Zgodnie z art. 36 ust. 2 oraz art. 39a ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity: Dz. U. 2002 r. Nr 101 poz. 926, ze zm.)  oraz § 3 i § 4 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r., w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100 poz. 1024) administratorzy danych osobowych zobowiązani są do opracowania i wdrożenia dokumentacji opisującej sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ich ochronę w stopniu odpowiednim do zagrożeń oraz kategorii przetwarzanych danych.

Na powyższą dokumentację składają się:

1.       Polityki bezpieczeństwa

2.       Instrukcja Zarządzania Systemem Informatycznym

Zgodnie z ustawą o ochronie danych osobowych, administratorem danych jest organ, jednostka organizacyjna, podmiot lub osoba, decydujące o celach i środkach przetwarzania danych osobowych. Oznacza to w szczególności, że administratorami danych są wszystkie firmy i instytucje zatrudniające pracowników i przetwarzające ich dane osobowe w systemach księgowych, kadrowo-płacowych i innych.

Chociaż na mocy ustawy pracodawcy zwolnieni są z obowiązku rejestrowania zbiorów zawierających dane swoich pracowników, to nadal ciąży na nich obowiązek przygotowania i wdrożenia dokumentacji o której wyżej mowa.

PN standard pomaga przedsiębiorcom przejść ten trudny etap służąc swoim doświadczeniem i wiedzą zdobytą w trakcie dotychczas zrealizowanych wdrożeń.

Proces wsparcia dotyczący przygotowania i wdrożenia Polityki Bezpieczeństwa oraz Instrukcji Zarządzania Systemem Informatycznym obejmuje następujące czynności wymagane do spełnienia wymogów prawnych:

1.       analizę zasobów informacyjnych firmy,

2.       określenie wymaganego poziomu bezpieczeństwa przetwarzanych danych osobowych,

3.       identyfikacja i klasyfikacja przetwarzanych zbiorów danych,

4.       identyfikacja programów i systemów używanych do przetwarzania danych,

5.       określenie i udokumentowanie przepływu danych między systemami,

6.       pomoc w określeniu struktury zbiorów,

7.       ustalenie obszarów przetwarzania,

8.       przygotowanie ewidencji osób przetwarzających dane osobowe,

9.       pomoc w przygotowaniu ewidencji wpisów i udostępniania danych oraz sprzeciwów wobec przetwarzania danych osobowych,

10.   ustalenie i udokumentowanie procedur zarządzania systemem informatycznym,

11.   ustalenie, wdrożenie i udokumentowanie sposobu wykonywania kopii zapasowych oraz ustalenie wymagań dotyczących sposobu i okresu ich przechowywania,

12.   usunięcie ewentualnych nieprawidłowości dot. sposobu przetwarzania danych osobowych,

13.   pomoc w przygotowaniu umów z firmami trzecimi o powierzenie przetwarzania danych osobowych,

14.   określenie zakresu czynności i obowiązków Administratora Bezpieczeństwa Informacji (ABI),

15.   przeprowadzenie szkoleń dla pracowników z zakresu ochrony danych osobowych,

16.   pomoc w zarejestrowaniu przetwarzanych zbiorów danych u GIODO.

Więcej na temat wymagań dotyczących przetwarzania danych osobowych można znaleźć na stronie GIODO.