Prowadzenie dokumentacji ochrony danych osobowych w jednostce organizacyjnej to obowiązek wynikający z art. 36 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Sposób prowadzenia i zakres dokumentacji normującej sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną został sprecyzowany w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. Zgodnie z §.3 pkt 1 tego rozporządzenia na dokumentację ochrony danych osobowych składa się polityka bezpieczeństwa ochrony danych osobowych i instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. Oba dokumenty muszą mieć formę pisemną i być prowadzone przez administratora danych osobowych. Rozporządzenie przedstawia wytyczne co do zawartości każdego z powyższych dokumentów. W § 4 przedstawiono minimalne wymagania w stosunku do polityki bezpieczeństwa, która powinna zawierać:
W § 5 zawiera wytyczne co do zawartości instrukcji, która powinna zawierać co naj mniej:
Podsumowując, każda jednostka organizacyjna przetwarzająca dane osobowe musi posiadać sporządzoną politykę bezpieczeństwa i instrukcję zarządzania systemem informatycznym, natomiast w zależności od wielkości, złożoności struktury i rodzaju przetwarzanych danych (ustawodawca wymaga stosowania dodatkowych środków przy przetwarzaniu danych wrażliwych) w danej firmie w skład dokumentacji mogą też wchodzić inne dokumenty powiązane np.: regulaminy pracy, regulaminy wynagradzania, decyzje cedujące uprawnienia, zakresy obowiązków, plany ochrony, instrukcje przeciwpożarowe, plany ciągłości działania (BCM), instrukcje zarządzania kryzysowego (DR), i wiele innych. |
Dokumentacja ochrony danych osobowych