Trzeci numer miesięcznika „Ochrona danych osobowych” przygotowaliśmy we współpracy z doświadczonymi Administratorami Bezpieczeństwa Informacji i radcami prawnymi. Tematem numeru jest problematyka przygotowania umowy powierzenia przetwarzania danych osobowych. Radca prawny Marcin Sarna podpowiada, jak stworzyć taki kontrakt, aby był zgodny z prawem i w odpowiedni sposób zabezpieczał interesy Administratora Danych Osobowych. Warto skorzystać z przygotowanych przez niego, gotowych zapisów umownych. Nasze artykuły pomogą też stworzyć dokumenty związane z ochroną danych osobowych, które każda jednostka czy to prywatna, czy publiczna powinna przygotować i wdrożyć. Wyjaśniamy też kwestię, która na co dzień sprawia wiele problemów, czyli jak w odpowiedni sposób przechowywać dokumenty papierowe zawierające dane osobowe. Podpowiadamy też, jak przeprowadzić pierwszy audyt z przestrzegania zasad ochrony danych osobowych. Dajemy gotowy plan przeprowadzenia takiego audytu. Doświadczony trener i szkoleniowiec wyjaśnia też krok po kroku, jak przeprowadzić szkolenie z ochrony danych dla pracowników.
Darmowy fragment publikacji:
Grudzień 2014
issn 2391-5781
nr 3
OCHRONA
DANYCH OSOBOWYCH
Praktyczne porady • Instrukcje krok po kroku • Wzory
▌ Zmiany w ochronie danych
▌ Najczęściej popełniane błędy w związku z ochroną danych
▌ Zasady tworzenia umowy powierzenia danych
„Oficyna Prawa Polskiego”
Wydawnictwo WiP
ul. Łotewska 9A, 03-918 Warszawa
NIP: 526-19-92-256
KRS: 0000098264 – Sąd Rejonowy dla m.st. Warszawy,
Sąd Gospodarczy XIII Wydział Gospodarczy Rejestrowy
Wysokość kapitału zakładowego: 200.000 zł
„Ochrona danych osobowych”
Redaktor:
Wioleta Szczygielska
Kierownik grupy wydawniczej:
Ewa Ziętek-Maciejczyk
Wydawca:
Monika Kijok
Koordynacja produkcji:
Mariusz Jezierski, Magdalena Huta
Korekta:
Zespół
Projekt graficzny okładki:
Michał Marczewski
Skład i łamanie:
Ireneusz Gawliński
Drukarnia: MDdruk
Nakład: 500 egz.
„Ochrona danych osobowych” wraz z przysługującym Czytelnikom innymi elementami dostępnymi w prenumeracie
(e-letter, strona WWW i inne) chronione są prawem autorskim. Przedruk materiałów opublikowanych w „Ochronie
danych osobowych” oraz w innych dostępnych elementach prenumeraty – bez zgody wydawcy – jest zabroniony.
Zakaz nie dotyczy cytowania publikacji z powołaniem się na źródło.
Publikacja „Ochrona danych osobowych” została przygotowana z zachowaniem najwyższej staranności i wykorzy-
staniem wysokich kwalifikacji, wiedzy i doświadczenia autorów oraz konsultantów. Zaproponowane w publikacji
„Ochrona danych osobowych” oraz w innych dostępnych elementach subskrypcji wskazówki, porady i interpretacje
nie mają charakteru porady prawnej. Ich zastosowanie w konkretnym przypadku może wymagać dodatkowych,
pogłębionych konsultacji. Publikowane rozwiązania nie mogą być traktowane jako oficjalne stanowisko organów
i urzędów państwowych. W związku z powyższym redakcja nie może ponosić odpowiedzialności prawnej za zasto-
sowanie zawartych w publikacji „Ochrona danych osobowych” lub w innych dostępnych elementach prenumeraty
wskazówek, przykładów, informacji itp. do konkretnych przypadków.
Informacje o prenumeracie:
tel.: 22 518 29 29
faks: 22 617 60 10
e-mail: cok@opp.com.pl
Spis treści
SPIS TREŚCI
AKTUALNOŚCI
Zmiany w ochronie danych . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
Jarosław Żabówka
Dane osobowe lądują w koszu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
Wioleta Szczygielska
Dostęp do danych pacjentów . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
Wioleta Szczygielska
INSTRUKCJE
Jak należy przygotować politykę bezpieczeństwa danych . . . . . . . . . . . . . . . . . . . . . . . 5
Konrad Gałaj-Emiliańczyk
Najczęściej popełniane błędy w związku z ochroną danych . . . . . . . . . . . . . . . . . . . . . . 7
Piotr Janiszewski
Tworzymy instrukcję zarządzania systemem informatycznym . . . . . . . . . . . . . . . . . . . . 9
Jarosław Żabówka
TEMAT NUMERU
Zasady tworzenia umowy powierzenia danych . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
Marcin Sarna
PORADY
Jak należy przeprowadzić audyt ochrony danych osobowych . . . . . . . . . . . . . . . . . . . 15
Łukasz Onysyk
Dokumenty zawierające dane osobowe – jak je przechowywać . . . . . . . . . . . . . . . . . 17
Piotr Glen
Szkolenie dla pracowników z ochrony danych . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
Przemysław Zegarek
WZORY DOKUMENTÓW . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
OCHRONA DANYCH OSOBOWYCH
141
GRUDZIEŃ 2014
LIST OD REDAKTORA
Wioleta
Szczygielska
redaktor prowadząca
Szanowni Czytelnicy!
Podczas codziennej pracy z pewnością spotkali się Państwo z sytuacją, kie-
dy trzeba było przekazać dane swoich klientów lub pracowników innej fi r-
mie. Być może zlecali Państwo obsługę księgową zewnętrznemu podmiotowi.
Trzeba pamiętać, że takie przekazanie danych to – zgodnie z ustawą – powie-
rzenie przetwarzania danych osobowych. Administrator Danych Osobowych
powinien uregulować ten proces w odrębnej umowie powierzenia.
W artykule „Zasady tworzenia umowy powierzenia danych” radca prawny
Marcin Sarna podpowiada, jak skonstruować taki kontrakt.
Szczególnie polecam też poradnikowe teksty, które pomogą Państwu stwo-
rzyć wewnętrzne dokumenty regulujące zasady ochrony danych osobowych.
Doświadczeni Administratorzy Bezpieczeństwa Informacji w artykułach:
„Jak przygotować politykę bezpieczeństwa przetwarzania danych” i „Two-
rzymy instrukcję zarządzania systemem informatycznym” podpowiada-
ją, jak przygotować te dokumenty, aby spełniały wymogi ustawy o ochronie
danych osobowych.
Wiele osób, które zajmują się tematem ochrony danych osobowych, ma
problem z przechowywaniem dokumentacji papierowej zawierającej dane
osobowe. Jest to o tyle trudne, że ustawa o ochronie danych osobowych nie
daje jasnych wytycznych w tej kwestii. Nasz ekspert, wieloletni Administra-
tor Bezpieczeństwa Informacji i członek zarządu Stowarzyszenia Admini-
stratorów Bezpieczeństwa Informacji SABI, Piotr Glen, doradzi, jak długo
i w jaki sposób przechowywać takie dokumenty.
Po raz kolejny podpowiemy też Państwu, w jaki sposób przygotować szko-
lenie z ochrony danych osobowych dla pracowników. Zachęcam również do
skorzystania z gotowych wzorów dokumentów, które z pewnością przyda-
dzą się w codziennej pracy.
A już w następnym numerze zajmiemy się nowelizacją ustawy o ochronie
danych osobowych. Eksperci z kancelarii Traple Konarski Podrecki szczegó-
łowo wyjaśnią jak planowane zmiany wpłyną na pracę Administratorów
Bezpieczeństwa Informacji.
Życzę owocnej lektury!
OCHRONA DANYCH OSOBOWYCH
142
GRUDZIEŃ 2014
AKTUALNOŚCI
AKTUALNOŚCI
Zmiany w ochronie danych
Kończą się prace nad nowelizacją ustawy o ochronie danych osobowych.
Projekt został przyjęty przez Sejm i Senat. Teraz czeka tylko na podpis
prezydenta. Zmiany będą obowiązywać od stycznia 2015 roku.
JAROSŁAW
ŻABÓWKA
trener, wykładowca, po-
pularyzator zagadnień
ochrony danych osobo-
wych, właściciel fi rmy
www.proInfoSec.pl,
wieloletni administrator
bezpieczeństwa infor-
macji, twórca systemów
zarządzania ochroną
danych osobowych
w małych i dużych
przedsiębiorstwach, au-
dytor normy ISO 27001
i menedżer systemów
informatycznych, autor
publikacji i prezentacji
branżowych
Nowelizacja ustawy o ochronie danych osobo-
wych ma rozwiać wątpliwości odnośnie wyzna-
czenia ABI. Jego powołanie będzie zależało od
decyzji administratora danych. Jeżeli zdecydu-
je się on wyznaczyć ABI, to będzie zwolniony
z obowiązku rejestracji zbiorów zawierających
dane zwykłe (taki rejestr będzie prowadził ad-
ministrator bezpieczeństwa informacji).
Powołać czy nie powołać ABI
Jeżeli ABI zostanie powołany:
1. ADO jest obowiązany zgłosić do GIODO po-
wołanie i odwołanie ABI w terminie 30 dni.
2. Jego zadaniem będzie zapewnienie przestrze-
gania przepisów o ochronie danych osobo-
wych. W tym celu ABI ma obowiązek:
• Sprawdzać zgodność przetwarzania da-
nych osobowych z przepisami oraz opra-
cowywać sprawozdanie dla ADO.
• Nadzorować opracowywanie i aktualizo-
wanie polityki bezpieczeństwa i instrukcji
zarządzania systemem informatycznym.
• Nadzorować przestrzeganie zasad prze-
twarzania danych.
• Zapewnić zapoznanie osób upoważnio-
nych do przetwarzania danych z przepi-
sami o ochronie danych.
3. ABI będzie prowadził jawny rejestr zbiorów
danych przetwarzanych przez administrato-
ra danych.
4. Administratorem Bezpieczeństwa Informacji
może być osoba, która:
• ma pełną zdolność do czynności praw-
nych oraz korzysta z pełni praw publicz-
nych,
• posiada odpowiednią wiedzę w zakresie
ochrony danych osobowych,
• nie była karana za przestępstwo popełnio-
ne z winy umyślnej.
5. Musi podlegać bezpośrednio kierownikowi
jednostki organizacyjnej lub ADO. Osoby te
zobowiązane są zapewnić środki niezbędne
do wykonywania zadań przez ABI.
6. ADO będzie mógł powierzyć ABI wykonywa-
nie innych zadań – nie mogą one wpływać na
wykonywanie podstawowych obowiązków.
1 Tekst powstał na podstawie projektu ustawy, procedowane-
go w Komisji Nadzwyczajnej do spraw związanych z ogranicza-
niem biurokracji.
7. ADO może powołać zastępców ABI.
8. ADO będzie zwolniony ze zgłaszania do reje-
stracji zbiorów danych – wyłącznie tych nie-
zawierających danych wrażliwych.
9. GIODO może się zwrócić do ABI o spraw-
dzenie zgodności przetwarzania danych
z przepisami o ochronie danych osobowych.
10. Po sprawdzeniu, za pośrednictwem ADO,
ABI przedstawi GIODO sprawozdanie.
Jeżeli ABI nie zostanie powołany:
1. ADO zobowiązany jest zapewnić przestrzega-
nie przepisów o ochronie danych osobowych.
W tym celu powinien:
• Sprawdzać zgodność przetwarzania da-
nych z przepisami.
• Nadzorować opracowywanie i aktualizo-
wanie dokumentacji.
• Nadzorować przestrzeganie zasad prze-
twarzania danych.
• Zapewnić zapoznanie osób upoważnio-
nych do przetwarzania danych z przepi-
sami o ochronie danych osobowych.
2. ADO będzie zgłaszać zbiory na dotych-
czasowych zasadach. Niezgłoszenie zbioru
będzie nadal zagrożone karą grzywny, ogra-
niczenia wolności albo pozbawienia wolno-
ści do roku.
Jeśli ADO nie powoła ABI, zobowiązany jest do
zapewnienia realizacji wszystkich zadań, które
mógłby realizować ABI, z wyjątkiem opracowa-
nia sprawozdania.
Czy zmiany są potrzebne
Proponowana nowelizacja będzie miała zna-
czenie dla tych administratorów danych, któ-
rzy często składają wnioski rejestracyjne. Będą
to duże podmioty ze sporą ilością zbiorów lub
często zawierające umowy powierzenia prze-
twarzania. Zwykle też mają już wyznaczone-
go ABI.
Dla małych przedsiębiorców zwolnienie z obo-
wiązku zgłoszenia zbioru nie będzie istotne.
Korzystne może być zwolnienie z obowiązku wy-
znaczenia ABI. Chociaż przedsiębiorca będzie na-
dal zobowiązany do realizacji jego zadań.
Po wejściu w życie nowelizacji każdy admi-
nistrator danych będzie musiał samodzielnie
podjąć decyzję, który wariant jest dla niego ko-
rzystniejszy.
OCHRONA DANYCH OSOBOWYCH
143
GRUDZIEŃ 2014
ODO@WIP.PL
Dane osobowe lądują w koszu
Aż z 93 wyrzuconych dokumentów firmowych da się odczytać
dane osobowe. W większości są to informacje istotne, np.
o wypłatach dla pracowników czy opinie bankowe. Takie wnioski
płyną z badania przeprowadzonego w Miejskim Przedsiębiorstwie
Oczyszczania w Warszawie.
W ramach VI edycji kampanii „Nie daj się okraść, chroń
swoją tożsamość” przeprowadzono internetową ankietę,
z której wynika, że w teorii dbamy o zabezpieczenie danych
osobowych. Osoby, które mają kontakt z danymi wrażli-
wymi w większości (97 ) niszczą dokumentację, która je
zawiera – wynika z ankiety.
A jak jest w praktyce? W ramach kampanii przeprowadzo-
no też badanie w Miejskim Przedsiębiorstwie Oczyszczania
w Warszawie. Okazało się, że na śmietnikach lądują zarów-
no druki fi rmowe, jak i te z domów prywatnych. Spośród
1610 sprawdzonych dokumentów 42 pochodziło z fi rm
lub instytucji, a 48 od osób prywatnych.
Aż 578 (84 ) spośród urzędowych lub fi rmowych doku-
mentów było wyrzuconych w całości. Zniszczono tylko
16 . Jednak spora ich część była zniszczona w taki sposób,
że z łatwością można było odczytać zawarte w nich dane,
np. były przedarte na pół.
W konsekwencji aż ponad połowę pozornie zniszczonych
dokumentów można było odczytać. Co najbardziej alar-
mujące jest to, że wśród znalezionych dokumentów były
informacje szczególnie istotne, np. akty notarialne zaku-
pu nieruchomości, raporty medyczne lub zeznania po-
datkowe.
Na kwestię wycieku danych osobowych szczególną uwagę
powinny zwracać nie tylko osoby prywatne, ale też fi rmy
i instytucje państwowe. Za ujawnienie danych może grozić
od 2 do nawet 3 lat więzienia w przypadku danych wrażli-
wych, np. o stanie zdrowia.
Wioleta Szczygielska
Dostęp do danych pacjentów
Uregulowanie zasad udostępniania dokumentacji medycznej,
wprowadzenie telemedycyny i Karty Ubezpieczenia Zdrowotnego
– to jedne z ważniejszych zmian, jakie ma wprowadzić nowelizacja
ustawy o systemie informacji o ochronie zdrowia.
Jak wynika z projektu ustawy o zmianie ustawy o systemie
informacji o ochronie zdrowia i innych ustaw, dane me-
dyczne i inne dane przetwarzane w Systemie Informacji
Medycznej dotyczące pacjentów będą udostępniane Za-
kładowi Ubezpieczeń Społecznych i Narodowemu Fundu-
szowi Zdrowia. Fundacja Panoptykon alarmuje, że nowy
akt w niedostateczny sposób będzie chronił dane osobo-
we pacjentów.
Projekt nie wspomina bowiem, na podstawie jakich przepi-
sów instytucje te będą przetwarzać dane osobowe pacjen-
tów. Projekt jedynie enigmatycznie wspomina, że będzie się
to odbywać „w zakresie zgodnym z ustawą”. Zdaniem Fun-
dacji Panoptykon powinno być jasne, w jakim celu, zakresie
i w jaki sposób ZUS i NFZ będą te dane wykorzystywać.
Dodatkowo dane osobowe pacjentów mają być również
udostępniane płatnikom, którzy fi nansują albo współfi -
nansują świadczenia opieki zdrowotnej ze środków pub-
licznych. Chodzi np. o samorządy opłacające programy
niepłodności metodą zapłodnienia pozaustrojowego.
Projekt nowelizacji zakłada, że dane pacjenta będą udo-
stępniane za jego zgodą.
W wielu przypadkach osoba korzystająca ze świadczeń
medycznych będzie mogła także zgłosić sprzeciw wobec
przetwarzania swoich danych, np. wobec udostępnia-
nia jednostkowych danych medycznych zgromadzo-
nych w module statystyczno-rozliczeniowym. Ustawa
nie wskazuje jednak, w jaki sposób będzie można wnieść
sprzeciw wobec przetwarzania swoich danych.
Wioleta Szczygielska
OCHRONA DANYCH OSOBOWYCH
144
GRUDZIEŃ 2014
Jak należy przygotować politykę
bezpieczeństwa danych
INSTRUKCJE
Polityka bezpieczeństwa to jeden z ważniejszych dokumentów,
który administrator danych musi przygotować i wdrożyć. Biorąc
pod uwagę negatywne konsekwencje braku kontroli nad danymi
osobowymi, warto poświęcić temu zagadnieniu czas i środki.
KONRAD GAŁAJ-
-EMILIAŃCZYK
prawnik i administra-
tor bezpieczeństwa
informacji w kilku-
nastu podmiotach
sektora prywatnego
i publicznego, trener
i wykładowca szkoleń,
konferencji i semina-
riów, Coach Inc. Ochro-
na Danych Osobowych,
coach-inc.pl
Wskazówek, w jaki sposób przygotować politykę
bezpieczeństwa, udziela rozporządzenie ministra
spraw wewnętrznych i administracji z 29 kwiet-
nia 2004 r. w sprawie dokumentacji przetwarzania
danych osobowych oraz warunków technicznych
i organizacyjnych, jakim powinny odpowiadać
urządzenia i systemy informatyczne służące do
przetwarzania danych osobowych (Dz.U. z 2004 r.
nr 100, poz. 1024) i wytyczne GIODO.
Jest jednak kilka elementów, jak np. opis struk-
tury zbiorów czy sposób przepływu danych po-
między poszczególnymi systemami, których
przygotowanie może sprawić problemy.
PRZYKŁAD
Dobrą praktyką przy tworzeniu polityki bezpieczeństwa
jest ukształtowanie jej w formie dokumentu głównego
z załącznikami. Dzięki temu ADO nie będzie musiał jej
podpisywać za każdym razem, gdy zajdzie konieczność
wprowadzenia zmian, zmiany można będzie wprowadzić
w załącznikach. ABI zaś będzie mógł rzadziej weryfikować
ten dokument – najczęściej raz w roku podczas okreso-
wej kontroli systemu ochrony danych.
Od czego zacząć?
Zgodnie z wytycznymi GIODO polityka bez-
pieczeństwa musi wyjaśniać podstawową termi-
nologię oraz cel, jakiemu ma służyć. Dokument
warto zacząć w następujący sposób:
W celu zapewnienia bezpieczeństwa i kontroli
nad przepływem danych osobowych w … [na-
zwa podmiotu] wdraża się postanowienia ni-
niejszej polityki bezpieczeństwa.
Często stosuje się też odnośniki do innych we-
wnętrznych dokumentów, jak instrukcja kance-
laryjna czy regulamin IT.
Dobrą praktyką jest również określenie środków,
jakie mają zostać wykorzystane w celu osiągnię-
cia celu, jakiemu polityka ma służyć. Najczęściej
określa się je w następujący sposób:
W celu zapewnienia ochrony danych oso-
bowych stosuje się zabezpieczenia fi zyczne,
organizacyjne oraz techniczne. Powołano ad-
ministratora bezpieczeństwa informacji dla
pełnienia nadzoru nad systemem ochrony da-
nych osobowych.
Powyższe zapisy mają na celu jednoznaczne okre-
ślenie charakteru i zakresu polityki bezpieczeństwa.
Osoby odpowiedzialne
Polityka bezpieczeństwa powinna jednoznacznie
określać, kto jest administratorem danych oso-
bowych oraz kto pełni nadzór nad przestrzega-
niem dokumentu w organizacji. Nawet jeśli ABI
nie jest wyznaczony, należy jasno opisać prawa
i obowiązki osoby odpowiedzialnej za nadzór nad
przestrzeganiem dokumentu.
Dobrą praktyką jest również umieszczanie w tym
miejscu informacji o funkcji Administratora Sy-
stemów Informatycznych (ASI) i zakresie jego
praw i obowiązków.
Obszary przetwarzania
Ewidencja obszarów przetwarzania jest pierw-
szym wymaganym przez rozporządzenie ele-
mentem polityki bezpieczeństwa. Najprościej
jest ją prowadzić w formie załącznika, gdyż ist-
nieje duże prawdopodobieństwo, że będzie zmie-
niana częściej niż raz w roku. Są dwie metody
opisywania obszaru przetwarzania.
Pierwsza zakłada opisywanie wszystkich po-
mieszczeń w podmiocie wraz z określeniem
zastosowanych zabezpieczeń fizycznych (np.
pokój nr 9 – drzwi zamykane na klucz), orga-
nizacyjnych (np. sala konferencyjna – procedu-
ra kontroli dostępu) oraz informatycznych (np.
serwerownia – szyfrowanie danych).
Druga metoda przewiduje tzw. defi nicję nega-
tywną. Podajemy np. sam adres (jeżeli zajmuje-
my cały budynek) lub dodajemy piętro i segment
naszej siedziby wraz z wyłączeniem obszarów,
które nie stanowią obszaru przetwarzania (np. ul.
Marszałkowska 1, 00-123 Warszawa, piętro I, lo-
kal 3, z wyłączeniem komunikacji oraz pomiesz-
czeń socjalnych).
OCHRONA DANYCH OSOBOWYCH
145
GRUDZIEŃ 2014
ODO@WIP.PL
Politykę bezpieczeństwa danych
najlepiej przygotować w formie
dokumentu głównego wraz
z załącznikami
Ewidencja obszarów przetwarzania jest najczęściej łączona
z ewidencją zbiorów danych osobowych. W praktyce bo-
wiem zbiory są w mniejszym lub większym stopniu zwią-
zane z obszarami przetwarzania danych.
Zbiory danych osobowych
Ewidencję zbioru danych osobowych również warto pro-
wadzić w formie załącznika. Powinien on zawierać nazwę
zbioru danych w powiązaniu z oprogramowaniem stoso-
wanym do jego przetwarzania (np. zbiór danych osobo-
wych pracowników jest przetwarzany z wykorzystaniem
programu Płatnik oraz Symfonia).
Dodatkowo zbiór wraz z oprogramowaniem powinien być
przypisany do obszaru przetwarzania, tym samym do za-
bezpieczeń. Każdy zbiór może być przetwarzany zarówno
przez jeden, jak i wiele programów jednocześnie. Zgodnie
z wytycznymi Generalnego Inspektora Ochrony Danych
Osobowych w zakresie szczegółowości określania oprogra-
mowania należy brać pod uwagę nawet moduły poszcze-
gólnych programów.
UWAGA
Dobrą praktyką jest określenie podstawy prawnej przetwarzania zbio-
rów danych osobowych (art. 23 lub art. 27 ustawy o ochronie da-
nych osobowych).
Opis struktury zbiorów
Podobnie jak powyższe elementy dokumentacji, opis
struktury zbiorów jest obligatoryjny i również najczęś-
ciej prowadzi się go w formie załącznika. Tworzy się go
w stosunku do każdego wyodrębnionego zbioru danych,
podając jego nazwę, sposób przetwarzania danych (wer-
sja papierowa i/lub system informatyczny) oraz wszelkie
kategorie gromadzonych danych (np. imiona i nazwiska,
miejsce zamieszkania, adres e-mail itp.).
Jeżeli przetwarzamy dane z wykorzystaniem programu
informatycznego, powinniśmy opisać poszczególne pola
informacyjne. W przypadku korzystania z komercyjnego
oprogramowania należy odnieść się do instrukcji użyt-
kownika lub specyfi kacji oprogramowania dostarczanej
przez producenta.
Problem pojawia się, gdy korzystamy z dedykowanego
oprogramowania stworzonego na nasze potrzeby, a pro-
ducent nie zadbał o takie informacje.
W takim przypadku musimy sami stworzyć opracowa-
nie, z którego będą wynikały powiązania pomiędzy po-
szczególnymi polami informacyjnymi do wypełnienia
w programie.
Ostatnim, koniecznym elementem opisu struktury zbio-
rów jest powiązanie danych w kategorie (np. dane dotyczą-
ce zamówienia – produkt, ilość, numer ID produktu itp.
oraz dane dotyczące dostawy – imię i nazwisko, adres itp.).
Sposób przepływu danych
Obowiązkowym elementem polityki bezpieczeństwa jest
określenie sposobu przepływu danych pomiędzy poszcze-
gólnymi systemami informatycznymi, czyli jednoznaczne
określenie, z jakiego do jakiego programu dane przepływają.
W praktyce najczęściej załącznik ten stanowi schemat prze-
pływu danych pomiędzy poszczególnymi programami prze-
twarzającymi dane.
Wynika to z faktu, że większość oprogramowania posiada
własne bazy zawierające dane osobowe.
