Rozporządzenie zobowiązuje administratorów danych do opracowania w formie pisemnej oraz do wdrożenia instrukcji zarządzania systemem informatycznym, służącym do przetwarzania danych osobowych (instrukcja) (zob. § 3 ust. 1 rozporządzenia). Powinna ona funkcjonować, jako dokument wewnątrzzakładowy we wszystkich przedsiębiorstwach, w których dochodzi do przetwarzania danych osobowych w systemach informatycznych. Administrator danych powinien zadbać, aby z instrukcją zapoznali się kierownicy odpowiednich jednostek organizacyjnych, odpowiadających za przetwarzanie danych osobowych. Osoby te powinny przyjąć do stosowania wytyczne określone w tym dokumencie. Wskazane jest, aby przyjęcie do stosowania wytycznych nastąpiło na piśmie. Ustne przyjęcie owych obowiązków będzie oczywiście ważne, jednakże forma pisemna stanowi walor dowodowy.
Generalny Inspektor Ochrony Danych Osobowych słusznie zauważył, że osobom zarządzającym przetwarzaniem danych osobowych powinny być przekazane informacje w sprawie:
a) zasad oraz procedur nadawania uprawnień do przetwarzania danych osobowych;
b) sposobów prowadzenia ewidencji osób zatrudnionych przy przetwarzaniu danych osobowych .
Natomiast innym osobom powinny być przekazane takie informacje, jak w szczególności:
a) sposób rozpoczęcia i zakończenia pracy;
b) sposób użytkowania systemu informatycznego;
c) zasady zmiany haseł .
Osobom odpowiadającym za eksploatację i techniczne utrzymanie ciągłości pracy systemu informatycznego należy przekazać informacje w zakresie:
a) zasad ochrony antywirusowej stosowanych systemów informatycznych;
b) zasad i procedur wykonywania kopii zapasowych .
Jak wskazuje Generalny Inspektor Ochrony Danych Osobowych, instrukcja powinna zawierać ogólne informacje o używanych systemach informatycznych oraz o zbiorach danych osobowych, które są przetwarzane przy zastosowaniu owych systemów. Ponadto powinna szczegółowo określać zastosowane rozwiązania techniczne oraz wszelkie procedury eksploatacji i zasady użytkowania, które są stosowane w celu zabezpieczenia przetwarzanych danych osobowych .
Należy podkreślić, że nie ma przeszkód, aby administrator danych opracował jedną lub kilka instrukcji. Wszystko zależy od liczby stosowanych systemów informatycznych oraz zasad ich funkcjonowania. Administrator danych może opracować jeden dokument dla kilku systemów informatycznych, jeżeli systemy te są ze sobą zbieżne. Jeżeli systemy różnią się pod względem technicznym, rekomendowane jest opracowanie instrukcji dla każdego z poszczególnych systemów. Taka praktyka niewątpliwie przyczyni się do większego zapewnienia bezpieczeństwa przetwarzanych danych osobowych.
Warto pamiętać, że zakres merytoryczny instrukcji powinien być uzależniony od skali przetwarzania danych osobowych przez określonego administratora danych. Niewątpliwie bardziej rozbudowaną i szczegółową instrukcję należy sporządzić w przypadku tych podmiotów gospodarczych, u których w dużym stopniu dochodzi do przetwarzania danych osobowych.
Zgodnie z wytycznymi Generalnego Inspektora Ochrony Danych Osobowych w instrukcji należy wskazać:
a) wszystkie stosowane systemy informatyczne;
b) lokalizacje tych systemów;
c) stosowane metody dostępu do systemów, np.:
– bezpośrednio z komputera, na którym zainstalowany jest dany system informatyczny,
– w lokalnej sieci komputerowej,
– poprzez sieć Internet .
W § 5 rozporządzenia wskazano podstawowe elementy, które instrukcja powinna określać. Zgodnie z tym przepisem powinna ona zawierać w szczególności:
1) procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności;
2) stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem;
3) procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu;
4) procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania;
5) sposób, miejsce i okres przechowywania:
a. elektronicznych nośników informacji zawierających dane osobowe,
b. kopii zapasowych, o których mowa w pkt 4 powyżej;
6)sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, o którym mowa w pkt III ppkt 1 załącznika do rozporządzenia;
7)sposób realizacji wymogów, o których mowa w § 7 ust. 1 pkt 4 rozporządzenia;
8)procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.
§ 5 pkt 1 rozporządzenia
W tym punkcie należy określić takie wytyczne, jak m.in.:
a) zasady przyznawania danemu użytkownikowi identyfikatora w systemie informatycznym;
b) zasady nadawania oraz modyfikowania uprawnień użytkowników do zasobów systemów informatycznych;
c) zasady postępowania z hasłami użytkowników;
d) zasady zarządzania systemem informatycznym w przypadkach awaryjnych .
§ 5 pkt 2 rozporządzenia
Administrator danych powinien określić w szczególności:
a) sposób nadawania haseł do systemu;
b) stopień złożoności haseł;
c) częstotliwość zmiany haseł;
d) sposób przechowywania haseł administratorów systemów informatycznych .
§ 5 pkt 3 rozporządzenia
W tym punkcie należy określić w szczególności:
a) sposób uruchamiania systemu informatycznego, w szczególności sposób logowania się użytkowników do systemu;
b) procedurę zabezpieczenia systemu informatycznego w przypadku tymczasowego zaprzestania pracy przez użytkownika;
c) procedurę zamknięcia systemu po zakończeniu pracy przez użytkownika .
§ 5 pkt 4 rozporządzenia
W przedmiotowym punkcie należy określić w szczególności:
a) procedurę oraz częstotliwość tworzenia kopii zapasowych danych osobowych;
b) procedurę oraz częstotliwość tworzenia kopii zapasowych systemu informatycznego;
c) procedurę likwidacji nośników, na których zarejestrowano kopię zapasową .
§ 5 pkt 5 rozporządzenia
W tym punkcie należy określić:
a) sposób oraz czas przechowywania wszelkiego rodzaju nośników informacji, takich jak np.: płyty CD, płyty DVD, zewnętrzne dyski twarde;
b) pomieszczenia (ich części) przeznaczone do przechowywania elektronicznych nośników informacji;
c) sposób zabezpieczenia nośników przed ich bezprawnym odczytem, skopiowaniem oraz zniszczeniem;
d) procedurę przekazywania nośników zawierających dane osobowe podmiotom trzecim w celu ich zdeponowania lub zniszczenia .
§ 5 pkt 6 rozporządzenia
W tym punkcie należy w szczególności określić:
a) wszystkie obszary systemu informatycznego, które mogą być narażone na atak wirusów komputerowych;
b) procedurę minimalizującą możliwość zainfekowania systemu informatycznego;
c) procedurę działania w celu ochrony danych osobowych w przypadku przedostania się do systemu szkodliwego oprogramowania;
d) stosowane programy komputerowe służące do ochrony systemu, w szczególności zarządzanie oprogramowaniem antywirusowym, jego aktualizowanie .
§ 5 pkt 7 rozporządzenia
Analizując przedmiotowy punkt, należy zauważyć, że w myśl § 7 ust. 1 pkt 4 rozporządzenia dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym – z wyjątkiem systemów służących do przetwarzania danych osobowych ograniczonych wyłącznie do edycji tekstu w celu udostępnienia go na piśmie – system ten zapewnia odnotowanie informacji o odbiorcach, w rozumieniu art. 7 pkt 6 ustawy, którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia, chyba że system informatyczny używany jest do przetwarzania danych zawartych w zbiorach jawnych. Wobec tego stosowany system informatyczny powinien umożliwiać odnotowanie wszystkich powyższych informacji. W instrukcji należy określić formę oraz sposób ich odnotowania.
§ 5 pkt 8 rozporządzenia
W tym punkcie należy określić:
a) cel, zakres, częstotliwość, procedury przeprowadzania przeglądów i konserwacji systemów informatycznych;
b) podmioty umocowane do przeprowadzania przeglądów i konserwacji systemów informatycznych .
Ponadto warto zauważyć, że w instrukcji dodatkowo może zostać opracowana procedura dotycząca postępowania w sytuacji naruszenia ochrony danych osobowych. Administratorzy danych powinni bowiem niezwłocznie reagować w sytuacji naruszenia danych osobowych. Funkcjonowanie takiej procedury bez wątpienia przyczyni się do zwiększenia bezpieczeństwa danych osobowych.
