OPUBLIKOWANO: 24 LUTEGO 2018

Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych

Opracował: Łukasz Zegarek, prawnik, ekspert kancelarii prawnej Lex Artist, specjalizujący się w dziedzinie ochrony danych osobowych

Podstawa prawna:

Każdy administrator danych osobowych (dyrektor przedszkola niepublicznego), jako podmiot decydujący o celach i środkach przetwarzania tych danych, jest zobowiązany do prowadzenia dokumentacji. Jeżeli przetwarza dane, wykorzystując system informatyczny, na dokumentację tę,oprócz polityki bezpieczeństwa, będzie się składać także instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. Wykorzystywanie systemu informatycznego oznacza po prostu korzystanie w miejscu pracy z komputera, co w obecnych czasach jest standardem. Szczególnie powszechne jest to w placówkach oświatowych, które zgodnie z polskim prawem muszą przetwarzać dane osobowe uczniów i wychowanków przy użyciu systemów informatycznych, jak choćby SIO.

Co składa się na instrukcję zarządzania systemem informatycznym?

Na początku dokumentu warto umieścić adnotację o tym, jaki jest cel jego stworzenia oraz jaka jest jego podstawa prawna. Podstawowy cel przyświecający przygotowaniu i wdrożeniu instrukcji to określenie zasad właściwego zarządzania systemem informatycznym w placówce, tak aby przetwarzane dane były bezpieczne, a więc de facto zapewnienie zgodności działania danej placówki z Ustawą o ochronie danych osobowych oraz jej rozporządzeniami wykonawczymi. Paragraf 5Rozporządzenia w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych wymienia osiem zagadnień, które dyrektor przedszkola musi uwzględnić w instrukcji.

W tym rozdziale instrukcji należy opisać, jak wygląda proces przygotowania użytkownika do pracy w systemie informatycznym. Trzeba określić, kto jest odpowiedzialny za nadawanie uprawnień oraz jakie warunki musi spełnić pracownik, by takie uprawnienie otrzymać. Zazwyczaj warunkiem do jego otrzymania jest nadane wcześniej upoważnienie do przetwarzania danych osobowych. Ponieważ mowa tutaj o systemie informatycznym, przydzielanie takich uprawnień jest jednoznaczne z nadaniem użytkownikowi systemu indywidualnego identyfikatora – loginu do systemu – i wskazaniem sposobu tworzenia hasła. Określa się także, kto w placówce odpowiada za prowadzenie rejestru nadanych uprawnień, który powinien stanowić załącznik do instrukcji.

Uwierzytelnienie to proces, którego celem jest uzyskanie pewności, że dana osoba jest w rzeczywistości tą, za którą się podaje. W tym miejscu opisuje się zatem, jakie zastosowano środki ochrony systemu przed dostępem osób nieuprawnionych. Najczęściej jest to tzw. logowanie na hasło. Oznacza to, że każdemu użytkownikowi systemu jest w sposób jednoznaczny przypisany identyfikator, o którym była mowa powyżej. Nadany identyfikator nie powinien być zmieniany bez wyraźnej przyczyny, a za wszelkie operacje wykonane pod tym identyfikatorem odpowiada osoba, do której jest przypisany. Dostęp do danych osobowych przetwarzanych w systemie uzyskuje się wyłącznie po podaniu identyfikatora i właściwego hasła. Hasło stworzone wedle wytycznych wskazanych w polityce bezpieczeństwa i instrukcji zarządzania systemem informatycznym składa się z co najmniej ośmiu znaków i zawiera małe i wielkie litery oraz cyfry lub znaki specjalne (jest to wymóg Rozporządzenia). Może ono stanowić dowolną kombinację liter i cyfr, jednak nie powinno być zbyt oczywiste (np. imię użytkownika). Istotny jest też wymóg, by użytkownicy zmieniali hasło przynajmniej co 30 dni.