Dokumentacja z zakresu ochrony danych osobowych

Administrator Danych Osobowych (ADO) jest odpowiedzialny za zabezpieczenie przetwarzanych danych osobowych. Zgodnie z treścią art. 36 ust.2 ustawy o ochronie danych osobowych jest on obowiązany do prowadzenia dokumentacji opisującej sposób przetwarzania danych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych.

ADO jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednio do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem
z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem (art. 36 ust.1 ustawy o ochronie danych osobowych).

Dokumentacja składa się z dwóch głównych elementów (zawierających szereg załączników), tj.:

  1. Polityka bezpieczeństwa,
  2. Instrukcja Zarządzania Systemem Informatycznym.

Dodać należy, że dokumentacja powinna być przygotowana w formie pisemnej, natomiast za jej wdrożenie odpowiedzialny jest ADO.


POLITYKA BEZPIECZEŃSTWA

Celem polityki bezpieczeństwa jest wskazanie działań, jakie należy wykonać, oraz stworzenie reguł postępowania i zasad, których stosowanie pozwoli na właściwe wykonanie obowiązku ADO w zakresie zabezpieczenia danych osobowych.

Polityka bezpieczeństwa zawiera w szczególności:

  1. wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar,
    w którym przetwarzane są dane osobowe,
  2. wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych,
  3. opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi,
  4. sposób przepływu danych pomiędzy poszczególnymi systemami,
  5. określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

Uwzględniając kategorie przetwarzanych danych oraz zagrożenia wprowadza się poziomy bezpieczeństwa przetwarzania danych osobowych w systemie informatycznym:

  1. podstawowy
  2. podwyższony
  3. wysoki

Poziom wysoki stosuje się, gdy przynajmniej jedno urządzenie systemu informatycznego, służącego do przetwarzania danych osobowych, połączone jest z siecią publiczną.

Instrukcja zawiera w szczególności:

  1. procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności,
  2. stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem,
  3. procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu,
  4. procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania,
  5. sposób, miejsce i okres przechowywania,
  6. elektronicznych nośników informacji zawierających dane osobowe,
  7. kopii zapasowych, o których mowa w pkt 4,
  8. sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, o którym mowa w pkt III ppkt 1 załącznika do rozporządzenia,
  9. sposób realizacji wymogów, o których mowa w § 7 ust. 1 pkt 4,
  10. procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.

Więcej informacji o ochronie danych osobowych możesz uzyskać od:

logo nieprzezroczyste

Odział Kraków
ul. Żółkiewskiego 17/4; 31-539 Kraków
Telefon: +(12) 307 09 80
E-mail: kontakt@ksbclegal.pl