Wymagania dotyczące struktur baz danych osobowych oraz funkcjonalności zarządzających nimi aplikacji



Podobne dokumenty
POLITYKA BEZPIECZEŃSTWA

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r.

Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Urzędzie Miasta Lublin

POLITYKA BEZPIECZEŃSTWA

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI (1) z dnia 29 kwietnia 2004 r.

Ochrona danych osobowych przy obrocie wierzytelnościami

Regulamin Portalu Informacyjnego Sądu Okręgowego w Opolu

REGULAMIN PORTALU INFORMACYJNEGO SĄDU REJONOWEGO POZNAŃ GRUNWALD I JEŻYCE W POZNANIU

Warszawa, dnia 13 października 2015 r. Poz OBWIESZCZENIE MINISTRA SPRAW WEWNĘTRZNYCH 1) z dnia 21 września 2015 r.

PODRĘCZNIK LOKALNEGO ADMINISTRATORA RÓL

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SZKOLE PODSTAWOWEJ W CHRUŚLINIE

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

POLITYKA BEZPIECZEŃSTWA SYSTEMÓW INFORMATYCZNYCH SŁUŻĄCYCH DO PRZETWARZNIA DANYCH OSOBOWYCH W URZĘDZIE GMINY DĄBRÓWKA

POLITYKA BEZPIECZEŃSTWA

Ustawa o ochronie danych. osobowych - bazy i aplikacje Oracle. Wojciech Dworakowski

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

INSTRUKCJE DOTYCZĄCE OCHRONY DANYCH OSOBOWYCH W KANCELARII DORADZTWA PODATKOWEGO

Bezpieczeństwo danych osobowych listopada 2011 r.

Instrukcja zarządzania systemem informatycznym STORK Szymon Małachowski

PROCEDURA PRZECHOWYWANIA I PRZETWARZANIA DANYCH OSOBOWYCH W OŚRODKU MEDIACJI INIGO

ADMINISTRACJI z dnia 1 września 2017 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych

INSTRUCKJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

POLITYKA BEZPIECZEŃSTWA

Zadania Administratora Systemów Informatycznych wynikające z przepisów ochrony danych osobowych. Co ASI widzieć powinien..

REGULAMIN PORTALU INFORMACYJNEGO SĄDU REJONOWEGO KATOWICE WSCHÓD W KATOWICACH

REGULAMIN PORTALU INFORMACYJNEGO SĄDU REJONOWEGO SZCZECIN-PRAWOBRZEŻE I ZACHÓD W SZCZECINIE

Regulamin w zakresie przetwarzania danych osobowych w Urzędzie Miejskim w Kocku

Polityka prywatności

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

2) stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem,

Załącznik do zarządzenia nr16 /2010 Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych

Bezpieczeństwo teleinformatyczne danych osobowych

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM PRZETWARZAJĄCYM DANE OSOBOWE W FIRMIE

REGULAMIN PORTALU INFORMACYJNEGO SĄDU REJONOWEGO W MIŃSKU MAZOWIECKIM

REGULAMIN PORTALU INFORMACYJNEGO SĄDU REJONOWEGO DLA WARSZAWY-WOLI W WARSZAWIE

REGULAMIN KORZYSTANIA Z SERWISU BIURO KARIER UNIWERSYTETU KAZIMIERZA WIELKIEGO

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

Ochrona wrażliwych danych osobowych

POLITYKA BEZPIECZEŃSTWA INFORMACJI URZĘDU GMINY W KIKOLE

POLITYKA PRYWATNOŚCI programu Karta Klienta Mercedes-Benz

PROCEDURA / POLITYKA OCHRONY DANYCH OSOBOWYCH OBOWIĄZUJACA W PRZEDSZKOLU Nr 44

CZĘŚĆ A. NAZWA ZBIORU DANYCH.

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH Michał Serzycki D E C Y Z J A. DIS/DEC- 877/31613/09 dot. DIS-K-421/43/09

Opis modułu pl.id w programie Komornik SQL-VAT

REGULAMIN PORTALU INFORMACYJNEGO SĄDU APELACYJNEGO W WARSZAWIE

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI

Data opracowania: Wersja 9.0

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI (1) z dnia 29 kwietnia 2004 r.

