Polityka bezpieczeństwa ochrony danych osobowych
2011-10-14 08:25
Przeczytaj także: Powierzenie przetwarzania danych osobowych a ich udostępnienie - jakie różnice?
Pierwszym dokumentem, który należy stworzyć jest polityka bezpieczeństwa, przy czym nazwę tą często uzupełnia się słowami „ochrony danych osobowych”, by odróżnić ją od polityki bezpieczeństwa informacji, o której mowa w normach ISO.W tym miejscu dodać jeszcze należy, że politykę bezpieczeństwa musi opracować i wdrożyć każdy podmiot, który przetwarza dane osobowe (np. spółdzielnia, spółka z o.o., urząd gminy, osoba prowadząca jednoosobową działalność gospodarczą etc.).
Skoro istotnym dla obowiązku stworzenia polityki bezpieczeństwa jest przetwarzanie przez podmiot danych osobowych, należy zacząć od przybliżenia Czytelnikowi obu tych pojęć.
UODO definiuje dane osobowe jako wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Dalej ustawodawca dodaje, że osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny (np. nr PESEL, NIP) albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Drugim interesującym nas pojęciem jest przetwarzanie danych przez które należy rozumieć jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych np. zbieranie CV, przekazywanie danych osobowych pracowników do ZUS, gromadzenie danych w celu wysyłania informacji handlowych (np. przez sklepy internetowe), udostępnianie danych policji, wysyłanie newslettera, tworzenie bazy użytkowników portalu społecznościowego etc.
Proszę zauważyć, że celowo zacząłem od ww. pojęć, a nie od definicji administratora danych, czyli podmiotu decydującego o celach i środkach przetwarzania danych osobowych. Wynika to z faktu, że obowiązek stworzenia i wdrożenia polityki bezpieczeństwa ciąży nie tylko na administratorze danych, ale też na każdym innym podmiocie, który przetwarza dane osobowe, a więc np. podmiocie, któremu administrator danych, na mocy art. 31 UODO powierzył dane do przetwarzania.
Najważniejsze przepisy UODO i Rozporządzenia odnoszące się do opisywanego w tekście dokumentu:
UODO:
Art. 36.
- 1. Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.
- 2. Administrator danych prowadzi dokumentację opisującą sposób przetwarzania danych oraz środki, o których mowa w ust. 1.
Rozporządzenie:
-
§ 1. Rozporządzenie określa:
- 1) sposób prowadzenia i zakres dokumentacji opisującej sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną;
- 2) podstawowe warunki techniczne i organizacyjne, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych;
- 3) wymagania w zakresie odnotowywania udostępniania danych osobowych i bezpieczeństwa przetwarzania danych osobowych.
- § 3. 1. Na dokumentację, o której mowa w § 1 pkt 1, składa się polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, zwana dalej "instrukcją".
-
§ 4. Polityka bezpieczeństwa, o której mowa w § 3 ust. 1, zawiera w szczególności:
- 1) wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe;
- 2) wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych;
- 3) opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi;
- 4) sposób przepływu danych pomiędzy poszczególnymi systemami; określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.
oprac. : Michał Sztąberek / iSecure