Polityka Bezpieczeństwa dziś i po 25 maja 2018 roku (RODO) cz. I

Dzisiejszy wpis rozpocznie cykl artykułów pt. „Polityka Bezpieczeństwa dziś i po 25 maja 2018 roku (RODO)”. W niniejszej części artykułu omówione zostaną kwestie dotyczące Polityki Bezpieczeństwa oraz Instrukcji Zarządzania Systemem Informatycznym Służącym do Przetwarzania Danych Osobowych.

Administrator danych osobowych, jakim jest już dla przykładu każdy pracodawca, niezależnie od tego, czy prowadzi sprzedaż bądź też oferuje usługi klientom indywidualnym czy instytucjonalnym, zobowiązany jest do wdrożenia w organizacji dokumentacji co do zastosowanych środków technicznych i organizacyjnych zapewniających przetwarzanie danych osobowych zgodnie z prawem, w szczególności w celu zabezpieczenia danych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.

Na podstawie delegacji ustawowej o wskazanej dokumentacji traktuje bezpośrednio nadal obowiązujące Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r., które mówi o dwóch podstawowych dokumentach, tj. Polityce Bezpieczeństwa oraz Instrukcja Zarządzania Systemem Informatycznym Służącym do Przetwarzania Danych Osobowych.

Pierwszy dokument, tj. Polityka Bezpieczeństwa w swej treści zgodnie ze wskazanym rozporządzeniem, powinna zawierać takie podstawowe informacje, jak:

• wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe;
• wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych;
• opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi;
• sposób przepływu danych pomiędzy poszczególnymi systemami;
• określenia środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.