spis treści
zamknij
BHPEX Logo

Blog bezpieczeństwa w pracy

Obowiązkowa dokumentacja w razie przetwarzania danych

19 sierpnia 2016 0

Każda firma przetwarzająca dane osobowe, ma obowiązek przygotować i wdrożyć politykę bezpieczeństwa oraz instrukcję zarządzania systemem informatycznym. Dokumenty te powinny mieć formę pisemną. W jaki sposób należy prowadzić dokumentację?

Sposób prowadzenia i zakres dokumentacji, opisującej sposób przetwarzania danych osobowych jest szczegółowo uregulowany w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji w sprawie dokumentacji przetwarzania danych osobowych… (Dz. U. z 2004 r. nr 100, poz. 1024). Wskazane są w nim m. in. warunki techniczne i organizacyjne, jakim powinny odpowiadać urządzenia i systemy informatyczne, służące do przetwarzania danych osobowych oraz wymagania w zakresie odnotowywania udostępniania danych osobowych i bezpieczeństwa ich przetwarzania.

Instrukcja zarządzania systemem informatycznym powinna określać:

  • procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności;
  • stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem,
  • procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu,
  • procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania,
  • sposób, miejsce i okres przechowywania elektronicznych nośników informacji zawierających dane osobowe i kopii zapasowych,
  • sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego,
  • sposób realizacji wymogów związanych z przetwarzaniem danych osobowych polegającym na odnotowaniu informacji o odbiorcach, którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia,
  • procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.

Polityka bezpieczeństwa powinna zawierać w szczególności:

  • wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe,
  • wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych,
  • opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi,
  • sposób przepływu danych pomiędzy poszczególnymi systemami,
  • określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.

Komentarze (0)

Dodaj komentarz