Ustawa o ochronie danych osobowych, wskazując na konieczność prowadzenia w spółce z o.o. odpowiedniej dokumentacji z zakresu ochrony danych osobowych, nie zawiera jednak szczegółów odnośnie tego, co taka dokumentacja powinna zawierać.
Pracodawca, który chce poprawnie zrealizować obowiązek ochrony danych osobowych w swoim zakładzie pracy zgodnie z przyjętą polityką bezpieczeństwa powinien sięgnąć nie tylko do ustawy, ale przede wszystkim do aktu wykonawczego. Rozporządzenie ministra spraw wewnętrznych i administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (dalej: rozporządzenie) szczegółowo porządkuje te zagadnienia. W § 4 wskazuje ono, że polityka bezpieczeństwa powinna zawierać m.in.:
-
wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe,
-
określenie środków technicznych i organizacyjnych niezbędnych do zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.
System informatyczny
Zgodnie z § 5 rozporządzenia instrukcja zarządzania systemem
informatycznym służącym do przetwarzania danych osobowych powinna m.in.:
-
określać procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym,
-
wskazywać osoby odpowiedzialne za te czynności,
-
wyznaczać metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem,
-
określać procedury tworzenia kopii zapasowych zbiorów danych oraz
programów i narzędzi programowych służących do ich przetwarzania.
Rozporządzenie, uwzględniając kategorie
przetwarzanych danych oraz zagrożenia, wprowadza poziomy bezpieczeństwa
przetwarzania danych osobowych w systemie informatycznym: podstawowy,
podwyższony, wysoki. Poziom wysoki stosuje się, gdy przynajmniej jedno
urządzenie systemu informatycznego, służącego do przetwarzania danych
osobowych, połączone jest z siecią publiczną. Aby zapoznać się z opisem
środków bezpieczeństwa stosowanym na określonych poziomach, warto
sięgnąć po załącznik do rozporządzenia.
Przygotowanie dokumentacji
Rozporządzenie wyznacza jedynie ogólny zakres informacji, jakie powinny znaleźć się w dokumentacji, a od spółki zależy jej ostateczny kształt – to, czy stworzy politykę daleko idącą, czy jedynie poprzestanie na wskazówkach i wymogach z rozporządzenia. W praktyce przygotowanie dokumentacji przetwarzania danych osobowych nie pozostaje zadaniem prostym. Jest to skomplikowany i nierzadko długi proces, wymagający później wdrożenia pracowników do nowych, nieznanych im wcześniej procedur, zaangażowania kierownictwa i zarządu spółki w zapewnienie odpowiedniego nadzoru nad procesami przetwarzania danych. Wymaga to kompetencji w zakresie nie tylko przepisów, ale także informatyki, organizacji zarządzania kadrami, bezpieczeństwa fizycznego i innych aspektów, które towarzyszą przetwarzaniu danych osobowych.
Uwaga! Sporządzona dokumentacja powinna w pełni odzwierciedlać strukturę organizacyjną spółki. Wskazane jest, aby zawierała informację o tym, jakie dane i w jakim zakresie należy przetwarzać. Dodatkową ważną wskazówką jest uwzględnienie potencjalnego zagrożenia wyciekiem danych z firmy.
Niektóre z rozwiązań mogą wydawać się banalne, ale w praktyce są
skuteczne. Należy do nich np.: ustalenie zasad dostępu do pomieszczeń, w których dane osobowe są przechowywane, zadbanie o włączone w komputerach wygaszacze, stosowanie trudnych do odgadnięcia haseł i częsta ich zmiana. Warto wskazać, że wydruki i nośniki elektroniczne zawierające dane osobowe należy przechowywać w zamykanych szafach, które znajdują się w obszarach przetwarzania danych osobowych. Ponadto niepotrzebne wydruki lub inne dokumenty należy niszczyć za pomocą niszczarek. Lokalizację i umiejscowienie danych osobowych trzeba starannie dobierać, z uwzględnieniem wymaganych aspektów bezpieczeństwa przetwarzania danych osobowych. Warto wdrożyć politykę czystego biurka i czystego ekranu w celu redukcji ryzyka nieautoryzowanego i nieuprawnionego dostępu lub uszkodzenia danych osobowych. Monitory należy ustawić w taki sposób, aby uniemożliwiać podgląd wyświetlanych danych osobowych przez osoby nieuprawnione. Po zakończeniu pracy trzeba zabezpieczyć stanowisko pracy, w szczególności wszelką dokumentację, wydruki, elektroniczne nośniki informacji i umieścić je w zamykanych szafkach.
Podstawa prawna: rozporządzenie ministra spraw wewnętrznych i administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. nr 100, poz. 1024);
Przemysław Mańko, radca prawny
Zobacz także: