MPK-Łódź Spółka z o.o.

Autor i ©¹ Tomasz Śmigielski Audytor wiodący Normy 27001 ISO/IEC

Opis założeń podstawowych ochrony i przetwarzania danych.

Wśród wartości funkcjonujących w świadomości Polaków jedno z pierwszych miejsc zajmuje potrzeba prywatności i wynikająca z niej chęć i konieczność ochrony danych, – w tym osobowych. Poczucie dysponowania w pełni swoimi danymi jest immanentnym składnikiem zaufania do instytucji, której dane są powierzane.

Jeśli jest to firma przewozowa, bank, uczelnia, lecznica, poczta, instytucja samorządowa, rządowa, miejsce pracy, firma ubezpieczająca czy reklamowa, wchodząca z nimi w interakcje osoba posiada silne mechanizmy ochrony danych do niej należących. Konstytucja, RODO i Ustawa o Ochronie Danych Osobowych z rozporządzeniami do niej, czy wreszcie działania Prezesa Urzędu Ochrony Danych Osobowych tworzą parasol przepisów ochronnych dla danych osobowych, – przepisów, które muszą być wykonywane z godnie z prawem polskim.

Gospodarka rynkowa i twarde prawa konkurencji tworzą wymóg zaufania klienta do instytucji, firmy, czy marki. Coraz częściej w sposób bardzo intensywny nagłaśniane są poprzez publikatory sytuacje (już nie incydentalne!) utraty danych osobowych i innych danych, co stawia instytucję lub firmę w kompromitującej sytuacji w oczach opinii publicznej i konkurencji.

Odpowiedzialność prawna wynikająca z naruszenia ochrony danych osobowych w dzisiejszym systemie prawnym pociąga za sobą nie tylko konsekwencje typu: kontrole PUODO, mandaty, zatrzymanie pracy na stanowiskach zagrożonych utratą danych osobowych, ale także niebagatelne konsekwencje finansowe wynikające z indywidualnych i zbiorowych pozwów pracowników i klientów firmy zaniedbującej prawo w tym obszarze, jednak najboleśniejszą konsekwencją w obszarze ODO jest, w sytuacji incydentu, umieszczanie przez UODO takich firm z opisem towarzyszącym temu tragicznemu zdarzenie na ogólnie dostępnej stronie Internetowej Urzędu. Konsekwencje wizerunkowe takiej sytuacji są olbrzymie!

Tak więc, wobec wymogów realnej konkurencji, wzrostu jakości pracy i usług, poszanowania prawa i oczekiwań pracowników i klientów niezbędne jest skuteczne opanowanie całego zakresu ochrony danych osobowych w instytucji lub firmie.

Poniżej przedstawione zostały trzy najważniejsze zakresy działań wybrane z kompletnego obszaru ochrony danych, które powinna podjąć każda instytucja przetwarzająca dane osobowe.

1. Instytucja przetwarzająca dane osobowe jest zobowiązana do stosowania kompletu dokumentów i procedur wymaganych przez ustawę o ochronie danych osobowych i stosowne rozporządzenia

Komplet*² dokumentów obejmuje wiele ich rodzajów, w tym między innymi:

• Politykę bezpieczeństwa Informacji (wymóg ustawowy)
• Instrukcja Zarządzania Systemem Informatycznym Służącym do Przetwarzania Danych Osobowych.
• Ewidencja osób upoważnionych do przetwarzania danych osobowych
• Pisemne upoważnienia na przetwarzanie danych osobowych.
• Pisemne zobowiązania osób przetwarzających dane osobowe
• Dokumenty zapewniające wiedzę o tym kto, jakie dane i kiedy wprowadził do zbiorów.
• Pełna dokumentacja, którą musi prowadzić Administrator Danych Osobowych (ADO) lub wyznaczony przez niego Inspektor Ochrony Danych (IOD) - dotycząca sposobu przetwarzania danych oraz środki techniczne i organizacyjne zapewniające ich ochronę.
• Dokumenty opisujące zbiory danych i ich zgodność z prawem.
• Dokumenty opisujące miejsca i sposoby przetwarzania danych osobowych, przepływu danych między systemami itp.
• Dokumenty odnotowujące udostępnianie danych.
• Rejestry Wymagane przez RODO.

2. Instytucja powinna przejść audyt zewnętrzny lub wewnętrzny w zakresie stosowania ustawy o ochronie danych osobowych i rozporządzeń z nią związanych

Audyt między innymi obejmuje następujące zagadnienia:

• identyfikacje w systemie informatyczno-administracyjnym zbiorów danych osobowych w rozumieniu RODO,
• określenia zakresu dokumentacji jaka musi być stworzona,
• dokładny opis potrzeb sprzętowych i oprogramowania, z możliwością oparcia się na istniejącej bazie sprzętu i struktury IT,
• dokładne określenie ilości, rozmiarów, struktury wewnętrznej oraz lokalizacji w systemie zbiorów danych osobowych w rozumieniu RODO, które wymagają stworzenia dla nich osobnych i samodzielnie działających baz.
• opis należycie funkcjonującego systemu ochrony danych osobowych w świetle obowiązujących przepisów prawa, który powinien działać w przedsiębiorstwie/organizacji/stowarzyszeniu/firmie,
• analizę poziomu przystosowania do wymagań obowiązujących przepisów prawa w zakresie ochrony danych osobowych, w tym szczegółową ocenę przygotowania organizacji do przetwarzania danych osobowych oraz wskazanie wad i braków w ww. zakresie ze wskazaniem niezbędnych działań naprawczych,
• szczegółową koncepcję budowy, sposobu działania i ewentualnego późniejszego rozwoju systemu ochrony danych osobowych określenie wszystkich innych danych i wymogów koniecznych do przetwarzania prawidłowo zbudowanych i w pełni funkcjonalnych zbiorów danych osobowych.
• szacowanie ryzyka prowadzonych procesów pod kątem ochrony praw osób, których dane są przetwarzane.

3. Działania i obowiązki IOD – Inspektora Ochrony Danych.

Zakres czynności i odpowiedzialności IOD, którego rolę może pełnić Administrator Danych Osobowych (ustawowo szef danej instytucji) zawiera między innymi:

• Przejęcie określonych obowiązków z Administratora Danych – szefa/kierownika/dyrektora/prezesa danej jednostki (umocowanie ustawowe)
• Określanie strategii i polityki zabezpieczenia systemów informatycznych w których przetwarzane są dane osobowe
• Określanie potrzeb w zakresie ochrony przetwarzania danych osobowych
• Identyfikowania i analizowanie zagrożeń, na które może być przetwarzanie danych osobowych
• Monitorowanie wdrożonych zabezpieczeń i procedur przetwarzania danych osobowych
• Czuwanie nad wdrażaniem, przestrzeganiem i bieżącym uaktualnianiem, stosownie do zmieniających się technologii informatycznych, zagrożeń bezpieczeństwa systemów informatycznych i zmieniające się prawa Instrukcji postępowania w sytuacji naruszenia ochrony danych osobowych oraz Instrukcji określającej sposób zarządzania systemem informatycznym służącym do przetwarzania danych
• Wykrywanie oraz właściwe reagowanie na przypadki naruszenia bezpieczeństwa danych osobowych i systemów informatycznych je przetwarzających
• Podejmowanie natychmiastowych działań zabezpieczających stan systemu informatycznego w przypadku otrzymania informacji o naruszeniu ochrony tego systemu lub informacji zmianach w sposobie działania programu lub urządzenia, mogących wskazywać na naruszenie bezpieczeństwa danych określenia zakresu dokumentacji jaka musi być stworzona,
• Analizowanie okoliczności i przyczyn, które doprowadziły do naruszenia bezpieczeństwa danych osobowych, podejmowanie działań przeciwdziałających takiemu naruszeniu w przyszłości i informowanie o takich przypadkach Administratora Danych
• Czuwanie nad tym aby dane osobowe były przetwarzane tylko przez osoby posiadające pisemne upoważnienie do ich przetwarzania
• Zaznajamianie osób mających zacząć przetwarzać dane osobowe z przepisami prawnymi w tym zakresie
• Czuwanie nad przeprowadzaniem szkoleń w zakresie stosowania ustawy o ochronie danych osobowych i dokumentów pokrewnych
• Prowadzenie ewidencji osób przetwarzających dane osobowe
• Nadzór nad fizycznym zabezpieczeniem pomieszczeń i obszarów w których przetwarza się dane osobowe

_____________________________________________________________________________________________
¹ Możliwe jest zamieszczanie tekstu i jego fragmentów z podaniem informacji „Autor i © Tomasz Śmigielski Audytor wiodący Normy 27001 ISO/IEC” oraz bezpośredniego linku do strony - http://www.mpk.lodz.pl/showarticleslist.action?category=1394&Artyku%C5%82y+nt.+ochrony+danych+osobowych
² W artykule zaprezentowano tylko poglądowy, niepełny wybór dokumentów systemu ODO.