Dokumentacja ochrony danych osobowych w firmie

W skład firmowej dokumentacji, dotyczącej ochrony danych osobowych wchodzą dwa dokumenty: Polityka Bezpieczeństwa Danych Osobowych oraz Instrukcja Zarządzania Systemem Informatycznym. Posiadanie tych dwóch dokumentów jest niezbędne do rejestracji zbiorów danych w urzędzie Generalnego Inspektora Ochrony Danych Osobowych. Jaka powinna być treść tych dokumentów?

Polityka Bezpieczeństwa Danych Osobowych (PBDO)

Dokument ten określa zakres pojęć, odniesień, deklaracji i ogólnego sposobu przetwarzania danych osobowych. Skupia się na formalnym opisie procesu przetwarzania danych osobowych w firmie.

Załącznikami do Polityki Bezpieczeństwa Danych Osobowych są m.in:

Upoważnienie do przetwarzania danych osobowych,
Oświadczenie o zapoznaniu się z dokumentacją przetwarzania danych osobowych,
Ewidencja osób upoważnionych do przetwarzania danych osobowych,
Wniosek o udostępnienie danych osobowych,
Ewidencja udostępniania danych osobowych,
Ewidencja Incydentów Bezpieczeństwa, działań korygujących oraz zapobiegawczych,
Wzór umowy powierzenia przetwarzania danych osobowych,
Dokument powołania Administratora Systemu Informatycznego (o ile takowy został powołany).

Instrukcja Zarządzania Systemem Informatycznym (IZSI)

Instrukcja Zarządzania to drugi element dokumentacji. Jest uzupełnieniem Polityki Bezpieczeństwa i skupia się na technicznych aspektach przetwarzania danych osobowych w systemach informatycznych firmy.

Załącznikami do Instrukcji Zarządzania Systemem Informatycznym są m.in.:

Wniosek przyznania, zmiany, cofnięcia uprawnień użytkownika w systemie informatycznym,
Imienna karta uprawnień,
Metryka hasła administracyjnego,
Rejestr nośników komputerowych zawierających dane osobowe,
Dziennik Administratora Systemu Informatycznego (o ile takowy został powołany).

Ponadto w skład dokumentacji dotyczącej ochrony danych osobowych wchodzą takie zestawienia, jak:

Wykaz budynków i pomieszczeń, gdzie przetwarzane są dane osobowe,
Wykaz osób upoważnionych do przetwarzania danych osobowych,
Ewidencja zbioru danych osobowych,
Struktura danych osobowych,
Przepływy danych między systemami.

WAŻNE: Stworzenie PBDO oraz IZSI jest konieczne do rejestracji zbiorów danych osobowych w GIODO. Brak tych dokumentów skutkuje odrzuceniem wniosku.

Jeżeli szukasz fachowej pomocy w dziedzinie ochrony danych osobowych, zapraszam do skorzystania z mojej oferty – sprawdź szczegóły…