E-czeki - zakładanie listy odbiorców, raport uprawnień (Bankowość Elektroniczna dla Klientów Korporacyjnych Getin Noble Bank SA)

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM PRZETWARZAJĄCYM DANE OSOBOWE W FIRMIE

Przykładowy wzór Wystąpienia GIODO dotyczy zastosowanych środków bezpieczeństwa* Wystąpienie o dokonanie sprawdzenia

Przetwarzanie danych osobowych w przedsiębiorstwie

POLITYKA PRYWATNOŚCI. 1. uzyskania informacji o celu, zakresie i sposobie przetwarzania danych zawartych w takim

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W OŚRODKU KULTURY W DRAWSKU POMORSKIM

Zarządzenie nr 25 Burmistrza Kolonowskiego Z roku

Regulamin w zakresie przetwarzania danych osobowych w Zespole Szkół w Kaszczorze.

Regulamin w zakresie przetwarzania danych osobowych w Gimnazjum nr 2 im. Aleksandra Kamińskiego w Żarach

Szkolenie. Ochrona danych osobowych

Katarzyna Sadło. Ochrona danych osobowych w organizacjach pozarządowych. Kraków, 13 grudnia (stan obecny)

Zarządzenie nr 101/2011

Przykładowy wykaz zbiorów danych osobowych w przedszkolu

ELEKTRONICZNA KSIĄŻKA ZDARZEŃ

ZARZĄDZENIE NR 15/2010 DYREKTORA SZKOŁY PODSTAWOWEJ NR 20 im. HARCERZY BUCHALIKÓW w RYBNIKU z dnia r.

Stosownie do art. 41 ust. 1 ustawy zgłoszenie zbioru danych do rejestracji powinno zawierać:

Warszawa, dnia 31 grudnia 2018 r. Poz. 2523

3. Za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.

Instrukcja użytkownika Rejestracja zmiany/dopełnienia kodów pocztowych Rejestracja zmiany numeru lokalu Rejestracja zmiany numeru PESEL

Zamówienia publiczne

Data opracowania: Wersja 8.0

Regulamin w zakresie przetwarzania danych osobowych w Zespole Szkół Usługowo Gospodarczych w Pleszewie

REGULAMIN OCHRONY DANYCH OSOBOWYCH W ZASOBACH SPÓŁDZIELNI MIESZKANIOWEJ LOKATORSKO- WŁASNOŚCIOWEJ w Konstancinie-Jeziornie.

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH. Warszawa, dnia 10 lutego 2015 r. DOLiS/DEC-87/15/9908,9910,9920 dot.

Przeglądarka IW-SIRZ

Zarządzenie nr 14 Rektora Uniwersytetu Jagiellońskiego z 10 lutego 2006 roku

Załącznik Nr 2 do ZARZĄDZENIA NR 568/2016 PREZYDENTA MIASTA SOPOTU z dnia 12 maja 2016 r. INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

Obsługa wniosków w wersji Oprogramowania SR, FA i SW

BAZY DANYCH. Co to jest baza danych. Przykłady baz danych. Z czego składa się baza danych. Rodzaje baz danych

Ochrona danych osobowych

POLITYKA BEZPIECZEŃSTWA w Gimnazjum nr 1 w Żarach. Podstawa prawna

Opis modułu pl.id w programie Komornik SQL-VAT

DOBRE PRAKTYKI PRZETWARZANIA DANYCH OSOBOWYCH W SYSTEMACH INFORMATYCZNYCH ZAKŁADÓW UBEZPIECZEŃ. Andrzej Kaczmarek

POLITYKA PRYWATNOŚCI ORAZ POLITYKA PLIKÓW COOKIES W Sowa finanse

zwany w dalszej części umowy Podmiotem przetwarzającym lub Procesorem

Polityka prywatności i bezpieczeństwa przetwarzania danych osobowych w zbiorze czas-na-przeglad.pl

Polityka bezpieczeństwa przeznaczona dla administratora danych, który nie powołał administratora bezpieczeństwa informacji

Załącznik 1. Platforma komunikacyjna powinna posiadać następującą funkcjonalność:

REGULAMIN OCHRONY DANYCH OSOBOWYCH w Spółdzielni Mieszkaniowej KISIELIN w Zielonej Górze

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

WZÓR ZGŁOSZENIE ZBIORU DANYCH DO REJESTRACJI GENERALNEMU INSPEKTOROWI OCHRONY DANYCH OSOBOWYCH

OPIS PRZEDMIOTU ZAMÓWIENIA

Określa się wzór zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych, stanowiący załącznik do rozporządzenia.

