SYSTEM OCHRONY DANYCH OSOBOWYCH W PRZEDSIĘBIORSTWIE INFORMACJE OGÓLNE



Podobne dokumenty
Art. 36a - Ustawa o ochronie danych osobowych (Dz. U r. poz. 922 z późn. zm.)

SKUTECZNE SZKOLENIA PERSONELU JAKO NOWY OBOWIĄZEK ADMINISTRATORA BEZPIECZEŃSTWA INFORMACJI

Zarządzenie Nr 224/ ABI/ 2016 Prezydenta Miasta Słupska z dnia 6 kwietnia 2016 r.

Zarządzenie Nr 623/ ABI/ 2016 Prezydenta Miasta Słupska z dnia 16 sierpnia 2016 r.

Dane osobowe w data center

Podstawowe obowiązki administratora danych osobowych

REGULAMIN. organizacji i przetwarzania danych osobowych.

Bezpieczeństwo teleinformatyczne danych osobowych

Bezpieczeństwo informacji. Opracował: Mariusz Hoffman

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

wraz z wzorami wymaganej prawem dokumentacją

OFERTA Usług audytowych i doradczych w zakresie ochrony danych osobowych dla jednostek administracji publicznej

Ochrona danych osobowych w służbie zdrowia

ADMISTRATOR BEZPIECZEŃSTWA INFORMACJI

ADMINISTRATOR BEZPIECZEŃSTWA INFORMACJI. zadania: przepisami; Nowe kompetencje GIODO: Administratora danych; Przekazywanie danych do państw trzecich:

Jak stworzyć sprawny system ochrony danych osobowych? Łukasz Zegarek, ekspert ds. ochrony danych osobowych

II Lubelski Konwent Informatyków i Administracji r.

OCHRONA DANYCH OSOBOWYCH W ADMINISTRACJI. Nowelizacja Ustawy o ochronie danych osobowych (UODO) z 1 stycznia 2015 r. informacje wstępne:

Przetwarzanie danych osobowych w przedsiębiorstwie

OBOWIĄZKI I ODPOWIEDZIALNOŚĆ ZA ZADANIA ZWIĄZANE Z OCHRONĄ DANYCH OSOBOWYCH W SZKOLE GŁÓWNEJ HANDLOWEJ W WARSZAWIE

POLITYKA BEZPIECZEŃSTWA w Gimnazjum nr 1 w Żarach. Podstawa prawna

ZARZĄDZENIE NR 473/2015 PREZYDENTA MIASTA KIELCE. z dnia 29 grudnia 2015 r.

OCHRONA DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ MSZCZONOWSKA. Łukasz Zegarek 29 listopada 2016 r.

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl

OCHRONA DANYCH OSOBOWYCH W ADMINISTRACJI. Nowelizacja Ustawy o ochronie danych osobowych (UODO) z 1 stycznia 2015 r. informacje wstępne:

POLITYKA BEZPIECZEŃSTWA

Katarzyna Sadło. Ochrona danych osobowych w organizacjach pozarządowych. Kraków, 13 grudnia (stan obecny)

Szkolenie. Ochrona danych osobowych

POLITYKA BEZPIECZEŃSTWA INFORMACJI. Heksagon sp. z o.o. z siedzibą w Katowicach. (nazwa Administratora Danych)

Polityka bezpieczeństwa przeznaczona dla administratora danych, który nie powołał administratora bezpieczeństwa informacji

Jakie są podstawowe obowiązki wynikające z ustawy o ochronie danych osobowych?

Profesjonalny Administrator Bezpieczeństwa Informacji

Warszawa, dnia 24 kwietnia 2015 r. Pozycja 14 ZARZĄDZENIE NR 14 MINISTRA SKARBU PAŃSTWA 1) z dnia 23 kwietnia 2015 r.

Polityka Bezpieczeństwa Danych Osobowych. w sklepie internetowym kozakominek.pl prowadzonym przez firmę Worldflame Sp. z o. o.

Zmiany w ustawie o ochronie danych osobowych

ABI potrzebny i przydatny Zakres i sposób wykonywania zadań ABI w praktyce. Andrzej Rutkowski

Ochrona danych osobowych w administracji publicznej

Dokumentacja ochrony danych osobowych w firmie

KURS ABI. Dzień 1 Podstawy pełnienia funkcji ABI SZCZEGÓŁOWY HARMONOGRAM SZKOLENIA MODUŁ I

Ustawa o ochronie danych osobowych po zmianach

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH STOWARZYSZENIE RODZICÓW DZIECI Z WRODZONĄ PRZEPUKLINĄ PRZEPONOWĄ I INNYMI WADAMI WRODZONYMI

Praktyczny kurs dla Administratora Bezpieczeństwa Informacji

Szkolenie otwarte 2016 r.

