Komisja Nadzoru Finansowego, realizując nadzór na rynkiem finansowym zgodnie z art. 2 ustawy z 21 lipca 2006 r. o nadzorze nad rynkiem finansowym (Dz. U. z 2012 r. poz. 1149, ze zm.) oraz mając na uwadze dobro jego uczestników, wydała 16 grudnia 2014 r. wytyczne dotyczące zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego dla podmiotów z obszaru powszechnych towarzystw emerytalnych, zakładów ubezpieczeń i reasekuracji, towarzystw funduszy inwestycyjnych, infrastruktury rynku kapitałowego oraz firm inwestycyjnych. Te wytyczne zwykło się w branży określać mianem Wytycznych IT.
Odbierz pakiet bezpłatnych poradników i mikroszkoleń RODO
Dokument zawiera aż 22 wytyczne, które w zależności od obszaru, posiadają różnice wynikające z specyfiki działalności danego podmiotu. Niezmiennym elementem jest jednak ochrona informacji, w tym także danych osobowych. Bezpośrednie odwołanie do ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2014 r. poz. 1182) znajduje się w Wytycznej 21. Liczne wskazania ochrony danych osobowych znajdziemy także w pozostałej części dokumentu.
Realizując wdrożenie wytycznych wymagane jest zapewnienie ścisłej integracji systemu zarzadzania obszarami technologii informacyjnej i bezpieczeństwem środowiska teleinformatycznego z systemem ochrony danych osobowych. Integracja ze względu na wymóg przeprowadzenia klasyfikacji informacji zgodnie z wymaganiami prawnymi (Wytyczna 19.2) i wymogiem grupowania danych (Wytyczna 8.2 i 8.3), najbardziej uwidacznia się w realizacji Wytycznej 19: Podmiot powinien klasyfikować systemy informatyczne i przetwarzane w nich informacje zgodnie z zasadami, uwzględniającymi w szczególności wymagany dla tych systemów i informacji poziom bezpieczeństwa oraz Wytycznej 8 Podmiot powinien posiadać sformalizowane zasady zarządzania danymi wykorzystywanymi w ramach prowadzonej działalności, obejmujące w szczególności zarządzanie architekturą oraz jakością danych i zapewniające właściwe wsparcie działalności podmiotu.
Opracowując dokumentację wymaganą przez Wytyczne IT tj. Politykę bezpieczeństwę informacji oraz Instrukcję zarządzania systemem informatycznym, z uwagi na powielające się obszary, można odwoływać się do Polityki bezpieczeństwa danych osobowych oraz Instrukcji zarządzania systemami przetwarzającymi dane osobowe. Drugim rozwiązaniem jest włączenie dokumentacji ochrony danych osobowych do szerszej dokumentacji ochrony informacji.