Procedury i polityki

Procedura ciągłości pracy systemu IT w organizacji

W ostatnich niespokojnych miesiącach wiele organizacji mierzy się coraz częściej z różnymi rodzajami cyberataków. Dotykają one m.in. systemów IT, w których przetwarzane są dane osobowe. Rolą administratora jest zapewnienie permanentnej dostępności do przetwarzanych w nich danych osobowych. Pomóc w tym może wdrożenie i stosowanie przedstawionej procedury.

Procedura ciągłości pracy systemów informatycznych

Cyberbezpieczeństwo nabrało w ostatnim czasie szczególnego znaczenia. Bardzo istotne jest to, aby każdy administrator danych osobowych przygotował się na potencjalne cyberataki. Jednym ze sposób jest opracowanie procedury ciągłości pracy systemów informatycznych. Poniżej przedstawiony jest przykładowy wzór dokumentu.

Polityka porządkowania, kopiowania i niszczenia dokumentacji papierowej

Zgubienie dokumentacji papierowej przez administratora lub jego personel, może zostać zakwalifikowane jako naruszenie ochrony danych. Dlatego warto opracować politykę, która zminimalizuje ryzyko tego typu zdarzeń.

Wzór polityki haseł prowadzonej w organizacji

„Hasłowanie” to jeden ze środków technicznych bezpieczeństwa danych osobowych, jakie stosuje administrator danych osobowych. Hasła potrzebne są głównie w dostępach do systemów IT, które służą do przetwarzania danych w organizacji. Przy czym samo ich posiadanie nie jest wystarczające. Należy pamiętać o tym, aby je systematycznie zmieniać. Do tego niezbędna jest odpowiednio opracowana polityka haseł.

Procedura udostępnienia danych z monitoringu wizyjnego

Jeżeli stosujemy monitoring wizyjny, możemy się liczyć z tym, że dany podmiot (np. organy ścigania, osoba prywatna) wystąpi do nas o udostępnienie konkretnych nagrań. W tym celu, aby przestrzegać zasady rozliczalności zawartej w RODO, warto posiadać procedurę ich udostępniania.

Polityka czystego biurka i czystego ekranu

Wbrew pozorom, czyste biurko i czysty ekran to dość istotne środki bezpieczeństwa danych. W ten sposób maleje bowiem ryzyko uzyskania dostępu do danych osobowych przez nieuprawnioną osobę, choćby poprzez przypadkowe spojrzenie. Sprawdź jak może wyglądać  polityka czystego biurka i czystego ekranu w organizacji.

Polityka haseł

„Hasłowanie” to jeden ze środków technicznych bezpieczeństwa danych osobowych. Hasła przydatne są przede wszystkim w dostępach do systemów IT służących do przetwarzania danych w organizacji. Nie wystarczy jednak samo ich posiadanie. Warto wprowadzić wymogi ich złożoności oraz obowiązek systematycznej zmiany. W tym pomoże przedstawiona polityka haseł.

Polityka retencji danych

Dane osobowe mogą być przechowywane przez okres nie dłuższy niż jest to niezbędne do celów, w którym są przetwarzane. Tak brzmi zasada ograniczenia okresu przechowywania. Rolą administratora jest więc określenie czasu przechowywania (retencji danych osobowych). W tym pomóc może dobrze sporządzona polityka retencji danych.

Procedura analizy ryzyka

Analiza ryzyka jest kluczowym i podstawowym obowiązkiem każdego administratora. Należy ją wykonać przed przystąpieniem do danej czynności przetwarzania. Prezentujemy przykładową procedurę dokonywania tej analizy.

Polityka zarządzania konfliktem interesów IOD

Jak wiemy, Urząd Ochrony Danych Osobowych sformułował listę zagadnień, do których będą musieli odnieść się losowo wezwani administratorzy danych osobowych i podmioty przetwarzające. Wśród zagadnień znajduje się pytanie: „Czy administrator opracował politykę zarządzania konfliktem interesów lub wprowadził inny mechanizm zapewniający niewystępowanie konfliktu interesów?”. Jak zatem mogłaby wyglądać taka polityka?