Obowiązkowa dokumentacja w razie przetwarzania danych
Każda firma przetwarzająca dane osobowe, ma obowiązek przygotować i wdrożyć politykę bezpieczeństwa oraz instrukcję zarządzania systemem informatycznym. Dokumenty te powinny mieć formę pisemną. W jaki sposób należy prowadzić dokumentację?
Sposób prowadzenia, czy też zakres dokumentacji, opisującej sposób przetwarzania danych osobowych jest szczegółowo uregulowany w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji w sprawie dokumentacji przetwarzania danych osobowych… (Dz. U. z 2004 r. nr 100, poz. 1024). Wskazane są w nim m. in. warunki techniczne i organizacyjne, jakim powinny odpowiadać urządzenia i systemy informatyczne, służące do przetwarzania danych osobowych oraz wymagania w zakresie odnotowywania udostępniania danych osobowych i bezpieczeństwa ich przetwarzania.
Instrukcja zarządzania systemem informatycznym powinna określać:
- procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności;
- stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem,
- procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu,
- procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania,
- sposób, miejsce i okres przechowywania elektronicznych nośników informacji zawierających dane osobowe i kopii zapasowych,
- sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego,
- metoda realizacji wymogów związanych z przetwarzaniem danych osobowych polegającym na odnotowaniu informacji o odbiorcach, którym dane osobowe się udostępnia, dacie, a także zakresie tego udostępnienia,
- procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.
Polityka bezpieczeństwa powinna zawierać w szczególności:
- wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe,
- wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych,
- opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych, czy też powiązania między nimi,
- sposób przepływu danych pomiędzy poszczególnymi systemami,
- określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności, czy też rozliczalności przetwarzanych danych.
Treść komentarza
u nas w firmie tego nie ma. czy jest to koniecznie potrzebne ?
Treść komentarza
Na samym początku artykułu możesz przeczytać, że firma ma taki obowiązek. Jest to uregulowane w ustawie z dnia 29 kwietnia 2004 r.