Polityka haseł – metody i środki uwierzytelnienia

RODO nie określa wprost polityki haseł, jaką administrator danych osobowych powinien stosować w jednostce. Niemniej jednak jej ustanowienie jest już obowiązkiem ADO, ze względu na fakt, iż to właśnie administrator przeprowadza analizę ryzyka i określa odpowiednie środki bezpieczeństwa w organizacji.

Procedura ochrony danych osobowych w przypadku pracy zdalnej

Praca zdalna jest bardzo cenioną formą pracy przez pracowników, ale również pracodawców. Niekiedy, jak pokazały to doświadczenia pandemii, jest bezcenna. Nie można jednak zapominać o ryzkach, jakie za sobą niesie. Jedno z nich dotyczy zasady ochrony danych osobowych pracownika wykonującego swoje obowiązki w tej właśnie formie. Dlatego warto, aby administrator danych osobowych miał przygotowaną odpowiednia procedurę.

Lista kontrolna: Kiedy można uchylić tajemnicę informacji o pacjencie

Osoby wykonujące zawody medyczne mają obowiązek zachować w tajemnicy informacje o pacjencie i jego stanie zdrowia. Przepisy zezwalają jednak na odstąpienie od tej zasady pod kilkoma warunkami. Sprawdź poniższą listę kontrolną.

Lista kontrolna: jak przeprowadzić analizę ryzyka stosowania monitoringu wizyjnego w MPM

Zanim placówka zdecyduje się wprowadzić monitoring wizyjny, powinna przeprowadzić stosowną analizę ryzyka. Poniższa lista kontrolna pozwoli zweryfikować konieczność przeprowadzenia tejże procedury.

Wzór klauzuli informacyjnej na potrzeby monitoringu wizyjnego

Przy stosowaniu monitoringu mamy do czynienia ze zbieraniem informacji nie od osoby, której dane są zbierane. W związku z powyższym na podmiocie zbierającym dane z monitoringu istnieje obowiązek dopełnienia obowiązku informacyjnego z art. 14 RODO. W przypadku monitoringu wizyjnego budynku wystarczy umieszczenie tabliczki na ogrodzeniu czy elewacji, na której będzie informacja o tym, że jest wprowadzony monitoring, kto jest administratorem danych i że szczegółowe informacje są dostępne w Internecie pod wskazanym adresem.

Lista sprawdzająca: Przegląd zabezpieczeń ochrony danych w systemach teleinformatycznych

Administrator danych osobowych odpowiada, bezpieczeństwo danych przetwarzanych w systemach teleinformatycznych. Warto za pomocą zawartego poniżej dokumentu zweryfikować, czy wskazówki Urzędu Ochrony Danych Osobowych możemy zastosować w naszej organizacji.

Instrukcja postępowania z danymi osobowymi w wersji papierowej

Dane osobowe przetwarzane są w podmiotach publicznych w różnych formach, m.in. w formie papierowej. Dlatego tak ważne jest, aby administratorzy danych osobowych wiedzieli, jak z nimi postępować. Sprawdź procedurę postepowania.

Przykładowe zapisy w dokumentacji w ramach procedury ochrony drukarek

Jednym ze źródeł incydentów naruszenia ochrony danych osobowych są niezabezpieczone drukarki. Nowoczesne urządzenia mają pamięć, dzięki której przynajmniej tymczasowo istnieje zdalny dostęp do danych osobowych na nich przechowywanych i jednocześnie zleconych do wydruku. Warto też zabezpieczyć wydrukowane dane osobowe w obrębie fizycznej przestrzeni drukarki z uwagi na możliwe błędy ludzkie.

Lista kontrolna: Co powinna zawierać Dokumentacja Systemu Zarządzania Bezpieczeństwem Informacji

System Zarządzania Bezpieczeństwem Informacji (SZBI) – z ang. Information Security Management System (ISMS) – opiera się na ocenie ryzyka. SZBI obejmuje ustanawianie, wdrażanie, eksploatacje, monitorowanie, utrzymywanie i doskonalenie bezpieczeństwa informacji.

Procedura nadawania uprawnień w systemie informatycznym

Aby sprawnie i zgodnie z przepisami dokumentować, że inne osoby niż administrator danych osobowych przetwarzają dane osobowe w organizacji, na polecenie ADO i według ustalonych przez niego reguł, potrzebna jest procedura nadawania uprawnień w systemie informatycznym. Przedstawiamy przykładowy wzór dokumentu.