Przetwarzanie danych osobowych – polityka bezpieczeństwa
Przetwarzanie danych osobowych jest jednym z najczęściej występujących procesów w działalności poszczególnych przedsiębiorstw. Z uwagi na szczególną zawartość, powinien być on dokonywany z uwzględnieniem najwyższych standardów bezpieczeństwa i poufności, które zostały uregulowane w przepisach prawa.
W celu zapewnienia bezpieczeństwa i sprawności każdy podmiot przetwarzający dane osobowe powinien posiadać politykę bezpieczeństwa. Polityka bezpieczeństwa stanowi zespół praw, reguł i praktycznych doświadczeń, które regulują sposób zarządzania, ochronę i dystrybucję informacji zawierających dane osobowe wewnątrz określonej organizacji. W celu przypomnienia warto podkreślić, iż zgodnie z definicją zawartą w ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, przez przetwarzanie danych osobowych rozumieć należy jakąkolwiek czynność wykonywaną na danych osobowych, a więc takie czynności jak zbieranie, utrwalanie, przechowywanie, opracowywane, zmienianie, udostępnianie i usuwanie. Również przez przetwarzanie danych uważa się czynności podejmowane w systemie informatycznym.
Dokładną regulację oraz wyszczególnienie elementów, które powinna zawierać dokumentacja przetwarzania danych osobowych, zawiera Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Przygotowując stosowną dokumentację należy sporządzić politykę bezpieczeństwa i instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. Instrukcja jest sporządzana w przypadku, gdy dane osobowe przetwarzane są w systemie informatycznym. Dokumentacja ta jest prowadzona w formie pisemnej.
Zarówna polityka jak i instrukcją są dokumentami, które powinny posiadać specjalistyczny zakres informacji. W przypadku sporządzania instrukcji warto skorzystać z pomocy informatyków, którzy tworzyli stosowane zabezpieczenia systemów. Ponadto niezbędna będzie również pomoc prawnika, który zna przepisy ustawy i ma wiedzę jakie wymogi powinna spełniać dokumentacja.
Polityka bezpieczeństwa powinna zawierać w szczególności wykaz budynków oraz pomieszczeń, które stanowią obszar, na którym przetwarzane są dany osobowe. Ponadto należy umieścić wykaz zbiorów danych osobowych wraz z określeniem programów służących do ich przetwarzania. Jednocześnie nie można zapominać o właściwym opisie struktury zabiorów danych, sposobie ich przepływu oraz określeniu środków technicznych i organizacyjnych.
Natomiast instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych powinna regulować procedurę nadawania uprawnień do przetwarzania danych oraz rejestrowanie tych uprawnień w systemie informatycznym. Ponadto powinna opisywać specjalne metody i środki uwierzytelniania oraz procedury rozpoczęcia, zawieszenia i zakończenia pracy dla użytkowników systemu. W instrukcji określa się również sposób, miejsce oraz okres przechowywania elektronicznych nośników informacji, które zawierają dane osobowe oraz przechowywania kopii zapasowych.
System wymaganych zabezpieczeń zależy w głównej mierze od poziomu bezpieczeństwa przetwarzania danych osobowych. Wyróżnia się trzy poziomy: podstawowy, podwyższony i wysoki. Poziom podstawowy stosuje się w przypadku, gdy przetwarzany zbiór nie zawiera danych „wrażliwych” oraz żadne z urządzeń służących do przetwarzania danych osobowych nie jest połączone z siecią publiczną. Przez dane wrażliwe rozumieć należy informacje o pochodzeniu rasowym, etnicznym, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, dane o stanie zdrowia, kodzie genetycznym, nałogach, życiu seksualnym. Ponadto dane wrażliwe to dane dotyczące wyroków skazujących, orzeczeń o ukaraniu i mandatów karnych oraz innych orzeczeń wydanych w postepowaniu sądowym lub administracyjnym. Poziom bezpieczeństwa podwyższony stosuje się do zbiorów, które zawierają dane osobowe wrażliwe, jednakże urządzenia służące do przetwarzania danych nie są połączone z siecią publiczną. Poziom wysoki natomiast stosuje się, gdy ww. urządzenia połączone są z siecią publiczną. Dokładniejszy opis środków bezpieczeństwa na poszczególnych poziomach jest opisany w ww. rozporządzeniu.
Podstawa prawna: Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych
Justyna Łopuszyńska
Aplikant adwokacki
Kancelaria Adwokacka M. Krzyżowska