Jak prowadzić politykę bezpieczeństwa zgodnie z prawem

Jak prowadzić politykę bezpieczeństwa zgodnie z prawem

Zgodność z RODO, czyli ogólnym rozporządzeniem o ochronie danych osobowych Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.

 JEST. Artykuł 30 – Rejestrowanie czynności przetwarzania

 JEST. Artykuł 33 – Zgłaszanie naruszenia ochrony danych osobowych organowi nadzorczemu

Aktualizacja październik 2017: Poniżej prezentujemy pełną zgodność funkcjonalną aplikacji ABI Administrator ze stanem prawnym obowiązującym obecnie do czasu wejścia w życie RODO, czyli do maja 2018 roku.

W niniejszym artykule przeanalizujemy zgodność programu ABI Administrator w zakresie wsparcia prowadzenia Polityki Bezpieczeństwa zgodnie z prawem.

Rozporządzenie ministra spraw wewnętrznych i administracji z dnia 29 kwietnia 2004 r. „W sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych”, w paragrafie 4 wymienia elementy Polityki bezpieczeństwa, które powinna ona zawierać w szczególności.

Przyjrzyjmy się zapisom rozporządzenia oraz sprawdźmy czy i jak program ABI Administrator wspiera ABI w prowadzeniu Polityki bezpieczeństwa zgodnie z treścią rozporządzenia.

1) wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe

 JEST. Program pozwala na zdefiniowanie dowolnej liczby miejsc, w których przetwarzane są dane osobowe. Co więcej, definiując miejsce możemy zastosować dowolną liczbę zagłębień, tworząc strukturę hierarchiczną czy drzewiastą. Dzięki temu jesteśmy w stanie stwierdzić, które zbiory danych osobowych są przetwarzane na dowolnym poziomie zagłębienia, np. dla całego budynku, wybranego piętra czy pokoju, a nawet jego części.

Przykład wykazu miejsc o strukturze hierarchicznej:

> Firma XYZ

>> Oddział Kraków

>>> Budynek administracyjny

>>>>Parter

>>>>> Pokój ochrony

>>>>> Serwerownia

>>>>> Pokój nr 1 Sprzedaż

>>>>> Pokój nr 2 Archiwum

>>>>>> Szafa archiwizacyjna nr 1

>>>> Piętro 1

>>>>> Pokój nr 4 Kadry

>>>>> Pokój nr 5 Księgowość

2) wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych

 JEST. Pełny wykaz zbiorów wraz ze wskazaniem programów, jak również podzbiorów w formie papierowej uzyskujemy po kliknięciu w menu Programy i zasoby.

3) opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi

 JEST. Definiując w systemie program lub dowolny zasób możemy w jego opisie wskazać szereg informacji dodatkowych, jak na przykład opis struktury zbiorów. Edytor pozwala na dowolne formatowanie treści: używanie różnych styli (h1, h2, h3), kolorów pisma, pogrubień, kursywy, itp. Możemy również wklejać pliki graficzne np. w postaci zrzutów ekranowych. Dzięki temu możemy stworzyć kompletną dokumentację opisującą strukturę zbioru danych.

Często zdarza się, że dysponujemy dokumentem opisującym strukturę danych dostarczoną przez producenta danego rozwiązania. Oczywiście nie miałoby sensu kopiowanie całości dokumentu, który często składa się z wielu stron tekstu. Możemy natomiast wgrać taki dokument do biblioteki mediów, a w treści naszego opisu jedynie odwołać się do niego poprzez użycia odnośnika URL.

Wreszcie możemy wygenerować zbiorczy raport dla wszystkich zdefiniowanych w systemie zasobów i programów, prezentując ich nazwę, przetwarzane zbiory, miejsca przetwarzania oraz opis struktury zbiorów danych.

4) sposób przepływu danych pomiędzy poszczególnymi systemami

 JEST. Dla każdego programu zdefiniowanego w systemie możemy wskazać dowolną liczbę innych programów, które są z nim związane: używa ich lub jest przez nie używany.

Na przykład system CRM wymienia dane z programem do fakturowania w ten sposób, ze dane z programu CRM są przekazywane on-line do bazy programu fakturującego w celu wygenerowania dokumentu sprzedaży. Mamy wtedy do czynienia z jednokierunkową wymianą danych: Program CRM > Program fakturujący.

Możemy wyobrazić także sytuację, że dane z programu CRM są przekazywane do programu fakturującego, ale także program fakturujący przekazuje dane do systemu CRM, np. w celu kontroli stanu płatności. Będziemy mieli wówczas do czynienia z dwukierunkową wymianą danych system CRM <> Program fakturujący.

ABI Administrator jest w stanie wykazać oba wyżej opisane przypadki. Co więcej, możemy dodać opis sposobu wymiany tych danych. Np. czy wymiana następuje automatycznie on-line, czy półautomatycznie poprzez wyeksportowanie danych z jednego miejsca i zaimportowanie ich do drugiego.

Pełny raport Przepływ danych w formacie html lub CSV jest dostępny z poziomu Programy i zasoby.

5) określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych

 JEST. ABI Administrator wspiera prowadzenie polityki bezpieczeństwa w tym zakresie na wiele sposobów, oferując:

– prowadzenie wykazu upoważnionych wraz z identyfikatorem i zakresem uprawnień (raport Upoważnieni w formacie html i CSV)

– prowadzenie Wykazu miejsc przetwarzania danych osobowych wraz ze wskazaniem zabezpieczeń fizycznych

– nadawanie i anulowanie upoważnień – wsparte obsługą dowolnej liczby szablonów zdefiniowanych w systemie

– rejestrowanie incydentów w relacji do osoby, zbioru, programu, miejsca

– prowadzenie dodatkowej innej dokumentacji, jak np. oświadczenia o poufności, oświadczenia o zapoznaniu się z polityką bezpieczeństwa, potwierdzenie odbycia szkolenia, itp.

Dodatkowo

Rozporządzenie MAiC z dn. 11.05.2015 (Dz.U. z dn. 25.05.2015 poz. 719) w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych

 JEST. Program ABI Administrator pozwala na prowadzenie rejestru zbiorów w sposób zgodny z rozporządzeniem . Rejestr może być wyeksportowany bezpośrednio do pliku html w celu wydruku lub publikacji na stronie internetowej.

Rozporządzenie MAiC z dn. 11.05.2015 (Dz.U. z dn. 29.05.2015 poz. 745) w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji

 JEST. Program ABI Administrator pozwala na prowadzenie planu sprawdzeń oraz ewidencji sprawozdań ze sprawdzeń zgodnie w wytycznymi rozporządzenia. Funkcjonalność ta dostępna jest w ramach modułu Sprawdzenia. Więcej informacji o module Sprawdzenia

No Comments

Sorry, the comment form is closed at this time.