Cyfroteka.pl

klikaj i czytaj online

Cyfro
Czytomierz
00085 006581 13438602 na godz. na dobę w sumie
Ochrona danych osobowych - wydanie grudzień 2014 r - ebook/pdf
Ochrona danych osobowych - wydanie grudzień 2014 r - ebook/pdf
Autor: Liczba stron:
Wydawca: Wydawnictwo Wiedza i Praktyka Język publikacji: polski
ISBN: 2391-5781 Data wydania:
Lektor:
Kategoria: ebooki >> prawo i podatki >> karne
Porównaj ceny (książka, ebook (-22%), audiobook).
 Trzeci numer miesięcznika „Ochrona danych osobowych” przygotowaliśmy we współpracy z doświadczonymi Administratorami Bezpieczeństwa Informacji i radcami prawnymi. Tematem numeru jest problematyka przygotowania umowy powierzenia przetwarzania danych osobowych. Radca prawny Marcin Sarna podpowiada, jak stworzyć taki kontrakt, aby był zgodny z prawem i w odpowiedni sposób zabezpieczał interesy Administratora Danych Osobowych. Warto skorzystać z przygotowanych przez niego, gotowych zapisów umownych. Nasze artykuły pomogą też stworzyć dokumenty związane z ochroną danych osobowych, które każda jednostka czy to prywatna, czy publiczna powinna przygotować i wdrożyć. Wyjaśniamy też kwestię, która na co dzień sprawia wiele problemów, czyli jak w odpowiedni sposób przechowywać dokumenty papierowe zawierające dane osobowe. Podpowiadamy też, jak przeprowadzić pierwszy audyt z przestrzegania zasad ochrony danych osobowych. Dajemy gotowy plan przeprowadzenia takiego audytu. Doświadczony trener i szkoleniowiec wyjaśnia też krok po kroku, jak przeprowadzić szkolenie z ochrony danych dla pracowników.
Znajdź podobne książki Ostatnio czytane w tej kategorii

Darmowy fragment publikacji:

Grudzień 2014 issn 2391-5781 nr 3 OCHRONA DANYCH OSOBOWYCH Praktyczne porady • Instrukcje krok po kroku • Wzory ▌ Zmiany w ochronie danych ▌ Najczęściej popełniane błędy w związku z ochroną danych ▌ Zasady tworzenia umowy powierzenia danych „Oficyna Prawa Polskiego” Wydawnictwo WiP ul. Łotewska 9A, 03-918 Warszawa NIP: 526-19-92-256 KRS: 0000098264 – Sąd Rejonowy dla m.st. Warszawy, Sąd Gospodarczy XIII Wydział Gospodarczy Rejestrowy Wysokość kapitału zakładowego: 200.000 zł „Ochrona danych osobowych” Redaktor: Wioleta Szczygielska Kierownik grupy wydawniczej: Ewa Ziętek-Maciejczyk Wydawca: Monika Kijok Koordynacja produkcji: Mariusz Jezierski, Magdalena Huta Korekta: Zespół Projekt graficzny okładki: Michał Marczewski Skład i łamanie: Ireneusz Gawliński Drukarnia: MDdruk Nakład: 500 egz. „Ochrona danych osobowych” wraz z przysługującym Czytelnikom innymi elementami dostępnymi w prenumeracie (e-letter, strona WWW i inne) chronione są prawem autorskim. Przedruk materiałów opublikowanych w „Ochronie danych osobowych” oraz w innych dostępnych elementach prenumeraty – bez zgody wydawcy – jest zabroniony. Zakaz nie dotyczy cytowania publikacji z powołaniem się na źródło. Publikacja „Ochrona danych osobowych” została przygotowana z zachowaniem najwyższej staranności i wykorzy- staniem wysokich kwalifikacji, wiedzy i doświadczenia autorów oraz konsultantów. Zaproponowane w publikacji „Ochrona danych osobowych” oraz w innych dostępnych elementach subskrypcji wskazówki, porady i interpretacje nie mają charakteru porady prawnej. Ich zastosowanie w konkretnym przypadku może wymagać dodatkowych, pogłębionych konsultacji. Publikowane rozwiązania nie mogą być traktowane jako oficjalne stanowisko organów i urzędów państwowych. W związku z powyższym redakcja nie może ponosić odpowiedzialności prawnej za zasto- sowanie zawartych w publikacji „Ochrona danych osobowych” lub w innych dostępnych elementach prenumeraty wskazówek, przykładów, informacji itp. do konkretnych przypadków. Informacje o prenumeracie: tel.: 22 518 29 29 faks: 22 617 60 10 e-mail: cok@opp.com.pl Spis treści SPIS TREŚCI AKTUALNOŚCI Zmiany w ochronie danych . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 Jarosław Żabówka Dane osobowe lądują w koszu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 Wioleta Szczygielska Dostęp do danych pacjentów . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 Wioleta Szczygielska INSTRUKCJE Jak należy przygotować politykę bezpieczeństwa danych . . . . . . . . . . . . . . . . . . . . . . . 5 Konrad Gałaj-Emiliańczyk Najczęściej popełniane błędy w związku z ochroną danych . . . . . . . . . . . . . . . . . . . . . . 7 Piotr Janiszewski Tworzymy instrukcję zarządzania systemem informatycznym . . . . . . . . . . . . . . . . . . . . 9 Jarosław Żabówka TEMAT NUMERU Zasady tworzenia umowy powierzenia danych . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 Marcin Sarna PORADY Jak należy przeprowadzić audyt ochrony danych osobowych . . . . . . . . . . . . . . . . . . . 15 Łukasz Onysyk Dokumenty zawierające dane osobowe – jak je przechowywać . . . . . . . . . . . . . . . . . 17 Piotr Glen Szkolenie dla pracowników z ochrony danych . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 Przemysław Zegarek WZORY DOKUMENTÓW . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 OCHRONA DANYCH OSOBOWYCH 141 GRUDZIEŃ 2014 LIST OD REDAKTORA Wioleta Szczygielska redaktor prowadząca Szanowni Czytelnicy! Podczas codziennej pracy z pewnością spotkali się Państwo z sytuacją, kie- dy trzeba było przekazać dane swoich klientów lub pracowników innej fi r- mie. Być może zlecali Państwo obsługę księgową zewnętrznemu podmiotowi. Trzeba pamiętać, że takie przekazanie danych to – zgodnie z ustawą – powie- rzenie przetwarzania danych osobowych. Administrator Danych Osobowych powinien uregulować ten proces w odrębnej umowie powierzenia. W artykule „Zasady tworzenia umowy powierzenia danych” radca prawny Marcin Sarna podpowiada, jak skonstruować taki kontrakt. Szczególnie polecam też poradnikowe teksty, które pomogą Państwu stwo- rzyć wewnętrzne dokumenty regulujące zasady ochrony danych osobowych. Doświadczeni Administratorzy Bezpieczeństwa Informacji w artykułach: „Jak przygotować politykę bezpieczeństwa przetwarzania danych” i „Two- rzymy instrukcję zarządzania systemem informatycznym” podpowiada- ją, jak przygotować te dokumenty, aby spełniały wymogi ustawy o ochronie danych osobowych. Wiele osób, które zajmują się tematem ochrony danych osobowych, ma problem z przechowywaniem dokumentacji papierowej zawierającej dane osobowe. Jest to o tyle trudne, że ustawa o ochronie danych osobowych nie daje jasnych wytycznych w tej kwestii. Nasz ekspert, wieloletni Administra- tor Bezpieczeństwa Informacji i członek zarządu Stowarzyszenia Admini- stratorów Bezpieczeństwa Informacji SABI, Piotr Glen, doradzi, jak długo i w jaki sposób przechowywać takie dokumenty. Po raz kolejny podpowiemy też Państwu, w jaki sposób przygotować szko- lenie z ochrony danych osobowych dla pracowników. Zachęcam również do skorzystania z gotowych wzorów dokumentów, które z pewnością przyda- dzą się w codziennej pracy. A już w następnym numerze zajmiemy się nowelizacją ustawy o ochronie danych osobowych. Eksperci z kancelarii Traple Konarski Podrecki szczegó- łowo wyjaśnią jak planowane zmiany wpłyną na pracę Administratorów Bezpieczeństwa Informacji. Życzę owocnej lektury! OCHRONA DANYCH OSOBOWYCH 142 GRUDZIEŃ 2014 AKTUALNOŚCI AKTUALNOŚCI Zmiany w ochronie danych Kończą się prace nad nowelizacją ustawy o ochronie danych osobowych. Projekt został przyjęty przez Sejm i Senat. Teraz czeka tylko na podpis prezydenta. Zmiany będą obowiązywać od stycznia 2015 roku. JAROSŁAW ŻABÓWKA trener, wykładowca, po- pularyzator zagadnień ochrony danych osobo- wych, właściciel fi rmy www.proInfoSec.pl, wieloletni administrator bezpieczeństwa infor- macji, twórca systemów zarządzania ochroną danych osobowych w małych i dużych przedsiębiorstwach, au- dytor normy ISO 27001 i menedżer systemów informatycznych, autor publikacji i prezentacji branżowych Nowelizacja ustawy o ochronie danych osobo- wych ma rozwiać wątpliwości odnośnie wyzna- czenia ABI. Jego powołanie będzie zależało od decyzji administratora danych. Jeżeli zdecydu- je się on wyznaczyć ABI, to będzie zwolniony z obowiązku rejestracji zbiorów zawierających dane zwykłe (taki rejestr będzie prowadził ad- ministrator bezpieczeństwa informacji). Powołać czy nie powołać ABI Jeżeli ABI zostanie powołany: 1. ADO jest obowiązany zgłosić do GIODO po- wołanie i odwołanie ABI w terminie 30 dni. 2. Jego zadaniem będzie zapewnienie przestrze- gania przepisów o ochronie danych osobo- wych. W tym celu ABI ma obowiązek: • Sprawdzać zgodność przetwarzania da- nych osobowych z przepisami oraz opra- cowywać sprawozdanie dla ADO. • Nadzorować opracowywanie i aktualizo- wanie polityki bezpieczeństwa i instrukcji zarządzania systemem informatycznym. • Nadzorować przestrzeganie zasad prze- twarzania danych. • Zapewnić zapoznanie osób upoważnio- nych do przetwarzania danych z przepi- sami o ochronie danych. 3. ABI będzie prowadził jawny rejestr zbiorów danych przetwarzanych przez administrato- ra danych. 4. Administratorem Bezpieczeństwa Informacji może być osoba, która: • ma pełną zdolność do czynności praw- nych oraz korzysta z pełni praw publicz- nych, • posiada odpowiednią wiedzę w zakresie ochrony danych osobowych, • nie była karana za przestępstwo popełnio- ne z winy umyślnej. 5. Musi podlegać bezpośrednio kierownikowi jednostki organizacyjnej lub ADO. Osoby te zobowiązane są zapewnić środki niezbędne do wykonywania zadań przez ABI. 6. ADO będzie mógł powierzyć ABI wykonywa- nie innych zadań – nie mogą one wpływać na wykonywanie podstawowych obowiązków. 1 Tekst powstał na podstawie projektu ustawy, procedowane- go w Komisji Nadzwyczajnej do spraw związanych z ogranicza- niem biurokracji. 7. ADO może powołać zastępców ABI. 8. ADO będzie zwolniony ze zgłaszania do reje- stracji zbiorów danych – wyłącznie tych nie- zawierających danych wrażliwych. 9. GIODO może się zwrócić do ABI o spraw- dzenie zgodności przetwarzania danych z przepisami o ochronie danych osobowych. 10. Po sprawdzeniu, za pośrednictwem ADO, ABI przedstawi GIODO sprawozdanie. Jeżeli ABI nie zostanie powołany: 1. ADO zobowiązany jest zapewnić przestrzega- nie przepisów o ochronie danych osobowych. W tym celu powinien: • Sprawdzać zgodność przetwarzania da- nych z przepisami. • Nadzorować opracowywanie i aktualizo- wanie dokumentacji. • Nadzorować przestrzeganie zasad prze- twarzania danych. • Zapewnić zapoznanie osób upoważnio- nych do przetwarzania danych z przepi- sami o ochronie danych osobowych. 2. ADO będzie zgłaszać zbiory na dotych- czasowych zasadach. Niezgłoszenie zbioru będzie nadal zagrożone karą grzywny, ogra- niczenia wolności albo pozbawienia wolno- ści do roku. Jeśli ADO nie powoła ABI, zobowiązany jest do zapewnienia realizacji wszystkich zadań, które mógłby realizować ABI, z wyjątkiem opracowa- nia sprawozdania. Czy zmiany są potrzebne Proponowana nowelizacja będzie miała zna- czenie dla tych administratorów danych, któ- rzy często składają wnioski rejestracyjne. Będą to duże podmioty ze sporą ilością zbiorów lub często zawierające umowy powierzenia prze- twarzania. Zwykle też mają już wyznaczone- go ABI. Dla małych przedsiębiorców zwolnienie z obo- wiązku zgłoszenia zbioru nie będzie istotne. Korzystne może być zwolnienie z obowiązku wy- znaczenia ABI. Chociaż przedsiębiorca będzie na- dal zobowiązany do realizacji jego zadań. Po wejściu w życie nowelizacji każdy admi- nistrator danych będzie musiał samodzielnie podjąć decyzję, który wariant jest dla niego ko- rzystniejszy. OCHRONA DANYCH OSOBOWYCH 143 GRUDZIEŃ 2014 ODO@WIP.PL Dane osobowe lądują w koszu Aż z 93 wyrzuconych dokumentów firmowych da się odczytać dane osobowe. W większości są to informacje istotne, np. o wypłatach dla pracowników czy opinie bankowe. Takie wnioski płyną z badania przeprowadzonego w Miejskim Przedsiębiorstwie Oczyszczania w Warszawie. W ramach VI edycji kampanii „Nie daj się okraść, chroń swoją tożsamość” przeprowadzono internetową ankietę, z której wynika, że w teorii dbamy o zabezpieczenie danych osobowych. Osoby, które mają kontakt z danymi wrażli- wymi w większości (97 ) niszczą dokumentację, która je zawiera – wynika z ankiety. A jak jest w praktyce? W ramach kampanii przeprowadzo- no też badanie w Miejskim Przedsiębiorstwie Oczyszczania w Warszawie. Okazało się, że na śmietnikach lądują zarów- no druki fi rmowe, jak i te z domów prywatnych. Spośród 1610 sprawdzonych dokumentów 42 pochodziło z fi rm lub instytucji, a 48 od osób prywatnych. Aż 578 (84 ) spośród urzędowych lub fi rmowych doku- mentów było wyrzuconych w całości. Zniszczono tylko 16 . Jednak spora ich część była zniszczona w taki sposób, że z łatwością można było odczytać zawarte w nich dane, np. były przedarte na pół. W konsekwencji aż ponad połowę pozornie zniszczonych dokumentów można było odczytać. Co najbardziej alar- mujące jest to, że wśród znalezionych dokumentów były informacje szczególnie istotne, np. akty notarialne zaku- pu nieruchomości, raporty medyczne lub zeznania po- datkowe. Na kwestię wycieku danych osobowych szczególną uwagę powinny zwracać nie tylko osoby prywatne, ale też fi rmy i instytucje państwowe. Za ujawnienie danych może grozić od 2 do nawet 3 lat więzienia w przypadku danych wrażli- wych, np. o stanie zdrowia. Wioleta Szczygielska Dostęp do danych pacjentów Uregulowanie zasad udostępniania dokumentacji medycznej, wprowadzenie telemedycyny i Karty Ubezpieczenia Zdrowotnego – to jedne z ważniejszych zmian, jakie ma wprowadzić nowelizacja ustawy o systemie informacji o ochronie zdrowia. Jak wynika z projektu ustawy o zmianie ustawy o systemie informacji o ochronie zdrowia i innych ustaw, dane me- dyczne i inne dane przetwarzane w Systemie Informacji Medycznej dotyczące pacjentów będą udostępniane Za- kładowi Ubezpieczeń Społecznych i Narodowemu Fundu- szowi Zdrowia. Fundacja Panoptykon alarmuje, że nowy akt w niedostateczny sposób będzie chronił dane osobo- we pacjentów. Projekt nie wspomina bowiem, na podstawie jakich przepi- sów instytucje te będą przetwarzać dane osobowe pacjen- tów. Projekt jedynie enigmatycznie wspomina, że będzie się to odbywać „w zakresie zgodnym z ustawą”. Zdaniem Fun- dacji Panoptykon powinno być jasne, w jakim celu, zakresie i w jaki sposób ZUS i NFZ będą te dane wykorzystywać. Dodatkowo dane osobowe pacjentów mają być również udostępniane płatnikom, którzy fi nansują albo współfi - nansują świadczenia opieki zdrowotnej ze środków pub- licznych. Chodzi np. o samorządy opłacające programy niepłodności metodą zapłodnienia pozaustrojowego. Projekt nowelizacji zakłada, że dane pacjenta będą udo- stępniane za jego zgodą. W wielu przypadkach osoba korzystająca ze świadczeń medycznych będzie mogła także zgłosić sprzeciw wobec przetwarzania swoich danych, np. wobec udostępnia- nia jednostkowych danych medycznych zgromadzo- nych w module statystyczno-rozliczeniowym. Ustawa nie wskazuje jednak, w jaki sposób będzie można wnieść sprzeciw wobec przetwarzania swoich danych. Wioleta Szczygielska OCHRONA DANYCH OSOBOWYCH 144 GRUDZIEŃ 2014 Jak należy przygotować politykę bezpieczeństwa danych INSTRUKCJE Polityka bezpieczeństwa to jeden z ważniejszych dokumentów, który administrator danych musi przygotować i wdrożyć. Biorąc pod uwagę negatywne konsekwencje braku kontroli nad danymi osobowymi, warto poświęcić temu zagadnieniu czas i środki. KONRAD GAŁAJ- -EMILIAŃCZYK prawnik i administra- tor bezpieczeństwa informacji w kilku- nastu podmiotach sektora prywatnego i publicznego, trener i wykładowca szkoleń, konferencji i semina- riów, Coach Inc. Ochro- na Danych Osobowych, coach-inc.pl Wskazówek, w jaki sposób przygotować politykę bezpieczeństwa, udziela rozporządzenie ministra spraw wewnętrznych i administracji z 29 kwiet- nia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. z 2004 r. nr 100, poz. 1024) i wytyczne GIODO. Jest jednak kilka elementów, jak np. opis struk- tury zbiorów czy sposób przepływu danych po- między poszczególnymi systemami, których przygotowanie może sprawić problemy.  