Z poprzedniej części poradnika dowiedzieliście się czym są dane osobowe, kto odpowiada za ich ochronę i dlaczego jest ona taka ważna. W drugiej części przedstawiamy 3 słowa na temat bezpieczeństwa. Miłego czytania!

Pełna treść artykułu dostępna dla naszych stałych czytelników

Dołącz do naszego newslettera lub podaj swój adres, jeśli już jesteś naszym subskrybentem

Partner technologiczny

fot. Fotolia

Polityka bezpieczeństwa, to jeden z ważniejszych dokumentów związany z zarządzaniem bezpieczeństwem informacji w Twojej firmie, który składa się na system zarządzania bezpieczeństwem informacji (dalej jako SZBI). Dokument ten określa, w szczególności:

  1. wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe;
  2. wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych;
  3. opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi;
  4. sposób przepływu danych pomiędzy poszczególnymi systemami;
  5. określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.

Do polityki dołącza się przydatne wzory. Uczulam, że dokument ten prowadzi się w formie papierowej. Jest to umotywowane tym, że w przypadku kontroli dokonywanej przez inspektorów z biura Generalnego Inspektora Ochrony Danych Osobowych (dalej jako GIODO) musi zostać wykazana ciągłość i przejrzystość w zakresie dokonywanych zmian.

Wdrożenie i promowanie polityki bezpieczeństwa w firmie ciąży na Administratorze Danych. Z dokumentem tym powinni zapoznać się wszyscy pracownicy dopuszczeni do przetwarzania danych osobowych i jednocześnie zobowiązać się przy tym do stosowania polityki bezpieczeństwa oraz innych aktów (zarówno postanowień wewnątrz organizacyjnych jak i przepisów) pod rygorem odpowiedzialności dyscyplinarnej kwalifikowanej jako ciężkie naruszenie obowiązku pracownika (powinno to zostać stwierdzone podpisem w obecności świadka).

Instrukcja Zarządzania Systemem Informatycznym,  to drugi składowy dokument SZBI, który powinieneś wdrożyć. Określa on, w szczególności:

  1. procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności;
  2. stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem;
  3. procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu;
  4. procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania;
  5. sposób, miejsce i okres przechowywania:
    a) elektronicznych nośników informacji zawierających dane osobowe,
    b) kopii zapasowych, o których mowa w pkt 4,
  6. sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, o którym mowa w pkt III ppkt 1 załącznika do Rozporządzenia;
  7. sposób realizacji wymogów, o których mowa w § 7 ust. 1 pkt 4 Rozporządzenia;
  8. procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.

Podobnie jak politykę bezpieczeństwa także instrukcję należy prowadzić w formie papierowej, a za jej wdrożenie odpowiedzialny jest Administrator Danych. Jest to dokument jednak znacznie bardziej skomplikowany, którego opracowanie oraz wdrożenie zajmuje więcej czasu.

Indywidualne podejście do wdrożenia obu powyżej przytoczonych dokumentów jest istotne z punktu widzenia bezpieczeństwa Twojej firmy oraz respektowania przepisów. Każde wdrożenie powinno zostać poprzedzone audytem, który wykaże jakie luki lub/i błędy występują na gruncie Twojej organizacji oraz co należy poprawić. Dlatego tak ważne jest, aby SZBI był opracowany zgodnie ze specyfiką Twojej działalności oraz wdrożony zgodnie z normami bezpieczeństwa. Stanowczo odradzam pozorne oszczędności i praktykę „kopiuj, wklej”, gdyż może się ona dla Ciebie skończyć tragicznie. Rekomenduję natomiast indywidualne opracowanie oraz wdrożenie SZBI, w którym zawarta jest polityka bezpieczeństwa oraz instrukcja, na podstawie standardu PNISO/IEC 27001:2007 oraz PN-ISO/IEC 17799:2007. Warto dodać, że norma PN-ISO/IEC 27001:2007 odnosi się także do planu ciągłości działania, który może zostać przez Ciebie wdrożony.

