Artykuł stanowi część większego cyklu poświęconego ochronie danych osobowych.
Instrukcja Zarządzania Systemami Informatycznymi dla małej firmy
Każda firma przechowująca jakiekolwiek dane osobowe w formie elektronicznej zobowiązana jest przygotować Politykę Bezpieczeństwa, której częścią będzie Instrukcja Zarządzania Systemami Informatycznymi.
Samo przygotowanie dokumentu, najczęściej w formie załącznika do Polityki Bezpieczeństwa, jest obowiązkiem formalnym. Natomiast dbanie o bezpieczeństwo danych jest nie tylko obowiązkiem przedsiębiorcy, ale też leży w jego kluczowym interesie. Z tego względu warto przygotować Instrukcję tak by spełniała swoje oficjalne zadanie, a więc była jasnym i zrozumiałym szablonem postępowania dla pracowników. Od czego zacząć?
Czym jest System Informatyczny w rozumieniu przepisów o ochronie danych osobowych?
Za system informatyczny należy uznać każdy program (aplikację), który może posłużyć do przechowywania, przetwarzania lub udostępniania danych osobowych.
Ta, bardzo szeroka, definicja może być sprzeczna z potocznym rozumieniem systemu jako rozwiązania znacznie bardziej zaawansowanego (system operacyjny, CRM, CMS), lecz dla potrzeb ochrony danych osobowych lepiej założyć po prostu, że ów „system informatyczny” oznacza całość oprogramowania używanego przez firmę, a także wszystkie urządzenia elektroniczne, na których dane te mogą być przechowywane.
W zakresie oprogramowania na pewno trzeba wziąć pod uwagę:
Pocztę elektroniczną email
Komunikatory wewnątrz firmowe i zewnętrzne (np. Messenger)
Programy księgowe, fakturujące i kadrowe
Aplikacje firmowych mediów społecznościowych (np. Facebook, Linkedin)
Systemy zarządzania treścią (firmowy CMS, WordPress)
Bazy danych i programy do ich tworzenia/obsługi
Systemy CRM
Nie ma natomiast sensu wymienianie w Instrukcji wszystkich programów ani urządzeń, z których korzystać będą pracownicy.
Jak określić kompetencje, które zawiera Instrukcja Zarządzania Systemami Informatycznymi?
Choć wydaje się to oczywiste, warto zastrzec, że Administrator Danych Osobowych (a więc właściciel firmy lub jej zarząd) ma pełne prawo wglądu we wszystkie firmowe systemy informatyczne i urządzenia – także udostępnione pracownikom.
Bardzo istotny jest też zakres kompetencji ABI oraz osoby kierującej działem IT i tym samym faktycznie przyznającej innym pracownikom dostępy/hasła/uprawnienia pozwalające korzystać z oprogramowania. W Instrukcji można zastrzec także szczególne kompetencje działu kadr czy księgowego.
Dostęp pozostałych pracowników do urządzeń i oprogramowania powinien być natomiast określony bardzo ogólnie, tak by nie utrudniać pracy, ani nie rozbudowywać nadmiernie biurokracji wewnątrz firmowej. Stosowanie zapisów zbyt szczegółowych, a zwłaszcza przypisywanie kompetencji do konkretnej osoby (Jan Iksiński) zamiast do stanowiska (specjalista ds. IT), może doprowadzić do stworzenia zapisu zbyt uciążliwego i w efekcie – martwego.
W Instrukcji warto więc zawrzeć informacje na temat tego:
Kto ma prawo przyznawać i odbierać dostęp do urządzeń i programów;
Jakie stanowiska mają dostęp do szczególnie istotnych danych osobowych;
W jaki sposób przyznaje się lub odbiera dostęp do urządzeń i programów.
Co zawrzeć w Instrukcji Zarządzania Systemami Informatycznymi?
Wszystkie informacje zawarte w poprzednich akapitach dotyczą obowiązków formalnych. Nie znając potrzeb konkretnej firmy, trudno wybrać optymalne rozwiązania pod względem praktycznym. Mimo to zawsze w Instrukcji warto zawrzeć
Nakaz zabezpieczania baz danych i dostępu do kluczowego oprogramowania hasłem;
Potrzebę wylogowywania się w przypadku opuszczenia stanowiska pracy i ponownego logowania po powrocie na nie;
Wymagania przedsiębiorstwa w zakresie szyfrowania informacji wewnątrz firmowych i w kontaktach z kontrahentami;
Zasady dotyczące wynoszenia poza teren firmy nośników danych i urządzeń elektronicznych je przechowujących;
Częstotliwość i sposób tworzenia kopii zapasowych (back-up);
Zasady przechowywania, zabezpieczania, i przywracania kopii zapasowych;
Zasady drukowania i przesyłania dokumentów elektronicznych;
Metody bezpiecznego przekazywania haseł dostępowych i kluczy kryptograficznych między pracownikami, jeśli zachodzi taka potrzeba.
W praktyce te same zasady warto stosować nie tylko do ochrony danych osobowych, ale też w celu zachowania tajemnicy handlowej i uniknięcia szpiegostwa gospodarczego.
Między teorią, a praktyką
Przygotowując Instrukcję Zarządzania Systemami Informatycznymi należy pamiętać, że przygotowanie dokumentu w stylu obietnic wyborczych (czyli w teorii idealnego systemu bezpieczeństwa, a w praktyce niemożliwego do wyegzekwowania) nie ma sensu. Zgodność z RODO i tak będzie sprawdzana głównie w firmach gdzie nastąpił wyciek danych, a wówczas urzędnicy zapytają o faktyczne, a nie jedynie formalne środki ochrony.
Lepiej więc stworzyć Instrukcję możliwą do zrealizowania i trzymać się jej. Żadna firma na świecie nie jest w stanie w 100% zapewnić bezpieczeństwa danych. Urzędnicy zdają sobie z tego sprawę i nie będą wymagać poziomu ochrony większego niż w przypadku podobnych przedsiębiorstw.