Bezpłatna aplikacja na komputer – MM News... i jestem na bieżąco! Sprawdzam

OPUBLIKOWANO: 29 CZERWCA 2018 

 

Instrukcja zarządzania systemem informatycznym w poradni psychologiczno-pedagogicznej

 

Opracowali: Łukasz Zegarek, prawnik, ekspert kancelarii prawnej Lex Artist specjalizujący się w dziedzinie ochrony danych osobowych; Grzegorz Madej, prawnik, specjalista z zakresu ochrony danych osobowych w administracji i biznesie, inspektor ochrony danych

 

Podstawa prawna:

 

  • Rozporządzenie Parlamentu Europejskiego i Rady (UE) z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych osobowych),
  • Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. 2018 r. poz. 1000),
  • Opinia Prezesa Urzędu Ochrony Danych Osobowych (dalej PUODO) z dnia 28 maja 2018 r. Dokumentacja przetwarzania danych osobowych zgodnie z RODO (dostępna pod adresem: https://uodo.gov.pl/pl/138/273),
  • Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (t.j. Dz.U. z 2004 r. Nr 100 poz. 1024 ze zm.).

 

Według Prezesa Urzędu Ochrony Danych Osobowych – „Obecnie przepisy nie określają szczegółowo, jakie dokumenty związane z przetwarzaniem danych osobowych powinien posiadać administrator danych. Należy jednak pamiętać, że brak w ogólnym rozporządzeniu o ochronie danych osobowych (RODO) wymagań formalnych w zakresie prowadzenia dokumentacji przetwarzania danych osobowych na wzór nieobowiązującego już Rozporządzenia ministra spraw wewnętrznych i administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych (…) nie oznacza, że obecnie administrator nie jest zobowiązany do prowadzenia dokumentacji, w której określone byłyby zasady i procedury dotyczące przetwarzania danych osobowych zgodnie z przyjętymi rozwiązaniami prawnymi, organizacyjnymi i technicznymi”.

 

Poradnia psychologiczno-pedagogiczna, będąca w rozumieniu przepisów  RODO administratorem, nadal obowiązana jest do prowadzenia dokumentacji ochrony danych osobowych. Obowiązek ten wynika z treści art. 24 RODO, zgodnie z którym: „Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane”.

 

Zgodnie z opinią PUODO: „Obecnie prowadzona dokumentacja, na którą składają się polityka bezpieczeństwa i instrukcja zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych, z powodzeniem może być wykorzystana w celu stworzenia dokumentacji, której celem będzie wykazanie zgodności realizowanych procesów przetwarzania z wymaganiami RODO”. Należy zatem przyjąć, że instrukcja zarządzania systemem informatycznym powinna być nadal dokumentem, który będzie służył do określenia przyjętych zasad przetwarzania danych osobowych.

 

Wymogi instrukcji

 

Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych  powinna być dokumentem opierającym się na standardach i wytycznych wskazanych w nieobowiązującym już Rozporządzeniu  w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Rozporządzenie to wskazywało elementy instrukcji w sposób bardzo ogólny. Nic nie stoi zatem na przeszkodzie, aby dodać do niej procedury czy wytyczne, o których nie wspomniano w Rozporządzeniu. Instrukcja ma być dokumentem o praktycznej użyteczności, który powinien być dostosowany do konkretnych warunków przetwarzania danych osobowych w poradni.

 

Elementy instrukcji

 

Należy pamiętać, że dobrze przygotowana instrukcja nie tylko powinna zawierać wskazane w Rozporządzeniu elementy, ale przede wszystkim oddawać w pełni specyfikę działania poradni. Warto zatem, aby udział w jej opracowywaniu miały osoby, które mają rzeczywistą wiedzę o systemach informatycznych stosowanych przez placówkę. Jeżeli w poradni został powołany administrator bezpieczeństwa informacji, to do jego zadań należy nadzorowanie opracowania i aktualizowania dokumentacji ochrony danych osobowych, w tym omawianej instrukcji.

 

Na początku dokumentu warto umieścić adnotację o tym, jaki jest cel stworzenia instrukcji, oraz jaka jest jej podstawa prawna. Podstawową intencją przygotowania i wdrożenia omawianego dokumentu jest przede wszystkim określenie zasad właściwego zarządzania systemami wykorzystywanymi w poradni tak, by przetwarzane dane były bezpieczne. Oznacza to tak naprawdę zapewnienie zgodności działania placówki z RODO oraz przepisami krajowymi. Wyjaśnienia i uzasadnienie przyjętej instrukcji sprawią, że dokument będzie lepiej dopasowany do potrzeb poradni.

 

Zagadnienia, które powinny się znaleźć w dokumencie, określa §5 Rozporządzenia. Wymienione w nim elementy zostały omówione poniżej.

 

Procedury nadawania uprawnień

 

W tej części instrukcji powinny zostać opisane zasady przyznawania użytkownikowi identyfikatora w systemie informatycznym, jak również zasady nadawania lub modyfikacji uprawnień użytkownika do zasobów systemu informatycznego poradni. Zasady te powinny odnosić się do całego procesu przygotowania użytkownika do pracy w danym systemie. Oznacza to, że należy wskazać przede wszystkim: