Polityka bezpieczeństwa: określenie środków technicznych i organizacyjnych dla bezpieczeństwa danych.
Pełny tytuł ostatniej części polityki brzmi:
Określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.
Opiszę możliwe środki organizacyjne i techniczne. Pewne rzeczy pozostawię do uzupełnienia, inne do wyboru (czyli z listy dostępnych należy wybrać te, które się stosuje):
Środki organizacyjne, które można wskazać w polityce:
Zasady nadawania upoważnień do przetwarzania danych osobowych (wzór upoważnienia powinien być załącznikiem do polityki) – kto i na jakiej podstawie wnioskuje o wystawienie upoważnienia, kto wypełnia wniosek i upoważnienie, kto nadaje upoważnienie, gdzie przechowuje się oryginał upoważnienia (kopię otrzymuje osoba upoważniona) i kto jest za to odpowiedzialny (nazwa stanowiska/funkcja, proszę nie podawać imienia i nazwiska).
Sposób prowadzenia ewidencji upoważnień (wzór ewidencji upoważnień powinien być załącznikiem do polityki) oraz wskazanie osoby odpowiedzialnej za jej prowadzenie (nazwa stanowiska/funkcja, proszę nie podawać imienia i nazwiska).
Obowiązki osoby upoważnionej do przetwarzania danych osobowych – najważniejsze jest dbanie o bezpieczeństwo danych, do których otrzymała upoważnienie, zgłaszanie wszelkich uchybień w procedurze bezpieczeństwa do (proszę określić do kogo), wszelkich incydentów do (proszę określić do kogo), nie dopuszczanie osób nieupoważnionych do danych osobowych, niepozostawianie danych osobowych w formie papierowej lub elektronicznej bez nadzoru, itp.
Obowiązki ewentualnego Administratora Bezpieczeństwa Informacji (przypominam, że nie ma obowiązku jego powoływania) lub Koordynatora Ochrony Danych Osobowych (można wyznaczyć osobę, która będzie pełnić taką rolę). Ja opisałam je w definicjach pojęć użytych w polityce bezpieczeństwa, ale można też tutaj. Można też opisać je bardziej szczegółowo.
Obowiązki ADO – w imieniu ADO działa kierownik jednostki administracyjnej i to będą jego obowiązki. ADO jest upoważniony do przetwarzania danych w ramach wszystkich zbiorów – nie musi sobie wydawać upoważnień. Co do zasady, to on powinien nadawać upoważnienia pracownikom, ale można w polityce wskazać także inne osoby, które z upoważnienia ADO będą mogły to robić. Odpowiada za zabezpieczenie danych, za zapewnienie wypełnienia obowiązku informacyjnego wobec osób, których dane są przetwarzane, za legalność przetwarzania danych w instytucji, za zarejestrowanie zbiorów w GIODO, uniemożliwienie dostępu do danych osobom nieupoważnionym. Ma także inne obowiązki, które może ewentualnie (w polityce, poprzez wskazanie odpowiednich osób – bez nazwisk) scedować na innych pracowników: zapewnienie zapoznania osób upoważnionych z przepisami o ochronie danych, nadzór nad zgodnością przetwarzania danych z przepisami ustawy, przygotowanie i aktualizacja dokumentacji przetwarzania danych osobowych.
Spodobał Ci się ten wpis? Masz jeszcze jakieś pytania? A może potrzebujesz pomocy przy danych osobowych? Pomogłam już wielu, pomogę i Tobie!
Spodobał Ci się ten wpis? Masz jeszcze jakieś pytania? A może potrzebujesz pomocy przy danych osobowych? Pomogłam już wielu, pomogę i Tobie! 
