Temat: Instrukcja zarządzana Systemem Informatycznym - procedury
Wszystko zależy od organizacji. Jeśli organizacja ma już dobrze „poukładane” IT (zdefiniowane i wdrożone procedury regulujące zarządzanie systemami IT) to moim zdaniem w dokumentacji dot. przetwarzania danych osobowych powołać się na nie niż je przepisywać. Dwa dokumentu do nadzorowania to zdecydowanie o jeden za dużo ;-)
Nie zgadzam się z twierdzeniem, że dla użytkowników będzie wygodniej gdy będzie to jeden dokument. Gdy przeciętny użytkownik zobaczy opasły dokument, zawierający mnóstwo mu nieprzydatnych rzeczy (Np. zasady wykonywania kopii zapasowych, opis struktury bazy danych etc.) to raczej nie uzna tego dokumentu za „przyjazny”.
W samym rozporządzeniu nie ma nic na temat formy dokumentacji (poza tym że musi być „w formie pisemnej”). Niemniej GIODO w swojej publikacji „ABC bezpieczeństwa danych osobowych przetwarzanych przy użyciu systemów informatycznych” (
http://www.giodo.gov.pl/data/filemanager_pl/1057.pdf) pisze: „Pojecie ‘polityka bezpieczeństwa’ użyte w rozporządzeniu należy rozumieć – jako zestaw praw, reguł i praktycznych doświadczeń dotyczących sposobu zarządzania, ochrony i dystrybucji danych osobowych wewnątrz określonej organizacji3.” W tej samej publikacji przy okazji omawiania wymagań dla procedury tworzenia kopii zapasowych zbiorów danych:
Fragment instrukcji dotyczący wykonywania kopii zapasowych, gdy procedury ich wykonywania są złożone, może się odwoływać do procedur szczegółowych przypisanych poszczególnym zbiorom danych czy też systemom informatycznym. Procedury takie powinny być wówczas załączone do instrukcji zarządzania.
O samej „Instrukcji zarządzania…” natomiast:
Zawarte w niej procedury i wytyczne powinny być przekazane osobom odpowiedzialnym w jednostce za ich realizację stosownie do przydzielonych uprawnień, zakresu obowiązków i odpowiedzialności. Np. zasady i procedury nadawania uprawnień do przetwarzania danych osobowych czy też sposób prowadzenia ewidencji osób zatrudnionych przy przetwarzaniu danych osobowych powinny być przekazane osobom zarządzającym organizacją przetwarzania danych; sposób rozpoczęcia i zakończenia pracy, sposób użytkowania systemu czy też zasady zmiany haseł – wszystkim osobom będącym jego użytkownikami; zasady ochrony antywirusowej, a także procedury wykonywania kopii zapasowych – osobom zajmującym się techniczną eksploatacją i utrzymaniem ciągłości pracy systemu.
Nie bardzo wyobrażam sobie sytuacje, gdzie najpierw „sklejamy” kilka dokumentów w jedna instrukcję, a potem znowu ją „kroimy” w celu przekazania fragmentów odpowiednim osobom.
Podsumowując, ja jestem zdania że dokumentacja ma przede wszystkim 1) zapewniać bezpieczeństwo danych osobowych oraz 2) (w sumie) opisywać wszystkie wymagane prawem elementy. Aby możliwe było 1), dokumentacja musi być łatwa zarówno do utrzymania, jak i przyjazna w codziennym użytkowaniu. A tego - moim zdaniem – w większości organizacji nie da się osiągnąć publikując jedną dużą, kompleksową „Instrukcje zarządzania…”
Ciekawy jestem jakie jest zdanie innych uczestników grupy. A może ktoś zetknął się z tym problemem podczas kontroli GIODO?
Pozdrawiam,
Jakub