ZALECENIA MINISTERSTWA PRACY I POLITYKI SPOŁECZNEJ. Platforma komunikacyjna powinna posiadać następującą funkcjonalność:

SuperPłace Struktury danych osobowych

i częstotliwość tworzenia kopii, zasady sprawdzania obecności wirusów komputerowych oraz dokonywania przeglądów i konserwacji systemów.

ZINTEGROWANY SYSTEM ZARZĄDZANIA DOKUMENT NADZOROWANY W WERSJI ELEKTRONICZNEJ. Procedura zarządzania profilami zaufanymi epuap w Urzędzie Miasta Płocka

Załącznik do rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 2008 r. (poz...) WZÓR STRUKTURALNY ELEKTRONICZNEJ KARTY ZAPYTANIA

POLITYKA PRYWATNOŚCI 1 2 Administrator Cookies Formularz zapytań Newsletter Serwis Urządzenie Użytkownik

POLITYKA PRYWATNOŚCI

Od Wykazu do Rejestru. Zmiany zasad dokumentowania zbiorów danych osobowych. Maciej Kołodziej

Transkrypt:

Wymagania dotyczące struktur baz danych osobowych oraz funkcjonalności zarządzających nimi aplikacji (w świetle ustawy o ochronie danych osobowych z dnia 29 sierpnia 1997 r. - t. j. Dz. U. z 2002 r. Nr 101, poz. 926, z pózn. zm.) Ustawa o ochronie danych osobowych określa nie tylko prawa osoby do ochrony jego danych, ale precyzuje również szereg wymagań w stosunku do wszystkich podmiotów, które danymi takimi dysponują. Art. 24. ust. 1. pkt. 3 ustawy wymaga, aby administrator danych informował osobę, której dane zostają umieszczone w zbiorze danych, o prawie dostępu do treści danych tej osoby oraz prawie do ich poprawiania, W odniesieniu do aplikacji zarządzającej przetwarzaniem danych osobowych realizacja wskazanego obowiązku wymaga, aby z poziomu aplikacji dostępna była specjalna opcja podglądu i weryfikacji przetwarzanych danych osobowych. Opcja taka powinna umożliwiać: a) jednoznaczną identyfikację danych osobowych wskazanej osoby, b) wyświetlenie oraz wydruk przetwarzanych danych w postaci zrozumiałej dla przeciętnego odbiorcy, c) korektę przetwarzanych danych. Ta ostatnia funkcja powinna być dostępna tylko dla osób uprawnionych do zmiany przetwarzanych danych. Wymóg dotyczący jednoznacznej identyfikacji danych osobowych przetwarzanych w zbiorze wynika z konieczności ograniczenia zainteresowanej osobie dostępu tylko do tych danych, które jej dotyczą. Osoba, której dane przetwarzane są w systemie informatycznym ma jedynie prawo do przeglądania i żądania zmiany tylko tych danych, które jej dotyczą. Funkcja służąca zatem do podglądu danych osobowych przetwarzanych w systemie informatycznym, jeżeli podgląd ten przewiduje się wykonywać w obecności osób, które życzą sobie dostępu do swoich danych, powinna być tak skonstruowana, aby na monitorze nie zostały przypadkowo wyświetlone dane innych osób. Aby niebezpieczeństwo takie wyeliminować, konstrukcja zapytań do zbioru przetwarzanych danych powinna zapewnić jednoznaczną identyfikację wyszukiwanej osoby. Oznacza to, że odpowiedzią na zapytanie wyszukania danych powinno być udostępnione danych tylko jednej, wyszukiwanej właśnie osoby. Niedopuszczalne jest, aby w obecności np. Jana Kowalskiego nr 1, na ekranie komputera w wyniku zapytania o jego dane wyświetlone zostały dane innych osób o tym samym nazwisku (patrz również art. 36 ustawy). Rozwiązanie takie, tzw. przybliżone wyszukiwanie, jest dopuszczalne tylko wtedy,

