Bezpieczeństwo-Informacji.pl

Zgodnie z ustawą z 29 sierpnia 1997 r. o ochronie danych osobowych, osoba upoważniona do przetwarzania danych osobowych to taka, której Administrator Danych nadał stosowne upoważnienie(Art. 37).

Dopuszczenie do pracy na stanowisku mającym jakikolwiek związek z przetwarzaniem danych, pracownika który nie posiada imiennego upoważnienia potraktować można jako niewłaściwe zabezpieczenie danych.
Ustawa wyraźnie mówi, że Administrator Danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.

Na wszystkich osobach upoważnionych spoczywa obowiązek zachowania w tajemnicy nie tylko danych osobowych, ale także sposobów ich zabezpieczenia (szczególnie chodzi tutaj o instrukcję zarządzania systemem informatycznych służącym do przetwarzania danych osobowych).

Mimo, iż przepisy nie określają sposobu nadawania upoważnień, to winny one mieć formę pisemną (w przeciwnym wypadku trudne do ustalenia byłoby określenie jego treści) i zawierać imię i nazwisko, stanowisko służbowe, zakres upoważnienia oraz - co jest bardzo istotne - datę nadania i ustania.

Ponadto Administrator Danych zgodnie z art. 39 uodo, zobowiązany jest do prowadzenia ewidencji osób upoważnionych.

Sławomir Głaz