nr tel.: 22 390 91 05

Inne marki
Rzetelnej Grupy

Rzetelny Regulamin Rzetelny Prawnik Rzetelna Umowa Prawo Konsumenckie Rzetelny Konkurs

Polityka bezpieczeństwa ABC

Autor: Rafał Stępniewski Data: 05 maja 2016

Bardzo istotnym obowiązkiem formalnym, który nakłada na administratora danych ustawa, jest konieczność prowadzenia, na poziomie całej firmy, dokumentacji opisującej sposób przetwarzania danych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych, odpowiednią do zagrożeń oraz kategorii danych objętych ochroną.

Czym jest dokumentacja i co powinna zawierać określone jest w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.

Zgodnie z rozporządzeniem na dokumentację składa się:

  • polityka bezpieczeństwa,
  • instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych.

Polityka bezpieczeństwa musi zawierać:

  • wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe,
  • wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych,
  • opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiazania miedzy nimi,
  • sposób przepływu danych pomiędzy poszczególnymi systemami,
  • określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.

Instrukcja zarządzania systemem informatycznym musi zawierać:

  • procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności;
  • stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem;
  • procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu;
  • procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania;
  • sposób, miejsce i okres przechowywania elektronicznych nośników informacji zawierających dane osobowe oraz kopii zapasowych zbiorów danych,
  • sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego,
  • sposób realizacji wymogów, o których mowa w § 7 ust. 1 pkt 4 rozporządzenia,
  • procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.

Dodatkowo, dokumentacja może zawierać inne elementy lub procedury, które wychodzą poza minimum określone w przepisach, ale są uzasadnione podjętymi środkami ochrony danych. Wszystko zależy od charakteru działania danej firmy, branży, w której funkcjonuje, zakresu przetwarzanych danych oraz stopniu ryzyka ich utraty.

Jeżeli ar­ty­kuł przydał Ci się, udostępnij go in­nym. Pomóż nam dzielić się wiedzą. Dzięki po­niż­szym przy­ci­skom zaj­mie ci to chwilę.


Podziel się na Facebook Podziel się na Twitter Podziel się na LinkedIn