polityka bezpieczeństwa

Instrukcja Zarządzania Systemami Informatycznymi dla małej firmy

Artykuł stanowi część większego cyklu poświęconego ochronie danych osobowych.

Instrukcja Zarządzania Systemami Informatycznymi dla małej firmy

Każda firma przechowująca jakiekolwiek dane osobowe w formie elektronicznej zobowiązana jest przygotować Politykę Bezpieczeństwa, której częścią będzie Instrukcja Zarządzania Systemami Informatycznymi.
Samo przygotowanie dokumentu, najczęściej w formie załącznika do Polityki Bezpieczeństwa, jest obowiązkiem formalnym. Natomiast dbanie o bezpieczeństwo danych jest nie tylko obowiązkiem przedsiębiorcy, ale też leży w jego kluczowym interesie. Z tego względu warto przygotować Instrukcję tak by spełniała swoje oficjalne zadanie, a więc była jasnym i zrozumiałym szablonem postępowania dla pracowników. Od czego zacząć?

Czym jest System Informatyczny w rozumieniu przepisów o ochronie danych osobowych?

Za system informatyczny należy uznać każdy program (aplikację), który może posłużyć do przechowywania, przetwarzania lub udostępniania danych osobowych.

Ta, bardzo szeroka, definicja może być sprzeczna z potocznym rozumieniem systemu jako rozwiązania znacznie bardziej zaawansowanego (system operacyjny, CRM, CMS), lecz dla potrzeb ochrony danych osobowych lepiej założyć po prostu, że ów „system informatyczny” oznacza całość oprogramowania używanego przez firmę, a także wszystkie urządzenia elektroniczne, na których dane te mogą być przechowywane.

W zakresie oprogramowania na pewno trzeba wziąć pod uwagę:
Pocztę elektroniczną email
Komunikatory wewnątrz firmowe i zewnętrzne (np. Messenger)
Programy księgowe, fakturujące i kadrowe
Aplikacje firmowych mediów społecznościowych (np. Facebook, Linkedin)
Systemy zarządzania treścią (firmowy CMS, WordPress)
Bazy danych i programy do ich tworzenia/obsługi
Systemy CRM

Nie ma natomiast sensu wymienianie w Instrukcji wszystkich programów ani urządzeń, z których korzystać będą pracownicy.

Jak określić kompetencje, które zawiera Instrukcja Zarządzania Systemami Informatycznymi?

Choć wydaje się to oczywiste, warto zastrzec, że Administrator Danych Osobowych (a więc właściciel firmy lub jej zarząd) ma pełne prawo wglądu we wszystkie firmowe systemy informatyczne i urządzenia – także udostępnione pracownikom.
Bardzo istotny jest też zakres kompetencji ABI oraz osoby kierującej działem IT i tym samym faktycznie przyznającej innym pracownikom dostępy/hasła/uprawnienia pozwalające korzystać z oprogramowania. W Instrukcji można zastrzec także szczególne kompetencje działu kadr czy księgowego.
Dostęp pozostałych pracowników do urządzeń i oprogramowania powinien być natomiast określony bardzo ogólnie, tak by nie utrudniać pracy, ani nie rozbudowywać nadmiernie biurokracji wewnątrz firmowej. Stosowanie zapisów zbyt szczegółowych, a zwłaszcza przypisywanie kompetencji do konkretnej osoby (Jan Iksiński) zamiast do stanowiska (specjalista ds. IT), może doprowadzić do stworzenia zapisu zbyt uciążliwego i w efekcie – martwego.

W Instrukcji warto więc zawrzeć informacje na temat tego:
Kto ma prawo przyznawać i odbierać dostęp do urządzeń i programów;
Jakie stanowiska mają dostęp do szczególnie istotnych danych osobowych;
W jaki sposób przyznaje się lub odbiera dostęp do urządzeń i programów.

Co zawrzeć w Instrukcji Zarządzania Systemami Informatycznymi?

Wszystkie informacje zawarte w poprzednich akapitach dotyczą obowiązków formalnych. Nie znając potrzeb konkretnej firmy, trudno wybrać optymalne rozwiązania pod względem praktycznym. Mimo to zawsze w Instrukcji warto zawrzeć
Nakaz zabezpieczania baz danych i dostępu do kluczowego oprogramowania hasłem;
Potrzebę wylogowywania się w przypadku opuszczenia stanowiska pracy i ponownego logowania po powrocie na nie;
Wymagania przedsiębiorstwa w zakresie szyfrowania informacji wewnątrz firmowych i w kontaktach z kontrahentami;
Zasady dotyczące wynoszenia poza teren firmy nośników danych i urządzeń elektronicznych je przechowujących;
Częstotliwość i sposób tworzenia kopii zapasowych (back-up);
Zasady przechowywania, zabezpieczania, i przywracania kopii zapasowych;
Zasady drukowania i przesyłania dokumentów elektronicznych;
Metody bezpiecznego przekazywania haseł dostępowych i kluczy kryptograficznych między pracownikami, jeśli zachodzi taka potrzeba.

W praktyce te same zasady warto stosować nie tylko do ochrony danych osobowych, ale też w celu zachowania tajemnicy handlowej i uniknięcia szpiegostwa gospodarczego.

Między teorią, a praktyką

Przygotowując Instrukcję Zarządzania Systemami Informatycznymi należy pamiętać, że przygotowanie dokumentu w stylu obietnic wyborczych (czyli w teorii idealnego systemu bezpieczeństwa, a w praktyce niemożliwego do wyegzekwowania) nie ma sensu. Zgodność z RODO i tak będzie sprawdzana głównie w firmach gdzie nastąpił wyciek danych, a wówczas urzędnicy zapytają o faktyczne, a nie jedynie formalne środki ochrony.
Lepiej więc stworzyć Instrukcję możliwą do zrealizowania i trzymać się jej. Żadna firma na świecie nie jest w stanie w 100% zapewnić bezpieczeństwa danych. Urzędnicy zdają sobie z tego sprawę i nie będą wymagać poziomu ochrony większego niż w przypadku podobnych przedsiębiorstw.

RODO – Zarys zagadnienia

Polityka Bezpieczeństwa – jak ją przygotować dla małej firmy? (cz 2)

Artykuł ten stanowi część większego cyklu poświęconego ochronie danych osobowych. Jest kontynuacją tekstu Polityka Bezpieczeństwa – jak ją przygotować dla małej firmy (cz 1)

Polityka Bezpieczeństwa – jak ją przygotować dla małej firmy? (cz 2)

W poprzednim artykule odpowiedzieliśmy na kilka pytań związanych z przygotowaniem Polityki Bezpieczeństwa dla potrzeb Rozporządzenia o Ochronie Danych Osobowych. Jest to jednak zagadnienie rozbudowane, w którym mogą pojawić się kolejne wątpliwości.

1 Czy potrzebny jest Wykaz Zbiorów Danych Osobowych?

Zgodnie z obowiązującymi od 25 maja 2018 przepisami niezbędnym elementem Polityki Bezpieczeństwa – dokumentu przygotowywanego pod kątem ochrony danych osobowych, jest Wykaz Zbiorów Danych Osobowych. Nie można go pominąć, bez względu na wielkość firmy czy branżę, w której ona działa.

Należy więc koniecznie taki wykaz przygotować, czym zajmiemy się w jednym z kolejnych artykułów.

2 Jak określić obszar, w którym przetwarza się dane osobowe?

Obowiązek określenia miejsca, w którym przetwarza się dane osobowe, jest delikatnie rzecz biorąc, niedostosowany do aktualnego poziomu technologii, nie wspominając już o przyszłych rozwiązaniach. Korzystając z oprogramowania takiego jak Dropbox, Google Docs, korzystając chmury obliczeniowej, tak naprawdę przetwarzamy dane na serwerach firmy – producenta oprogramowania.
Czy zatem powinniśmy określić miejsce przechowywania danych jako „Hala serwerowa Google/Apple/Microsoft w [tu wstaw prawdopodobną lokalizację serwera, z którego dane mogą zostać w każdej chwili przeniesione na inny serwer bez Twojej wiedzy]?

Gdyby należało przedstawić sprawę zgodnie z prawdą, współczesne przedsiębiorstwo nie byłoby w stanie określić obszaru, w którym przetwarzane są dane osobowe. Niestety i na szczęście, chodzi jedynie o dokument dla potrzeb polskiej biurokracji.

