Decyzja nakazująca usunięcie uchybień w procesie przetwarzania danych osobowych poprzez zapewnienie, aby zmiana hasła do systemu informatycznego „Windows 7”, w którym przetwarzane są dane osobowe osób wnioskujących o wydanie dokumentów związanych z przebiegiem zatrudnienia na podstawie przechowywanej przez Spółkę dokumentacji osobowej i płacowej następowała nie rzadziej niż co 30 dni, w terminie 2 miesięcy od dnia, w którym niniejsza decyzja stanie się ostateczna.
Zarzuty GIODO:
1. Niezapewnienie, aby zmiana hasła do systemu informatycznego „Windows 7”, w którym przetwarzane są dane osobowe osób wnioskujących o wydanie dokumentów związanych z przebiegiem zatrudnienia na podstawie przechowywanej przez Spółkę dokumentacji osobowej i płacowej następowała nie rzadziej niż co 30 dni (część A pkt IV ust. 2 rozporządzenia).
2. Niespełnienie przez administratora danych wymogów, o których mowa w art. 39 ust. 1 ustawy w zakresie, w jakim prowadzona ewidencja osób upoważnionych nie zawierała identyfikatora użytkownika w systemie informatycznym, którym posługuje się on podczas uwierzytelniania w systemie informatycznym, będący jednocześnie identyfikatorem indeksującym wykonane przez niego operacje.
Wskazówki GIODO
1. Zgodnie z częścią A pkt IV ust. 2 załącznika do rozporządzenia, w przypadku, gdy do uwierzytelniania użytkowników używa się hasła, jego zmiana następuje nie rzadziej, niż co 30 dni.

W toku kontroli ustalono, iż hasło do systemu operacyjnego „Windows 7” na komputerze Specjalisty ds. administracji personalnej, z którego możliwy jest dostęp do pliku w formacie „Excel” (zawierającego imię i nazwisko osoby kierującej podanie o dostęp do dotyczącej jej dokumentacji osobowej i płacowej, w tym uzyskanie stosownych zaświadczeń stworzonych w oparciu o ww. dokumentację, zakres żądania, datę wysyłki skanu podania do P. Sp. z o.o. oraz adnotację, na której fakturze żądanie zostało rozliczone), a także do wiadomości e-mail od osób kierujących ww. podanie w formie elektronicznej, jest zmieniane rzadziej niż co 30 dni.

2. Jeśli dane przetwarzane są w systemie informatycznym wówczas każdy, kto ma dostęp do tych danych – osoba upoważniona przez administratora danych – powinien mieć odpowiedni identyfikator. Informacja ta powinna być zapisana w ewidencji osób upoważnionych do przetwarzania danych. Wynika to bowiem z tego, że system informatyczny, w którym przetwarzane są dane osobowe, powinien umożliwiać kontrolę dostępu do tych danych. Jeśli zatem dostęp do danych przetwarzanych w systemie informatycznym posiadają co najmniej dwie osoby, wówczas należy zapewnić, aby w systemie tym rejestrowany był dla każdego użytkownika odrębny unikalny identyfikator, a dostęp do danych był możliwy wyłącznie po wprowadzeniu identyfikatora i dokonaniu uwierzytelnienia.

Podsumowanie

Każdy administrator danych ma obowiązek stosowania środków ochrony danych adekwatnych do poziomu systemu informatycznego. Niedopilnowanie by zmiana haseł w systemie informatycznym służącym do przetwarzania danych miała miejsce co 30 dni i brak w postaci unikalnego identyfikatora użytkownika w ewidencji to wydawać by się mogło – szczegół, który spowoduje, że GIODO wezwie administratora do usunięcia naruszeń.

 

DIS/DEC-954/15/105865

Czy prowadzisz sklep internetowy?

 

Czy sprzedajesz produkty online lub na Allegro?