​Niezbędne minimum, czyli co każda dokumentacja przetwarzania danych zawierać powinna
Dodano: 18-11-2013 w kategorii: Obowiązki ADO i ABI. Dodane przez: Katarzyna Witkowska.

Dokumentacja ochrony danych osobowych

Ustawa o ochronie danych osobowych w art. 36 ust. 2 nakłada na administratora danych osobowych obowiązek prowadzenia dokumentacji, stanowiącej opis sposobu przetwarzania danych oraz środków technicznych i organizacyjnych, stosowanych przez administratora, które zapewnić mają ochronę odpowiednią do zagrożeń oraz kategorii danych, tą ochroną objętych.

Jak precyzuje Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 roku w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, na dokumentację składają się dwa podstawowe akty, które opracować musi administrator.

Są to:

• polityka bezpieczeństwa
• instrukcja zarządzania systemem informatycznym, służącym do przetwarzania danych osobowych.

Dokumentacja przetwarzania danych osobowych prowadzona być musi w formie papierowej, a za jej wdrożenie odpowiada administrator danych.

Polityka bezpieczeństwa

Polityka bezpieczeństwa to wewnętrzna regulacja wdrażana w danym podmiocie, zawierająca katalog reguł i zasad postępowania oraz działań, które mają być podjęte bądź są podejmowane w celu zapewnienia prawidłowego i rzetelnego procesu zarządzania informacją spersonalizowaną i jej należytej ochrony. Z założenia polityka bezpieczeństwa odnosić się musi do całokształtu zagadnień, związanych z ochroną danych osobowych w danej organizacji. Jej kompleksowy charakter przejawia się m.in. w konieczności uregulowania w niej problematyki zabezpieczania danych przetwarzanych tradycyjnie, a także danych przetwarzanych w systemach informatycznych.
Minimalny zakres informacji, które w polityce powinny się znaleźć, wyznacza samo rozporządzenie, wymagając od administratora stworzenia:

• wykazu budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe;
• wykazu zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych;
• opisu struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi;
• sposobu przepływu danych pomiędzy poszczególnymi systemami;
• określenia środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.

Powyższe elementy gwarantować mają prawidłową identyfikację zasobów informacyjnych, zagrożeń dla bezpieczeństwa informacji oraz obszarów i sposobu przetwarzania danych wewnątrz danego podmiotu. Ponadto, prowadzą do wypracowania jednolitych reguł postępowania z informacją, a także z jej nośnikami oraz wszelkimi urządzeniami stosowanymi w przypadku przetwarzania danych.

Instrukcja zarządzania systemem informatycznym

Drugi kluczowy dokument, czyli Instrukcja zarządzania systemem informatycznym, z oczywistych względów tworzony być musi tylko przez tych administratorów danych, którzy dane przetwarzają w systemach informatycznych. W dzisiejszych czasach taka sytuacja zachodzi niemalże zawsze. Podobnie jak w przypadku polityki, tak i w przypadku instrukcji rozporządzenie wyznacza minimalny poziom regulacji, zobowiązując do opisania w omawianym dokumencie:

• procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym (ponadto, wskazać należy osobę odpowiedzialną za te czynności);
• stosowanych metod i środków uwierzytelnienia oraz procedur związanych z ich zarządzaniem i użytkowaniem;
• procedur rozpoczęcia, zawieszenia i zakończenia pracy przeznaczonych dla użytkowników systemu;
• procedur tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania;
• sposobu, miejsca i okres przechowywania elektronicznych nośników informacji zawierających dane osobowe oraz kopii zapasowych;
• sposobu zabezpieczenia systemu informatycznego przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego;
• sposobu odnotowywania informacji o odbiorcach danych, którym dane zostały udostępnione, a także o dacie i zakresie udostępnienia;
• procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.

Ewidencja osób upoważnionych
Art. 39 ustawy o ochronie danych osobowych przesądza o konieczności prowadzenia, poza w/w dokumentacją, również ewidencji osób upoważnionych do przetwarzania danych. W ewidencji odnotować należy imię i nazwisko osoby upoważnionej, datę nadania, zakres upoważnieni oraz datę jego cofnięcia, a także identyfikator, jeśli dane przetwarzane są w systemie informatycznym.

Podsumowanie
Opracowanie wskazanych trzech dokumentów jest obowiązkiem każdego administratora danych osobowych, o ile przetwarza dane także w systemie informatycznym. Pamiętać jednak należy, że najistotniejszym zadaniem administratora jest wdrożenie przygotowanej dokumentacji tak, by zagwarantować efektywne wykonywanie zapisów, przewidzianych w dokumentacji przetwarzania danych osobowych.

dane osobowe , ADO , polityka bezpieczeństwa , instrukcja zarządzania systemem informatycznym , upoważnienie