Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Aktualne wydanie

Polecamy

Bezpieczeństwo danych osobowych. Praktyczny przewodnik

Bezpieczeństwo danych osobowych. Praktyczny przewodnik
 

Katarzyna Ułasiuk, Michał Sztąberek

Cena: 148,00 zł

Zamów

Organizacyjne aspekty prowadzenia dokumentacji ochrony danych osobowych

18-05-2017 Autor: Piotr Wojczys

Zapewnienie ochrony danych osobowych wiąże się z koniecznością ustalenia i wprowadzenia w życie szeregu zasad i praktyk, które na poziomie każdej organizacji stanowią odzwierciedlenie wymagań wynikających z przepisów prawa powszechnego. Udokumentowanie tych zasad i praktyk należy do ADO lub ABI.

 

Punktem wyjścia jest oczywiście art. 36 uodo, który czyni ADO odpowiedzialnym za prowadzenie dokumentacji opisującej sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ich ochronę. Administrator danych jest zawsze na szczycie pewnej formalnej struktury organizacyjnej i w naturalny sposób posługuje się tą strukturą w celu wypełniania nałożonych na niego obowiązków.

 

1.


Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (dalej: rozporządzenie), określa elementy wspomnianej dokumentacji. W przepisach rozporządzenia są wskazane dwa zasadnicze dokumenty dotyczące bezpieczeństwa danych:

  • polityka bezpieczeństwa,
  • instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych.

Oba mają charakter złożony, zaś ich minimalny zakres merytoryczny wskazany w rozporządzeniu sprawia, że w praktyce mamy do czynienia z całym szeregiem specjalistycznych opracowań. Przygotowanie i aktualizacja takiej dokumentacji wymaga szerokich kompetencji zarówno w zakresie budowania procedur dotyczących ochrony danych osobowych, jak i rozwiązań technologicznych służących temu celowi. Bezpieczeństwo informacji nawet w obszarze danych osobowych jest zawsze zagadnieniem interdyscyplinarnym. Przyjmując taki punkt widzenia, trzeba odnieść się do zagadnienia o kluczowym znaczeniu – wskazania „właścicieli” (termin „właściciel” występuje w normach z rodziny PN-ISO 27000) poszczególnych dokumentów lub ich części, a także źródeł i zakresu informacji niezbędnych dla zachowania merytorycznej poprawności i aktualności dokumentacji ODO.


2.


W przypadku części dokumentów ODO przepisy są jednoznaczne, zwłaszcza jeśli ADO powołał ABI. To właśnie ABI z pewnością jest właścicielem co najmniej trzech rodzajów dokumentów:

1) rejestru zbiorów danych,
2) planów sprawdzeń,
3) sprawozdań z przeprowadzonych przez siebie sprawdzeń zgodności przetwarzania danych osobowych z przepisami.

W pierwszym przypadku przypisanie obowiązku prowadzenia rejestru ABI następuje w art. 36a ust. 2 pkt 2 uodo. W pozostałych dwóch w rozporządzeniu Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji (§ 3 ust. 5).

W odniesieniu do pozostałej dokumentacji ODO sytuacja nie jest tak jednoznaczna. Ustawodawca w uodo wskazuje, że do zadań ABI należy nadzorowanie opracowania i aktualizowania dokumentacji opisującej sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych (art. 36a ust. 2 pkt 1 lit. b). W tym kontekście ABI powinien zasadniczo wykonywać jedynie czynności o charakterze koordynacyjnym, nie zaś kreacyjnym. Problem polega na tym, że często w danej organizacji tylko on jest osobą, która posiada odpowiednie kompetencje, aby spojrzeć kompleksowo na zagadnienie ochrony danych osobowych, a jednocześnie dostrzegać istotne szczegółowe kwestie w tym obszarze. Tak więc to zasoby kadrowe i organizacja wewnętrzna, jakimi dysponuje ADO, będą decydowały o tym, czy i jakie dodatkowe, szczegółowe zadania przypadną ABI.

 

3.

 

Zgodnie z art. 39 ust. 1 uodo ADO prowadzi ewidencję osób upoważnionych do ich przetwarzania. Ewidencja ta powinna zawierać:

  • imię i nazwisko osoby upoważnionej,
  • datę nadania i ustania,
  • zakres upoważnienia do przetwarzania danych osobowych,
  • identyfikator osoby upoważnionej, jeżeli dane są przetwarzane w systemie informatycznym.

[...]

 


Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

Zapraszamy do składania zamówień na prenumeratę.


 

______________________________________________________________________________________________________________________________________

Informacje o cookies © 2017 PRESSCOM Sp. z o.o.