Czy powiadamiać Cię o nowych wpisach?

Bądź na bieżąco - z nami nie ominą Cię żadne zmiany w przepisach.

Zapisz się

Informujemy, że Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe zostały przekazane dobrowolnie i będą przetwarzane wyłącznie w celu przesłania powiadomień o nowych wpisach na blogu oraz nowych usługach. Bez wyraźnej zgody dane osobowe nie będą udostępniane innym odbiorcom danych. Mają Państwo prawo dostępu do swoich danych oraz ich poprawiania poprzez kontakt: newsletter@blog-daneosobowe.pl

[ARCHIWUM] Wzory i szablony dokumentacji ochrony danych osobowych: Polityka bezpieczeństwa

Jest to artykuł archiwalny, przedstawiający stan prawny aktualny na dzień 4.02.2016. Artykuł poświęcony dokumentacji ochrony danych osobowych (wraz z wzorami do pobrania) uwzględniający zmiany wprowadzone przez RODO znajduje się tutaj: https://blog-daneosobowe.pl/wzory-i-szablony-dokumentacji-ochrony-danych-osobowych-polityka-bezpieczenstwa/

Przygotowanie dokumentacji ochrony danych osobowych to jedno z podstawowych zadań każdego Administratora Danych. W związku z wieloma pytaniami i prośbami, postanowiliśmy nieodpłatnie udostępnić szablony dokumentacji, na których pracowaliśmy w 2015 roku w Lex Artist.

Pod pojęciem dokumentacji rozumiemy:

  • Politykę Bezpieczeństwa,
  • Instrukcję Zarządzania Systemami Informatycznymi,
  • Ewidencję Upoważnień,
  • Wzory upoważnień,
  • Wzory sprawozdań ze sprawdzenia oraz planów sprawdzeń.

Czy istnieje szablon idealny?

Obecnie w Internecie możemy znaleźć ogromną ilość szablonów dokumentacji ochrony danych osobowych. Są one udostępniane odpłatnie i nieodpłatnie. Mają różną objętość i treść. Jak odnaleźć się w tym gąszczu? Gdzie znaleźć szablon idealny?

Po pierwsze –  szablonów idealnych po prostu nie ma. Wzory dokumentów, które załączamy, są efektem wielu lat pracy całego zespołu Lex Artist. Ale nawet te szablony muszą być każdorazowo dostosowane do indywidualnych potrzeb Klienta.

Dlaczego? Ponieważ każdy podmiot przetwarzający dane osobowe jest inny. Ma inne potrzeby i inne obszary wymagające poświęcenia szczególnej uwagi.

To trochę tak jak z Konstytucją. Teoretycznie, każdy polityk może przepisać Konstytucję największej światowej potęgi – Stanów Zjednoczonych, a następnie uchwalić ją w swoim kraju. Pytanie tylko, z jakim efektem? Konstytucja amerykańska świetnie sprawdza się w Stanach Zjednoczonych. Ale czy równie dobrze sprawdziłaby się w Chinach, Rosji czy  Polsce?

Co zatem jest kluczowe? Co sprawia, że jedne akty prawne działają lepiej od innych? Przede wszystkim zidentyfikowanie ich słabych i mocnych stron oraz odpowiednie dopasowanie treści do indywidualnych potrzeb. Ważna jest też pewna elastyczność. Możliwość zmiany aktu prawnego w sytuacji, kiedy dany obszar nie działa sprawnie. A także powołanie niezależnych osób (organów), które będą interpretowały ogólne zapisy.

Analogia do Konstytucji nie jest przypadkowa. Polityka bezpieczeństwa jest przecież Ustawą Zasadniczą w obszarze ochrony danych osobowych. To właśnie od treści Polityki Bezpieczeństwa będzie zależała w dużym stopniu skuteczność systemu ochrony danych osobowych w Twojej organizacji.

Jakie przepisy regulują kwestie posiadania Polityki Bezpieczeństwa?

