Elementy, jakie powinna zawierać dokumentacja ochrony danych, wskazuje rozporządzenie ministra spraw wewnętrznych i administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. z 2004 r. nr 100, poz. 1024). Jest to:
ABI musi nadzorować opracowanie i aktualizowanie dokumentacji. Co to oznacza
Kategoria: Ochrona danych osobowych
Data: 01-02-2017 r.
Ustawowym obowiązkiem administratora bezpieczeństwa informacji jest nadzorowanie opracowania dokumentacji ochrony danych. Oznacza to, że ABI nie musi sam przygotowywać wszystkich dokumentów, powinien być jednak zaangażowany w ten proces. Dodatkowo administrator bezpieczeństwa informacji musi dbać, aby dokumentacja była aktualna i zgoda z obowiązującym stanem prawnym i stanem faktycznym w jego organizacji.
- polityka bezpieczeństwa,
- instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych.
Organizacja może wdrożyć też inne dokumenty np. instrukcję postępowania w sytuacji naruszenia bezpieczeństwa danych osobowych czy wzory protokołów technicznych (np. obsługa błędów, incydentów, zgłoszeń serwisowych). Dokumenty może sporządzić sam ABI, albo zlecić te prace na zewnątrz.
Przed rozpoczęciem przygotowywania dokumentacji trzeba ustalić:
- jakie dane będą przetwarzane w toku normalnej działalności, a jakie mogą być przetwarzane okazjonalnie (np. dane wrażliwe),
- czy przetwarzane dane osobowe podlegają odrębnym regulacjom (np. prawo pracy, dostęp do informacji publicznej, dane dłużników),
- kto w organizacji przetwarza dane osobowe i w jakim zakresie, czy jest przeszkolony z przetwarzania danych osobowych,
- na jakiej podstawie dane osobowe są przetwarzane,
- czy jest potrzeba stałego lub okresowego powierzania danych osobowych innym podmiotom (np. serwisom informatycznym),
- jaki poziom bezpieczeństwa przetwarzania danych osobowych w systemie informatycznym powinien być zastosowany (podstawowy, podwyższony, wysoki),
- czy dane osobowe są albo powinny być archiwizowane (np. backup informatyczny),
- kto w ramach obsługi informatycznej organizacji ma odpowiadać za ochronę danych osobowych i współpracować z tobą jako ABI,
- jakiego rodzaju zagrożenia i incydenty mogą wystąpić oraz kto i jak powinien postępować w takim przypadku,
- czy będzie dochodziło do przekazywania danych osobowych do państwa trzeciego.
Jednym z obowiązków ABI powinien być okresowy przegląd dokumentacji. Powinien on zostać zapisany w polityce bezpieczeństwa. Dobrze byłoby sprecyzować w niej, jak często dokonuje się kompleksowego przeglądu dokumentacji.
Oceniając potrzebę aktualizacji dokumentacji, można posłużyć się rejestrem zdarzeń i incydentów z zakresu ochrony danych osobowych. ABI powinien prowadzić go na bieżąco. W tym celu trzeba zobowiązać pracowników aktem wewnętrznym do raportowania do ABI wszelkich zauważonych nieprawidłowości. W przypadku bardziej skomplikowanych sytuacji (np. wymagających fachowej wiedzy informatycznej), ABI może współpracować ze służbami informatycznymi. Konieczność aktualizacji dokumentacji może wynikać także z takich zdarzeń jak zmiana struktury organizacji czy przejęcie konkurencyjnej spółki.
Zobacz także:
Tagi: firma, ochrona danych osobowych
Zaloguj się, aby dodać komentarz
Nie masz konta? Zarejestruj się »
