Prowadzenie w organizacji Ewidencji upoważnień do przetwarzania danych osobowych niestety jest dość często pomijane. Czy jej prowadzenie jest obowiązkowe i dlaczego jest ważne?

O upoważnieniach do przetwarzania danych osobowych pisaliśmy w artykułach: Upoważnienie do przetwarzania danych osobowych – czym jest i po co je wystawiać? (link: https://www.e-kursyrodo.pl/upowaznienie-do-przetwarzania-danych-osobowych-6/) oraz Jak poprawnie wystawić upoważnienie do przetwarzania danych osobowych (link: https://www.e-kursyrodo.pl/upowaznienie-do-przetwarzania-danych-osobowych-jak-je-poprawnie-wystawic/)

Zachęcamy do zapoznania się z nimi. Poniższy artykuł stanowi uzupełnienie tematyki upoważnień. 

Czym jest Ewidencja upoważnień danych osobowych?

Ewidencja (inaczej rejestr/wykaz) osób upoważnionych to nic innego jak spis wszystkich wydanych upoważnień do przetwarzania danych osobowych dla pracowników.

Jeśli jesteś osobą odpowiedzialną w firmie za nadawanie upoważnień pracownikom, zapewne wiesz jak ważne jest zachowanie systematyczności w ich nadawaniu. Jeśli jeszcze do tej pory nie zdecydowałeś się na prowadzenie Ewidencji upoważnień zapoznaj się z istotnymi powodami, dla których warto ją prowadzić:

1. Przede wszystkim – zgodność z przepisami prawa. RODO (Rozporządzenie o ochronie danych osobowych) wywiera na Administratorze danych potrzebę „rozliczalności” ze stosowania się z przepisów zawartych w tym Rozporządzeniu. Rozliczalność to najprościej ujmując możliwość udowodnienia, że działamy zgodnie z obowiązującym prawem. Najprościej jest to wykazać, poprzez przedstawienie takiej ewidencji.
2. Systematyczne monitorowanie dostępów = lepsze zabezpieczenie danych. Jeśli wiemy, który pracownik na jakim stanowisku do jakich danych konkretnie może mieć dostęp, to bardzo łatwo i szybko jesteśmy w stanie zweryfikować, czy nie doszło do nadużyć/naruszeń ze strony pracownika. To zaś ułatwia zarządzanie ryzkiem związanym z naruszeniem prywatności. Prowadzenie ewidencji wiąże się również z usprawnieniem procesu zarządzania nad nadawanymi upoważnieniami w organizacji. Prowadzenie ewidencji zmusza do skontrolowania nadanego upoważnienia.
3. Szybsza reakcja na incydenty związane z danymi osobowymi. W przypadku naruszenia danych, np. wycieku danych albo utraty dostępu do danych, Ewidencja upoważnień może pozwolić na szybkie zidentyfikowanie osób, które miały do nich dostęp.
4. Zwiększenie świadomości pracowników w sprawie  ochronie danych. Pracownik wie, za co odpowiada, do jakich systemów informatycznych może mieć dostęp, a do których nie powinien. Ponadto, pracownicy, którzy wiedzą, że ich działania są monitorowane, mogą być bardziej skłonni przestrzegać procedur i przepisów dotyczących ochrony danych.

Jakie informacje powinna zawierać Ewidencja upoważnień?

Najważniejsze informacje zawarte w Ewidencji:

Informacje znajdujące się na nadanym upoważnieniu, tj:

• imię, nazwisko, stanowisko pracownika;
• zakres upoważnienia do przetwarzania danych osobowych;
• spis systemów informatycznych, do jakich dany pracownik. Praktykuje się także zawieranie informacji dot.  identyfikatora (loginu) w tych systemach;
• informacja, czy dany pracownik jest również upoważniony do przetwarzania danych szczególnej kategorii (danych wrażliwych).
• data nadania upoważnienia (najczęściej równoznaczna za datą rozpoczęcia stosunku pracy);

A także:

• data ustania obowiązywania upoważnienia (np. data zmiany stanowiska na niewymagającego przetwarzania danych osobowych, lub najczęściej data ustanie stosunku pracy);
• data wpisu do Ewidencji;

Wpisanie do Ewidencji wszystkich identyfikatorów (loginów) do systemów informatycznych, do których pracownicy mają dostęp może być utrudnione, zwłaszcza gdy firma zatrudnia bardzo dużą ilość pracowników oraz gdy korzysta z dużej ilości systemów informatycznych. Bardzo ważna jest przede wszystkim kwestia rozliczalności, a więc w tej sytuacji należy znaleźć rozwiązanie umożliwiające zidentyfikowanie poszczególnych użytkowników w systemach informatycznych w obliczu sytuacji, która by tego wymagała (ma to znaczenie w sytuacji naruszenia bezpieczeństwa danych osobowych w tych systemach – przykładowo ustalenie tożsamości ostatniego pracownika mającego dostęp do systemu).

Podsumowanie

Zapamiętaj!

SYSTEMATYCZNOŚĆ to najważniejsza zasada w nadawaniu upoważnień oraz prowadzeniu ewidencji.

Upoważnienie powinno zostać nadane przed rozpoczęciem pracy przez nowego pracownika lub najpóźniej w pierwszym dniu pracy. Tak samo informacja o nadaniu upoważnienia powinna zostać odnotowana w upoważnieniu jak najszybciej.

Jeśli Ewidencja nie będzie prowadzona na bieżąco, systematycznie, to nie będzie spełniać swoich podstawowych funkcji.

Podsumowując, prowadzenie ewidencji osób upoważnionych do przetwarzania danych osobowych jest kluczowym elementem skutecznego zarządzania danymi osobowymi i zapewnienia zgodności z przepisami prawnymi. Pomaga to minimalizować ryzyko naruszenia prywatności, zwiększać bezpieczeństwo danych i umożliwiać skuteczne reagowanie na incydenty związane z danymi.

Firma Standarder Sp. z o.o. (właściciel platformy e-kursyrodo.pl) oferuje pełen zakres usług w obrębie ochrony danych i bezpieczeństwa informacji . Przykładowo:

– audyty ochrony danych (RODO), – przygotowanie dokumentacji RODO,
– wsparcie we wdrażaniu środków technicznych i organizacyjnych zgodnie z RODO
– usługi Inspektora Ochrony Danych,
– konsultacje ze specjalistą w zakresie ochrony danych i bezpieczeństwa informacji, w tym m.in. opiniowanie umów, udzielanie porad i korekty dokumentacji.


Naszą pełną ofertę możesz znaleźć na stronie: https://standarder.pl/oferta-ochrona-danych/