Jak ABI powinien nadzorować aktualizację dokumentacji ochrony danych

Administrator danych prowadzi dokumentację opisującą sposób przetwarzania danych oraz organizacyjne i techniczne środki podjęte dla ich ochrony (art. 36 ust 2 ustawy o ochronie danych osobowych). Sposób prowadzenia i zakres dokumentacji ochrony danych określa rozporządzenie ministra spraw wewnętrznych i administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. z 2014 r. nr 100, poz. 1024).

Ustawa o ochronie danych osobowych nakazuje nadzorowanie opracowania i aktualizowania dokumentacji ochrony danych oraz przestrzegania zasad w niej określonych (art. 36a ust 2 lit. b). Powinien to robić administrator bezpieczeństwa informacji, jeśli jest powołany. Jeżeli w danej organizacji nie ma ABI, realizację tego obowiązku zapewnia administrator danych.

Rozporządzenie MSWiA w sprawie dokumentacji ochrony danych w dość szczegółowy sposób wskazuje, co ma się składać na dokumentację opisującą sposób przetwarzania i ochrony danych osobowych. Część tych zaleceń nie przystaje już jednak do obecnych realiów, rozwoju technologii czy funkcjonujących zagrożeń.

Nie chodzi też o to, aby całą dokumentację sprowadzić jedynie do sztampowych i szablonowych książeczek o tytułach „Polityka bezpieczeństwa” i „Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych”, w których na kilku czy nawet kilkunastu stronach opisane są tylko przepisane z ustawy czy rozporządzenia ogólniki. Owszem, są to wymagane – i to w formie pisemnej – dokumenty, ale to z nich powinny wynikać, najlepiej w formie załączników, konkretne i szczegółowe regulacje dotyczące bezpieczeństwa informacji w danej firmie czy instytucji.

Dokumentacja opisująca zasady przetwarzania i ochrony danych musi być prowadzona, aktualna i przestrzegana przez pracowników administratora danych. Tym samym instrukcje i wszelkie spisane regulacje dotyczące zasad przetwarzania i ochrony danych powinny być pisane prostym, zrozumiałym językiem, a przede wszystkim skutecznie zakomunikowane wszystkim osobom upoważnionym w organizacji do przetwarzania danych.

Z przepisów wynika obowiązek zapewnienia okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji. Można więc na przykład co najmniej raz na rok, czy to w planie sprawdzeń ABI, czy wewnętrznym harmonogramie kontroli, czy w ramach bieżącego monitorowania zgodności operacji przetwarzania danych, przyjąć za przedmiot kontroli sprawdzenie aktualności dokumentacji opisującej sposób przetwarzania danych oraz organizacyjne i techniczne środki podjęte dla ich ochrony.

Zakres takiej kontroli będzie dość szeroki. Na początku trzeba sprawdzić, czy polityka bezpieczeństwa informacji jest dostępna jako udokumentowana informacja i czy została skutecznie zakomunikowana w organizacji. Nie może to być więc kawałek papieru zalegający gdzieś na półce. Może nawet prezes czy dyrektor go podpisał, ale personel nie ma pojęcia o jego istnieniu. Najlepiej więc, jeśli zarządzeniem kierownictwa polityka zostanie wdrożona do stosowania, o czym pracownicy będą oficjalnie poinformowani.

Zasady określone w polityce bezpieczeństwa informacji powinny być w skuteczny i zrozumiały sposób przekazane, na przykład na szkoleniach prowadzonych w różnej formie. Główny dokument polityki, który zawiera ogólne wytyczne co do ochrony danych, może być też opublikowany w zabezpieczonej jedynie do odczytu wersji w intranecie lub na bezpiecznym dysku wspólnym lub na platformie e-learningowej. Wtedy jest też możliwość, jeśli jest to właściwe i zasadne, aby udostępniać taką politykę zainteresowanym stronom zewnętrznym.

Administrator bezpieczeństwa informacji, audytor wewnętrzny, koordynator ISO lub inny pełnomocnik ds. bezpieczeństwa informacji (w zależności od zorganizowania i wymogów co do nadzoru nad ochroną danych w organizacji) sprawdza, czy opisane zasady są realizowane. Wnioski z tego powinny być spisane (np. sprawozdanie, raport, notatka służbowa) i przekazane administratorowi danych.