gdy wyniki wyszukiwania są dostępne wyłącznie dla osób upoważnionych do przetwarzania danych osobowych. W art. 26 ust. 1 pkt. 4 ustawy ustawodawca nakazuje, aby administrator danych dołożył szczególnej staranności w celu ochrony interesów osób, których dane dotyczą. W szczególności chodzi tutaj o to, aby dane osobowe były przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania. Realizacja powyższego obowiązku wymaga od aplikacji przetwarzającej dane osobowe, aby jednoznacznie realizowany był wymóg usunięcia danych ze zbioru (bazy danych). Chodzi tutaj głównie o to, aby opcja realizująca usuwanie pozycji ze zbioru polegała na rzeczywistym ich usunięciu lub nadpisaniu informacją pustą, a nie zaznaczeniu danego rekordu, jako rekordu skasowanego, który staje się często jedynie niewidocznym z poziomu aplikacji, ale dalej istnieje w przetwarzanym zbiorze danych. W tym ostatnim przypadku jest możliwość, przy użyciu odpowiednich programów narzędziowych, ponownego odkrycia usuniętego w ten sposób zapisu danych i dalszego ich przetwarzania. Rzeczywiste usunięcie lub nadpisanie informacją pustą kasowanych danych uniemożliwia dokonywanie jakichkolwiek dalszych modyfikacji na tych danych. Szczególną uwagę projektanci aplikacji zarządzających bazami danych osobowych powinni zwrócić również na art. 28. ust. 2 i 3 ustawy, który brzmi: 2. Numery porządkowe stosowane w ewidencji ludności mogą zawierać tylko oznaczenia płci, daty urodzenia, numer nadania oraz liczbę kontrolną. 3. Zabronione jest nadawanie ukrytych znaczeń elementom numerów porządkowych w systemach ewidencjonujących osoby fizyczne. Wymagania dotyczące zawartości tych pól informacyjnych w zbiorach danych osobowych, w których przechowywane są numery porządkowe (indeksy) zakazują ich wykorzystywania do kodowania innych wartości niż płeć, data urodzenia, numer pozycji w rejestrze oraz liczba kontrolna. Wymagania te odnoszą się nie tylko do pól informacyjnych w zbiorach danych osobowych, ale również do zawartości kolumn w tablicach SQL-owych baz danych, w których przechowywane są dane osobowe. Cytowany przepis zakazuje nadawanie takim polom jakichkolwiek innych ukrytych znaczeń. W dokumentacji systemu zarządzania bazą danych osobowych, sposób tworzenia numerów porządkowych i/lub indeksów, jeśli nie są to kolejne liczby naturalne określające pozycję zapisu w zbiorze, powinien być dokładnie

opisany i wyjaśniony. Wyjaśnienie takie jest niezbędne w celu wykazania, że dany system przetwarzania danych osobowych spełnia wskazane wymagania. Odpowiedniej struktury bazy danych oraz specjalnych opcji użytkowych od systemu informatycznego przetwarzającego dane osobowe wymaga również realizacja przepisów ustawy zawartych w art. 32 ust. 1 pkt. 3, pkt. 4, pkt. 5 i art. 33, których brzmienie jest następujące: Art. 32 ust. 1. Każdej osobie przysługuje prawo do kontroli przetwarzania danych, które jej dotyczą, zawartych w zbiorach danych, a zwłaszcza prawo do: 3. uzyskania informacji, od kiedy przetwarza się w zbiorze dane jej dotyczące, oraz podania w powszechnie zrozumiałej formie treści tych danych, 4. uzyskania informacji o źródle, z którego pochodzą dane jej dotyczące, chyba że administrator danych jest zobowiązany do zachowania w tym zakresie tajemnicy państwowej, służbowej lub zawodowej, 5. uzyskania informacji o sposobie udostępniania danych, a w szczególności informacji o odbiorcach lub kategoriach odbiorców, którym dane te są udostępniane, Art. 33 ust.1 pkt. 4 Na wniosek osoby, której dane dotyczą, administrator danych jest obowiązany, w terminie 30 dni, poinformować o przysługujących jej prawach oraz udzielić, odnośnie jej danych osobowych, informacji, o których mowa w art. 32 ust. 1 pkt. 1 5a, a w szczególności podać w formie zrozumiałej w jakim zakresie oraz komu dane zostały udostępnione. Art. 32 ust. 1 pkt. 5 w powiązaniu z 7 ust. 1 pkt. 4 rozporządzenia, stawia w odniesieniu do struktury bazy danych oraz aplikacji zarządzającej zbiorem danych osobowych wymaganie posiadania opcji umożliwiającej rejestrację daty, zakresu i sposobu udostępniania danych odbiorcom (w myśl art. 6 pkt. 7 ustawy), jeśli konieczność takiego udostępnienia wynika z przepisów prawa lub jest przewidziana przez administratora danych. Informacje dotyczące udostępnienia powinny być rejestrowane w taki sposób, aby dla każdej osoby, której dane są zawarte w zbiorze, możliwe było ich odczytanie i sporządzenie stosownego raportu (art. 33 ust. 1 pkt. 4 ustawy). Oznacza to, że pola informacyjne przeznaczone do wpisania udostępnień powinny być w strukturze zbioru danych powiązane relacją przyporządkowania wskazującą osobę, której dotyczą. Należy przy tym pamiętać, że dane przetwarzane w zbiorze dotyczące danej osoby mogą być udostępnione wielu różnym podmiotom, w różnych

okresach czasu. Stąd też niezbędne jest opracowanie takiej struktury zbioru danych, która umożliwi odnotowywanie wielu udostępnień danych odnoszących się do tej samej osoby. W przypadku, gdy ten sam podzielony funkcjonalnie zbiór przetwarzany jest w co najmniej dwóch różnych systemach informatycznych, zgodnie z 7 ust. 4 rozporządzenia, odnotowanie informacji o udostępnieniu danych odbiorcom może być realizowane w jednym z tych systemów lub w systemie trzecim dedykowanym wyłącznie temu celowi. Natomiast w przypadku, gdy mamy do czynienia z różnymi zbiorami, jakimi są np. zbiór klientów i zbiór pracowników, przetwarzanymi w różnych systemach informatycznych, odnotowanie, o którym mowa powyżej należy realizować w każdym z tych systemów lub w odrębnym systemie dedykowanym temu celowi. Istotnym warunkiem zgodności aplikacji przetwarzających dane osobowe z ustawą o ochronie danych osobowych jest również posiadanie funkcjonalności umożliwiającej wyświetlenie oraz wydruk danych osobowych w postaci umożliwiającej łatwe i jednoznaczne zrozumienie ich treści ( 7 pkt. 3 rozporządzenia). Oznacza to, że poszczególne dane powinny być prezentowane w pełnym brzmieniu, poprzedzone nazwą opisową danego pola, to jest nazwą, której znaczenie jest powszechnie zrozumiałe jak np. na rys. 1 lub 2. Przykładowy zestaw takich danych przedstawiono w części A poniżej zamieszczonej tabeli. A - Informacje identyfikujące osobę Nazwa danej Wartość Pierwsze imię Jan Drugie imię Zygmunt Nazwisko Kowalski Ulica, nr domu i mieszkania Nalewki 20 m.10 Kod pocztowy 00-701 Miejscowość Warszawa Data urodzenia 12 listopad 1954 PESEL 54111203431 B - Informacje z zakresu 7 ust. 1 pkt. 1, 2, 3, 5 rozporządzenia Nazwa danej data 1-szego wprowadzenia danych do systemu źródło pochodzenia danych Identyfikator użytkownika wprowadzającego dane zgoda na przetwarzanie danych Wartość 12.10.1999 od osoby, której dotyczą a_grzeskowiak Tak

