instrukcja

Instrukcja Zarządzania Systemami Informatycznymi dla małej firmy

Artykuł stanowi część większego cyklu poświęconego ochronie danych osobowych.

Instrukcja Zarządzania Systemami Informatycznymi dla małej firmy

Każda firma przechowująca jakiekolwiek dane osobowe w formie elektronicznej zobowiązana jest przygotować Politykę Bezpieczeństwa, której częścią będzie Instrukcja Zarządzania Systemami Informatycznymi.
Samo przygotowanie dokumentu, najczęściej w formie załącznika do Polityki Bezpieczeństwa, jest obowiązkiem formalnym. Natomiast dbanie o bezpieczeństwo danych jest nie tylko obowiązkiem przedsiębiorcy, ale też leży w jego kluczowym interesie. Z tego względu warto przygotować Instrukcję tak by spełniała swoje oficjalne zadanie, a więc była jasnym i zrozumiałym szablonem postępowania dla pracowników. Od czego zacząć?

Czym jest System Informatyczny w rozumieniu przepisów o ochronie danych osobowych?

Za system informatyczny należy uznać każdy program (aplikację), który może posłużyć do przechowywania, przetwarzania lub udostępniania danych osobowych.

Ta, bardzo szeroka, definicja może być sprzeczna z potocznym rozumieniem systemu jako rozwiązania znacznie bardziej zaawansowanego (system operacyjny, CRM, CMS), lecz dla potrzeb ochrony danych osobowych lepiej założyć po prostu, że ów „system informatyczny” oznacza całość oprogramowania używanego przez firmę, a także wszystkie urządzenia elektroniczne, na których dane te mogą być przechowywane.

W zakresie oprogramowania na pewno trzeba wziąć pod uwagę:
Pocztę elektroniczną email
Komunikatory wewnątrz firmowe i zewnętrzne (np. Messenger)
Programy księgowe, fakturujące i kadrowe
Aplikacje firmowych mediów społecznościowych (np. Facebook, Linkedin)
Systemy zarządzania treścią (firmowy CMS, WordPress)
Bazy danych i programy do ich tworzenia/obsługi
Systemy CRM

Nie ma natomiast sensu wymienianie w Instrukcji wszystkich programów ani urządzeń, z których korzystać będą pracownicy.

Jak określić kompetencje, które zawiera Instrukcja Zarządzania Systemami Informatycznymi?

Choć wydaje się to oczywiste, warto zastrzec, że Administrator Danych Osobowych (a więc właściciel firmy lub jej zarząd) ma pełne prawo wglądu we wszystkie firmowe systemy informatyczne i urządzenia – także udostępnione pracownikom.
Bardzo istotny jest też zakres kompetencji ABI oraz osoby kierującej działem IT i tym samym faktycznie przyznającej innym pracownikom dostępy/hasła/uprawnienia pozwalające korzystać z oprogramowania. W Instrukcji można zastrzec także szczególne kompetencje działu kadr czy księgowego.
Dostęp pozostałych pracowników do urządzeń i oprogramowania powinien być natomiast określony bardzo ogólnie, tak by nie utrudniać pracy, ani nie rozbudowywać nadmiernie biurokracji wewnątrz firmowej. Stosowanie zapisów zbyt szczegółowych, a zwłaszcza przypisywanie kompetencji do konkretnej osoby (Jan Iksiński) zamiast do stanowiska (specjalista ds. IT), może doprowadzić do stworzenia zapisu zbyt uciążliwego i w efekcie – martwego.

W Instrukcji warto więc zawrzeć informacje na temat tego:
Kto ma prawo przyznawać i odbierać dostęp do urządzeń i programów;
Jakie stanowiska mają dostęp do szczególnie istotnych danych osobowych;
W jaki sposób przyznaje się lub odbiera dostęp do urządzeń i programów.

Co zawrzeć w Instrukcji Zarządzania Systemami Informatycznymi?

Wszystkie informacje zawarte w poprzednich akapitach dotyczą obowiązków formalnych. Nie znając potrzeb konkretnej firmy, trudno wybrać optymalne rozwiązania pod względem praktycznym. Mimo to zawsze w Instrukcji warto zawrzeć
Nakaz zabezpieczania baz danych i dostępu do kluczowego oprogramowania hasłem;
Potrzebę wylogowywania się w przypadku opuszczenia stanowiska pracy i ponownego logowania po powrocie na nie;
Wymagania przedsiębiorstwa w zakresie szyfrowania informacji wewnątrz firmowych i w kontaktach z kontrahentami;
Zasady dotyczące wynoszenia poza teren firmy nośników danych i urządzeń elektronicznych je przechowujących;
Częstotliwość i sposób tworzenia kopii zapasowych (back-up);
Zasady przechowywania, zabezpieczania, i przywracania kopii zapasowych;
Zasady drukowania i przesyłania dokumentów elektronicznych;
Metody bezpiecznego przekazywania haseł dostępowych i kluczy kryptograficznych między pracownikami, jeśli zachodzi taka potrzeba.

W praktyce te same zasady warto stosować nie tylko do ochrony danych osobowych, ale też w celu zachowania tajemnicy handlowej i uniknięcia szpiegostwa gospodarczego.

Między teorią, a praktyką

Przygotowując Instrukcję Zarządzania Systemami Informatycznymi należy pamiętać, że przygotowanie dokumentu w stylu obietnic wyborczych (czyli w teorii idealnego systemu bezpieczeństwa, a w praktyce niemożliwego do wyegzekwowania) nie ma sensu. Zgodność z RODO i tak będzie sprawdzana głównie w firmach gdzie nastąpił wyciek danych, a wówczas urzędnicy zapytają o faktyczne, a nie jedynie formalne środki ochrony.
Lepiej więc stworzyć Instrukcję możliwą do zrealizowania i trzymać się jej. Żadna firma na świecie nie jest w stanie w 100% zapewnić bezpieczeństwa danych. Urzędnicy zdają sobie z tego sprawę i nie będą wymagać poziomu ochrony większego niż w przypadku podobnych przedsiębiorstw.

RODO – Zarys zagadnienia

Polityka Bezpieczeństwa – jak ją przygotować dla małej firmy? (cz 2)

Artykuł ten stanowi część większego cyklu poświęconego ochronie danych osobowych. Jest kontynuacją tekstu Polityka Bezpieczeństwa – jak ją przygotować dla małej firmy (cz 1)

Polityka Bezpieczeństwa – jak ją przygotować dla małej firmy? (cz 2)

W poprzednim artykule odpowiedzieliśmy na kilka pytań związanych z przygotowaniem Polityki Bezpieczeństwa dla potrzeb Rozporządzenia o Ochronie Danych Osobowych. Jest to jednak zagadnienie rozbudowane, w którym mogą pojawić się kolejne wątpliwości.

1 Czy potrzebny jest Wykaz Zbiorów Danych Osobowych?

Zgodnie z obowiązującymi od 25 maja 2018 przepisami niezbędnym elementem Polityki Bezpieczeństwa – dokumentu przygotowywanego pod kątem ochrony danych osobowych, jest Wykaz Zbiorów Danych Osobowych. Nie można go pominąć, bez względu na wielkość firmy czy branżę, w której ona działa.

Należy więc koniecznie taki wykaz przygotować, czym zajmiemy się w jednym z kolejnych artykułów.

2 Jak określić obszar, w którym przetwarza się dane osobowe?

Obowiązek określenia miejsca, w którym przetwarza się dane osobowe, jest delikatnie rzecz biorąc, niedostosowany do aktualnego poziomu technologii, nie wspominając już o przyszłych rozwiązaniach. Korzystając z oprogramowania takiego jak Dropbox, Google Docs, korzystając chmury obliczeniowej, tak naprawdę przetwarzamy dane na serwerach firmy – producenta oprogramowania.
Czy zatem powinniśmy określić miejsce przechowywania danych jako „Hala serwerowa Google/Apple/Microsoft w [tu wstaw prawdopodobną lokalizację serwera, z którego dane mogą zostać w każdej chwili przeniesione na inny serwer bez Twojej wiedzy]?

Gdyby należało przedstawić sprawę zgodnie z prawdą, współczesne przedsiębiorstwo nie byłoby w stanie określić obszaru, w którym przetwarzane są dane osobowe. Niestety i na szczęście, chodzi jedynie o dokument dla potrzeb polskiej biurokracji.

Jako obszar, w którym przetwarzane są dane osobowe określamy więc siedzibę firmy – całą, ze wszystkimi podległymi oddziałami. Na pewno nie warto ograniczać obszaru do pojedynczych pomieszczeń, zwłaszcza jeśli choć jedno stanowisko pracy wyposażone w komputer miałoby znaleźć się poza tym obszarem.
Pracownik wystawiający fakturę może musieć wystawić ją dla osoby fizycznej i tym samym zebrać dane osobowe. Jeśli osoba ta kupi np. prezerwatywy, leczniczy materac, albo książkę o polityce, to będą to nawet dane wrażliwe.

Tylko co z pracownikami, którzy pracują w terenie z wykorzystaniem laptopa, tabletu, telefonu komórkowego? Przecież zapisując kontakt do poznanego na targach kontrahenta (imię, nazwisko, firma, nr telefonu – dane w 100% wystarczające do zidentyfikowania konkretnej osoby) – przechowują jej dane osobowe. Bardzo możliwe też, że przetwarzają je lub przesyłają do innych osób w firmie.

W braku odpowiedniego przepisu i orzecznictwa należy zaufać, że urzędnicy dokonujący kontroli zrozumieją, że określenie pełnego i dokładnego obszaru przetwarzania danych osobowych jest niemożliwe.

Warto natomiast dodać do obszaru listę przedsiębiorstw, którym powierza się dane osobowe np. swoich klientów.

3 Jak aktualizować Politykę Bezpieczeństwa w firmie?

Nawet jeśli na samym początku nie uda się uchwalić idealnej Polityki Bezpieczeństwa, nie jest to duży problem – można ją zaktualizować w każdej chwili, w ten sam sposób co została uchwalona.

Tak naprawdę warto założyć, że uchwalona Polityka Bezpieczeństwa nie jest dokumentem „ostatecznym i wiecznie trwałym”. Warunki techniczne zmieniają się wraz z postępem, a także rozwojem firmy.

Bardzo dobrym pomysłem jest przygotowanie PB w sposób ogólnikowy, a uszczegóławiać ją w razie potrzeby załącznikami.

4 Czy potrzebna jest Instrukcja Zarządzania Systemami Informatycznymi?

Najprostszy nawet program komputerowy jest traktowany jako „system informatyczny” w kontekście przepisów o ochronie danych osobowych. Excel, Access, Płatnik, Symfonia, Google Docs – to tylko niektóre przykłady.
W praktyce każda firma musi więc uwzględnić w ramach Polityki Bezpieczeństwa odpowiednią instrukcję. Jej przygotowaniem zajmiemy się w jednym z kolejnych artykułów.

Kolejne zagadnienia zostaną poruszone w bardziej szczegółowych artykułach.

Polityka Bezpieczeństwa (cz.2)

RODO – Zarys zagadnienia