Polityka kontroli dostępu do danych

Administrator danych jest zobowiązany do zapewnienia integralności i poufności danych poprzez ich przetwarzanie w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem za pomocą odpowiednich środków technicznych lub organizacyjnych (art. 5 ust. 1 lit. f RODO). To na administratorze danych ciąży obowiązek takiego zaprojektowania procesu przetwarzania danych osobowych, aby nie doszło do nieuprawnionego dostępu do tych danych. Jednym z narzędzi, które może pomóc zapobiegać incydentom związanym z bezpieczeństwem danych osobowych jest wprowadzenie Polityki kontroli dostępu do danych osobowych.

Przetwarzanie z upoważnienia administratora danych

Generalną zasadą jest, że podmiot przetwarzający oraz każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego i mająca dostęp do danych osobowych przetwarzają je wyłącznie na polecenie administratora, chyba że wymaga takiego przetwarzania prawo Unii lub prawo krajowe (art. 29 RODO).

Obowiązkiem administratora danych jest zatem takie zaprojektowanie procedury dostępu do danych osobowych, aby uniemożliwić dostęp do danych osobowych osobom nieupoważnionym. Ochrona dostępu do danych powinna być wielopoziomowa. Przede wszystkim należy wdrożyć odpowiednie zabezpieczenia fizyczne i organizacyjne, np. wytyczenie obszaru przetwarzania danych osobowych, zamykanie akt w szafach, pokojach, do których nie będą miały dostępu osoby nieupoważnione do przetwarzania danych, niepozostawianie osób nieupoważnionych do przetwarzania danych osobowych w pomieszczeniach, gdzie przetwarza się dane osobowe.

Wskazówka

Warto pamiętać, że w zależności od stanowiska pracy i zaleconych obowiązków różni pracownicy będą mieć różny zakres upoważnienia do danych osobowych. W szczególności należy tu pamiętać o pracownikach przetwarzających dane kadrowe ze względu na fakt, że akta osobowe zawierają szereg informacji o pracowniku, których pracodawca nie może ujawniać innym pracownikom, np. dane o wynagrodzeniu poszczególnych pracowników.

Trzeba szczególnie zwrócić uwagę na przypadki, w których pracownicy z upoważnieniem dostępu do różnego zakresu danych osobowych pracują w jednym pomieszczeniu, np. gdy kadrowa pracuje w jednym pokoju z sekretarką. W takich sytuacjach należy zadbać o wprowadzenie procedur „czystego biurka” i „czystego ekranu” i skrupulatnie ich przestrzegać. Nie może dochodzić do sytuacji, gdy np. kadrowa wychodzi do toalety, a inny pracownik może w tym czasie, nawet przypa...

Dalsza część jest dostępna dla użytkowników z wykupionym planem