Na początek obalmy pewien mit. Polityka Bezpieczeństwa często utożsamiana jest z polityką prywatności, zamieszczaną na wielu stronach internetowych. Różnica między tymi dokumentami jest natury zasadniczej. Polityka prywatności to „dokument”, który nie jest regulowany polskimi przepisami. Przyszła do nas ze Stanów Zjednoczonych, gdzie jest dość popularnym elementem komunikacji z klientem. Polskie przepisy nie nakładają obowiązku zamieszczania polityk prywatności.

Z kolei Polityka Bezpieczeństwa, to dokument, który ma obowiązek opracować i wdrożyć każdy Administrator Danych Osobowych. Obowiązek posiadania Polityki Bezpieczeństwa, a także opis jej „konstrukcji” są przewidziane w następujących przepisach:

  • Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (U. 1997 nr 133 poz. 883), dalej: uodo,
  • Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (U. 2004 nr 100 poz. 1024), dalej: Rozporządzenie w sprawie dokumentacji,
  • Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych (Dz.U. 2015 nr 0 poz. 719)
  • Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji (Dz.U. 2015 nr 0 poz. 745)

Powyższe przepisy nie regulują jednak redakcji Polityki Bezpieczeństwa w sposób bardzo szczegółowy. To dość ogólne zasady i wytyczne.

Rozporządzenie w sprawie dokumentacji precyzuje jakie elementy muszą znaleźć się w Polityce Bezpieczeństwa. Jednym z nich jest  opis obszaru przetwarzania danych osobowych. Jest to bardzo dobry przykład jednego z obowiązkowych elementów Polityki, który teoretycznie nie powinien budzić większych wątpliwości, a przez różnych Administratorów bywa różnie interpretowany.

Niektórzy chcieliby opisać obszar bardzo precyzyjnie, włącznie z konkretnymi pokojami w których dochodzi do przetwarzania danych osobowych. Inni są zdania, że wystarczy wskazać jedynie adres obszaru przetwarzania danych. Która metoda jest akceptowana przez GIODO? Która metoda jest skuteczna? Którą wreszcie metodę zalecamy jako najbardziej praktyczne rozwiązanie?

Odpowiedzi na te, a także na wiele innych pytań, odnajdą Państwo w niniejszym Poradniku. Wszystkie  wskazówki i wytyczne zawarte w Poradniku, są efektem wielu lat naszej pracy i doświadczeń, związanych z wdrażaniem Polityk Bezpieczeństwa w ponad 500 instytucjach i przedsiębiorstwach. Zachęcamy do dzielenia się wrażeniami z lektury i do zadawania pytań w komentarzach. Na każde odpowiemy.

Przygotuj swoich pracowników do RODO

Skorzystaj z naszych innowacyjnych, interaktywnych e-szkoleń. Przekonaj się, że e-learningi nie muszą być nudnymi, brzydkimi blokami tekstu, których pracownik nie zapamięta. Brzmi interesująco? Zapraszamy do naszego e-sklepu 😉 Kup e-szkolenia

Na co należy zwrócić uwagę, dopasowując Politykę bezpieczeństwa do własnych potrzeb?

  • Kto wdraża dokumentację?

Przepisy wskazują jedynie, że obowiązek prowadzenia dokumentacji spoczywa na Administratorze Danych Osobowych. Konieczny będzie zatem podpis osoby uprawnionej do reprezentacji Administratora Danych. Sama forma wdrożenia, np. uchwała zarządu, zarządzenie Prezesa czy rozporządzenie Burmistrza, zależy od rodzaju i struktury organizacji w której Polityka została opracowana.

  • Jaką datę wdrożenia wybrać?

Ustawa o ochronie danych osobowych to akt prawny z roku 1997. Teoretycznie więc, dokumentacja powinna być wdrożona już dawno temu. Jednak wciąż działają administratorzy danych, którzy nie posiadają wdrożonej dokumentacji. Niektórzy boją się, że jeśli datą wdrożenia będzie np. 2016 rok, to GIODO w trakcie kontroli wyciągnie z tego tytułu konsekwencje.

Takie obawy są zupełnie bezzasadne. GIODO proceduje na podstawie przepisów kodeksu postępowania administracyjnego. Brak dokumentacji faktycznie jest uchybieniem i to poważnym. Jednak na mocy art. 105 kodeksu postępowania administracyjnego, GIODO ma obowiązek umorzyć postępowanie, które stało się bezprzedmiotowe. A postępowanie w sprawie braku dokumentacji w poprzednich latach, z pewnością byłoby uznane za bezprzedmiotowe. Innymi słowy – GIODO bada stan faktyczny na dzień prowadzenia kontroli.

  • Definicje

Warto zdefiniować kluczowe pojęcia, takie jak dane osobowe czy ich przetwarzanie. Znaczenie pojęć może być tożsame z definicją ustawową (zalecane rozwiązanie). Możemy również nieco zmodyfikować terminologię i dopasować ją do wewnętrznej struktury organizacyjnej. Zamieszczenie definicji pozwoli uniknąć chaosu terminologicznego i każdorazowego wyjaśniania powtarzających się pojęć.

  • Kto i za co odpowiada?

Przygotowując Politykę Bezpieczeństwa, powinniśmy zacząć od dyskusji i zastanowienia się w gronie osób decyzyjnych nad wizją systemu ochrony danych osobowych. Możemy powołać Administratora Bezpieczeństwa Informacji, który będzie odpowiadał za większość zadań związanych z ochroną danych osobowych. Możemy również ABIego nie powoływać. Niezależnie od tego, czy ABI zostanie wybrany czy nie, musimy wskazać, kto będzie np. nadawał upoważnienia i szkolił nowych pracowników? Kto będzie reagował w przypadku incydentów? Kto zaktualizuje Politykę Bezpieczeństwa? Kto kogo będzie informował o konieczności nadania upoważnienia w przypadku dużych organizacji? Kto będzie podejmował decyzję o zakresie upoważnienia – bezpośredni przełożony, czy ABI?

W Polityce Bezpieczeństwa nie powinniśmy posługiwać się imionami i nazwiskami konkretnych osób. Jeśli np. za nadawanie upoważnień odpowiada ABI – Piotr Kowalski, to wystarczy, że w dokumentacji zaznaczymy, że za taki obszar odpowiada ABI. Jeśli użylibyśmy konkretnego imienia i nazwiska to przy każdorazowej zmianie na tym stanowisku, zaistnieje konieczność aktualizacji Polityki Bezpieczeństwa. Wiąże się to ze sformalizowaną drogą służbową i koniecznością uzyskania podpisu najwyższego kierownictwa, o co nie zawsze łatwo.

Podsumowując – najpierw ustalamy wspólnie z osobami decyzyjnymi ogólną wizję i koncepcję. A dopiero później nasze ustalenia materializujemy w postaci Polityki Bezpieczeństwa.

  • Upoważnienia do przetwarzania danych osobowych

Pracownicy, wykonując swoje codzienne obowiązki, przetwarzają dane osobowe. Aby działo się to legalnie i zgodnie z przepisami Ustawy, powinni otrzymać w tym celu stosowne upoważnienie. O samej konstrukcji upoważnienia, będziemy jeszcze pisali w kolejnych artykułach cyklu.

Zasady nadawania upoważnień określamy w Polityce Bezpieczeństwa. Upoważnienie do przetwarzania danych osobowych powinno być odrębnym dokumentem. Jego wzór wskazujemy jako w załącznik do Polityki Bezpieczeństwa.

Administrator Danych Osobowych nadaje upoważnienie do przetwarzania danych osobowych każdemu pracownikowi w stosownym zakresie. Możliwe jest również nadawanie upoważnień w formie elektronicznej.

Dopuszczalne jest również upoważnienie przez ADO innego pracownika (np. ABI, czy pracownika działu kadr) do nadawania upoważnień w swoim imieniu. Musi to być jednak wyraźnie zaznaczone w Polityce Bezpieczeństwa i odbywać się na mocy oficjalnego umocowania nadanego przez ADO konkretnej osobie.

