Zabezpieczenie danych

Zabezpieczenie danych
Wpisany przez Michał Koralewski
Jakie są podstawowe obowiązki wynikające z ustawy o ochronie danych osobowych?
Przypomnijmy. Ustawa o ochronie danych osobowych określa zasady postępowania
przy przetwarzaniu danych osobowych i prawa osób fizycznych, których dane osobowe
są przetwarzane w zbiorach danych. Ustawę stosuje się do każdej formy przetwarzania
danych, zarówno w formach tradycyjnych, jak i systemie informatycznym, zarówno przez
organy publiczne, jak i osoby prywatne.
Administrator danych zobowiązany jest zastosować środki techniczne i organizacyjne
zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń i kategorii
danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich
udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną,
przetwarzaniem z naruszeniem ustawy i zmianą, utratą, uszkodzeniem lub zniszczeniem.
Administrator danych prowadzi dokumentację opisującą sposób przetwarzania danych oraz ww.
środki (art. 36. ustawy).
Obowiązki administratora
Administrator danych:
1/5
Zabezpieczenie danych
Wpisany przez Michał Koralewski
- wyznacza administratora bezpieczeństwa informacji, nadzorującego przestrzeganie
zasad ochrony, chyba że sam wykonuje te czynności,
- upoważnia inne osoby do przetwarzania danych,
- zapewnia kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru
wprowadzone oraz komu są przekazywane,
- prowadzi ewidencję osób upoważnionych do ich przetwarzania, która powinna zawierać:
-
imię i nazwisko osoby upoważnionej,
datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych,
-
identyfikator, jeśli dane przetwarzane są w systemie informatycznym.
Osoby, które zostały upoważnione do przetwarzania danych, są zobowiązane zachować w
tajemnicy te dane osobowe oraz sposoby ich zabezpieczenia.
Środki bezpieczeństwa, sposób prowadzenia i zakres dokumentacji opisującej sposób
przetwarzania danych, podstawowe warunki techniczne i organizacyjne, jakim powinny
odpowiadać urządzenia i systemy informatyczne, określa Rozporządzenie Ministra Spraw
Wewnętrznych i Administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania
danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać
urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (zob. niżej).
Dokumentacja
2/5
Zabezpieczenie danych
Wpisany przez Michał Koralewski
Zgodnie z powyższym rozporządzeniem, dokumentacja przetwarzania danych osobowych oraz
warunków technicznych i organizacyjnych dzieli się na:
- politykę bezpieczeństwa,
- instrukcję zarządzania systemem informatycznym.
Polityka bezpieczeństwa zawiera w szczególności:
- wykaz budynków, pomieszczeń lub części pomieszczeń tworzących obszar, w którym
przetwarzane są dane osobowe,
- wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do
przetwarzania tych danych,
- opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych
i powiązania między nimi,
- sposób przepływu danych pomiędzy poszczególnymi systemami,
- określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia
poufności, integralności i rozliczalności przetwarzanych danych.
Instrukcja zawiera w szczególności:
- procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych
uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności,
- stosowane metody i środki uwierzytelnienia oraz procedury związane z ich
zarządzaniem i użytkowaniem,
- procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla
użytkowników systemu,
- procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi
programowych służących do ich przetwarzania,
- sposób, miejsce i okres przechowywania (elektronicznych nośników informacji
zawierających dane osobowe i kopii zapasowych, o których mowa w pkt. 4),
- sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania,
3/5
Zabezpieczenie danych
Wpisany przez Michał Koralewski
którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego,
- sposób realizacji wymogów, o których mowa w § 7. ust. 1. pkt 4. rozporządzenia,
- procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji
służących do przetwarzania danych.
Poziomy bezpieczeństwa
Rozporządzenie wprowadza trzy poziomy bezpieczeństwa:
- podstawowy,
- podwyższony,
- wysoki.
Poziom co najmniej podstawowy stosuje się, gdy:
- w systemie informatycznym nie są przetwarzane dane, o których mowa w art. 27 ustawy
(dane wrażliwe, np. pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne,
stan zdrowia itp.) oraz
- żadne z urządzeń systemu informatycznego służącego do przetwarzania danych
osobowych nie jest połączone z siecią publiczną.
Poziom co najmniej podwyższony stosuje się, gdy:
- w systemie informatycznym przetwarzane są dane osobowe, o których mowa w art. 27
ustawy oraz
- żadne z urządzeń systemu informatycznego służącego do przetwarzania danych
osobowych nie jest połączone z siecią publiczną.
4/5
Zabezpieczenie danych
Wpisany przez Michał Koralewski
Poziom wysoki stosuje się, gdy przynajmniej jedno urządzenie systemu informatycznego
służącego do przetwarzania danych osobowych połączone jest z siecią publiczną.
5/5