Dokumentacja przetwarzania danych osobowych

Mariusz Siwko
05.09.2015

Na podstawie art. 39a ustawy o ochronie danych osobowych oraz § 1 pkt 1 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, administrator danych prowadzi dokumentację opisującą sposób przetwarzania danych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych.

Na dokumentację tę składa się:

  • polityka bezpieczeństwa
  • instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych.

Dokumentację tę prowadzi się w formie pisemnej.

Polityka bezpieczeństwa danych osobowych powinna zawierać co najmniej:

  •  wykaz budynków, pomieszczeń lub części pomieszczeń tworzących obszar, w którym przetwarzane są dane osobowe
  •  wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych
  •  opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi
  •  sposób przepływu danych pomiędzy poszczególnymi systemami
  •  określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych


Instrukcja zarządzania systemem informatycznym powinna zawierać co najmniej:

  •  procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności
  •  stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem
  •  procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu
  •  procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania
  •  sposób, miejsce i okres przechowywania elektronicznych nośników informacji zawierających dane osobowe oraz kopii zapasowych zbiorów danych, kopii zapasowych programów i narzędzi programowych służących do ich przetwarzania
  •  sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego
  •  sposób odnotowania informacji o odbiorcach, którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia,
  •  procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych
Zgłoś swój pomysł na artykuł

Więcej w tym dziale Zobacz wszystkie