  • Umowa powierzenia danych osobowych

W załączniku do Polityki Bezpieczeństwa warto zamieścić rejestr wszystkich zawartych umów powierzenia danych osobowych.

Poważnym ryzykiem prawnym jest brak takiej umowy z podmiotem zewnętrznym, który ma dostęp do prowadzonego przez nas zbioru. Prowadzenie rejestru pomaga w uporządkowaniu i transparentności w kwestii umów powierzenia.

  • Kontrola

Kontrolę nad ochroną przetwarzanych danych osobowych sprawuje Administrator
Bezpieczeństwa Informacji.

Wytyczne w tym zakresie określa rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez Administratora Bezpieczeństwa Informacji.

Powyższe rozporządzenie wyróżnia dwie formy sprawowania kontroli: sprawdzenie oraz stricte sprawowanie nadzoru. Sprawdzenie to weryfikacja zgodności przetwarzania danych osobowych z przepisami ustawy. W Polityce Bezpieczeństwa muszą pojawić się odpowiadające wytycznym rozporządzenia zasady przeprowadzania sprawdzeń, ich planowania oraz ich częstotliwość (nie częściej niż raz na kwartał, nie rzadziej niż raz na rok).

Samo sprawowanie nadzoru przez ABI obejmuje weryfikację aktualności dokumentacji ochrony danych osobowych. A także  badanie zgodności ze stanem faktycznym przewidzianych w dokumentacji środków technicznych i organizacyjnych oraz ogólnych zasad i obowiązków określonych w dokumentacji.

Tryb przeprowadzania tych wszystkich działań kontrolnych powinien być szczegółowo opisany w Polityce Bezpieczeństwa. Wraz z podaniem częstotliwości przeprowadzania danych procedur. Z czynności kontrolnych sporządzany jest protokół, w którym dokonuje się dokładnego opisu zakresu kontroli i przeprowadzonych czynności. Protokół podpisywany jest przez osoby wykonujące czynności kontrolne. Dołącza się go do dokumentacji ochrony danych osobowych.

Wzór protokołu z kontroli lub czynności sprawdzających powinien znaleźć się w Polityce Bezpieczeństwa.

Nie masz czasu na samodzielne opracowywanie Dokumentacji RODO? Skorzystaj z naszego sprawdzonego wzoru Polityki Ochrony Danych zawierającego wymagane przez RODO procedury.

Sprawdź

 

  • Wykaz zbiorów danych osobowych

W Rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. W sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (dalej: Rozporządzenie w sprawie dokumentacji), wprost wskazano, że niezbędnym elementem Polityki Bezpieczeństwa jest wykaz zbiorów danych osobowych.

Jednocześnie jednym z najczęstszych błędów popełnianych przez administratorów danych przy tworzeniu Polityki Bezpieczeństwa, jest brak wykazu zbiorów danych osobowych. Jeśli nie wyróżnimy zbiorów danych osobowych, które przetwarzamy, tym bardziej nie nadamy do nich upoważnień dla pracowników. Trudno również odpowiednio zabezpieczyć poszczególne zbiory danych lub zbadać czy są one przetwarzane w oparciu o jedną z przesłanek legalności (art. 23 lub 27 uodo), jeśli… zbiorów nie wyróżniliśmy.

O samej idei zbioru, sposobach i wyróżniania czy kwestii zgłoszenia do GIODO, pisaliśmy już wielokrotnie na łamach bloga. W tym miejscu jedynie sygnalizuję kluczową rolę tego elementu Polityki Bezpieczeństwa.

  • Jawny rejestr zbiorów danych

Nowelizacja ustawy o ochronie danych osobowych z roku 2015, wprowadziła nową formę „zgłoszenia” zbiorów danych osobowych. Dotyczy ona tych administratorów danych, którzy zdecydowali się powołać Administratora Bezpieczeństwa Informacji. ABI prowadzi jawny rejestr zbiorów, zawierający opis zbiorów, dotychczas wymagających zgłoszenia do GIODO.

