VIDEO COMPUTER SERWIS
KASY FISKALNE, KOMPUTERY I WSZYSTKO CZEGO DO SZCZĘŚCIA BRAKUJE :)
STRONA GŁÓWNA
O FIRMIE
KASY FISKALNE
TERMINALE PŁATNICZE
RODO
MONITORING
PROMOCJE
CENNIKI
CENTRUM WIEDZY
PRACA
DO POBRANIA
SERWIS KOMPUTERÓW I LAPTOPÓW
KASY FISKALNE
STRONY INTERNETOWE
HOSTING
ADMINISTRONOWANIE DANYMI OSOBOWYMI
BEZPIECZNE DZIECKO W INTERNECIE
ADMINISTRONOWANIE DANYMI OSOBOWYMI

Opis założeń podstawowych ochrony i przetwarzania danych.

Wśród wartości funkcjonujących w świadomości Polaków jedno z pierwszych miejsc zajmuje potrzeba prywatności i wynikająca z niej chęć i konieczność ochrony danych, – w tym osobowych. Poczucie dysponowania w pełni swoimi danymi jest immanentnym składnikiem zaufania do instytucji, której dane są powierzane.

Jeśli jest to uczelnia, bank, lecznica, poczta, instytucja samorządowa, rządowa, miejsce pracy, firma ubezpieczająca czy reklamowa, wchodząca z nimi w interakcje osoba posiada silne mechanizmy ochrony danych do niej należących. Konstytucja, Ustawa o Ochronie Danych Osobowych z rozporządzeniami do niej, czy wreszcie urząd Głównego Inspektora Ochrony Danych Osobowych tworzą parasol przepisów ochronnych dla danych osobowych, – przepisów, które muszą być wykonywane z godnie z prawem polskim.

Gospodarka rynkowa i twarde prawa konkurencji tworzą wymóg zaufania klienta do instytucji, firmy, czy marki. Coraz częściej w sposób bardzo intensywny nagłaśniane są poprzez publikatory sytuacje (już nie incydentalne!) utraty danych osobowych i innych danych, co stawia instytucję lub firmę w kompromitującej sytuacji w oczach opinii publicznej i konkurencji.

Odpowiedzialność prawna wynikająca z naruszenia ochrony danych osobowych w dzisiejszym systemie prawnym pociąga za sobą nie tylko konsekwencje typu: kontrole GIODO, mandaty, zatrzymanie pracy na stanowiskach zagrożonych utratą danych osobowych, ale także niebagatelne konsekwencje finansowe wynikające z indywidualnych i zbiorowych pozwów pracowników i klientów firmy zaniedbującej prawo w tym obszarze.

Tak więc, wobec wymogów realnej konkurencji, wzrostu jakości pracy i usług, poszanowania prawa i oczekiwań pracowników i klientów niezbędne jest skuteczne opanowanie całego zakresu ochrony danych osobowych w instytucji lub firmie.

Poniżej przedstawione zostały trzy najważniejsze zakresy działań wybrane z kompletnego obszaru ochrony danych, które powinna podjąć każda instytucja przetwarzająca dane osobowe.

 1. Instytucja przetwarzająca dane osobowe jest zobowiązana do stosowania kompletu dokumentów i procedur wymaganych przez ustawę o ochronie danych osobowych i stosowne rozporządzenia

Komplet* dokumentów obejmuje wiele ich rodzajów, w tym między innymi:

  • Politykę bezpieczeństwa Informacji (wymóg ustawowy)
  • Instrukcja Zarządzania Systemem Informatycznym Służącym do Przetwarzania Danych Osobowych (wymóg ustawowy)
  • Ewidencja osób upoważnionych do przetwarzania danych osobowych (wymóg ustawowy)
  • Pisemne upoważnienia na przetwarzanie danych osobowych (wymóg ustawowy)
  • Pisemne zobowiązania osób przetwarzających dane osobowe
  • Dokumenty zapewniające wiedzę o tym kto, jakie dane i kiedy wprowadził do zbiorów (wymóg ustawowy)
  • Pełna dokumentacja, którą musi prowadzić Administrator Danych dotycząca sposobu przetwarzania danych oraz środki techniczne i organizacyjne zapewniające ich ochronę (wymóg ustawowy)
  • Dokumenty opisujące zbiory danych i ich zgodność z wymogami prawnymi (wymogi rozporządzenia do ustawy)
  • Dokumenty opisujące miejsca i sposoby przetwarzania danych osobowych, przepływu danych między systemami itp. (wymogi rozporządzenia do ustawy)
  • Dokumenty odnotowujące udostępnianie danych osobowych (wymogi rozporządzenia do ustawy)

 

2. Instytucja powinna przejść audyt zewnętrzny lub wewnętrzny w zakresie stosowania ustawy o ochronie danych osobowych i rozporządzeń z nią związanych

Audyt między innymi obejmuje następujące zagadnienia:

  • identyfikacje w systemie informatyczno-administracyjnym zbiorów danych osobowych w rozumieniu Ustawy,
  • określenia zakresu dokumentacji jaka musi być stworzona,
  • dokładny opis potrzeb sprzętowych i oprogramowania, z możliwością oparcia się na istniejącej bazie sprzętu i struktury IT,
  • dokładne określenie ilości, rozmiarów, struktury wewnętrznej oraz lokalizacji w systemie zbiorów danych osobowych w rozumieniu Ustawy, które wymagają stworzenia dla nich osobnych i samodzielnie działających baz.
  • opis należycie funkcjonującego systemu ochrony danych osobowych w świetle obowiązujących przepisów prawa, który powinien działać w przedsiębiorstwie/organizacji/stowarzyszeniu/firmie,
  • analizę poziomu przystosowania do wymagań obowiązujących przepisów prawa w zakresie ochrony danych osobowych, w tym szczegółową ocenę przygotowania organizacji do przetwarzania danych osobowych oraz wskazanie wad i braków w ww. zakresie ze wskazaniem niezbędnych działań naprawczych,
  • szczegółową koncepcję budowy, sposobu działania i ewentualnego późniejszego rozwoju systemu ochrony danych osobowych określenie wszystkich innych danych i wymogów koniecznych do przetwarzania prawidłowo zbudowanych i w pełni funkcjonalnych zbiorów danych osobowych.

 3. Działania i obowiązki ABI – Administratora Bezpieczeństwa Informacji.

Zakres czynności i odpowiedzialności ABI, którego rolę może pełnić Administrator Danych Osobowych (ustawowo szef danej instytucji) zawiera między innymi:

  • Przejęcie określonych obowiązków z Administratora Danych – szefa/kierownika/dyrektora/prezesa danej jednostki (umocowanie ustawowe)
  • Zgłaszanie do Generalnemu Inspektorowi Ochrony Danych Osobowych wniosków o rejestrację zbiorów danych osobowych tego wymagających
  • Określanie celi, strategii i polityki zabezpieczenia systemów informatycznych w których przetwarzane są dane osobowe
  • Określanie potrzeb w zakresie ochrony przetwarzania danych osobowych
  • Identyfikowania i analizowanie zagrożeń, na które może być przetwarzanie danych osobowych
  • Monitorowanie wdrożonych zabezpieczeń i procedur przetwarzania danych osobowych
  • Czuwanie nad wdrażaniem, przestrzeganiem i bieżącym uaktualnianiem, stosownie do zmieniających się technologii informatycznych, zagrożeń bezpieczeństwa systemów informatycznych i zmieniające się prawa Instrukcji postępowania w sytuacji naruszenia ochrony danych osobowych oraz Instrukcji określającej sposób zarządzania systemem informatycznym służącym do przetwarzania danych
  • Wykrywanie oraz właściwe reagowanie na przypadki naruszenia bezpieczeństwa danych osobowych i systemów informatycznych je przetwarzających
  • Podejmowanie natychmiastowych działań zabezpieczających stan systemu informatycznego w przypadku otrzymania informacji o naruszeniu ochrony tego systemu lub informacji zmianach w sposobie działania programu lub urządzenia, mogących wskazywać na naruszenie bezpieczeństwa danych
  • Analizowanie okoliczności i przyczyn, które doprowadziły do naruszenia bezpieczeństwa danych osobowych, podejmowanie działań przeciwdziałających takiemu naruszeniu w przyszłości i informowanie o takich przypadkach Administratora Danych
  • Czuwanie nad tym aby dane osobowe były przetwarzane tylko przez osoby posiadające pisemne upoważnienie do ich przetwarzania
  • Zaznajamianie osób mających zacząć przetwarzać dane osobowe z przepisami prawnymi w tym zakresie
  • Czuwanie nad przeprowadzaniem szkoleń w zakresie stosowania ustawy o ochronie danych osobowych i dokumentów pokrewnych
  • Prowadzenie ewidencji osób przetwarzających dane osobowe
  • Nadzór nad fizycznym zabezpieczeniem pomieszczeń i obszarów w których przetwarza się dane osobowe

_____________________________________________________________________

* W artykule zaprezentowano tylko poglądowy, niepełny wybór dokumentów.
Autorem artykułu jest: Tomasz Śmigielski - Administrator Bezpieczeństwa Informacji w UW


Koszty dostosowania państwa firmy, instytucji, szkoły do wymogów ustawy jest sprawą bardzo indywidualną. Najbardziej komfortową systuacją jest możliwość zatrudnienia na etacie osoby, która będzie sprawowała nadzór ADO i ABI.

Przykładowe koszty gdyby nasza firma miała wprowadzić, przeszkolić pracowników i nadzorować przestrzeganie ustawy:

WDROŻENIE:
1. Firma handlowo-usługowa bez sklepu internetowego - wdrożenie, szkolenie pracowników, wydanie jednemu z pracowników certyfikatu ADO(Sporządzenie dokumentacji patrz pkt 1) - 550 zł brutto
2. Firma handlowo-usługowa posiadająca sklep internetowy - wdrożenie, szkolenie pracowników, wydanie jednemu z pracowników certyfikatu ADO zgłoszenie zbiorów sklepu do GIODO, własna polityka prywatności sklepu, regulamin sklepu, sporządzenie dokumentacji (patrz pkt 1) - 1250 zł brutto
3. Szkoła, Urząd, firma zatrudniająca powyżej 20 pracowników: wdrożenie, szkolenie pracowników, wydanie jednemu z pracowników certyfikatu ADO zsporządzenie dokumentacji (patrz pkt 1) - 1550 zł brutto

OPŁATA ROCZNA: płatna w kolejnym roku od wdrożenia (tzw audyt)
1. 150 zł
2. 220 zł
3. 300 zł


503 139 100