PRZYKŁAD Dobrą praktyką przy tworzeniu polityki bezpieczeństwa jest ukształtowanie jej w formie dokumentu głównego z załącznikami. Dzięki temu ADO nie będzie musiał jej podpisywać za każdym razem, gdy zajdzie konieczność wprowadzenia zmian, zmiany można będzie wprowadzić w załącznikach. ABI zaś będzie mógł rzadziej weryfikować ten dokument – najczęściej raz w roku podczas okreso- wej kontroli systemu ochrony danych. Od czego zacząć? Zgodnie z wytycznymi GIODO polityka bez- pieczeństwa musi wyjaśniać podstawową termi- nologię oraz cel, jakiemu ma służyć. Dokument warto zacząć w następujący sposób: W celu zapewnienia bezpieczeństwa i kontroli nad przepływem danych osobowych w … [na- zwa podmiotu] wdraża się postanowienia ni- niejszej polityki bezpieczeństwa. Często stosuje się też odnośniki do innych we- wnętrznych dokumentów, jak instrukcja kance- laryjna czy regulamin IT. Dobrą praktyką jest również określenie środków, jakie mają zostać wykorzystane w celu osiągnię- cia celu, jakiemu polityka ma służyć. Najczęściej określa się je w następujący sposób: W  celu zapewnienia ochrony danych oso- bowych stosuje się zabezpieczenia fi zyczne, organizacyjne oraz techniczne. Powołano ad- ministratora bezpieczeństwa informacji dla pełnienia nadzoru nad systemem ochrony da- nych osobowych. Powyższe zapisy mają na celu jednoznaczne okre- ślenie charakteru i zakresu polityki bezpieczeństwa. Osoby odpowiedzialne Polityka bezpieczeństwa powinna jednoznacznie określać, kto jest administratorem danych oso- bowych oraz kto pełni nadzór nad przestrzega- niem dokumentu w organizacji. Nawet jeśli ABI nie jest wyznaczony, należy jasno opisać prawa i obowiązki osoby odpowiedzialnej za nadzór nad przestrzeganiem dokumentu. Dobrą praktyką jest również umieszczanie w tym miejscu informacji o funkcji Administratora Sy- stemów Informatycznych (ASI) i zakresie jego praw i obowiązków. Obszary przetwarzania Ewidencja obszarów przetwarzania jest pierw- szym wymaganym przez rozporządzenie ele- mentem polityki bezpieczeństwa. Najprościej jest ją prowadzić w formie załącznika, gdyż ist- nieje duże prawdopodobieństwo, że będzie zmie- niana częściej niż raz w roku. Są dwie metody opisywania obszaru przetwarzania. Pierwsza zakłada opisywanie wszystkich po- mieszczeń w  podmiocie wraz z  określeniem zastosowanych zabezpieczeń fizycznych (np. pokój nr 9 – drzwi zamykane na klucz), orga- nizacyjnych (np. sala konferencyjna – procedu- ra kontroli dostępu) oraz informatycznych (np. serwerownia – szyfrowanie danych). Druga metoda przewiduje tzw. defi nicję nega- tywną. Podajemy np. sam adres (jeżeli zajmuje- my cały budynek) lub dodajemy piętro i segment naszej siedziby wraz z wyłączeniem obszarów, które nie stanowią obszaru przetwarzania (np. ul. Marszałkowska 1, 00-123 Warszawa, piętro I, lo- kal 3, z wyłączeniem komunikacji oraz pomiesz- czeń socjalnych). OCHRONA DANYCH OSOBOWYCH 145 GRUDZIEŃ 2014 ODO@WIP.PL Politykę bezpieczeństwa danych najlepiej przygotować w formie dokumentu głównego wraz z załącznikami Ewidencja obszarów przetwarzania jest najczęściej łączona z ewidencją zbiorów danych osobowych. W praktyce bo- wiem zbiory są w mniejszym lub większym stopniu zwią- zane z obszarami przetwarzania danych. Zbiory danych osobowych Ewidencję zbioru danych osobowych również warto pro- wadzić w formie załącznika. Powinien on zawierać nazwę zbioru danych w powiązaniu z oprogramowaniem stoso- wanym do jego przetwarzania (np. zbiór danych osobo- wych pracowników jest przetwarzany z wykorzystaniem programu Płatnik oraz Symfonia). Dodatkowo zbiór wraz z oprogramowaniem powinien być przypisany do obszaru przetwarzania, tym samym do za- bezpieczeń. Każdy zbiór może być przetwarzany zarówno przez jeden, jak i wiele programów jednocześnie. Zgodnie z wytycznymi Generalnego Inspektora Ochrony Danych Osobowych w zakresie szczegółowości określania oprogra- mowania należy brać pod uwagę nawet moduły poszcze- gólnych programów.  UWAGA Dobrą praktyką jest określenie podstawy prawnej przetwarzania zbio- rów danych osobowych (art. 23 lub art. 27 ustawy o ochronie da- nych osobowych). Opis struktury zbiorów Podobnie jak powyższe elementy dokumentacji, opis struktury zbiorów jest obligatoryjny i również najczęś- ciej prowadzi się go w formie załącznika. Tworzy się go w stosunku do każdego wyodrębnionego zbioru danych, podając jego nazwę, sposób przetwarzania danych (wer- sja papierowa i/lub system informatyczny) oraz wszelkie kategorie gromadzonych danych (np. imiona i nazwiska, miejsce zamieszkania, adres e-mail itp.). Jeżeli przetwarzamy dane z wykorzystaniem programu informatycznego, powinniśmy opisać poszczególne pola informacyjne. W przypadku korzystania z komercyjnego oprogramowania należy odnieść się do instrukcji użyt- kownika lub specyfi kacji oprogramowania dostarczanej przez producenta. Problem pojawia się, gdy korzystamy z dedykowanego oprogramowania stworzonego na nasze potrzeby, a pro- ducent nie zadbał o takie informacje. W takim przypadku musimy sami stworzyć opracowa- nie, z którego będą wynikały powiązania pomiędzy po- szczególnymi polami informacyjnymi do wypełnienia w programie. Ostatnim, koniecznym elementem opisu struktury zbio- rów jest powiązanie danych w kategorie (np. dane dotyczą- ce zamówienia – produkt, ilość, numer ID produktu itp. oraz dane dotyczące dostawy – imię i nazwisko, adres itp.). Sposób przepływu danych Obowiązkowym elementem polityki bezpieczeństwa jest określenie sposobu przepływu danych pomiędzy poszcze- gólnymi systemami informatycznymi, czyli jednoznaczne określenie, z jakiego do jakiego programu dane przepływają. W praktyce najczęściej załącznik ten stanowi schemat prze- pływu danych pomiędzy poszczególnymi programami prze- twarzającymi dane. Wynika to z faktu, że większość oprogramowania posiada własne bazy zawierające dane osobowe. W zależności od liczby programów wykorzystywanych w naszej jednostce przetwarzających dane osobowe mo- żemy skorzystać z prostego schematu, np. kierunek prze- pływu danych (np. jednokierunkowo lub dwukierunkowo) – sposób przepływu danych (np. automatycznie, półauto- matycznie lub manualnie).  