Polityka bezpieczeństwa informacji

Przedsiębiorstwo, które gromadzi dane osobowe, zobowiązane jest opracować i stosować dokumentację opisującą sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ich ochronę. „Polityka bezpieczeństwa” jest obok „instrukcji zarządzania systemem informatycznym” najważniejszym dokumentem w przedsiębiorstwie, który opisuje spełnienie ustawowych wymagań dotyczących ochrony danych osobowych.

Zgodnie z art. 36 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity: Dz. U. 2002 r. Nr 101 poz. 926, ze zm.) oraz § 3 ust. 3, § 4 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 roku w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024), dla zapewnienia ochrony przetwarzanych danych osobowych Administrator Danych Osobowych (w naszym przypadku przedsiębiorca) wprowadza „politykę bezpieczeństwa informacji”.

Polityka bezpieczeństwa zgodnie z § 4 rozporządzenia powinna zawierać w szczególności:
1) wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe;
2) wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych;
3) opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi;
4) sposób przepływu danych pomiędzy poszczególnymi systemami;
5) określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.

Niezależnie od powyższego, Administrator Danych Osobowych może w „polityce bezpieczeństwa” uregulować dodatkowe kwestię mające wpływ na zabezpieczenie danych osobowych. Powyższe wyliczenie jest obowiązkowym katalogiem tematów, które w polityce powinny się znaleźć natomiast nie zamyka możliwości rozszerzenia dokumentu. Opracowanie i wdrożenie polityki bezpieczeństwa jest jednym z wymogów ustawowych dla przedsiębiorców, którzy przetwarzają dane osobowe. Zaniechanie tego obowiązku naraża Administratora Danych Osobowych na odpowiedzialność karną.

Przepisy prawne

  • Ustawa o ochronie danych osobowych z dnia 29 sierpnia 1997 r.

  • Rozporządzenie Ministra Spraw Wewnętrznych i Administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych z dnia 29 kwietnia 2004 r.