Wiadomości
Ochrona danych osobowych 2015 - instrukcja zarządzania systemem informatycznym
16 lutego 2015
Jak wynika ze sprawozdania GIODO w 2013 r. Generalny Inspektor Ochrony Danych Osobowych przeprowadził łącznie 173 kontrole zgodności przetwarzania danych osobowych z przepisami ustawy
o ochronie danych osobowych. W ramach 165 przeprowadzonych
w 2013 r. kontroli, weryfikacji poddano 338 systemów informatycznych wykorzystywanych do przetwarzania danych osobowych.
Cel opracowania instrukcji
Ustawodawca w art. 36 ustawy o ochronie danych osobowych wymaga od administratora danych osobowych (ADO) skutecznego zabezpieczenia tych danych, zarówno od strony organizacyjnej, jak i technicznej. Obliguje ADO do prowadzenia dokumentacji opisującej sposób przetwarzania danych oraz podjęte przez siebie środki.
W świetle § 3 ust. 1 rozporządzenia MSWiA z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych prowadzenie instrukcji jest obligatoryjne i ADO nie może zwolnić się od tego obowiązku.
W samej instrukcji ADO opisuje wszystkie kwestie formalne, proceduralne, organizacyjne i osobowe związane z administrowaniem systemem informatycznym.
Zawartość instrukcji
Została wprost wskazana w § 5 powołanego powyżej rozporządzenia. Wymienione obszary to jedynie przykładowe wyliczenie, o czym przesądza użyte przez ustawodawcę określenie: „w szczególności”. W omawianej instrukcji powinny więc znaleźć się:
Ustawodawca w art. 36 ustawy o ochronie danych osobowych wymaga od administratora danych osobowych (ADO) skutecznego zabezpieczenia tych danych, zarówno od strony organizacyjnej, jak i technicznej. Obliguje ADO do prowadzenia dokumentacji opisującej sposób przetwarzania danych oraz podjęte przez siebie środki.
W świetle § 3 ust. 1 rozporządzenia MSWiA z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych prowadzenie instrukcji jest obligatoryjne i ADO nie może zwolnić się od tego obowiązku.
W samej instrukcji ADO opisuje wszystkie kwestie formalne, proceduralne, organizacyjne i osobowe związane z administrowaniem systemem informatycznym.
Zawartość instrukcji
Została wprost wskazana w § 5 powołanego powyżej rozporządzenia. Wymienione obszary to jedynie przykładowe wyliczenie, o czym przesądza użyte przez ustawodawcę określenie: „w szczególności”. W omawianej instrukcji powinny więc znaleźć się:
- procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności,
- stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem,
- procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu,
- procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania,
- sposób, miejsce i okres przechowywania: elektronicznych nośników informacji zawierających dane osobowe oraz kopii zapasowych,
- sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego,
- sposób realizacji wymogów dotyczących informacji o odbiorcach danych osobowych (art. 7 pkt 6 ustawy), którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia, chyba że system informatyczny używany jest do przetwarzania danych zawartych w zbiorach jawnych,
- procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.
Pamiętaj!
Zarówno ustawa, jak i rozporządzenie wykonawcze jednoznacznie stanowią o wymogu opracowania i wdrożenia takiej instrukcji. Musisz powołać administratora systemu informatycznego, sama instrukcja ma mieć formę pisemną. Dane sprawozdawcze GIODO wskazują, iż systemy informatyczne oraz inne nośniki danych osobowych są przedmiotem kontroli inspektorów GIODO. Warto przygotować się do takiej kontroli. Dostosowując instrukcję do zakładowych rozwiązań możesz także zyskać narzędzie sprawnego i bezpiecznego zarządzania danymi w informatycznym obszarze.
Zarówno ustawa, jak i rozporządzenie wykonawcze jednoznacznie stanowią o wymogu opracowania i wdrożenia takiej instrukcji. Musisz powołać administratora systemu informatycznego, sama instrukcja ma mieć formę pisemną. Dane sprawozdawcze GIODO wskazują, iż systemy informatyczne oraz inne nośniki danych osobowych są przedmiotem kontroli inspektorów GIODO. Warto przygotować się do takiej kontroli. Dostosowując instrukcję do zakładowych rozwiązań możesz także zyskać narzędzie sprawnego i bezpiecznego zarządzania danymi w informatycznym obszarze.
Zobacz także:
- Badania profilaktyczne w orzecznictwie Sądu Najwyższego
- Badania lekarskie w 2015 roku
- Poziomy bezpieczeństwa przetwarzania danych osobowych w systemie informatycznym
Jeśli powyższy artykuł okazał się interesujący i chcieliby Państwo na bieżąco otrzymywać najnowsze aktualności branżowe na swój telefon komórkowy, wystarczy pobrać i zainstalować naszą APLIKACJĘ MOBILNĄ.
All rights reserved PCKP Data aktualizacji: 2023-03-06