Jak napisać politykę bezpieczeństwa?

Zgodnie z § 3 i § 4 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w   sprawie   dokumentacji   przetwarzania   danych   osobowych   oraz   warunków   technicznych   i organizacyjnych,  jakim  powinny  odpowiadać  urządzenia  i  systemy  informatyczne  służące  do przetwarzania danych osobowych, administrator danych obowiązany jest do opracowania w formie pisemnej i wdrożenia polityki bezpieczeństwa. Pojęcie „polityka bezpieczeństwa”, użyte w rozporządzeniu należy rozumieć – jako zestaw praw, reguł i praktycznych doświadczeń, dotyczących sposobu zarządzania, ochrony i dystrybucji danych osobowych, wewnątrz określonej organizacji. Należy zaznaczyć, że zgodnie z art. 36 ust. 2 oraz art. 39a ustawy o ochronie danych osobowych, polityka bezpieczeństwa, o której mowa w rozporządzeniu, powinna odnosić się całościowo do problemu zabezpieczenia danych osobowych u administratora danych tj. zarówno do zabezpieczenia danych przetwarzanych tradycyjnie, jak i danych przetwarzanych w systemach informatycznych. Jej celem jest wskazanie działań, jakie należy wykonać oraz ustanowienie zasad i reguł postępowania, które należy stosować, aby właściwie zabezpieczyć dane osobowe.

Polityka bezpieczeństwa, w zakresie przedmiotowym, powinna koncentrować się na bezpieczeństwie przetwarzania danych osobowych, co wynika z art. 36 ustawy. Aby prawidłowo zarządzać zasobami, w tym również informacyjnymi, należy najpierw zidentyfikować wszystkie te zasobyoraz określić miejsca i sposób ich przechowywania. Wybór zaś odpowiednich dla poszczególnych zasobów metod zarządzania ich ochroną i dystrybucją, zależny jest od zastosowanych nośników informacji, rodzaju urządzeń, sprzętu komputerowego i oprogramowania. Stąd też w § 4 rozporządzenia wskazano, że polityka bezpieczeństwa powinna zawierać w szczególności następujące punkty:

  • wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe;
  • wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych;
  • opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi;
  • sposób przepływu danych pomiędzy poszczególnymi systemami;
  • określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczności przy przetwarzaniu danych.

Wzór polityki bezpieczeństwa praktycznie nie istnieje. Dokument ten powinien być w najdrobniejszych szczegółach dopasowany do jednostki organizacyjnej (jej usytuowania, procesów w niej zachodzących, stosowanej dotychczasowej polityce bezpieczeństwa itd.).

Wiemy, jak trudne może być przygotowanie dobrej dokumentacji bezpieczeństwa, dlatego też zachęcamy do skorzystania z naszego doświadczenia. W naszej ofercie znajdziecie Państwo przygotowanie kompletnej dokumentacji, pozwalającej zarejestrować zbiór danych osobowych w GIODO. Chętnie pomożemy Państwu w rejestracji zbiorów danych osobowych na każdym etapie procesu – od stworzenia dokumentacji po samą czynność rejestracji.

Zobacz również:

Leave a Comment

*

This site uses Akismet to reduce spam. Learn how your comment data is processed.