Poradnik Przedsiębiorcy

Czy instrukcja zarządzania systemem informatycznym jest obowiązkowa?

Od 25 maja 2018 r. z uwagi na wejście w życie RODO, tracą moc wcześniej obowiązujące wymagania dotyczące dokumentacji przetwarzania danych osobowych. Jednym z wymaganych dokumentów sprzed RODO była instrukcja zarządzania systemem informatycznym. Czy obecnie należy ją sporządzać? Czy dokumentacja zgodna z RODO powinna zawierać instrukcję?

System informatyczny, zarządzanie systemem informatycznym a instrukcja zarządzania

System informatyczny, to zbiór elementów, które przetwarzają dane za pomocą komputera. W skład systemu informatycznego wchodzą:

  • sprzęt (hardware) - zazwyczaj jest to komputer,

  • oprogramowanie (software) - to programy umożliwiające użytkowanie komputera np. aplikacje, programy komputerowe,

  • zasoby ludzkie - ludzie mający do czynienia z systemem informatycznym np. administratorzy,

  • elementy organizacyjne - procedury i instrukcje korzystania z systemu informatycznego.

Pomocnym dokumentem zawierającym wskazówki, jakie warunki powinny spełniać systemy informatyczne, które służą do przetwarzania danych osobowych jest Rozporządzenie w sprawie dokumentacji przetwarzania danych osobowych i warunków dla systemów informatycznych (Dz.U. 2004 nr 100 poz. 1024 z późn.zm.). Rozporządzenie to określa m.in. sposób prowadzenia dokumentacji związanej z przetwarzanymi danymi osobowymi oraz środki techniczne i organizacyjne służące ochronie danych osobowych. Na tę dokumentację składa się polityka bezpieczeństwa oraz instrukcja zarządzania systemem informatycznym (w dalszej części artykułu zwana “instrukcja”).

RODO nie nakazuje, aby był prowadzony dokument o nazwie “Instrukcja zarządzania systemem informatycznym”, jednak można się takim dokumentem wspomóc przy stwarzaniu dokumentacji zgodnej z RODO.

Zarządzanie systemem informatycznym to określone sposoby postępowania z systemem informatycznym, aby ochrona przetwarzanych w nich danych była należycie zapewniona.

Instrukcja zarządzania systemem informatycznym to dokument, który potwierdza, że przetwarzanie danych osobowych w systemach informatycznych jest zgodne z przepisami prawa.

Czy dokumentacja przetwarzania zgodna z RODO powinna zawierać instrukcję zarządzania systemem informatycznym?

RODO nie zawiera konkretnych wytycznych, jak ma wyglądać dokumentacja przetwarzania danych. Pozostawia tutaj swobodę administratorom danych, co do formy oraz treści takiej dokumentacji. RODO również nie wymaga, aby dokumenty potwierdzające ochronę przetwarzanych danych miały określoną nazwę, czy elementy. Jedyny wymóg, jaki stawia w tym zakresie unijne rozporządzenie, to możność wykazania stosowania ochrony danych osobowych oraz środków i zabezpieczeń, jakie są w tym celu podejmowane oraz że są zgodne z regulacjami rozporządzenia.

Jednakże brak wymagań formalnych nie jest równoznaczny z brakiem obowiązku prowadzenia dokumentacji, w której określone byłyby zasady i procedury dotyczące przetwarzania danych osobowych zgodnie z przyjętymi rozwiązaniami prawnymi, organizacyjnymi i technicznymi.

Art. 24 RODO mówi, że administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane. Wymaganie zawarte w tym artykule oznacza w praktyce, że sposób przetwarzania danych, związane z nim procedury, jak i zastosowane zabezpieczenia techniczne i organizacyjne, powinny zostać zawarte w odpowiedniej dokumentacji, jako spełnienie obowiązku wykazania, że przestrzegane są wymagania RODO.

Podsumowując, jeśli instrukcja zarządzania systemem informatycznym wydana przed wejściem w życie RODO spełnia należycie ochronę danych osobowych i spełnia wymagania zawarte w RODO, to daną instrukcję można uznać za ważną. Ponadto, taką instrukcję instrukcję można rozszerzyć o nowe elementy, tak aby powstała dokumentacja zgodna z RODO. Taka instrukcja zarządzania systemem informatycznym może nosić dowolną nazwę.

Wskazówki, co może zawierać instrukcja zarządzania systemem informatycznym

RODO nie stawia żadnych wymogów formalnych co do dokumentacji zgodnej z RODO ani tym bardziej co do instrukcji zarządzania systemem informatycznym. Jednak, jeśli administrator zdecyduje się taką instrukcję stworzyć, jako oddzielny dokument, to proponuje się, aby taki dokument zawierał:

  1. ogólne informacje o systemie informatycznym stosowanym w przedsiębiorstwie,

  2. informacje o danych osobowych przetwarzanych  przez system informatyczny,

  3. procedury (reguły) nadawania uprawnień do przetwarzania danych osobowych, rejestrowania tych uprawnień w systemie informatycznym oraz osoby odpowiedzialne za te czynności np. kto może nadawać i odwoływać uprawnienia, gdzie jest prowadzony rejestr, zasady przydzielania konta użytkownikowi,

  4. stosowane metody, środki uwierzytelnienia i procedury związane z ich zarządzaniem np. wymagania co do haseł, loginów,

  5. procedury rozpoczęcia, zawieszenia i zakończenia pracy przez użytkowników systemu np. opis czynności, jakie powinny być kolejno podejmowane przy uruchamianiu systemu informatycznego, jak i kończeniu pracy,

  6. procedury tworzenia kopii zapasowych danych oraz programów i narzędzi służących do ich przetwarzania (np. określenie, dla jakich danych wykonywane będą kopie zapasowe, typ nośników, na których kopie będą wykonywane oraz narzędzia programowe i urządzenia mające być do tego celu wykorzystywane, harmonogram wykonywania kopii zapasowych),

  7. sposób, miejsce i czas przechowywania elektronicznych nośników informacji oraz kopii zapasowych  (np. wskazanie pomieszczeń, w których są przechowywane kopie zapasowe lub nośniki informacji, sposób ich zabezpieczenia przed nieuprawnionym dostępem),

  8. sposób zabezpieczenia systemu informatycznego przed złośliwym oprogramowaniem (np. określenie obszarów szczególnie narażonych na ingerencję wirusów komputerowych, źródła ryzyka oraz działań minimalizujących potencjalne ryzyko, jak również wskazanie zastosowanych narzędzi chroniące przed złośliwym oprogramowaniem),

  9. sposób realizacji wymogów dotyczących odnotowywania informacji o udostępnionych danych (np. komu, kiedy i w jakim zakresie dane osobowe zostały udostępnione - ważne jest, aby system informatyczny potrafił takie informacje zapisać - nie jest wystarczające zawarcie takiej informacji na nośniku informacji na papierze),

  10. procedury wykonywania przeglądów i konserwacji systemów oraz nośników danych, (np. określenie zakresu i częstotliwości dokonywania przeglądów oraz konserwacji i osób uprawnionych do ich przeprowadzania). W  przypadku, gdy czynności są zlecane osobom nieposiadającym upoważnień do przetwarzania danych (np. specjalistom z firm zewnętrznych), należy określić w jaki sposób administrator danych będzie nadzorował te czynności.

Jeśli administrator stosuje dwa systemy informatyczne o podobnych rozwiązaniach zabezpieczających, może opracować jedną ogólną instrukcję zarządzania systemem informatycznym do przetwarzania danych. Jeśli natomiast w dwóch systemach informatycznych stosowane są inne zabezpieczenia, wtedy administrator musi sporządzić  odrębne instrukcje zarządzania systemem informatycznym.

Kto może mieć dostęp do instrukcji? 

Instrukcję zarządzania systemem informatycznym wdraża administrator danych osobowych. Opracowana przez administratora instrukcja powinna być przyjęta do stosowania jako obowiązkowy dokument.

Zawarte w instrukcji procedury i wytyczne powinny być udostępnione tym osobom, których one dotyczą, np. instrukcje dotyczące wymagań co do haseł do komputerów powinny być udostępnione każdemu pracownikowi logującym się na komputerze, a wymagania co do przyznawania uprawnień dostępu  tylko osobom, które takie uprawnienia nadają.

Zarządzanie systemem informatycznym a zarządzanie bezpieczeństwem informacji

Na koniec warto wskazać, że zarządzanie systemem informatycznym oraz zarządzanie bezpieczeństwem informacji to niezależne od siebie zagadnienia. Nie są one tym samym. I nie można ich wrzucać do “jednego worka”.

Zarządzanie systemem informatycznym ma na celu zastosowanie odpowiednich zabezpieczeń technicznych, czy organizacyjnych, tak aby system informatyczny nie był zagrożeniem dla bezpieczeństwa danych.

Z kolei zarządzanie bezpieczeństwem informacji ma szerszy zakres niż zarządzanie systemem informatycznym. Dotyczy ochrony wszelkich danych - nie tylko tych przechowywanych w systemie informatycznym, ale też tych przechowywanych w szafach, na biurku itd.