wtorek, 01 lipiec 2014 00:00

Instrukcja zarządzania systemem informatycznym - jak ją opracować?

Oceń ten artykuł
(16 głosów)

Kolejnym dokumentem, który należy dołączyć do wniosku rejestracyjnego do GIODO, jest Instrukcja zarządzania systemem informatycznym. Zgodnie z § 3 ust. 1 rozporządzenia, instrukcja ta jest ważną częścią dokumentacji opisującej sposób przetwarzania danych osobowych w firmie oraz środki techniczne i organizacyjne, które mają zapewnić tym danym ochronę.

Instrukcja zarządzania systemem informatycznym, podobnie jak Polityka bezpieczeństwa informacji to dokumenty, które należy sporządzić niezależnie od tego, czy wykorzystywane w firmie bazy danych osobowych podlegają rejestracji w GIODO, czy nie.

 

 

 

W Instrukcji zarządzania systemem informatycznym należy zawrzeć:

Ogólne informacje o systemie informatycznym oraz zbiorach baz danych

Opis rozwiązań technicznych zastosowanych w celu zapewnienia bezpieczeństwa przetwarzania danych osobowych

Opis procedur i zasad wprowadzonych w celu zapewnienia bezpieczeństwa przetwarzania danych

 

Dokładne wytyczne dotyczące treści Instrukcji zarządzania systemem informatycznym znajdujemy w § 5 rozporządzenia:

 

§ 5.
Instrukcja, o której mowa w § 3 ust. 1, zawiera w szczególności:
1) procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności;
2) stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem;
3) procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu;
4) procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania;
5) sposób, miejsce i okres przechowywania:
a) elektronicznych nośników informacji zawierających dane osobowe,
b) kopii zapasowych, o których mowa w pkt 4,
6) sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, o którym mowa w pkt III pkt 1 załącznika do rozporządzenia;
7) sposób realizacji wymogów, o których mowa w § 7 ust. 1 pkt 4;
8) procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.

 

Oczywiście zakres danych, jak też obszerność Instrukcji zarządzania systemem informatycznym będą zależały od wielkości przedsiębiorstwa i zastosowanych rozwiązań. Nieco inaczej będzie wyglądać instrukcja w jednoosobowej firmie, a inaczej w wielkiej korporacji.

Jeśli w firmie wykorzystywany jest więcej niż jeden system informatyczny, można opracować jedną instrukcję dla wszystkich systemów lub oddzielną dla każdego z nich. Opracowanie jednej zbiorowej instrukcji jest możliwe w przypadku, gdy we wszystkich opisywanych w niej systemach zastosowane zostały podobne rozwiązania. Jeśli są one inne w każdym systemie, należy opracować osobą instrukcję do każdego z nich.

Poniżej omawiamy wszystkie punkty, które powinny znaleźć się w Instrukcji zarządzania systemem informatycznym, zgodnie z § 5 rozporządzenia.

Instrukcję zarządzania systemem informatycznym należy rozpocząć wstępem, w którym wyjaśnimy podstawowe pojęcia użyte w tekście oraz wskażemy rolę i odpowiedzialność Administratora Bezpieczeństwa Informacji w firmie.

 

Procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności (§ 5 pkt 1 rozporządzenia)

 

W punkcie tym należy wskazać, kto w firmie nadaje konta użytkownikom systemu informatycznego. Na przykład w sklepie internetowym konta do programu sklepowego może nadawać właściciel firmy lub administrator z upoważnienia właściciela. Konieczne jest opisanie procedury nadawania konta, jego wszelkich modyfikacji, aż do usunięcia konta z systemu informatycznego.

Należy również opisać rodzaje kont w systemie informatycznym, na przykład: konto administratora i konto użytkownika. Osoba posiadająca konto administratora będzie miała szerszy zakres uprawnień niż osoba posiadająca zwykłe konto użytkownika. W tym punkcie Instrukcji należy opisać właśnie ten zakres uprawnień - co użytkownik posiadający dane konto może zrobić.

Konieczne jest również wskazanie częstotliwości zmiany haseł. W dalszej części poradnika opisujemy poziomy bezpieczeństwa systemu informatycznego. W zależności od tego, na jakim poziomie pracuje nasz system, częstotliwość zmiany hasła może być niższa lub wyższa. W tym punkcie instrukcji należy wskazać, jak często użytkownik systemu ma obowiązek zmienić swoje hasło.