Jako obszar, w którym przetwarzane są dane osobowe określamy więc siedzibę firmy – całą, ze wszystkimi podległymi oddziałami. Na pewno nie warto ograniczać obszaru do pojedynczych pomieszczeń, zwłaszcza jeśli choć jedno stanowisko pracy wyposażone w komputer miałoby znaleźć się poza tym obszarem.
Pracownik wystawiający fakturę może musieć wystawić ją dla osoby fizycznej i tym samym zebrać dane osobowe. Jeśli osoba ta kupi np. prezerwatywy, leczniczy materac, albo książkę o polityce, to będą to nawet dane wrażliwe.

Tylko co z pracownikami, którzy pracują w terenie z wykorzystaniem laptopa, tabletu, telefonu komórkowego? Przecież zapisując kontakt do poznanego na targach kontrahenta (imię, nazwisko, firma, nr telefonu – dane w 100% wystarczające do zidentyfikowania konkretnej osoby) – przechowują jej dane osobowe. Bardzo możliwe też, że przetwarzają je lub przesyłają do innych osób w firmie.

W braku odpowiedniego przepisu i orzecznictwa należy zaufać, że urzędnicy dokonujący kontroli zrozumieją, że określenie pełnego i dokładnego obszaru przetwarzania danych osobowych jest niemożliwe.

Warto natomiast dodać do obszaru listę przedsiębiorstw, którym powierza się dane osobowe np. swoich klientów.

3 Jak aktualizować Politykę Bezpieczeństwa w firmie?

Nawet jeśli na samym początku nie uda się uchwalić idealnej Polityki Bezpieczeństwa, nie jest to duży problem – można ją zaktualizować w każdej chwili, w ten sam sposób co została uchwalona.

Tak naprawdę warto założyć, że uchwalona Polityka Bezpieczeństwa nie jest dokumentem „ostatecznym i wiecznie trwałym”. Warunki techniczne zmieniają się wraz z postępem, a także rozwojem firmy.

Bardzo dobrym pomysłem jest przygotowanie PB w sposób ogólnikowy, a uszczegóławiać ją w razie potrzeby załącznikami.

4 Czy potrzebna jest Instrukcja Zarządzania Systemami Informatycznymi?

Najprostszy nawet program komputerowy jest traktowany jako „system informatyczny” w kontekście przepisów o ochronie danych osobowych. Excel, Access, Płatnik, Symfonia, Google Docs – to tylko niektóre przykłady.
W praktyce każda firma musi więc uwzględnić w ramach Polityki Bezpieczeństwa odpowiednią instrukcję. Jej przygotowaniem zajmiemy się w jednym z kolejnych artykułów.

Kolejne zagadnienia zostaną poruszone w bardziej szczegółowych artykułach.

Polityka Bezpieczeństwa (cz.2)

RODO – Zarys zagadnienia

Polityka Bezpieczeństwa – jak ją przygotować dla małej firmy? (cz. 1)

Artykuł ten jest częścią większego cyklu, jest kontynuowany w części 2.

Polityka Bezpieczeństwa – jak ją przygotować dla małej firmy? (cz. 1)

Rozporządzenie o Ochronie Danych Osobowych nakłada na przedsiębiorców obowiązek przygotowania i wdrożenia Polityki Bezpieczeństwa (PB) – ogólnego dokumentu określającego zasady zbierania, przechowania, przetwarzania i udostępniania danych osobowych w ramach działalności przedsiębiorstwa.
Emocje wywołane nadchodzącym wejściem w życie RODO spowodowały nagłe i mocno przesadzone zapotrzebowanie na szkolenia i szablony dotyczące Polityki Bezpieczeństwa. Jedynie najbardziej uczciwi spośród przygotowujących je potrafili przyznać, że coś takiego jak uniwersalna polityka bezpieczeństwa nie istnieje. Każda firma ma własną specyfikę i powinna przygotować Politykę Bezpieczeństwa w oparciu o własne potrzeby. Wbrew pozorom, nie jest to tak trudne, by nie móc zrobić tego samodzielnie. Spróbujmy przejść przez to wspólnie.

1 Kto i w jaki sposób określa Politykę Bezpieczeństwa?

W przypadku jednoosobowej działalności gospodarczej jedyną osobą władną uchwalić Politykę Bezpieczeństwa dotyczącą danych osobowych jest właściciel firmy. Powinien on przygotować, a potem wydrukować i podpisać dokument zatytułowany właśnie „Polityka Bezpieczeństwa”.
Teoretycznie nie ma zdefiniowanego obowiązku drukowania, podpisywania, ani nawet nadawania takiego właśnie tytułu, ale działania te ułatwią kontakt z ewentualnym przedstawicielem kontroli, przede wszystkim zaś będą niezbitym dowodem, że Polityka Bezpieczeństwa faktycznie została uchwalona.

Właściciel tworzy więc Politykę Bezpieczeństwa i wdraża ją w formie jednoosobowej decyzji.

W przypadku spółki potrzebna jest natomiast uchwała zarządu dotycząca Polityki Bezpieczeństwa, lub jednoosobowe rozporządzenie prezesa jeśli ma on pełną kontrolę nad firmą. W zależności od struktury organizacyjnej, większe przedsiębiorstwa mogą zdecydować, że Politykę Bezpieczeństwa powinna potwierdzić też np. rada nadzorcza.

2 Kiedy wdrożyć Politykę Bezpieczeństwa?

Ponieważ w małych przedsiębiorstwach bardzo trudno udowodnić kiedy faktycznie wdrożona została Polityka Bezpieczeństwa, pojawiły się przynajmniej 3 koncepcje, wszystkie oparte raczej o przewidywania reakcji kontroli niż sytuację rzeczywistą.
PB uchwalona i wdrożona z dniem 25 maja 2018, a więc równo z wejściem RODO – W sumie dobry pomysł, choć według niektórych naraża firmę na zarzut niewłaściwego przechowywania danych przed tą datą.
PB uchwalona i wdrożona niedługo przed 25 maja z cichym założeniem, że faktycznie firma będzie się do niej stosować po wejście w życie RODO – podobnie jak wyżej.
PB uchwalona i wdrożona z datą wsteczną i to przynajmniej o kilka lat – Nieudolna i niezbyt zasadna próba udowodnienia, że PB istniała w firmie od zawsze i zawsze też przestrzegano poprzednich przepisów.

W praktyce na podstawie RODO nie można ukarać firmy za niedociągnięcia w ochronie danych osobowych powstałe przed 25 maja 2018. Wykorzystuje się wówczas starsze przepisy, które nakładały obowiązek, ale nie groziły sankcjami w przypadku jego niedopełnienia.

Politykę Bezpieczeństwa należy więc mieć wdrożoną 25 maja 2018, a potem można ją w dowolnym momencie zmienić w tym samym trybie w jakim została uchwalona i wdrożona.

3 Czy powtarzać definicje ustawowe?

W Polityce Bezpieczeństwa z konieczności posługujemy się terminami i określeniami właściwymi dla tego zagadnienia. Część z nich to terminy techniczne lub prawnicze, odległe od potocznego rozumienia. Przedsiębiorca ma możliwość:
Przepisać definicje ustawowe odpowiednich określeń do swojej Polityki Bezpieczeństwa – znacznie wydłuża to dokument, ale może ułatwić jego zrozumienie bez sięgania do rozporządzenia.
Odesłać w tekście PB do odpowiednich przepisów (RODO lub inne akty prawne) – dokument będzie krótszy i bardziej zwarty, ale nie całkiem zrozumiały dla osoby nie znającej rozporządzenia.
Napisać własne definicje, prawdopodobnie uszczegóławiając w ten sposób zapisy ustawowe i dopasowując je do potrzeb firmy – może to być zasadne rozwiązanie, które pozwoli stworzyć zwarty i zrozumiały dokument, ale warto w takiej sytuacji skorzystać z pomocy prawnika lub przynajmniej polonisty by uniknąć nieporozumień.

Na pewno nie powinno się używać określeń definiowanych ustawowo w znaczeniu innym niż w przepisach, bez właściwego ich zdefiniowania na nowo.

4 Czy wyznaczyć Administratora Bezpieczeństwa Informacji?

Administrator Bezpieczeństwa Informacji (ABI, nie mylić z Administratorem Danych Osobowych) to wyznaczona w przedsiębiorstwie osoba, która ma: nadzorować wykonywanie Polityki Bezpieczeństwa, informować i szkolić innych pracowników z zakresu ochrony danych osobowych, sprawdzać czy inni pracownicy przestrzegają PB.
Nie ma obowiązku wyznaczania ABI. Jeśli ABI nie zostanie wyznaczony jego rolę i obowiązki pełni właściciel firmy (lub jej zarząd). O ile często w najmniejszych przedsiębiorstwach faktycznie sam właściciel wykonuje obowiązki ABI, o tyle w większych przedsiębiorstwach powinien tę rolę komuś powierzyć. Przeważnie ABI zostaje kierownik, asystent lub specjalista ds. IT, ale nie ma przeciwwskazań by funkcję ABI pełnił np. księgowy.
W przypadku spółek prawa handlowego wyznaczenie ABI jest znacznie bardziej potrzebne, zwłaszcza jeśli kieruje nimi zarząd wieloosobowy.

