Administrator Danych Osobowych (ADO) jest odpowiedzialny za zabezpieczenie przetwarzanych danych osobowych. Zgodnie z treścią art. 36 ust.2 ustawy o ochronie danych osobowych jest on obowiązany do prowadzenia dokumentacji opisującej sposób przetwarzania danych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych.
ADO jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednio do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem
z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem (art. 36 ust.1 ustawy o ochronie danych osobowych).
Dokumentacja składa się z dwóch głównych elementów (zawierających szereg załączników), tj.:
- Polityka bezpieczeństwa,
- Instrukcja Zarządzania Systemem Informatycznym.
Dodać należy, że dokumentacja powinna być przygotowana w formie pisemnej, natomiast za jej wdrożenie odpowiedzialny jest ADO.
POLITYKA BEZPIECZEŃSTWA
Celem polityki bezpieczeństwa jest wskazanie działań, jakie należy wykonać, oraz stworzenie reguł postępowania i zasad, których stosowanie pozwoli na właściwe wykonanie obowiązku ADO w zakresie zabezpieczenia danych osobowych.
Polityka bezpieczeństwa zawiera w szczególności:
- wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar,
w którym przetwarzane są dane osobowe, - wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych,
- opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi,
- sposób przepływu danych pomiędzy poszczególnymi systemami,
- określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.
INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM
Uwzględniając kategorie przetwarzanych danych oraz zagrożenia wprowadza się poziomy bezpieczeństwa przetwarzania danych osobowych w systemie informatycznym:
- podstawowy
- podwyższony
- wysoki
Poziom wysoki stosuje się, gdy przynajmniej jedno urządzenie systemu informatycznego, służącego do przetwarzania danych osobowych, połączone jest z siecią publiczną.
Instrukcja zawiera w szczególności:
- procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności,
- stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem,
- procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu,
- procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania,
- sposób, miejsce i okres przechowywania,
- elektronicznych nośników informacji zawierających dane osobowe,
- kopii zapasowych, o których mowa w pkt 4,
- sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, o którym mowa w pkt III ppkt 1 załącznika do rozporządzenia,
- sposób realizacji wymogów, o których mowa w § 7 ust. 1 pkt 4,
- procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.
Więcej informacji o ochronie danych osobowych możesz uzyskać od:
Odział Kraków
ul. Żółkiewskiego 17/4; 31-539 Kraków
Telefon: +(12) 307 09 80
E-mail: kontakt@ksbclegal.pl