W zależności od liczby programów wykorzystywanych
w naszej jednostce przetwarzających dane osobowe mo-
żemy skorzystać z prostego schematu, np. kierunek prze-
pływu danych (np. jednokierunkowo lub dwukierunkowo)
– sposób przepływu danych (np. automatycznie, półauto-
matycznie lub manualnie).
PRZYKŁAD
Jeżeli programów lub ich modułów jest więcej, najłatwiej jest stworzyć
rysunek, który bardziej czytelnie będzie obrazował przepływ danych.
Dodatkowo należy określić, z którego programu dane są przesyłane
za pośrednictwem sieci publicznej – Internetu (przykład takiego ry-
sunku na stronie nr 23).
Środki techniczne i organizacyjne
Ostatnim elementem każdej polityki bezpieczeństwa jest opis
środków technicznych i organizacyjnych. Określa on stosowa-
ne zabezpieczenia i procedury, które mają zapewnić poufność,
integralność i rozliczalność danych osobowych.
Z reguły raz przygotowane procedury rzadko się zmieniają,
dlatego też jest to element dokumentu głównego, a nie za-
łącznik.
Zarówno zabezpieczenia, jak i procedury opisywane w tym do-
kumencie muszą być adekwatne do zagrożeń. Nie można więc
mówić o minimalnym zabezpieczeniu danych osobowych. Ty-
powe zabezpieczenia organizacyjne to: kontrola dostępu, poli-
tyka haseł, polityka czystego biurka i czystego ekranu.
PRZYKŁAD
Jedną z ważniejszych procedur, którą warto wdrożyć, jest instrukcja
alarmowa na wypadek incydentu ochrony danych osobowych. Jest
to prosty opis postępowania użytkowników w razie np. wycieku da-
nych osobowych. Przykładowa instrukcja na str. 24.
Liczba procedur i zakres regulacji najczęściej zależą od
wielkości podmiotu i ryzyka, jakie zostało w nim zidenty-
fi kowane. Z tego też względu procedur może być zarówno
bardzo dużo, jak i bardzo mało.
Oczywiście nie można zapominać o wdrożeniu przygoto-
wanej polityki bezpieczeństwa, co najczęściej jest realizowa-
ne przez szkolenie użytkowników (osób upoważnionych).
Szablon gotowej polityki bezpieczeństwa można pobrać ze strony:
http://online.wip.pl/download/WzoryADN03.rar
OCHRONA DANYCH OSOBOWYCH
146
GRUDZIEŃ 2014
Najczęściej popełniane błędy
w związku z ochroną danych
INSTRUKCJE
Brak kontroli nad zgodami na przetwarzanie danych
i niedostosowanie systemu informatycznego do wymogów uodo
to tylko niektóre z błędów popełnianych przy przetwarzaniu danych.
Ich lekceważenie pociąga za sobą m.in. konsekwencje finansowe.
Błędy popełniane przez Administratorów Da-
nych Osobowych to w większości braki w do-
kumentacji lub brak odpowiednich środków
organizacyjno-technicznych służących ochro-
nie danych osobowych. Są też jednak i takie błę-
dy, które mocno ingerują w sposób prowadzenia
biznesu oraz takie, które mogą spowodować duże
straty fi nansowe.
Przesłanka legalizująca
Jednym z poważniejszych uchybień jest brak
zapewnienia odpowiedniej i prawidłowej prze-
słanki legalizującej przetwarzanie danych
osobowych. Nieraz zdarza się sytuacja, gdy ad-
ministrator danych przy organizacji:
• akcji marketingowej, np. newslettera, kon-
kursu czy loterii,
• procesu rekrutacji potencjalnych pracowników,
• sprzedaży danych nierzetelnych dłużników,
• bazy danych osobowych do sprzedania w ce-
lach marketingowych
pomija kwestie związane z ochroną danych oso-
bowych.
W efekcie okazuje się, że jedyne, co można zro-
bić legalnie z pozyskanymi danymi, to ich usu-
nięcie, ponieważ nie zapewniono prawidłowej
podstawy prawnej ich przetwarzania w celach
marketingowych.
Spóźniona reakcja
Często zagadnienia związane z ochroną danych
osobowych nie są doceniane, a ich analiza pro-
wadzona jest na etapie, gdy już niewiele da się
naprawić.
Ocena prowadzonego procesu zbierania danych
osobowych powinna zawsze być jednym z pierw-
szych elementów badania jej legalności i dopusz-
czalności.
GIODO wielokrotnie podkreślał, aby wszelkie
procesy, w których dane osobowe mają być prze-
twarzane, były konsultowane już na poziomie ich
projektowania.
PIOTR
JANISZEWSKI
radca prawny, ekspert
ds. ochrony danych
osobowych
PRZYKŁAD
Spółka kapitałowa chciała zbudować bazę marketin-
gową do promocji swoich produktów. Dane miały być
pozyskiwane przez zewnętrzne call center za pomocą wy-
chodzących rozmów telefonicznych. Dział prawny spółki
opracował prawidłowe klauzule zgód, tj. zgody na prze-
twarzanie danych osobowych w celach marketingowych
oraz zgody na przesyłanie informacji handlowych drogą
elektroniczną.
Niestety na etapie układania skryptu dla pracowników
call center uznano, że obydwie zgody można ze sobą
połączyć i zbierać jedną zgodę na przetwarzanie danych
osobowych w celach marketingowych oraz przesyłanie
informacji handlowych drogą elektroniczną.
Po kilku miesiącach pracy call center wypełniło danymi
osobowymi prawie 1 milion rekordów bazy danych. Nie-
stety jedna z osób, która zgodziła się pierwotnie podać
swoje dane osobowe, zakwestionowała kształt użytych
klauzul. Ich analiza doprowadziła do wniosku, że są nie-
prawidłowe. W związku z tym okazało się, że cała baza
danych została zebrana w sposób nielegalny.
Pomijając kwestię ewentualnej odpowiedzialności kar-
nej i cywilnej administratora danych, poniósł on ogromne
koszty akcji obdzwaniania osób z bazy danych i zbierania
tym razem prawidłowych zgód. Kolejnym „kosztem” oka-
zało się to, że tym razem zgody wyraziło znacznie mniej
osób, tj. około 150 tysięcy.
Osoby odpowiadające za ochronę danych oso-
bowych (np. Administrator Bezpieczeństwa
Informacji) nie mogą dopuścić, by duża i kosz-
towna akcja zbierania danych była wdrożona bez
analizy jej dopuszczalności w świetle wymagań
określonych w ustawie o ochronie danych oso-
bowych.
Brak zgody
Do najczęstszych błędów należy brak kontroli
nad tym, kiedy i jakiej treści oświadczenie doty-
czące ochrony danych złożyła osoba, której dane
są przetwarzane.
Prawie w każdym sporze dotyczącym legalności
OCHRONA DANYCH OSOBOWYCH
147
GRUDZIEŃ 2014
ODO@WIP.PL
przetwarzania, a konkretniej – dopuszczalności wykorzy-
stywania danych w określonym celu, administrator danych
jest zobowiązany przez Generalnego Inspektora Ochrony
Danych Osobowych (sąd administracyjny lub cywilny) do
przedstawienia dowodu, iż posiada odpowiednią zgodę
wyrażoną przez klienta.
Treść klauzul zgód na przetwarzanie danych osobowych
cały czas ewoluuje. Mimo to administrator powinien za-
pewnić kontrolę i rozliczalność tego, jakiej treści zgodę
wyraził klient i kiedy to zrobił. Tylko w ten sposób Ad-
ministrator Danych Osobowych będzie mógł wykazać,
że przetwarza dane na podstawie odpowiedniej prze-
słanki.
PRZYKŁAD
Administrator danych stosował wyłącznie papierowe formularze ze
zgodami, które nie były wprowadzane do systemu. Posiadał kilkaset
tysięcy papierowych nieuporządkowanych formularzy. Aby wykazać
przed GIODO, że klient podpisał klauzule zgody, konieczne było za-
trudnienie kilku osób, które parę tygodni poszukiwały odpowiednie-
go formularza. Zgoda została odnaleziona, ale koszt tej operacji był
bardzo duży.
ADO powinien zapewnić rozliczalność wyrażanych przez
klientów zgód. Musi być w stanie wykazać, jakiej treści zgo-
dę wyraził klient oraz kiedy to uczynił (lub w jakim zakre-
sie i kiedy ją odwołał).
Osiągnąć to można poprzez rozbudowę systemu infor-
matycznego do zarządzania relacjami z klientem CRM
(Customer Relationship Managment) o moduł dotyczą-
cy zbieranych i używanych oświadczeń klientów lub cho-
ciażby ich skanowanie. W razie potrzeby skany formularzy
mogą zostać przetworzone przez oprogramowanie rozpo-
znające pismo i w ten prosty sposób znajdziemy potrzeb-
ny nam dokument.
PRZYKŁAD
Jeden z salonów samochodowych przy okazji każdego bezpośred-
niego kontaktu z klientem przedstawiał do podpisu klauzulę zgody
na przetwarzanie danych osobowych w celach marketingowych. Raz
w roku oświadczenia te były wprowadzane do systemu informatycz-
nego. Nie zawierały jednak daty, w której były składane.
Podczas sporu z jednym z klientów okazało się, że administrator nie
był w stanie wykazać, czy klient najpierw wyraził zgodę na przetwa-
rzanie danych w celach marketingowych, a przy następnej wizycie
odwołał ją poprzez brak zaznaczenia odpowiedniego checkboxa, czy
odwrotnie – przy pierwszej wizycie nie wyraził zgody, ale przy kolejnej
okazji zgodził się na przetwarzanie danych w celach marketingowych.
Kolejność złożonych oświadczeń była ważna, ponieważ warunkowa-
ła dopuszczalność wykonanej przez administratora wysyłki marke-
tingowej do klienta.
System informatyczny
Częstym i „kosztownym” błędem jest stosowanie systemów
informatycznych, które nie spełniają wymogów przepisów
o ochronie danych.
Zgodnie z rozporządzeniem do ustawy dla każdej osoby,
której dane osobowe są przetwarzane w systemie infor-
Stosowany w jednostce system
informatyczny musi spełniać
wymogi przepisów o ochronie
danych osobowych
matycznym – z wyjątkiem przetwarzania w formie edycji
tekstu w celu udostępnienia go na piśmie – system ten za-
pewnia odnotowanie:
• daty pierwszego wprowadzenia danych do systemu,
•
identyfi katora użytkownika wprowadzającego dane do
systemu, chyba że dostęp do niego i przetwarzanych
w nim danych posiada wyłącznie jedna osoba,
•
• źródła danych, w przypadku zbierania danych, nie od
osoby, której one dotyczą,
informacji o odbiorcach, w rozumieniu art. 7 pkt 6 usta-
wy, którym dane osobowe zostały udostępnione, dacie
i zakresie tego udostępnienia, chyba że system informa-
tyczny używany jest do przetwarzania danych zawartych
w zbiorach jawnych,
• sprzeciwu, o którym mowa w art. 32 ust. 1 pkt 8 ustawy.
Odnotowanie informacji, o których mowa w pkt 1 i 2, po-
winno nastąpić automatycznie po zatwierdzeniu przez
użytkownika operacji wprowadzenia danych. System po-
winien zapewniać sporządzenie i wydrukowanie raportu
zawierającego powyższe informacje.
Dostosowanie systemu
Wiele kontroli Generalnego Inspektora Ochrony Danych
Osobowych kończy się przekazaniem zaleceń dotyczących
dostosowania używanych systemów do wymogów ustawy
odo. Jeżeli ADO jest właścicielem systemu informatycz-
nego i sam go rozwija, koszt ograniczy się do kosztu pra-
cy pracowników.
Jeśli jednak korzysta z systemu na podstawie licencji lub nie
ma prawa do wprowadzania do niego poprawek, koszt mo-
dyfi kacji może sięgać nawet kilkuset tysięcy złotych.
Jeśli system nie zostanie dostosowany do wymogów ustawy
o ochronie danych osobowych, Generalny Inspektor może
nałożyć na grzywnę w wysokości do 200 tys. zł.
Jeżeli administrator korzysta z systemu dostarczonego
przez podmiot trzeci, powinien zastrzec sobie w umowie
z producentem, że gwarantuje on, iż system spełnia aktual-
ne, na czas jego używania, wymogi określone w przepisach
oraz zobowiązuje się do dokonania odpowiednich mody-
fi kacji, jeżeli przepisy ulegną zmianie.
Taką regulację warto obudować karami umownymi, które
będą zachęcały producenta systemu do skutecznych i szyb-
kich działań.
Jeśli kod systemu jest zamknięty i w umowie na jego uży-
wanie brak regulacji zmuszającej producenta do zapewnie-
nia zgodności z przepisami, trzeba zmienić taką umowę.
Producent może to wykorzystać do renegocjowania swo-
jego wynagrodzenia. W takiej sytuacji możemy też zrezyg-
nować z takiego systemu i zastąpić go innym, który będzie
spełniał wymogi ustawy o ochronie danych osobowych.
OCHRONA DANYCH OSOBOWYCH
148
GRUDZIEŃ 2014
INSTRUKCJE
Tworzymy instrukcję zarządzania
systemem informatycznym
Instrukcja zarządzania systemem informatycznym to dokument,
który każda jednostka przetwarzająca dane osobowe powinna
stworzyć. Przepisy podpowiadają, jak to zrobić, jednak nie można
ograniczyć się do przepisania zapisów z rozporządzenia.
JAROSŁAW
ŻABÓWKA
trener, wykładowca, po-
pularyzator zagadnień
ochrony danych osobo-
wych, właściciel fi rmy
www.proInfoSec.pl,
wieloletni administrator
bezpieczeństwa infor-
macji, twórca systemów
zarządzania ochroną
danych osobowych
w małych i dużych
przedsiębiorstwach, au-
dytor normy ISO 27001
i menedżer systemów
informatycznych, autor
publikacji i prezentacji
branżowych
Obowiązek przygotowania instrukcji zarządza-
nia systemem informatycznym wynika z roz-
porządzenia ministra spraw wewnętrznych
i administracji z 29 kwietnia 2004 r. w sprawie
dokumentacji przetwarzania danych osobowych
oraz warunków technicznych i organizacyjnych,
jakim powinny odpowiadać urządzenia i syste-
my informatyczne służące do przetwarzania da-
nych osobowych (Dz.U. z 1 maja 2004 r.).
Instrukcja – obowiązek ADO
Do opracowania i wdrożenia instrukcji zobo-
wiązani są wszyscy administratorzy danych,
przetwarzający dane z wykorzystaniem syste-
mu informatycznego. W praktyce jest to niemal
każdy ADO.
Systemy informatyczne zmieniają się bardzo
szybko. Rozporządzenie z 2004 roku z pewnoś-
cią nie przystaje do tych współczesnych i nie
uwzględnia aktualnych zagrożeń bezpieczeństwa
danych. Jednak wciąż obowiązuje i wszyscy ad-
ministratorzy zobowiązani są do stosowania się
do jego wymagań.
UWAGA
Wymagania określone w rozporządzeniu są minimalne.
Każdy z administratorów powinien dobrać zabezpiecze-
nia adekwatne do zagrożeń i kategorii danych, jakie wy-
stępują w jego podmiocie.
Więcej niż wymaga prawo
Rozporządzenie mówi, jakie elementy są wyma-
gane w instrukcji. Nie oznacza to, że nie powinny
znaleźć się w niej inne procedury. Instrukcja nie
może być przepisanym rozporządzeniem. Trzeba
możliwie szczegółowo opisać faktycznie obowią-
zujące procedury wymienione w rozporządzeniu.
Przykładami dodatkowych procedur mogą być:
„Procedura prowadzenia ewidencji sprzętu
i oprogramowania”, „Procedura zmiany konfi -
guracji systemu”, „Procedura prowadzenia te-
stów nowych wersji systemu” itd.
PRZYKŁAD
Błędem popełnianym przy tworzeniu instrukcji jest np.
ograniczenie się w procedurze nadawania uprawnień
do stwierdzenia typu „Nadaje się uprawnienia do syste-
mu informatycznego”. Należy szczegółowo opisać kolej-
ne kroki, przewidzieć sytuacje nietypowe oraz wskazać
osoby odpowiedzialne. Jeżeli uprawnienia nadaje ad-
ministrator systemu, to powinniśmy to napisać. Może to
wyglądać w taki sposób: „ABI przekazuje kopię upoważ-
nienia administratorowi systemu kadrowo-płacowego,
który tworzy konto użytkownika oraz wprowadza upraw-
nienia w zakresie zgodnym z upoważnieniem”.
Tworzenie procedur możemy rozpocząć od
przeprowadzenia wywiadów i opisania rzeczy-
wiście funkcjonujących w organizacji toków
postępowania. Musimy jednak je przeanalizo-
wać i upewnić się, że zapewniają odpowiedni
poziom bezpieczeństwa. A także uwzględnić
wymagania biznesowe organizacji. Ogranicze-
nia organizacyjne i fi nansowe nie mogą jednak
uzasadniać niezgodnego z prawem przetwarza-
nia danych.
Struktura dokumentu
Czasami tworzoną dokumentację należy po-
dzielić na kilka części lub przygotować wersje
dla osób pracujących na różnych stanowiskach
czy w różnych działach. Należy ją przygotować
w taki sposób, by każdy z użytkowników systemu
informatycznego miał możliwość zapoznania się
z obowiązującymi go procedurami.
Dokumentacja nie powinna obniżać poziomu
bezpieczeństwa danych, dlatego nie udostęp-
niajmy użytkownikom tych informacji, które
nie są im niezbędne. Nie każdy pracownik po-
winien wiedzieć, gdzie są przechowywane kopie
bezpieczeństwa.
Instrukcja musi być stale aktualizowana. Należy
uwzględniać w niej zmiany organizacyjne, mo-
dyfi kacje systemów informatycznych oraz poja-
wiające się nowe zagrożenia.
OCHRONA DANYCH OSOBOWYCH
149
GRUDZIEŃ 2014
ODO@WIP.PL
Podstawowe elementy instrukcji zarządzania systemem
informatycznym służącym do przetwarzania danych osobowych
Element wymagany zgodnie
z § 5 rozporządzenia
1) procedury nadawania upraw-
nień do przetwarzania danych
i rejestrowania tych uprawnień
w systemie informatycznym
oraz wskazanie osoby odpo-
wiedzialnej za te czynności
2) stosowane metody i środki
uwierzytelnienia oraz proce-
dury związane z ich zarządza-
niem i użytkowaniem
3) procedury rozpoczęcia, za-
wieszenia i zakończenia pracy
przeznaczone dla użytkowni-
ków systemu
4) procedury tworzenia kopii
zapasowych zbiorów danych
oraz programów i narzędzi
programowych służących do
ich przetwarzania
Właściwa zawartość instrukcji
Procedury, które tworzymy, powinny obejmować:
nadawanie uprawnień dla nowych pracowników,
modyfi kacje uprawnień spowodowane zmianą stanowiska pracy,
modyfi kacje uprawnień spowodowane zmianą wersji oprogramowania,
odebranie uprawnień zwalnianego użytkownika systemu (zastanówmy się, czy przy-
padkiem uprawnienia nie powinny być odebrane, zanim pracownik dowie się, że został
zwolniony),
odebranie uprawnień użytkownikowi systemu, który porzucił pracę,
sposób postępowania na wypadek nieobecności administratora systemu,
sposób okresowego przeglądu uprawnień,
oraz inne specyfi czne dla organizacji przypadki.
Zawsze należy wskazać, kto odpowiada za wykonanie poszczególnych czynności.
W procedurach trzeba opisać, w jaki sposób będzie tworzony i przekazywany użytkowni-
kowi identyfi kator.
Niezależnie należy stworzyć procedury dotyczące kont administracyjnych.
W procedurach musimy uwzględnić wszystkie systemy wykorzystywane do przetwarzania
danych. Możemy tworzyć osobne procedury dla poszczególnych systemów lub uwzględ-
nić kilka systemów w jednej procedurze.
Opisujemy stosowane metody i środki uwierzytelnienia.
Jeżeli do logowania użytkownicy wykorzystują hasła, opisujemy, jak zapewnimy stoso-
wanie haseł o wymaganej przez rozporządzenie złożoności oraz okresową zmianę hasła
(wskazujemy, czy jest to wymuszane przez system, czy też użytkownik musi o tym pamię-
tać samodzielnie).
Należy opisać sposób, w jaki użytkownikowi zostanie przekazane pierwsze hasło, oraz spo-
sób postępowania na wypadek zapomnienia hasła.
Jeżeli do uwierzytelniania wykorzystywane są inne niż hasło mechanizmy (np. karty proce-
sorowe), również należy opisać stosowane procedury (metodę personalizacji kart, sposób
postępowania na wypadek zapomnienia kodu PIN itd.).
Tworzymy procedury opisujące sposób rozpoczęcia (włączenie komputera, logowanie do
systemu itd.) i zakończenia pracy w systemie przez użytkownika.
Należy stworzyć procedurę postępowania na wypadek zawieszenia pracy (np. przy chwi-
lowym opuszczeniu stanowiska pracy). Procedura może zobowiązać użytkownika do wy-
logowania się z systemu, ale może też nakazać mu jedynie zablokowanie stacji.
Jeżeli wykorzystujemy mechanizmy automatycznego blokowanie stacji w razie oddalenia
się użytkownika, należy je również opisać.
Procedury powinny uwzględniać sposób postępowania na wypadek problemów z logo-
waniem lub podejrzenia naruszenia bezpieczeństwa.
Opisujmy szczegółowo procedury wykonywania kopii zapasowych.
Powinny być możliwie szczegółowe i zawierać takie elementy, jak:
wskazanie zbiorów danych znajdujących się w poszczególnych kopiach,
harmonogram wykonywania kopii poszczególnych zasobów,
częstotliwość wykorzystywania poszczególnych nośników,
okres lub liczbę wykonanych kopii, po którym nośnik należy poddać testowaniu lub zli-
kwidować,
OCHRONA DANYCH OSOBOWYCH
1410
GRUDZIEŃ 2014
INSTRUKCJE
opis systemu używanego do tworzenia kopii (w wypadku zmiany systemu należy za-
bezpieczyć starszą wersję do momentu usunięcia kopii stworzonych z wykorzystaniem
tego systemu),
procedurę przywracania poszczególnych elementów (plików, systemów, baz danych itd.),
uwzględniającą niezbędne zasoby oraz czas przywrócenia,
procedurę przenoszenia kopii do innych lokalizacji,
procedurę testowania poprawności wykonania kopii,
procedurę okresowych testów polegających na przywróceniu poszczególnych elemen-
tów z kopii,
wskazanie osób odpowiedzialnych za poszczególne czynności.
Wybierając rozwiązania techniczne oraz opracowując harmonogram szkoleń, powinni-
śmy brać pod uwagę, czy odtwarzając dane, zapewnimy utrzymanie wymaganych przez
biznes parametrów.
W szczególności powinniśmy wziąć pod uwagę czasy RTO i RPO.
Należy wskazać miejsce i okres przechowywania poszczególnych nośników, dlatego ko-
nieczne jest wprowadzenie pełnej ewidencji wykorzystywanych nośników:
dysków przenośnych,
pendrive’ów,
kart pamięci,
płyt CD/DVD,
smartfonów,
komputerów przenośnych,
taśm streamerów,
wymontowanych dysków oraz
wszelkich innych nośników wykorzystywanych w organizacji.
5) sposób, miejsce i okres prze-
chowywania:
a) elektronicznych nośników
informacji zawierających
dane osobowe,
b) kopii zapasowych, o któ-
rych mowa w pkt 4
Administrator Danych Osobowych zawsze musi wiedzieć, jakie dane i od kiedy znajdują
się na danym nośniku – tylko w ten sposób zagwarantujemy, że spełniona zostanie zasa-
da ograniczenia czasowego.
W wypadku kopii zapasowych zaleca się, aby przynajmniej część z nich była przechowy-
wana w innej lokalizacji. Stanowić to będzie zabezpieczenie przed utratą danych na wy-
padek kradzieży, zalania, pożaru itd.
Należy wskazać zainstalowane systemy antywirusowe (oraz inne systemy chroniące przed
złośliwym oprogramowaniem), w jaki sposób są zarządzane oraz kto odpowiada za ich po-
prawne funkcjonowanie.
Trzeba opisać, w jaki sposób mają postępować użytkownicy oraz administratorzy syste-
mów w razie wykrycia działania złośliwego oprogramowania.
Należy opisać, w jaki sposób odnotowywana jest informacja o odbiorcach, którym dane
osobowe zostały udostępnione, dacie i zakresie tego udostępnienia.
Zgodnie z omawianym rozporządzeniem w przypadku przetwarzania danych osobowych
w co najmniej dwóch systemach informatycznych do tego przeznaczonych informacje te
mogą być odnotowywane w jednym z nich lub w odrębnym systemie informatycznym
przeznaczonym do tego celu.
Należy stworzyć procedury przeglądów i konserwacji systemów uwzględniając zakres i czę-
stotliwość przeglądów oraz wskazać osoby odpowiedzialne.
Ponieważ urządzenia i nośniki przekazywane do naprawy pozbawia się wcześniej zapisu
danych lub naprawia pod nadzorem, należy to uwzględnić w tworzonej procedurze. Sto-
sowanym w praktyce rozwiązaniem jest zawarcie odpowiedniej umowy powierzenia z do-
stawcą usług serwisowych.
Należy także opisać sposób postępowania w wypadku sprzętu objętego gwarancją.
6) sposób zabezpieczenia syste-
mu informatycznego przed
działalnością oprogramowa-
nia, o którym mowa w pkt III
ppkt 1 załącznika do rozporzą-
dzenia
7) sposób realizacji wymogów,
o których mowa w § 7 ust. 1
pkt 4
8) procedury wykonywania prze-
glądów i konserwacji syste-
mów oraz nośników informacji
służących do przetwarzania
danych
OCHRONA DANYCH OSOBOWYCH
1411
GRUDZIEŃ 2014
Pobierz darmowy fragment (pdf)