Skopiuj link
Ustawowy obowiązek administratora danych osobowych (ADO)
Jak wynika z ustawy o ochronie danych osobowych (art. 36) administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną. Ustawodawca podkreśla, iż w szczególności ADO powinien zabezpieczyć dane przed:
- ich udostępnieniem osobom nieupoważnionym,
- zabraniem przez osobę nieuprawnioną,
- przetwarzaniem z naruszeniem ustawy oraz
- zmianą, utratą, uszkodzeniem lub zniszczeniem.
Administrator danych prowadzi dokumentację opisującą sposób przetwarzania danych oraz środki techniczne i organizacyjne, które podjął.
Dokumentacja opisująca sposób przetwarzania danych osobowych
W świetle przepisów wykonawczych do dokumentacji opisującej sposób przetwarzania danych osobowych zalicza się (§ 3 ust. 1 rozporządzenia MSWiA z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych):
- politykę bezpieczeństwa i
- instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych osobowych.
Dokumentacja ma być prowadzona w formie pisemnej oraz wdrażana przez administratora danych osobowych (§ 3 ust. 2 i 3 powołanego rozporządzenia).
Polityka bezpieczeństwa
Zgodnie z zapisami rozporządzenia MSWiA z 29.04.2004 r. polityka bezpieczeństwa zawiera w szczególności:
- wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe,
- wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych,
- opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi,
- sposób przepływu danych pomiędzy poszczególnymi systemami,
- określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.
Pamiętaj!
Niezależnie od formalnej dokumentacji związanej z ochroną danych osobowych, takiej jak np. upoważnienie do ich przetwarzania czy też pisemna umowa z podmiotem zewnętrznym na przetwarzanie danych osobowych, administrator danych osobowych musi wdrożyć tzw. politykę bezpieczeństwa ochrony danych osobowych.
Potraktuj ten dokument jako przewodnik w swoim zakładzie. W jednym miejscu znajdziesz m.in. miejsca przetwarzania danych, zbiory danych, przepływ danych oraz środki zabezpieczające. Jest to z całą pewnością obowiązek ustawowy,
z drugiej jednak strony także i cenny informator.