Polityka Bezpieczeństwa powinna uwzględnić zasady funkcjonowania nowego rozwiązania, jeśli znajduje ono zastosowanie. Wytyczne w tym zakresie można znaleźć w Rozporządzeniu Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych.

  • Systemy informatyczne

Przetwarzanie danych osobowych wyłącznie w wersji papierowej jest obecnie rzadkością. Powszechność wykorzystania systemów informatycznych wymaga uwzględnienia w Polityce Bezpieczeństwa. Należy wskazać wszystkie używane systemy informatyczne oraz przedstawić sposób przepływu danych między tymi systemami. Pamiętajmy jednak, że Polityka Bezpieczeństwa ma być Konstytucją, dlatego nie należy tutaj wnikać w szczegółowe struktury systemów informatycznych i powiązania między poszczególnymi polami informacyjnymi. Wystarczy wypisanie nazw systemów, relacji między nimi (import / eskport lub dwustronny przepływ) oraz ewentualnie zakresu przesyłanych danych. Takie zestawienie można przygotować np. w formie przejrzystej tabeli lub prostej infografiki.

  • Obszar, w którym przetwarza się dane osobowe

Kolejnym błędem, bardzo często popełnianym przy tworzeniu Polityki Bezpieczeństwa jest próba zbyt precyzyjnego określenia wszystkich pomieszczeń w których przetwarzane są dane osobowe. Jest to bardzo czasochłonne, często powoduje też paraliż wewnątrz organizacji. Jeśli zbyt precyzyjnie określimy obszar przetwarzania danych – pracownicy boją się przenosić pojedyncze dokumenty za próg pokoju, któremu są one “dedykowane”. Pamiętajmy też, że w dzisiejszych czasach, kiedy praca zdalna jest na porządku dziennym, precyzyjne określenie, gdzie potencjalnie mogą być przetwarzane dane, jest po prostu niemożliwe.

Dlatego też, w Polityce Bezpieczeństwa nie musimy opisywać z osobna każdego pomieszczenia, w którym dokonuje się operacji na danych lub przechowuje się kopie danych. Wystarczające jest podanie adresu siedziby Administratora. Dodatkowo wykaz obszarów powinien zawierać siedziby wszystkich podmiotów, którym powierzono przetwarzanie danych na podstawie umowy powierzenia.

  •  Załączniki

Dobra Polityka Bezpieczeństwa, tak samo jak dobra Konstytucja, powinna być na tyle ogólna, żeby nie potrzeba było jej zbyt często aktualizować. Dokument jest podpisywany przez osobę uprawnioną do reprezentacji administratora danych osobowych, a my nie będziemy przecież chcieli niepokoić Prezesa ciągłymi prośbami o podpis aktualizacji.

Warto podzielić dokumentację na elementy zmienne (załączniki) oraz część „stałą” (ogólne zasady organizacji ochrony danych osobowych). W części „stałej” powinniśmy wskazać zasady aktualizacji obu obszarów. Zdecydowanie polecam tutaj implementację możliwości dowolnego modyfikowania załączników dokumentacji przez ABIego lub osobę dedykowaną do opieki nad dokumentacją. Każdorazowe zbieranie podpisów od Prezesa na wielu stronach załączników bywa uciążliwe. Załączniki mogą zmieniać się dość często. Podlegającym zmianom załącznikiem może być na przykład wykaz zbiorów danych (będą powstawały nowe zbiory), używane systemy informatyczne czy imiona i nazwiska osób nadzorujących ochronę danych osobowych.

Co innego, jeśli chodzi o część „stałą” Polityki. Warto zadbać o to aby zmieniała się ona jedynie w wyjątkowych sytuacjach. Uzależnienie jej zmiany od podpisu Prezesa umożliwi kontrolę Administratora Danych nad kluczowymi zmianami.

  • Szkolenia

Dodany w ramach nowelizacji ustawy o ochronie danych  osobowych z roku 2015, art. 36a ust. 2 pkt. 1 lit. c i 36b nakazuje: „zapoznanie osób przetwarzających dane osobowe z przepisami o ochronie danych osobowych”.

Zapoznać pracowników z przepisami możemy na dwa sposoby. Sposób pierwszy polega na wysłaniu im treści ustawy oraz Dokumentacji ochrony danych osobowych. Jest to działanie proste i tanie… jednak w praktyce zupełnie się nie sprawdza. Przepisy dotyczące ochrony danych osobowych są skomplikowane i trudne w interpretacji nawet dla pracowników działów prawnych. A przecież większość danych osobowych będą przetwarzały osoby bez wykształcenia prawniczego.

Pamiętajmy też o tym, że tzw. „czynnik ludzki”, jest przyczyną największej ilości wycieków danych osobowych. Wysoka świadomość pracowników jest z kolei najskuteczniejszym sposobem zabezpieczenia informacji.

Z powyższych względów, zdecydowanie zalecamy bardziej kompleksowe podejście do szkolenia pracownikówWarto zastanowić się nad praktycznym sposobem realizacji. Szkolenia może realizować sam ABI, trener zewnętrzny, trener wewnętrzny. Mogą być one elementem tzw. „Welcome Training”, stosowanego przez duże korporacje. Mogą też przybrać formę e-learningu.

Możliwości jest bardzo dużo, wybierzmy tą optymalną dla nas. Pamiętajmy o tym, że szkolenia informacyjne dla zdecydowanej większości pracowników nie muszą trwać całego dnia. Najczęściej w zupełności wystarczą dwie godziny zegarowe. Z naszego doświadczenia wynika, że im więcej pracownikom chcemy przekazać wiedzy, tym mniej zapamiętają. A przecież nie o to chodzi. Dlatego należy się skupić na najważniejszych aspektach: po szkoleniu pracownicy powinni wiedzieć do kogo mogą zgłosić się z problemami z zakresu ochrony danych osobowych. Powinni znać też podstawowe definicje, być świadomi tego, że przetwarzają dane osobowe. Bardzo ważna jest również świadomości odpowiedzialności, która łączy się z faktem przetwarzania danych.

Kiedy już wybierzemy optymalny dla naszej organizacji sposób prowadzenia szkoleń, powinien on zostać opisany w Polityce Bezpieczeństwa.

Sprawdź naszą innowacyjną metodę szkolenia pracowników

Przekonaj się sam, że e-learningi nie muszą być nudnymi, brzydkimi "slajdumentami". Przeklikaj wersję demo. Zobacz demo

O czym jeszcze warto pamiętać?

Przede wszystkim o czasie. Lepiej przygotować Politykę, która będzie miała pewne braki niż nie posiadać jej w ogóle. Zbytni perfekcjonizm zgubił już niejednego Administratora Danych. Wielu ABI wdraża Politykę nawet kilka lat, wciąż czekając na brakujące załączniki czy pojedyncze procedury. A tymczasem brak podpisu Prezesa na Polityce Bezpieczeństwa oznacza, że dokument formalnie nigdy nie zaistniał.

W najbliższych miesiącach opublikujemy na stronach bloga kolejne części poradnika oraz szablony dokumentów. Zapraszamy do lektury i w przypadku Państwa uwag lub sugestii, również do kontaktu i podzielenia się swoimi spostrzeżeniami.

Zachęcamy Państwa do dzielenia się wrażeniami z lektury Poradnika i do zadawania pytań w komentarzach.

 

Profesjonalne wsparcie

Mamy nadzieję, że poradnik był dla Ciebie pomocny. Jeśli nie masz czasu na tworzenie dokumentacji albo chcesz ją zweryfikować, zapraszamy do skorzystania z naszej pomocy.
Więcej

Żródła:

  • 9 letnie doświadczenie pełnieniaia funkcji ABI lub wsparcia ABI w ponad 100 organizacjach. Kilka tysięcy godzin szkoleniowych (w tym szkoleń dla ABI).
  • Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922),
  • Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. ( U. z 2004 r. Nr 100, poz. 1024 ) w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych,
  • Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. ( Dz. U. Poz. 745) w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji 

Zostaw odpowiedź