Ochrona Danych Osobowych:

Polityka Bezpieczeństwa

Opis szkolenia

Polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym to podstawowe dokumenty, które muszą być wdrożone we wszystkich podmiotach, które gromadzą i przetwarzają dane osobowe w zbiorach danych. Obowiązek ten dotyczy wszystkich administratorów danych bez względu na wielkość podmiotu. Dokumenty spełniają wymogi ustawowe, zawierają wszelkie niezbędne załączniki oraz są respektowane przez organy kontrolne.

Zgodnie z Rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. (Dz. U. 2004 Nr 100, poz. 1024) w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, wydanego na podstawie art. 39a podstawową dokumentację z zakresu ochrony danych osobowych stanowi:

  • Polityka bezpieczeństwa,
  • Instrukcja zarządzania systemem informatycznym.

Zapisy ustawy o ochronie danych osobowych (tekst jednolity: Dz. U. 2016 poz. 922) nakładają na każdego administratora danych szereg obowiązków formalnych. Jednym z nich jest wdrożenie dokumentów wewnętrznych opisujących sposób przetwarzania i zabezpieczania danych osobowych.

Obowiązek ten dotyczy:

  • organów państwowych,
  • organów samorządu terytorialnego,
  • państwowych i komunalnych jednostek organizacyjnych.
  • podmiotów niepublicznych realizujących zadania publiczne,
  • osób fizycznych i osób prawnych oraz jednostek organizacyjnych niebędących osobami prawnymi, jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych – które mają siedzibę albo miejsce zamieszkania na terytorium Rzeczypospolitej Polskiej, albo w państwie trzecim, o ile przetwarzają dane osobowe przy wykorzystaniu środków technicznych znajdujących się na terytorium Rzeczypospolitej Polskiej.

Wymóg prowadzenia dokumentacji jest niezależny od obowiązku rejestracji zbiorów danych w GIODO, gdyż faktycznie wielu administratorów nie przetwarza zbiorów danych wymaganych do rejestracji. Jednak każdy administrator ma obowiązek zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem oraz prowadzić dokumentację – zgodnie z zapisami art. 36 ustawy.

Polityka bezpieczeństwa oraz Instrukcja zarządzania systemem informatycznym powinny być sporządzone w formie pisemnej.
W przypadku pozostałych dokumentów, takich jak upoważnienia do przetwarzania danych, ewidencja osób upoważnionych, powołanie ABI, ASI, przepisy nie określają formy, jednak ze względów dowodowych zaleca się zachowanie formy pisemnej.

Polityka bezpieczeństwa powinna odnosić się całościowo do problemu zabezpieczenia danych osobowych u administratora danych, tj. zarówno do zabezpieczenia danych przetwarzanych tradycyjnie, jak i danych przetwarzanych w systemach informatycznych. Celem polityki bezpieczeństwa jest wskazanie działań, jakie należy wykonać oraz ustanowienie zasad i reguł postępowania, które należy stosować, aby właściwie wykonać obowiązki administratora danych w zakresie zabezpieczenia danych osobowych.

W treści instrukcji zarządzania systemem informatycznym powinny być zawarte ogólne informacje o systemie informatycznym i zbiorach danych osobowych, które są przy ich użyciu przetwarzane, zastosowane rozwiązania techniczne, jak również procedury eksploatacji i zasady użytkowania, jakie zastosowano w celu zapewnienia bezpieczeństwa przetwarzania danych osobowych.
Przez wdrożenie tych dokumentów rozumie się opracowanie, zatwierdzenie, opublikowanie w odpowiedniej formie (np. zarządzenia) oraz zaznajomienie z ich treścią osób upoważnionych do przetwarzania danych i przyjęcie do stosowania, jako obowiązujący dokument.
Dokumentacja powinna być też na bieżąco weryfikowana pod kątem zgodności ze stanem faktycznym i stanem prawnym i uaktualniana w razie potrzeby. Dokumenty te należy dostosować do specyfiki placówki i wdrożyć. Pamiętać należy, że tylko poprawnie sporządzona przez Państwa dokumentacja oraz przestrzeganie zapisów da gwarancję poprawności wdrożenia. Za nieprawidłowe wdrożenie oraz za nieprzestrzeganie zapisów dokumentacji i ustawy odpowiada administrator danych.

Podstawa prawna

Ustawa o ochronie danych osobowych z dnia 29 sierpnia 1997 r. (t.j. Dz. U. 2016 poz. 922):
art. 36. ust. 1. Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.

2. Administrator danych prowadzi dokumentację opisującą sposób przetwarzania danych oraz środki, o których mowa w ust. 1.

art. 39a. Minister właściwy do spraw informatyzacji określi w drodze rozporządzenia, sposób prowadzenia i zakres dokumentacji, o której mowa w art. 36 ust. 2, oraz podstawowe warunki techniczne i organizacyjne, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych odpowiedniej do zagrożeń oraz kategorii danych objętych ochroną, a także wymagania w zakresie odnotowywania udostępniania danych osobowych i bezpieczeństwa przetwarzania danych.

Rozporządzenie MSWiA z dnia 29 kwietnia 2004 r. (Dz. U. 2004 r. Nr 100 poz.1024):
§ 3. 1.  Na dokumentację, o której mowa w § 1 pkt 1, składa się polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, zwana dalej „instrukcją”.

2. Dokumentację, o której mowa w § 1 pkt 1, prowadzi się w formie pisemnej i wdraża administrator danych.

Formularz kontaktowy Nasz konsultant przedstawi niezobowiązującą ofertę dopasowaną do profilu Twojej firmy. Kontakt nastąpi w ciągu 1 dnia roboczego.






    Wyrażam zgodę na przetwarzanie podanych przeze mnie w powyższym formularzu danych osobowych w celu wyjaśnienia zgłoszonej przeze mnie sprawy zgodnie z art. 6 ust. 1 lit. a RODO. Zgoda jest zgodą dobrowolną
    Wyrażam zgodę na przetwarzanie moich danych w celu wysyłania mi ofert marketingowych oraz przesyłania informacji handlowych za pomocą środków komunikacji elektronicznej, np. ofert specjalnych za pomocą poczty zgodnie z art. 6 ust. 1 lit. a RODO. Zgoda jest zgodą dobrowolną.
    Obowiązek informacyjny znajduje się tutaj
    [recaptcha]

    Wielkość czcionki
    Kontrast