czwartek, 11 maja 2017

Polityka bezpieczeństwa danych osobowych w NGO



Elementy składowe polityki bezpieczeństwa

Szczegółowe wytyczne do opracowania polityki bezpieczeństwa znajdziemy w Rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.

Zgodnie z tym, przydługim w nazwie, rozporządzeniem, w polityce bezpieczeństwa muszą znaleźć się następujące informacje:
  1. dotyczące pomieszczeń w których przetwarzane są dane osobowe,
  2. „wykaz zbiorów danych osobowych” – czyli jakie zbiory prowadzimy,
  3. wymienienie programów stosowanych do przetwarzania danych (np. MS Office),
  4. „opis struktury zbiorów danych” – czyli opis tabel zawierających zbiory (np.: imię, nazwisko, data ur., adres mejlowy, adres zamieszkania, podpis itd.)
  5. „sposób przepływu danych pomiędzy poszczególnymi systemami” – czy wysyłamy w zamkniętej sieci lokalnej, czy online, czy przenosimy na nośnikach fizycznych (pendrive),
  6.  wymienienie zabezpieczeń danych:
  •  technicznych (pomieszczenia, oprogramowanie),
  •  organizacyjnych (dostęp konkretnych osób, ewidencja).


Osoby odpowiedzialne

Zgodnie z przepisami, w ramach systemu ochrony danych osobowych możemy wyodrębnić trzy terminy:
  • administrator danych,
  • administratora bezpieczeństwa informacji (ABI),
  • administrator systemów informatycznych (ASI),

Ten pierwszy jest funkcją obligatoryjną, aczkolwiek jest nim po prostu sama organizacja przetwarzająca dane. Administratorem danych nie jest organ (np.: zarząd) albo konkretny pracownik, tylko właśnie sama osoba prawna (stowarzyszenie, fundacja). 

Jeżeli w ramach zarządzania danymi, obowiązki ochrony danych osobowych pełni konkretna osoba to ona będzie z kolei, administratorem bezpieczeństwa informacji (ABI). Jest to jednak funkcja fakultatywna, nie ma obowiązku powierzać ochrony danych konkretnej osobie. Jeżeli nie wprowadzimy ABI, to odpowiedzialnym za ochronę i ewentualne naruszenia zasad ochrony danych będzie organizacja, czyli pośrednio zarząd – jako generalnie odpowiedzialny za działania osoby prawnej. W załączonym poniżej wzorze zastosowałem najprostszy system ochrony = brak ABI. Co oznacza, że jego wszystkie obowiązki wykonuje sam administrator = organizacja = zarząd.

Trzecia kategoria, z którą możemy się spotkać w przypadku ochrony danych osobowych to: administrator systemów informatycznych (ASI). To również jest funkcja fakultatywna, nieobowiązkowa. W zasadzie nie wynika nawet z ustawy, a z praktyki stosowania jej przepisów. Jest to po prostu „informatyk”, konkretna osoba sprawująca pieczę nad systemem informatycznym. Jeżeli jej nie ma w organizacji, to obowiązuje taki sam schemat jak przy ABI (obowiązki wykonuje sam administrator = organizacja = zarząd).

Podsumowując, w najprostszym schemacie nie ma obowiązku powoływania ABI i ASI, a administratorem danych jest sama organizacja.

Podsumowanie

Dwie podstawowe konkluzje są następujące. Politykę bezpieczeństwa musi przyjąć prawie każda organizacja, której działania są zorganizowane i kierowane na zewnątrz (wiąże się to z gromadzeniem danych osobowych w prawie każdym przypadku). Po drugie polityka wcale nie musi być bardzo rozbudowanym dokumentem, jeżeli gromadzimy dane w ograniczonym zakresie. W szczególności nie jest konieczne powoływanie ABI, ASI i tworzenie dokumentów z tym związanych.


W załączonym poniżej wzorze, przygotowałam bardzo prostą politykę bezpieczeństwa. Dane gromadzone w sposób w niej opisany dotyczą tylko tworzenia list wolontariuszy i darczyńców. pozwoliło to ograniczyć do minimum ilość przepisów. Niestety rzeczywistość nie jest tak prosta, i zwykle, po krótkiej analizie, możemy dojść do wniosku, że obszary w których dane przetwarzamy są dość różne i skomplikowane. Wówczas polityka musi to odzwierciedlać, a jej treść będzie dużo bardziej rozbudowana. Dlatego załączony wzór, proszę traktować jako podstawę na której można dopiero zacząć pracę i nanosić konkretne rozwiązania stosowane w organizacji.

Brak komentarzy:

Prześlij komentarz