DOKUMENTACJA
RODO & KRI & SZBI

WZORY ORAZ WDROŻENIA

Dokumentacja RODO

Do czego zobowiązuje RODO?

RODO zobowiązuje administratorów danych oraz podmioty przetwarzające do sporządzenia odpowiednich polityk ochrony danych. Można zatem wnioskować, iż w zależności od kontekstu zarówno wewnętrznego jak i zewnętrznego jednostki/organizacji, należy wdrożyć dokumentację odzwierciedlającą jej charakter.

Jakie polityki zawiera RODO?

Odpowiednie polityki ochrony, o których mówi RODO w art. 24 znajdą najczęściej odzwierciedlenie w Politykach Bezpieczeństwa Informacji, Politykach Bezpieczeństwa Teleinformatycznego, Instrukcjach Zarządzania Systemami Informatycznymi tudzież Politykach Ochrony Danych Osobowych. Powyższa nomenklatura jest najczęściej przywoływana w ramach dokumentacji wdrożeniowej, niemniej jednak nie jest obligatoryjna.

Jakie wymogi uwzględnia dokumentacja RODO?

Dokumentacja może niejednokrotnie uwzględniać wymogi międzynarodowych norm ISO, a także jeśli jest to uzasadnione, uregulowania branżowe (w zależności od jednostki/organizacji) oraz tak zwane kodeksy dobrych praktyk.

Na co zwracać szczególną uwagę?

W ramach dokumentacji RODO szczególnie zwraca się uwagę na procedury związane z prowadzeniem rejestrów czynności przetwarzania czy rejestrów kategorii czynności przetwarzania, realizacją praw podmiotów danych (zarówno w kontekście realizacji wymogów RODO w tym zakresie jak i tych nawiązujących do wewnątrz‑organizacyjnej wymiany informacji), realizacją procedury reagowania na naruszenia czy udokumentowania wdrożenia odpowiednich środków technicznych i organizacyjnych.

Dokumentacja KRI (Krajowe Ramy Interoperacyjności)

Jakie zadania uwzględnia dokumentacja KRI?

Rozporządzenie Rady Ministrów w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych wskazuje, iż podmiot realizujący zadania publiczne opracowuje i ustanawia, wdraża i eksploatuje, monitoruje i przegląda oraz utrzymuje i doskonali system zarządzania bezpieczeństwem informacji zapewniający poufność, dostępność i integralność informacji z uwzględnieniem takich atrybutów, jak autentyczność, rozliczalność, niezaprzeczalność i niezawodność. W związku z powyższym kierownik jednostki powinien uregulować w ramach wewnętrznych polityk bezpieczeństwa informacji stosowne procedury związane ogólnie rzecz ujmując z bezpieczeństwem teleinformatycznym.

Jakie procedury uwzględnia dokumentacja KRI?

Wewnętrzne procedury najczęściej odnoszą się do takich kwestii jak: zarządzanie ryzykiem, zasady korzystania z zasobów informatycznych, zarządzanie sprzętem i oprogramowaniem, zarządzanie uprawnieniami do pracy w systemach teleinformatycznych, stosowanie środków kryptograficznych, wykonywanie kopii zapasowych czy zbieranie i analiza logów systemowych.

Dokumentacja SZBI (System Zarządzania Bezpieczeństwem Informacji)

Co zawiera dokumentacja SZBI?

Dokumentacja Systemu Zarządzania Bezpieczeństwem Informacji jest zbiorem ogółu polityk bezpieczeństwa, polityk ochrony danych (w tym danych osobowych), regulaminów, postanowień oraz wszelkiego rodzaju innych regulacji wewnętrznych odnoszących się do materii bezpieczeństwa informacji. Zatem na SZBI będą się składać zarówno uregulowania odnoszące się do KRI jak i do RODO. Od strony operacyjnej SZBI uwzględnia wszystkie obszary tj. środowisko informatyczne, bezpieczeństwo osobowe, aspekt fizycznej ochrony danych oraz uregulowania prawne, z którymi jednostka jest związana.

Kto decyduje o wdrożeniu i zakresie SZBI?

O wdrożeniu SZBI decyduje najwyższe kierownictwo / administrator danych, ponieważ to ono ustanawia strategię działania w zakresie bezpieczeństwa informacji. Przy budowaniu SZBI istotne jest zachowanie podejścia procesowego, najczęściej opartego na wymogach normy ISO/IEC 27001 bądź innych z rodziny norm 27xxx, 29xxx. Wymogi te dotyczą ustanowienia, wdrożenia i eksploatacji, monitorowania i doskonalenia SZBI. Jednostka powinna dokumentować każdy z etapów Cyklu Deminga (procesu zarządzania).

Korzyści z wdrożenia SZBI

Korzyści z wdrożenia SZBI są nieocenione, w szczególności możemy wymienić wzrost poziomu bezpieczeństwa przetwarzanych informacji, uregulowanie zasad postępowania w przypadku wystąpienia incydentów czy zakłóceń, zwiększenie świadomości personelu przetwarzającego informacje, przypisanie odpowiedzialności za bezpieczeństwo informacji czy badanie efektywności wdrożonych środków technicznych i organizacyjnych mających w efekcie zapewnić trzy podstawowe atrybuty ochrony informacji tj. poufność, integralność oraz dostępność.

Jak wdrożyć dokumentację SZBI?

Wdrożenie SZBI nie musi się wiązać z certyfikacją Systemu Zarządzania Bezpieczeństwem Informacji, chyba, że jednostka / organizacja wyraża taką chęć bądź czuje potrzebę organizacyjno‑biznesową. Istotą wdrożenia SZBI jest spójne zintegrowanie obszaru bezpieczeństwa danych oraz danych osobowych w wielu kontekstach. Decyzję o wdrożeniu podejmuje administrator danych / najwyższe kierownictwo. Pamiętaj, wdrożenie oraz certyfikacja to odmienne terminy w systemach zarządzania.

Dokumentacja RODO & KRI & SZBI | Aspekt cyberbezpieczeństwa

Reasumując, warto dodać, iż nasze dokumentacje uwzględniają kontekst związany z cyberbezpieczeństwem i w tym aspekcie zawierają regulacje wobec następujących obszarów:
  • ochrona fizyczna i środowiskowa
  • planowanie
  • programy zarządzania
  • bezpieczeństwo osobowe
  • przejrzystość przetwarzania danych osobowych
  • nabywanie systemu i usług
  • ochrona systemów i sieci telekomunikacyjnych
  • integralność systemu informacji
  • zarządzanie ryzykiem w łańcuchu dostaw
Dokumentacja RODO & KRI & SZBI

Zadaj pytanie bezpośrednio poprzez formularz kontaktowy:

KLAUZULA INFORMACYJNA