Szczegółowe informacje o kursach

PROGRAM NAUCZANIA KURS ABI

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH w przedsiębiorstwie QBL Wojciech Śliwka Daszyńskiego 70c, Ustroń

Szkolenie podstawowe z ustawy o ochronie danych osobowych dla wolontariuszy świadczących pomoc na rzecz podopiecznych Ośrodka Pomocy Społecznej

Samodzielnym Publicznym Szpitalu Klinicznym Nr 1 im. Prof. Stanisława Szyszko w Zabrzu Śląskiego Uniwersytetu Medycznego w Katowicach

Praktyczne aspekty ochrony danych osobowych w ubezpieczeniach

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH

POLITYKA BEZPIECZEŃSTWA INFORMACJI URZĘDU GMINY W KIKOLE

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

Certyfikowany kurs dla Administratorów Bezpieczeństwa Informacji (ABI) Szczegółowe zagadnienia

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH WRAZ Z INSTRUKCJA ZARZĄDZANIA ZINTEGROWANĄ PLATFORMĄ ELF24

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH w Urzędzie Gminy Miłkowice

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ ODJ KRAKÓW

Szkolenie : Administrator Bezpieczeństwa Informacji (2 dni)

OCHRONA DANYCH OSOBOWYCH z uwzględnieniem najnowszych zmian

Zwykłe dane osobowe, a dane wrażliwe

Ochrona Danych Osobowych

ABI nie tylko audytor i koordynator. Wykonywanie przez ABI innych obowiązków niż określone w ustawie o ochronie danych osobowych.

Jak zorganizować szkolną infrastrukturę informatyczną (sieć informatyczną) Tadeusz Nowik

PRZETWARZANIE DANYCH OSOBOWYCH KLIENTÓW PRZEZ SERWISY SPRZĘTU AGD Agnieszka Wiercińska-Krużewska 15 września 2016 r.

POLITYKA BEZPIECZEŃSTWA INFORMACJI w MYFUTURE HOUSE SP. Z O.O.

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA I OCHRONY DANYCH OSOBOWYCH W WIELOZAWODOWYM ZESPOLE SZKÓŁ W ZATORZE

Program. Polexpert - informacje o szkoleniu. Kod szkolenia: Miejsce: Kraków, Centrum miasta. Koszt szkolenia: zł

Informacje dla Klientów opracowane na podstawie Polityki Ochrony Danych Osobowych w Miejskim Zakładzie Gospodarki Komunalnej Sp. z o.o.

Polityka bezpieczeństwa w zakresie ochrony danych osobowych

Polityka bezpieczeństwa przeznaczona dla administratora danych, który powołał administratora bezpieczeństwa informacji

Administrator Bezpieczeństwa Informacji po zmianie przepisów ustawy o ochronie danych osobowych

Obowiązki lekarza, lekarza dentysty wykonującego działalność leczniczą w ramach praktyki zawodowej związane z ochroną danych osobowych

Zarządzenie nr 25 Burmistrza Kolonowskiego Z roku

2. Cele i polityka zabezpieczania systemów informatycznych, w których przetwarzane są dane osobowe

rodo. ochrona danych osobowych.

POLITYKA BEZPIECZEŃSTWA INFORMACJI W KANCELARII ADWOKACKIEJ DR MONIKA HACZKOWSKA

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r.

Polityka ochrony danych osobowych. Rozdział I Postanowienia ogólne

BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

OCHRONA DANYCH OSOBOWYCH W PLACÓWKACH OŚWIATOWYCH. Nowelizacja Ustawy o ochronie danych osobowych (UODO) z dnia 1 stycznia 2015 r.

USŁUGI AUDYTOWE I DORADCZE W ZAKRESIE OCHRONY DANYCH OSOBOWYCH. 17 września 2012

POLITYKA BEZPIECZEŃSTWA. Wykaz zbiorów danych oraz programów zastosowanych do przetwarzania danych osobowych.

