Kwalifikacje w Zawodzie - Testy zawodowe online | Egzaminy Zawodowe

KWALIFIKACJA EKA4 - TEST WIEDZY NR 8



PYTANIE NR 1.
Zgodnie z RODO, który element jest niezbędny dla bezpieczeństwa systemu zarządzania danymi osobowymi?
A.
B.
C.
D.
Wyjaśnienie poprawnej odpowiedzi:
RODO wymaga wdrożenia środków zapewniających bezpieczeństwo przetwarzania, m.in. poufność i integralność danych.
Kluczowe są mechanizmy kontroli dostępu i autoryzacji, bo ograniczają wgląd i działania tylko do uprawnionych osób. Pozostałe opcje zwiększają ryzyko lub nie stanowią ogólnego wymogu RODO.

Pełne wyjaśnienie:

W systemie zarządzania danymi osobowymi "niezbędny" element z perspektywy RODO dotyczy bezpieczeństwa przetwarzania, a nie tego, jakie konkretnie dane system ma zawierać.

Art. 32 RODO wskazuje, że administrator ma dobrać odpowiednie środki techniczne i organizacyjne, aby zapewnić m.in. poufność, integralność i dostępność danych oraz odporność systemów. Praktycznie oznacza to m.in. kontrolę tego, kto ma dostęp do danych i co może z nimi zrobić.

Dlaczego poprawna jest odpowiedź:

  • Mechanizmy kontroli dostępu i autoryzacji użytkowników są podstawą ochrony danych: pozwalają nadawać role i uprawnienia, ograniczać dostęp do minimum potrzebnego do pracy oraz egzekwować rozliczalność (np. poprzez konta imienne i logowanie działań). To bezpośrednio wspiera poufność i integralność.

Dlaczego pozostałe odpowiedzi są nieprawidłowe:

  • Dostęp do danych wszystkich pracowników sugeruje nadmiernie szeroki dostęp. Taki model stoi w sprzeczności z zasadą ograniczania dostępu do osób upoważnionych i zwiększa ryzyko nieuprawnionego ujawnienia danych.
  • Możliwość dowolnej modyfikacji przez wszystkich oznacza brak kontroli uprawnień i grozi naruszeniem integralności danych (błędne/nieautoryzowane zmiany). Bez kontroli ról nie da się wykazać, że system chroni dane adekwatnie do ryzyka.
  • Automatyczne usuwanie po roku nie jest uniwersalnym wymogiem RODO. Okres przechowywania zależy od celu, podstawy prawnej i polityki retencji; w wielu przypadkach dane trzeba przechowywać dłużej (np. obowiązki księgowe/kadrowe) lub krócej. Sam sztywny "rok" nie przesądza o zgodności ani bezpieczeństwie.

Na egzaminie warto zapamiętać: RODO nie wymaga, by system "miał dane", tylko by potrafił je bezpiecznie przetwarzać poprzez odpowiednie zabezpieczenia (np. kontrolę dostępu, szyfrowanie, kopie zapasowe i testowanie skuteczności środków).

Dodatkowe pytania

Dodatkowe pytania (FAQ):
Co oznacza kontrola dostępu w systemie danych osobowych?
Kontrola dostępu to zestaw zasad i mechanizmów, które określają kto może wejść do systemu i do jakich danych ma dostęp. Obejmuje m.in. logowanie, role użytkowników, nadawanie uprawnień oraz blokowanie dostępu osobom nieupoważnionym. Pomaga spełnić cel poufności i integralności danych.
Dlaczego RODO wymaga autoryzacji użytkowników w systemie?
Autoryzacja ogranicza działania użytkownika do tego, co jest mu potrzebne do pracy (np. odczyt, edycja, eksport). Bez autoryzacji łatwo o nieuprawniony wgląd lub zmiany danych, czyli naruszenie poufności i integralności. To praktyczna realizacja wymagań bezpieczeństwa przetwarzania z art. 32 RODO.
Jakie środki bezpieczeństwa wymienia art. 32 RODO?
Art. 32 RODO wskazuje m.in. pseudonimizację i szyfrowanie, zdolność ciągłego zapewniania poufności, integralności i dostępności, możliwość szybkiego przywrócenia dostępu po incydencie oraz regularne testowanie skuteczności zabezpieczeń. To cele i przykłady środków, dobierane adekwatnie do ryzyka.
Czy każdy pracownik firmy może mieć dostęp do danych osobowych?
Nie. Dostęp powinien mieć tylko pracownik, któremu jest to potrzebne do realizacji obowiązków. Zbyt szeroki dostęp zwiększa ryzyko błędów i nadużyć, utrudnia też rozliczalność. W praktyce stosuje się role (np. kadry, księgowość, sprzedaż) i upoważnienia oraz przeglądy uprawnień.
Co to jest poufność, integralność i dostępność danych (CIA)?
Poufność oznacza, że dane widzą tylko uprawnione osoby. Integralność to ochrona przed nieautoryzowaną zmianą lub zniszczeniem danych. Dostępność oznacza, że uprawnieni użytkownicy mają dostęp do danych wtedy, gdy jest to potrzebne (np. także po awarii dzięki kopiom zapasowym).
Jakie są przykłady autoryzacji i uwierzytelniania w firmie?
Uwierzytelnianie to potwierdzenie tożsamości (hasło, token, 2FA), a autoryzacja to nadanie uprawnień (rola, zakres danych, możliwość eksportu). Przykład: pracownik kadr może edytować dane pracownicze, a kierownik działu widzi tylko listę zespołu. Rozdzielenie tych pojęć jest częstym tematem pytań.
Dlaczego "dowolna modyfikacja przez wszystkich" jest błędem?
Taki model niszczy integralność i rozliczalność: nie wiadomo, kto i dlaczego zmienił dane, rośnie ryzyko celowego lub przypadkowego zniekształcenia informacji. RODO oczekuje środków adekwatnych do ryzyka, a praktyką jest ograniczanie edycji, logowanie zmian oraz zatwierdzanie operacji wrażliwych.
Czy RODO nakazuje usuwać dane po roku od zebrania?
Nie ma jednej, stałej reguły "rok". Okres przechowywania zależy od celu przetwarzania i podstawy prawnej oraz przyjętej polityki retencji. Czasem dane trzeba przechowywać dłużej (np. z obowiązków ewidencyjnych), a czasem krócej. Ważne jest, by okres był uzasadniony i udokumentowany.
Jak technik ekonomista może wdrożyć zasadę minimalizacji dostępu w praktyce?
W praktyce oznacza to: nadawanie ról w systemie (kadry, księgowość, sprzedaż), upoważnienia imienne, okresowe przeglądy uprawnień oraz odbieranie dostępu po zmianie stanowiska. Pomocne są też logi dostępu i procedura zgłaszania incydentów. To realne działania wspierające zgodność z RODO.
Jak rozwiązywać na egzaminie pytania o RODO i systemy IT?
Szukaj odpowiedzi opisujących mechanizmy bezpieczeństwa (kontrola dostępu, szyfrowanie, kopie, testy). Uważaj na opcje sugerujące "pełny dostęp dla wszystkich" albo "sztywny okres usuwania" bez kontekstu. Pamiętaj: RODO wymaga zdolności do bezpiecznego przetwarzania, a nie "posiadania" konkretnego zbioru danych.
info

To pytanie poprawnie rozwiązuje 62% zdających egzamin. średnie

Według specjalistów z branży: "Pozostałe opcje zwiększają ryzyko lub nie stanowią ogólnego wymogu RODO."

Źródła:

  • EUR-Lex: Rozporządzenie (UE) 2016/679 (RODO), art. 32 (Bezpieczeństwo przetwarzania) – https://eur-lex.europa.eu/eli/reg/2016/679/oj (dostęp: 2026-02-26)
  • UODO: Poradniki/wyjaśnienia dotyczące bezpieczeństwa danych osobowych i środków technicznych oraz organizacyjnych (kontrola dostępu, upoważnienia) – https://uodo.gov.pl/pl/138/ (dostęp: 2026-02-26)
  • EDPB: Guidelines 01/2021 on Examples regarding Data Breach Notification (zagadnienia środków bezpieczeństwa i ryzyk) – https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-012021-examples-regarding-data-breach-notification_en (dostęp: 2026-02-26)

Materiały:

  • Tekst RODO (UE 2016/679) – szczególnie art. 32 dotyczący bezpieczeństwa przetwarzania
  • Materiały edukacyjne Urzędu Ochrony Danych Osobowych (UODO) o zabezpieczeniach i kontroli dostępu
  • Podstawy zarządzania bezpieczeństwem informacji (wprowadzenie do CIA: poufność–integralność–dostępność)
Zobacz też:

Aktualizacja pytania: 03.04.2026



Aktualizacja pytania: 03.04.2026
📡 Brak połączenia internetowego