ul. Kazimierza Wielkiego 1

Wrocław

+ 71 740 50 00

Obsługa klienta

Pon - Pt: 8:30 - 16:30

Godziny otwarcia

O mnie

Nazywam się Iwo Klisz, jestem adwokatem specjalizującym się w prawie ochrony danych osobowych oraz wspólnikiem zarządzającym w Kancelarii Klisz i Wspólnicy z Wrocławia, a także liderem zespołu prawników specjalistów w zakresie prawnej obsługi przedsiębiorców

więcej …

Kancelaria Klisz i Wspólnicy

ul. Joachima Lelewela 23/7
53-505 Wrocław

tel. kom. 695 560 425
tel. 71 740 50 00

e-mail: i.klisz@adwokat-wroclaw.biz.pl

O blogu

Główne Tematy

Instrukcja zarządzania systemem informatycznym a RODO

Instrukcja zarządzania systemem informatycznym

Do czego służy instrukcja zarządzania systemem informatycznym a RODO

Posiadasz instrukcję zarządzania systemem informatycznym wprowadzoną pod rządami poprzednich przepisów i zastanawiasz się, czy jest ona obowiązkowa także zgodnie z przepisami RODO? A może chciałbyś ją dostosować do nowej regulacji w zakresie ochrony danych osobowych? Czy też nie posiadasz takiego dokumentu i nie wiesz, czy musisz go posiadać? Z artykułu dowiesz się:

  • Czy instrukcja zarządzania systemem informatycznym jest dokumentem wymaganym przez RODO,
  • Czy ww. instrukcja może być stosowana obecnie,
  • O jakie elementy warto uzupełnić dokumentację ochrony danych osobowych.

Jednym z podstawowych obowiązków administratora danych osobowych jest wprowadzenie odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie odbywało się zgodnie z przepisami RODO. Dobór tychże środków powinien uwzględniać charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, a także stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania.

Jednym ze środków organizacyjnych jest dokumentacja określająca zasady przetwarzania i ochrony danych osobowych. Ogólne rozporządzenie o ochronie danych osobowych (RODO) nie wprowadza ścisłych wytycznych w tym zakresie pozostawiając dużą swobodę podmiotom przetwarzającym dane osobowe.

Innymi słowy, jeżeli posiadasz instrukcję zarządzania systemem informatycznym, to możesz uczynić ja elementem dokumentacji ochrony danych osobowych. Pamiętaj wszakże o obowiązku uwzględnienia w tejże dokumentacji aktualnego stanu wiedzy technicznej. Proponowane w instrukcji procedury, zabezpieczenia oraz sposoby postępowania z danymi osobowymi powinny zatem odpowiadać najnowszym systemom operacyjnym oraz uwzględniać funkcjonalności poszczególnych aplikacji.

Szczegółowe rozwiązania wprowadzone do instrukcji mogą natomiast uwzględniać specyfikę twojego przedsiębiorstwa. Nie musisz zatem ustalać procedur zmiany haseł, bądź też skomplikowanych metod ich tworzenia – o ile bazując na ww. przesłankach, uznasz że nie jest to konieczne dla zapewnienia bezpieczeństwa przetwarzanych danych osobowych. Podobnie inne rozwiązania normowane w instrukcji nie muszą odpowiadać uprzednio obowiązującym wymogom prawnych. Możesz je dostosować do własnych potrzeb. RODO przewiduje bowiem, że zamiast określania sztywnych ram i warunków stawianych poszczególnym procesom, lepszym rozwiązaniem jest pozostawienie możliwości samodzielnego ich określenia przez administratorów danych. Idea ta ma prowadzi do ustanowienia procedur bardziej praktycznych oraz urealnionych względem potrzeb poszczególnych organizacji.

Rzecz jasna, nic nie stoi na przeszkodzie, abyś stosował instrukcję zarządzania systemem informatycznym w formie zbliżonej do dotychczas obowiązującej. W takim przypadku pamiętaj wszakże o uaktualnieniu podstaw prawnych, a także dostosowaniu procedur i zabezpieczeń do aktualnego stanu wiedzy technicznej. Zamiast zatem skomplikowanych procedur zmiany i ustanawiania haseł, możesz zdecydować się na szyfrowanie nośników danych, czy też korespondencji wychodzącej z twojej firmy.

W przypadku natomiast, gdy nie posiadasz ww. instrukcji, to nie masz obowiązku jej tworzenia. Niezależnie zaś od posiadanej dokumentacji, pamiętaj że RODO wymaga od ciebie posiadania co najmniej następujących dokumentów:

  • rejestr czynności przetwarzania i zakres rejestru kategorii czynności przetwarzania, o których mowa w art. 30 RODO;
  • procedury dotyczące zgłaszanie naruszeń ochrony danych do organu nadzorczego – art. 33 ust 3 RODO;
  • procedury dotyczące prowadzenia wewnętrznego rejestru naruszeń ochrony danych, o którym mowa w art. 33 ust 5 RODO;
  • raporty dokumentujące wyniki przeprowadzonych ocen skutków dla ochrony danych – art. 35 ust. 7 RODO.

Wskazane powyżej procedury możesz wprowadzić do instrukcji zarządzania, bądź polityki bezpieczeństwa, względnie uczynić z nich odrębne dokumenty.

pozdrawiam, adwokat Iwo Klisz

Mam nadzieję, że wyjaśniłem Tobie kilka rzeczy. Jeżeli zainteresował Cię artykuł, kliknij „Lubię to” lub polub moją stronę na facebooku (Facebook adwokat Wrocław). Dla Ciebie to tylko "kliknięcie", a dla mnie to dowód, że moja praca jest przydatna, co daje mi motywację do dalszego pisania :)