Sprawdzając aktualność zapisów w polityce bezpieczeństwa, trzeba zwrócić uwagę m.in. na obowiązujące podstawy prawne i zgodność z prawem, obecną organizację bezpieczeństwa osobowego czy ważność planów ciągłości działania. Zmiany, uzupełnienia i poprawki powinny być odnotowane na przykład w karcie historii zmian dokumentu lub też naniesione w trybie śledzenia zmian, a ostatecznie powinny być zatwierdzone przez administratora danych.

Wiele czynników, kwestii i zapisów składających się na politykę bezpieczeństwa może zmieniać się dość często. Chociażby wykaz i opis pomieszczeń składających się na tzw. obszar przetwarzania danych. Mogą być wprowadzane dodatkowe środki ochrony fizycznej jak na przykład kontrola dostępu czy monitoring wizyjny. Takie szczegóły należałoby więc opisywać w załącznikach do polityki bezpieczeństwa. Łatwiej zmienić i zakomunikować poprawiony załącznik niż cały system zarządzania bezpieczeństwem informacji.

Aktualizacje w dokumentacji powinno się nanosić na bieżąco.Robi to osoba do tego wyznaczona, ale informacje o wszelkich zmianach muszą spływać do niej od osób odpowiadających za dane obszary. Takim osobom należy sukcesywnie zlecać skontrolowanie obecnego stanu ochrony danych.

Na przykład kierownik administracyjny powinien sprawdzić gospodarkę kluczami i środki ochrony fizycznej. Specjalista ds. kadrowych – bezpieczeństwo osobowe i proces upoważniania do przetwarzania danych. Administrator systemu informatycznego sprawdza i raportuje zapewnienie ciągłości działania. Dział prawny lub osoba odpowiedzialna za współpracę z podmiotami zewnętrznymi informuje o umowach i usługach z procesorami, przy okazji których może dojść do powierzenia danych do przetwarzania, i np. uzupełnia wykaz podmiotów zewnętrznych.

Wskazane obszary to jedne z wielu elementów polityki bezpieczeństwa informacji, jakie należy sprawdzać i aktualizować. Wszystkiego nie jest w stanie wykonać jedna osoba, bez względu, czy jest to administrator bezpieczeństwa informacji, inspektor ochrony danych (w niedalekiej przyszłości), specjalista ds. ochrony danych czy pełnomocnik ISO. Ma to być współdziałanie. Wprawdzie dokumentację opisującą sposoby przetwarzania i ochrony danych osobowych teoretycznie prowadzi administrator danych, w praktyce robi to osoba wyznaczona, zatrudniona do tego przez ADO. Zatwierdzenie dokumentacji, formalne jej wdrożenie do stosowania przez np. zarząd, to jedynie wstęp do praktycznego stosowania szeroko rozumianej polityki bezpieczeństwa informacji.

Obowiązek prowadzenia odpowiedniej dokumentacji będzie nadal funkcjonował, także wtedy, gdy zacznie obowiązywać ogólne rozporządzenie o ochronie danych, czyli od 25 maja 2018 r. Od tego dnia obecna ustawa o ochronie danych osobowych wraz ze wszystkimi rozporządzeniami jako aktami wykonawczymi, przestanie obowiązywać.

Rozporządzenie unijne jest dość generalne i ogólne, jak sama nazwa wskazuje, niemniej przepisy rozporządzenia wprost wskazują, że uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z rozporządzeniem i aby móc to wykazać.

Środki te są w razie potrzeby poddawane przeglądom i uaktualniane. Jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania, środki bezpieczeństwa obejmują wdrożenie przez administratora odpowiednich polityk ochrony danych (art. 24 ust 1 i 2 ogólnego rozporządzenia). Ponadto w określonych sytuacjach pojawiają się dodatkowe obowiązki, które trzeba będzie dokumentować, takie jak na przykład rejestrowanie czynności przetwarzania czy ocena skutków przetwarzania dla ochrony danych.