zgoda na przetwarzanie danych w celach marketingowych Nie C - Informacje o udostępnieniach 7 ust. 1 pkt. 4 rozporządzenia L.p. Nazwa i adres podmiotu, któremu przekazano dane Data udostępnienia Zakres udostępnionych danych 1 2 Firma "ABC" S.A. ul. Pańska 4 00-920 Wrocław Firma XYZ Sp. z o.o. ul. Puławska 7 00-600 Warszawa 30.11.2000 imię i nazwisko adres zamieszkania PESEL imię ojca 17.08.2000 imię i nazwisko adres zamieszkania PESEL............ N......... Rys. 1 Przykład właściwej formy raportu zawierającego informacje, o których mowa w 7 ust. 1 rozporządzenia W przypadku gdy dane osobowe prezentowane są w postaci zredagowanej formatki jak na rys. 2, wówczas kolejne jej pola informacyjne powinny być jednoznacznie oznaczone, tak jak zostało to zaprezentowane na poniższym przykładzie. Imię (imiona): Jan Zygmunt Nazwisko: Kowalski Adres: Nalewki 20 m. 10; Imię ojca: Grzegorz 00-701 Warszawa Data urodzenia: 12 listopad 1954 Imię matki: Katarzyna Nr PESEL: 6711203221 Miejsce pracy: Zygfryt S.A.; Wykształcenie: wyższe Ul. Korty 10, Płocko Rys. 2 Sposób poprawnej prezentacji danych przetwarzanych w systemie informatycznym Opcja prezentacji danych nie powinna wyświetlać/drukować danych w postaci kodów, jakie często są stosowane w wewnętrznej strukturze bazy danych w celu jej optymalizacji lub normalizacji wewnętrznej struktury danych (Rys. 3).

Jeżeli np. w strukturze bazy istnieje słownik kodów wykształcenia w postaci: w wyższe, s średnie, z zawodowe, oraz w strukturze zapisu danych i ewentualnie innych procedurach przetwarzania operuje się nie pełnym opisem wartości danych, lecz wprowadzonymi kodami, to jednak, niezależnie od tego, podczas ich prezentacji, należy przedstawić ich pełne opisy. Opisy te nie powinny być wieloznaczne. Nie należy w tym celu używać skrótów, których znaczenie w przypadku braku wystarczającego kontekstu mogłoby budzić wątpliwości, jak np. użycie skrótu arch. dla oznaczenia zawodu architekt, który może być interpretowany również jako skrót słowa archiwista lub archeolog. Imię (imiona): Jan Zygmunt Nazwisko: Kowalski Adres: Nalewki 20 m. 10; Imię ojca: Grzegorz 00-701 Warszawa Data urodzenia: 12 listopad 1954 Imię matki: Katarzyna Nr PESEL: 6711203221 Wykształcenie: W Miejsce pracy: Zygfryt S.A. Rys. 3 Przykład nieprawidłowego sposobu prezentacji danych osobowych w systemie informatycznym Odpowiedniej struktury bazy danych oraz specjalnych opcji użytkowych od systemu informatycznego przetwarzającego dane osobowe wymaga również realizacja obowiązku, o którym mowa w art. 38, którego brzmienie jest następujące: administrator danych przetwarzanych w systemie informatycznym jest obowiązany zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane, zwłaszcza, gdy przekazuje się je za pomocą urządzeń teletransmisji danych. Art. 38 ustawy poza przedstawionymi już wyżej wymogami dotyczącymi rejestracji zdarzeń dotyczących udostępniania danych innym podmiotom, określa również wymagania dotyczące rejestracji danych związanych z wewnętrzną organizacją przetwarzania. Do danych takich należą między innymi informacje o dacie wprowadzenia danych do systemu oraz osobie, która je wprowadziła. System informatyczny służący do przetwarzania danych osobowych powinien, więc posiadać własności, które zapewniają odpowiednią autoryzację i

rozliczalność przetwarzanych danych. Przez autoryzację należy tu rozumieć właściwość zapewniającą, że dostęp do systemu informatycznego uzyskują jedynie osoby, które posiadają odpowiednie upoważnienie i zostały w tym systemie zarejestrowane. Przez rozliczalność zaś, należy rozumieć własność zapewniającą możliwość jednoznacznego wskazania osoby, która określone dane do systemu wprowadziła lub zmieniła. Ponadto, rozliczalność przetwarzania danych osobowych w systemie informatycznym powinna zapewniać również możliwość ustalenia daty wprowadzania danych osobowych do systemu. Data aktualizacji: 05.11.2004 r.

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres