Zgodnie z definicją ustawy o ochronie danych osobowych system informatyczny to – „zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych”
Jeżeli chcemy wykorzystywać jako system informatyczny do przetwarzania danych osobowych edytory tekstu, arkusze kalkulacyjne muszą one spełniać szereg wymagań w dwóch kategoriach:
Wymaganie pierwsze pełna rozliczalności działań:System informatyczny powinien zapewniać i rejestrować informację o:
dacie, od kiedy przetwarza się w zbiorze jej dane osobowe, oraz treści tych danych,
źródle, z którego pochodzą dane jej dotyczące chyba, że administrator jest obowiązany do zachowania w tym zakresie tajemnicy państwowej, służbowej lub zawodowej,
sposobie i zakresie udostępniania jej danych, a w szczególności informacji o odbiorcach lub kategoriach odbiorców, którym dane te są udostępniane,
sposobie, w jaki zebrano dane.Jak można w/w wymagania zapewnić na poziomie tego typu oprogramowania Office?
Na przyklad dodać kolumny i informację do wprowadzonych danych osobowych na temat: daty wprowadzenia, osoby wprowadzającej, udostepnienia danych, zebraniu danych.
Ich posiadanie przez administratora danych jest niezbędne dla wykonania obowiązku informacyjnego określonego w art. 32 ust. 1 pkty 3–5 ustawy.
Wymaganie drugie w zależności od ustalonego poziomu bezpieczeństwa odpowiednio (poziom podstawowy, podwyższony, wysoki) poniżej opis dla wymagań poziomu wysokiego który jest wymagany wszędzie tam gdzie systemy używane do przetwarzania danych połączone zostały z siecią publiczną:
Zabezpieczenie przed dostępem osób nieuprawnionych;
Odrębny login i hasło. Loginy nigdy nie mogą się powtarzać a hasło składa się z co najmniej 8 znaków, zawiera małe i wielkie litery oraz cyfry lub znaki specjalne i jest zmieniane przynajmniej raz na 30 dni;
Zabezpieczenie przeciwko hakerom oraz przed utratą danych spowodowaną awarią zasilania lub zakłóceniami w sieci zasilającej;
Wymóg wykonywania kopii zapasowych;
Osoba użytkująca komputer przenośny zachowuje szczególna ostrożność podczas jego transportu, przechowywania i użytkowania poza obszarem wyznaczonym, w tym stosuje środki ochrony kryptograficznej wobec przetwarzanych danych osobowych;W tym wypadku mamy szereg wymagań dotyczących bezpieczeństwa informacji, w przypadku korzystania z edytorów tekstu bądź arkuszy kalkulacyjnych, w których przechowywane są zbiory danych osobowych. Należy dodatkowo zabezpieczyć dostęp i uwierzytelnienie do systemu operacyjnego i ustawić polisy haseł, stosować systemy firewall i antywirusowe, bezwzględnie archiwizować pliki z danymi i stosować ochronę urządzeń przenośnych w przypadku wynoszenia ich poza teren organizacji.
Podsumowując po spełnieniu wymagań dotyczących pełnego logowania działań i wymagań bezpieczeństwa z naszej strony nie widzimy przeszkód do stosowania pakietu Office i podobnego typu oprogramowania jako systemów informatycznych przetwarzających dane osobowe. Należy oczywiście uwzględnić tę sytuację w dokumentacji przetwarzania danych osobowych.