Kontrolerzy sprawdzają dokumenty począwszy od rejestracji zbioru danych osobowych, poprzez opracowanie polityki bezpieczeństwa, a kończąc na prowadzeniu szczegółowej ewidencji osób mających styczność z danymi.
Szczególnej wagi nabierają tematy związane z hasłami do systemów informatycznych, dostępem do tych systemów, rodzaje stosowanych przy połączeniach szyfrowania, sposoby wykorzystywania gromadzonych danych.
Ustawę o ochronie danych osobowych stosuje się nie tylko do danych przetwarzanych w kartotekach, skorowidzach, księgach, wykazach, ale także w systemach informatycznych. Wymagania dotyczące tych systemów precyzyjnie regulują przepisy o ochronie danych osobowych.
W celu wykonania zadań kontrolnych inspektorzy GIODO mają prawo:
| 1) wstępu, w godzinach od 6°° do 22°°, za okazaniem imiennego upoważnienia i legitymacji służbowej, do pomieszczenia, w którym zlokalizowany jest zbiór danych, oraz pomieszczenia, w którym przetwarzane są dane poza zbiorem danych, i przeprowadzenia niezbędnych badań lub innych czynności kontrolnych w celu oceny zgodności przetwarzania danych z ustawą, 2) żądać złożenia pisemnych lub ustnych wyjaśnień oraz wzywać i przesłuchiwać osoby w zakresie niezbędnym do ustalenia stanu faktycznego, 3) wglądu do wszelkich dokumentów i wszelkich danych mających bezpośredni związek z przedmiotem kontroli oraz sporządzania ich kopii, |
Podczas kontroli musisz przedłożyć następujące dokumenty: • Politykę bezpieczeństwa, • Instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, • Ewidencję osób upoważnionych do ich przetwarzania. |
4) przeprowadzania oględzin urządzeń, nośników oraz systemów informatycznych służących do przetwarzania danych,
5) zlecać sporządzanie ekspertyz i opinii.
Podczas kontroli oprócz dokumentów związanych z prowadzoną działalnością gospodarczą, tj. zaświadczenia o wpisie do ewidencji działalności gospodarczej, regulaminu strony internetowej, umowy najmu lokalu itp. należy przedłożyć:
Polityka bezpieczeństwa powinna zawierać:
1) wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe,
2) wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych,
3) opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi,
4) sposób przepływu danych pomiędzy poszczególnymi systemami,
5) określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.
Naruszono Twoje dobra osobiste. Co robić?
| Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych powinna zawierać: 1) procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności; 2) stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem; 3) procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu; 4) procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania; 5) sposób, miejsce i okres przechowywania: a) elektronicznych nośników informacji zawierających dane osobowe, b) kopii zapasowych, |
Napisz do nas żeby otrzymać: • Wzór dokumentu "Polityka bezpieczeństwa" dla Twojej firmy • Przykładową "Instrukcję zarządzania systemem informatycznym" • Wzór "Ewidencji osób uprawnionych do przetwarzania danych" • Fachowe doradztwo przy wypełnianiu wniosku do GIODO Napisz e-Mail na: Adres poczty elektronicznej jest chroniony przed robotami spamującymi. W przeglądarce musi być włączona obsługa JavaScript, żeby go zobaczyć. |
6) sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego;
7) sposób odnotowywania informacji o odbiorcach danych osobowych;
8) procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.
Ewidencja osób upoważnionych do przetwarzania danych osobowych powinna zawierać:
1) imię i nazwisko osoby upoważnionej,
2) datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych,
3) identyfikator, jeżeli dane są przetwarzane w systemie informatycznym.