Wiadomości
Polityka bezpieczeństwa danych osobowych
9 lutego 2015
Od momentu zbierania danych osobowych osoby dopuszczone
w zakładzie pracy do przetwarzania tych danych są zobowiązane do zachowania określonych w ustawie zasad. Oprócz kwestii formalnych na administratorze spoczywają także obowiązki „techniczne”. Należy je zapisać w tzw. polityce bezpieczeństwa.
Ustawowy obowiązek administratora danych osobowych (ADO)
Jak wynika z ustawy o ochronie danych osobowych (art. 36) administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną. Ustawodawca podkreśla, iż w szczególności ADO powinien zabezpieczyć dane przed:
Jak wynika z ustawy o ochronie danych osobowych (art. 36) administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną. Ustawodawca podkreśla, iż w szczególności ADO powinien zabezpieczyć dane przed:
- ich udostępnieniem osobom nieupoważnionym,
- zabraniem przez osobę nieuprawnioną,
- przetwarzaniem z naruszeniem ustawy oraz
- zmianą, utratą, uszkodzeniem lub zniszczeniem.
Administrator danych prowadzi dokumentację opisującą sposób przetwarzania danych oraz środki techniczne i organizacyjne, które podjął.
Dokumentacja opisująca sposób przetwarzania danych osobowych
W świetle przepisów wykonawczych do dokumentacji opisującej sposób przetwarzania danych osobowych zalicza się (§ 3 ust. 1 rozporządzenia MSWiA z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych):
Dokumentacja opisująca sposób przetwarzania danych osobowych
W świetle przepisów wykonawczych do dokumentacji opisującej sposób przetwarzania danych osobowych zalicza się (§ 3 ust. 1 rozporządzenia MSWiA z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych):
- politykę bezpieczeństwa i
- instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych osobowych.
Dokumentacja ma być prowadzona w formie pisemnej oraz wdrażana przez administratora danych osobowych (§ 3 ust. 2 i 3 powołanego rozporządzenia).
Polityka bezpieczeństwa
Zgodnie z zapisami rozporządzenia MSWiA z 29.04.2004 r. polityka bezpieczeństwa zawiera w szczególności:
Polityka bezpieczeństwa
Zgodnie z zapisami rozporządzenia MSWiA z 29.04.2004 r. polityka bezpieczeństwa zawiera w szczególności:
- wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe,
- wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych,
- opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi,
- sposób przepływu danych pomiędzy poszczególnymi systemami,
- określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.
Pamiętaj!
Niezależnie od formalnej dokumentacji związanej z ochroną danych osobowych, takiej jak np. upoważnienie do ich przetwarzania czy też pisemna umowa z podmiotem zewnętrznym na przetwarzanie danych osobowych, administrator danych osobowych musi wdrożyć tzw. politykę bezpieczeństwa ochrony danych osobowych.
Potraktuj ten dokument jako przewodnik w swoim zakładzie. W jednym miejscu znajdziesz m.in. miejsca przetwarzania danych, zbiory danych, przepływ danych oraz środki zabezpieczające. Jest to z całą pewnością obowiązek ustawowy,
z drugiej jednak strony także i cenny informator.
Niezależnie od formalnej dokumentacji związanej z ochroną danych osobowych, takiej jak np. upoważnienie do ich przetwarzania czy też pisemna umowa z podmiotem zewnętrznym na przetwarzanie danych osobowych, administrator danych osobowych musi wdrożyć tzw. politykę bezpieczeństwa ochrony danych osobowych.
Potraktuj ten dokument jako przewodnik w swoim zakładzie. W jednym miejscu znajdziesz m.in. miejsca przetwarzania danych, zbiory danych, przepływ danych oraz środki zabezpieczające. Jest to z całą pewnością obowiązek ustawowy,
z drugiej jednak strony także i cenny informator.
Zobacz także:
- Czy umowa o zakazie konkurencji może przewidywać karę umowną?
- Projekt zmian w prawie do zasiłku macierzyńskiego
- Kontrola GIODO w zakładzie pracy
Jeśli powyższy artykuł okazał się interesujący i chcieliby Państwo na bieżąco otrzymywać najnowsze aktualności branżowe na swój telefon komórkowy, wystarczy pobrać i zainstalować naszą APLIKACJĘ MOBILNĄ.
All rights reserved PCKP Data aktualizacji: 2023-03-06