Polityka bezpieczeństwa danych osobowych

Zgodnosc przetwarzanych danych osobowych z prawem

Polityka bezpieczeństwa danych osobowych

Dzisiaj kilka słów o tym jak stworzyć politykę bezpieczeństwa zgodną z przepisami prawa i zarządzać nią. Pamiętajmy jednak, że samo napisanie polityki bezpieczeństwa to jedynie początek. Zarządzanie bezpieczeństwem informacji w ogóle, a w tym bezpieczeństwem danych osobowych, to nie jest akt jednorazowy, ale proces, który trwa nieprzerwanie.

Na rynku dostępnych jest wiele wzorów polityki bezpieczeństwa, które są powielane przez różne firmy i niektóre z nich uzyskały już niemal status wzorów obowiązujących. Tak jednak nie jest! Jeśli chcemy stworzyć politykę bezpieczeństwa z prawdziwego zdarzenia, to dokument ten powinien być od początku napisany pod konkretny przypadek i uwzględniać specyficzne uwarunkowania panujące w określonym podmiocie. Tego nie da się zrobić poprzez proste wypełnienie zdefiniowanych przez kogoś fragmentów wzoru dokumentu.

Jak zatem stworzyć politykę bezpieczeństwa wymaganą prawem? Najprościej sięgnąć do źródła, czyli do ustawy o ochronie danych osobowych, a konkretnie do rozporządzenia MSWiA z 29.04.2004 „W sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.” Pełna treść rozporządzenia

Jak możemy przeczytać paragrafie 4 ww. rozporządzenia, polityka bezpieczeństwa zawiera w szczególności – a więc niewyłącznie, ale co najmniej – następujące elementy:

1) wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe;

2) wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych;

3) opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi;

4) sposób przepływu danych pomiędzy poszczególnymi systemami;

5) określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.

Jak widzimy powyżej, ustawodawca dość konkretnie narzucił nam, co polityka bezpieczeństwa zawierać powinna, a przy tym nie wskazał formy, w jakiej informacje te powinny być przedstawione, pozostawiając nam wolną rękę.

Pierwszą rzeczą, którą powinniśmy niewątpliwie zrobić przed przystąpieniem do napisania polityki bezpieczeństwa, to przeprowadzić audyt, a więc zidentyfikować zbiory danych osobowych, miejsca ich przetwarzania, programy służące do przetwarzania oraz stosowane zabezpieczenia techniczne i organizacyjne. Na końcu wreszcie, powinniśmy zgodnie z punktami 3 i 4 opisać strukturę zbiorów oraz wskazać sposób przepływu danych między systemami. Te dwie sprawy najczęściej budzą wiele wątpliwości i osoby przystępujące do tworzenia polityki najbardziej się ich obawiają – niepotrzebnie. Ale o tym za chwilę.

W tym miejscu warto zwrócić uwagę na to, że jakkolwiek byśmy polityki bezpieczeństwa nie napisali, to pamiętajmy, że później musimy nią zarządzać, a więc aktualizować jej elementy w sytuacji jakichkolwiek zmian i najlepiej zrobić to tak, abyśmy nie musieli polityki za każdym razem pisać od nowa! Warto zatem rozważyć przeniesienie elementów mogących podlegać zmianom do załączników, które możemy zaprezentować w formie raportów.

Dla późniejszego zarządzania taką dokumentacją warto stworzyć wykazy, które będziemy w stanie łatwo aktualizować. Pozwoli nam to nie tylko spełnić obowiązek ustawowy, ale przede wszystkim uzyskać sprawne narzędzie zarządzania poszczególnymi elementami.

Dobrym pomysłem wydaje się zastosowanie do tego celu specjalistycznego programu, jak np. ABI Administrator. Dzięki temu narzędziu będziemy mieli wszystkie elementy pod stałą kontrolą, a dzięki wewnętrznym relacjom w programie, łatwo będziemy mogli kontrolować wszystkie elementy powiązane.

Oto przykład jak mogłaby wyglądać polityka bezpieczeństwa odnosząca się do załączników lub bezpośrednio do programu ABI Administrator.

Polityka bezpieczeństwa – elementy wymagane

Ad. 1 wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe

Zobaczmy jak możemy w programie ABI Administrator stworzyć wykaz budynków i pomieszczeń a później nim zarządzać.

Polityka bezpieczeństwa - wykaz budynków i miejsc

ABI Administrator – wykaz budynków i miejsc

Jak widzimy powyżej program pozwala nam na założenie dowolnej liczby miejsc przetwarzania, a dzięki zastosowaniu struktury drzewiastej możemy definiować pewnego rodzaju pozycje wirtualne, jak np. dział, oraz miejsca fizyczne o dowolnym stopniu zagnieżdżenia, np.: budynek > pokój > część pokoju > szafa > półka w szafie itp.

Dodatkową korzyścią zastosowanego tutaj rozwiązania jest przypisanie do miejsc konkretnych technicznych środków zabezpieczeń, a więc spełnienie części warunków określonych w punkcie 5 rozporządzenia.

Warto zwrócić uwagę na kolumnę Zasoby, która pokazuje ile zasobów, a więc zbiorów danych czy programów w danej lokalizacji się znajduje. Ponieważ jest to zapisane w postaci hiperlinka, więc łatwo po kliknięciu od razu przejść do konkretnych zasobów.

Ad. 2 wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych

Przejście do zasobów de facto przenosi nas do wykazu zbiorów danych osobowych i programów użytych do ich przetwarzania, o których mowa w punkcie 2.

