Z poprzedniej części poradnika dowiedzieliście się czym są dane osobowe, kto odpowiada za ich ochronę i dlaczego jest ona taka ważna. W drugiej części przedstawiamy 3 słowa na temat bezpieczeństwa. Miłego czytania!
fot. Fotolia
Polityka bezpieczeństwa, to jeden z ważniejszych dokumentów związany z zarządzaniem bezpieczeństwem informacji w Twojej firmie, który składa się na system zarządzania bezpieczeństwem informacji (dalej jako SZBI). Dokument ten określa, w szczególności:
- wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe;
- wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych;
- opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi;
- sposób przepływu danych pomiędzy poszczególnymi systemami;
- określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.
Do polityki dołącza się przydatne wzory. Uczulam, że dokument ten prowadzi się w formie papierowej. Jest to umotywowane tym, że w przypadku kontroli dokonywanej przez inspektorów z biura Generalnego Inspektora Ochrony Danych Osobowych (dalej jako GIODO) musi zostać wykazana ciągłość i przejrzystość w zakresie dokonywanych zmian.
Wdrożenie i promowanie polityki bezpieczeństwa w firmie ciąży na Administratorze Danych. Z dokumentem tym powinni zapoznać się wszyscy pracownicy dopuszczeni do przetwarzania danych osobowych i jednocześnie zobowiązać się przy tym do stosowania polityki bezpieczeństwa oraz innych aktów (zarówno postanowień wewnątrz organizacyjnych jak i przepisów) pod rygorem odpowiedzialności dyscyplinarnej kwalifikowanej jako ciężkie naruszenie obowiązku pracownika (powinno to zostać stwierdzone podpisem w obecności świadka).
Instrukcja Zarządzania Systemem Informatycznym, to drugi składowy dokument SZBI, który powinieneś wdrożyć. Określa on, w szczególności:
- procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności;
- stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem;
- procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu;
- procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania;
- sposób, miejsce i okres przechowywania:
a) elektronicznych nośników informacji zawierających dane osobowe,
b) kopii zapasowych, o których mowa w pkt 4, - sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, o którym mowa w pkt III ppkt 1 załącznika do Rozporządzenia;
- sposób realizacji wymogów, o których mowa w § 7 ust. 1 pkt 4 Rozporządzenia;
- procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.
Podobnie jak politykę bezpieczeństwa także instrukcję należy prowadzić w formie papierowej, a za jej wdrożenie odpowiedzialny jest Administrator Danych. Jest to dokument jednak znacznie bardziej skomplikowany, którego opracowanie oraz wdrożenie zajmuje więcej czasu.
Indywidualne podejście do wdrożenia obu powyżej przytoczonych dokumentów jest istotne z punktu widzenia bezpieczeństwa Twojej firmy oraz respektowania przepisów. Każde wdrożenie powinno zostać poprzedzone audytem, który wykaże jakie luki lub/i błędy występują na gruncie Twojej organizacji oraz co należy poprawić. Dlatego tak ważne jest, aby SZBI był opracowany zgodnie ze specyfiką Twojej działalności oraz wdrożony zgodnie z normami bezpieczeństwa. Stanowczo odradzam pozorne oszczędności i praktykę „kopiuj, wklej”, gdyż może się ona dla Ciebie skończyć tragicznie. Rekomenduję natomiast indywidualne opracowanie oraz wdrożenie SZBI, w którym zawarta jest polityka bezpieczeństwa oraz instrukcja, na podstawie standardu PNISO/IEC 27001:2007 oraz PN-ISO/IEC 17799:2007. Warto dodać, że norma PN-ISO/IEC 27001:2007 odnosi się także do planu ciągłości działania, który może zostać przez Ciebie wdrożony.
Konsekwencje
Kiedyś miałam klientkę, której motywatorem do wdrożenia polityki bezpieczeństwa oraz instrukcji była wizja kontroli inspektorów z biura GIODO oraz późniejszych sankcji. Trzeba przyznać, że wizja drobiazgowej kontroli nie jest dla nikogo przyjemna, a tym bardziej wezwanie do wykonania określonych czynności we wskazanym terminie (zaleceń pokontrolnych) mając na uwadze przepisy karne UODO. Czy jednak tylko takimi przesłankami należy kierować się przy wdrażaniu SZBI? Z pewnością nie. Wiele razy moi klienci przekonali mnie już, że dla przedsiębiorców istotne znacznie ma bezpieczeństwo ich informacji. Cieszy mnie, że wzrasta ogólnospołeczna świadomość na temat cyberzagrożeń, w tym szczególnie niebezpiecznych dla Twojej firmy – tych związanych ze szpiegostwem korporacyjnym czy wyciekiem baz danych osobowych. Ciekawym opracowaniem na temat prognoz zagrożeń teleinformatycznych w 2013r. jest raport opracowany przez polskich specjalistów ds. bezpieczeństwa. Opracowanie indywidualnego SZBI oraz jego późniejsze wdrożenie, przestrzeganie i szkolenie pracowników jest najbardziej związane z Twoim zyskiem. Bezpieczeństwo informacji gwarantuje Tobie reputację i konkurencyjność.
Wdrożenie ma wtedy sens jeżeli zamierzasz naprawdę zadbać o bezpieczeństwo (czyli nie tylko na papierze) i zdajesz sobie z tego sprawę, że wyciek informacji doprowadzi do kompromitacji Twojego biznesu, a finalnie upadku. Wtedy tak naprawdę starasz się, aby procedury były przestrzegane i dbasz o przeszkolenie swoich pracowników (którzy mają ogromny wpływ na bezpieczeństwo firmy). Jeżeli będziesz kierować się takim tokiem rozumowania i zadbasz o indywidualne opracowanie oraz wdrożenie SZBI, to kontrola inspektorów z biura GIODO nie będzie dla Ciebie czarnym scenariuszem tylko dniem, w którym spokojnie odbędziesz kontrolę.
Jak proponowane zmiany prawa mogą wpłynąć na Twój startup?
Przepisy dotyczące ochrony danych osobowych w poszczególnych państwach Unii Europejskiej różnią się od siebie. Niekiedy wręcz utrudniają prowadzenie biznesu, w tym także polskim przedsiębiorcom świadczącym usługi poza na terenie Unii. Ciekawą inicjatywę harmonizacji prawa dot. ochrony danych osobowych zaprezentowała Komisarz Viviane Reding w projekcie jednolitego rozporządzenia unijnego. Pomimo tego, że projekt jest wciąż dyskutowany i z pewnością zostanie dopracowany (czyt. zmieniony w niektórych miejscach), to pewne jego założenia mogą istotnie wpłynąć na Twój startup. Propozycje, które powinny Ciebie szczególnie zainteresować i mają związek z ochroną danych osobowych to:
- privacy by design i privacy by default (o czym szerzej pisałam w cz.1);
- obowiązek wyznaczenia Administratora Bezpieczeństwa (w określonych sytuacjach);
- obowiązek notyfikacji poważnych naruszeń (incydentów) GIODO;
- prawo do bycia zapomnianym;
- zmiany w profilowaniu w celach komercyjnych;
- objęcie obowiązkiem przestrzegania prawa UE wszystkich przedsiębiorców, którzy oferują usługi na terenie Unii.
Beata Marek, IT&IP Lawyer, cyberlaw.pl
Specjalizuje się w prawie nowych technologii ze szczególnym uwzględnieniem prawa własności intelektualnej, ochrony danych osobowych oraz prawa kontraktowego. Od 4 lat zajmuje się problematyką cyberprzestepczosci, cyberzagrożeń oraz bezpieczeństwem informacji. Aktywnie działa w ISSA Polska – Stowarzyszeniu do spraw Bezpieczeństwa Systemów Informacyjnych, Cloud Security Alliance Polska, International Cyber Threat Task Force, a także w Fundacji Bezpieczna Cyberprzestrzeń. Redaktor Naczelna kwartalnika naukowego „Przegląd Prawa Technologii Informacyjnych. ICT Law Review”.
