Czy system teleinformatyczny, który uzyskał akredytację ABW do przetwarzania informacji niejawnych, może być wykorzystywany do przetwarzania danych osobowych?

Metadane
Podmiot udostępniający: Zespół Rzecznika Prasowego Biura GIODO
Wytworzył informację: Małgorzata Kałużyńska-Jasak
Wprowadził‚ informację: Rafał Kreusch 2009-11-16 13:36:35
Ostatnio modyfikował: Rafał Kreusch 2013-11-28 12:56:59

Odpowiedź:

Tak, gdyż dopuszczenie systemu teleinformatycznego do przetwarzania informacji niejawnych jest równoznaczne z tym, że w najwyższym stopniu spełnia on wymogi stawiane systemom służącym do przetwarzania danych osobowych.

Uzasadnienie:

Choć ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych stanowi ogólnie, że administrator danych jest zobowiązany zastosować takie środki techniczne i organizacyjnie, aby skutecznie chronić dane osobowe, to już wydane na jej podstawie rozporządzenie ministra spraw wewnętrznych i administracji z  dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych wprowadza trzy stopnie ich zabezpieczenia zależne od kategorii przetwarzanych danych i istniejących zagrożeń:

  • podstawowy – który powinien być stosowany wówczas, gdy administrator nie przetwarza danych szczególnie chronionych (np. danych o stanie zdrowia, kodzie genetycznym czy życiu seksualnym) i wówczas, gdy żadne z urządzeń systemu informatycznego służącego do przetwarzania danych osobowych nie jest połączone z  publiczną siecią internetową,
  • podwyższony – który powinien być stosowany tam, gdzie przetwarzane są dane szczególnie chronione (np. o stanie zdrowia), ale żadne z urządzeń systemu informatycznego służącego do przetwarzania danych osobowych nie jest połączone z  publiczną siecią internetową,
  • wysoki – który powinien być stosowany wówczas, gdy przynajmniej jedno urządzenie systemu informatycznego służącego do przetwarzania danych osobowych jest połączone z publiczną siecią internetową.

Zgodnie z § 8 wymienionego rozporządzenia, system informatyczny służący do przetwarzania danych, który został dopuszczony przez właściwą służbę ochrony państwa do przetwarzania informacji niejawnych, po uzyskaniu certyfikatu wydanego na podstawie przepisów ustawy z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych spełnia wymogi niniejszego rozporządzenia pod względem bezpieczeństwa na poziomie wysokim.

Serwisy GIODO:

Ostatnie aktualności