czwartek, 29 czerwca 2017

RODO, czyli co?


RODO, czyli polski skrót od rozporządzenia o ochronie danych, a dokładnie od Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE. 

Do tej pory europejski system ochrony danych osobowych oparty był na dyrektywie (Dyrektywa Parlamentu Europejskiego i Rady 95/46/WE z dnia 24 października 1995 r.), co oznaczało w praktyce, że każdy kraj członkowski ustalał indywidualnie swoje przepisy ochrony danych kierując się wytycznymi zawartymi w tej dyrektywie. Obecnie uchwalone rozporządzenie tym różni się od dyrektywy, że jest stosowane wprost, tzn. bez konieczności wdrażania go w krajowy system prawny. W praktyce zapewni to takie same przepisy ochrony danych osobowych na całym obszarze UE oraz możliwość bezpośredniego powoływania się na nie przed krajowymi organami. Głównym powodem zmian jest próba nadążania za rewolucją technologiczną i dostosowanie przepisów do czasów współczesnych (dyrektywa była uchwalona w latach 90-tych, co jest epoką w świecie cyfrowym).


środa, 7 czerwca 2017

Instrukcja zarządzania systemem informatycznym

Kontynuując temat z poprzednich wpisów (o polityce bezpieczeństwa czytaj tutaj, a o danych osobowych tutaj), postaram się przedstawić podstawy budowy i tworzenia instrukcji zarządzania systemem informatycznym w NGO.


Szczegółowe wytyczne do opracowania instrukcji zarządzania systemem informatycznym znajdziemy w Rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024, dalej jako rozporządzenie).

Zgodnie z § 5 rozporządzenia, w instrukcji zarządzania systemem informatycznym muszą znaleźć się informacje o:
  1. dostępie do danych osobowych, tj:
    • określenie w jaki sposób będziemy nadawać uprawnienia do przetwarzania danych,
    • jak będziemy rejestrować osoby uprawnione w systemie informatycznym,
    • kto będzie odpowiedzialny za te czynności;
  2. sposobach uwierzytelnienia,
  3. procedurach rozpoczęcia, zawieszenia i zakończenia pracy z systemem,
  4. tworzeniu kopii zapasowych zarówno zbiorów danych jak i programów do nich stosowanych,
  5. przechowywaniu: elektronicznych nośników z danymi osobowymi (np.: cd-rom, pendrive itp.) i kopii zapasowych z pkt. 4), tj:
    • sposobie przechowywania,
    • miejscu przechowywania,
    • okresie przechowywania;
  6. zabezpieczeniu systemu przed:
    • złośliwym oprogramowaniem,
    • awarią;
  7. sposobie ewidencjonowania odbiorców, chyba że zbiór jest ogólnie dostępny
  8. przeglądach i konserwacji systemu i nośników informacji.