Metody uwierzytelniania dostępu do danych osobowych

Załącznik do rozporządzenia ministra spraw wewnętrznych i administracji z 29 kwietnia 2004 r. przewiduje, że w systemie informatycznym służącym do przetwarzania danych osobowych należy stosować mechanizmy kontroli dostępu do tych danych. Jeżeli zaś dostęp ma więcej niż jedna osoba, to:

• każdy użytkownik powinien mieć odrębny identyfikator;
• dostęp do danych powinien być możliwy wyłącznie po wprowadzeniu identyfikatora i dokonaniu uwierzytelnienia.

Metody uwierzytelnienia nie są określone. Może to być każda z trzech powszechnie znanych metod: „co wiem” (login, hasło), „co posiadam” (karta magnetyczna, token, karta mikroprocesorowa) albo „kim jestem” (dane biometryczne). Ewentualnie połączenie tych metod.

W odniesieniu do uprawnień osób, których dane są przetwarzane, system powinien rejestrować dane potrzebne do realizacji tych uprawnień. Są to następujące uprawnienia:

• uzyskanie informacji, od kiedy przetwarza się w zbiorze określone dane, oraz podanie w zrozumiałej formie treści tych danych;
• uzyskanie informacji o źródle, z którego pochodzą dane, chyba że administrator danych jest zobowiązany do zachowania w tym zakresie w tajemnicy;
• uzyskanie informacji o sposobie udostępniania danych, a w szczególności o odbiorcach, którym dane te są udostępniane.

System powinien więc umożliwiać odnotowanie daty pierwszego wprowadzenia danych do systemu. Musi również zawierać identyfikator użytkownika wprowadzającego dane osobowe do systemu. Wyjątkiem jest sytuacja, w której dostęp ma wyłącznie jedna osoby. Przechowywanie informacji o źródle danych jest konieczne tylko w sytuacji, gdy pochodzą one nie od osoby, której dotyczą.

Ponadto system powinien przechowywać informacje o odbiorcach, którym dane osobowe zostały udostępnione, oraz dacie i zakresie tego udostępnienia. Istotne jest też odnotowanie w systemie faktu złożenia sprzeciwu wobec przetwarzania danych osobowych przez określoną osobę.