Na koniec należy wskazać, kto posiada uprzywilejowane konta - zazwyczaj będzie to właściciel firmy lub administrator. W punkcie tym może również znaleźć się informacja o tym, kto pełni funkcję Administratora Bezpieczeństwa Informacji podczas jego nieobecności - dotyczy to jednak tylko tych firm, w których rzeczywiście występuje takie zastępstwo. W przypadku firm jednoosobowych można tę kwestię pominąć, ponieważ z oczywistych względów nikt nie zastąpi administratora w czasie jego nieobecności.

 

Stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem (§ 5 pkt 2 rozporządzenia).

 

Pod tym pozornie skomplikowanym tytułem kryje się rozdział poświęcony hasłom. Należy w nim wskazać sposób przydzielania haseł - czy są one przydzielane ustnie, czy pisemnie. Warto przy tym zawrzeć adnotację, iż hasła nie powinny być przekazywane przez osoby trzecie, tylko bezpośrednio od administratora do użytkownika.

W punkcie tym trzeba wymienić osoby odpowiedzialne za przydzielanie haseł w firmie. Najczęściej będzie do Administrator Bezpieczeństwa Informacji lub np. właściciel firmy.

Konieczne jest opisanie częstotliwości zmiany haseł oraz metodzie dokonywania zmiany - czy o zmianie hasła użytkownik musi pamiętać sam, czy system informatyczny wymusza tę zmianę. Należy przy tym pamiętać, iż hasła nie można zmieniać rzadziej niż co 30 dni, a hasło nie może być krótsze niż 6 znaków, a niektórych przypadkach musi mieć co najmniej 8 znaków.

W zależności od stosowanych w firmie rozwiązań można w tym punkcie podać wymogi dotyczące haseł - na przykład zestaw znaków, którymi można (lub trzeba) się posługiwać. Jeśli firma wprowadziła wymogi dotyczące powtarzalności haseł (np. nie można wprowadzić dwa razy tego samego hasła), również trzeba o tym napisać.

W dużych firmach zamiast haseł stosuje się inne formy uwierzytelnienia użytkownika systemu, np. karty mikroprocesorowe lub metody biometryczne. Jeśli w danym przedsiębiorstwie stosowane są tego typu metody, w instrukcji zarządzania systemem informatycznym również powinny się znaleźć dotyczące ich wytyczne.

 

Procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu (§ 5 pkt 3 rozporządzenia).

 

W punkcie tym należy opisać zasady rozpoczęcia i zakończenia pracy z systemem informatycznym. Wskazujemy, jakie czynności należy wykonać w celu uruchomienia i zalogowania się do systemu.

Konieczne jest również opisanie procedury postępowania w przypadku zawieszenia pracy na czas np. przerwy obiadowej. W takiej sytuacji użytkownik powinien np. wylogować się z systemu informatycznego, zamknąć komputer, ustawić wygaszacz ekranu itp. Oczywiście również w tym przypadku stosowane środki bezpieczeństwa będą zależały od wielkości naszej firmy i innych czynników. Osoba prowadząca jednoosobową działalność we własnym mieszkaniu użyje zapewne innych środków ochrony, niż osoba będąca pracownikiem wielkiej korporacji, gdzie w jednym pomieszczeniu pracuje kilkanaście osób, a w dodatku w pobliżu komputera mogą pojawić się osoby spoza firmy, np. klienci.

Bardzo ważne jest również określenie zasad postępowania przy zakończeniu pracy z systemem informatycznym. Należy wskazać na konieczność wylogowania się z systemu, i to jeszcze przed wyłączeniem komputera. Niedopuszczalne jest wyłączanie komputera bez wylogowania się z systemu. Wszystkie te zasady trzeba opisać.

W punkcie tym należy również wskazać procedurę postępowania w sytuacjach awaryjnych - na przykład przy podejrzeniu nieuprawnionego odczytu danych, braku możliwości zalogowania się na konto czy fizycznej ingerencji w narzędzia programowe bądź sprzętowe.

Celem określenia procedur rozpoczęcia, zawieszenia i zakończenia pracy z systemem jest zabezpieczenie go przed przechwyceniem poufnych haseł oraz odczytaniem danych przez osoby niepożądane.

 

Procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania (§ 5 pkt 4 rozporządzenia).

W punkcie tym opisujemy kto i kiedy wykonuje kopie zapasowe zbiorów danych, gdzie i jak przechowywane są nośniki z kopiami oraz jak należy obchodzi się z wydrukami zawierającymi dane osobowe.

 

Konieczne jest określenie:

Dla jakich danych wykonywane są kopie zapasowe

Typy nośników z kopiami zapasowymi (np. płyty CD, DVD, dysk USB, pendrive, zewnętrzny serwer)

Jakie narzędzia programowe i urządzenia wykorzystywane są do tworzenia kopii zapasowych

 

Często obowiązek wykonywania kopii zapasowych spoczywa na firmie hostingowej, z której serwera korzystamy. W takim przypadku w Instrukcji zarządzania systemem informatycznym należy o tym napisać, a ponadto podać informacje o częstotliwości wykonywania kopii zapasowych przez tę firmę, długości okresu przechowywania kopii itp. Wszystkie te informacje powinniśmy otrzymać od naszego hostingodawcy. Jednak nawet w przypadku wykonywania kopii zapasowych przez firmę hostingową powinniśmy również sami takie kopie tworzyć - są to kopie długoterminowe, w przeciwieństwie do kopii tworzonych przez hostingodawców, które przechowywane są tylko przez krótki czas.

W punkcie tym należy również wskazać, w jaki sposób likwidowane są zawierające kopie zapasowe nośniki, które zostały wycofane na skutek uszkodzenia lub utraty przydatności. Zasadniczo z nośników tych dane powinny zostać usunięte przed likwidacją. Jeśli usunięcie danych nie jest możliwe, należy uszkodzić nośnik tak, aby zapisanych danych nie można już było odczytać.

Na temat wydruków zawierających dane osobowe należy napisać, iż nieprzydatne już wydruki są niszczone w sposób uniemożliwiający odczyt danych osobowych, np. w niszczarce.

 

Sposób, miejsce i okres przechowywania:

 

a) elektronicznych nośników informacji zawierających dane osobowe,

b) kopii zapasowych, o których mowa w §5 pkt. 4 rozporządzenia.

W punkcie tym wskazujemy, w jaki sposób, gdzie i jak długo przechowujemy nośniki z zapisanymi danymi osobowymi. Wystarczy określić, w których pomieszczeniach przechowujemy te nośniki, i jak zabezpieczamy je przed nieuprawnionym odczytem, skopiowaniem czy zniszczeniem. Czas przechowywania będzie inny np. dla nośników kopii zapasowych, a inny dla kopii awaryjnych, które zasadniczo powinno się usunąć po ustaniu ich użyteczności.

 

Sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, o którym mowa w pkt III ppkt 1 załącznika do rozporządzenia (§ 5 pkt 6 rozporządzenia).

 

W punkcie tym opisujemy, w jaki sposób chronimy system informatyczny przed wirusami i wszelkiego rodzaju złośliwym oprogramowaniem. Należy wskazać sposób zabezpieczania systemów oraz źródła, z których mogą płynąć ewentualne zagrożenia.

Konieczne jest również wskazanie narzędzi używanych do ochrony systemów informatycznych przed wirusami i szkodliwym oprogramowaniem. W tym miejscu podajemy również informację o częstotliwości aktualizacji bazy wirusów oraz wskazujemy osobę odpowiedzialną za zarządzanie tym programem.

Każdy użytkownik systemu powinien być poinformowany o procedurze postępowania w przypadku wykrycia wirusa lub szkodliwego oprogramowania. Oprócz czynności zabezpieczających wykonywanych przez program antywirusowy można zdefiniować także inne czynności wykonywane w takiej sytuacji przez użytkownika, np. odłączenie przenośnych nośników danych, zmiana stanowiska komputerowego itd. O wszystkich tych procedurach należy napisać właśnie w tym punkcie Instrukcji.

 

Sposób realizacji wymogów, o których mowa w § 7 ust. 1 pkt 4.

 

Trzeba przyznać, iż punkt ten jest najtrudniejszym z całej instrukcji zarządzania systemem informatycznym. We wskazanym przepisie § 7 ust. 1 pkt 4 rozporządzenia czytamy:

 

§ 7.
1. Dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym — z wyjątkiem systemów służących do przetwarzania danych osobowych ograniczonych wyłącznie do edycji tekstu w celu udostępnienia go na piśmie — system ten zapewnia odnotowanie:
(…)
4) informacji o odbiorcach, w rozumieniu art. 7 pkt 6 ustawy, którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia, chyba że system informatyczny używany jest do przetwarzania danych zawartych w zbiorach jawnych;

 

Przepis ten wskazuje na konieczność określenia w Instrukcji wymogów prezentowania danych osobowych przetwarzanych w systemie informatycznym. System powinien odnotowywać komu, kiedy i w jakim zakresie zostały udostępnione dane osobowe.

Większość dostępnych systemów informatycznych spełnia wymogi § 7 ust. 1 pkt 4 rozporządzenia - odnotowuje wszelkie informacje o logowaniach, wykonaniu operacji na danych, błędach itp., pozwala też na identyfikację użytkownika. W instrukcji wystarczy napisać, iż system informatyczny spełnia te wymagania oraz wskazać, jakimi mechanizmami się posługuje, aby uwierzytelnić użytkownika i odnotować wszelkie informacje o prezentowaniu danych. Należy też wskazać, w jaki sposób oraz w jakiej formie system odnotowuje te informacje.

 

Procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych (§ 5 pkt 8 rozporządzenia)

 

Komputery oraz systemy informatyczne powinny być raz na jakiś czas konserwowane i poddawane przeglądom technicznym. Z oczywistych względów sprzęt czasem może wymagać naprawy. W tym punkcie Instrukcji zarządzania systemem informatycznym należy wskazać, kto i kiedy wykonuje te czynności. Czy upoważnienie do tego posiadają wyłącznie pracownicy firmy, czy korzystamy z usług zewnętrznych firm serwisowych.

Jeśli naprawą lub innymi czynnościami serwisowymi zajmują się zewnętrzni wykonawcy, należy wskazać procedurę postępowania w przypadku korzystania z ich usług. Na przykład powinniśmy napisać, iż przed przystąpieniem serwisanta do naprawy bądź konserwacji sprzętu należy zweryfikować jego dowód tożsamości.

Z nośników danych zasadniczo powinno się usunąć wszelkie pliki z danymi osobowymi, zanim serwisant przystąpi do naprawy. Czasem jednak nie ma takiej możliwości - w takiej sytuacji naprawa powinna odbywać się pod nadzorem Administratora Bezpieczeństwa Informacji lub innego uprawnionego pracownika firmy.

 

Dodatkowe punkty instrukcji

 

Powyżej opisaliśmy wszystkie najważniejsze punkty instrukcji zarządzania systemem informatycznym, o których mówi rozporządzenie. Nie oznacza to jednak, że nie możemy dodać własnych punktów, jeśli uznamy to za przydatne w naszej firmie. Jednym z takich punktów mogą być zasady łączenia się z siecią Internet - tutaj w szczególności warto wskazać, czy łącze internetowe jest odpowiednio zabezpieczone. Jeśli w firmie użytkuje się komputery przenośne z systemem informatycznym, warto określić zasady korzystania z tych urządzeń. Wszystko tak naprawdę zależy od specyfiki firmy i zastosowanych w niej rozwiązań.

Jeżeli w treści Instrukcji wspominaliśmy o jakichś załącznikach, np. liście osób uprawnionych do pracy z bazami danych osobowych, liście komputerów przenośnych, oświadczeniach pracowników itp., powinniśmy dołączyć te dokumenty do Instrukcji.

 

Zmiany w Instrukcji zarządzania systemem informatycznym

 

Oczywiście raz napisana Instrukcja zarządzania systemem informatycznym z czasem może wymagać aktualizacji. Właściciel jednoosobowej firmy po jakimś czasie może zatrudnić pracownika, przez co procedury będą wymagały pewnych zmian. GIODO nie wymaga w takich przypadkach przesyłania aktualizacji Instrukcji. Warto jednak wcześniej wziąć pod uwagę planowane zmiany i sporządzić ten dokument w taki sposób, aby w późniejszym czasie nie trzeba było znacząco go modyfikować. To, że nie mamy jeszcze pracowników nie oznacza, iż wyznaczenie im uprawnień będzie traktowane przez GIODO jako błąd.  

 

Szkolenie pracowników

 

Administrator Danych Osobowych ma obowiązek zadbać o to, aby każdy z pracowników mających dostęp do danych osobowych zapoznał się z dwoma przygotowanymi dokumentami: Polityką bezpieczeństwa informacji oraz Instrukcją zarządzania systemem informatycznym. W tym celu dobrze jest przeprowadzić szkolenie z ochrony danych osobowych - na takim spotkaniu Administrator może nie tylko przekazać pracownikom wytyczne dotyczące np. długości i częstotliwości zmieniania haseł, ale także wyjaśnić, dlaczego takie zasady zostały wprowadzone i dlaczego ich stosowanie przyczyni się do zwiększenia bezpieczeństwa informacji w firmie.

Po skończonym szkoleniu każdy pracownik powinien podpisać oświadczenie, że zapoznał się z celami polityki bezpieczeństwa informacji, zasadami obowiązującymi w firmie i wytycznymi, jak należy pracować przy przetwarzaniu danych osobowych. Dzięki temu Administrator danych osobowych będzie miał pewność, że w firmie zostały wdrożone wszelkie działania mające na celu ochronę danych osobowych. Z drugiej strony pracownik jest w pełni świadomy odpowiedzialności wynikającej z niedopełnienia obowiązków lub niedostosowania się do wytycznych. 

Każdy nowo zatrudniony pracownik powinien być poinformowany o procedurach obowiązujących w firmie w celu ochrony danych osobowych. Warto też sporządzić dokument określający obowiązki pracownicze osób zatrudnionych przy przetwarzaniu danych osobowych. Każda osoba pracująca z danymi osobowymi powinna taki dokument podpisać.

Pracownik mający dostęp do danych osobowych musi być świadomy konsekwencji udostępnienia danych osobom nieuprawnionym lub doprowadzenia do wycieku danych. Właściciel firmy ma prawo domagać się roszczeń z tytułu szkód wyrządzonych przez takiego pracownika. Wszystkie te zasady powinny być jasno opisane w oświadczeniu pracowniczym.

Upoważnienie do przetwarzania danych osobowych

Każda zatrudniona osoba, która ma w firmie dostęp do danych osobowych, powinna podpisać imienne upoważnienie do przetwarzania danych osobowych. W dokumencie tym Administrator Bezpieczeństwa Informacji upoważnia danego pracownika do przetwarzania danych osobowych w systemie informatycznym. Nie ma przy tym znaczenia forma zatrudnienia pracownika. Dokument ten należy sporządzić i dać pracownikowi do podpisania niezależnie od tego, czy jest w firmie zatrudniony na umowę o pracę, umowę zlecenie, umowę o dzieło czy w innej formie.

Dokument należy sporządzić w dwóch egzemplarzach. Pierwszy otrzymuje pracownik, natomiast drugi należy dołączyć do ewidencji osób upoważnionych do przetwarzania danych osobowych. Ewidencja ta może być prowadzona w formie zwykłego segregatora lub skoroszytu. Istotne jest, aby była prowadzona i aby był do niej łatwy dostęp.

Oprócz Polityki bezpieczeństwa informacji oraz Instrukcji zarządzania systemem informatycznym, w firmie mogą znaleźć się także różne inne dokumenty. Rodzaj tych dokumentów oraz zakres zawartych w nich danych mogą być różne w zależności od specyfiki firmy i zastosowanych rozwiązań. Poniżej opisujemy kilka takich dokumentów. Jeśli chcemy prowadzić przedsiębiorstwo zgodnie z wytycznymi GIODO, powinniśmy mieć te dokumenty w firmie. Nie są one wymaganymi załącznikami do wniosku o rejestracyjnego, choć dołączenie wzorów tych dokumentów nie będzie traktowane przez Generalnego Inspektora jako błąd.

 

Dziennik systemu informatycznego

 

W tym prostym dokumencie zapisujemy wszystkie operacje serwisowe, ważne aktualizacje itp., jakie wykonaliśmy na systemie informatycznym. Osobą zobowiązaną do prowadzenia dziennika systemu informatycznego jest Administrator Bezpieczeństwa Informacji.

W dzienniku systemu informatycznego powinny znaleźć się przede wszystkim:

  • Data i godzina zdarzenia
  • Opis zdarzenia
  • Podjęte działania, ewentualnie wnioski
  • Podpis Administratora Bezpieczeństwa Informacji

W dzienniku systemu informatycznego wpisujemy jednak działania tylko na tych sprzętach, które służą do przetwarzania danych osobowych. Nie ma potrzeby odnotowywać w nim na przykład naprawy kserokopiarki, ponieważ urządzenie to nie jest związane z przetwarzaniem danych. Jednak zmiana systemu operacyjnego w komputerze, na którym znajdują się bazy danych osobowych, już będzie taką czynnością, którą należy odnotować w dzienniku systemu informatycznego.

