Dokumentacja ochrony danych osobowych PDF Drukuj Email

Prowadzenie dokumentacji ochrony danych osobowych w jednostce organizacyjnej to obowiązek wynikający z art. 36 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Sposób prowadzenia i zakres dokumentacji normującej sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną został sprecyzowany w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. Zgodnie z §.3 pkt 1 tego rozporządzenia na dokumentację ochrony danych osobowych składa się polityka bezpieczeństwa ochrony danych osobowych i instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. Oba dokumenty muszą mieć formę pisemną i być prowadzone przez administratora danych osobowych. Rozporządzenie przedstawia wytyczne co do zawartości każdego z powyższych dokumentów.

W § 4 przedstawiono minimalne wymagania w stosunku do polityki bezpieczeństwa, która powinna zawierać:

  • wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe;
  • wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych;
  • opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi;
  • sposób przepływu danych pomiędzy poszczególnymi systemami;
  • określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.

W § 5 zawiera wytyczne co do zawartości instrukcji, która powinna zawierać co naj mniej:

  • procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności;
  • stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem;
  • procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu;
  • procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania;
  • sposób, miejsce i okres przechowywania elektronicznych nośników informacji zawierających dane osobowe oraz kopii zapasowych,
  • sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego
  • sposób realizacji wymogów informacyjnych co do odbiorców, daty i zakresu udostępnianych danych osobowych,
  • procedury wykonywania przeglądó.

Podsumowując, każda jednostka organizacyjna przetwarzająca dane osobowe musi posiadać sporządzoną politykę bezpieczeństwa i instrukcję zarządzania systemem informatycznym, natomiast w zależności od wielkości, złożoności struktury i rodzaju przetwarzanych danych (ustawodawca wymaga stosowania dodatkowych środków przy przetwarzaniu danych wrażliwych) w danej firmie w skład dokumentacji mogą też wchodzić inne dokumenty powiązane np.: regulaminy pracy, regulaminy wynagradzania, decyzje cedujące uprawnienia, zakresy obowiązków, plany ochrony, instrukcje przeciwpożarowe, plany ciągłości działania (BCM), instrukcje zarządzania kryzysowego (DR), i wiele innych.

 

 
Nowa ustawa o ochronie informacji niejawnch będzie
 

Logowanie



Zaprzyjaźnieni

Naszą witrynę przegląda teraz 4 gości