Pracownicy mają niepełne upoważnienia – co zrobić
Autor: Paweł Biały
Pani J pełni funkcję administratora bezpieczeństwa informacji w jednej z ogólnopolskich fundacji. W ramach planu sprawdzeń badała upoważnienia do przetwarzania danych osobowych dla pracowników i wolontariuszy fundacji, którzy przetwarzają dane osobowe. Po przeprowadzeniu sprawdzenia stwierdziła, że upoważnień jest zbyt mało w stosunku do osób przetwarzających dane osobowe, a zakres upoważnień nie jest adekwatny do celu, w którym upoważniony przetwarza dane osobowe.
ABI zgłosiła administratorowi danych konieczność wydania nowych upoważnień. ADO przedłożył administratorowi bezpieczeństwa informacji umowy zawarte z pracownikami i wolontariuszami, wskazując na zakres przedmiotowy tych umów. Twierdził, że nie ma potrzeby udzielać upoważnień do przetwarzania danych osobowych , bo z zakresu obowiązków tych osób wynika, że muszą przetwarzać dane osobowe, w związku z czym nie ma potrzeby mnożyć dokumentów.
Kto miał rację
Administrator bezpieczeństwa informacji wypełnił swoje ustawowe obowiązki związane z zapewnieniem przestrzegania przepisów o ochronie danych osobowych. Jednym z nich jest przygotowanie planu sprawdzeń, a następnie sporządzenie z niego sprawozdania. W ramach badania organizacyjnych środków ochrony przetwarzania danych osobowych ABI stwierdziła, że upoważnienia nie realizują zasady rozliczalności przetwarzanych danych osobowych, ze względu na ich brak oraz błędnie oznaczony zakres. Zmiana zaproponowana przez administratora bezpieczeństwa informacji jest odzwierciedlona zarówno w przepisach opisujących zakres zadań ABI, jak i wśród ogólnych przepisów związanych z wdrożeniem organizacyjnych środków ochrony procesu przetwarzania danych osobowych.
Co powinien zrobić ABI
ABI powinien uświadomić ADO, że należy zapewnić zgodne z prawem przetwarzanie danych osobowych przez ADO i jego współpracowników. Jednocześnie też nie powinien pominąć kwestii odpowiedzialności prawnej, która ciąży na administratorze danych w związku z dopuszczeniem do procesu przetwarzania danych osobowych osób nieupoważnionych. ABI powinien jak najszybciej pozbawić osoby przetwarzające dane osobowe bez upoważnienia wykonywania jakichkolwiek operacji związanych z przetwarzaniem tych danych, aż do czasu dysponowania przez nie stosownym upoważnieniem.
Zaloguj się, aby dodać komentarz
Nie masz konta? Zarejestruj się »