| IFK | IRB | INFORLEX | GAZETA PRAWNA | INFORORGANIZER | APLIKACJA MOBILNA | PRACA W INFOR | SKLEP
reklama
Jesteś tutaj: STRONA GŁÓWNA > Kadry > Indywidualne prawo pracy > Ochrona danych osobowych > Jak zabezpieczyć zbiór danych osobowych

Jak zabezpieczyć zbiór danych osobowych

Pracodawca ma dostęp do licznych dokumentów zawierających dane osobowe. Część z nich jest przechowywana w teczkach osobowych pracowników, jednak znaczna większość jest przetwarzana w postaci elektronicznej, np. w programach kadrowych lub płacowych.

Polityka bezpieczeństwa oraz Instrukcja

Pojęcie „polityka bezpieczeństwa” użyte w rozporządzeniu należy rozumieć jako zestaw praw, reguł i praktycznych doświadczeń dotyczących sposobu zarządzania, ochrony i dystrybucji danych osobowych wewnątrz określonej organizacji. Należy zaznaczyć, że polityka bezpieczeństwa, o której mowa w rozporządzeniu, powinna odnosić się całościowo do problemu zabezpieczenia danych osobowych u administratora danych, tj. zarówno do zabezpieczenia danych przetwarzanych tradycyjnie, jak i danych przetwarzanych w systemach informatycznych. Jej celem jest wskazanie działań, jakie należy wykonać, oraz ustanowienie zasad i reguł postępowania, które należy stosować, aby właściwie zabezpieczyć dane osobowe. Należy przy tym podkreślić, że dokument „polityki bezpieczeństwa” powinien deklarować zaangażowanie kierownictwa i wyznaczać podejście instytucji do zarządzania bezpieczeństwem informacji.

Jako minimum dokument określający „politykę bezpieczeństwa” powinien zawierać m.in.:

  • wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe,
  • wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych,
  • sposób przepływu danych między poszczególnymi systemami, np. kadrowym i płacowym,
  • określenie środków technicznych i organizacyjnych niezbędnych w celu zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.

Przykład

Pracodawca samodzielnie prowadzi kadry i płace przy pomocy pracowników, którzy swoje obowiązki wykonują w dwóch różnych budynkach należących do pracodawcy. W takiej sytuacji w „polityce bezpieczeństwa” pracodawca powinien wskazać oba budynki jako obszar, na którym są przetwarzane dane osobowe. Jednocześnie powinien wskazać sposób przesyłania danych między budynkami. Przesyłanie może się odbywać np. drogą e-mailową lub w sposób zautomatyzowany za pomocą funkcji programu kadrowego lub płacowego.

Drugim dokumentem wymaganym przez przepisy rozporządzenia jest „Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych”.

Jest to dokument, który w swojej treści powinien zawierać m.in.:

  • procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności,
  • stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem,
  • procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu,
  • procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania,
  • sposób, miejsce i okres przechowywania:

– elektronicznych nośników informacji zawierających dane osobowe, np. płyty CD,

– kopii zapasowych,

● sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego.

Podstawa prawna:

  • art. 36–39a ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (DzU z 2002 r. nr 101, poz. 926 ze zm.),
  • rozporządzenie MSWiA z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (DzU nr 100, poz. 1024).

Orzecznictwo:

  • wyrok WSA w Warszawie z 5 października 2005 r. (II SA/Wa 734/05, niepubl.).

 

reklama

Narzędzia kadrowego

POLECANE

PRAWO PRACY DLA RODZICÓW

reklama

Ostatnio na forum

Fundusze unijne

WYDARZENIA

Eksperci portalu infor.pl

Marcin Sanner

Doradca prawny z zakresu Prawa Zamówień Publicznych

Zostań ekspertem portalu Infor.pl »