23 Mar

Polityka bezpieczeństwa, co to jest i dlaczego musi być w każdej bibliotece

Przypuszczam, że większość bibliotek przynajmniej raz otrzymała propozycję zakupu “polityki bezpieczeństwa”. Zazwyczaj był to pierwszy moment, gdy dowiadywały się o konieczności stworzenia tego dokumentu. Zgodnie z art. 36 ust. 1-2 ustawy administrator danych prowadzi dokumentację opisującą sposób przetwarzania danych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.

Zapis ustawowy jest dość niejasny, na szczęście znalazł on doprecyzowanie w przepisach wykonawczych, tzn. w rozporządzeniu MSWiA w sprawie dokumentacji przetwarzania danych osobowych oraz środków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy służące do przetwarzania danych osobowych.

Z rozporządzenia wynika, że na dokumentację składają się polityka bezpieczeństwa oraz instrukcja zarządzania systemami informatycznymi. Co więcej, rozporządzenie wskazuje wprost zawartość tych dokumentów. Paragraf 4 i 5 z powodzeniem można przepisać jako spisy treści dla naszych dokumentów.

Polityka bezpieczeństwa powinna zawierać (paragraf 4 rozporządzenia):

1) wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe;

2) wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych;

3) opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi;

4) sposób przepływu danych pomiędzy poszczególnymi systemami;

5) określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.

Sugeruję dodanie jeszcze definicji administratora danych, przetwarzania danych, zbioru danych, itp, chociażby opisane w art. 7 ustawy o ochronie danych osobowych. W kolejnych artykułach rozwinę punkty polityki. Warto podkreślić, że jest to regulamin przetwarzania danych osobowych, który powinien być szyty na miarę, czyli potrzeby konkretnej bibliotek. Jeżeli dyrektor powołał i zarejestrował ABI-ego w GIODO, za czynności związane ze stworzeniem i aktualizacją dokumentacji jest odpowiedzialny ABI. W przeciwnym wypadku obowiązek ten spoczywa na dyrektorze lub delegowanej przez niego do tej czynności osobie.


Sylwia CzubSpodobał Ci się ten wpis? Masz jeszcze jakieś pytania? A może potrzebujesz pomocy przy danych osobowych? Pomogłam już wielu, pomogę i Tobie!

Napisz do mnie