Polityka bezpieczeństwa ABC

Bardzo istotnym obowiązkiem formalnym, który nakłada na administratora danych ustawa, jest konieczność prowadzenia, na poziomie całej firmy, dokumentacji opisującej sposób przetwarzania danych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych, odpowiednią do zagrożeń oraz kategorii danych objętych ochroną.

Polityka bezpieczeństwa ABC
  • Rafał Stępniewski
  • /
  • 5 maja 2016

Bardzo istotnym obowiązkiem formalnym, który nakłada na administratora danych ustawa, jest konieczność prowadzenia, na poziomie całej firmy, dokumentacji opisującej sposób przetwarzania danych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych, odpowiednią do zagrożeń oraz kategorii danych objętych ochroną.

Czym jest dokumentacja i co powinna zawierać określone jest w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.

Zgodnie z rozporządzeniem na dokumentację składa się:

  • polityka bezpieczeństwa,
  • instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych.

Polityka bezpieczeństwa musi zawierać:

Jeżeli jesteś administratorem danych lub IOD

możesz liczyć na nasze wsparcie w zakresie RODO w Twojej firmie

  • wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe,
  • wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych,
  • opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiazania miedzy nimi,
  • sposób przepływu danych pomiędzy poszczególnymi systemami,
  • określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.

Instrukcja zarządzania systemem informatycznym musi zawierać:

  • procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności;
  • stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem;
  • procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu;
  • procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania;
  • sposób, miejsce i okres przechowywania elektronicznych nośników informacji zawierających dane osobowe oraz kopii zapasowych zbiorów danych,
  • sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego,
  • sposób realizacji wymogów, o których mowa w § 7 ust. 1 pkt 4 rozporządzenia,
  • procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.

Dodatkowo, dokumentacja może zawierać inne elementy lub procedury, które wychodzą poza minimum określone w przepisach, ale są uzasadnione podjętymi środkami ochrony danych. Wszystko zależy od charakteru działania danej firmy, branży, w której funkcjonuje, zakresu przetwarzanych danych oraz stopniu ryzyka ich utraty.

Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu ponownie!
Jeżeli podobał Ci się artykuł podziel się z innymi udostępniając go w mediach społecznościowych.

O autorze

Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia o którym mowa w akrtykule?

Czy ten artykuł był przydatny?

Kliknij aby wrócić do strony głównej
ISO 54001. Co to jest?
ISO

ISO 54001. Co to jest?

Na rynku istnieje wiele różnych norm zarządzania jakością, jakie dokładnie opisuje standard ISO. Jednym z nich jest norma 54001, z którą jednak nie spotykamy się zbyt często. Czym wyróżnia...

Newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślemy Ci powiadomienie o najważniejszych artykułach. Dla subskrybentów newslettera przygotowujemy specjalne wydarzenia np. webinaria. Nie pożałujesz!