Warto pamiętać, że ABI (jeśli nie jest nim właściciel, prezes, lub zarząd łącznie) nie odpowiada za naruszenie przez firmę Rozporządzenia o Ochronie Danych Osobowych.

5 W jaki sposób i kogo upoważniać do przetwarzania danych osobowych?

Każdy pracownik mający na co dzień do czynienia z danymi osobowymi innych osób (klientów, pracowników, kontrahentów, innych – w zależności od branży) powinien otrzymać odpowiednie upoważnienie.
Nie ma wymagań formalnych co do jego formy, zdecydowanie lepiej jednak wybrać formę pisemną. Dla potrzeb dowodowych wydrukowany i podpisany przez osobę uprawnioną dokument papierowy, lub wiadomość elektroniczna (email, wiadomość wewnątrzfirmowa) bedą znacznie mocniejsze niż upoważnienie ustne.
Nadać upoważnienie do przetwarzania danych może Administrator Danych Osobowych (właściciel firmy, jej zarząd, niekiedy prezes jednoosobowo). Ma on również możliwość wyznaczyć osoby uprawnione do nadawania upoważnienia w jego imieniu.
W Polityce Bezpieczeństwa należy określić: kto upoważnia, w jakiej formie, na jaki czas i czy upoważnienie dotyczy wszystkich danych przetwarzanych przez firmę (np. pracownik kadr może dostać upoważnienie do przetwarzania danych pracowników i osób biorących udział w rekrutacji, ale nie klientów).

6 Jak wyznaczyć obowiązki Administratora Bezpieczeństwa Informacji?

ABI, a w jego braku właściciel firmy, zarząd lub prezes zobowiązani są przeprowadzać kontrolę wewnętrzną dotyczącą przestrzegania Polityki Bezpieczeństwa. W PB należy określić:
Jak często ma być przeprowadzana kontrola? (nie częściej niż co kwartał, ale nie rzadziej niż co rok)
W jaki sposób przeprowadzana ma być kontrola?
Co podlega kontroli?
W jaki sposób sporządza się protokół z kontroli wewnętrznej?
Kto podpisuje protokół?
Gdzie przechowywany jest protokół?

Obowiązek protokołowania wydaje się nieco absurdalny w przypadku firm jednoosobowych nie zatrudniających pracowników (właściciel sam się kontroluje i sporządza z tego protokół?).

7 Co robić w przypadku naruszenia PB?

W Polityce Bezpieczeństwa powinny być określone środki zaradcza, które zostaną zastosowane w przypadku złamania zasad Polityki Bezpieczeństwa i naruszenia praw osób, których dane są chronione. Podobnie jak w kilku poprzednich przypadkach, właściwie niemożliwe jest tu określenie sztywnego szablonu postępowania. Ogólnie w PB należy zawrzeć nakaz zminimalizowania szkód i zgłoszenia naruszenia RODO.

Artykuł jest częścią większego cyklu poświęconego RODO. W kolejnych zostaną omówione pozostałe zagadnienia związane z ochroną danych osobowych.

 

RODO – zarys zagadnienia

Polityka Bezpieczeństwa (cz.2)

RODO – problem dla małej firmy?

Artykuł ten jest częścią większego cyklu wyjaśniającego zagadnienia związane z ochroną danych osobowych. Zdecydowałam się je umieścić ze względu na dużą ilość pytań związanych z RODO.

RODO czyli problem dla małej firmy

Małe i średnie przedsiębiorstwa na równi z korporacyjnymi gigantami zobowiązane są do przestrzegania Rozporządzenia o Ochronie Danych Osobowych (RODO). Z jednej strony należy cieszyć się, że nasze dane będą lepiej zabezpieczone, z drugiej jest to kolejny obowiązek, któremu muszą podołać przedsiębiorstwa sektora MSP.

Kogo dotyczy RODO?