Polityka bezpieczeństwa - wykaz zbiorów

ABI Administrator – wykaz zbiorów

W jednym przejrzystym wykazie otrzymujemy wszystkie zbiory oraz programy. Dzięki mechanizmowi filtrowania możemy dowolnie przedstawić ten wykaz. Np. wybierając kategorię (zbiór) pracownicy łatwo dowiemy się, że zbiór ten przetwarzany jest w programach Płatnik, programie kadrowym oraz, że występuje w formie papierowej jako akta osobowe.

Podobnie jak w poprzednim przypadku, dzięki powiązaniom w programie możemy łatwo przeskoczyć do dowolnego elementu.

Ad. 4 sposób przepływu danych pomiędzy poszczególnymi systemami

Klikając np. w program Płatnik dowiemy się, że wymienia on dane z programem kadrowym. Dowiemy się także, że wymiana danych odbywa się jednokierunkowo, czyli Płatnik używa program kadrowy, ale sam nie jest przez żaden program wykorzystywany.

wymiana danych między systemami

ABI Aministrator – wymiana danych między systemami

Ad. 3 opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi

W tym miejscu warto wrócić do punktu 3, czyli konieczności opisania struktury zbiorów.

Samemu jest bardzo trudno dokładnie poznać strukturę bazy danych programów a to z tego powodu, że dostawcy oprogramowania nie dają nam często dostępu do bazy. Natomiast, warto za każdym razem zapytać dostawcę programu czy nie może nam udostępnić takich informacji na potrzeby polityki ochrony danych osobowych. Na szczęście producenci programów znają już ten temat i coraz częściej publikują takie dokumenty jawnie w internecie lub dołączają do standardowej dokumentacji. Np. Płatnik: http://www.platnik.info.pl/v1001001/dok/StrukturyDanych.pdf

Jeśli jednak z jakichś powodów mamy problem z uzyskaniem takiego dokumentu, to zawsze możemy sami wykonać zrzuty ekranów z programu i opisać pola, które zawierają dane osobowe.

Ad. 5 określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych

Przejdźmy teraz do naszych kolejnych obowiązków opisanych w punkcie 5. O środkach technicznych wspomniane zostało przy okazji omawiania miejsc przetwarzania. Ale co ze środkami organizacyjnymi?

Powinniśmy opisać tutaj wszelkie zabezpieczenia organizacyjne, jakie zastosowaliśmy w organizacji, aby zapewnić właściwe bezpieczeństwo danym osobowym. Do typowych kwestii poruszanych w tym punkcie należy informacja o tym czy został powołany ABI (administrator bezpieczeństwa informacji) a jeśli tak, to co należy do jego zadań i kompetencji.

Kolejną sprawę zawsze pojawiającą się w polityce bezpieczeństwa jest wykazanie, że do przetwarzania danych osobowych dopuszczone zostały tylko osoby upoważnione.

Integralną częścią programu ABI Administrator jest zarządzanie dokumentami (różnymi) w tym także upoważnieniami i oświadczeniami o zachowaniu poufności. Zazwyczaj jest z tym duży problem, ponieważ lista pracowników jest dynamiczna – jedni odchodzą, inni przychodzą.

W programie na jednym ekranie możemy zobaczyć wszystkie upoważnienia wystawione dla osób przetwarzających, wraz ze statusem akceptacji dokumentu oraz z informacją o czasie obowiązywania i przypisanym zasobem.

Polityka bezpieczeństwa - wykaz osób upoważnionych

ABI Administrator – wykaz dokumentów i osób upoważnionych

Jak wszystkie pozostałe raporty także i ten jest w pełni interaktywny, a więc kliknięcie w dokument powoli nam na jego podejrzenie, a kliknięcie w osobę przekieruje nas do szczegółów, pokazujących dokumenty i zasoby związane z tą osobą.

Polityka bezpieczeństwa - osoby

ABI Administrator – osoby i grupy

Łatwo też wygenerować z programu oraz prowadzić rejestr osób, który pokazuje do jakiej grupy dana osoba należy oraz komu podlega. Kliknięcie w imię i nazwisko pokaże nam szereg dodatkowych informacji, jak np. zatwierdzone lub oczekujące dokumenty czy zasoby (zbiory i programy), do których dana osoba została upoważniona.

Reasumując.

Polityka bezpieczeństwa, jako dokument formalny wcale nie musi być bardzo rozbudowana – może mieścić na 1-2 stronach. Ważne jest natomiast, aby dokument ten nie był tworzony tylko pod kątem spełnienia doraźnych obowiązków wynikających z ustawy, ale żeby stał się konkretnym narzędziem kształtującym procesy ochrony danych osobowych w firmie czy instytucji.

Polityka bezpieczeństwa może składać się z dokumentu głównego oraz załączników, którymi będą wykazy przedstawione powyżej. Wydaje się także, że nic nie stoi na przeszkodzie, aby z dokumentu głównego odsyłać wprost do raportów programu ABI Administrator. W takim przypadku należy oczywiście wskazać w dokumencie, że ABI Administrator jest programem służącym do prowadzenia ewidencji i zarządzania nimi.

Tutaj zamieściliśmy wzór polityki bezpieczeństwa w formacie PDF, zawierającej elementy obowiązkowe i odnoszącej się w treści bezpośrednio do programu ABI Administrator.

Więcej informacji o programie dla ABI – ABI Administrator >