spis treści
zamknij
BHPEX Logo

Blog bezpieczeństwa w pracy

Obowiązkowa dokumentacja w razie przetwarzania danych

19 sierpnia 2016 5

Każda firma przetwarzająca dane osobowe, ma obowiązek przygotować i wdrożyć politykę bezpieczeństwa oraz instrukcję zarządzania systemem informatycznym. Dokumenty te powinny mieć formę pisemną. W jaki sposób należy prowadzić dokumentację?

Sposób prowadzenia, czy też zakres dokumentacji, opisującej sposób przetwarzania danych osobowych jest szczegółowo uregulowany w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji w sprawie dokumentacji przetwarzania danych osobowych… (Dz. U. z 2004 r. nr 100, poz. 1024). Wskazane są w nim m. in. warunki techniczne i organizacyjne, jakim powinny odpowiadać urządzenia i systemy informatyczne, służące do przetwarzania danych osobowych oraz wymagania w zakresie odnotowywania udostępniania danych osobowych i bezpieczeństwa ich przetwarzania.

Instrukcja zarządzania systemem informatycznym powinna określać:

  • procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności;
  • stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem,
  • procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu,
  • procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania,
  • sposób, miejsce i okres przechowywania elektronicznych nośników informacji zawierających dane osobowe i kopii zapasowych,
  • sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego,
  • metoda realizacji wymogów związanych z przetwarzaniem danych osobowych polegającym na odnotowaniu informacji o odbiorcach, którym dane osobowe się udostępnia, dacie, a także zakresie tego udostępnienia,
  • procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.

Polityka bezpieczeństwa powinna zawierać w szczególności:

  • wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe,
  • wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych,
  • opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych, czy też powiązania między nimi,
  • sposób przepływu danych pomiędzy poszczególnymi systemami,
  • określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności, czy też rozliczalności przetwarzanych danych.

Komentarze (5)

Treść komentarza

Na samym początku artykułu możesz przeczytać, że firma ma taki obowiązek. Jest to uregulowane w ustawie z dnia 29 kwietnia 2004 r.

Treść komentarza

Często spotykałem się z takimi sytuacjami, że sprzęt i zabezpieczenia służące do przetwarzania danych były naprawdę wysokiej jakości aczkolwiek nie były eksploatowane w odpowiedni sposób, potrzebne są szkolenia narzucone przez pracodawcę!

Treść komentarza

Szkolenia takowe na pewno są, tyle, że szkopuł jest w tym, że taki sprzęt często pochodzi z dofinansowań, i szkolenia przeprowadzane są tylko w „teorii” 😉

Treść komentarza

Obowiązkowa dokumentacja w razie przetwarzania danych jest po prostu zlewana, nikt nie zwraca na procedury tam zawarte, a potem są wielkie problemy, że nie ma pieniędzy na nowy sprzęt dla oddziałów IT :/

Dodaj komentarz