PRZYKŁAD Jeżeli programów lub ich modułów jest więcej, najłatwiej jest stworzyć rysunek, który bardziej czytelnie będzie obrazował przepływ danych. Dodatkowo należy określić, z którego programu dane są przesyłane za pośrednictwem sieci publicznej – Internetu (przykład takiego ry- sunku na stronie nr 23). Środki techniczne i organizacyjne Ostatnim elementem każdej polityki bezpieczeństwa jest opis środków technicznych i organizacyjnych. Określa on stosowa- ne zabezpieczenia i procedury, które mają zapewnić poufność, integralność i rozliczalność danych osobowych. Z reguły raz przygotowane procedury rzadko się zmieniają, dlatego też jest to element dokumentu głównego, a nie za- łącznik. Zarówno zabezpieczenia, jak i procedury opisywane w tym do- kumencie muszą być adekwatne do zagrożeń. Nie można więc mówić o minimalnym zabezpieczeniu danych osobowych. Ty- powe zabezpieczenia organizacyjne to: kontrola dostępu, poli- tyka haseł, polityka czystego biurka i czystego ekranu.  PRZYKŁAD Jedną z ważniejszych procedur, którą warto wdrożyć, jest instrukcja alarmowa na wypadek incydentu ochrony danych osobowych. Jest to prosty opis postępowania użytkowników w razie np. wycieku da- nych osobowych. Przykładowa instrukcja na str. 24. Liczba procedur i zakres regulacji najczęściej zależą od wielkości podmiotu i ryzyka, jakie zostało w nim zidenty- fi kowane. Z tego też względu procedur może być zarówno bardzo dużo, jak i bardzo mało. Oczywiście nie można zapominać o wdrożeniu przygoto- wanej polityki bezpieczeństwa, co najczęściej jest realizowa- ne przez szkolenie użytkowników (osób upoważnionych). Szablon gotowej polityki bezpieczeństwa można pobrać ze strony: http://online.wip.pl/download/WzoryADN03.rar OCHRONA DANYCH OSOBOWYCH 146 GRUDZIEŃ 2014 Najczęściej popełniane błędy w związku z ochroną danych INSTRUKCJE Brak kontroli nad zgodami na przetwarzanie danych i niedostosowanie systemu informatycznego do wymogów uodo to tylko niektóre z błędów popełnianych przy przetwarzaniu danych. Ich lekceważenie pociąga za sobą m.in. konsekwencje finansowe. Błędy popełniane przez Administratorów Da- nych Osobowych to w większości braki w do- kumentacji lub brak odpowiednich środków organizacyjno-technicznych służących ochro- nie danych osobowych. Są też jednak i takie błę- dy, które mocno ingerują w sposób prowadzenia biznesu oraz takie, które mogą spowodować duże straty fi nansowe. Przesłanka legalizująca Jednym z poważniejszych uchybień jest brak zapewnienia odpowiedniej i prawidłowej prze- słanki legalizującej przetwarzanie danych osobowych. Nieraz zdarza się sytuacja, gdy ad- ministrator danych przy organizacji: • akcji marketingowej, np. newslettera, kon- kursu czy loterii, • procesu rekrutacji potencjalnych pracowników, • sprzedaży danych nierzetelnych dłużników, • bazy danych osobowych do sprzedania w ce- lach marketingowych pomija kwestie związane z ochroną danych oso- bowych. W efekcie okazuje się, że jedyne, co można zro- bić legalnie z pozyskanymi danymi, to ich usu- nięcie, ponieważ nie zapewniono prawidłowej podstawy prawnej ich przetwarzania w celach marketingowych. Spóźniona reakcja Często zagadnienia związane z ochroną danych osobowych nie są doceniane, a ich analiza pro- wadzona jest na etapie, gdy już niewiele da się naprawić. Ocena prowadzonego procesu zbierania danych osobowych powinna zawsze być jednym z pierw- szych elementów badania jej legalności i dopusz- czalności. GIODO wielokrotnie podkreślał, aby wszelkie procesy, w których dane osobowe mają być prze- twarzane, były konsultowane już na poziomie ich projektowania. PIOTR JANISZEWSKI radca prawny, ekspert ds. ochrony danych osobowych  PRZYKŁAD Spółka kapitałowa chciała zbudować bazę marketin- gową do promocji swoich produktów. Dane miały być pozyskiwane przez zewnętrzne call center za pomocą wy- chodzących rozmów telefonicznych. Dział prawny spółki opracował prawidłowe klauzule zgód, tj. zgody na prze- twarzanie danych osobowych w celach marketingowych oraz zgody na przesyłanie informacji handlowych drogą elektroniczną. Niestety na etapie układania skryptu dla pracowników call center uznano, że obydwie zgody można ze sobą połączyć i zbierać jedną zgodę na przetwarzanie danych osobowych w celach marketingowych oraz przesyłanie informacji handlowych drogą elektroniczną. Po kilku miesiącach pracy call center wypełniło danymi osobowymi prawie 1 milion rekordów bazy danych. Nie- stety jedna z osób, która zgodziła się pierwotnie podać swoje dane osobowe, zakwestionowała kształt użytych klauzul. Ich analiza doprowadziła do wniosku, że są nie- prawidłowe. W związku z tym okazało się, że cała baza danych została zebrana w sposób nielegalny. Pomijając kwestię ewentualnej odpowiedzialności kar- nej i cywilnej administratora danych, poniósł on ogromne koszty akcji obdzwaniania osób z bazy danych i zbierania tym razem prawidłowych zgód. Kolejnym „kosztem” oka- zało się to, że tym razem zgody wyraziło znacznie mniej osób, tj. około 150 tysięcy. Osoby odpowiadające za ochronę danych oso- bowych (np. Administrator Bezpieczeństwa Informacji) nie mogą dopuścić, by duża i kosz- towna akcja zbierania danych była wdrożona bez analizy jej dopuszczalności w świetle wymagań określonych w ustawie o ochronie danych oso- bowych. Brak zgody Do najczęstszych błędów należy brak kontroli nad tym, kiedy i jakiej treści oświadczenie doty- czące ochrony danych złożyła osoba, której dane są przetwarzane. Prawie w każdym sporze dotyczącym legalności OCHRONA DANYCH OSOBOWYCH 147 GRUDZIEŃ 2014 ODO@WIP.PL przetwarzania, a konkretniej – dopuszczalności wykorzy- stywania danych w określonym celu, administrator danych jest zobowiązany przez Generalnego Inspektora Ochrony Danych Osobowych (sąd administracyjny lub cywilny) do przedstawienia dowodu, iż posiada odpowiednią zgodę wyrażoną przez klienta. Treść klauzul zgód na przetwarzanie danych osobowych cały czas ewoluuje. Mimo to administrator powinien za- pewnić kontrolę i rozliczalność tego, jakiej treści zgodę wyraził klient i kiedy to zrobił. Tylko w ten sposób Ad- ministrator Danych Osobowych będzie mógł wykazać, że przetwarza dane na podstawie odpowiedniej prze- słanki.  PRZYKŁAD Administrator danych stosował wyłącznie papierowe formularze ze zgodami, które nie były wprowadzane do systemu. Posiadał kilkaset tysięcy papierowych nieuporządkowanych formularzy. Aby wykazać przed GIODO, że klient podpisał klauzule zgody, konieczne było za- trudnienie kilku osób, które parę tygodni poszukiwały odpowiednie- go formularza. Zgoda została odnaleziona, ale koszt tej operacji był bardzo duży. ADO powinien zapewnić rozliczalność wyrażanych przez klientów zgód. Musi być w stanie wykazać, jakiej treści zgo- dę wyraził klient oraz kiedy to uczynił (lub w jakim zakre- sie i kiedy ją odwołał). Osiągnąć to można poprzez rozbudowę systemu infor- matycznego do zarządzania relacjami z klientem CRM (Customer Relationship Managment) o moduł dotyczą- cy zbieranych i używanych oświadczeń klientów lub cho- ciażby ich skanowanie. W razie potrzeby skany formularzy mogą zostać przetworzone przez oprogramowanie rozpo- znające pismo i w ten prosty sposób znajdziemy potrzeb- ny nam dokument.  PRZYKŁAD Jeden z salonów samochodowych przy okazji każdego bezpośred- niego kontaktu z klientem przedstawiał do podpisu klauzulę zgody na przetwarzanie danych osobowych w celach marketingowych. Raz w roku oświadczenia te były wprowadzane do systemu informatycz- nego. Nie zawierały jednak daty, w której były składane. Podczas sporu z jednym z klientów okazało się, że administrator nie był w stanie wykazać, czy klient najpierw wyraził zgodę na przetwa- rzanie danych w celach marketingowych, a przy następnej wizycie odwołał ją poprzez brak zaznaczenia odpowiedniego checkboxa, czy odwrotnie – przy pierwszej wizycie nie wyraził zgody, ale przy kolejnej okazji zgodził się na przetwarzanie danych w celach marketingowych. Kolejność złożonych oświadczeń była ważna, ponieważ warunkowa- ła dopuszczalność wykonanej przez administratora wysyłki marke- tingowej do klienta. System informatyczny Częstym i „kosztownym” błędem jest stosowanie systemów informatycznych, które nie spełniają wymogów przepisów o ochronie danych. Zgodnie z rozporządzeniem do ustawy dla każdej osoby, której dane osobowe są przetwarzane w systemie infor- Stosowany w jednostce system informatyczny musi spełniać wymogi przepisów o ochronie danych osobowych matycznym – z wyjątkiem przetwarzania w formie edycji tekstu w celu udostępnienia go na piśmie – system ten za- pewnia odnotowanie: • daty pierwszego wprowadzenia danych do systemu, • identyfi katora użytkownika wprowadzającego dane do systemu, chyba że dostęp do niego i przetwarzanych w nim danych posiada wyłącznie jedna osoba, • • źródła danych, w przypadku zbierania danych, nie od osoby, której one dotyczą, informacji o odbiorcach, w rozumieniu art. 7 pkt 6 usta- wy, którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia, chyba że system informa- tyczny używany jest do przetwarzania danych zawartych w zbiorach jawnych, • sprzeciwu, o którym mowa w art. 32 ust. 1 pkt 8 ustawy. Odnotowanie informacji, o których mowa w pkt 1 i 2, po- winno nastąpić automatycznie po zatwierdzeniu przez użytkownika operacji wprowadzenia danych. System po- winien zapewniać sporządzenie i wydrukowanie raportu zawierającego powyższe informacje. Dostosowanie systemu Wiele kontroli Generalnego Inspektora Ochrony Danych Osobowych kończy się przekazaniem zaleceń dotyczących dostosowania używanych systemów do wymogów ustawy odo. Jeżeli ADO jest właścicielem systemu informatycz- nego i sam go rozwija, koszt ograniczy się do kosztu pra- cy pracowników. Jeśli jednak korzysta z systemu na podstawie licencji lub nie ma prawa do wprowadzania do niego poprawek, koszt mo- dyfi kacji może sięgać nawet kilkuset tysięcy złotych. Jeśli system nie zostanie dostosowany do wymogów ustawy o ochronie danych osobowych, Generalny Inspektor może nałożyć na grzywnę w wysokości do 200 tys. zł. Jeżeli administrator korzysta z systemu dostarczonego przez podmiot trzeci, powinien zastrzec sobie w umowie z producentem, że gwarantuje on, iż system spełnia aktual- ne, na czas jego używania, wymogi określone w przepisach oraz zobowiązuje się do dokonania odpowiednich mody- fi kacji, jeżeli przepisy ulegną zmianie. Taką regulację warto obudować karami umownymi, które będą zachęcały producenta systemu do skutecznych i szyb- kich działań. Jeśli kod systemu jest zamknięty i w umowie na jego uży- wanie brak regulacji zmuszającej producenta do zapewnie- nia zgodności z przepisami, trzeba zmienić taką umowę. Producent może to wykorzystać do renegocjowania swo- jego wynagrodzenia. W takiej sytuacji możemy też zrezyg- nować z takiego systemu i zastąpić go innym, który będzie spełniał wymogi ustawy o ochronie danych osobowych. OCHRONA DANYCH OSOBOWYCH 148 GRUDZIEŃ 2014 INSTRUKCJE Tworzymy instrukcję zarządzania systemem informatycznym Instrukcja zarządzania systemem informatycznym to dokument, który każda jednostka przetwarzająca