Porada prawna on-line

Artykuły

»

Prawo dla firm

»

Ochrona danych osobowych

»

Pozostałe

» Dokumenty niezbędne do ...

NAJNOWSZE ARTYKUŁY

Kursor na ikonie z napisem "Security".

Dokumenty niezbędne do zabezpieczenia danych osobowych

03.04.2016

Pozostałe

Jak wskazałem w poprzednim artykule środki ochrony organizacyjnej to głównie dokumentacja. Jest to newralgiczny punkt każdego systemu ochrony danych, ponieważ to zwykle od nich rozpoczyna się kontrola GIODO lub PiP w zakresie danych osobowych. Przypomnieć należy, że środki ochrony organizacyjnej często wynikają wprost z przepisów prawa, co tyczy się szczególnie podstawowej dokumentacji ochrony danych osobowych – polityki bezpieczeństwa danych osobowych oraz instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. Co powinny zawierać te dokumenty? Jak powinno się je tworzyć?

Pierwszym z podstawowych dokumentów jest polityka bezpieczeństwa. Dokument ten powinien szczegółowo i szeroko opisywać wszystkie środki organizacyjne i techniczne zastosowane do ochrony danych osobowych w danym przedsiębiorstwie. Szczegółowe wymogi dotyczące treści określa § 4 Rozporządzenia MSWiA z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Stanowi on, iż polityka bezpieczeństwa musi zawierać w szczególności:

  • wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe;

W tym punkcie warto zaznaczyć, iż nie wystarczy zaznaczyć, iż jest to siedziba przedsiębiorcy lub podanie adresu. Konieczne jest powiązanie z wykazem zbiorów danych i wskazanie konkretnego miejsca ich przechowywania i przetwarzania (np. zbiór danych pracowników – dział kadr oraz archiwum).

  • wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych;

Należy oddzielić ten punkt od przepisów traktujących o obowiązku dokonania zgłoszenia zbioru danych osobowych do GIODO. Konieczne jest więc wskazanie także tych zbiorów, które są przetwarzane w strukturze rozproszonej, które nie podlegają zgłoszeniu (np. zbiór danych pracowników) i wszystkich innych danych, które są przetwarzane. Jak wskazuje przepis – obowiązkowo należy także podać programy, w których zachodzi przetwarzanie danych (a więc programy księgowe, kadrowe, obsługujące pocztę elektroniczną etc.).

  • opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi;

Opis struktury polega na wskazaniu sposobu katalogowania danych (czy struktura jest złożona, czy zawiera podgrupy, czy jest rozproszona etc.). Poszczególne pola informacyjne zaś to wskazanie zakresu przetwarzanych danych oraz ich charakteru (np. imię i nazwisko – pole tekstowe, PESEL – pole liczbowe).

  • sposób przepływu danych pomiędzy poszczególnymi systemami;

Bardzo ważna sprawa dotycząca raczej technicznych zagadnień. Należy wskazać w tym punkcie interakcje pomiędzy poszczególnymi systemami (np. import listy płac z programu kadrowego do księgowego) wraz z przedstawieniem zabezpieczeń w tym zakresie (np. szyfrowanie połączenia).

  • określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.

Czyli najbardziej ogólny zapis, który podsumować można wskazaniem, iż jest to spis wszystkich środków zabezpieczeń, jakie podjęto w celu ochrony danych osobowych.

Drugim dokumentem, na który należy zwrócić szczególną uwagę, jest instrukcja zarządzania systemem informatycznym przetwarzającym dane osobowe. Musi on zawierać:

  • procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności;

A więc opis czynności, jakich dokonuje Administrator lub osoba przez niego upoważniona w celu nadania uprawnień dostępu do systemu przetwarzającego dane osobowe.

  • stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem;

Czyli przede wszystkim polityka haseł (opis procedur nadawania i określania haseł, wskazania wymagań ich dotyczących).

  • procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu;

Procedura logowania, wylogowywania się, działania wygaszaczy ekranu etc.

  • procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania;

Sposoby ich tworzenia, osoby upoważnione do dokonywania tego rodzaju operacji, miejsce przetrzymywania kopii zapasowych oraz opis zabezpieczeń.

  • sposób, miejsce i okres przechowywania elektronicznych nośników informacji zawierających dane osobowe oraz ich kopii zapasowych;

  • sposób zabezpieczenia systemu informatycznego przed działalnością szkodliwego oprogramowania;

Opis programów antywirusowych oraz innego oprogramowania, opis zabezpieczeń zarówno sieci jak i poszczególnych komputerów.

  • procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.

Dokumentacja wskazana szczegółowo jest obligatoryjna, gdy mamy do czynienia z przetwarzaniem danych osobowych. Należy też pamiętać o tym, by skonstruować dokumenty upoważnienia osób uprawnionych do przetwarzania danych osobowych w danej organizacji, a ponadto mile widziana (zwłaszcza przez kontrolerów z PiP lub GIODO) jest krótka polityka ustalająca procedurę działania w przypadku naruszenia przepisów o ochronie danych osobowych. Jej posiadanie wskazuje nie tylko na profesjonalne podejście do ochrony danych osobowych, ale także o wzmożone działania zmierzające do wykrycia wszelkich nieprawidłowości, a właśnie to leży w obrębie zainteresowań instytucji kontrolnych.

Zobacz także część I artykułu dotyczącą technicznych środków ochrony danych osobowych.

MASZ PYTANIE?