Dokumentacja ochrony danych osobowych

Procesy przetwarzania danych osobowych wymagają posiadania i prowadzenia określonej dokumentacji. Do najważniejszych należy zaliczyć:

  • Politykę Bezpieczeństwa – w sposób ramowy określa obszar (wykaz budynków, pomieszczeń, części pomieszczeń) pojęć, odniesień, deklaracji, a także ogólnego sposobu przetwarzania danych. Obowiązek jej prowadzenia spoczywa na Administratorze Danych Osobowych, zaś może być wprowadzona w życie uchwałą Zarządu, czy zarządzeniem Prezesa. Nie należy mylić Polityki Bezpieczeństwa, która jest regulowana przepisami prawa polskiego, z Polityką Prywatności, która stanowi dokument zwyczajowy i krajowe ustawodawstwo nie wymaga jej stosowania.
  • Instrukcję Zarządzania Systemem Informatycznym – dokument stanowi uzupełnienie Polityki Bezpieczeństwa w obszarze technicznych aspektów ochrony danych osobowych w systemach informatycznych. Opisane w niej są procedury bezpieczeństwa danych osobowych przetwarzanych za pomocą urządzeń i systemów teleinformatycznych. Instrukcja powinna zawierać przede wszystkim procedury:
    • nadawania uprawnień i rejestrowania tych uprawnień w systemie informatycznym;
    • wskazania osoby odpowiedzialnej za nadawanie i rejestrowanie uprawnień;
    • rozpoczynania, zawieszenia oraz zakończenia prac, przeznaczone dla użytkowników systemu;
    • przygotowywania kopii zapasowych danych osobowych;
    • przeprowadzania przeglądów i konserwacji systemów oraz nośników służących do przechowywania danych.Ponadto Instrukcje Zarządzania Systemem informatycznym muszą określać sposób, miejsce oraz czas przechowywania elektronicznych nośników informacji oraz kopii zapasowych zbiorów danych.
  • Ewidencję osób upoważnionych – jak sama nazwa wskazuje jest to ewidencja, w której zamieszczone są informacje o osobie upoważnionej do przetwarzania danych osobowych. Powinna zawierać następujące informacje: imię i nazwisko, datę nadania upoważnienia, zakres upoważnienia, datę cofnięcia, identyfikator (inny sposób weryfikacji stosowany w firmie).

Dokumenty są przygotowywane w oparciu o informacje pozyskiwane w ramach bezpośredniego wywiadu z pracownikami, poprzez korespondencję, w wyniku audytu ochrony danych osobowych. Przygotowują je pracownicy, którzy przeszli odpowiednie szkolenia lub częściowo przez pracowników zewnętrznych w ramach tzw. outsourcingu ABI.