dane osobowe powinna stworzyć. Przepisy podpowiadają, jak to zrobić, jednak nie można ograniczyć się do przepisania zapisów z rozporządzenia. JAROSŁAW ŻABÓWKA trener, wykładowca, po- pularyzator zagadnień ochrony danych osobo- wych, właściciel fi rmy www.proInfoSec.pl, wieloletni administrator bezpieczeństwa infor- macji, twórca systemów zarządzania ochroną danych osobowych w małych i dużych przedsiębiorstwach, au- dytor normy ISO 27001 i menedżer systemów informatycznych, autor publikacji i prezentacji branżowych Obowiązek przygotowania instrukcji zarządza- nia systemem informatycznym wynika z roz- porządzenia ministra spraw wewnętrznych i administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i syste- my informatyczne służące do przetwarzania da- nych osobowych (Dz.U. z 1 maja 2004 r.). Instrukcja – obowiązek ADO Do opracowania i wdrożenia instrukcji zobo- wiązani są  wszyscy administratorzy danych, przetwarzający dane z wykorzystaniem syste- mu informatycznego. W praktyce jest to niemal każdy ADO. Systemy informatyczne zmieniają się bardzo szybko. Rozporządzenie z 2004 roku z pewnoś- cią nie przystaje do tych współczesnych i nie uwzględnia aktualnych zagrożeń bezpieczeństwa danych. Jednak wciąż obowiązuje i wszyscy ad- ministratorzy zobowiązani są do stosowania się do jego wymagań.  UWAGA Wymagania określone w rozporządzeniu są minimalne. Każdy z administratorów powinien dobrać zabezpiecze- nia adekwatne do zagrożeń i kategorii danych, jakie wy- stępują w jego podmiocie. Więcej niż wymaga prawo Rozporządzenie mówi, jakie elementy są wyma- gane w instrukcji. Nie oznacza to, że nie powinny znaleźć się w niej inne procedury. Instrukcja nie może być przepisanym rozporządzeniem. Trzeba możliwie szczegółowo opisać faktycznie obowią- zujące procedury wymienione w rozporządzeniu. Przykładami dodatkowych procedur mogą być: „Procedura prowadzenia ewidencji sprzętu i oprogramowania”, „Procedura zmiany konfi - guracji systemu”, „Procedura prowadzenia te- stów nowych wersji systemu” itd.  PRZYKŁAD Błędem popełnianym przy tworzeniu instrukcji jest np. ograniczenie się w procedurze nadawania uprawnień do stwierdzenia typu „Nadaje się uprawnienia do syste- mu informatycznego”. Należy szczegółowo opisać kolej- ne kroki, przewidzieć sytuacje nietypowe oraz wskazać osoby odpowiedzialne. Jeżeli uprawnienia nadaje ad- ministrator systemu, to powinniśmy to napisać. Może to wyglądać w taki sposób: „ABI przekazuje kopię upoważ- nienia administratorowi systemu kadrowo-płacowego, który tworzy konto użytkownika oraz wprowadza upraw- nienia w zakresie zgodnym z upoważnieniem”. Tworzenie procedur możemy rozpocząć od przeprowadzenia wywiadów i opisania rzeczy- wiście funkcjonujących w organizacji toków postępowania. Musimy jednak je przeanalizo- wać i upewnić się, że zapewniają odpowiedni poziom bezpieczeństwa. A także uwzględnić wymagania biznesowe organizacji. Ogranicze- nia organizacyjne i fi nansowe nie mogą jednak uzasadniać niezgodnego z prawem przetwarza- nia danych. Struktura dokumentu Czasami tworzoną dokumentację należy po- dzielić na kilka części lub przygotować wersje dla osób pracujących na różnych stanowiskach czy w różnych działach. Należy ją przygotować w taki sposób, by każdy z użytkowników systemu informatycznego miał możliwość zapoznania się z obowiązującymi go procedurami. Dokumentacja nie powinna obniżać poziomu bezpieczeństwa danych, dlatego nie udostęp- niajmy użytkownikom tych informacji, które nie są im niezbędne. Nie każdy pracownik po- winien wiedzieć, gdzie są przechowywane kopie bezpieczeństwa. Instrukcja musi być stale aktualizowana. Należy uwzględniać w niej zmiany organizacyjne, mo- dyfi kacje systemów informatycznych oraz poja- wiające się nowe zagrożenia. OCHRONA DANYCH OSOBOWYCH 149 GRUDZIEŃ 2014 ODO@WIP.PL Podstawowe elementy instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych Element wymagany zgodnie z § 5 rozporządzenia 1) procedury nadawania upraw- nień do przetwarzania danych i rejestrowania tych uprawnień w  systemie informatycznym oraz wskazanie osoby odpo- wiedzialnej za te czynności 2) stosowane metody i  środki uwierzytelnienia oraz proce- dury związane z ich zarządza- niem i użytkowaniem 3) procedury rozpoczęcia, za- wieszenia i zakończenia pracy przeznaczone dla użytkowni- ków systemu 4) procedury tworzenia kopii zapasowych zbiorów danych oraz programów i  narzędzi programowych służących do ich przetwarzania Właściwa zawartość instrukcji Procedury, które tworzymy, powinny obejmować:  nadawanie uprawnień dla nowych pracowników,  modyfi kacje uprawnień spowodowane zmianą stanowiska pracy,  modyfi kacje uprawnień spowodowane zmianą wersji oprogramowania,  odebranie uprawnień zwalnianego użytkownika systemu (zastanówmy się, czy przy- padkiem uprawnienia nie powinny być odebrane, zanim pracownik dowie się, że został zwolniony),  odebranie uprawnień użytkownikowi systemu, który porzucił pracę,  sposób postępowania na wypadek nieobecności administratora systemu,  sposób okresowego przeglądu uprawnień,  oraz inne specyfi czne dla organizacji przypadki. Zawsze należy wskazać, kto odpowiada za wykonanie poszczególnych czynności. W procedurach trzeba opisać, w jaki sposób będzie tworzony i przekazywany użytkowni- kowi identyfi kator. Niezależnie należy stworzyć procedury dotyczące kont administracyjnych. W procedurach musimy uwzględnić wszystkie systemy wykorzystywane do przetwarzania danych. Możemy tworzyć osobne procedury dla poszczególnych systemów lub uwzględ- nić