Bezpłatna aplikacja na komputer – MM News... i jestem na bieżąco! Sprawdzam
Zapraszamy do zapoznania się z serwisem w wersji demo. Aby uzyskać pełen dostęp do treści kliknij "kup dostęp" i wybierz opcję najlepszą dla siebie.
Kup Dostęp Darmowy dostęp na 14 dni
, czyli dzisiaj kończy się dostęp do Twojego Niezbędnika. Przedłuż już teraz w promocji
Przedłuż
Dostęp do serwisu wygasł w dniu . Kliknij "wznów dostęp", aby nadal korzystać z bogactwa treści, eksperckiej wiedzy, wzorów, dokumentów i aktualności oświatowych.
Wznów dostęp

OPUBLIKOWANO: LIPIEC 2013

ZAKTUALIZOWANO: WRZESIEŃ 2014


Polityka bezpieczeństwa w żłobkach niepublicznych


Opracował: Łukasz Zegarek, prawnik, ekspert kancelarii prawnej Lex Artist, specjalizujący się w dziedzinie ochrony danych osobowych


Podstawa prawna:


  • Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2014 r. poz. 1182),
  • Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. z 2004 r. Nr 100 poz. 1024).


Każdy administrator danych osobowych jest obowiązany do prowadzenia dokumentacji opisującej sposób przetwarzania danych. Jednym z jej elementów jest polityka bezpieczeństwa – zestaw praw, reguł i praktycznych doświadczeń regulujących sposób zarządzania, ochrony i dystrybucji danych osobowych wewnątrz określonej organizacji.


Czym jest polityka bezpieczeństwa?


Jest to dokument zawierający listę rozwiązań i uregulowań umożliwiających odpowiednie zabezpieczenie przetwarzanych przez żłobek danych osobowych. Polityka bezpieczeństwa powinna odnosić się do zabezpieczenia zarówno danych przetwarzanych w systemach informatycznych, jak i tych przetwarzanych w formie tradycyjnej. Zgodnie z art. 36 ust. 2 Ustawy o ochronie danych osobowych „administrator danych prowadzi dokumentację opisującą sposób przetwarzania danych”. Każdy administrator danych powinien zatem zapewnić ochronę odpowiednią do zagrożeń oraz kategorii danych objętych ochroną.


Obowiązek opracowania i wdrożenia polityki bezpieczeństwa wynika z § 3 i 4 Rozporządzenia w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.


Po pierwsze, polityka bezpieczeństwa to dokument, który powinien spełniać określone standardy i wytyczne zawarte w ww. Rozporządzeniu, jego forma i zakres są więc w pewnym zakresie z góry narzucone przepisami prawa. Przepisy opisują jednak to, co powinno być zawarte w polityce bezpieczeństwa, w sposób bardzo ogólny. Co więcej, nic nie stoi na przeszkodzie, żeby dodać do niej procedury czy wytyczne, o których nie wspomniano w Rozporządzeniu. Oprócz wymogów formalnych należy mieć bowiem na względzie także praktyczną użyteczność tego dokumentu.


Dobrze przygotowana polityka bezpieczeństwa powinna oddawać w pełni specyfikę działania żłobka. W niewielkiej placówce wystarczy prosta dokumentacja podporządkowująca wszystkie najważniejsze zadania związane z ochroną danych osobowych administratorowi bezpieczeństwa informacji (ABI). W większej placówce warto zadbać o to, aby przy niektórych czynnościach ABI miał wsparcie innych pracowników.


Jakie elementy powinna zawierać polityka bezpieczeństwa?


Nie istnieje jeden uniwersalny wzór polityki bezpieczeństwa. Dokument powinien być dopasowany do jednostki organizacyjnej (jej usytuowania, zachodzących w niej procesów, stosowanej dotychczas polityki bezpieczeństwa, wielkości, indywidualnych potrzeb itd.). W związku z tym należy przedstawić, jak taki dokument powinien wyglądać, zaznaczając miejsca wymagające odniesienia do naszych własnych potrzeb.


Wskazuje się, że wymogami formalnymi dotyczącymi polityki bezpieczeństwa są:


  • spełnienie wytycznych, o których mowa w § 3 i 4 Rozporządzenia,
  • podpisanie przez osobę upoważnioną do reprezentacji administratora danych,
  • przechowywanie w formie papierowej lub elektronicznej,
  • aktualizowanie i przeglądanie poprawności jej stosowania co najmniej raz w roku,
  • terminologia, zakres i cel stosowania ww. dokumentacji.


Na samym początku warto zamieścić w dokumencie intencje, jakimi się kierowano, pisząc daną politykę, np.:


  • zgodność z przepisami prawa,
  • chęć lepszego zabezpieczenia prawa do prywatności dzieci i ich rodziców,
  • zabezpieczenie prawa do prywatności przysługującego pracownikom żłobka,
  • zapobieganie i wykrywanie wirusów oraz innego złośliwego oprogramowania.


Wyjaśnienia i uzasadnienie przyjętej polityki sprawią, że dokument będzie bardziej „osobisty”, a tym samym lepiej dopasowany do potrzeb placówki.


W kolejnych punktach artykułu zostaną omówione sekcje polityki bezpieczeństwa, o których wspomina Rozporządzenie, a więc te jej fragmenty, które zostały narzucone przepisami prawa i muszą być zawarte w dokumencie. Przy każdej kolejnej sekcji warto również zająć się zagadnieniami praktycznymi, o których ustawodawca nie napisał.


  1. Wykaz budynków, pomieszczeń lub części pomieszczeń tworzących obszar, w którym przetwarzane są dane osobowe


W tej części dokumentu powinno znaleźć się określenie pomieszczeń, w których przetwarzane są dane osobowe. Chodzi tutaj zarówno o miejsca, w których dokonuje się operacji na danych osobowych (modyfikowanie, kopiowanie, gromadzenie), jak i miejsca, gdzie przechowuje się nośniki informacji zawierające dane osobowe (szafy z dokumentacją papierową, stacje komputerowe, serwery czy inne urządzenia komputerowe).