POLITYKA BEZPIECZEŃSTWA w STAROSTWIE POWIATOWYM w ŻYWCU. Rozdział I. Postanowienia ogólne, definicje

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W OŚRODKU KULTURY W DRAWSKU POMORSKIM

POLITYKA BEZPIECZEŃSTWA INFORMACJI I PRZETWARZANIA DANYCH OSOBOWYCH W SZKOLE PODSTAWOWEJ W PŁUŻNICY

Polityka Bezpieczeństwa w zakresie przetwarzania danych osobowych

OCHRONA DANYCH OSOBOWYCH

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

administratora systemów informatycznych w Urzędzie Gminy i Miasta Proszowice NIE

POLITYKA BEZPIECZEŃSTWA INFORMACJI

ZASADY PROGRAMU CERTYFIKAT CHRONIMY DANE OSOBOWE

Umowa nr ADO/.../... powierzenia przetwarzania danych osobowych

Umowa o powierzenie przetwarzania danych osobowych. SP ZOZ Szpitalem Wielospecjalistycznym w Jaworznie Zleceniodawcą Administratorem Zleceniobiorcą

Przykładowy wzór Wystąpienia GIODO dotyczy zastosowanych środków bezpieczeństwa* Wystąpienie o dokonanie sprawdzenia

2. Dane osobowe - wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej;

POLITYKA BEZPIECZEŃSTWA

POLITYKA BEZPIECZEŃSTWA

POLITYKA BEZPIECZEŃSTWA INFORMACJI CENTRUM FOCUS ON GRZEGORZ ŻABIŃSKI. Kraków, 25 maja 2018 roku

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH W FUNDACJI CENTRUM IMIENIA PROF. BRONISŁAWA GEREMKA

ZARZĄDZENIE NR 22. z dnia 2 lipca 2008 r.

Szkolenie. Funkcja Administratora Bezpieczeństwa Informacji po deregulacji. Strona szkolenia Terminy szkolenia Rejestracja na szkolenie Promocje

Transkrypt:

SYSTEM OCHRONY DANYCH OSOBOWYCH W PRZEDSIĘBIORSTWIE INFORMACJE OGÓLNE O prawidłowym systemie ochrony danych osobowych w przedsiębiorstwie można mówić wtedy, gdy dopełniane są wszystkie obowiązki administratora danych osobowych (przedsiębiorstwa). Należą do nich między innymi: spełnienie przesłanek legalności przetwarzania danych osobowych, wypełnianie obowiązku informacyjnego, stworzenie i stałe aktualizowanie dokumentacji wymaganej przez przepisy, zarejestrowanie zbiorów danych osobowych w rejestrze prowadzonym przez Generalnego Inspektora Danych Osobowych, właściwe zabezpieczenie fizyczne przetwarzanych zbiorów, wyznaczenie Administratora Bezpieczeństwa Informacji, odpowiednie przeszkolenie pracowników. Istotą sprawnego systemu ochrony danych osobowych jest także odpowiednia świadomość zarówno kadry zarządzającej jak i poszczególnych pracowników, dotycząca prawidłowego przetwarzania tych danych - wiedza na temat ich ochrony i świadomość problemów, jakie wiążą się z ich gromadzeniem, wykorzystywaniem czy usuwaniem. Na straży legalności zarządzania procesami przetwarzania danych osobowych powinien stać Administrator Bezpieczeństwa Informacji (ABI). Im większe posiada kwalifikacje oraz doświadczenie, tym mniejsze ryzyko problemów, jakie mogą pojawić się w przedsiębiorstwie podczas kontaktu z danymi osobowymi. Istotą funkcji ABI jest bowiem nie tylko kontrola i dbałość o system ochrony danych osobowych ale stałe zwiększanie wiedzy pracowników w tym zakresie oraz uświadamianie im, jak ważne jest stosowanie się do wewnętrznych procedur bezpieczeństwa. Niestety najsłabszym ogniwem wszelkich systemów zabezpieczeń jest człowiek i jego brak wiedzy. Dlatego aspekt kompetencji jest w przypadku ABI niezwykle istotny. Poniższy wykres jest ilustracją cykliczności działań związanych z prawidłowym zarządzaniem systemem ochrony danych osobowych w przedsiębiorstwie.

