Temat: Kiedy rejestrowac i kiedy polityka?
Powinno się przygotować procedurę poszerzoną (pełną) i jeśli będą te dane to w procedurze będzie opisany proces zgłoszenia danych i zgodnie z tym zostaną one zgloszone do GIODO.
Zgłaszamy tylko zbiory, które posiadamy a nie te które planujemy w związku z powyższym dopiero jeśli taki zbiór będzie w posiadaniu firmy wtedy niezwłocznie należy go zgłosić zgodnie z wzorem w rozporządzniu.
Poniżej garść informacji rozwijających temat.
Tak naprawdę są dwie szkoły:
1. Zabezpieczenia mogą być wdrożone przed rozpoczęciem przetwarzania danych osobowych - w momencie pozyskania dane są przetwarzane i właściwe zabezpieczone – optymalne rozwiązanie;
2. wdrażanie wymagań to proces, który zajmuje trochę czasu i jest kilku etapowy
• analiza organizacji pod kątem zastosowania odpowiednich zabezpieczeń do występujących ryzyk i zagrożeń (z doświadczenia wiemy, że niektóre organizacje stosują zabezpieczenia nieadekwatne do poziomu ryzyka – nadmiarowość zabezpieczeń np.: kupowanie szaf metalowych i sejfów do przechowywania dokumentacji z danymi osobowymi – nadinterpretacja ustawy, inwestycja bardzo w zaawansowane technologicznie urządzenia informatyczne zabezpieczające sieć – nieadekwatne do ryzyka itp…)
• przygotowanie wymaganej ustawą i rozporządzeniem dokumentacji odpowiednio dostosowanej do organizacji min.:
Polityka bezpieczeństwa jako dokument wraz załącznikami:
o upoważnienia,
o oświadczenia,
o umowa powierzenia przetwarzania danych osobowych,
o inne w zależności od specyfiki organizacji.
Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych oraz procedur powiązanych:
o nadawania i korzystania z uprawnień
o odmiejscowienia kopii zapasowych,
o tworzenia kopii zapasowych,
o niszczenia nośników informacji,
o wykonywania przeglądów i konserwacji systemów,
o planów ciągłości działania
• Świadomość poprzez szkolenia pracowników – szkolenia powinny być dostosowane -segmentowe nie powinno się mówic na szkoleniach o wszystkim bo ludzie tego nie zapamiętają i efekt będzie znikomy (inny pakiet je lub Judyt zewnętrznyst dla ABI oraz informatyków wykonujących np.: kopie zapasowe a inny dla zwykłych użytkowników.
• Wdrożenie zabezpieczeń wynikających z dokumentacji
• Zgłoszenie zbioru (jeśli nie jest zwolniony ze zgłoszenia)
• Testy funkcjonowania – audyt wewnętrzny (nie musi to być osoba na stanowisku audytora może to przeprowadzić ABI) Wychwycenie niedociągnięć – plan naprawy
Oba przypadki mogą być w Państwa przypadku zastosowane.
Nawet jeśli przedmiotowego zbioru danych klientów firma nie pozyska to i tak nie będą to wyrzucone pieniądze ponieważ firma posidaja zapewne zbiór pracowników, który tak samo podlega ustawie a co za tym idzie powinien być tak samo zabezpieczony. Jedyna różnica zbiór danych osobowych pracowników firmy nie podlega zgłoszeniu do GIODO Art.43.1 ppkt 4
K.
http://EAGLEauditors.pl - zapraszamy na szkolenie wrzesniowe dot. ochrony danych osobowych
Katarzyna Wójtowicz (Tataj) edytował(a) ten post dnia 01.08.08 o godzinie 12:38
пропозиції роботи