Dokument ten powinien być przechowywany w formie papierowej. Oczywiście możemy przechowywać plik do edycji w postaci cyfrowej, jednak z punktu widzenia GIODO liczy się dokument w formie papierowej.

 

Ewidencja komputerów przenośnych

 

Jeśli na etapie sporządzania Instrukcji zarządzania systemem informatycznym stwierdzimy, iż w firmie do przetwarzania danych osobowych używa się lub będzie się używać komputerów przenośnych, takich jak laptopy, notebooki itp., konieczne okaże się prowadzenie ewidencji komputerów przenośnych. Podobnie jak w przypadku dziennika systemu informatycznego, ewidencję należy prowadzić w formie papierowej.

W ewidencji komputerów przenośnych powinny znaleźć się takie dane jak:

  • Typ komputera - w tym miejscu wystarczy wpisać np. „komputer przenośny marki X”
  • Numer seryjny
  • Rodzaj systemu operacyjnego (np. Linux, Windows itp.)
  • Rodzaj i zakres danych osobowych - w tym miejscu wystarczy wpisać nazwy baz danych osobowych, które znajdują się na danym komputerze przenośnym

Firma posiadająca wszystkie te dokumenty i systematycznie je uzupełniająca będzie prowadzona zgodnie z wytycznymi GIODO. Warto tych wytycznych przestrzegać nie tylko z obawy przed kontrolą Generalnego Inspektora, ale też ze względu na dbałość o dobre relacje z klientami, dobrą organizację pracy w firmie oraz bezpieczeństwo wykorzystywanych informacji.

 

Czytany 14513 razy Ostatnio zmieniany czwartek, 24 lipiec 2014 21:40

Artykuły powiązane

  • Ochrona danych osobowych RODO Ochrona danych osobowych RODO

    Nowe przepisy unijne nakładają na wszystkich przedsiębiorców i wszystkie podmioty publiczne gromadzące i przetwarzające dane osobowe nowe obowiązki zawiązane z zachowaniem bezpieczeństwa tych danych. Sprawdź, kogo obejmuje RODO, jakie wymagania stawia, z jakimi karami wiąże się jego nieprzestrzeganie i co zrobić, aby tych kar uniknąć. Poznaj też oprogramowanie dla firm gotowe na RODO.

  • Poziomy bezpieczeństwa systemu informatycznego Poziomy bezpieczeństwa systemu informatycznego

    Zgodnie z art. 36 ust. 1 ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (tekst jednolity: Dz. U. z 2002 r. Nr 101, poz. 926), Administrator Danych Osobowych ma obowiązek

  • Powierzenie przetwarzania danych osobowych Powierzenie przetwarzania danych osobowych

    Firmy posiadające zbiory danych osobowych nie mają prawa udostępniać ich nieuprawnionym osobom trzecim. Cała ochrona danych osobowych opiera się właśnie na konieczności zabezpieczenia zbiorów danych przed wyciekiem, utratą czy kradzieżą. Jednak w niektórych przypadkach powierzenie przetwarzania danych osobowych innej firmie jest niezbędne do prawidłowego funkcjonowania przedsiębiorstwa.

  • Zmiany w bazach danych osobowych - zgłaszanie do GIODO Zmiany w bazach danych osobowych - zgłaszanie do GIODO

    W pewnych przypadkach bazę danych osobowych zgłoszoną do GIODO będzie trzeba uaktualnić. Jak wspomnieliśmy w artykule o Instrukcji zarządzenia systemem informatycznym, nie wymagają zgłaszania zmiany w dokumentach takich jak wspomniana instrukcja czy Polityka bezpieczeństwa informacji.

  • Ochrona danych osobowych w firmie Ochrona danych osobowych w firmie

    Praktycznie każda firma w większym lub mniejszym stopniu ma do czynienia z danymi osobowymi. Gromadzone i przetwarzane są dane dotyczące pracowników, klientów i kontrahentów. Wiele firm wykorzystuje posiadane dane osobowe w celach marketingowych, np. wysyłania e-maili z ofertami do osób, które już kiedyś kupiły produkt lub skorzystały z usługi firmy.