Metody uwierzytelniania dostępu do danych osobowych

Autor: Marcin Sarna
Data: 29-05-2014 r.

Wymagania stawiane systemom informatycznym z jednej strony dotyczą kontroli przetwarzanych danych, z drugiej wskazują uprawnienia osób, których dane są przetwarzane. Dostęp do danych powinien być chroniony, jednak prawo nie określa metody uwierzytelniania dostępu do danych.

Załącznik do rozporządzenia ministra spraw wewnętrznych i administracji z 29 kwietnia 2004 r. przewiduje, że w systemie informatycznym służącym do przetwarzania danych osobowych należy stosować mechanizmy kontroli dostępu do tych danych. Jeżeli zaś dostęp ma więcej niż jedna osoba, to:

  • każdy użytkownik powinien mieć odrębny identyfikator;
  • dostęp do danych powinien być możliwy wyłącznie po wprowadzeniu identyfikatora i dokonaniu uwierzytelnienia.

Metody uwierzytelnienia nie są określone. Może to być każda z trzech powszechnie znanych metod: „co wiem” (login, hasło), „co posiadam” (karta magnetyczna, token, karta mikroprocesorowa) albo „kim jestem” (dane biometryczne). Ewentualnie połączenie tych metod.

W odniesieniu do uprawnień osób, których dane są przetwarzane, system powinien rejestrować dane potrzebne do realizacji tych uprawnień. Są to następujące uprawnienia:

  • uzyskanie informacji, od kiedy przetwarza się w zbiorze określone dane, oraz podanie w zrozumiałej formie treści tych danych;
  • uzyskanie informacji o źródle, z którego pochodzą dane, chyba że administrator danych jest zobowiązany do zachowania w tym zakresie w tajemnicy;
  • uzyskanie informacji o sposobie udostępniania danych, a w szczególności o odbiorcach, którym dane te są udostępniane.

System powinien więc umożliwiać odnotowanie daty pierwszego wprowadzenia danych do systemu. Musi również zawierać identyfikator użytkownika wprowadzającego dane osobowe do systemu. Wyjątkiem jest sytuacja, w której dostęp ma wyłącznie jedna osoby. Przechowywanie informacji o źródle danych jest konieczne tylko w sytuacji, gdy pochodzą one nie od osoby, której dotyczą.

Ponadto system powinien przechowywać informacje o odbiorcach, którym dane osobowe zostały udostępnione, oraz dacie i zakresie tego udostępnienia. Istotne jest też odnotowanie w systemie faktu złożenia sprzeciwu wobec przetwarzania danych osobowych przez określoną osobę.

Marcin Sarna

Zaloguj się, aby dodać komentarz

Nie masz konta? Zarejestruj się »

Zobacz także

Jak zatrzeć ślady po przeglądaniu Internetu?

pobierz

Biznesplan

pobierz

Wzór Polityki Bezpieczeństwa w ochronie danych osobowych

pobierz

Konfiguracja bezpieczeństwa. Windows 10

pobierz

Polecane artykuły

Polecamy kancelarię:

Array ( [docId] => 35021 )
Array ( [docId] => 35021 )

Array ( [docId] => 35021 )