Bezpłatna aplikacja na komputer – MM News... i jestem na bieżąco! Sprawdzam

OPUBLIKOWANO: CZERWIEC 2013
ZAKTUALIZOWANO: 14 STYCZNIA 2018

 

Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych

 

Opracował: Łukasz Zegarek, prawnik, ekspert kancelarii prawnej Lex Artist, specjalizujący się w dziedzinie ochrony danych osobowych

 

 

Podstawa prawna:

 

  • Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2016 poz. 922),
  • Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. z 2004 r. Nr 100 poz. 1024).

 

Administrator danych osobowych – przedszkole reprezentowane przez dyrektora placówki – jako podmiot decydujący o celach i środkach przetwarzania tych danych, jest obowiązany do prowadzenia dokumentacji. Jeżeli przetwarza dane, wykorzystując system informatyczny, na dokumentację tę będzie składać się, obok polityki bezpieczeństwa, także instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. Wykorzystywanie systemu informatycznego nie oznacza nic innego jak korzystanie w miejscu pracy z komputera, co jest obecnie raczej standardem. Jest to powszechne szczególnie w placówkach oświatowych, które przetwarzają dane osobowe uczniów i wychowanków przy użyciu systemów informatycznych, jak choćby SIO.

 

Co składa się na instrukcję zarządzania systemem informatycznym?

 

Na początku dokumentu warto umieścić adnotację o tym, jaki jest cel stworzenia instrukcji oraz jaka jest jej podstawa prawna. Głównym celem przyświecającym przygotowaniu i wdrożeniu dokumentu jest określenie zasad właściwego zarządzania systemem informatycznym, tak by przetwarzane dane były bezpieczne, a więc zapewnienie zgodności działania danej placówki z Ustawą o ochronie danych osobowych oraz z jej rozporządzeniami wykonawczymi. W § 5 Rozporządzenia w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych zostało wymienionych osiem zagadnień, które dyrektor placówki oświatowej jest zobowiązany poruszyć w instrukcji.

 

  1. Procedury nadawania uprawnień

 

W tym rozdziale instrukcji należy opisać, jak wygląda proces przygotowania użytkownika do pracy w systemie informatycznym. Trzeba określić, kto jest odpowiedzialny za nadawanie uprawnień, np. dyrektor, informatyk albo starosta/burmistrz/wójt w przypadku nadawania uprawnień dostępu do SIO, oraz jakie warunki musi spełnić pracownik, by uprawnienia te otrzymać. Zazwyczaj warunkiem do otrzymania uprawnienia jest nadane wcześniej upoważnienie do przetwarzania danych osobowych. Mowa tu o systemie informatycznym, więc przydzielanie takich uprawnień jest jednoznaczne z nadaniem użytkownikowi systemu indywidualnego identyfikatora – loginu do systemu – i określeniem sposobu tworzenia hasła. Określa się również, kto w placówce jest odpowiedzialny za prowadzenie rejestru nadanych uprawnień, który powinien stanowić załącznik do instrukcji.

 

  1. Stosowane metody i środki uwierzytelnienia oraz procedury zarządzania nimi i użytkowania

 

Uwierzytelnienie jest procesem, który ma na celu uzyskanie pewności, że dana osoba jest w rzeczywistości tą, za którą się podaje. Dlatego w tym miejscu opisuje się, jakie zastosowane zostały środki ochrony systemu przed dostępem osób nieuprawnionych. Najczęściej jest to tzw. logowanie na hasło. Oznacza to, że każdemu użytkownikowi systemu jest w sposób jednoznaczny przypisany identyfikator, o którym pisano powyżej. Nadany identyfikator nie powinien być zmieniany bez wyraźnej przyczyny, za wszelkie operacje wykonane pod tym identyfikatorem odpowiada osoba, do której jest przypisany. Dostęp do danych osobowych przetwarzanych w systemie może mieć miejsce wyłącznie po podaniu identyfikatora i właściwego hasła. Hasło stworzone według wytycznych wskazanych w polityce bezpieczeństwa i instrukcji zarządzania systemem informatycznym składa się z co najmniej ośmiu znaków i zawiera małe i wielkie litery oraz cyfry lub znaki specjalne – wynika to z Rozporządzenia. Hasło może obejmować dowolną kombinację liter i cyfr. Nie powinno jednak być zbyt oczywiste, jak np. imię użytkownika. Istotne jest też wymuszenie na użytkownikach, aby zmieniali hasło przynajmniej co 30 dni.

 

  1. Procedury rozpoczynania, zawieszania i zakończenia pracy

 

Opisywanie, w jaki sposób rozpoczynamy czy kończymy pracę przy komputerze, może się wydać niepotrzebne i banalne. O ile dogłębne analizowanie tych czynności jest zbędne, o tyle warto przedstawić w tym miejscu kilka niezwykle istotnych informacji. Dyrektor przedszkola powinien zaznaczyć w tej części instrukcji, że rozpoczęcie pracy po uruchomieniu komputera wymaga wprowadzenia identyfikatora i hasła w sposób minimalizujący ryzyko podejrzenia przez osoby nieupoważnione oraz ogólnego stwierdzenia poprawności działania systemu. Maksymalna liczba prób wprowadzenia hasła przy logowaniu powinna wynosić trzy. Po przekroczeniu tego progu system blokuje dostęp do zbioru danych na poziomie danego użytkownika.