Konsekwencje
Kiedyś miałam klientkę, której motywatorem do wdrożenia polityki bezpieczeństwa oraz instrukcji była wizja kontroli inspektorów z biura GIODO oraz późniejszych sankcji. Trzeba przyznać, że wizja drobiazgowej kontroli nie jest dla nikogo przyjemna, a tym bardziej wezwanie do wykonania określonych czynności we wskazanym terminie (zaleceń pokontrolnych) mając na uwadze przepisy karne UODO. Czy jednak tylko takimi przesłankami należy kierować się przy wdrażaniu SZBI? Z pewnością nie. Wiele razy moi klienci przekonali mnie już, że dla przedsiębiorców istotne znacznie ma bezpieczeństwo ich informacji. Cieszy mnie, że wzrasta ogólnospołeczna świadomość na temat cyberzagrożeń, w tym szczególnie niebezpiecznych dla Twojej firmy - tych związanych ze szpiegostwem korporacyjnym czy wyciekiem baz danych osobowych. Ciekawym opracowaniem na temat prognoz zagrożeń teleinformatycznych w 2013r. jest raport opracowany przez polskich specjalistów ds. bezpieczeństwa. Opracowanie indywidualnego SZBI oraz jego późniejsze wdrożenie, przestrzeganie i szkolenie pracowników jest najbardziej związane z Twoim zyskiem. Bezpieczeństwo informacji gwarantuje Tobie reputację i konkurencyjność.

Wdrożenie ma wtedy sens jeżeli zamierzasz naprawdę zadbać o bezpieczeństwo (czyli nie tylko na papierze) i zdajesz sobie z tego sprawę, że wyciek informacji doprowadzi do kompromitacji Twojego biznesu, a finalnie upadku. Wtedy tak naprawdę starasz się, aby procedury były przestrzegane i dbasz o przeszkolenie swoich pracowników (którzy mają ogromny wpływ na bezpieczeństwo firmy). Jeżeli będziesz kierować się takim tokiem rozumowania i zadbasz o indywidualne opracowanie oraz wdrożenie SZBI, to kontrola inspektorów z biura GIODO nie będzie dla Ciebie czarnym scenariuszem tylko dniem, w którym spokojnie odbędziesz kontrolę.

Jak proponowane zmiany prawa mogą wpłynąć na Twój startup?

Przepisy dotyczące ochrony danych osobowych w poszczególnych państwach Unii Europejskiej różnią się od siebie. Niekiedy wręcz utrudniają prowadzenie biznesu, w tym także polskim przedsiębiorcom świadczącym usługi poza na terenie Unii. Ciekawą inicjatywę harmonizacji prawa dot. ochrony danych osobowych zaprezentowała Komisarz Viviane Reding w projekcie jednolitego rozporządzenia unijnego. Pomimo tego, że projekt jest wciąż dyskutowany i z pewnością zostanie dopracowany (czyt. zmieniony w niektórych miejscach), to pewne jego założenia mogą istotnie wpłynąć na Twój startup. Propozycje, które powinny Ciebie szczególnie zainteresować i mają związek z ochroną danych osobowych to:

  • privacy by design i privacy by default (o czym szerzej pisałam w cz.1);
  • obowiązek wyznaczenia Administratora Bezpieczeństwa (w określonych sytuacjach);
  • obowiązek notyfikacji poważnych naruszeń (incydentów) GIODO;
  • prawo do bycia zapomnianym;
  • zmiany w profilowaniu w celach komercyjnych;
  • objęcie obowiązkiem przestrzegania prawa UE wszystkich przedsiębiorców, którzy oferują usługi na terenie Unii.

Beata Marek, IT&IP Lawyer, cyberlaw.pl

Specjalizuje się w prawie nowych technologii ze szczególnym uwzględnieniem prawa własności intelektualnej, ochrony danych osobowych oraz prawa kontraktowego. Od 4 lat zajmuje się problematyką cyberprzestepczosci, cyberzagrożeń oraz bezpieczeństwem informacji. Aktywnie działa w ISSA Polska – Stowarzyszeniu do spraw Bezpieczeństwa Systemów Informacyjnych, Cloud Security Alliance Polska, International Cyber Threat Task Force, a także w Fundacji Bezpieczna Cyberprzestrzeń. Redaktor Naczelna kwartalnika naukowego „Przegląd Prawa Technologii Informacyjnych. ICT Law Review”.

Komentarze (0)