Osoby dopuszczone do przetwarzania danych osobowych muszą mieć upoważnienie
| Podmiot udostępniający: | Zespół Rzecznika Prasowego Biura GIODO | |
| Wytworzył informację: | Gazeta Prawna | 2008-04-02 |
| Wprowadził‚ informację: | Rafał Kreusch | 2008-04-08 12:18:06 |
| Ostatnio modyfikował: | Robert Czapski | 2013-11-28 12:56:59 |
Dopuszczenie przez administratora danych do przetwarzania danych osób nielegitymujących się wymaganym upoważnieniem może narazić go na zarzut niewłaściwego zabezpieczania danych, a tym samym naruszenia przepisów ustawy o ochronie danych osobowych.
Problem
Czy gmina oraz jej jednostki organizacyjne, do-puszczając pracowników, stażystów czy praktykantów do wykonywania różnych operacji na danych osobowych (tj. zbieranie, opracowywanie, zmienia-nie, udostępnienie), musi wcześniej spełnić jakieś wymagania z ustawy o ochronie danych osobowych?
GIODO Informuje
Ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2002 r. nr 101, poz. 926 ze zm.) zobowiązuje do dbałości o dane osobowe. Z przepisów jej rozdziału 5 wynika, iż należy tak wykorzystywać dane osobowe, aby były one bezpieczne. Ustawa wprost zobowiązuje do zastosowania środków technicznych i organizacyjnych, które zapewnią właściwą ochronę gromadzonym danym osobowym, aby nie dostały się one w ręce osób nieupoważnionych. Zgodnie z art. 36 ust. 1 ustawy o ochronie danych osobowych administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem oso-bom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Stosownie natomiast do art. 37 ustawy, do przetwarzania danych mogą być dopuszczone wy-łącznie osoby posiadające upoważnienie nadane przez administratora danych. Podkreślenia wymaga, iż obowiązkiem legitymowania się upoważnieniem zostały objęte wszystkie osoby, które przetwarzają dane, niezależnie od tego, czy przetwarzanie dokonywane jest w sposób tradycyjny czy w systemie informatycznym. Rozwiązanie to ogranicza możliwość przetwarzania danych jedynie do osób, które posiadają nadane w tym celu przez administratora danych indywidualne upoważnienie.
Dopuszczenie zatem przez administratora danych do przetwarzania danych osób nielegitymujących się wymaganym upoważnieniem z art. 37 ustawy może narazić go na zarzut niewłaściwego zabezpieczenia danych, a tym samym naruszenia przepisów ustawy.
Ustawa o ochronie danych osobowych nie określa wprost formy i treści takiego upoważnienia. Powinno mieć ono formę pisemną. Wynika to z treści art.39 ust. 1 ustawy stanowiącego, iż w ewidencji osób upoważnionych do przetwarzania danych osobowych, którą prowadzi administrator danych, wskazać należy imię i nazwisko osoby upoważnionej, datę nadania, ustania oraz zakres upoważnienia do przetwarzania danych, a także identyfikator, jeśli dane przetwarzane są w systemie informatycznym. W przypadku upoważnienia udzielonego w formie innej niż pisemna, mogłyby wystąpić praktyczne trudności związane z określeniem jego treści. W upoważnieniu należy określić nazwę (nazwisko) i adres administratora danych, osobę upoważnioną do przetwarzania danych osobowych, datę nadania i, jeżeli jest ono przyznawane na czas określony, ustania oraz zakres upoważnienia do przetwarzania danych osobowych.



