Wymagania w zakresie dokumentacji wewnętrznej ochrony danych osobowych

Szkolenie ochrona danych osobowych
Szkolenie ochrona danych osobowych

Wymagania w zakresie dokumentacji wewnętrznej

  • Każdy podmiot przetwarzający dane osobowe – zarówno administrator danych osobowych, jak i podmiot, któremu powierzono przetwarzanie danych osobowych w trybie art. 31 uodo (o czym szerzej w części VIII) – jest zobowiązany do prowadzenia w formie pisemnej dokumentacji wewnętrznej, wymaganej przez rozporządzenie do art. 39a uodo z 2004 roku
  • Na wymaganą przez rozporządzenie dokumentację przetwarzania danych osobowych składają się:

– Polityka bezpieczeństwa (wymagana nawet, jeżeli przetwarzanie danych osobowych odbywa się wyłącznie w formie papierowej). Polityki bezpieczeństwa nie należy mylić z „polityką prywatności”, która jest dokumentem niewymaganym wprost przez powszechnie obowiązujące przepisy, a stanowi jedynie zwyczajową formę realizacji tzw. „obowiązków informacyjnych”, o czym szerzej w części V

– Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych (wymagana jedynie w sytuacji, w której przetwarzanie danych osobowych odbywa się z użyciem systemu informatycznego)

  • Należy pamiętać, żeprzetwarzanie danych to także ich przechowywanie, więc obowiązek posiadania wyżej określonych dokumentów spoczywa nawet na podmiocie, który jedynie przechowuje dane osobowe.

Dokumenty wymagane przez rozporządzenie do art. 39a uodo

POLITYKA BEZPIECZEŃSTWA

Polityka bezpieczeństwa, która powinna zawierać w szczególności (zgodnie z § 4 rozporządzenia):

1) wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe;

2) wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych;

3) opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi;

4) sposób przepływu danych pomiędzy poszczególnymi systemami;

5) określenie Środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczności przetwarzanych danych.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych powinna zawierać w szczególności (zgodnie z § 5 rozporządzenia):

1) procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialne za te czynności;

2) stosowane metody i Środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem;

3) procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu;

4) procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narządzi programowych służących do ich przetwarzania;

5) sposób, miejsce i okres przechowywania:

  1. a) elektronicznych nośników informacji zawierających dane osobowe,
  2. b) kopii zapasowych, o których mowa w pkt 4,

6) sposób zabezpieczenia systemu informatycznego przed działalności oprogramowania, o którym mowa w pkt III ppkt 1 załącznika do rozporządzenia;

7) sposób realizacji wymogów, o których mowa w § 7 ust. 1 pkt 4 rozporządzenia

8) procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.

 

Poziomy bezpieczeństwa określone w rozporządzeniu do art. 39a

Rozporządzenie w § 6 przewiduje trzy poziomy bezpieczeństwa:

  • Poziom podstawowystosuje się tylko w sytuacji, gdy nie są przetwarzane dane „wrażliwe” oraz żadne z urządzeń systemy informatycznego nie ma połączenia z siecią publiczną.
  • Poziom podwyższonystosuje się, gdy przetwarzane są dane „wrażliwe” (art. 27 uodo), ale jednocześnie żadne z urządzeń w systemie informatycznym nie ma połączenia z siecią publiczną
  • Poziom wysokistosuje się, gdy przynajmniej jedno urządzenie systemu informatycznego, służącego do przetwarzania danych osobowych, połączone jest z siecią publiczną.

Konsekwencje poziomów bezpieczeństwa

  • Na poziomie podstawowym, hasło musi mieć co najmniej 6 znaków i być zmieniane nie rzadziej niż co 30 dni (Załącznik A do rozporządzenia)
  • Na poziomie podwyższonym oraz wysokim hasło musi mieć co najmniej 8 znaków, zawierać małe i wielkie litery oraz cyfry lub znaki specjalne i także być zmieniane nie rzadziej niż co 30 dni(Załącznik B do rozporządzenia)
  • Dokładne wymagania odnoszące się do konsekwencji trzech wymienionych poziomów bezpieczeństwa zawarte są w załącznikach (A, B oraz C do rozporządzenia)

 

Wszelkie prawa zastrzeżone. RBDO 2017

Zakaz rozpowszechniania materiału w jakiejkolwiek wersji papierowej i elektronicznej bez pozwolenia RBDO.


Rekomendujemy wdrożenie jednego z poniższych wariantów, w zależności od Państwa potrzeb:

CERTYFIKOWANY ZESTAWa) podstawowy element wymagany w niemal każdej firmie i jednostce organizacyjnej  – Dokumentacja ochrony danych dla firm, szkół lub organizacji – w ofercie za 99 zł netto + 23% VAT

b) jeśli posiadasz dodatkowo zbiory podlegające rejestracji do GIODO  – zamów Dokumentację z Instrukcją zgłoszenia do GIODO oraz e-szkoleniem – w ofercie za 199 zł netto + 23% VAT

c) jeśli chcesz zlecić audyt i rejestrację zbiorów prawnikowi wówczas zamów audyt z dokumentacją i rejestracją zbiorów do GIODO – 699 zł netto + 23% VAT

d) jeśli szukasz kompleksowej usługi ze szkoleniem wyznaczonej osoby – wówczas zamów kompleksowe wdrożenie ze szkoleniem + 12 m-cy wsparcia prawnego – 2690 z ł netto + 23% VAT

e) Szkolenia stacjonarne z procedur ochrony danych osobowych i Rozporządzenia UE (RODO) – do negocjacji >>


W przypadku pytań zapraszamy do kontaktu pod mailem: biuro@rbdo.pl lub numerem infolinii czynnej od poniedziałku do piątku w godz. 9 – 17.:  (22) 487 86 70

lcZapraszam do współpracy,
Łukasz Cieniak
Dyrektor Generalny RBDO
Rejestracja i Bezpieczeństwo Danych Osobowych

E: biuro@rbdo.pl
T: (22) 487 86 70
K: +48 664 484 218

Biuro obsługi RBDO
ul. Kopalniana 22a/7
01-321 Warszawa

Legis Profile Sp. z o.o.
NIP: 522-302-50-86
KRS: 0000549436

 

Dodaj komentarz