kilka systemów w jednej procedurze. Opisujemy stosowane metody i środki uwierzytelnienia. Jeżeli do logowania użytkownicy wykorzystują hasła, opisujemy, jak zapewnimy stoso- wanie haseł o wymaganej przez rozporządzenie złożoności oraz okresową zmianę hasła (wskazujemy, czy jest to wymuszane przez system, czy też użytkownik musi o tym pamię- tać samodzielnie). Należy opisać sposób, w jaki użytkownikowi zostanie przekazane pierwsze hasło, oraz spo- sób postępowania na wypadek zapomnienia hasła. Jeżeli do uwierzytelniania wykorzystywane są inne niż hasło mechanizmy (np. karty proce- sorowe), również należy opisać stosowane procedury (metodę personalizacji kart, sposób postępowania na wypadek zapomnienia kodu PIN itd.). Tworzymy procedury opisujące sposób rozpoczęcia (włączenie komputera, logowanie do systemu itd.) i zakończenia pracy w systemie przez użytkownika. Należy stworzyć procedurę postępowania na wypadek zawieszenia pracy (np. przy chwi- lowym opuszczeniu stanowiska pracy). Procedura może zobowiązać użytkownika do wy- logowania się z systemu, ale może też nakazać mu jedynie zablokowanie stacji. Jeżeli wykorzystujemy mechanizmy automatycznego blokowanie stacji w razie oddalenia się użytkownika, należy je również opisać. Procedury powinny uwzględniać sposób postępowania na wypadek problemów z logo- waniem lub podejrzenia naruszenia bezpieczeństwa. Opisujmy szczegółowo procedury wykonywania kopii zapasowych. Powinny być możliwie szczegółowe i zawierać takie elementy, jak:  wskazanie zbiorów danych znajdujących się w poszczególnych kopiach,  harmonogram wykonywania kopii poszczególnych zasobów,  częstotliwość wykorzystywania poszczególnych nośników,  okres lub liczbę wykonanych kopii, po którym nośnik należy poddać testowaniu lub zli- kwidować, OCHRONA DANYCH OSOBOWYCH 1410 GRUDZIEŃ 2014 INSTRUKCJE  opis systemu używanego do tworzenia kopii (w wypadku zmiany systemu należy za- bezpieczyć starszą wersję do momentu usunięcia kopii stworzonych z wykorzystaniem tego systemu),  procedurę przywracania poszczególnych elementów (plików, systemów, baz danych itd.), uwzględniającą niezbędne zasoby oraz czas przywrócenia,  procedurę przenoszenia kopii do innych lokalizacji,  procedurę testowania poprawności wykonania kopii,  procedurę okresowych testów polegających na przywróceniu poszczególnych elemen- tów z kopii,  wskazanie osób odpowiedzialnych za poszczególne czynności. Wybierając rozwiązania techniczne oraz opracowując harmonogram szkoleń, powinni- śmy brać pod uwagę, czy odtwarzając dane, zapewnimy utrzymanie wymaganych przez biznes parametrów. W szczególności powinniśmy wziąć pod uwagę czasy RTO i RPO. Należy wskazać miejsce i okres przechowywania poszczególnych nośników, dlatego ko- nieczne jest wprowadzenie pełnej ewidencji wykorzystywanych nośników:  dysków przenośnych,  pendrive’ów,  kart pamięci,  płyt CD/DVD,  smartfonów,  komputerów przenośnych,  taśm streamerów,  wymontowanych dysków oraz  wszelkich innych nośników wykorzystywanych w organizacji. 5) sposób, miejsce i okres prze- chowywania: a) elektronicznych nośników informacji zawierających dane osobowe, b) kopii zapasowych, o któ- rych mowa w pkt 4 Administrator Danych Osobowych zawsze musi wiedzieć, jakie dane i od kiedy znajdują się na danym nośniku – tylko w ten sposób zagwarantujemy, że spełniona zostanie zasa- da ograniczenia czasowego. W wypadku kopii zapasowych zaleca się, aby przynajmniej część z nich była przechowy- wana w innej lokalizacji. Stanowić to będzie zabezpieczenie przed utratą danych na wy- padek kradzieży, zalania, pożaru itd. Należy wskazać zainstalowane systemy antywirusowe (oraz inne systemy chroniące przed złośliwym oprogramowaniem), w jaki sposób są zarządzane oraz kto odpowiada za ich po- prawne funkcjonowanie. Trzeba opisać, w jaki sposób mają postępować użytkownicy oraz administratorzy syste- mów w razie wykrycia działania złośliwego oprogramowania. Należy opisać, w jaki sposób odnotowywana jest informacja o odbiorcach, którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia. Zgodnie z omawianym rozporządzeniem w przypadku przetwarzania danych osobowych w co najmniej dwóch systemach informatycznych do tego przeznaczonych informacje te mogą być odnotowywane w jednym z nich lub w odrębnym systemie informatycznym przeznaczonym do tego celu. Należy stworzyć procedury przeglądów i konserwacji systemów uwzględniając zakres i czę- stotliwość przeglądów oraz wskazać osoby odpowiedzialne. Ponieważ urządzenia i nośniki przekazywane do naprawy pozbawia się wcześniej zapisu danych lub naprawia pod nadzorem, należy to uwzględnić w tworzonej procedurze. Sto- sowanym w praktyce rozwiązaniem jest zawarcie odpowiedniej umowy powierzenia z do- stawcą usług serwisowych. Należy także opisać sposób postępowania w wypadku sprzętu objętego gwarancją. 6) sposób zabezpieczenia syste- mu informatycznego przed działalnością oprogramowa- nia, o którym mowa w pkt III ppkt 1 załącznika do rozporzą- dzenia 7) sposób realizacji wymogów, o których mowa w § 7 ust. 1 pkt 4 8) procedury wykonywania prze- glądów i  konserwacji syste- mów oraz nośników informacji służących do przetwarzania danych OCHRONA DANYCH OSOBOWYCH 1411 GRUDZIEŃ 2014
Pobierz darmowy fragment (pdf)

Gdzie kupić całą publikację:

Ochrona danych osobowych - wydanie grudzień 2014 r
Autor:

Opinie na temat publikacji:


Inne popularne pozycje z tej kategorii:


Czytaj również:


Prowadzisz stronę lub blog? Wstaw link do fragmentu tej książki i współpracuj z Cyfroteką: