Zabezpieczenie danych osobowych

Michał Serzycki
opublikowano: 30-11-2006, 00:00

Co jest podstawowym obowiązkiem administratora w zakresie zabezpieczenia danych osobowych?

- Zastosowanie rozwiązań technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych, odpowiednią do zagrożeń i kategorii danych objętych ochroną. Zwłaszcza zaś ochrona przed udostępnieniem danych osobom nieupoważnionym lub zabraniem ich przez taką osobę, przed przetwarzaniem z naruszeniem ustawy, przed ich zmianą, utratą, uszkodzeniem lub zniszczeniem.

Jaki powinien być zakres upoważnienia do przetwarzania danych osobowych?

- Ustawa o ochronie danych osobowych nie podaje tego wprost, ale biorąc pod uwagę art. 39, można przyjąć, że upoważnienie powinno zawierać przede wszystkim: nazwę administratora, imię i nazwisko osoby upoważnionej, datę nadania i zakres upoważnienia, identyfikator (gdy dane są przetwarzane w systemie informatycznym).

Czy pracownicy kadr powinni mieć takie upoważnienia i wpis do ewidencji, o której mowa w art. 39 ustawy?

- Ustawa nie przewiduje wyłączeń, więc pracownicy kadr powinni mieć upoważnienia i być uwzględnieni w ewidencji prowadzonej przez administratora danych osobowych.

Czy komornik może wysyłać do firmy pismo o zajęciu wynagrodzenia za pracę dłużników bez sprawdzenia, czy ta osoba jest w tej firmie zatrudniona?

- W razie doręczenia pisma podmiotowi, u którego dłużnik nie był zatrudniony, dochodzi do ujawnienia osobie nieuprawnionej danych osobowych dłużnika, w tym szczególnie chronionych w rozumieniu art. 27 ustawy. Jest to nieuprawnione i może stanowić naruszenie zasad ochrony danych osobowych.

Czy banki mogą telefonicznie potwierdzać u pracodawców prawdziwość danych zawartych we wnioskach kredytowych?

- Tylko przy całkowitym wyeliminowaniu możliwości udostępnienia danych innej osobie niż pracownik banku i przyjęciu rozwiązań, które zapewniają bezpieczne przekazanie danych. Ocena, czy dochowano zabezpieczeń wymaganych w ustawie, spoczywa na banku.

Jakie wymagania musi spełnić administrator danych, a jakie podmiot, któremu je powierzono?

- Oboje muszą zastosować wymagania odnoszące się do zabezpieczenia danych, zawarte w art. 36-39 ustawy i w rozporządzeniu MSWiA w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.

Michał Serzycki

Generalny Inspektor Ochrony Danych Osobowych

© ℗
Rozpowszechnianie niniejszego artykułu możliwe jest tylko i wyłącznie zgodnie z postanowieniami „Regulaminu korzystania z artykułów prasowych” i po wcześniejszym uiszczeniu należności, zgodnie z cennikiem.

Podpis: Michał Serzycki

Polecane