DOKUMENTACJA OCHRONY DANYCH OSOBOWYCH dr hab. Mariusz Jagielski Wydział Prawa i Administracji DOKUMENTACJA OCHRONY DANYCH OSOBOWYCH dr hab. Mariusz Jagielski

Jakie dokumenty, od kiedy i na kiedy? a. Polityka bezpieczeństwa informacji – 2004 r.; b. Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych – 2004 r.;

c. Indywidualne upoważnienia do przetwarzania danych osobowych nadane przez administratora każdej osobie, która bierze udział w procesie przetwarzania danych osobowych – 2004 r.; d. Potwierdzenie zobowiązania do zachowania danych oraz sposobu ich zabezpieczenia w tajemnicy – 2004 r.; e. Ewidencja osób upoważnionych do przetwarzania danych osobowych – 2004 r.;

f. Plan sprawdzeń zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych – nowe 2015! – niezwłocznie; g. Programy poszczególnych sprawdzeń zaplanowanych zgodnie z planem sprawdzeń – nowe 2015! – zgodnie z planem sprawdzeń, na co najmniej 7 dni przed podjęciem planowanych czynności;

h. Alternatywnie (w zależności od tego czy został powołany ABI): Jest ABI: Sprawozdania z poszczególnych sprawdzeń – nowe 2015! – najpóźniej 30 dni po przeprowadzeniu sprawdzenia; Brak ABI: Dokumentacja poszczególnych sprawdzeń – nowe 2015! – niezwłocznie po przeprowadzeniu sprawdzenia;

i. Potwierdzenie zapoznania z przepisami o ochronie danych osobowych – nowe 2015! – niezwłocznie.

Ad. a) Polityka bezpieczeństwa Musi być na piśmie Stanowi połączenie dokumentu programowego i prawnego – ma mieć charakter opisowy, nie tylko wyjaśniać zasady, ale też przekonywać do ich stosowania.

Charakter polityki bezpieczeństwa Polityka bezpieczeństwa powinna odnosić się całościowo do problemu zabezpieczenia danych osobowych u administratora danych tj. zarówno do zabezpieczenia danych przetwarzanych tradycyjnie jak i danych przetwarzanych w systemach informatycznych.

Szczególna treść polityka bezpieczeństwa 1. Określenie miejsc, zbiorów i systemów informatycznych, w których przetwarzane są dane osobowe, opis ich struktury oraz wzajemnych powiązań (sposobu przepływu danych);

2. Ustanowienie zasad i reguł postępowania, które należy stosować, aby właściwie wykonać obowiązki administratora danych w zakresie ich zabezpieczenia (w szczególności chodzi o zapewnienie poufności, integralności i rozliczalności).

Zakres określa … §4 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r., w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100 poz. 1024)

Ad. b) Instrukcja Musi być na piśmie Stanowi zestaw procedur, które należy stosować – czyli jest wewnętrznym aktem prawnym.

Charakter instrukcji Odnosi się do danych przetwarzanych w systemie informatycznym (nie dotyczy przetwarzania tradycyjnego)

Szczególna treść instrukcji Poszczególne procedury: nadawania uprawnień; uwierzytelniania; rozpoczęcia, zawieszenia i zakończenia pracy; tworzenia kopii zapasowych; procedury wykonywania przeglądów i konserwacji; itd. ….

Zakres określa … §5 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r., w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100 poz. 1024)

Ad. c) Upoważnienia do przetwarzania danych osobowych Każda osoba biorąca udział w procesie przetwarzania musi być zidentyfikowana i otrzymać indywidualne upoważnienie; Upoważnienie nie może być blankietowe – musi z niego wynikać jakie uprawnienia w zakresie przetwarzania ma upoważniony.

Ad. d) Zobowiązanie do zachowania danych oraz sposobu ich zabezpieczenia w tajemnicy Ma charakter indywidualny (podobnie jak upoważnienie); W praktyce najprościej połączyć je z upoważnieniem do przetwarzania danych osobowych.

