Powrót

Czy dotychczas stosowana dokumentacja przetwarzania może być wykorzystana?

Obecnie prowadzona dokumentacja, na którą składają się polityka bezpieczeństwa i instrukcja zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych, z powodzeniem może być wykorzystana w celu stworzenia dokumentacji, której celem będzie wykazanie zgodności realizowanych procesów przetwarzania z wymaganiami RODO. Obowiązek wykazania przestrzegania stosowania przepisów RODO wynikający z art. 24 RODO nie określa bowiem w jaki sposób, poprzez jakie dokumenty, czy inne instrumenty zarządzania powinien być zrealizowany. Przepis art. 24 RODO stanowi jedynie, że administrator ma wykazać, że wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z RODO. Opracowana w powyższy sposób dokumentacja, powinna zatem opisywać zastosowane w powyższym celu procedury i środki techniczne.

Jeśli zatem prowadzona wg. dotychczas obowiązujących wymagań dokumentacja zawierała wymagane elementy, takie jak inwentaryzacja zasobów informacyjnych, opis przepływy danych między systemami czy specyfikacje środków organizacyjnych i technicznych zastosowanych do ochrony przetwarzanych danych, czego wymagała polityka bezpieczeństwa to w pełni można je przenieść do nowej dokumentacji.

Nie ma również przeszkód, aby do problemu nowej dokumentacji, która będzie spełniała nowe wymagania, o których mowa wyżej podejść w sposób odwrotny, t.j uzupełnić dotychczas stosowaną dokumentacje o nowe elementy wymienione w rozdziale 1 takie jak:

  1. rejestr czynności przetwarzania i zakres rejestru kategorii czynności przetwarzania, o których mowa w art. 30 RODO;
  2. procedury dotyczące zgłaszanie naruszeń ochrony danych do organu nadzorczego (UODO) – art. 33 ust 3 RODO;
  3. procedury dotyczące prowadzenia wewnętrznego rejestru naruszeń ochrony danych, o którym mowa w art. 33 ust 5 RODO;
  4. raporty dokumentujące wyniki przeprowadzonych ocen skutków dla ochrony danych – art. 35 ust. 7.
  • jeśli zgodnie z przepisami RODO są wymagane (dotyczy punktu 4).

Należy dodatkowo pamiętać, że dokumentując przyjęte procedury i wymagania dotyczące przetwarzania danych osobowych, zgodnie z art. 32 ust 1 RODO, powinniśmy mieć na uwadze, aby przyjęte rozwiązania były adekwatne do obecnego stanu wiedzy technicznej. Dotyczy to nie tylko wiedzy technicznej w zakresie dostępnych środków bezpieczeństwa, ale również wiedzy w zakresie systemów zarządzania bezpieczeństwem, do którego należą takie elementy jak standardy w zakresie zarzadzania, dokumentowania zmian, konfiguracji i innych elementów, które powinny być zawarte w dokumentacji przetwarzania.

Należy przy tym pamiętać również o innych obowiązujących wymaganiach prawnych nadal obowiązujących takich jak wymagania określone w takich przepisach jak:

  • ustawa z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (tekst jednolity Dz. U. z 2014 r. poz. 1114) oraz wydane do niej
  • rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (tekst jednolity Dz. U. z 2016 r. poz. 113), nazywanym w skrócie Rozporządzeniem KRI.

W wyżej wymienionych dokumentach, w kontekście dokumentacji przetwarzania warto zwrócić uwagę w szczególności na § 20ust. 1 KRI, który stanowi, że:

„Podmiot realizujący zadania publiczne opracowuje i ustanawia, wdraża i eksploatuje, monitoruje i przegląda oraz utrzymuje i doskonali system zarządzania bezpieczeństwem informacji zapewniający poufność, dostępność i integralność informacji z uwzględnieniem takich atrybutów, jak autentyczność, rozliczalność, niezaprzeczalność i niezawodność”.

W odniesieniu natomiast do działań jakie chcemy wykazać w kontekście wykazania dbałości o bezpieczeństwo przetwarzanych danych, warto skorzystać z zaleceń wymienionych w § 20 ust 2 rozporządzenia KRI odnoszących się do zarządzania bezpieczeństwem, które stanowi, że powinno to być zapewniane poprzez:

  1. zapewnienie aktualizacji regulacji wewnętrznych w zakresie dotyczącym zmieniającego się otoczenia;
  2. utrzymywanie aktualności inwentaryzacji sprzętu i oprogramowania służącego do przetwarzania informacji obejmującej ich rodzaj i konfigurację;
  3. przeprowadzanie okresowych analiz ryzyka utraty integralności, dostępności lub poufności informacji oraz podejmowania działań minimalizujących to ryzyko, stosownie do wyników przeprowadzonej analizy;
  4. podejmowanie działań zapewniających, że osoby zaangażowane w proces przetwarzania informacji posiadają stosowne uprawnienia i uczestniczą w tym procesie w stopniu adekwatnym do realizowanych przez nie zadań oraz obowiązków mających na celu zapewnienie bezpieczeństwa informacji;
  5. bezzwłoczna zmiana uprawnień, w przypadku zmiany zadań osób, o których mowa w pkt 4;
  6. zapewnienie szkolenia osób zaangażowanych w proces przetwarzania informacji ze szczególnym uwzględnieniem takich zagadnień, jak:
    1. zagrożenia bezpieczeństwa informacji,
    2. skutki naruszenia zasad bezpieczeństwa informacji, w tym odpowiedzialność prawna,
    3. stosowanie środków zapewniających bezpieczeństwo informacji, w tym urządzenia i oprogramowanie minimalizujące ryzyko błędów ludzkich;
  7. zapewnienie ochrony przetwarzanych informacji przed ich kradzieżą, nieuprawnionym dostępem, uszkodzeniami lub zakłóceniami, przez:
    1. monitorowanie dostępu do informacji,
    2. czynności zmierzające do wykrycia nieautoryzowanych działań związanych z przetwarzaniem informacji,
    3. zapewnienie środków uniemożliwiających nieautoryzowany dostęp na poziomie systemów operacyjnych, usług sieciowych i aplikacji;
  8. ustanowienie podstawowych zasad gwarantujących bezpieczną pracę przy przetwarzaniu mobilnym i pracy na odległość;
  9. zabezpieczenie informacji w sposób uniemożliwiający nieuprawnionemu jej ujawnienie, modyfikacje, usunięcie lub zniszczenie;
  10. zawieranie w umowach serwisowych podpisanych ze stronami trzecimi zapisów gwarantujących odpowiedni poziom bezpieczeństwa informacji;
  11. ustalenie zasad postępowania z informacjami, zapewniających minimalizację wystąpienia ryzyka kradzieży informacji i środków przetwarzania informacji, w tym urządzeń mobilnych;
  12. zapewnienie odpowiedniego poziomu bezpieczeństwa w systemach teleinformatycznych, polegającego w szczególności na:
    1. dbałości o aktualizację oprogramowania,
    2. minimalizowaniu ryzyka utraty informacji w wyniku awarii,
    3. ochronie przed błędami, utratą, nieuprawnioną modyfikacją,
    4. stosowaniu mechanizmów kryptograficznych w sposób adekwatny do zagrożeń lub wymogów przepisu prawa,
    5. zapewnieniu bezpieczeństwa plików systemowych,
    6. redukcji ryzyk wynikających z wykorzystania opublikowanych podatności technicznych systemów teleinformatycznych,
    7. niezwłocznym podejmowaniu działań po dostrzeżeniu nieujawnionych podatności systemów teleinformatycznych na możliwość naruszenia bezpieczeństwa,
    8. kontroli zgodności systemów teleinformatycznych z odpowiednimi normami i politykami bezpieczeństwa;
  13. bezzwłoczne zgłaszanie incydentów naruszenia bezpieczeństwa informacji w określony i z góry ustalony sposób, umożliwiający szybkie podjęcie działań korygujących;
  14. zapewnienie okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji, nie rzadziej niż raz na rok.

Źródło: uodo.gov.pl

» RODO w pytaniach i odpowiedziach

Tagi: