Czy system teleinformatyczny, który uzyskał akredytację ABW do przetwarzania informacji niejawnych, może być wykorzystywany do przetwarzania danych osobowych?
| Podmiot udostępniający: | Zespół Rzecznika Prasowego Biura GIODO | |
| Wytworzył informację: | Małgorzata Kałużyńska-Jasak | 2009-11-13 |
| Wprowadził‚ informację: | Rafał Kreusch | 2009-11-16 13:36:35 |
| Ostatnio modyfikował: | Rafał Kreusch | 2013-11-28 12:56:59 |
Odpowiedź:
Tak, gdyż dopuszczenie systemu teleinformatycznego do przetwarzania informacji niejawnych jest równoznaczne z tym, że w najwyższym stopniu spełnia on wymogi stawiane systemom służącym do przetwarzania danych osobowych.
Uzasadnienie:
Choć ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych stanowi ogólnie, że administrator danych jest zobowiązany zastosować takie środki techniczne i organizacyjnie, aby skutecznie chronić dane osobowe, to już wydane na jej podstawie rozporządzenie ministra spraw wewnętrznych i administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych wprowadza trzy stopnie ich zabezpieczenia zależne od kategorii przetwarzanych danych i istniejących zagrożeń:
- podstawowy – który powinien być stosowany wówczas, gdy administrator nie przetwarza danych szczególnie chronionych (np. danych o stanie zdrowia, kodzie genetycznym czy życiu seksualnym) i wówczas, gdy żadne z urządzeń systemu informatycznego służącego do przetwarzania danych osobowych nie jest połączone z publiczną siecią internetową,
- podwyższony – który powinien być stosowany tam, gdzie przetwarzane są dane szczególnie chronione (np. o stanie zdrowia), ale żadne z urządzeń systemu informatycznego służącego do przetwarzania danych osobowych nie jest połączone z publiczną siecią internetową,
- wysoki – który powinien być stosowany wówczas, gdy przynajmniej jedno urządzenie systemu informatycznego służącego do przetwarzania danych osobowych jest połączone z publiczną siecią internetową.
Zgodnie z § 8 wymienionego rozporządzenia, system informatyczny służący do przetwarzania danych, który został dopuszczony przez właściwą służbę ochrony państwa do przetwarzania informacji niejawnych, po uzyskaniu certyfikatu wydanego na podstawie przepisów ustawy z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych spełnia wymogi niniejszego rozporządzenia pod względem bezpieczeństwa na poziomie wysokim.



