Dokumentacja z zakresu ochrony danych osobowych w firmie

Data: 07-11-2013 r.

Ustawa o ochronie danych osobowych, wskazując na konieczność prowadzenia w spółce z o.o. odpowiedniej dokumentacji z zakresu ochrony danych osobowych, nie zawiera jednak szczegółów odnośnie tego, co taka dokumentacja powinna zawierać.

Pracodawca, który chce poprawnie zrealizować obowiązek ochrony danych osobowych w swoim zakładzie pracy zgodnie z przyjętą polityką bezpieczeństwa powinien sięgnąć nie tylko do ustawy, ale przede wszystkim do aktu wykonawczego. Rozporządzenie ministra spraw wewnętrznych i administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (dalej: rozporządzenie) szczegółowo porządkuje te zagadnienia. W § 4 wskazuje ono, że polityka bezpieczeństwa powinna zawierać m.in.:

  • wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe,
  • określenie środków technicznych i organizacyjnych niezbędnych do zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.

System informatyczny

Zgodnie z § 5 rozporządzenia instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych powinna m.in.:

  • określać procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym,
  • wskazywać osoby odpowiedzialne za te czynności,
  • wyznaczać metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem,
  • określać procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania.
Rozporządzenie, uwzględniając kategorie przetwarzanych danych oraz zagrożenia, wprowadza poziomy bezpieczeństwa przetwarzania danych osobowych w systemie informatycznym: podstawowy, podwyższony, wysoki. Poziom wysoki stosuje się, gdy przynajmniej jedno urządzenie systemu informatycznego, służącego do przetwarzania danych osobowych, połączone jest z siecią publiczną. Aby zapoznać się z opisem środków bezpieczeństwa stosowanym na określonych poziomach, warto sięgnąć po załącznik do rozporządzenia.

Przygotowanie dokumentacji


Rozporządzenie wyznacza jedynie ogólny zakres informacji, jakie powinny znaleźć się w dokumentacji, a od spółki zależy jej ostateczny kształt – to, czy stworzy politykę daleko idącą, czy jedynie poprzestanie na wskazówkach i wymogach z rozporządzenia. W praktyce przygotowanie dokumentacji przetwarzania danych osobowych nie pozostaje zadaniem prostym. Jest to skomplikowany i nierzadko długi proces, wymagający później wdrożenia pracowników do nowych, nieznanych im wcześniej procedur, zaangażowania kierownictwa i zarządu spółki w zapewnienie odpowiedniego nadzoru nad procesami przetwarzania danych. Wymaga to kompetencji w zakresie nie tylko przepisów, ale także informatyki, organizacji zarządzania kadrami, bezpieczeństwa fizycznego i innych aspektów, które towarzyszą przetwarzaniu danych osobowych.

Uwaga! Sporządzona dokumentacja powinna w pełni odzwierciedlać strukturę organizacyjną spółki. Wskazane jest, aby zawierała informację o tym, jakie dane i w jakim zakresie należy przetwarzać. Dodatkową ważną wskazówką jest uwzględnienie potencjalnego zagrożenia wyciekiem danych z firmy.

Zaloguj się, aby dodać komentarz

Nie masz konta? Zarejestruj się »

Zobacz także

Jak zatrzeć ślady po przeglądaniu Internetu?

pobierz

Biznesplan

pobierz

Konfiguracja bezpieczeństwa. Windows 10

pobierz

Wzór Polityki Bezpieczeństwa w ochronie danych osobowych

pobierz

Polecane artykuły

Polecamy kancelarię:

Array ( [docId] => 25859 )
Array ( [docId] => 25859 )

Array ( [docId] => 25859 )