INWENTARYZACJA DANYCH OSÓB FIZYCZNYCH Wdrożenie systemu ochrony danych osobowych w przedsiębiorstwie powinno zostać poprzedzone inwentaryzacją danych osób fizycznych, prawidłowym wyodrębnieniem zbiorów takich danych oraz ustaleniem wymagań, jakie powinien spełniać system, aby w pełni zabezpieczyć procesy związane z przetwarzaniem danych osobowych. Inwentaryzacja powinna opierać się na analizie problemu w trzech płaszczyznach: prawnej, technicznej oraz organizacyjnej. W obszarach tych należy prawidłowo sformułować odpowiedź na wiele pytań, takich między innymi jak: Aspekty prawne: Jakie dane osobowe w rozumieniu ustawy o ochronie danych osobowych są przetwarzane przez przedsiębiorstwo? Czy są wśród nich dane o charakterze sensytywnym? Jakie można wyróżnić zbiory danych? Czy zbiory podlegają rejestracji? Jaka jest podstawa prawna przetwarzania danych i czy właściwie określono podstawy prawne przetwarzania danych? Jaki jest zakres danych w poszczególnych zbiorach? Czy wypełniono właściwie obowiązek informacyjny? Czy nie naruszono zakazu rozstrzygania spraw dotyczących osób wyłącznie poprzez operacje na danych osobowych? Czy przetwarzanie danych odbywa się zgodnie z celem i zakresem? Czy zbiory danych są powierzane innym podmiotom? Czy zawarto właściwe umowy powierzenia przetwarzania danych? Czy powierzenie danych jest zgodne z celem i zakresem ich przetwarzania? Itd. Aspekty organizacyjne: Kto w ramach przedsiębiorstwa i danego departamentu odpowiada za ochronę danych osobowych? Czy osoby przetwarzające dane posiadają ważne upoważnienia do przetwarzania danych osobowych w ramach poszczególnych zbiorów? Czy są realizowane szczegółowe procedury przetwarzania danych osobowych? Czy wdrożono procedury udostępniania danych oraz odmowy udostępniania? Czy właściwie przeszkolono w w/w zakresie pracowników? Czy udostępnianie jest rejestrowane? Czy ustalono szczegółowe procedury związane z realizacją umów powierzenia? W jaki sposób weryfikuje się powierzeniobiorców pod względem zapewnienia właściwej ochrony zbiorów powierzonych? Czy wdrożono procedury bezpieczeństwa fizycznego danych? Czy realizowane są procedury niszczenia i utylizacji dokumentów i nośników zawierających dane osobowe? Czy jest prowadzona właściwie ewidencja osób upoważnionych? Czy wprowadzono mechanizmy rozliczalności danych? Czy pracownicy podpisali oświadczenia o zachowaniu poufności? (...)

Aspekty techniczne: Czy dane są przetwarzane w systemach informatycznych? Jaki jest model przepływu danych między systemami? Jak zabezpieczono poszczególne jednostki? Czy komputery posiadają prawidłowo działające aktualne oprogramowanie antywirusowe? Czy komputery posiadają odpowiednie zabezpieczenie przed zmianami napięcia? Czy komputery są zabezpieczone aktualnym oprogramowaniem typu firewall? Czy dostęp do poszczególnych systemów przetwarzających dane osobowe został właściwie ograniczony? Czy zastosowano właściwe systemy uwierzytelniania? Czy zabezpieczono dane przed nieupoważnionym kopiowaniem? Czy poszczególne systemy monitorują dostęp i modyfikacje prowadzone przez użytkowników? Czy właściwie zabezpieczono integralność danych? Czy właściwie tworzy się i zabezpiecza kopie zapasowe? Czy prowadzony jest rejestr tworzenia kopii zapasowych? Czy zabezpieczono ciągłość pracy systemów informatycznych? (...). PRZYGOTOWANIE NIEZBĘDNEJ DOKUMENTACJI Aby spełnić wymogi prawne dotyczące właściwego przetwarzania danych osobowych należy przygotować niezbędną dokumentację (w nawiasie podajemy ich podstawę prawną), między innymi taką jak: polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych (art. 36 ust. 2 wraz z art. 39a ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych oraz 3 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dn. 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych), wnioski rejestracyjne do Generalnego Inspektora Ochrony Danych Osobowych (art. 40 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych), upoważnienia do przetwarzania danych osobowych (art. 37 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych), ewidencję upoważnień do przetwarzania danych osobowych (art. 39 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych), oświadczenia dla pracowników o zachowaniu w tajemnicy danych osobowych oraz informacji o sposobach ich zabezpieczenia (art. 39 ust. 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych), umowy powierzenia przetwarzania danych osobowych (art. 31 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych),

klauzule spełniające obowiązek informacyjny administratora danych osobowych (art. 24 i 25 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych), klauzule zgód na przetwarzanie danych osobowych (art. 23 ust. 1 pkt. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych). oraz inne niezbędne dokumenty stosowne do metod przetwarzania i rodzaju danych osobowych. REJESTRACJA ZBIORÓW DANYCH OSOBOWYCH W REJESTRZE PROWADZONYM PRZEZ GIODO Jednym z podstawowych obowiązków administratora danych osobowych (przedsiębiorstwa) jest rejestracja zbiorów danych osobowych w rejestrze prowadzonym przez Generalnego Inspektora Danych Osobowych. Należy dokonać tego na odpowiednim wniosku, którego wzór określa Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 11 grudnia 2008 r. w sprawie wzoru zgłoszenia zbioru do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (Dziennik Ustaw z 2008 r. Nr 229 poz. 1536). Zgłoszenia można dokonać wypełniając wniosek znajdujący się na stronie GIODO : https://egiodo.giodo.gov.pl/formular_step0.dhtml lub przesyłając odpowiednio wypełniony wzór wniosku będący załącznikiem do wspomnianego wyżej Rozporządzenia. Należy pamiętać, że przetwarzanie tzw. danych zwykłych jest możliwe w momencie złożenia stosownego wniosku w Rejestrze. W przypadku danych o charakterze sensytywnym (danych wrażliwych) takich jak: informacje o pochodzeniu rasowym lub etnicznym, poglądach politycznych, religijnych, filozoficznych, wyznaniu, przynależności do partii lub związku, stanie zdrowia, kodzie genetycznym, nałogach, życiu seksualnym, skazaniach, orzeczeniach o ukaraniu, mandatach i innych orzeczeniach wydanych w postępowaniu przed sądem lub urzędem, legalne przetwarzanie danych jest możliwe dopiero po zarejestrowaniu zbiorów przez GIODO. OPRACOWANIE PROCEDUR WEWNĘTRZNYCH Przetwarzanie danych osobowych to m.in. procesy: pozyskiwania danych, wprowadzania do systemów informatycznych, prezentacji, przesyłania, wykorzystywania zarówno w wersji elektronicznej jak i papierowej, archiwizacji i przechowywania czy też ich usuwania. Wszystkie te procesy, ze względu na konieczność zapewnienia odpowiedniego poziomu ochrony, powinny być prawidłowo opisane w wewnętrznych procedurach, zawierających między innymi zalecenia dotyczące właściwego sposobu przetwarzania danych przez pracowników. Procedury te są optymalne tylko wtedy, gdy nie tylko spełniają wszelkie wymogi formalne, ale są dobrze dostosowane do specyfiki danego przedsiębiorstwa. Ich posiadanie świadczy o należytej dbałości administratora o bezpieczeństwo danych osobowych przetwarzanych w przedsiębiorstwie. WDROŻENIE SYSTEMU OCHRONY DANYCH OSOBOWYCH Wdrożenie optymalnego systemu ochrony danych osobowych opiera się z jednej strony na dostosowaniu przedsiębiorstwa do wymogów wynikających z przepisów prawa, ale także na faktycznym zapewnieniu bezpieczeństwa przetwarzanym danym. Jest to skomplikowany i niejednokrotnie długi proces związany z koniecznością opracowywania skomplikowanej dokumentacji, wdrażania pracowników do nowych, nie znanych wcześniej procedur, zaangażowania kierownictwa i zarządu przedsiębiorstwa w zapewnienie odpowiedniego nadzoru nad procesami przetwarzania danych. Wdrożenie wymaga kompetencji w zakresie przepisów prawa, informatyki, organizacji i

zarządzania kadrami, bezpieczeństwa fizycznego i innych aspektów, które towarzyszą przetwarzaniu danych osobowych. SZKOLENIE PRACOWNIKÓW PRZETWARZAJĄCYCH DANE OSOBOWE Szkolenie pracowników jest niezbędnym elementem zarządzania systemem ochrony danych osobowych w przedsiębiorstwie. Poniżej przestawiamy problemy, z jakimi powinni zapoznać się pracownicy na co dzień przetwarzający dane osobowe: Dlaczego musimy chronić dane osobowe? Podstawowe pojęcia z zakresu ochrony danych osobowych. Rola (obowiązki) administratora danych osobowych, administratora bezpieczeństwa informacji, administratora systemu informatycznego oraz pracowników i współpracowników. Podstawowe zasady postępowania z danymi osobowymi. Procedury wewnętrzne dotyczące przetwarzania danych osobowych. Dokumentacja wewnętrzna i zasady jej prowadzenia. Prawa osób których dane są przetwarzane i wynikające z tego obowiązki przedsiębiorcy i pracowników. Podstawowe kompetencje Generalnego Inspektora Ochrony Danych Osobowych (GIODO) Zasady przeprowadzania kontroli przez GIODO. Konsekwencje nieprzestrzegania prawa i przepisy karne. Szkolenia powinny mieć charakter cykliczny ze względu na rotację kadry oraz konieczność stałej aktualizacji wiedzy. Nad właściwym szkoleniem pracowników powinien czuwać Administrator Bezpieczeństwa Informacji. AUDYT SYSTEMU OCHRONY DANYCH OSOBOWYCH Audyt systemu ochrony danych osobowych powinien dotyczyć zgodności systemu z aktualnymi przepisami prawa, dobrymi praktykami stosowanymi w przedsiębiorstwach o podobnej strukturze oraz stopnia optymalizacji przyjętych rozwiązań. Ważną kwestią jest rzetelność i skrupulatność prowadzonych prac, stąd najwłaściwsze wydaje się, aby przeprowadzali go specjaliści z niezależnej zewnętrznej firmy. Pozwala to także na wymagany w tym przypadku obiektywizm oraz niezbędną profesjonalną wiedzę dotyczącą standardów bezpieczeństwa danych. Audyt powinien zawierać analizę wszystkich procesów zachodzących w przedsiębiorstwie związanych z przetwarzaniem danych osobowych i dotyczyć aspektów prawnych, organizacyjnych oraz teleinformatycznych. Wynikiem audytu powinien być raport poaudytowy zawierający informacje dotyczące stanu systemu ochrony danych osobowych w przedsiębiorstwie wraz z protokołem rozbieżności oraz wnioskami i zaleceniami, co do niezbędnych zmian. OUTSOURCING OBOWIĄZKÓW ADMINISTRATORA BEZPIECZEŃSTWA INFORMACJI Przejęcie obowiązków spoczywających na Administratorze Bezpieczeństwa Informacji (ABI) przez zewnętrzną specjalistyczną firmę jest praktycznym rozwiązaniem zmierzającym do zapewnienia najwyższego stopnia bezpieczeństwa danych. Specjalistyczne firmy posiadają odpowiednie doświadczenie oraz merytoryczne przygotowanie do realizacji zadań, jakie powinien realizować ABI. Oto niektóre istotne zalety outsourcingu ABI:

Ochrona danych osobowych jest procesem, więc nadzór nad prawidłowym przetwarzaniem danych powinien być sprawowany stale i w sposób profesjonalny; Całość dokumentacji oraz niezbędnych procedur wewnętrznych przygotowuje zespół ekspertów posiadających doświadczenie; Wszystkie prace dotyczące przygotowania dokumentacji, wewnętrznych audytów, rejestracji zbiorów, opracowania procedur, aktualizacji dokumentacji, kontaktów z GIODO są zwykle realizowane w ramach abonamentu; Firma outsourcingowa będzie kontaktowała się z biurem GIODO oraz uczestniczyła w ewentualnych kontrolach prowadzonych przez ten Urząd; Przejęcie obowiązków ABI jest jednoznaczne ze stałą opieką nad przedsiębiorstwem; Niezależność od wewnętrznych struktur organizacyjnych daje gwarancję bezstronności podczas audytów i kontroli stanu ochrony danych osobowych. Administrator Bezpieczeństwa Informacji jest zobowiązany do nadzorowania przestrzegania obowiązków zabezpieczenia danych osobowych wynikających z ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.) oraz rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Pełnienie zadań Administratora Bezpieczeństwa Informacji dotyczy zadań określonych w art. 36 ust. 3 Ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2002 r., Nr 101, poz. 926 ze zm.) oraz powinno obejmować: stałe aktualizowanie polityki bezpieczeństwa, stałe aktualizowanie instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, pomoc w nadzorowaniu przestrzegania zasad określonych w polityce bezpieczeństwa oraz instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, pomoc w zarządzaniu upoważnieniami do przetwarzania danych osobowych oraz ewidencji osób upoważnionych, nadzorowanie procesu udostępniania dokumentów zawierających dane osobowe, przygotowywanie wniosków zgłoszeń rejestracyjnych do GIODO i dbanie o aktualizowanie już zarejestrowanych zbiorów danych, prowadzenie korespondencji z GIODO, opiniowanie wzorów dokumentów, w tym w szczególności odpowiednich klauzul w dokumentach dotyczących ochrony danych osobowych, asystowanie podczas kontroli GIODO. Opracowała firma Pin Consulting Sp. z o.o.

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres