Z poprzedniej części poradnika dowiedzieliście się czym są dane osobowe, kto odpowiada za ich ochronę i dlaczego jest ona taka ważna. W drugiej części przedstawiamy 3 słowa na temat bezpieczeństwa. Miłego czytania!

fot. Fotolia

Polityka bezpieczeństwa, to jeden z ważniejszych dokumentów związany z zarządzaniem bezpieczeństwem informacji w Twojej firmie, który składa się na system zarządzania bezpieczeństwem informacji (dalej jako SZBI). Dokument ten określa, w szczególności:

  1. wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe;
  2. wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych;
  3. opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi;
  4. sposób przepływu danych pomiędzy poszczególnymi systemami;
  5. określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.

Do polityki dołącza się przydatne wzory. Uczulam, że dokument ten prowadzi się w formie papierowej. Jest to umotywowane tym, że w przypadku kontroli dokonywanej przez inspektorów z biura Generalnego Inspektora Ochrony Danych Osobowych (dalej jako GIODO) musi zostać wykazana ciągłość i przejrzystość w zakresie dokonywanych zmian.

Wdrożenie i promowanie polityki bezpieczeństwa w firmie ciąży na Administratorze Danych. Z dokumentem tym powinni zapoznać się wszyscy pracownicy dopuszczeni do przetwarzania danych osobowych i jednocześnie zobowiązać się przy tym do stosowania polityki bezpieczeństwa oraz innych aktów (zarówno postanowień wewnątrz organizacyjnych jak i przepisów) pod rygorem odpowiedzialności dyscyplinarnej kwalifikowanej jako ciężkie naruszenie obowiązku pracownika (powinno to zostać stwierdzone podpisem w obecności świadka).

Instrukcja Zarządzania Systemem Informatycznym,  to drugi składowy dokument SZBI, który powinieneś wdrożyć. Określa on, w szczególności:

  1. procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności;
  2. stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem;
  3. procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu;
  4. procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania;
  5. sposób, miejsce i okres przechowywania:
    a) elektronicznych nośników informacji zawierających dane osobowe,
    b) kopii zapasowych, o których mowa w pkt 4,
  6. sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, o którym mowa w pkt III ppkt 1 załącznika do Rozporządzenia;
  7. sposób realizacji wymogów, o których mowa w § 7 ust. 1 pkt 4 Rozporządzenia;
  8. procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.

Podobnie jak politykę bezpieczeństwa także instrukcję należy prowadzić w formie papierowej, a za jej wdrożenie odpowiedzialny jest Administrator Danych. Jest to dokument jednak znacznie bardziej skomplikowany, którego opracowanie oraz wdrożenie zajmuje więcej czasu.

Indywidualne podejście do wdrożenia obu powyżej przytoczonych dokumentów jest istotne z punktu widzenia bezpieczeństwa Twojej firmy oraz respektowania przepisów. Każde wdrożenie powinno zostać poprzedzone audytem, który wykaże jakie luki lub/i błędy występują na gruncie Twojej organizacji oraz co należy poprawić. Dlatego tak ważne jest, aby SZBI był opracowany zgodnie ze specyfiką Twojej działalności oraz wdrożony zgodnie z normami bezpieczeństwa. Stanowczo odradzam pozorne oszczędności i praktykę „kopiuj, wklej”, gdyż może się ona dla Ciebie skończyć tragicznie. Rekomenduję natomiast indywidualne opracowanie oraz wdrożenie SZBI, w którym zawarta jest polityka bezpieczeństwa oraz instrukcja, na podstawie standardu PNISO/IEC 27001:2007 oraz PN-ISO/IEC 17799:2007. Warto dodać, że norma PN-ISO/IEC 27001:2007 odnosi się także do planu ciągłości działania, który może zostać przez Ciebie wdrożony.

