 lok. 39, 41-200 Sosnowiec

    Wyświetl wizytówkę
  • Buszan Suchecka Orłowski Adwokat Radcowie Prawni Sp.p.

    ul. Armii Krajowej 22/2, 81-849 Sopot

    Wyświetl wizytówkę
  • THE N.E.W.S. LAW CENTER Kancelaria Adwokatów i Radców Prawnych

    ul. Kazachska 1/89, 02-999 Warszawa

    Wyświetl wizytówkę
  • adwokat Wojciech Rudzki - kancelaria adwokacka

    Józefa Piłsudskiego 40/4 Kraków 31 - 111

    Wyświetl wizytówkę
  • KANCELARIA ADWOKACKA Adwokat Michał Gajda

    ul. Księcia Bogusława X 1/3, 70-440 Szczecin

    Wyświetl wizytówkę
  • Kancelaria Radcy Prawnego Robert Dudkowiak

    ul. Jana Pawła II 11 lok. 5, 62-300 Września

    Wyświetl wizytówkę
  • Kancelaria Adwokacka Adwokata Piotra Sęka

    ul. Narutowicza 44 lok. 20, 90-135 Łódź

    Wyświetl wizytówkę
  • Kancelaria Radców Prawnych ARVE M.Kusztan & R.Ponichtera Sp. K.

    ul. Czysta 4, 50-013 Wrocław

    Wyświetl wizytówkę
  • Kancelaria Radcy Prawnego Marek Foryś

    ul. Słupecka 9/1, Gdynia

    Wyświetl wizytówkę
  • Kancelaria MERITUM

    ulica Westerplatte 13/5, 31-033 Kraków

    Wyświetl wizytówkę
  • Kancelaria Radcy Prawnego Radosław Tymiński

    Łukowska 9 Lok. 126, 04-133 Warszawa

    Wyświetl wizytówkę
Array ( [docId] => 35816 )
Array ( [docId] => 35816 )

Array ( [docId] => 35816 )