Sposób prowadzenia dokumentacji przetwarzania danych osobowych regu
lowany jest przede wszystkim rozporządzeniem Ministra Spraw Wewnętrz
nych i Administracji z 29 kwietnia 2004 roku73. Dokumentacja ta wdrażana jest przez administratora danych osobowych i prowadzona w formie pisem
nej. Składa się na nią polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych.
Ich zawartość została zaprezentowana w tabeli 3.
73 Rozporządzenie M inistra Spraw Wewnętrznych i A dm inistracji z 29 kwietnia 2004 r.
w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, Dz.U. z 2004 r. Nr 100, poz. 1024.
Tabela 3. Zawartość polityki bezpieczeństwa i instrukcji zarządzania systemem in
formatycznym służącym do przetwarzania danych osobowych
P olityka b ezp ie cze ń stw a In stru kcja za rząd za n ia system em in form atycznym słu żącym do p rze tw arzan ia danych o so b ow ych Wykaz budynków, pomieszczeń lub
części pomieszczeń, tworzących ob
szar, w którym przetwarzane są dane osobowe
Procedury nadawania uprawnień do przetwarzania da
nych i rejestrowania tych uprawnień w systemie infor
matycznym oraz wskazanie osoby odpowiedzialnej za te czynności
Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowa
nych do przetwarzania tych danych
Stosowane metody i środki uwierzytelnienia oraz pro
cedury związane z ich zarządzaniem i użytkowaniem Opis struktury zbiorów danych wskazu
jący zawartość poszczególnych pól in
formacyjnych i powiązania między nimi
Procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu
Sposób przepływu danych pomiędzy poszczególnymi systemami
Procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania
O kreślenie środków technicznych i organizacyjnych niezbędnych dla zapew nienia poufności, integralności i rozliczalności przetw arzanych danych
Sposób, miejsce i okres przechowywania:
• elektronicznych nośników informacji zawierających dane osobowe
• kopii zapasowych
Sposób zabezpieczenia systemu informatycznego przed działalnością szkodliwego oprogramowania
Sposób realizacji wymogów rejestracji przez system infor
macji związanych z przetwarzaniem danych osobowych Procedury wykonywania przeglądów i konserwacji sys
temów oraz nośników informacji służących do przetwa
rzania danych
Źródło: opracowanie własne.
W wykazie budynków, pomieszczeń lub części pomieszczeń należy umieścić nie tylko obszary, w których pracownicy wykonują swoje obowiązki służ
bowe, lecz także serwerownie, archiwa czy magazyny z zepsutymi kompu
terami lub wycofywanymi nośnikami danych. Są to także pomieszczenia, w których przetwarza się dane osobowe. Dodatkowo konieczne jest wpro
wadzenie informacji o podmiotach, którym umożliwiano przetwarzanie zdalne, za wyjątkiem sytuacji, gdy system zapewnia zgodny z prawem do
stęp o charakterze publicznym.
Prowadzenie wykazu zbiorów danych osobowych wraz ze wskaza
niem programów zastosowanych do przetwarzania tych danych z pozoru nie wydaje się trudne. Jednakże zalecenia GIODO mówiące, iż powinien zawierać „informacje precyzujące lokalizację miejsca (budynek, pomiesz
czenie, nazwa komputera lub innego urządzenia, np. macierzy dyskowej, biblioteki optycznej), w którym znajdują się zbiory danych osobowych przetwarzane na bieżąco oraz nazwy i lokalizacje programów (modułów programowych) używanych do ich przetwarzania"74 sprawia wiele kło
potów w realizacji.
Większość użytkowanych systemów informatycznych pozwala na wielo- dostęp do jednej lub wielu baz danych, które nie zawsze odpowiadają wprost zbiorom danych. Podział systemów na odpowiednie moduły, powiązane z wyodrębnionymi z baz zbiorami i przyporządkowanie im urządzeń oraz obszarów przetwarzania to zadanie wymagające silnego za
angażowania również administratora systemu informatycznego.
Nie mniejszy kłopot sprawia opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi.
Nie tylko użytkownik, ale często i administrator systemu nie zna wspomnia
nej struktury, gdyż powszechnie stosowane relacyjne bazy danych składają się często z setek połączonych ze sobą tabel. Producenci niechętnie zdradzają ich strukturę, ograniczając się jedynie do wyszczególnienia pól zawierają
cych dane osobowe. Jeszcze bardziej rygorystycznie traktują zagadnienia związane z przepływem danych pomiędzy modułami systemu lub swoimi systemami.
Określenie środków technicznych i organizacyjnych niezbędnych dla za
pewnienia poufności, integralności i rozliczalności przetwarzanych danych, poza środkami proceduralnymi, wymaga z reguły wiedzy specjalistycznej.
Środki te winny być adekwatne do zagrożeń. Ich wdrożenie powinno być więc poprzedzone analizą ryzyka, o której będzie mowa w dalszej części pracy.
UODO narzuca konieczność utrzymania przez ABI rejestru zbiorów da
nych osobowych, które nie zawierają danych wrażliwych. Szczegółowe zasady jego prowadzenia zamieszczone są w rozporządzeniu Ministra
71 ABC bezpieczeństwa danych osobaim/ch przetwarzanych przy użyciu systemów informatycznych, GIODO, Wydawnictwo Sejmowe, Warszawa 2007, s. 12.
Administracji i Cyfryzacji, które zostanie omówione w dalszej części niniej
szego tomu.
Kolejnym rejestrem, którego prowadzenie jest niezbędne do zgodnego z prawem przetwarzania danych osobowych, jest zbiór upoważnień. Winien on zawierać dane pozwalające na jednoznaczną identyfikację upoważnionej osoby, a więc jej imię i nazwisko oraz PESEL lub serię i numer dowodu toż
samości. Każdej z nich należy przypisać zbiory danych osobowych wraz z zakresem przetwarzania, do którego są upoważnione. Pomocne jest rów
nież zamieszczenie loginów użytkowników systemów informatycznych, służących do przetwarzania danych osobowych. Zaleca się odnotowanie ob
szarów, w których są uprawnieni do przebywania. Należy pamiętać, że za
równo rejestr, jak i same upoważnienia dotyczą nie tylko pracowników, lecz również osób związanych pośrednio z organizacją, jak praktykanci czy osoby wykonujące prace na podstawie innej niż umowa o pracę.