Ad. e) Ewidencja upoważnień Powinna zapewnić orientację w zakresie tego kto do jakich zasobów danych ma dostęp. UWAGA! Wdrożyć procedury aktualizacyjne i opisać je w Polityce bezpieczeństwa.

Ad. f) Plan sprawdzeń – nowe 2015! Nowelizacja uodo zobowiązała administratorów do dokonywania okresowych samokontroli w zakresie zapewnienia przestrzegania przepisów o ochronie danych osobowych. Oficjalna nazwa - sprawdzenia

Częstotliwość i terminy - nowe 2015! Plan sprawdzeń jest przygotowany na maksimum 1 rok - w tym czasie minimum 1 pełne sprawdzenie. Plan musi być przedstawiony administratorowi na 2 tygodnie przed rozpoczęciem sprawdzenia. Można sprawdzać się częściej – minimalny czasookres planu to 1 kwartał.

Treść - nowe 2015! Plan sprawdzeń określa: przedmiot poszczególnych sprawdzeń, zakres czynności, które będą podjęte w toku sprawdzenia oraz termin przeprowadzenia sprawdzenia.

Możliwości - nowe 2015! Można zaplanować jedno całościowe sprawdzenie lub kilka sprawdzeń cząstkowych. Przykładowo, dotyczących poszczególnych systemów (np. monitoring wizyjny), jednostek (np. kadry) lub czynności przetwarzania (np. udostępnianie danych).

Ad. g) Programy poszczególnych sprawdzeń – nowe 2015! Dla każdego sprawdzenia określonego planem przygotowuje się program sprawdzenia, który określa: zakres czynności oraz sposób ich dokumentowania.

Zakres czynności - nowe 2015! Jakie elementy systemu przetwarzania będą podlegać sprawdzeniu.

Metody dokumentowania - nowe 2015! 1) notatki z czynności; 2) protokoły odebrania ustnych wyjaśnień; 3) protokoły z oględzin; 4) kopie otrzymanych dokumentów. Sposób dokumentowania może być zarówno elektroniczny, jak i „papierowy”.

Terminy - nowe 2015! Zgodnie z planem sprawdzeń, na co najmniej 7 dni przed podjęciem planowanych czynności

Ad. h) Sprawozdanie// //dokumentacja sprawdzenia – nowe 2015! Dokument zestawiający wyniki sprawdzenia. Szczegóły: art. 36c uodo.

W skrócie - nowe 2015! wykaz podjętych czynności; opis stanu faktycznego stwierdzonego w toku sprawdzenia; stwierdzone przypadki naruszenia przepisów; planowane lub podjęte działania przywracające stan zgodny z prawem.

Z ABI - nowe 2015! Plan sprawdzeń, program sprawdzeń i sprawozdania z poszczególnych sprawdzeń przygotowuje ABI (formalnie dla administratora). Termin przygotowania sprawozdania – 30 dni od zakończenia sprawdzenia.

Bez ABI - nowe 2015! Plan sprawdzeń i programy poszczególnych sprawdzeń przygotowuje sam administrator. Zamiast sprawozdania przygotowuje dokumentację sprawdzeń (na potrzeby kontroli GIODO). Termin przygotowania dokumentacji sprawdzenia – niezwłocznie.

Ad. i) Potwierdzenie zapoznania z przepisami o ochronie danych osobowych – nowe 2015! Kto? Wszystkie osoby, które zostały upoważnione do przetwarzania danych; Jak? Brak wskazania – decyduje administrator

Co warto? 1. Dołączyć odpowiednie oświadczenie do upoważnienia do przetwarzania danych. (upoważnienie do przetwarzania danych – zobowiązanie do zachowania poufnosci – oświadczenie o zapoznaniu się z przepisami) 2. Uwzględnić w ramach sprawozdania//dokumentacji ze sprawdzenia, czyli krótkie szkolenie w ramach samokontroli - nowe 2015!

dr hab. Mariusz Jagielski Dziękuję za uwagę dr hab. Mariusz Jagielski mariusz.jagielski@us.edu.pl