Rejestrowanie dostępu pracowników do danych osobowych klientów

Wynika to z § 7 ust. 1 pkt 4 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 roku w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Obowiązek ten dotyczy tylko odbiorcy, którym – zgodnie z definicją z art. 7 pkt 6 ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych – jest każdy, komu udostępnia się dane osobowe chyba, że jest on osobą upoważnioną do przetwarzania danych.

Czyli użytkownik systemu przeglądający dane klienta nie jest odbiorcą danych a co za tym idzie nie ma obowiązku odnotowywania każdego przypadku zapoznania się takiego użytkownika systemu z danymi osób, których dane osobowe są przetwarzane.

Powyższe nie oznacza, że takiej rejestracji kontaktu użytkownika systemu z danymi klienta nie można odnotowywać. Nic nie stoi na przeszkodzie aby polityka bezpieczeństwa danej firmy lub urzędu przewidywała rejestrowanie każdego takiego przypadku co może wpłynąć na zmniejszenie ilości incydentów związanych z ochroną danych osobowych.

• §7 ust. 1 pkt 4 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 roku w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych,
• art. 7 pkt 6 ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych.