Polityka bezpieczeństwa: definicje pojęć użytych w polityce
Nie ma obowiązku umieszczania definicji użytych w polityce bezpieczeństwa określeń, jednakże jest to bardzo wskazane, ze względu na fakt, że wiele z nich może być niezrozumiałych dla osób, które będą się z nią zapoznawać.
Definicje zostały opracowane na podstawie ustawy o ochronie danych osobowych.
dane osobowe – wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.
zbiór danych – każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie.
przetwarzanie danych – jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych.
system informatyczny – zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych.
zabezpieczanie danych w systemie informatycznym – wdrożenie i eksploatacja stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem.
usuwanie danych – zniszczenie danych osobowych lub taką ich modyfikację, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą.
administrator danych osobowych (ADO) – [ADO to biblioteka, należy podać pełną nazwę oraz adres instytucji]. Administrator Danych Osobowych decyduje o celach i środkach przetwarzania danych osobowych. W jego imieniu działa dyrektor.
zgoda osoby, której dane dotyczą – oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści; zgoda może być odwołana w każdym czasie.
osoba upoważniona – osoba, która otrzymała upoważnienie od administratora danych do przetwarzania danych osobowych. Upoważnienie określa dopuszczalny zakres przetwarzania danych.
użytkownik – osoba upoważniona, która otrzymała uprawnienia do przetwarzania danych w systemie informatycznym. Użytkownik posiada indywidualny identyfikator oraz hasło do systemu.
identyfikator użytkownika – inaczej logi, jest to nazwa użytkownika, którą stosuje w procesie uwierzytelnienia do systemu informatycznego służącego do przetwarzania danych.
uwierzytelnienie – proces polegający na podaniu identyfikatora oraz hasła użytkownika, dzięki któremu użytkownik otrzymuje dostęp do pracy w systemie informatycznym.
ustawa – ustawa z 29. sierpnia 1997 r. o ochronie danych osobowych (Dz.U. 2016 poz. 922 z późn. zm).
rozporządzenie – rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. 2004 nr 100 poz. 1024).
dokumentacja przetwarzania danych osobowych – składają się na nią polityka bezpieczeństwa oraz instrukcja zarządzania systemem informatycznym. Zakres dokumentów określa Rozporządzenie.
GIODO – organ do spraw ochrony danych osobowych, ma uprawnienia kontrolne w zakresie zgodności przetwarzania danych z przepisami. Prowadzi rejestr zbiorów danych osobowych oraz rejestr administratorów bezpieczeństwa informacji.
Administrator Bezpieczeństwa Informacji (ABI) – NIE MA OBOWIĄZKU POWOŁYWANIA I REJESTROWANIA W GIODO ABI, JEŚLI INSTYTUCJA NIE POWOŁAŁA ABI, PROSZĘ USUNĄĆ.
Posiada odpowiednią wiedzę i doświadczenie w zakresie ochrony danych osobowych. Zapewnia przestrzeganie przepisów o ochronie danych osobowych w INSTYTUCJI, w szczególności poprzez:
– sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych,
– nadzorowanie opracowania i aktualizowania dokumentacji przetwarzania danych osobowych oraz przestrzegania zasad w niej określonych,
– zapewnianie zapoznania osób upoważnionych do przetwarzania,
– prowadzenie rejestru zbioru danych osobowych,
– przeprowadzanie sprawdzeń zgodności przetwarzania danych osobowych z przepisani na wniosek GIODO,
– jest osobą podlegającą bezpośrednio kierownikowi jednostki organizacyjnej,
– ma zapewnione przez Administratora Danych Osobowych środki i organizacyjną odrębność niezbędne do niezależnego wykonywania przez niego zadań,
– przedkłada ADO plany sprawdzeń,
– może wykonywać inne obowiązki tylko i wyłączenie wówczas, gdy nie naruszy to prawidłowego wykonywania powyżej określonych zadań.
Koordynator Ochrony Danych Osobowych – NIE MA OBOWIĄZKU WYZNACZANIA KOORDYNATORA, JEST TO PROPOZYCJA DLA TYCH ADO, KTÓRZY NIE CHCĄ POWOŁYWAĆ ABI, ALE POTRZEBUJĄ KOGOŚ NADZORUJĄCEGO PRZESTRZEGANIE PRZEPISÓW. Należy konkretnie określić jego obowiązki, pamiętając że nie mogą pokrywać się z obowiązkami ABI. Ja polecam nałożenie obowiązku zaznajamiania z przepisami, nadzorowanie i aktualizację dokumentacji oraz sprawdzanie przestrzegania zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych.
KOORDYNATORA WYZNACZA SIĘ POPRZEZ ZARZĄDZENIE. PROSZĘ NIE WSKAZYWAĆ W POLITYCE TEJ OSOBY (ANI ŻADNEJ INNEJ Z IMIENIA I NAZWISKA).
Spodobał Ci się ten wpis? Masz jeszcze jakieś pytania? A może potrzebujesz pomocy przy danych osobowych? Pomogłam już wielu, pomogę i Tobie!