Administrator danych powinien zadbać o prawidłowe wdrożenie instrukcji. W doktrynie wskazuje się, że poprzez wdrożenie należy rozumieć opracowanie, zatwierdzenie i opublikowanie w odpowiedniej formie (np. zarządzenia) oraz zaznajomienie z treścią osób upoważnionych do przetwarzania danych osobowych .
Na zakończenie należy podkreślić, że instrukcja powinna być opracowana przy ścisłym udziale osób, które posiadają specjalistyczną wiedzę z zakresu informatyki. Specyfika instrukcji odnosi się bowiem stricte do kwestii zabezpieczeń informatycznych.
Generalny Inspektor Ochrony Danych Osobowych słusznie zauważył, że osobom zarządzającym przetwarzaniem danych osobowych powinny być przekazane informacje w sprawie:
a) zasad oraz procedur nadawania uprawnień do przetwarzania danych osobowych;
b) sposobów prowadzenia ewidencji osób zatrudnionych przy przetwarzaniu danych osobowych .
Natomiast innym osobom powinny być przekazane takie informacje, jak w szczególności:
a) sposób rozpoczęcia i zakończenia pracy;
b) sposób użytkowania systemu informatycznego;
c) zasady zmiany haseł .
Osobom odpowiadającym za eksploatację i techniczne utrzymanie ciągłości pracy systemu informatycznego należy przekazać informacje w zakresie:
a) zasad ochrony antywirusowej stosowanych systemów informatycznych;
b) zasad i procedur wykonywania kopii zapasowych .
Jak wskazuje Generalny Inspektor Ochrony Danych Osobowych, instrukcja powinna zawierać ogólne informacje o używanych systemach informatycznych oraz o zbiorach danych osobowych, które są przetwarzane przy zastosowaniu owych systemów. Ponadto powinna szczegółowo określać zastosowane rozwiązania techniczne oraz wszelkie procedury eksploatacji i zasady użytkowania, które są stosowane w celu zabezpieczenia przetwarzanych danych osobowych .
Należy podkreślić, że nie ma przeszkód, aby administrator danych opracował jedną lub kilka instrukcji. Wszystko zależy od liczby stosowanych systemów informatycznych oraz zasad ich funkcjonowania. Administrator danych może opracować jeden dokument dla kilku systemów informatycznych, jeżeli systemy te są ze sobą zbieżne. Jeżeli systemy różnią się pod względem technicznym, rekomendowane jest opracowanie instrukcji dla każdego z poszczególnych systemów. Taka praktyka niewątpliwie przyczyni się do większego zapewnienia bezpieczeństwa przetwarzanych danych osobowych.
Warto pamiętać, że zakres merytoryczny instrukcji powinien być uzależniony od skali przetwarzania danych osobowych przez określonego administratora danych. Niewątpliwie bardziej rozbudowaną i szczegółową instrukcję należy sporządzić w przypadku tych podmiotów gospodarczych, u których w dużym stopniu dochodzi do przetwarzania danych osobowych.
Zgodnie z wytycznymi Generalnego Inspektora Ochrony Danych Osobowych w instrukcji należy wskazać:
a) wszystkie stosowane systemy informatyczne;
b) lokalizacje tych systemów;
c) stosowane metody dostępu do systemów, np.:
– bezpośrednio z komputera, na którym zainstalowany jest dany system informatyczny,
– w lokalnej sieci komputerowej,
– poprzez sieć Internet .
W § 5 rozporządzenia wskazano podstawowe elementy, które instrukcja powinna określać. Zgodnie z tym przepisem powinna ona zawierać w szczególności:
1) procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności;
2) stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem;
3) procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu;
4) procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania;
5) sposób, miejsce i okres przechowywania:
a. elektronicznych nośników informacji zawierających dane osobowe,
b. kopii zapasowych, o których mowa w pkt 4 powyżej;
6)sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, o którym mowa w pkt III ppkt 1 załącznika do rozporządzenia;
7)sposób realizacji wymogów, o których mowa w § 7 ust. 1 pkt 4 rozporządzenia;
8)procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.
§ 5 pkt 1 rozporządzenia
W tym punkcie należy określić takie wytyczne, jak m.in.:
a) zasady przyznawania danemu użytkownikowi identyfikatora w systemie informatycznym;
b) zasady nadawania oraz modyfikowania uprawnień użytkowników do zasobów systemów informatycznych;
c) zasady postępowania z hasłami użytkowników;
d) zasady zarządzania systemem informatycznym w przypadkach awaryjnych .
§ 5 pkt 2 rozporządzenia
Administrator danych powinien określić w szczególności:
a) sposób nadawania haseł do systemu;
b) stopień złożoności haseł;
c) częstotliwość zmiany haseł;
d) sposób przechowywania haseł administratorów systemów informatycznych .
§ 5 pkt 3 rozporządzenia
W tym punkcie należy określić w szczególności:
a) sposób uruchamiania systemu informatycznego, w szczególności sposób logowania się użytkowników do systemu;
b) procedurę zabezpieczenia systemu informatycznego w przypadku tymczasowego zaprzestania pracy przez użytkownika;
c) procedurę zamknięcia systemu po zakończeniu pracy przez użytkownika .
§ 5 pkt 4 rozporządzenia
W przedmiotowym punkcie należy określić w szczególności:
a) procedurę oraz częstotliwość tworzenia kopii zapasowych danych osobowych;
b) procedurę oraz częstotliwość tworzenia kopii zapasowych systemu informatycznego;
c) procedurę likwidacji nośników, na których zarejestrowano kopię zapasową .
§ 5 pkt 5 rozporządzenia
W tym punkcie należy określić:
a) sposób oraz czas przechowywania wszelkiego rodzaju nośników informacji, takich jak np.: płyty CD, płyty DVD, zewnętrzne dyski twarde;
b) pomieszczenia (ich części) przeznaczone do przechowywania elektronicznych nośników informacji;
c) sposób zabezpieczenia nośników przed ich bezprawnym odczytem, skopiowaniem oraz zniszczeniem;
d) procedurę przekazywania nośników zawierających dane osobowe podmiotom trzecim w celu ich zdeponowania lub zniszczenia .
§ 5 pkt 6 rozporządzenia
W tym punkcie należy w szczególności określić:
a) wszystkie obszary systemu informatycznego, które mogą być narażone na atak wirusów komputerowych;
b) procedurę minimalizującą możliwość zainfekowania systemu informatycznego;
c) procedurę działania w celu ochrony danych osobowych w przypadku przedostania się do systemu szkodliwego oprogramowania;
d) stosowane programy komputerowe służące do ochrony systemu, w szczególności zarządzanie oprogramowaniem antywirusowym, jego aktualizowanie .
§ 5 pkt 7 rozporządzenia
Analizując przedmiotowy punkt, należy zauważyć, że w myśl § 7 ust. 1 pkt 4 rozporządzenia dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym – z wyjątkiem systemów służących do przetwarzania danych osobowych ograniczonych wyłącznie do edycji tekstu w celu udostępnienia go na piśmie – system ten zapewnia odnotowanie informacji o odbiorcach, w rozumieniu art. 7 pkt 6 ustawy, którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia, chyba że system informatyczny używany jest do przetwarzania danych zawartych w zbiorach jawnych. Wobec tego stosowany system informatyczny powinien umożliwiać odnotowanie wszystkich powyższych informacji. W instrukcji należy określić formę oraz sposób ich odnotowania.
§ 5 pkt 8 rozporządzenia
W tym punkcie należy określić:
a) cel, zakres, częstotliwość, procedury przeprowadzania przeglądów i konserwacji systemów informatycznych;
b) podmioty umocowane do przeprowadzania przeglądów i konserwacji systemów informatycznych .
Ponadto warto zauważyć, że w instrukcji dodatkowo może zostać opracowana procedura dotycząca postępowania w sytuacji naruszenia ochrony danych osobowych. Administratorzy danych powinni bowiem niezwłocznie reagować w sytuacji naruszenia danych osobowych. Funkcjonowanie takiej procedury bez wątpienia przyczyni się do zwiększenia bezpieczeństwa danych osobowych.
Administrator danych powinien zadbać o prawidłowe wdrożenie instrukcji. W doktrynie wskazuje się, że poprzez wdrożenie należy rozumieć opracowanie, zatwierdzenie i opublikowanie w odpowiedniej formie (np. zarządzenia) oraz zaznajomienie z treścią osób upoważnionych do przetwarzania danych osobowych .
Na zakończenie należy podkreślić, że instrukcja powinna być opracowana przy ścisłym udziale osób, które posiadają specjalistyczną wiedzę z zakresu informatyki. Specyfika instrukcji odnosi się bowiem stricte do kwestii zabezpieczeń informatycznych.
Przypisy
Bibliografia
Lista publikacji dotycząca tematyki artykułu
1) J. Barta, P. Fajgielski, R. Markiewicz, Ochrona danych osobowych. Komentarz, wydanie 4, Wydawnictwo Lex a Wolters Kluwer business, Kraków 2007.
2) A. Drozd, Ustawa o ochronie danych osobowych. Komentarz. Wzory pism i przepisy, Wydawnictwo Prawnicze LexisNexis, Warszawa 2008.
3) T. Cygan, M. Geilke, Polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym, PRESSCOM, Wrocław 2011.
4) P. Kral, Dane osobowe w firmie – instrukcja przetwarzania, Wydawnictwo Ośrodek Doradztwa i Doskonalenia Kadr, Gdańsk 2009.
5) I. Ruszczyk, Wzorcowe instrukcje ochrony danych osobowych, Ośrodek Doradztwa i Doskonalenia Kadr, Gdańsk 1999.
Lista adresów internetowych dotycząca tematyki artykułu, [data odczytu 11.11.2013 r.]
1) http://www.giodo.gov.pl/ – strona zawiera wiele informacji na temat instrukcji zarządzania systemem informatycznym.
2) http://ochronadanychosobowych.info/ – strona zawiera szereg praktycznych porad związanych z ochroną danych osobowych.
3) http://mensis.pl/zarzadzanie/instrukcja-zarzadzania-systemem-informatycznym-krok-po-kroku-czesc-i/ – na stronie znajduje się artykuł poświęcony instrukcji zarządzania systemem informatycznym.
4) http://mamstartup.pl/poradnik/3511/twoj-startup-a-ochrona-danych-osobowych-cz-1 - artykuł na temat ochrony danych osobowych.
5) http://www.ngo.pl/x/468727 - na stronie został zamieszczony praktyczny poradnik w przedmiocie ochrony danych osobowych.
1) J. Barta, P. Fajgielski, R. Markiewicz, Ochrona danych osobowych. Komentarz, wydanie 4, Wydawnictwo Lex a Wolters Kluwer business, Kraków 2007.
2) A. Drozd, Ustawa o ochronie danych osobowych. Komentarz. Wzory pism i przepisy, Wydawnictwo Prawnicze LexisNexis, Warszawa 2008.
3) T. Cygan, M. Geilke, Polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym, PRESSCOM, Wrocław 2011.
4) P. Kral, Dane osobowe w firmie – instrukcja przetwarzania, Wydawnictwo Ośrodek Doradztwa i Doskonalenia Kadr, Gdańsk 2009.
5) I. Ruszczyk, Wzorcowe instrukcje ochrony danych osobowych, Ośrodek Doradztwa i Doskonalenia Kadr, Gdańsk 1999.
Lista adresów internetowych dotycząca tematyki artykułu, [data odczytu 11.11.2013 r.]
1) http://www.giodo.gov.pl/ – strona zawiera wiele informacji na temat instrukcji zarządzania systemem informatycznym.
2) http://ochronadanychosobowych.info/ – strona zawiera szereg praktycznych porad związanych z ochroną danych osobowych.
3) http://mensis.pl/zarzadzanie/instrukcja-zarzadzania-systemem-informatycznym-krok-po-kroku-czesc-i/ – na stronie znajduje się artykuł poświęcony instrukcji zarządzania systemem informatycznym.
4) http://mamstartup.pl/poradnik/3511/twoj-startup-a-ochrona-danych-osobowych-cz-1 - artykuł na temat ochrony danych osobowych.
5) http://www.ngo.pl/x/468727 - na stronie został zamieszczony praktyczny poradnik w przedmiocie ochrony danych osobowych.