Sposób prowadzenia dokumentacji przetwarzania danych osobowych regu-lowany jest przede wszystkim rozporządzeniem Ministra Spraw Wewnętrz-nych i Administracji z 29 kwietnia 2004 roku73. Dokumentacja ta wdrażana jest przez administratora danych osobowych i prowadzona w formie pisem-nej. Składa się na nią polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych.
Ich zawartość została zaprezentowana w tabeli 3.
73 Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z 29 kwietnia 2004 r.
w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, Dz.U. z 2004 r. Nr 100, poz. 1024.
Tabela 3. Zawartość polityki bezpieczeństwa i instrukcji zarządzania systemem in-formatycznym służącym do przetwarzania danych osobowych
Polityka bezpieczeństwa Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych Wykaz budynków, pomieszczeń lub
części pomieszczeń, tworzących ob-szar, w którym przetwarzane są dane osobowe
Procedury nadawania uprawnień do przetwarzania da-nych i rejestrowania tych uprawnień w systemie infor-matycznym oraz wskazanie osoby odpowiedzialnej za te czynności
Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowa-nych do przetwarzania tych dazastosowa-nych
Stosowane metody i środki uwierzytelnienia oraz pro-cedury związane z ich zarządzaniem i użytkowaniem Opis struktury zbiorów danych
wskazu-jący zawartość poszczególnych pól in-formacyjnych i powiązania między nimi
Procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu
Sposób przepływu danych pomiędzy poszczególnymi systemami
Procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania
Określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych
Sposób, miejsce i okres przechowywania:
• elektronicznych nośników informacji zawierających dane osobowe
• kopii zapasowych
Sposób zabezpieczenia systemu informatycznego przed działalnością szkodliwego oprogramowania
Sposób realizacji wymogów rejestracji przez system infor-macji związanych z przetwarzaniem danych osobowych Procedury wykonywania przeglądów i konserwacji sys-temów oraz nośników informacji służących do przetwa-rzania danych
Źródło: opracowanie własne.
W wykazie budynków, pomieszczeń lub części pomieszczeń należy umieścić nie tylko obszary, w których pracownicy wykonują swoje obowiązki służ-bowe, lecz także serwerownie, archiwa czy magazyny z zepsutymi kompu-terami lub wycofywanymi nośnikami danych. Są to także pomieszczenia, w których przetwarza się dane osobowe. Dodatkowo konieczne jest wpro-wadzenie informacji o podmiotach, którym umożliwiano przetwarzanie zdalne, za wyjątkiem sytuacji, gdy system zapewnia zgodny z prawem do-stęp o charakterze publicznym.
Prowadzenie wykazu zbiorów danych osobowych wraz ze wskaza-niem programów zastosowanych do przetwarzania tych danych z pozoru nie wydaje się trudne. Jednakże zalecenia GIODO mówiące, iż powinien zawierać „informacje precyzujące lokalizację miejsca (budynek, pomiesz-czenie, nazwa komputera lub innego urządzenia, np. macierzy dyskowej, biblioteki optycznej), w którym znajdują się zbiory danych osobowych przetwarzane na bieżąco oraz nazwy i lokalizacje programów (modułów programowych) używanych do ich przetwarzania”74 sprawia wiele kło-potów w realizacji.
Większość użytkowanych systemów informatycznych pozwala na wielo-dostęp do jednej lub wielu baz danych, które nie zawsze odpowiadają wprost zbiorom danych. Podział systemów na odpowiednie moduły, powiązane z wyodrębnionymi z baz zbiorami i przyporządkowanie im urządzeń oraz obszarów przetwarzania to zadanie wymagające silnego za-angażowania również administratora systemu informatycznego.
Nie mniejszy kłopot sprawia opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi.
Nie tylko użytkownik, ale często i administrator systemu nie zna wspomnia-nej struktury, gdyż powszechnie stosowane relacyjne bazy danych składają się często z setek połączonych ze sobą tabel. Producenci niechętnie zdradzają ich strukturę, ograniczając się jedynie do wyszczególnienia pól zawierają-cych dane osobowe. Jeszcze bardziej rygorystycznie traktują zagadnienia związane z przepływem danych pomiędzy modułami systemu lub swoimi systemami.
Określenie środków technicznych i organizacyjnych niezbędnych dla za-pewnienia poufności, integralności i rozliczalności przetwarzanych danych, poza środkami proceduralnymi, wymaga z reguły wiedzy specjalistycznej.
Środki te winny być adekwatne do zagrożeń. Ich wdrożenie powinno być więc poprzedzone analizą ryzyka, o której będzie mowa w dalszej części pracy.
UODO narzuca konieczność utrzymania przez ABI rejestru zbiorów da-nych osobowych, które nie zawierają dada-nych wrażliwych. Szczegółowe zasady jego prowadzenia zamieszczone są w rozporządzeniu Ministra
74 ABC bezpieczeństwa danych osobowych przetwarzanych przy użyciu systemów informatycznych, GIODO, Wydawnictwo Sejmowe, Warszawa 2007, s. 12.
Administracji i Cyfryzacji, które zostanie omówione w dalszej części niniej-szego tomu.
Kolejnym rejestrem, którego prowadzenie jest niezbędne do zgodnego z prawem przetwarzania danych osobowych, jest zbiór upoważnień. Winien on zawierać dane pozwalające na jednoznaczną identyfikację upoważnionej osoby, a więc jej imię i nazwisko oraz PESEL lub serię i numer dowodu toż-samości. Każdej z nich należy przypisać zbiory danych osobowych wraz z zakresem przetwarzania, do którego są upoważnione. Pomocne jest rów-nież zamieszczenie loginów użytkowników systemów informatycznych, służących do przetwarzania danych osobowych. Zaleca się odnotowanie ob-szarów, w których są uprawnieni do przebywania. Należy pamiętać, że za-równo rejestr, jak i same upoważnienia dotyczą nie tylko pracowników, lecz również osób związanych pośrednio z organizacją, jak praktykanci czy osoby wykonujące prace na podstawie innej niż umowa o pracę.
6.2. Wymagania dla systemów informatycznych służących do