UWAGA!

Od 25 maja 2018 r. organem właściwym w zakresie ochrony danych osobowych jest Prezes Urzędu Ochrony Danych Osobowych. Nowa strona internetowa urzędu jest dostępna pod adresem: www.uodo.gov.pl.

Materiały zamieszczone na stronie Generalnego Inspektora Ochrony Danych Osobowych (GIODO) dostępnej pod adresem www.giodo.gov.pl mają charakter archiwalny.

POZOSTAŃ NA STRONIE ARCHIWALNEJ (GIODO)

Osoby dopuszczone do przetwarzania danych osobowych muszą mieć upoważnienie

Metadane
Podmiot udostępniający: Zespół Rzecznika Prasowego Biura GIODO
Wytworzył informację: Gazeta Prawna 2008-04-02
Wprowadził‚ informację: Rafał Kreusch 2008-04-08 12:18:06
Ostatnio modyfikował: Robert Czapski 2013-11-28 12:56:59

Dopuszczenie przez administratora danych do przetwarzania danych osób nielegitymujących się wymaganym upoważnieniem może narazić go na zarzut niewłaściwego zabezpieczania danych, a tym samym naruszenia przepisów ustawy o ochronie danych osobowych.

Problem
Czy gmina oraz jej jednostki organizacyjne, do-puszczając pracowników, stażystów czy praktykantów do wykonywania różnych operacji na danych osobowych (tj. zbieranie, opracowywanie, zmienia-nie, udostępnienie), musi wcześniej spełnić jakieś wymagania z ustawy o ochronie danych osobowych?

GIODO Informuje
Ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2002 r. nr 101, poz. 926 ze zm.) zobowiązuje do dbałości o dane osobowe. Z przepisów jej rozdziału 5 wynika, iż należy tak wykorzystywać dane osobowe, aby były one bezpieczne. Ustawa wprost zobowiązuje do zastosowania środków technicznych i organizacyjnych, które zapewnią właściwą ochronę gromadzonym danym osobowym, aby nie dostały się one w ręce osób nieupoważnionych. Zgodnie z art. 36 ust. 1 ustawy o ochronie danych osobowych administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem oso-bom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Stosownie natomiast do art. 37 ustawy, do przetwarzania danych mogą być dopuszczone wy-łącznie osoby posiadające upoważnienie nadane przez administratora danych. Podkreślenia wymaga, iż obowiązkiem legitymowania się upoważnieniem zostały objęte wszystkie osoby, które przetwarzają dane, niezależnie od tego, czy przetwarzanie dokonywane jest w sposób tradycyjny czy w systemie informatycznym. Rozwiązanie to ogranicza możliwość przetwarzania danych jedynie do osób, które posiadają nadane w tym celu przez administratora danych indywidualne upoważnienie.
Dopuszczenie zatem przez administratora danych do przetwarzania danych osób nielegitymujących się wymaganym upoważnieniem z art. 37 ustawy może narazić go na zarzut niewłaściwego zabezpieczenia danych, a tym samym naruszenia przepisów ustawy.
Ustawa o ochronie danych osobowych nie określa wprost formy i treści takiego upoważnienia. Powinno mieć ono formę pisemną. Wynika to z treści art.39 ust. 1 ustawy stanowiącego, iż w ewidencji osób upoważnionych do przetwarzania danych osobowych, którą prowadzi administrator danych, wskazać należy imię i nazwisko osoby upoważnionej, datę nadania, ustania oraz zakres upoważnienia do przetwarzania danych, a także identyfikator, jeśli dane przetwarzane są w systemie informatycznym. W przypadku upoważnienia udzielonego w formie innej niż pisemna, mogłyby wystąpić praktyczne trudności związane z określeniem jego treści. W upoważnieniu należy określić nazwę (nazwisko) i adres administratora danych, osobę upoważnioną do przetwarzania danych osobowych, datę nadania i, jeżeli jest ono przyznawane na czas określony, ustania oraz zakres upoważnienia do przetwarzania danych osobowych.

Ostatnie aktualności