Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.


26.10.2020

Nowa wersja nVision

Można już pobierać nową wersję nVision
26.10.2020

Monitorowanie infrastruktury

Vertiv Environet Alert
23.10.2020

Telefonia w chmurze

NFON Cloudya
23.10.2020

Nowości w EDR

Bitdefender GravityZone
23.10.2020

Wykrywanie anomalii

Flowmon ADS11
23.10.2020

Mobilny monitor

AOC 16T2
22.10.2020

HP Pavilion

HP zaprezentowało nowe laptopy z linii Pavilion.
22.10.2020

Inteligentny monitoring

WD Purple SC QD101
22.10.2020

Przełącznik 2,5GbE

QNAP QSW-1105-5T

Instrukcja zarządzania systemem IT

Data publikacji: 30-11-2017 Autor: Michał Kudła

Aby prawidłowo postępować z danymi osobowymi w organizacji, należy przygotować m.in. instrukcję zarządzania zgodnie z ustawą o ochronie danych osobowych i rozporządzeniem MSWiA w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych. Przedstawiamy wymaganą zawartość takiej dokumentacji: listę procedur, sposobów zabezpieczania danych i miejsc ich przechowywania oraz innych składników, które mamy obowiązek w niej zamieścić.

Problematyka danych osobowych uregulowana jest w ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (DzU z 2016 r., poz. 922, dalej: uodo). Ustawa ta, zgodnie z art. 2 ust. 1, określa zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane osobowe są lub mogą być przetwarzane w zbiorach danych. Zakres stosowania ustawy obejmuje przetwarzanie danych osobowych w kartotekach, skorowidzach, księgach, wykazach i w innych zbiorach ewidencyjnych oraz w systemach informatycznych, także w przypadku przetwarzania danych poza zbiorem danych (art. 2 ust. 2 uodo).


Przetwarzanie danych osobowych musi podlegać właściwemu zabezpieczeniu. Podmiotem odpowiedzialnym za ochronę danych osobowych jest każdorazowo administrator danych osobowych. W zgodzie z art. 7 pkt 4 uodo jako administratora danych osobowych rozumie się organ, jednostkę organizacyjną, podmiot lub osobę, o których mowa w art. 3 uodo, decydujące o celach i środkach przetwarzania danych osobowych. Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzania danych osobowych, odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem bądź zniszczeniem. Ponadto administrator danych osobowych prowadzi dokumentację opisującą sposób przetwarzania danych oraz ww. środki techniczne i organizacyjne (art. 36 ust. 1 i ust. 2 uodo).

Sposób prowadzenia i zakres dokumentacji, o której mowa w art. 36 ust. 2 uodo, oraz podstawowe warunki techniczne i organizacyjne, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, uwzględniając zapewnienie ochrony przetwarzanych danych osobowych odpowiedniej do zagrożeń oraz kategorii danych objętych ochroną, a także wymagania w zakresie odnotowywania i udostępniania danych osobowych i bezpieczeństwa przetwarzanych danych, zgodnie z art. 39a uodo, określa rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (DzU z 2004 r. nr 100, poz. 1024, dalej: Rozporządzenie).

> Rozporządzenie

Rozporządzenie, stanowiące akt wykonawczy w stosunku do uodo, zgodnie z jego § 1, określa:

1.    sposób prowadzenia i zakres dokumentacji opisującej sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń i kategorii danych objętych ochroną;
2.    podstawowe warunki techniczne i organizacyjne, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych;
3.    wymagania w zakresie odnotowywania udostępniania danych osobowych i bezpieczeństwa przetwarzania danych osobowych.

Na dokumentację, o której mowa w § 1 pkt 1 Rozporządzenia, składają się Polityka bezpieczeństwa przetwarzania danych osobowych (§ 3 ust. 1 Rozporządzenia, dalej: Polityka bezpieczeństwa) i Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych (§ 3 ust. 1 Rozporządzenia, dalej: Instrukcja). Dokumentacja ta powinna być wprowadzona w formie pisemnej i jest wdrażana przez administratora danych osobowych (§ 3 ust. 1, ust. 2 oraz ust. 3 Rozporządzenia).

> Polityka bezpieczeństwa

Dokumentem nierozerwalnie związanym z Instrukcją jest również Polityka bezpieczeństwa. Dokument ten zawiera zespół praw, reguł i praktyk regulujących sposób zarządzania, ochrony i dystrybucji danych osobowych w ramach konkretnej jednostki organizacyjnej. Polityka bezpieczeństwa, zgodnie z § 4 Rozporządzenia, określa przede wszystkim:

1.    wykaz budynków, pomieszczeń lub części pomieszczeń tworzących obszar, w którym przetwarzane są dane osobowe;
2.    wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych;
3.    opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi;

[...]

Prawnik w kancelarii SMW Legal Stolarski, Majewski i Współpracownicy Kancelaria Radców Prawnych sp. p.

Artykuł pochodzi z miesięcznika: IT Professional

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"