Aspekty techniczne:
■ Czy dane są przetwarzane w systemach informatycznych?
■ Jaki jest model przepływu danych między systemami?
■ Jak zabezpieczono poszczególne jednostki?
■ Czy komputery posiadają prawidłowo działające aktualne oprogramowanie antywirusowe?
■ Czy komputery posiadają odpowiednie zabezpieczenie przed zmianami napięcia?
■ Czy komputery są zabezpieczone aktualnym oprogramowaniem typu „firewall”?
■ Czy dostęp do poszczególnych systemów przetwarzających dane osobowe został właściwie ograniczony?
■ Czy zastosowano właściwe systemy uwierzytelniania?
■ Czy zabezpieczono dane przed nieupoważnionym kopiowaniem?
■ Czy poszczególne systemy monitorują dostęp i modyfikacje prowadzone przez użytkowników?
■ Czy właściwie zabezpieczono integralność danych?
■ Czy właściwie tworzy się i zabezpiecza kopie zapasowe?
■ Czy prowadzony jest rejestr tworzenia kopii zapasowych?
■ Czy zabezpieczono ciągłość pracy systemów informatycznych?
■ (••■)■
Przygotowanie niezbędnej dokumentacji_
Aby spełnić wymogi prawne dotyczące właściwego przetwarzania danych osobowych należy przygotować niezbędną dokumentację (w nawiasie podajemy ich podstawę prawną), między innymi taką jak:
• polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych (art. 36 ust. 2 wraz z art. 39a ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych oraz § 3 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dn. 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych),
• wnioski rejestracyjne do Generalnego Inspektora Ochrony Danych Osobowych (art. 40 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych),
• upoważnienia do przetwarzania danych osobowych (art. 37 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych),
• ewidencję upoważnień do przetwarzania danych osobowych (art. 39 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych),
• oświadczenia dla pracowników o zachowaniu w tajemnicy danych osobowych oraz informacji o sposobach ich zabezpieczenia (art. 39 ust. 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych),
• umowy powierzenia przetwarzania danych osobowych (art. 31 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych),