Polityka bezpieczeństwa danych osobowych w NGO




Elementy składowe polityki bezpieczeństwa

Szczegółowe wytyczne do
opracowania polityki bezpieczeństwa znajdziemy w
Rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29
kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz
warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i
systemy informatyczne służące do przetwarzania danych osobowych.
 
Zgodnie z tym, przydługim w
nazwie, rozporządzeniem, w polityce bezpieczeństwa muszą znaleźć się następujące
informacje:
  1. dotyczące
    pomieszczeń w których przetwarzane są dane osobowe,
  2. „wykaz
    zbiorów danych osobowych” – czyli jakie zbiory prowadzimy,
  3. wymienienie programów stosowanych do
    przetwarzania danych (np. MS Office),
  4. „opis
    struktury zbiorów danych” – czyli opis tabel zawierających zbiory (np.: imię,
    nazwisko, data ur., adres mejlowy, adres zamieszkania, podpis itd.)
  5. „sposób
    przepływu danych pomiędzy poszczególnymi systemami” – czy wysyłamy w zamkniętej
    sieci lokalnej, czy online, czy przenosimy na nośnikach fizycznych (pendrive),
  6.  wymienienie
    zabezpieczeń danych:
  •  technicznych (pomieszczenia, oprogramowanie),
  •  organizacyjnych (dostęp konkretnych osób,
    ewidencja).

Osoby odpowiedzialne

Zgodnie z przepisami, w ramach
systemu ochrony danych osobowych możemy wyodrębnić trzy terminy:
  • administrator danych,
  • administratora bezpieczeństwa informacji (ABI),
  • administrator systemów informatycznych (ASI),
Ten pierwszy jest funkcją
obligatoryjną, aczkolwiek jest nim po prostu sama organizacja przetwarzająca
dane. Administratorem danych nie jest organ (np.: zarząd) albo konkretny
pracownik, tylko właśnie sama osoba prawna (stowarzyszenie, fundacja). 
 
Jeżeli w
ramach zarządzania danymi, obowiązki ochrony danych osobowych pełni konkretna
osoba to ona będzie z kolei, administratorem bezpieczeństwa informacji (ABI).
Jest to jednak funkcja fakultatywna, nie ma obowiązku powierzać ochrony danych
konkretnej osobie. Jeżeli nie wprowadzimy ABI, to odpowiedzialnym za ochronę i
ewentualne naruszenia zasad ochrony danych będzie organizacja, czyli pośrednio
zarząd – jako generalnie odpowiedzialny za działania osoby prawnej. 
W załączonym poniżej wzorze
zastosowałem najprostszy system ochrony = brak ABI. Co oznacza, że jego
wszystkie obowiązki wykonuje sam administrator = organizacja = zarząd.
 
Trzecia kategoria, z którą możemy
się spotkać w przypadku ochrony danych osobowych to: administrator systemów
informatycznych (ASI). To również jest funkcja fakultatywna, nieobowiązkowa. W
zasadzie nie wynika nawet z ustawy, a z praktyki stosowania jej przepisów. Jest
to po prostu „informatyk”, konkretna osoba sprawująca pieczę nad systemem
informatycznym. Jeżeli jej nie ma w organizacji, to obowiązuje taki sam schemat
jak przy ABI (obowiązki wykonuje sam administrator = organizacja = zarząd).
 
Podsumowując, w najprostszym
schemacie nie ma obowiązku powoływania ABI i ASI, a administratorem danych jest
sama organizacja.

Podsumowanie

Dwie podstawowe konkluzje są następujące.
Politykę bezpieczeństwa musi przyjąć prawie każda organizacja, której działania
są zorganizowane i kierowane na zewnątrz (wiąże się to z gromadzeniem danych
osobowych w prawie każdym przypadku). Po drugie polityka wcale nie musi być bardzo
rozbudowanym dokumentem, jeżeli gromadzimy dane w ograniczonym zakresie. W
szczególności nie jest konieczne powoływanie ABI, ASI i tworzenie dokumentów
z tym związanych.
 
W załączonym poniżej wzorze, przygotowałam bardzo prostą politykę bezpieczeństwa. Dane gromadzone w sposób w
niej opisany dotyczą tylko tworzenia list wolontariuszy i darczyńców. pozwoliło
to ograniczyć do minimum ilość przepisów. Niestety rzeczywistość nie jest tak
prosta, i zwykle, po krótkiej analizie, możemy dojść do wniosku, że obszary w
których dane przetwarzamy są dość różne i skomplikowane. Wówczas polityka musi
to odzwierciedlać, a jej treść będzie dużo bardziej rozbudowana. Dlatego załączony
wzór, proszę traktować jako podstawę na której można dopiero zacząć pracę i
nanosić konkretne rozwiązania stosowane w organizacji.
 

4 thought on “Polityka bezpieczeństwa danych osobowych w NGO”

  1. Dominika Starańska pisze:

    Fajny artykuł. Pozdrawiam serdecznie.

  2. Piotr Jaros pisze:

    Dziękuję, pozdrawiam również

  3. Aleks pisze:

    Pamiętajcie, że o firmę trzeba dbać w odpowiedni sposób i u mnie takim dbaniem o firmę jest przeprowadzanie audytów. Zawsze staram się, aby był to audyt związany z rozwojem firmy i mam nadzieję, że znajdzie się wiele chętnych osób, które również z tego skorzystają. Do przeprowadzenia audytu polecam przeczytać sobie informacje na stronie vorg.pl/czym-sa-testy-penetracyjne-i-dlaczego-warto-je-zlecic/

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

Powiązane posty