Dokumentacja ochrony danych osobowych – Ochrona Informacji

Prowadzenie dokumentacji ochrony danych osobowych w jednostce organizacyjnej to obowiązek wynikający z art. 36 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Sposób prowadzenia i zakres dokumentacji normującej sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną został sprecyzowany w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. Zgodnie z §.3 pkt 1 tego rozporządzenia na dokumentację ochrony danych osobowych składa się polityka bezpieczeństwa ochrony danych osobowych i instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. Oba dokumenty muszą mieć formę pisemną i być prowadzone przez administratora danych osobowych. Rozporządzenie przedstawia wytyczne co do zawartości każdego z powyższych dokumentów.

W § 4 przedstawiono minimalne wymagania w stosunku do polityki bezpieczeństwa, która powinna zawierać:

wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe;
wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych;
opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi;
sposób przepływu danych pomiędzy poszczególnymi systemami;
określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.

W § 5 zawiera wytyczne co do zawartości instrukcji, która powinna zawierać co naj mniej:

procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności;
stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem;
procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu;
procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania;
sposób, miejsce i okres przechowywania elektronicznych nośników informacji zawierających dane osobowe oraz kopii zapasowych,
sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego
sposób realizacji wymogów informacyjnych co do odbiorców, daty i zakresu udostępnianych danych osobowych,
procedury wykonywania przeglądów.

Podsumowując, każda jednostka organizacyjna przetwarzająca dane osobowe musi posiadać sporządzoną politykę bezpieczeństwa i instrukcję zarządzania systemem informatycznym, natomiast w zależności od wielkości, złożoności struktury i rodzaju przetwarzanych danych (ustawodawca wymaga stosowania dodatkowych środków przy przetwarzaniu danych wrażliwych) w danej firmie w skład dokumentacji mogą też wchodzić inne dokumenty powiązane np.: regulaminy pracy, regulaminy wynagradzania, decyzje cedujące uprawnienia, zakresy obowiązków, plany ochrony, instrukcje przeciwpożarowe, plany ciągłości działania (BCM), instrukcje zarządzania kryzysowego (DR), i wiele innych.