22 Lis

Czy nowy ABI musi tworzyć dokumentację od nowa?

Pytanie od Pana Dominika;

Jestem nowo powołanym ABI. Moja firma posiada dokumentację przetwarzania danych osobowych, przygotowaną przez firmę, która wcześniej pełniła tę rolę. Czy powinienem napisać politykę i instrukcję od nowa, czy mogę zostawić stare?

Administrator Bezpieczeństwa Informacji ma obowiązek czuwać nad aktualnością dokumentacji przetwarzania danych osobowych oraz stosowaniem jej na co dzień w instytucji. Jeżeli stworzona już dokumentacja jest zgodna z rozporządzeniem, to nie ma potrzeby tworzyć ją od nowa. Read More

15 Paź

Polityka bezpieczeństwa: określenie środków technicznych i organizacyjnych dla bezpieczeństwa danych.

Pełny tytuł ostatniej części polityki brzmi:

Określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.

Opiszę możliwe środki organizacyjne i techniczne. Pewne rzeczy pozostawię do uzupełnienia, inne do wyboru (czyli z listy dostępnych należy wybrać te, które się stosuje):

Środki organizacyjne, które można wskazać w polityce: Read More

12 Paź

Potrzebujesz pomocy przy tworzeniu polityki bezpieczeństwa?

Jeżeli macie Państwo problemy z przygotowaniem dokumentacji przetwarzania danych osobowych (polityki bezpieczeństwa, instrukcji zarządzania systemami informatycznymi), mogę zaproponować wsparcie na trzech poziomach:

– sprawdzenie bieżącej dokumentacji z naniesieniem uwag i poprawek

– stworzenie dokumentacji od podstaw (na podstawie przesłanych informacji lub po wykonanym wcześniej audycie bezpieczeństwa)

– zgłaszanie/aktualizacja zbiorów danych osobowych w GIODO

Chciałabym podkreślić, że nie przesyłam gotowych wzorów dokumentów. Każda dokumentacja jest przygotowywana indywidualnie przy dużym udziale klienta, który musi udzielić wielu informacji i współpracować na każdym etapie tworzenia dokumentów.


Sylwia CzubSpodobał Ci się ten wpis? Masz jeszcze jakieś pytania? A może potrzebujesz pomocy przy danych osobowych? Pomogłam już wielu, pomogę i Tobie!

Napisz do mnie


03 Paź

Polityka bezpieczeństwa: definicje pojęć użytych w polityce

Nie ma obowiązku umieszczania definicji użytych w polityce bezpieczeństwa określeń, jednakże jest to bardzo wskazane, ze względu na fakt, że wiele z nich może być niezrozumiałych dla osób, które będą się z nią zapoznawać.

Definicje zostały opracowane na podstawie ustawy o ochronie danych osobowych.

dane osobowe – wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.

zbiór danych – każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie. Read More

01 Paź

Polityka bezpieczeństwa: sposób przepływu danych pomiędzy poszczególnymi systemami.

W czwartym punkcie polityki należy odpowiedzieć na pytanie: czy istnieje możliwość wyeksportowania plików z jednego systemu i zaimportowania do drugiego?

Przykład jeśli jest przepływ danych:
Istnieje możliwość wyeksportowania danych z systemu księgowego do systemu bankowego. Dane do przelewów eksportuje się z systemu do pliku, który następnie użytkownik importuje do systemu bankowego. Read More

29 Wrz

Polityka bezpieczeństwa: Opis struktury zbiorów danych osobowych

A właściwie tytuł powinien brzmieć:

Opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi.

Ponownie odwołuję się do potrzeby wcześniejszej inwentaryzacji zbiorów danych osobowych.

Do zrobienia tego punktu polityki wykorzystamy zrobiony już wcześniej wykaz zbiorów danych osobowych wraz ze wskazaniem programów służących do przetwarzania tych danych.

Read More

10 Lip

Czy w polityce trzeba szczegółowo wskazywać nazwy programów służących do przetwarzania danych?

Pytanie:
Czy przy opisie programów służących do przetwarzania danych musimy szczegółowo wymieniać nazwy aplikacji edytorów tekstu, arkuszy kalkulacyjnych, programów pocztowych skoro pracujemy na kilku i może to się zmieniać?
Należy wskazać nazwy programów. W rozporządzeniu MSWiA w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy służące do przetwarzania danych, wymienione są elementy, które musi zawierać polityka bezpieczeństwa. Punkt 2 paragrafu 4 dotyczący programów, które służą do przetwarzania danych osobowych ma brzmienie:

Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych.

Wskazanie rodzaju programu, zamiast nazwy programu, będzie niewystarczające do wypełnienia tego punktu. Jednocześnie pragnę zauważyć, że nie trzeba wskazywać wersji programu (która często ulega zmianie), wystarczy napisać, np. MS Word, CMS strony internetowej www.mbpbiblioteka.pl, itp.


Sylwia CzubSpodobał Ci się ten wpis? Masz jeszcze jakieś pytania? A może potrzebujesz pomocy przy danych osobowych? Pomogłam już wielu, pomogę i Tobie!

Napisz do mnie


06 Lip

Czy instrukcja zarządzania systemami informatycznymi może być załącznikiem do polityki bezpieczeństwa?

Pytanie od Pani Agnieszki:

Czy Instrukcję Zarządzania Systemem Informatycznym lepiej opracować jako odrębne zarządzenie, czy zrobić to jako załącznik do Polityki Bezpieczeństwa?

Przepisy wymagają, żeby instrukcja i polityka były dwoma odrębnymi dokumentami.

§ 3. 1. Na dokumentację, o której mowa w § 1 pkt 1, składa się polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, zwana dalej „instrukcją”.

 

24 Cze

Czy system służący do obsługi monitoringu wizyjnego należy ująć w polityce bezpieczeństwa?

Coraz częściej w bibliotekach i innych jednostkach publicznych są instalowane kamery w celu ochrony mienia i osób, korzystających z ich usług.

Wraz z zainstalowaniem kamer oraz sytemu do obsługi monitoringu na administratorze danych ciążą pewne obowiązki:

1) Zarejestrowanie zbioru danych osobowych „monitoring wizyjny” w rejestrze GIODO (zwolnione z tego obowiązku są systemy, które nie tworzą kopii nagrania, tzn. służą tylko i wyłącznie do podglądu ochranianych miejsc w czasie rzeczywistym).

2) Podpisanie umowy powierzenia danych osobowych z firmą, która obsługuje monitoring.

3) Upoważnienie do przetwarzania danych osobowych w ramach zbioru „monitoring wizyjny” osób mających do niego dostęp.

4) Wprowadzenie zmian do polityki bezpieczeństwa w zakresie:

Read More

16 Cze

Czy trzeba ująć w polityce bezpieczeństwa informację o przetwarzaniu danych poza biblioteką, np. w urzędzie gminy?

Pytanie od Pani Agnieszki:
Chciałam zapytać o system rejestracji zbiorów w GIODO i Instrukcję zarządzania systemami informatycznymi w polityce bezpieczeństwa danych osobowych.
Czy bazę pracowników należy ująć w instrukcji (przy czym dane pracowników przetwarzane są w budynku Urzędu Gminy przez osobę księgowej. Księgowa biblioteki ma biuro w Urzędzie Gminy)? Czy bazę pracowników należy również zgłosić do GIODO (jako zbiór danych)?
Biblioteka musi mieć dwa dokumenty, politykę bezpieczeństwa oraz instrukcję zarządzania systemami informatycznymi (polityka nie jest częścią instrukcji). Ich zawartość (spis treści) jest określona w rozporządzeniu.

Read More