Rząd obiecywał ułatwienia dla małych i średnich firm, faktycznie jednak nie powinniśmy się takich spodziewać. Być może pojawią się symboliczne możliwości, które raczej zagmatwają całą sprawę niż w istotny sposób zmniejszą obowiązki pracodawcy. Polska jest w tej kwestii związana przepisami UE i nie może zaniżać standardów ochrony.
W aktualnej sytuacji prawnej zakładamy, że Rozporządzenie dotyczy wszystkich przedsiębiorstw, a także organów państwowych, samorządowych i organizacji pozarządowych. Każda firma musi uwzględnić RODO.

Jakie dane są chronione rozporządzeniem?

W praktyce ochronie podlegają każde dane umożliwiające identyfikację osoby fizycznej. Oznacza to każdy dokument na którym zawarte są:
Imię i nazwisko;
Numer PESEL;
Zdjęcie umożliwiające identyfikację;
Połączenie innych danych umożliwiające przypisanie ich do konkretnej osoby – choćby adres email, podpisane oświadczenie, konto na portalu społecznościowym, numer telefonu, rejestracja prywatnego samochodu.

Wyjątki mogą natomiast dotyczyć sytuacji gdy dane są powszechnie znane (przykładowo sam zainteresowany umieścił je na swojej stronie www) lub dotyczą nie tyle osób co grup lub organizacji (dane statystyczne, kapitał firmy itp.).

Czyje dane są chronione?

RODO nie dookreśla grupy osób, które korzystają z ochrony, należy więc uznać, że dotyczy ono wszystkich. W przypadku większości przedsiębiorstw będzie to oznaczać głównie:
Pracowników;
Osoby kandydujące do pracy;
Kontrahentów i dostawców;
Klientów.

Lista ta będzie rozszerzona w przypadku prowadzenia działalności związanej z tworzeniem, obróbką i przetwarzaniem danych.
Przykładowo fotograf weselny będzie mieć obowiązek chronienia danych gości weselnych, których fotografował, a przedsiębiorca prowadzący call center – osób ankietowanych.

Ochrona danych nie jest absolutna i pewne dane mogą być udostępniane np. w ramach wolności prasy, wolności słowa czy nawet zasadnego interesu firmy. Mówi się o „wyważeniu” pomiędzy ochroną danych osobowych, a innymi prawami.

Jak chronić dane by pozostać w zgodzie z prawem?

Co ciekawe, w stosunku do poprzednio obowiązujących przepisów, w RODO nie próbowano doprecyzować szczegółów technicznych ochrony danych osobowych. Administratorzy danych osobowych mają dużą dowolność, ale i równą jej odpowiedzialność.

Na pewno warto przygotować wewnątrz firmowy dokument dotyczący Polityki Bezpieczeństwa przedsiębiorstwa. Dokument taki powinien zostać przedstawiony wszystkim pracownikom. Po zapoznaniu się z nim, pracownicy powinni podpisać zobowiązanie się do przestrzegania zasad tam ustalonych. Reguły te w równym stopniu obowiązywać będą także właściciela firmy.
Dalsze istotne czynności formalne będą już dotyczyły konkretnych sytuacji i tak na przykład:

Powierzając dane podwykonawcy należy zawrzeć z nim umowę powierzenia / podpowierzenia danych osobowych.
Jeśli w firmie kontakt z chronionymi danymi ma część pracowników – należy pisemnie upoważnić ich do przetwarzania danych osobowych.
Prowadząc rekrutację wolno uwzględniać jedynie CV/listy motywacyjne z umieszczoną klauzulą zezwolenia na przechowywanie i obróbkę danych osobowych dla celów rekrutacji.
Należy informować (choćby w regulaminie portalu, komunikacji mailowej), że przechowuje się dane osobowe danej osoby i że ma ona prawo do wglądu w nie, poprawienia błędów lub usunięcia danych.
Na życzenie danej osoby należy ujawnić jej jakie dane o niej są przechowywane przez firmę – warto więc przygotować sobie odpowiednie szablony dokumentów elektronicznych.
Należy prowadzić listę lub ewidencję przekazywanych danych (np. do doradcy podatkowego, podwykonawcy, urzędu).

Artykuł stanowi część pierwszą cyklu, kolejne pojawią się wkrótce.

Polityka bezpieczeństwa (cz. 1)

Polityka bezpieczeństwa (cz.2)

Instrukcja Zarządzania Systemami Informatycznymi

Umowa powierzenia danych

Upoważnienie pracownika do przetwarzania danych