eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plPrawoPrawo dla biznesuStruktura zbioru danych osobowych

Struktura zbioru danych osobowych

2011-10-25 12:14

Przeczytaj także: Zakres przedmiotowy i obszar przetwarzania danych osobowych


Określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych

Zanim przejdę do opisu tego rozdziału, konieczne jest przybliżenie pojawiających się w tytule pojęć. Wszystkie one zostały zdefiniowane w Rozporządzeniu, w jego § 2. Przez rozliczalność należy rozumieć taką właściwość, która zapewnia, że działania podmiotu mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi. Pod pojęciem integralności danych rozumie się właściwość zapewniającą, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany, natomiast poufności danych oznacza właściwość zapewniającą, że dane nie są udostępniane nieupoważnionym podmiotom.

Z punktu widzenia tego rozdziału polityki bezpieczeństwa istotne jest jeszcze sięgnięcie do przepisu zawartego w art. 36 ust. 1 UODO, w myśl którego administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.

Ostatnią rzeczą, którą należy wziąć pod uwagę przy opracowaniu opisywanego tutaj rozdziału będzie ustalenie tzw. poziomu bezpieczeństwa. Jest to o tyle istotne, że wyznaczony poziom determinuje środki jakie obligatoryjnie należy zastosować do zabezpieczenia danych osobowych. Rozporządzenie w § 6 przewiduje trzy różne poziomy bezpieczeństwa:
  • poziom podstawowy – stosowany, gdy w systemie informatycznym nie są przetwarzane dane wrażliwe (np. stan zdrowia, karalność) oraz żadne z urządzeń systemu informatycznego, służącego do przetwarzania danych osobowych nie jest połączone z siecią publiczną np. internetem,
  • poziom podwyższony – stosowany, gdy w systemie informatycznym przetwarzane są dane wrażliwe oraz żadne z urządzeń systemu informatycznego, służącego do przetwarzania danych osobowych nie jest połączone z siecią publiczną,
  • poziom wysoki – stosowany, gdy przynajmniej jedno urządzenie systemu informatycznego, służącego do przetwarzania danych osobowych, połączone jest z siecią publiczną.

Jak łatwo zauważyć, w dzisiejszych czasach, gdzie praktycznie każdy komputer w firmie podłączony jest do internetu, najczęściej do czynienia będziemy mieli z ostatnim z opisanych poziomów. Teraz odszukujemy w Rozporządzeniu załącznik, który w miarę precyzyjnie pokazuje jakie wymogi musi spełnić podmiot przetwarzający dane osobowe. I w gruncie rzeczy to właśnie opis tych środków powinien znaleźć się w tym rozdziale polityki bezpieczeństwa, ale nie tylko. Tak jak wspominałem wcześniej, zabezpieczenia zawsze muszą być adekwatne do zagrożeń i kategorii przetwarzanych danych, a to oznacza, że oprócz środków przewidzianych w załączniku do Rozporządzenia, musimy dobrać także takie środki, które – po dokonaniu analizy ryzyka – będą spełniały postulat zawarty w zasadzie adekwatności (art. 36 ust. 1 UODO).

Eksperci egospodarka.pl

1 1 1

Wpisz nazwę miasta, dla którego chcesz znaleźć jednostkę ZUS.

Wzory dokumentów

Bezpłatne wzory dokumentów i formularzy.
Wyszukaj i pobierz za darmo: