Procedura przeglądu dokumentacji dotyczącej ochrony danych osobowych

Procedura jest jedynie propozycją zapisów. Przedstawione wytyczne powinny być dostosowane do struktury firmy i wykonywanych operacji przetwarzania danych. Administrator wprowadza zmiany w dokumentacji poprzez wykonanie aneksu do dokumentacji lub sporządzenie jej kolejnej wersji.

Dokonywanie jakichkolwiek zmian w dokumentacji bezpieczeństwa odbywa się po przeprowadzeniu ponownej analizy ryzyka ujawnienia przetwarzanych danych osobowych.
Dokonanie zmian w systemie ochrony danych osobowych możliwe jest dopiero po zatwierdzeniu dokumentacji przez administratora.
Każda zmiana w systemie musi zostać odnotowana przez administratora systemu w prowadzonej przez niego dokumentacji systemu teleinformatycznego.
W przypadku istotnych zmian dla bezpieczeństwa danych osobowych, zmian w zakresie konfiguracji sprzętowej lub zmiany oprogramowania w systemie przed ponownym uruchomieniem systemu należy dokonać analizy ryzyka dla przetwarzanych danych osobowych. Dokonanie zmian w systemie musi być odnotowane w dzienniku administratora.
Następujące sytuacje mogą determinować konieczność przeglądu i aktualizacji dokumentacji bezpieczeństwa:

  • zmiana lokalizacji systemu teleinformatycznego w związku ze zmianą obszarów przetwarzania danych osobowych,
  • zmiana poziomu zagrożeń dla przetwarzanych danych osobowych,
  • wykrycie nowych słabych miejsc systemu, mających istotny wpływ na jego bezpieczeństwo,
  • zmiana wymagań bezpieczeństwa będąca następstwem zmian dokumentów normatywnych stanowiących o wymaganiach dla bezpieczeństwa systemu teleinformatycznego,
  • zmiany wprowadzone w oprogramowaniu systemowym lub oprogramowaniu mającym związek z bezpieczeństwem systemu teleinformatycznego,
  • zmiana systemu operacyjnego,
  • zmiany w konfiguracji sprzętowej systemu teleinformatycznego mające wpływ na bezpieczeństwo,
  • naruszenie bezpieczeństwa lub integralności systemu teleinformatycznego,
  • wynik kontroli przeprowadzonej przez inspektora ochrony danych osobowych lub organ nadzorczy.