Polityki i procedury

Procedura ciągłości pracy systemu IT w organizacji

W ostatnich niespokojnych miesiącach wiele organizacji mierzy się coraz częściej z różnymi rodzajami cyberataków. Dotykają one m.in. systemów IT, w których przetwarzane są dane osobowe. Rolą administratora jest zapewnienie permanentnej dostępności do przetwarzanych w nich danych osobowych. Pomóc w tym może wdrożenie i stosowanie przedstawionej procedury.

Procedura ciągłości pracy systemów informatycznych

Cyberbezpieczeństwo nabrało w ostatnim czasie szczególnego znaczenia. Bardzo istotne jest to, aby każdy administrator danych osobowych przygotował się na potencjalne cyberataki. Jednym ze sposób jest opracowanie procedury ciągłości pracy systemów informatycznych. Poniżej przedstawiony jest przykładowy wzór dokumentu.

Wzór regulaminu używania przenośnych komputerów i telefonów

Administrator danych osobowych powinien móc wykazać, że przestrzega zasad ich przetwarzania, w tym zasady integralności i poufności. Może w tym pomóc regulamin używania urządzeń przenośnych – zwłaszcza w okresie coraz większej liczby zachorowań na COVID-19, gdy uzasadnienie znajduje ponowne przejście na tryb pracy zdalnej. Prezentujemy przykładowy wzór takiego regulaminu.

Regulamin funkcjonowania osoby powołanej w miejsce IOD

Wytyczne Grupy Roboczej Art. 29 dotyczące inspektorów ochrony danych (Wytyczne) dopuszczają dobrowolne wyznaczenie osoby do zadań związanych z ochroną danych przez podmioty, które zgodnie z przepisami nie mają obowiązku powołania inspektora ochrony danych. Prezentujemy przykładowy regulamin funkcjonowania takiej osoby.

Polityka porządkowania, kopiowania i niszczenia dokumentacji papierowej

Zgubienie dokumentacji papierowej przez administratora lub jego personel, może zostać zakwalifikowane jako naruszenie ochrony danych. Dlatego warto opracować politykę, która zminimalizuje ryzyko tego typu zdarzeń.

Wzór polityki haseł prowadzonej w organizacji

„Hasłowanie” to jeden ze środków technicznych bezpieczeństwa danych osobowych, jakie stosuje administrator danych osobowych. Hasła potrzebne są głównie w dostępach do systemów IT, które służą do przetwarzania danych w organizacji. Przy czym samo ich posiadanie nie jest wystarczające. Należy pamiętać o tym, aby je systematycznie zmieniać. Do tego niezbędna jest odpowiednio opracowana polityka haseł.

Procedura udostępnienia danych z monitoringu wizyjnego

Jeżeli stosujemy monitoring wizyjny, możemy się liczyć z tym, że dany podmiot (np. organy ścigania, osoba prywatna) wystąpi do nas o udostępnienie konkretnych nagrań. W tym celu, aby przestrzegać zasady rozliczalności zawartej w RODO, warto posiadać procedurę ich udostępniania.

Polityka czystego biurka i czystego ekranu

Wbrew pozorom, czyste biurko i czysty ekran to dość istotne środki bezpieczeństwa danych. W ten sposób maleje bowiem ryzyko uzyskania dostępu do danych osobowych przez nieuprawnioną osobę, choćby poprzez przypadkowe spojrzenie. Sprawdź jak może wyglądać  polityka czystego biurka i czystego ekranu w organizacji.

Polityka haseł

„Hasłowanie” to jeden ze środków technicznych bezpieczeństwa danych osobowych. Hasła przydatne są przede wszystkim w dostępach do systemów IT służących do przetwarzania danych w organizacji. Nie wystarczy jednak samo ich posiadanie. Warto wprowadzić wymogi ich złożoności oraz obowiązek systematycznej zmiany. W tym pomoże przedstawiona polityka haseł.

Polityka retencji danych

Dane osobowe mogą być przechowywane przez okres nie dłuższy niż jest to niezbędne do celów, w którym są przetwarzane. Tak brzmi zasada ograniczenia okresu przechowywania. Rolą administratora jest więc określenie czasu przechowywania (retencji danych osobowych). W tym pomóc może dobrze sporządzona polityka retencji danych.