Kontynuując wątek wymaganej przez prawo dokumentacji z zakresu ochrony danych osobowych, osobny wpis należałoby poświęcić Polityce Bezpieczeństwa. Stanowiąc swoistą wewnętrzną „konstytucję” ochrony danych jest najważniejszym dokumentem regulującym kwestie ochrony danych osobowych u określonego Administratora Danych Osobowych.

„Cóż tam, panie, w Polityce?”

Stosownie do treści § 4 Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, Polityka Bezpieczeństwa zawierać powinna w szczególności:

  1. wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe;
  2. wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych;
  3. opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi;
  4. sposób przepływu danych pomiędzy poszczególnymi systemami;
  5. określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.

Jasne? Chyba nie do końca… Odnieśmy się więc kolejno do każdego z tych elementów.

Ad. 1. Polityka powinna szczegółowo wskazywać w jakich miejscach dochodzi do przetwarzania danych osobowych. Pamiętać trzeba więc przy tym, że pojęcie przetwarzania danych jest pojęciem szerokim i pomimo, iż sugerować by mogło, że chodzi wyłącznie o „aktywne” działanie na danych osobowych obejmuje również samo przechowywanie danych (pisałem już o tym tutaj).

Wobec powyższego wykaz powinien zawierać nie tylko miejsca, w których wykonywana jest praca na danych osobowych, w tym np. pomieszczenia, w których znajdują się stacje robocze, ale również wszelkiego rodzaju archiwa, serwerownie, czy pomieszczenia służące przechowywaniu dokumentacji. GIODO w swoich wytycznych wskazuje również, aby Polityka uwzględniała miejsca przechowywania uszkodzonych nośników danych osobowych.

Ad. 2.

Wykaz zbiorów powinien uwzględniać nie tylko ich nazwę, ale również lokalizację i miejsca dostępu. Nadto Polityka, zgodnie z treścią przepisu § 4 pkt 2 Rozporządzenia, wskazywać winna w tym miejscu systemy informatyczne, za pośrednictwem których możliwy jest dostęp do danych i przeprowadzanie na nich dalszych operacji.

Ad. 3.

W opisie struktury zbiorów przetwarzanych danych osobowych Administrator Danych winien wskazać w szczególności zakres (rodzaj) danych gromadzonych w zbiorach. Opis powinien zawierać więc informację o kategoriach danych osobowych, które są w nim przetwarzane, przy czym obok wyliczenia kategorii danych (np. imię i nazwisko, adres, adres e-mail, numer telefonu, PESEL itp.) zawierać może np. informację o wyrażonych zgodach na przetwarzanie danych osobowych.

Rozporządzenie nakłada na Administratora Danych obowiązek ujęcia w treści Polityki również informacji dotyczącej relacji pomiędzy poszczególnymi polami informacyjnym w strukturze zbiorów danych. Chodzi o sytuację, gdy docierając do jednej z danych, np. numeru telefonu, poprzez istniejące powiązania obecne np. w systemie informatycznym, możliwe jest dotarcie do pozostałych danych konkretnej osoby.

Ad. 3.

Opis sposobu przepływu danych pomiędzy wykorzystywanymi systemami informatycznymi winien przedstawiać zasady i zakres współpracy pomiędzy systemami oraz relacje, jakie występują pomiędzy danymi zgromadzonymi w zbiorach, do przetwarzania których systemy są wykorzystywane. W opisie zawrzeć należy również informacje o częstotliwości przepływu danych i wskazanie, czy następuje to w sposób automatyczny, półautomatyczny, czy manualny.

W tym zakresie, najczęściej Administrator Danych zmuszony będzie skorzystać ze wsparcia Działu IT.

Opis przepływu danych może zostać oczywiście przedstawiony w formie graficznej, co z pewnością ułatwi zrozumienie zachodzących korelacji. Pamiętać należy, że istotnym wymogiem stawianym dokumentacji z zakresu ochrony danych osobowych jest jej zrozumiałość i czytelność.

Ad. 5.

Polityka Bezpieczeństwa musi zgodnie z Rozporządzeniem określać wszelkie stosowane przez Administratora Danych środki służące zabezpieczeniu danych osobowych. Mowa tutaj w szczególności o stosowanych zabezpieczeniach technicznych, do których należą np. zamykane na klucz szafy, drzwi ogniotrwałe, alarmy, a także wszelkie inne środki ochrony fizycznej. Poza tym, Polityka w tym miejscu opisywać powinna procedury, a więc środki organizacyjne, związane z ochroną danych osobowych takie jak postępowanie z dokumentacją zawierającą dane osobowe, w tym np. ograniczenia w zakresie dostępu do określonych pomieszczeń dla niektórych kategorii pracowników lub sposoby niszczenia dokumentów zawierających dane osobowe.

Czy to już wszystko?

Pamiętajmy, że przywołana powyżej lista to jedynie przykładowe wyliczenie elementów Polityki Bezpieczeństwa, dodatkowo z uwagi na blogową formułę niniejszego tekstu, opatrzone wyłącznie krótkim komentarzem, sygnalizującym najważniejsze kwestie z tym związane. Polityka jest kluczowym aktem wewnętrznym regulującym ochronę danych osobowych w organizacji i winna być skonstruowana w taki sposób, aby w połączeniu z Instrukcją Zarządzania Systemem Informatycznym, kompleksowo omawiać zagadnienia z tym związane.

O samej Instrukcji oraz relacjach pomiędzy tymi dokumentami, już niebawem!