Dokumentacja ABI

Dokumentacja ABI to zestaw dokumentów, który powstaje w celu właściwej ochrony zbiorów chronionych. Obowiązek stworzenia dokumentacji wynika wprost z ustawy o ochronie danych osobowych, która nakłada na Administratora Danych Osobowych obowiązek prowadzenia dokumentacji opisującej sposób przetwarzania danych oraz ich zabezpieczenia.

Dokumentacja ABI
Obowiązek prowadzenia prawidłowej dokumentacji spoczywa na kierowniku jednostki organizacyjnej chyba, że powoła on Administratora Bezpieczeństwa Informacji, który wówczas przejmuje te obowiązki.

Polityka Bezpieczeństwa

Centralnym elementem dokumentacji ABI jest Polityka Bezpieczeństwa, która powinna zawierać:

  • wykaz budynków, pomieszczeń i obszarów, gdzie dane osobowe są przetwarzane
  • wykaz zbiorów danych osobowych wraz z programami służącymi do ich przetwarzania
  • opis struktury danych i powiązań między nimi
  • sposób przepływu danych pomiędzy systemami
  • określenie środków organizacyjnych i technicznych zastosowanych do zapewniania bezpieczeństwa danych (poufności, integralności i rozliczalności)

Instrukcja Zarządzania Systemem Informatycznym

Kolejnym niezwykle ważnym dokumentem wchodzącym w skład wymaganej dokumentacji ABI jest Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. Instrukcja ta zawiera:

  • procedury nadawania uprawnień i ich rejestrowania
  • metody i środki uwierzytelniania oraz procedury związane z ich zarządzaniem
  • procedury rozpoczęcia, zawieszenia i zakończenia pracy przez użytkowników systemu
  • procedury tworzenia kopii zapasowych
  • sposób, miejsce i okres przechowywania nośników informacji i ich kopii
  • sposób zabezpieczenia oprogramowania przed wirusami
  • procedury wykonywania przeglądów i konserwacji systemów oraz nośników

Regulaminy, oświadczenia, umowy

Dwie powyższe pozycje traktowane są jako obowiązkowe. Jednak do prawidłowego ich stworzenia, a co ważniejsze do wdrożenia polityki bezpieczeństwa w życie, niezbędny będzie zestaw dokumentów dodatkowych, do których zaliczyć można wszelkiego rodzaju oświadczenia (np. oświadczenia o zachowaniu poufności), pełnomocnictwa, umowy (np. umowę o powierzeniu danych), regulaminy oraz protokoły (np. zniszczenia nośników danych).

Klauzule Informacyjne

Dla spełniania tzw. obowiązku informacyjnego niezbędne będą specjalne klauzule dostępne dla zainteresowanych w różnych miejscach, dotyczące stosowanej polityki bezpieczeństwa. Mogą to być np. klauzule dołączane do formularzy internetowych, informujące o zakresie pozyskiwanych danych i sposobie ich wykorzystania, klauzule dostępne dla petentów urzędu dostępne na tablicy ogłoszeń czy wreszcie popularne klauzule o przetwarzaniu danych na potrzeby procesów rekrutacyjnych w ramach działań HR. Generalnie, każda osoba, której dane przetwarzamy powinna być o tym fakcie poinformowana w jednoznaczny i zrozumiały sposób.