Instrukcja zarządzania systemem informatycznym




Kontynuując temat z poprzednich
wpisów (o polityce bezpieczeństwa czytaj tutaj, a o danych osobowych tutaj),
postaram się przedstawić podstawy budowy i tworzenia instrukcji zarządzania
systemem informatycznym w NGO.

Szczegółowe wytyczne do opracowania instrukcji
zarządzania systemem informatycznym znajdziemy w Rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29
kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz
warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i
systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004
r. Nr 100, poz. 1024, dalej jako rozporządzenie).
 
Zgodnie z § 5 rozporządzenia, w
instrukcji zarządzania systemem informatycznym muszą znaleźć się informacje o:
  1. dostępie
    do danych osobowych, tj:

    • określenie
      w jaki sposób będziemy nadawać uprawnienia do przetwarzania danych,
    • jak będziemy rejestrować osoby uprawnione w
      systemie informatycznym,
    • kto będzie odpowiedzialny za te czynności;
  2. sposobach
    uwierzytelnienia,
  3. procedurach
    rozpoczęcia, zawieszenia i zakończenia pracy z systemem,
  4. tworzeniu
    kopii zapasowych zarówno zbiorów danych jak i programów do nich stosowanych,
  5. przechowywaniu:
    elektronicznych nośników z danymi osobowymi (np.: cd-rom, pendrive itp.) i
    kopii zapasowych z pkt. 4), tj:

    • sposobie przechowywania,
    • miejscu przechowywania,
    • okresie przechowywania;
  6. zabezpieczeniu
    systemu przed:

    • złośliwym oprogramowaniem,
    • awarią;
  7. sposobie
    ewidencjonowania odbiorców, chyba że zbiór jest ogólnie dostępny
  8. przeglądach
    i konserwacji systemu i nośników informacji.

Poziomy bezpieczeństwa
 
Rozporządzenie przewiduje 3 poziomy bezpieczeństwa:
 
A. podstawowy,
B. podwyższonym,
C. wysoki.
 
Konieczność stosowania każdego z nich zależy od kilku przesłanek.
Do najmniej skomplikowanego poziomu – podstawowego możemy się ograniczyć tylko,
gdy jednocześnie:
  • nie zbieramy danych wrażliwych (są to dane
    wymienione w art. 27 Ustawy z dnia 29 sierpnia 1997 r. o ochronie danych
    osobowych (Dz.U. 1997 Nr 133 poz. 8831), są to min. dane dotyczące: pochodzenia
    rasowego, poglądów politycznych, wyznania itp.,
  • urządzenie w którym przetwarzamy dane osobowe
    nie jest połączone z siecią publiczną (Internet).
Poziom drugi możemy zastosować gdy:
  • zbieramy dane wrażliwe,
  • ale nadal nie jesteśmy połączeni z siecią
    publiczną.
Wreszcie najwyższy poziom wysoki,
będzie wymagany zawsze gdy urządzenie z danymi będzie przyłączone do sieci
publicznej. W praktyce skazuje nas to na stosowanie poziomu wysokiego, gdyż
obecnie trudno o przetwarzanie danych offline. Chyba, że przeznaczymy jeden
komputer tylko do opracowywania danych osobowych i nie będzie on fizycznie
podłączony do Internetu w żaden sposób. Wówczas możemy pozwolić sobie na poziom
podstawowy (który znalazł się we wzorze).
 
Wymogi co do każdego z tych
poziomów znajdują się w załączniku do rozporządzenia, wiec w praktyce łatwo je
zastosować (przepisać do instrukcji).

Odnotowanie przetwarzania
danych przez system

 
Kolejnym wymogiem rozporządzenia
jest zapewnienie odnotowywanie zmian w zgromadzonych danych. Należy podkreślić,
że odnotowywanie musi być zapewnione przez system, czyli nie poprzez ręczne
wprowadzenie, ale w sposób zautomatyzowany co do dwóch kategorii:
  • daty pierwszego wprowadzenia danych do systemu;
  • identyfikator użytkownika wprowadzającego, czyli
    kto wprowadził dane.
Poprawna konfiguracja MS Office i
używanie profilów użytkowników pozwalają na wpisywanie tych danych w
informacjach o konkretnym dokumencie. Nie ma więc z tym problemu.
 
Bardziej skomplikowany jest wymóg
odnotowywania zmian co do dalszych kategorii:
  • źródła danych, gdy pochodzą nie od osoby której
    dotyczą (czyli gdy np. pozyskaliśmy je od jakiegoś zewnętrznego podmiotu),
  • informacji o udostępnieniu danych „na zewnątrz”,
    czyli
    nie osobie której dotyczą, ani osobach przetwarzających w
    organizacji, tylko innym – odrębnym/ zewnętrznym podmiotom,
  • sprzeciwu osoby, której dane przetwarzamy wobec wykorzystywania
    danych w celach marketingowych lub wobec dalszego przekazywania.
Te trzy kategorie nie zawsze będą
w ogóle występować  w naszych zbiorach.
Można wręcz założyć, że na poziomie prostego gromadzenia danych nie będzie
potrzeby ich odnotowywania. Gdyby jednak było inaczej, należy zapewnić
automatyczne odnotowywanie za pomocą specjalnego oprogramowania lub każdorazowe
ręcznie odnotowywać np. w oddzielnym dokumencie.
 
Dodatkowo dla każdej osoby,
której dane osobowe zostały zebrane należy zapewnić możliwość wydrukowania raportu
zawierającego powyższe informacje. Należy więc zrobić szablon z podanymi wyżej kategoriami
danych, chyba że posiadamy system do obsługi tych danych.
 

Wdrożenie

 
Panują podobne zasady jak w
przypadku polityki bezpieczeństwa. W praktyce oba dokumenty zwykle są wdrażane
razem. O szczegółach można przeczytać w poprzednim artykule.
 
Załączony poniżej wzór został
przygotowany na bardzo podstawowym poziomie (zawiera min. najniższy poziom bezpieczeństwa
z rozporządzenia) i powinien pełnić rolę szablonu, który dopiero po rozbudowie i uwzględnieniu konkretnego stanu faktycznego spełni wymogi
przepisów dotyczących ochrony danych osobowych.
 
W kolejnym, ostatnim już, wpisie
na temat danych osobowych postaram się poruszyć temat szykującej się rewolucji
w zakresie ochrony danych. Związana jest z nowymi unijnymi przepisami,
wdrażanymi przez Rozporządzenie o Ochronie Danych Osobowych (RODO).

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.

Powiązane posty