Jakie zabezpieczenia stosować, gdy dostęp do pomieszczeń, w których są dokumenty z danymi, mają osoby nieupoważnione

Autor: Marcin Sarna
Data: 28-02-2017 r.

W wielu podmiotach po godzinach pracy osób upoważnionych do przetwarzania danych osobowych dostęp do pomieszczeń, w których znajdują się dokumenty z danymi osobowymi, mają wyłącznie pracownicy obsługi np. ochroniarz lub osoba sprzątająca. Nie są oni upoważnieni do przetwarzania danych osobowych. Administratorzy danych zastanawiają się więc, jakie zabezpieczenia fizyczne np. szafy zamykane na klucz, powinni w takiej sytuacji zastosować.

W praktyce to administrator danych sam powinien ocenić, jakich środków ochrony fizycznej potrzebuje, aby skutecznie ograniczyć i kontrolować dostęp do przetwarzanych danych, biorąc pod uwagę rodzaj przetwarzanych danych. Jeżeli uzna, że zamykanie dokumentów z danymi osobowymi w szafach, jest konieczne, może zastosować taki środek.

 

Zabezpieczenia fizyczne danych osobowych to wszelkie materialne środki, które służą ochronie danych osobowych, mają na celu utrudnić lub uniemożliwić dostęp do danych osobom nieuprawnionym.

Środkami ochrony fizycznej będą środki, które chronią pomieszczenia, sprzęt, infrastrukturę czy nawet sam personel administratora danych osobowych. Ochrona dotyczy również zdarzeń, które mogą zaistnieć fizycznie, realnie: wandalizm, kradzież, włamanie, klęska żywiołowa, terroryzm, podszycie się pod pracownika.

Zabezpieczeniu danych osobowych poświęcono art. 36–39 ustawy o ochronie danych osobowych. Przepisy te nie precyzują jednak konkretnie, jakie fizyczne środki ochrony danych powinny być zastosowane w konkretnym przypadku. Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich:

  • udostępnieniem osobom nieupoważnionym,
  • zabraniem przez osobę nieuprawnioną,
  • przetwarzaniem z naruszeniem ustawy oraz
  • zmianą, utratą, uszkodzeniem lub zniszczeniem.

Administrator danych powinien sam ocenić, jakich środków ochrony fizycznej potrzebuje, aby skutecznie ograniczyć i kontrolować dostęp do przetwarzanych danych, biorąc pod uwagę rodzaj przetwarzanych danych. Środki te powinny zostać opisane w wewnętrznej dokumentacji administratora danych. Decydując o zastosowaniu poszczególnych środków administrator danych powinien brać pod uwagę:

1) kategorię przetwarzanych danych oraz zagrożenia,

2) środki (zasoby ludzkie i materialne), jakie zamierza przeznaczyć na zabezpieczenie danych.

Administrator danych osobowych w razie kontroli GIODO musi udowodnić, że zostały zastosowane środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych w tym konkretnym przypadku.

Marcin Sarna

Zaloguj się, aby dodać komentarz

Nie masz konta? Zarejestruj się »

Zobacz także

Jak zatrzeć ślady po przeglądaniu Internetu?

pobierz

Wzór Polityki Bezpieczeństwa w ochronie danych osobowych

pobierz

Konfiguracja bezpieczeństwa. Windows 10

pobierz

10 sprytnych trików na szybkie obliczenia w Excelu

pobierz

Polecane artykuły

Array ( [docId] => 40075 )
Array ( [docId] => 40075 )

Array ( [docId] => 40075 )