Administrator Danych Osobowych (ADO) jest odpowiedzialny za zabezpieczenie przetwarzanych danych osobowych. Zgodnie z treścią art. 36 ust.2 ustawy o ochronie danych osobowych jest on obowiązany do prowadzenia dokumentacji opisującej sposób przetwarzania danych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych.

ADO jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednio do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem
z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem (art. 36 ust.1 ustawy o ochronie danych osobowych).

Dokumentacja składa się z dwóch głównych elementów (zawierających szereg załączników), tj.:

1. Polityka bezpieczeństwa,
2. Instrukcja Zarządzania Systemem Informatycznym.

Dodać należy, że dokumentacja powinna być przygotowana w formie pisemnej, natomiast za jej wdrożenie odpowiedzialny jest ADO.

POLITYKA BEZPIECZEŃSTWA

Celem polityki bezpieczeństwa jest wskazanie działań, jakie należy wykonać, oraz stworzenie reguł postępowania i zasad, których stosowanie pozwoli na właściwe wykonanie obowiązku ADO w zakresie zabezpieczenia danych osobowych.

Polityka bezpieczeństwa zawiera w szczególności:

1. wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar,
   w którym przetwarzane są dane osobowe,
2. wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych,
3. opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi,
4. sposób przepływu danych pomiędzy poszczególnymi systemami,
5. określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

Uwzględniając kategorie przetwarzanych danych oraz zagrożenia wprowadza się poziomy bezpieczeństwa przetwarzania danych osobowych w systemie informatycznym:

1. podstawowy
2. podwyższony
3. wysoki

Poziom wysoki stosuje się, gdy przynajmniej jedno urządzenie systemu informatycznego, służącego do przetwarzania danych osobowych, połączone jest z siecią publiczną.

Instrukcja zawiera w szczególności:

1. procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności,
2. stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem,
3. procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu,
4. procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania,
5. sposób, miejsce i okres przechowywania,
6. elektronicznych nośników informacji zawierających dane osobowe,
7. kopii zapasowych, o których mowa w pkt 4,
8. sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, o którym mowa w pkt III ppkt 1 załącznika do rozporządzenia,
9. sposób realizacji wymogów, o których mowa w § 7 ust. 1 pkt 4,
10. procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.

Więcej informacji o ochronie danych osobowych możesz uzyskać od:

Odział Kraków
ul. Żółkiewskiego 17/4; 31-539 Kraków
Telefon: +(12) 307 09 80
E-mail: kontakt@ksbclegal.pl