Skopiuj link
Cel opracowania instrukcji
Ustawodawca w art. 36 ustawy o ochronie danych osobowych wymaga od administratora danych osobowych (ADO) skutecznego zabezpieczenia tych danych, zarówno od strony organizacyjnej, jak i technicznej. Obliguje ADO do prowadzenia dokumentacji opisującej sposób przetwarzania danych oraz podjęte przez siebie środki.
W świetle § 3 ust. 1 rozporządzenia MSWiA z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych prowadzenie instrukcji jest obligatoryjne i ADO nie może zwolnić się od tego obowiązku.
W samej instrukcji ADO opisuje wszystkie kwestie formalne, proceduralne, organizacyjne i osobowe związane z administrowaniem systemem informatycznym.
Zawartość instrukcji
Została wprost wskazana w § 5 powołanego powyżej rozporządzenia. Wymienione obszary to jedynie przykładowe wyliczenie, o czym przesądza użyte przez ustawodawcę określenie: „w szczególności”. W omawianej instrukcji powinny więc znaleźć się:
- procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności,
- stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem,
- procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu,
- procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania,
- sposób, miejsce i okres przechowywania: elektronicznych nośników informacji zawierających dane osobowe oraz kopii zapasowych,
- sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego,
- sposób realizacji wymogów dotyczących informacji o odbiorcach danych osobowych (art. 7 pkt 6 ustawy), którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia, chyba że system informatyczny używany jest do przetwarzania danych zawartych w zbiorach jawnych,
- procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.
Pamiętaj!
Zarówno ustawa, jak i rozporządzenie wykonawcze jednoznacznie stanowią o wymogu opracowania i wdrożenia takiej instrukcji. Musisz powołać administratora systemu informatycznego, sama instrukcja ma mieć formę pisemną. Dane sprawozdawcze GIODO wskazują, iż systemy informatyczne oraz inne nośniki danych osobowych są przedmiotem kontroli inspektorów GIODO. Warto przygotować się do takiej kontroli. Dostosowując instrukcję do zakładowych rozwiązań możesz także zyskać narzędzie sprawnego i bezpiecznego zarządzania danymi w informatycznym obszarze.