Bezpłatna aplikacja na komputer – MM News... i jestem na bieżąco! Sprawdzam

OPUBLIKOWANO: LISTOPAD 2011

ZAKTUALIZOWANO: WRZESIEŃ 2014


Dane osobowe, ABI i systemy informatyczne w przedszkolach niepublicznych


Opracował: Adam Myziak, konsultant, audytor, specjalista w dziedzinie ochrony danych osobowych, inspektor w Biurze GIODO w latach 2000-2010


Podstawa prawna:


  • Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. z 2004 r. Nr 100 poz. 1024),
  • Ustawa o ochronie danych osobowych (t.j. Dz.U. z 2014 r. poz. 1182).


Tak jak przetwarzanie danych w dzisiejszych czasach nie może obejść się bez systemu informatycznego, tak administrator danych z prawdziwego zdarzenia nie jest w stanie obejść się bez administratora bezpieczeństwa informacji.


Administrator bezpieczeństwa informacji


Administrator bezpieczeństwa informacji (ABI) jest osobą, która – jak sama nazwa wskazuje – jest odpowiedzialna za kreowanie i zarządzanie systemem bezpieczeństwa informacji w firmie czy instytucji. Wprowadzenie w Polsce Ustawy o ochronie danych osobowych (dalej: Ustawa) nałożyło na podmioty przetwarzające te dane obowiązek wyznaczenia administratora bezpieczeństwa informacji. Z czasem zrodziło to mylne przekonanie, że ABI w ramach swoich obowiązków może i powinien zajmować się wyłącznie ochroną danych osobowych. Oczywiście ten zakres pracy administratora bezpieczeństwa informacji jest również bardzo istotny. Nie wolno jednak zapominać, że właściwe zabezpieczenie danych osobowych jest ściśle powiązane z bezpieczeństwem innych informacji, takich jak np. dane finansowe czy biznesowe.


Bardzo często zdarza się, że funkcja ABI jest powierzana osobie odpowiedzialnej za kadry lub informatykowi. Z uwagi na fakt, iż ani w jednym, ani w drugim przypadku nie mamy do czynienia z osobą wyspecjalizowaną w zarządzaniu bezpieczeństwem informacji, rozwiązanie takie nie wydaje się być najwłaściwsze. ABI powinien dysponować dobrą orientacją w zakresie zagadnień prawnych związanych z przetwarzaniem danych, jak również technologii informatycznych, wykorzystywanych do przetwarzania danych. ABI nie musi być pracownikiem etatowym. Możliwe jest skorzystanie z usług firmy zewnętrznej lub osoby zatrudnionej np. na podstawie umowy-zlecenia.


Upoważnienia do przetwarzania danych osobowych


Każda osoba przed dopuszczeniem do przetwarzania danych osobowych musi otrzymać stosowne upoważnienie od administratora danych, czyli w tym przypadku od dyrektora przedszkola. Wydanie upoważnienia należy poprzedzić odpowiednim przeszkoleniem takiej osoby w ramach obowiązujących w placówce przepisów oraz procedur związanych z bezpieczeństwem danych osobowych. Po zapoznaniu się z wszelkimi niezbędnymi informacjami pracownik dopuszczony do przetwarzania danych osobowych powinien podpisać oświadczenie, w którym zobowiązuje się do przestrzegania obowiązujących przepisów zewnętrznych i wewnętrznych oraz do zachowania w tajemnicy wszelkich danych (z wyjątkiem tych jawnych), do których ma dostęp w ramach pełnionych przez siebie obowiązków służbowych.


Dopilnowanie właściwej realizacji wskazanych powyżej zadań spoczywa w całości na barkach administratora bezpieczeństwa informacji. Obowiązkiem ABI jest również prowadzenie ewidencji osób upoważnionych do przetwarzania danych osobowych, zawierającej takie dane jak: imię i nazwisko, data nadania i ustania upoważnienia, zakres upoważnienia oraz identyfikator użytkownika w systemie informatycznym.


Systemy informatyczne


Paradoksalnie rozważania na temat przetwarzania danych osobowych w systemach informatycznych należy rozpocząć od „rozebrania” na części pierwsze dwóch podstawowych dokumentów wymaganych przez Ustawę, a ściślej rzecz biorąc przez Rozporządzenie MSWiA z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (dalej: Rozporządzenie). Chodzi tu o Politykę bezpieczeństwa informacji oraz Instrukcję zarządzania systemem informatycznym, wykorzystywanym do przetwarzania danych osobowych.


Polityka bezpieczeństwa informacji


Polityka bezpieczeństwa informacji jest dokumentem, na który składa się zestaw postanowień i wytycznych regulujących sposób zarządzania bezpieczeństwem informacji, w tym również danych osobowych. Zgodnie z wymaganiami Ustawy polityka bezpieczeństwa musi zawierać:


  • wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe,
  • wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych,
  • opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi,
  • sposób przepływu danych pomiędzy poszczególnymi systemami,
  • określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.