administrator danych, dane osobowe, ochrona danych osobowych, polityka bezpieczenstwa
Do obowiązków administratora danych osobowych należy m.in. prowadzenie dokumentacji opisującej sposób przetwarzania danych osobowych. Zgodnie z przepisami rozporządzenia w sprawie dokumentacji przetwarzania danych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych na dokumentację składają się dwa podstawowe dokumenty: polityka bezpieczeństwa danych osobowych oraz instrukcja zarządzania systemem informatycznym.
Czym jest polityka bezpieczeństwa?
Dokumentem, w którym znaleźć można wszystkie podstawowe zasady dotyczące przetwarzania danych w strukturze określonego administratora danych jest właśnie polityka bezpieczeństwa. Politykę należy postrzegać jako zestaw reguł i praw regulujących sposób przetwarzania danych w danej organizacji. Jest to dokument, który powinien się w sposób kompleksowy do problemu przetwarzania odnosić danych i obejmować swoją regulacją zarówno tradycyjne, manualne przetwarzanie danych, jak i przetwarzanie danych w systemach informatycznych.
Co powinna zawierać polityka bezpieczeństwa?
Rozporządzenie wskazuje otwarty katalog kwestii, które administrator danych osobowych powinien uregulować w polityce bezpieczeństwa danych osobowych. Katalog ten zawiera: wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe, wykaz zbiorów danych wraz ze wskazaniem programów wykorzystywanych do ich przetwarzania oraz opis struktury zbiorów danych, sposób przepływu danych między systemami oraz określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych osobowych. Katalog ten nie jest oczywiście wyczerpujący. Wprost przeciwnie. Jest jeszcze wiele elementów, które należy uwzględnić, jeżeli chcemy przygotować przydatny w praktyce, odpowiadający specyfice działalności administratora i dostosowany do jego potrzeb dokument.
Nie ma jednego, uniwersalnego wzoru polityki bezpieczeństwa. Jest pewien element wspólny, który charakteryzuje większość polityk, jednak szczegółowe regulacje to już indywidualna kwestia. Konstruując politykę bezpieczeństwa danych warto uwzględnić w niej także wzory dokumentów powołania ABI i ASI, wzory upoważnień do przetwarzania danych i ewidencji upoważnień. Przydatne są także, zaprojektowane na różne okoliczności, wzory oświadczeń o poufności. Innym wzorem warto posłużyć się w relacjach z pracownikiem, a inny przyda się, w relacjach ze zleceniobiorcą świadczącym dla nas pracę w ramach cywilnoprawnych form zatrudnienia. Opracowanie jednolitych wzorów procentuje w praktyce. W zależności od potrzeb, osoba odpowiedzialna za dany proces może posłużyć się właśnie wzorem, unikając konieczności konstruowania dokumentu każdorazowo, gdy zajdzie taka potrzeba.
Do polityki bezpieczeństwa danych często dołączana jest także wzorcowa umowa powierzenia. Dzięki temu, jeżeli za konstruowanie umów odpowiedzialnych jest kilka osób, wiedzą one jaki jest minimalny standard wyznaczany przy powierzeniu danych przez administratora. Tam, gdzie powołany jest ABI polityka zawiera też często dokumenty właśnie dla niego, w tym wzór sprawozdań ze sprawdzeń czy wzór rejestru zbiorów danych.
Ważny element, choć niewymieniony w przepisach
Jednym z kluczowych elementów polityki, choć niewskazanym wprost w przepisach, są wszelkiego rodzaju wyciągi czy zestawy reguł dla użytkowników. Sama dokumentacja ochrony danych, w tym polityka, nie zawsze jest udostępniania wszystkim użytkownikom. Z jednej strony jest ona dość obszerna, z drugiej nie każdy powinien mieć dostęp do jej pełnej treści. Z tego względu wyciągi dla personelu są bardzo wygodnym rozwiązaniem. Umożliwiają bowiem przekazanie uczestnikom procesów przetwarzania danych podstawowych zasad (wynikających zarówno z polityki, jak i z instrukcji), w tym wszelkich zakazów i nakazów i stanowią skondensowane źródło wskazówek do wykorzystania w codziennej pracy. W takim wyciągu zasad zawrzeć można m.in. zasady rozpoczynania pracy i kończenia pracy, wytyczne dotyczące zasady czystego biurka i ekranu, instrukcje dotyczące zmiany haseł, procedury korzystania ze sprzętu przenośnego, w tym z laptopów służbowych, zasady korzystania z poczty e-mail, zasady korzystania z Internetu, wytyczne dotyczące niszczenia dokumentów oraz zasady postępowania w przypadku stwierdzenia naruszenia ochrony danych osobowych (np. wytyczne, do kogo się zwrócić, kogo i o jakim zdarzeniu poinformować w pierwszej kolejności).
Zasady formułowania polityki bezpieczeństwa
Konstruując politykę pamiętać trzeba o tym, że musi być ona na tyle precyzyjna, by mogła być stosowana w praktyce. Bardzo ogólna polityka danych osobowych może okazać się bardzo nieprzydatna. Jeżeli nie wynikają z niej konkretne rozwiązania i precyzyjne zasady postępowania nie będzie miała realnego zastosowania w praktyce. Tworząc politykę warto pamiętać także o odpowiednich proporcjach dokument główny – załączniki. Kwestie zmienne lub elementy podlegające częstej, bieżącej aktualizacji najprościej umieścić w załącznikach. Dzięki temu łatwiej jest pracować z taką dokumentacją i łatwiej poddawać ją aktualizacjom.
Przede wszystkim, pamiętać trzeba o tym, że polityka bezpieczeństwa danych ma służyć administratorowi danych i osobom odpowiedzialnym za poszczególne procesy. Dlatego też musi być dostosowana do rzeczywistych potrzeb, problemów i ryzyk administratorów danych. Dokumentacja ochrony danych osobowych musi tworzyć z kolei spójną, współgrającą całość. Dlatego też ważne jest, by drugi element dokumentacji, czyli instrukcja zarządzania systemem informatycznym był konstruowany zgodnie z zasadami określonymi w polityce (i odwrotnie). Te dwa dokumenty powinny składać się na pełen katalog obowiązków, zadań, celów, zasad podziału odpowiedzialności i procedur w danej organizacji.
Post Views:
2 765