Jeśli firma przetwarza dane osobowe to zawsze może się zdarzyć, że komputer z tymi danymi będzie miał awarię. Pewna obywatelka postanowiła spytać GIODO, co robić w takiej sytuacji. Zadała dwa pytania. 

1. Czy wezwany informatyk do naprawy sprzętu musi mieć specjalne upoważnienie od ABI?
2. Co robić, gdy komputer będzie musiał trafić do serwisu?

Poniżej prezentujemy odpowiedź, jaka została udzielona przez biuro GIODO (nieco ją skróciliśmy, by zwiększyć czytelność).

* * *

W odpowiedzi na Pani pismo z dnia 31 marca 2015 r. w sprawie opinii dotyczącej właściwego postępowania w przypadku uszkodzonego komputera informuję, co następuje:

Zgodnie z artykułem 36 pkt 1 administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych (...). Ponadto szereg minimalnych wymagań i warunków, jakie powinny być spełnione w procesie zarządzania bezpieczeństwem, zawarte są w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych oraz załączniku (Dz. U. z 2004 r. Nr 100, poz. 1024).

Inne niewymienione w ww. rozporządzeniu działania w zakresie bezpieczeństwa powinny być w zgodzie z aktualnym stanem wiedzy w tym obszarze. Można w tym celu wykorzystać m.in. dokumenty definiujące narodowe, europejskie lub międzynarodowe standardy i dobre praktyki w zakresie zarządzania bezpieczeństwem informacji.

Mając powyższe na uwadze, w przypadku uszkodzenia komputera procedura jego naprawy może być taka, jak opisano w części A pkt VI ppkt 3 załącznika do ww. rozporządzenia, mówiącego o tym, że urządzenia, dyski lub inne elektroniczne nośniki informacji, zawierające dane osobowe, przeznaczone do naprawy, pozbawia się wcześniej zapisu tych danych w sposób uniemożliwiający ich odzyskanie albo naprawia się je pod nadzorem osoby upoważnionej przez administratora danych.  

1. Odpowiadając zatem na pytanie 1, czy wezwany informatyk do naprawy komputera, w którym są przetwarzane dane osobowe musi mieć specjalne upoważnienie od ABI (...) należy stwierdzić, iż wystarczającym warunkiem jest wykonywanie naprawy sprzętu pod nadzorem osoby upoważnionej przez administratora danych do ich przetwarzania. Jednocześnie wyjaśniam, że upoważnienie powinno być wydane przez ADO (administratora danych osobowych - red.)  a nie przez ABI, na co wskazuje Pani w pytaniu.


2. W odpowiedzi na pytanie 2, w przypadku gdy komputera nie będzie można naprawić na miejscu i koniecznym będzie zabranie sprzętu do serwisu, wówczas postępowanie zależne powinno być od tego, czy na nośnikach pamięci stanowiących podzespoły uszkodzonego komputera nie są zapisane żadne dane osobowe, tj. komputer wykorzystywany jest jedynie jako narzędzie dostępu do systemu, a na jego nośnikach nie przechowywane są żadne dane osobowe, czy też są zapisywane dane osobowe.
   
   W pierwszym przypadku (gdy na nośnikach pamięci komputera nie są przechowywane dane osobowe) nie ma przeszkód, aby komputer przekazać do naprawy pod warunkiem, że były przestrzegane zasady dotyczące ustawień np. przeglądarki w zakresie niezapamiętywania danych z formularzy, haseł itp. lub zapisane dane w tym zakresie zostały usunięte przed przekazaniem sprzętu.
   
   W drugim przypadku, gdy dane osobowe były przechowywane na nośnikach pamięci uszkodzonego komputera, wówczas w zależności od rodzaju uszkodzenia postępowanie powinno być następujące:
   
   a) Jeśli uszkodzenie nie dotyczy nośników pamięci, należy je wymontować i do naprawy przekazać komputer niezawierający nośników, na których są dane osobowe.
   
   b) Jeśli uszkodzony został nośnik pamięci zawierający dane osobowe, wówczas jeśli nie jest możliwa jego naprawa na miejscu, należy go wymontować i zniszczyć w sposób uniemożliwiający odczytanie zapisanych danych i zakupić nowy. Warto na taką okoliczność w specyfikacji warunków dotyczących zakupu nowego sprzętu informatycznego zastrzec w warunkach gwarancji, aby w przypadku uszkodzenia jego nośników pamięci ich wymiana nie wymagała zdania nośników, które uległy awarii.
   
   

* * *

Poruszony problem dotyka kwestii upoważnień administratora danych osobowych. Jeśli chcecie więcej wiedzieć o upoważnieniach, zajrzyjcie do tekstu pt. Upoważnienie do przetwarzania danych osobowych – jak, dla kogo i po co?