Kwestię przetwarzania i zarządzania danymi osobowymi regulują przepisy prawne. W Polsce wielu przedsiębiorców wciąż nie zdaje sobie sprawy, jak ścisłe są te wytyczne, i że nieprzestrzeganie ich może skutkować poważnymi konsekwencjami. Dlatego tak ważne jest, aby poznać zasady przetwarzania danych osobowych oraz wiążących się z tym dodatkowych czynności, takich jak m.in. rejestracja bazy danych osobowych w GIODO.
GIODO - Generalny Inspektor Ochrony Danych Osobowych - to instytucja dbająca o wykorzystywanie posiadanych przez firmy danych we właściwy sposób. Wszelkie działania i wprowadzane wytyczne GIODO opiera na dwóch podstawowych aktach prawnych.
Kwestię ochrony danych osobowych w Polsce regulują:
Ustawa z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (tekst jednolity: Dz. U. z 2002 r. Nr 101, poz. 926)
Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 roku w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024)
Polska Norma PN-ISO/IEC 17799[3] określająca praktyczne zasady zarządzania bezpieczeństwem informacji w obszarze technik informatycznych
Wytyczne dotyczące ochrony danych osobowych dotyczą wszystkich przedsiębiorstw oraz osób fizycznych. Nie zostały one określone jedynie dla dużych firm, które mają w posiadaniu duże bazy danych osobowych i prowadzą zaawansowane działania marketingowe. Nawet jednoosobowe przedsiębiorstwa muszą przestrzegać przepisów ustawy i rozporządzenia i stosować się do wszystkich podanych w nich zasad. W przeciwnym wypadku przedsiębiorca może zostać ukarany - nawet karą pozbawienia wolności.
W pewnych przypadkach konieczność zastosowania środków ochrony danych osobowych może dotyczyć także osób fizycznych nieprowadzących działalności gospodarczej. Na przykład osoba, która bierze udział w programie partnerskim - poleca czyjeś produkty lub usługi - zwykle ma dostęp do danych osobowych. W takim przypadku również konieczne jest zastosowanie się do przepisów ustawy i rozporządzenia, w tym do rejestracyjni bazy.
Znajomość przepisów i świadomość zagrożeń u wielu polskich przedsiębiorców wciąż jest niewystarczająca. Inni uznają, że sporządzenie odpowiednich dokumentów i wdrożenie działań mających na celu ochronę danych osobowych jest zbyt skomplikowane i czasochłonne, aby się tym zajmować. Zarówno pierwsza, jak i druga grupa powinny pamiętać, że spełnienie wymagań ustawy można osiągnąć niewielkim kosztem - powierzając sporządzenie odpowiednich dokumentów specjalistom. Wielu właścicieli firm przyznaje, że takie rozwiązanie pozwala oszczędzić czas i daje pewność, że wszystkie obowiązki zostały dopełnione.
Przygotowaliśmy dla Państwa poradnik na temat ochrony danych osobowych w firmie. Wyjaśniamy najważniejsze pojęcia i etapy wdrażania skutecznych działań mających na celu ochronę danych osobowych w firmie. Poradnik został przygotowany zarówno z myślą o dużych firmach, jak i małych przedsiębiorstwach prowadzonych indywidualnie.
Definicje związane z ochroną danych osobowych
Dane osobowe
Na początek warto zastanowić się, czym tak naprawdę są dane osobowe. Odpowiedź na to pytanie znajdujemy w art. 6 ustawy. W przepisie tym czytamy:
Art. 6. 1. W rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.
2. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.
3. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.
Zgodnie z tym przepisem, za dane osobowe należy uznawać każde dane, dzięki którym można zidentyfikować człowieka lub dojść do tego, kim jest ten człowiek. Za dane umożliwiające bezpośrednią identyfikację należy uznać imię i nazwisko, adres zamieszkania, numer PESEL, NIP itd. Natomiast pośrednio można zidentyfikować człowieka np. po jego adresie mailowym lub numerze telefonu, a nawet numerze IP łącza internetowego. Ani ustawa, ani rozporządzenie nie określają katalogu danych, które można uznać za dane osobowe. W dobie szybkiego rozwoju technologii zakres tych danych może się zmieniać. Dlatego ważne jest, aby znać zasadę pozwalającą na określenie, jakie dane są danymi osobowymi.
Przetwarzanie danych osobowych
Zgodnie z ustawą jako przetwarzanie danych osobowych należy rozumieć każdą operację wykonaną na tych danych. W szczególności należy wymienić tu zbieranie, przechowywanie, utrwalanie, opracowywanie, zmienianie, udostępnianie i usuwanie danych. Dotyczy to zwłaszcza czynności wykonywanych w systemach informatycznych.
Zbiór danych osobowych
Pod pojęciem zbioru danych osobowych należy rozumieć każdy zestaw danych o charakterze osobowym, który posiada strukturę i jest dostępny według określonych kryteriów. Zbiór danych osobowych może być podzielony funkcjonalnie - przetwarzany przez programy realizujące różne funkcje. Może też być rozproszony - w takim przypadku jego części znajdują się w różnych miejscach.
Administrator Danych Osobowych (ADO)
W każdej firmie przetwarzającej dane osobowe musi być osoba pełniąca funkcję ich administratora. Może to być osoba, podmiot, organ lub jednostka organizacyjna. Administrator Danych Osobowych decyduje o celach i środkach przetwarzania danych osobowych. Ponosi on odpowiedzialność za przestrzeganie przepisów ustawy o ochronie danych osobowych znajdujących się w jego dyspozycji.
Administrator Bezpieczeństwa Informacji (ABI)
Wyznaczony przez Administratora Danych Osobowych pracownik zobowiązany do wdrażania zasad i wymagań ochrony danych osobowych oraz sprawowania nadzoru nad ich przestrzeganiem. W małych firmach funkcje ABI i ADO często pełni jedna osoba.
System informatyczny
Definicję systemu informatycznego znajdziemy w art. 7 pkt 2a ustawy:
Art. 7. Ilekroć w ustawie jest mowa o:
(…)
2a) systemie informatycznym - rozumie się przez to zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych,
Należy podkreślić, iż systemem informatycznym będzie zarówno zespół programów komputerowych, jak i system składający się z dokumentów papierowych, skoroszytów, organizacja pracy, wyposażenie pokoi itd.
Bezpieczeństwo danych osobowych
O bezpieczeństwie danych osobowych czytamy w art. 7 pkt 2b ustawy:
Art. 7. Ilekroć w ustawie jest mowa o:
(…)
2b) zabezpieczeniu danych w systemie informatycznym - rozumie się przez to wdrożenie i eksploatację stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem,
Zgoda na wykorzystanie danych osobowych
Aby przetwarzanie danych osobowych odbyło się zgodnie z przepisami, należy pozyskać zgodę osoby, która te dane udostępnia. Na etapie pozyskiwania danych powinny pojawić się poniższe formułki:
„Wyrażam zgodę na przetwarzanie swoich danych osobowych do celów marketingowych zgodnie z ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. nr 133, poz. 883) przez… (tutaj dane naszej firmy).”
„Wyrażam zgodę na przekazywanie mi informacji handlowych środkami komunikacji elektronicznej przez… (tutaj dane naszej firmy).”
Należy przy tym pamiętać, że wyrażenie takiej zgody musi być dobrowolne. Jeśli formułki te pojawiają się np. przy zakupie w sklepie internetowym lub przy wypełnianiu formularza, okienka zgody nie mogą być domyślnie zaznaczone. Wyrażenie zgody na przekazywanie informacji handlowych nie może być też warunkiem dokonania zakupu w e-sklepie.
Administrator Danych Osobowych na stronach internetowych ma również obowiązek poinformować użytkownika, w jakim celu jego dane osobowe będą przetwarzane. Jednak nie jest to jedyny obowiązek Administratora. Zgodnie z art. 24 ust. 1 ustawy, ma on wobec danej osoby również inne obowiązki informacyjne:
Art. 24. 1. W przypadku zbierania danych osobowych od osoby, której one dotyczą, administrator danych jest obowiązany poinformować tę osobę o:
1) adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna - o miejscu swojego zamieszkania oraz imieniu i nazwisku,
2) celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców dany
3) prawie dostępu do treści swoich danych oraz ich poprawiania,
4) dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej.
Jak w praktyce mogłaby wyglądać taka informacja? Oto przykładowe zastosowanie przepisu ustawy:
Zgodnie z art. 24 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity: Dz.U. z 2002 r. nr 101, poz. 926 ze zm.) informujemy, że:
- Administratorem Danych Osobowych jest (tu nazwa firmy) z siedzibą (tu adres firmy);
- Dane osobowe przetwarzane będą w celu marketingu produktów i usług administratora danych i nie będą udostępniane innym odbiorcom;
- Posiada Pani/Pan prawo dostępu do treści swoich danych oraz ich poprawiania;
- Podanie danych osobowych jest dobrowolne
Należy przy tym pamiętać, iż informacje te muszą się pojawić wszędzie, gdzie zbieramy dane osobowe, które zamierzamy wykorzystać w celu marketingowym. Dotyczy to stron internetowych: sklepów internetowych, forów, wszelkiego rodzaju formularzy, jak również dokumentów w formie papierowej. W tym ostatnim przypadku konieczny jest podpis osoby udostępniającej swoje dane osobowe.
Umieszczając powyższe informacje na stronach internetowych, formularzach itd. Administrator Danych Osobowych musi pamiętać, iż informacje te powinny być przedstawione w sposób jasny i zrozumiały dla użytkownika. Nie mogą też być ukryte. Użytkownik powinien dokładnie wiedzieć, na co wyraża zgodę i z czym to się wiąże.
Rejestracja bazy danych osobowych w GIODO
Każda baza danych osobowych musi być zarejestrowana w GIODO. To obowiązek każdej firmy wykorzystującej dane osobowe czy to w celach marketingowych, czy w innych celach. Wyjątki od tej zasady zostały wymienione w art. 43 ust. 1 ustawy:
Art. 43. 1. Z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych:
1) zawierających informacje niejawne,
1a) które zostały uzyskane w wyniku czynności operacyjno-rozpoznawczych przez funkcjonariuszy organów uprawnionych do tych czynności,
2) przetwarzanych przez właściwe organy dla potrzeb postępowania sądowego oraz na podstawie przepisów o Krajowym Rejestrze Karnym,
2a) przetwarzanych przez Generalnego Inspektora Informacji Finansowej,
2b) przetwarzanych przez właściwe organy na potrzeby udziału Rzeczypospolitej Polskiej w Systemie Informacyjnym Schengen oraz Wizowym Systemie Informacyjnym,
3) dotyczących osób należących do kościoła lub innego związku wyznaniowego, o uregulowanej sytuacji prawnej, przetwarzanych na potrzeby tego kościoła lub związku wyznaniowego,
4) przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się,
5) dotyczących osób korzystających z ich usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta,
6) tworzonych na podstawie przepisów dotyczących wyborów do Sejmu, Senatu, Parlamentu Europejskiego, rad gmin, rad powiatów i sejmików województw, wyborów na urząd Prezydenta Rzeczypospolitej Polskiej, na wójta, burmistrza, prezydenta miasta oraz dotyczących referendum ogólnokrajowego i referendum lokalnego,
7) dotyczących osób pozbawionych wolności na podstawie ustawy, w zakresie niezbędnym do wykonania tymczasowego aresztowania lub kary pozbawienia wolności,
8) przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej,
9) powszechnie dostępnych,
10) przetwarzanych w celu przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego,
11) przetwarzanych w zakresie drobnych bieżących spraw życia codziennego.
Na uwagę zasługuje między innymi punkt 8, który traktuje o zwolnieniu z obowiązku rejestracji bazy danych osobowych, jeśli dane te przetwarzane są wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej. Wielu przedsiębiorców mylnie interpretuje ten przepis. Wśród nich są m.in. właściciele sklepów internetowych, którzy wychodzą z założenia, że skoro wykorzystują dane do wystawienia faktury, to nie muszą rejestrować bazy danych osobowych w GIODO. A przecież skoro prowadzą sprzedaż wysyłkową, to wykorzystują dane także chociażby do nadania przesyłki. Nie mówiąc już o celach marketingowych, do których niezgodnie z prawem wykorzystują niezarejestrowane bazy.
Wiele firm sprzedających towary oferuje również ich serwis - dotyczy to szczególnie branży elektronicznej. Serwis również wykracza poza zakres zwolnienia, o którym mowa w art. 43 ust. 1 pkt 8 ustawy. Podatnik, który prowadzi obsługę serwisową swoich klientów, ma obowiązek zarejestrować bazę danych osobowych w GIODO.
Poza tym należy pamiętać, że korzystanie z tego zwolnienia zamyka drogę do prowadzenia wszelkich działań marketingowych. A działaniem takim będzie już zatelefonowanie do klienta z pytaniem, czy nie chciałby zamówić towaru. Wiele firm prowadzi różne akcje proklienckie, np. wysyła swoim kontrahentom kartki z życzeniami na różne okazje - takie działanie nie mieści się już w zakresie zwolnienia, o którym napisano w punkcie 8 art. 43 ust. 1 ustawy. Wielu przedsiębiorców przyznaje, że zarejestrowanie bazy danych osobowych i korzystanie z możliwości prowadzenia działań marketingowych przyniesie większy zysk niż takie dostosowanie polityki firmy, aby można było korzystać ze zwolnienia z rejestracji bazy w GIODO.
Dokumenty, które należy przygotować do rejestracji bazy danych w GIODO:
Zgłoszenia w raz z załącznikami można dokonać poprzez elektroniczny system eGIODO lub listem poleconym. W zgłoszeniu wykazujemy, jakie dane i w jaki sposób będą zbierane, przetwarzane i udostępniane. Poniżej wyjaśniamy, jak prawidłowo przygotować pozostałe dokumenty.
Polityka bezpieczeństwa informacji - jak ją opracować?
Opracowanie dokumentu „Polityka bezpieczeństwa informacji” jest obowiązkowe dla każdej firmy przetwarzającej dane osobowe bez względu na to, czy ma ona obowiązek zarejestrowania bazy w GIODO, czy nie. Dokument ten stanowi zbiór spójnych procedur i instrukcji, jak należy postępować przy przetwarzaniu danych osobowych oraz jakie działania należy podjąć w przypadku ich utraty.
Ponadto przedsiębiorca ma obowiązek wyznaczyć osobę, która będzie nadzorowała sposób respektowania tego dokumentu przez pozostałych pracowników.
Sporządzona w formie pisemnej Polityka bezpieczeństwa informacji powinna odnosić się całościowo do przetwarzania danych w firmie, czyli dotyczyć zarówno przetwarzania danych w systemach informatycznych, jak i przetwarzania danych w sposób tradycyjny - w formie papierowych dokumentów.
Zakres danych, które powinny znaleźć się w przygotowanej przez Administratora Danych Osobowych Polityce bezpieczeństwa informacji, znajdziemy w § 4 rozporządzenia:
§ 4.
Polityka bezpieczeństwa, o której mowa w § 3 ust. 1, zawiera w szczególności:
1) wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe;
2) wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych;
3) opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi;
4) sposób przepływu danych pomiędzy poszczególnymi systemami;
5) określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.
Sporządzony na podstawie tych wytycznych dokument powinien koncentrować się przede wszystkim na bezpieczeństwie przetwarzania danych osobowych. Oprócz reguł i zasad postępowania Polityka bezpieczeństwa powinna zawierać również uzasadnienie wyjaśniające przyjęte standardy i wymagania. Praktyka pokazuje, że pracownicy zaznajomieni z takim wyjaśnieniem chętniej przestrzegają ustalonych zasad, a co za tym idzie rzadziej dochodzi do ich naruszania lub pomijania. Dodatkowo dokument ten powinien deklarować zaangażowanie kierownictwa i wyznaczać podejście instytucji do zarządzania bezpieczeństwem informacji.
GIODO nie wymaga, a wręcz nie życzy sobie ujawniania haseł czy podawania nazw używanych programów. Celem sporządzenia Polityki bezpieczeństwa informacji jest określenie, jakie środki techniczne i organizacyjne zostały powzięte, aby zapewnić danym osobowym należytą ochronę.
Aby Polityka bezpieczeństwa informacji była spójnym dokumentem, należy zacząć ją od wstępu. We wstępie zawrzemy przede wszystkim:
Wyjaśnienie podstawowych pojęć użytych w tekście - wśród nich z pewnością powinny znaleźć się pojęcia takie jak m.in.: Administrator danych osobowych, Administrator bezpieczeństwa informacji, system informatyczny czy Polityka bezpieczeństwa informacji. Definicje części z tych pojęć można znaleźć w art. 7 ustawy.
Akty prawne, na podstawie których sporządziliśmy Politykę bezpieczeństwa informacji. Zostały one wymienione na początku tego poradnika.
Określenie celu sporządzenia Polityki - w tym miejscu można opisać, w jakim celu sporządza się ten dokument lub na przykład wymienić te cele w punktach. Nie byłoby jednak dobrze widziane podanie wyjaśnienia, iż dokument został sporządzony ze względu na wymóg rejestracji bazy danych osobowych w GIODO - chociażby ze względu na fakt, iż nawet podatnik niezobowiązany do rejestracji bazy powinien mieć w firmie Politykę bezpieczeństwa informacji.
Oświadczenie kierownictwa poświadczające cele i zasady bezpieczeństwa informacji - w tym miejscu zarząd bądź właściciel firmy potwierdza, iż uznaje zasady określone w Polityce bezpieczeństwa informacji i stosuje się do nich. Również w tym przypadku oświadczenie można zapisać w jednym lub kilku zdaniach bądź np. wypunktować oświadczenia.
W następnej kolejności przystępujemy do sporządzenia części właściwej Polityki bezpieczeństwa:
1) wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe;
Przypomnijmy sobie definicję przetwarzania danych osobowych: Jest to każda operacja na tych danych, w szczególności zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie. Mając w pamięci tę definicję, będzie nam łatwiej sporządzić wykaz budynków i pomieszczeń, w których przetwarzane są dane osobowe.
Wykaz taki powinien więc obejmować:
Drugi punkt będzie obejmował miejsca, w których przechowywane są nośniki danych z zapisanymi danymi osobowymi, komputery, serwery, szafy z dokumentacją, archiwa itp. Dotyczy to także pomieszczeń, w których przechowywane są np. uszkodzone nośniki zawierające dane osobowe, nawet jeśli danych tych nie można już odczytać.
Przedsiębiorstwa wykorzystujące systemy informatyczne nieraz udostępniają swoje bazy danych osobowych innym podmiotom za pośrednictwem sieci telekomunikacyjnej. W taki przypadku w Polityce bezpieczeństwa również powinna znaleźć się informacja o tych podmiotach i wskazanie ich siedziby jako miejsce przetwarzania danych. Dotyczy to także firmy świadczącej nam usługę hostingową - w takim przypadku w dokumencie należy podać adres serwera, a z hostingodawcą podpisać umowę powierzenia przetwarzania danych osobowych. O umowie tej piszemy w dalszej części poradnika.
Opisany powyżej wymóg nie dotyczy sytuacji udostępniania danych osobowych użytkownikom, którzy dostęp do systemu uzyskują z prawem wglądu tylko we własne dane - po wprowadzeniu identyfikatora i hasła. Takie udostępnianie ma miejsce na przykład przy korzystaniu z indywidualnych kont klienta lub na przykład systemów pozwalających studentom na wgląd do uzyskanych ocen. Wymóg ten nie dotyczy również udostępniania danych, do których dostęp z założenia jest publiczny, np. z książki telefonicznej.
W dokumencie należy podać:
Jeśli w firmie użytkowane są komputery przenośne z bazami danych osobowych, informację o tym również należy zawrzeć w Polityce bezpieczeństwa informacji. Odpowiednia adnotacja powinna wskazywać, iż Administrator Danych Osobowych dopuszcza możliwość przetwarzania danych osobowych na komputerach przenośnych. W przypadku takim konieczne jest prowadzenie ewidencji komputerów przenośnych.
2) wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych;
W punkcie tym należy wskazać nazwy zbiorów danych oraz systemy informatyczne, jakich firma używa do ich przetwarzania. Jeśli używany system informatyczny składa się z wielu modułów, które mogą pracować niezależnie, Polityka bezpieczeństwa powinna dokładnie określać wszystkie te moduły. Takie moduły zintegrowanego systemu dedykowane są do wykonywania określonych, wydzielonych funkcjonalnie zadań. Na przykład system kadrowy i system płacowy często występują jako zintegrowany system kadrowo-płacowy.
Jeden system może pracować na wielu baza danych lub odwrotnie - jedna baza danych może być przetwarzana przez kilka systemów. Właśnie dlatego wykaz powinien dokładnie identyfikować daną bazę lub dany system. Powinien zawierać nazwy i lokalizacje baz i systemów, tak aby można było precyzyjnie zidentyfikować zależności między nimi.
Wykaz zbiorów można przedstawić w postaci punktowej. Oto przykładowy wykaz dla sklepu internetowego:
1. Baza klientów
2. Baza zamówień klientów
3. Baza abonentów newslettera
Następnie należy wymienić programy, za pomocą których przetwarzamy dane osobowe. W przypadku e-sklepów często są to po prostu silniki sklepów. Programem będzie też np. autoresponder, którego używamy do mailingu.
3) opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi;
W poprzednim punkcie należało zidentyfikować zbiory danych. W tym natomiast należy zawrzeć opisy poszczególnych pól informacyjnych w strukturze zbioru danych - powinny one wskazywać jednoznacznie, jakie kategorie danych są w nich przechowywane. Do każdego opisu powinien być przyporządkowany zakres danych.
Określona na podstawie tych wytycznych struktura mogłaby wyglądać w następujący przykładowy sposób:
Dane adresowe klienta: [identyfikator klienta, imię, nazwisko, adres (kod pocztowy, miejscowość, ulica, nr domu/mieszkania)]
Zamówienia klienta: [identyfikator zamówienia, identyfikator klienta, nazwa towaru, ilość towaru, wartość zamówienia, data zamówienia, data odbioru]
Sprzedawane towary: [identyfikator towaru, nazwa towaru, nazwa producenta, data produkcji]
Powyższy zbiór zawiera informacje o klientach, zamówieniach i towarach. Jak widać na powyższym przykładzie, istnieje relacja między obiektami „Dane adresowe klienta” a „Zamówienia klienta”. W przypadku takich relacyjnych baz danych informacje można zapisać poprzez utworzenie odpowiednich relacji. W Polityce bezpieczeństwa należy wskazać poszczególne grupy informacji oraz istniejące między nimi relacje — identyfikując w ten sposób pełny zakres danych osobowych, jakie przetwarzane są w określonym zbiorze.
Również w tym wypadku obowiązuje zasada jasności i przejrzystości informacji - opis struktury powinien być zrozumiały dla przeciętnego użytkownika. Jednak w praktyce ta część Polityki sprawia Administratorom Danych Osobowych największe problemy. Wielu przedsiębiorców decyduje się na skorzystanie z pomocy specjalisty mającego doświadczenie w opisywaniu relacji między poszczególnymi bazami danych.
Przepisy oraz wytyczne GIODO dają dowolność formy opisu struktury zbiorów danych wskazującego zawartość poszczególnych pól informacyjnych i powiązania między nimi. Może on występować w postaci formalnej, np. tabeli, w postaci graficznej pokazującej istniejące powiązania pomiędzy obiektami, albo w postaci opisu tekstowego.
4) sposób przepływu danych pomiędzy poszczególnymi systemami;
W punkcie tym należy wskazać sposoby, w jakie współpracują ze sobą różne systemy informatyczne lub różne działy. Przepływ danych może następować na przykład pomiędzy działem przyjmującym zamówienie a działem wystawiającym fakturę (programem magazynowo-księgowym).
Informacje o relacji pomiędzy działami i systemami mogłyby zostać zapisane w następujący sposób:
Przykład 1.
Osoba przyjmująca zamówienie wprowadza dane osobowe klienta ręcznie do programu magazynowo-księgowego.
Przykład 2.
Zachodzi przepływ danych pomiędzy działami: Dział handlowy przyjmuje zamówienie i przekazuje dane osobowe klienta do działu magazynowego, który przygotowuje zamówienie do wysyłki.
Przykład 3.
Zachodzi przepływ danych pomiędzy programem sklepu internetowego a programem do fakturowania X. Dane osobowe przenoszone są w sposób automatyczny ze sklepu do programu X - za pomocą wtyczki Y.
Przykład 4.
Dane osobowe przetwarzane są w dwóch programach:
Pomiędzy tymi dwoma systemami oraz dwiema bazami nie występuje przepływ danych.
Relacje pomiędzy działami i systemami można też opisać w inny sposób - na przykład za pomocą wykresów lub tabelek. Ważne jest, aby przedstawione informacje były zrozumiałe i jasne dla osoby zapoznającej się z dokumentem.
Przepływ danych następuje także pomiędzy serwerem dzierżawionym od firmy hostingowej, z którą mamy zawartą umowę powierzenia przetwarzania danych osobowych. Jeśli pracownicy hostingodawcy mają dostęp do danych osobowych, przepływ tych danych również trzeba ująć w tym punkcie Polityki bezpieczeństwa informacji.
Podobnie w przypadku, gdy firma korzysta z usług biura rachunkowego prowadzącego księgowość na przykład przez internet. Taki przepływ danych osobowych pomiędzy systemami również należy ująć w Polityce bezpieczeństwa.
Należy także wskazać, czy przepływ danych jest jednokierunkowy, czy dwukierunkowy. Z jednokierunkowym przepływem danych mamy do czynienia wtedy, gdy dany dział lub system ma wyłącznie możliwość odczytu danych. Natomiast przepływ dwukierunkowy występuje, gdy dział lub system ma możliwość zarówno odczytu, jak i zapisu danych.
Oczywiście w przypadku firm, w których pracuje tylko jedna osoba, nie trzeba wskazywać relacji między działami, ponieważ takie relacje de facto nie istnieją - całym przetwarzaniem danych osobowych zajmuje się jedna osoba. Należy jednak umieścić w Polityce bezpieczeństwa odpowiednią adnotację o takim stanie rzeczy.
5) określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.
Opis ten powinniśmy otrzymać od firmy hostingowej, która udostępnia nam miejsce na serwerach do przechowywania bazy danych. Firma hostingowa opisuje, w jaki sposób zabezpieczone są te serwery. Wśród różnych form zabezpieczeń mogą zostać wymienione różnego rodzaju programy antywirusowe, konieczność uwierzytelnienia dostępu za pomocą hasła, zastosowanie zasilacza awaryjnego na wypadek utraty zasilania itp.
Załączniki do dokumentu
Jeżeli w treści Polityki bezpieczeństwa informacji wspominaliśmy o jakichś załącznikach, powinniśmy dołączyć je do dokumentu.
Takimi załącznikami mogą być na przykład:
W przypadku dołączania wzorów umów GIODO nie wymaga kopii dokumentów podpisanych np. z pracownikami czy z firmą hostingową. Wystarczy wzór takiej umowy, tak aby pracownik GIODO mógł zweryfikować dane na tej umowie i jej zakres.