Czy w świetle przepisów o ochronie danych osobowych system informatyczny służący do przetwarzania danych osobowych powinien zapewniać odnotowanie informacji, skąd pochodzą wprowadzane do niego dane osobowe?
| Podmiot udostępniający: | Zespół Rzecznika Prasowego Biura GIODO | |
| Wytworzył informację: | Małgorzata Kałużyńska-Jasak | 2010-01-04 |
| Wprowadził‚ informację: | Rafał Kreusch | 2010-01-08 11:25:17 |
| Ostatnio modyfikował: | 2013-11-28 12:56:59 | |
Odpowiedź
Tak, gdyż taki wymów wprowadza rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.
Uzasadnienie
Wymagania, jakie powinien spełniać system informatyczny służący do przetwarzania danych osobowych zostały określone w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Każdy administrator danych, który przetwarza (m.in. gromadzi, modyfikuje, udostępnia) dane osobowe w systemie informatycznym ma obowiązek dostosować go do wskazanych w rozporządzeniu wymogów.
W sytuacji, gdy administrator danych pozyskuje dane nie od osoby, której one dotyczą, ale z różnych, innych źródeł (np. źródeł powszechnie dostępnych: książka telefoniczna, Internet) i następnie wprowadza je do systemu informatycznego, powinien zadbać o to, aby system ten zapewnił odnotowanie tej informacji. Taki wymóg stawia § 7 ust. 1 pkt 3 ww. rozporządzenia. Określa on, iż dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym — z wyjątkiem systemów służących do przetwarzania danych osobowych ograniczonych wyłącznie do edycji tekstu w celu udostępnienia go na piśmie — system ten powinien zapewniać odnotowanie źródła danych, w przypadku zbierania danych, nie od osoby, której one dotyczą. Jest to związane z tym, że każdy administrator danych powinien respektować prawa osób, których dane dotyczą, m.in. poprzez umożliwienie jej wglądu w jej dane oraz możliwość ich poprawiania. Każda osoba, której dane dotyczą ma także prawo wiedzieć kto przetwarza jej dane, w jakim celu i zakresie (na podstawie art. 32 ust. 1 ustawy o ochronie danych osobowych). Tym samym administrator danych jest zobowiązany, w przypadku zbierania danych nie od osoby, której one dotyczą, do poinformowania jej skąd ma jej dane oraz w jakim celu je przetwarza – wynika to z 25 ust. 1 ustawy o ochronie danych osobowych, oraz ma obowiązek odnotowania w systemie informatycznym źródła pochodzenia danych osobowych.



