• wykaz programów służących do przetwarzania danych osobowych, • sposób przepływu danych między poszczególnymi systemami informatycznymi, • środki techniczne i organizacyjne stosowane w celu ochrony danych osobowych. W instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych widziałbym konieczność dokonania zmian w tych obszarach: • procedura tworzenia kopii zapasowych, • sposób, miejsce i okres przechowywania kopii zapasowych, • sposób zabezpieczenia systemu informatycznego przed działalnością szkodliwego oprogramowania,
•p rocedury wykonywania przeglądów i konserwacji systemów i nośników informacji służących do przetwarzania danych osobowych. Dodatkowo, w moim przekonaniu, konieczne jest (choć zalecenie to określić należy jako dobrą praktykę) opracowanie szczegółowej procedury postępowania ze smartfonami przez pracowników. Można w niej uregulować choćby kwestie związane z pobieraniem aplikacji, robieniem lokalnych kopii zapasowych etc. Tak jak wspomniałem, ważną kwestią jest zabezpieczenie smartfona (np. szyfrowanie danych), a w kontekście stosowanych na nim programów służących do przetwarzania danych
– zapewnienie im określonych w prawie funkcjonalności (np. odnotowywanie loginu i daty wprowadzenia danych). Tematy te są jednak na tyle szerokie, że powinny stanowić przedmiot osobnego artykułu. Niniejszy tekst miał na celu przede wszystkim pokazanie, że wykorzystywanie urządzeń i aplikacji mobilnych implikuje konieczność sięgnięcia po przepisy prawa (tu: w zakresie ochrony danych osobowych) i ich stosowanie, mimo że pozornie temat jest zbyt nowy, by już doczekał się dedykowanych rozwiązań ustawowych. AUTOR: Michał Sztąberek, prawnik, audytor, specjalista ds. ochrony danych osobowych w firmie iSecure (www.isecure.pl), redaktor naczelny Prevent Magazine