Pokój pod nadzorem. Administrator danych ma obowiązek opracować procedurę postępowania z kluczami
29.05.2017
-
Prawo
Niedopuszczalne jest, aby po zakończeniu dnia pracy klucze do pomieszczeń, w których przechowywane są dokumenty zawierające dane osobowe, zostawały bez nadzoru
Niedopuszczalne jest, aby po zakończeniu dnia pracy klucze do pomieszczeń, w których przechowywane są dokumenty zawierające dane osobowe, zostawały w drzwiach bez nadzoru.
Jak poinformowano w opinii zamieszonej na stronie internetowej Generalnego Inspektora Danych Osobowych, administrator danych ma obowiązek opracować procedurę określającą sposób postępowania z kluczami do pomieszczeń, w których przechowywane są dokumenty zawierające dane osobowe. Procedura taka jest niezbędna, aby właściwie zabezpieczyć dane osobowe przed ich udostępnieniem osobom nieupoważnionym.
„Na pewno jednym ze sposobów zabezpieczenia danych osobowych jest konieczność weryfikowania osób, które mają dostęp do danych osobowych. Wiąże się to często z kontrolą dostępu do pomieszczeń, w których przechowywane są dokumenty zawierające dane” - zaznaczono w opinii.
Według jej autorów niedopuszczalna jest przykładowo sytuacja, w której po zakończeniu dnia pracy, klucze do takich pomieszczeń pozostawiane są w drzwiach, aby dostęp do nich miały inne osoby, np. wykonujące prace porządkowe, przy czym nie prowadzi się jednocześnie ewidencji osób, które pobierają i zdają klucze.
„Bez takiej ewidencji trudno jest właściwie kontrolować, kto, kiedy i w jakim celu miał dostęp do pomieszczeń, w których przechowywane są dane osobowe. Dlatego każdy administrator danych, opracowując procedurę określającą sposób zabezpieczenia pomieszczeń, powinien w niej uwzględnić sposób postępowania z kluczami do pomieszczeń, w tym prowadzenie ewidencji wydawanych i zdawanych kluczy do pomieszczeń” - podkreślono w stanowisku.
Jak zauważono, każdy podmiot przetwarzający dane (tzw. administrator danych) jest obowiązany zastosować takie środki techniczne i organizacyjne, które zapewnią właściwą ochronę danych osobowych. W szczególności, jak zaznaczono w opinii, powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.
„Wybór odpowiednich środków, gwarantujących przetwarzanym danym optymalny stopień zabezpieczenia, ustawa o ochronie danych osobowych pozostawia konkretnemu administratorowi danych osobowych. Mogą to być różnego rodzaju rozwiązania architektoniczno-budowlane, systemy alarmowe i służby ochrony. Ważne jest, aby administrator danych dysponował takimi instrumentami organizacyjnymi i technicznymi, za pomocą których będzie w stanie wyeliminować zagrożenia utraty, zmiany czy zniszczenia danych osobowych” - czytamy na stronie GIODO.
kic/Wszelkie materiały (w szczególności depesze agencyjne, zdjęcia, grafiki, filmy) zamieszczone w niniejszym Portalu chronione są przepisami ustawy z dnia 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych oraz ustawy z dnia 27 lipca 2001 r. o ochronie baz danych. Materiały te mogą być wykorzystywane wyłącznie na postawie stosownych umów licencyjnych. Jakiekolwiek ich wykorzystywanie przez użytkowników Portalu, poza przewidzianymi przez przepisy prawa wyjątkami, w szczególności dozwolonym użytkiem osobistym, bez ważnej umowy licencyjnej jest zabronione.
