Dzisiaj krótka i łatwa kontynuacja budowania naszej polityki bezpieczeństwa. Mamy zidentyfikowane zbiory danych, przypisane osoby oraz pomieszczenia w których te osoby się znajdują. Teraz, żeby wszystko było w porządku spróbujmy wyłuskać pomieszczenia z poprzedniego przykładu. Czyli np.:
recepcja, gabinet 1, gabinet 2, gabinet 3, sekretariat, sala rehabilitacji 1 .
Zastanówmy się czy to z pewnością wszystkie miejsca? Ułatwi to poniższa tabelka do której dla porządku dopiszmy sobie jeszcze oprogramowanie w których są przetwarzane dane osobowe.
1. | Wykaz pomieszczeń, w których przetwarzane są dane osobowe (wskazanie konkretnych nr pomieszczeń) | recepcja, gabinet 1, gabinet 2, gabinet 3, sekretariat, sala rehabilitacji 1 |
2. | Wykaz pomieszczeń, w których znajdują się komputery stanowiące element systemu informatycznego | recepcja, gabinet 1, gabinet 2, gabinet 3, sekretariat, sala rehabilitacji 1, pomieszczenie informatyka |
3. | Wykaz pomieszczeń, gdzie przechowuje się wszelkie nośniki informacji zawierające dane osobowe | recepcja, gabinet 1, gabinet 2, gabinet 3, sekretariat, sala rehabilitacji 1, serwerownia, archiwum, pomieszczenie informatyka |
4. | Wykaz pomieszczeń, w których składowane są uszkodzone komputerowe nośniki danych (taśmy, dyski, płyty CD, dyski przenośne, uszkodzone komputery) | recepcja, gabinet 1, gabinet 2, gabinet 3, sekretariat, sala rehabilitacji 1, serwerownia, archiwum, pomieszczenie informatyka |
5. | Wykaz pomieszczeń archiwum | pokój nr 6 |
6. | Wykaz programów, w których przetwarzane są dane osobowe | Symfonia, Płatnik, PSS
|
7. | Wykaz podmiotów zewnętrznych, które mają dostęp do danych osobowych lub je przetwarzają na podstawie podpisanych umów (np. informatyk) – nazwa firmy, imię, nazwisko, adres, funkcja. | Firma “Usługi IT” Michał Zieliński
ul. Długa 80, Warszawa osoby: Michał Zieliński, Łukasz Madejski – informatycy Usługi księgowe Bożena Słomiana ul. Niska 100, Skierniewice osoby: Bożena Słomiana
|
To bardziej szczegółowe zestawienie. Tutaj nie do końca interesują nas przetwarzane zbiory danych. Może być tak, że na przykład w danym pomieszczeniu nie są dane zbiory przetwarzane ale mimo wszystko jest tam dostęp (czy to fizyczny czy poprzez system IT) do danych osobowych i medycznych. Na komentarz zasługuje z pewnością punkt 3 w tabeli. Chodzi tutaj o np. szafy z dokumentacją papierową, szafy zawierające komputerowe nośniki informacji z kopiami zapasowymi danych, stacje komputerowe, serwery i inne urządzenia komputerowe. W pkt. 6 nie mamy pomieszczeń tylko oprogramowanie. To także ważne, żeby wiedzieć i mieć świadomość w jakich aplikacjach wrażliwe dane są przetwarzane – chociażby w kontekście zabezpieczeń tych systemów. Uzupełnieniem tego spojrzenia jest wykaz podmiotów zewnętrznych, które czy to w naszej placówce (np. informatyk) czy na zewnątrz (np. biuro księgowe) przetwarzają dane naszych pracowników czy pacjentów.
Ostatnio na jednej z konferencji spotkałem się z prawniczą opinią, że zgodnie z nowymi przepisami RODO posiadanie polityki bezpieczeństwa nie jest konieczne (a do tej pory trzeba było ją mieć jakby ktoś nie wiedział :)) Moim zdaniem nie zmienia to faktu, że jest to dokument niezbędny do uporządkowania miejsc i zasad przetwarzania danych a także ujednolicenia na poziomie firmy poziomów zabezpieczeń i odpowiednich procedur (np. szkolenia pracowników). Powiem inaczej – 100% rzeczy, które powinny znajdować się w Polityce Bezpieczeństwa RODO wymaga. Dlatego przedstawiona opinia mnie poruszyła bo jest to niepotrzebne “zamydlanie oczu” i kolejna komplikacja dla osób odpowiedzialnych za porządek w placówce.
Biorąc pod uwagę powyższe z uporem maniaka będę przedstawiał kolejne aspekty, które taki dokument powinien zawierać.