Konsekwencje
Kiedyś miałam klientkę, której motywatorem do wdrożenia polityki bezpieczeństwa oraz instrukcji była wizja kontroli inspektorów z biura GIODO oraz późniejszych sankcji. Trzeba przyznać, że wizja drobiazgowej kontroli nie jest dla nikogo przyjemna, a tym bardziej wezwanie do wykonania określonych czynności we wskazanym terminie (zaleceń pokontrolnych) mając na uwadze przepisy karne UODO. Czy jednak tylko takimi przesłankami należy kierować się przy wdrażaniu SZBI? Z pewnością nie. Wiele razy moi klienci przekonali mnie już, że dla przedsiębiorców istotne znacznie ma bezpieczeństwo ich informacji. Cieszy mnie, że wzrasta ogólnospołeczna świadomość na temat cyberzagrożeń, w tym szczególnie niebezpiecznych dla Twojej firmy - tych związanych ze szpiegostwem korporacyjnym czy wyciekiem baz danych osobowych. Ciekawym opracowaniem na temat prognoz zagrożeń teleinformatycznych w 2013r. jest raport opracowany przez polskich specjalistów ds. bezpieczeństwa. Opracowanie indywidualnego SZBI oraz jego późniejsze wdrożenie, przestrzeganie i szkolenie pracowników jest najbardziej związane z Twoim zyskiem. Bezpieczeństwo informacji gwarantuje Tobie reputację i konkurencyjność.

Wdrożenie ma wtedy sens jeżeli zamierzasz naprawdę zadbać o bezpieczeństwo (czyli nie tylko na papierze) i zdajesz sobie z tego sprawę, że wyciek informacji doprowadzi do kompromitacji Twojego biznesu, a finalnie upadku. Wtedy tak naprawdę starasz się, aby procedury były przestrzegane i dbasz o przeszkolenie swoich pracowników (którzy mają ogromny wpływ na bezpieczeństwo firmy). Jeżeli będziesz kierować się takim tokiem rozumowania i zadbasz o indywidualne opracowanie oraz wdrożenie SZBI, to kontrola inspektorów z biura GIODO nie będzie dla Ciebie czarnym scenariuszem tylko dniem, w którym spokojnie odbędziesz kontrolę.

Jak proponowane zmiany prawa mogą wpłynąć na Twój startup?

Przepisy dotyczące ochrony danych osobowych w poszczególnych państwach Unii Europejskiej różnią się od siebie. Niekiedy wręcz utrudniają prowadzenie biznesu, w tym także polskim przedsiębiorcom świadczącym usługi poza na terenie Unii. Ciekawą inicjatywę harmonizacji prawa dot. ochrony danych osobowych zaprezentowała Komisarz Viviane Reding w projekcie jednolitego rozporządzenia unijnego. Pomimo tego, że projekt jest wciąż dyskutowany i z pewnością zostanie dopracowany (czyt. zmieniony w niektórych miejscach), to pewne jego założenia mogą istotnie wpłynąć na Twój startup. Propozycje, które powinny Ciebie szczególnie zainteresować i mają związek z ochroną danych osobowych to:

  • privacy by design i privacy by default (o czym szerzej pisałam w cz.1);
  • obowiązek wyznaczenia Administratora Bezpieczeństwa (w określonych sytuacjach);
  • obowiązek notyfikacji poważnych naruszeń (incydentów) GIODO;
  • prawo do bycia zapomnianym;
  • zmiany w profilowaniu w celach komercyjnych;
  • objęcie obowiązkiem przestrzegania prawa UE wszystkich przedsiębiorców, którzy oferują usługi na terenie Unii.

Beata Marek, IT&IP Lawyer, cyberlaw.pl

Specjalizuje się w prawie nowych technologii ze szczególnym uwzględnieniem prawa własności intelektualnej, ochrony danych osobowych oraz prawa kontraktowego. Od 4 lat zajmuje się problematyką cyberprzestepczosci, cyberzagrożeń oraz bezpieczeństwem informacji. Aktywnie działa w ISSA Polska – Stowarzyszeniu do spraw Bezpieczeństwa Systemów Informacyjnych, Cloud Security Alliance Polska, International Cyber Threat Task Force, a także w Fundacji Bezpieczna Cyberprzestrzeń. Redaktor Naczelna kwartalnika naukowego „Przegląd Prawa Technologii Informacyjnych. ICT Law Review”.

Komentarze (0)