Dzisiejszy wpis rozpocznie cykl artykułów pt. „Polityka Bezpieczeństwa dziś i po 25 maja 2018 roku (RODO)”. W niniejszej części artykułu omówione zostaną kwestie dotyczące Polityki Bezpieczeństwa oraz Instrukcji Zarządzania Systemem Informatycznym Służącym do Przetwarzania Danych Osobowych.
Jakie dokumenty powinna posiadać każda organizacja pracująca z danymi osobowymi?
Administrator danych osobowych, jakim jest już dla przykładu każdy pracodawca, niezależnie od tego, czy prowadzi sprzedaż bądź też oferuje usługi klientom indywidualnym czy instytucjonalnym, zobowiązany jest do wdrożenia w organizacji dokumentacji co do zastosowanych środków technicznych i organizacyjnych zapewniających przetwarzanie danych osobowych zgodnie z prawem, w szczególności w celu zabezpieczenia danych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.
Na podstawie delegacji ustawowej o wskazanej dokumentacji traktuje bezpośrednio nadal obowiązujące Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r., które mówi o dwóch podstawowych dokumentach, tj. Polityce Bezpieczeństwa oraz Instrukcja Zarządzania Systemem Informatycznym Służącym do Przetwarzania Danych Osobowych.
Jakie informacje powinien zawierać dokument Polityki Bezpieczeństwa?
Pierwszy dokument, tj. Polityka Bezpieczeństwa w swej treści zgodnie ze wskazanym rozporządzeniem, powinna zawierać takie podstawowe informacje, jak:
• wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe;
• wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych;
• opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi;
• sposób przepływu danych pomiędzy poszczególnymi systemami;
• określenia środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.
O czym mówi instrukcja zarządzania systemem Informatycznym Służącym do przetwarzania danych osobowych?
Drugi dokument, tj. Instrukcja Zarządzania Systemem Informatycznym Służącym do Przetwarzania Danych Osobowych reguluje zaś kwestie:
• procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym;
• stosowanych metod i środków uwierzytelnienia oraz procedur związanych z ich zarządzaniem i użytkowaniem;
• procedur rozpoczęcia, zawieszenia i zakończenia pracy przeznaczonych dla użytkowników systemu;
• procedur tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania;
• sposobu, miejsca i okresu przechowywania elektronicznych nośników informacji zawierających dane osobowe oraz kopii zapasowych;
• sposobu zabezpieczenia systemu informatycznego przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego;
• sposobu odnotowywania informacji o odbiorcach danych, którym dane zostały udostępnione, a także o dacie i zakresie udostępnienia;
• procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.
Leszek Przybyłka, doradca podatkowy, adwokat Kraków, czerwiec 2017 roku
Kraków