W przypadku przetwarzania danych osobowych w systemach informatycznych Administrator danych zobowiązany jest do prowadzenia i wdrożenia instrukcji zarządzania systemem informatycznym
Instrukcja powinna określać:
- ogólne informacje o systemie informatycznym i zbiorach danych osobowych, które są przy ich użyciu przetwarzane,
- ich lokalizację i stosowane metody dostępu,
- zastosowane rozwiązania techniczne,
- procedury eksploatacji i zasady użytkowania, jakie zastosowano w celu zapewnienia bezpieczeństwa przetwarzania danych osobowych.
Instrukcja zawiera w szczególności:
- procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności,
- stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem,
- procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu,
- procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania,
- sposób, miejsce i okres przechowywania:
- elektronicznych nośników informacji zawierających dane osobowe,
- kopii zapasowych, o których mowa w pkt. 4,
- sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego,
- sposób realizacji wymogów dotyczących odnotowania określonych informacji dotyczących zbioru danych,
- procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.