

Administrator Danych Osobowych (ADO) ma obowiązek dbania o odpowiednią ochronę przetwarzanych danych osobowych. W tym celu tworzy tzw. politykę bezpieczeństwa będącą dokumentem zawierającym wszystkie reguły i dyrektywy działań skojarzonych z zapewnieniem bezpieczeństwa informacji.
Do czynności tych ADO może powołać ABI – Administratora Bezpieczeństwa Informacji, lecz ustawa nie reguluje w tym zakresie żadnej linii działania. Nierzadko ADO samodzielnie tworzy politykę bezpieczeństwa, jeśli ma takowe doświadczenie lub odpowiednią wiedzę z zakresu prawa. W przeciwnym przypadku jest to związane z pewnym ryzykiem – przede wszystkim naruszenia bezpieczeństwa informacji, dlatego też poniżej omówimy krótko podstawowe działania na dokumentach, które ADO ma obowiązek przeprowadzić.
Bezpieczeństwo informacji podczas tworzenia polityki ich przetwarzania
ADO ma ustawowy obowiązek ochrony danych osobowych i stworzenia polityki bezpieczeństwa. W procesie dbania o bezpieczeństwo informacji korzystać może z pomocy zatrudnionych Administratorów Bezpieczeństwa Informacji (ABI) oraz Administratorów Systemów Informatycznych (ASI). Kiedy decyduje się samodzielnie stworzyć politykę bezpieczeństwa, musi pamiętać o kilku ważnych detalach. Należą do nich:
- wskazanie osoby wdrażającej politykę bezpieczeństwa – jest to zawsze ADO, zazwyczaj osoba kierująca jednostką lub inna do tego celu wyznaczona,
- data wdrożenia polityki bezpieczeństwa – ustawa obowiązuje od 1997 roku,
- informacje dotyczące pełnionych funkcji w zakresie ochrony danych osobowych w jednostce – ABI, ASI, osoba upoważniona do przetwarzania danych osobowych, osoba szkoląca nowych pracowników (bez podawania nazwisk odpowiedzialnych osób, gdyż zmiany na ich stanowiskach prowadziłyby do konieczności każdorazowej aktualizacji polityki bezpieczeństwa),
- klaryfikacja pojęć stosowanych w dokumentacji – które mogą być zmodyfikowane względem pojęć stosowanych w ustawie, lecz zaleca się stosowanie tożsamych,
- udzielenie upoważnień pracownikom przetwarzającym dane osobowe – każdorazowo na oddzielnym dokumencie (zasady nadawania upoważnień muszą być określone w polityce bezpieczeństwa),
- zebranie umów powierzenia danych osobowych – co ma szczególne znaczenie, gdy z danych chronionych korzysta osoba z zewnątrz, np. audytor ABI,
- unormowanie dotyczące kontroli – dokonywanej przez ABI w dwóch zakresach: sprawdzenia oraz nadzoru; polityka bezpieczeństwa musi zawierać te dane łącznie ze wzorami dokumentów do kontroli i nadzoru,
- wykaz zbioru danych osobowych – wskazany w ustawie jako niezbędny element, który właściwie warunkuje skuteczną ochronę danych osobowych,
- jawny rejestr zbioru danych – prowadzony wyłącznie przez ABI,
- systemy teleinformatyczne – które należy wyszczególnić,
- fizyczny obszar przetwarzania danych – wystarczy ograniczyć się do podania siedziby ADO,
- sposób zapoznawania pracowników z ustawą o ochronie danych osobowych – zaleca się szkolenia.
Polityka bezpieczeństwa a kontrola GIODO
Wobec wszystkich wniesionych powyżej informacji należy pamiętać, iż brak podpisu osoby prowadzącej jednostkę czyni dokument nieważnym. Nie należy go więc w nieskończoność aktualizować, a dokończyć w formie, która pozwala na jego wygodne uzupełnianie w przyszłości – odpowiednia konstrukcja polityki daje takie możliwości.
W kwestii kontroli polityki bezpieczeństwa przez GIODO, spośród wymienionych wcześniej czynników szczególne znaczenie ma data wdrożenia polityki bezpieczeństwa informacji, która – jak się wydaje – powinna być bliska powstaniu placówki (po 1997 roku). Wiele podmiotów może się bać faktu, iż czynność tę zaniedbano dawniej, a obecnie zgłoszenie do GIODO, z datą daleko odbiegającą od rozpoczęcia działalności, może się spotkać z konsekwencjami prawnymi. Ustawodawca jest jednak w tym względzie stosunkowo łagodny i określa brak dokumentacji jako uchybienie, jednak inaczej sprawa przedstawia się, gdy polityka bezpieczeństwa informacji powstała „za późno”.
GIODO bada stan faktyczny. Innymi słowy jeśli polityka bezpieczeństwa informacji istnieje, choć w przeszłości nie została wdrożona, placówka w trakcie kontroli nie poniesie konsekwencji prawnych. Wszczynanie postępowania przez brak dokumentacji w poprzednich latach GIODO uznaje za bezprzedmiotowe, co właściwie jest rzadkim w prawie, optymistycznym akcentem zachęcającym do stosowania tych zapisów prawnych.