Obowiązki Administratora Danych w zakresie zabezpieczenia danych osobowych

 

Administrator ochrony danych osobowych jest zobowiązany do:

  • zabezpieczenia danych przed ich udostępnieniem osobom  nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem niezgodnie z ustawą oraz zmianą, utratą, uszkodzeniem lub zniszczeniem;
  • zastosowania środków technicznych i organizacyjnych odpowiednich do zagrożeń oraz kategorii danych objętych ochroną;
  • prowadzenia dokumentacji opisującej sposób przetwarzania danych oraz podjęte środki organizacyjne i techniczne – na dokumentację składa się polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym; 
  • wyznaczenia administratora bezpieczeństwa informacji, tj. osoby odpowiedzialnej za nadzór nad procesem przetwarzania – musi ona posiadać wiedzę w zakresie ochrony danych osobowych, niezbędną w celu efektywnego wypełniania tej funkcji;
  • nadania upoważnień osobom mającym dostęp do danych osobowych;
  • prowadzenia ewidencji osób upoważnionych do przetwarzania danych osobowych;

 

Zabezpieczenie danych osobowych

  • Wymogi zabezpieczenia danych osobowych, o których mowa w art. 36-39a, odnoszą się zarówno do danych przetwarzanych w sposób "tradycyjny" (manualny), jak i do przetwarzania danych
  • w systemach informatycznych;
  • Przepisy o ochronie danych osobowych nie precyzują, jakimi środkami należy się posłużyć, aby zapewnić właściwą ochronę przetwarzania danych osobowych;
  • Akt wykonawczy, tj. rozporządzenie MSWiA z dn. 29 kwietnia
  • 2004 r.,  określa minimalne wymogi techniczne oraz organizacyjne, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych;
  • Przyjęte sposoby zabezpieczenia danych osobowych muszą zapewniać Administratorowi danych osobowych  kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane.
  • W celu zbudowania systemu zarządzania bezpieczeństwem Administrator danych powinien przeprowadzić analizę ryzyka
  • w zakresie utraty poufności przetwarzanych danych, ich zniszczenia, utraty lub nieuprawnionej modyfikacji;
  • Celem analizy ryzyka jest identyfikacja zasobów systemu, odpowiadających im podatności i zagrożeń, a także oszacowanie prawdopodobieństwa ich wystąpienia oraz wielkości potencjalnych strat;
  • Wszystkie potencjalne elementy ryzyka, które mogą mieć wpływ na bezpieczeństwo i poufność danych finansowych, jak również środki, które to ryzyko redukują, powinny być wzięte pod uwagę przy tworzeniu procedur przetwarzania danych osobowych.

 

Dokumentacja zabezpieczenia danych osobowych

  • Polityka bezpieczeństwa - zestaw praw, reguł i praktycznych doświadczeń dotyczących sposobu zarządzania, ochrony i dystrybucji danych osobowych wewnątrz określonej organizacji.
  • Celem polityki bezpieczeństwa jest wskazanie działań, jakie należy wykonać oraz ustanowienie zasad i reguł postępowania, które należy stosować, aby właściwie zabezpieczyć dane osobowe.
  • Polityka bezpieczeństwa powinna koncentrować się na bezpieczeń-stwie przetwarzania danych osobowych.
  • Polityka bezpieczeństwa nie może mieć zbyt abstrakcyjnego charakteru. Zasady postępowania w niej wskazane powinny zawierać uzasadnienie wyjaśniające przyjęte standardy i wymagania.

 

Polityka bezpieczeństwa, aby zapewnić prawidłowe zarządzanie danymi osobowymi wymaga właściwej identyfikacji tych zasobów oraz określenia miejsca i sposobu ich przechowywania.

W związku z tym powinna zawierać:

  1. wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe;
  2. wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych;
  3. opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi;
  4. sposób przepływu danych pomiędzy poszczególnymi systemami;
  5. określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przy przetwarzaniu danych.

 

Wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe

  • miejsca, w których wykonuje się operacje na nich (wpisuje, modyfikuje, kopiuje);
  • miejsca, w których przechowuje się wszelkie nośniki informacji zawierające dane osobowe (szafy z dokumentacją papierową bądź komputerowymi nośnikami informacji z kopiami zapasowymi danych, stacje komputerowe, serwery i inne urządzenia komputerowe);
  • miejsca, gdzie składowane są uszkodzone komputerowe nośniki danych (taśmy, dyski, płyty CD, niesprawne komputery i inne urządzenia z nośnikami zawierającymi dane osobowe);
  • inne miejsca wykorzystywane do przechowywania danych osobowych np. archiwum dokumentów źródłowych.

 

Wykaz zbiorów danych osobowych

Polityka bezpieczeństwa powinna identyfikować:

  1. zbiory danych osobowych;
  2. systemy informatyczne używane do przetwarzania danych osobowych.

Wykaz powinien zawierać informacje precyzujące lokalizację miejsca (budynek, pomieszczenie, nazwa komputera lub innego urządzenia, np. macierzy dyskowej, biblioteki optycznej), w którym znajdują się zbiory danych osobowych przetwarzane na bieżąco oraz nazwy i lokalizacje programów (modułów programowych) używanych do ich przetwarzania.

 

Opis struktury zbiorów danych

Polityka bezpieczeństwa określa, czy dane osobowe są przetwarzane:

  • w systemach informatycznych;
  • na elektronicznych nośnikach danych;
  • w zbiorach manualnych.

 

Określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przy przetwarzaniu danych

  • Informacje zawarte w tej części polityki bezpieczeństwa powinny stanowić opis środków technicznych i organizacyjnych jakie zostały zastosowane przez administratora danych w celu zapewnienia przetwarzanym danym odpowiedniej ochrony.
  • Ustawa o ochronie danych osobowych nie określa konkretnych procedur czy środków, jakie należy zastosować w celu zapewnienia odpowiedniej ochrony danych.
  • Ustawa oraz akty wykonawcze wskazują jedynie na warunki, jakie powinny być spełnione, a nie na sposób czy na środki, przy użyciu których powinny być one osiągnięte. Wybór odpowiednich środków technicznych i organizacyjnych należy do administratora danych.
  • Zastosowane środki techniczne i organizacyjne powinny być adekwatne do zagrożeń wynikających ze sposobu przetwarzania danych i środowiska w jakim ten proces ma miejsce, a także do kategorii przetwarzanych danych osobowych.
  • Zastosowane środki techniczne i organizacyjne powinny zapewniać:
    • poufność - zapewnienie, że informacja nie jest udostępniana lub ujawniana nieautoryzowanym osobom, podmiotom lub procesom,
    • integralność - zapewnienie, że dane nie zostały zmienione lub zniszczone w sposób nieautoryzowany,
    • rozliczalność - zapewnienie, że działania podmiotu mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi.
  • W odniesieniu do systemów informatycznych ustawa wprowadziła minimalne wymagania dotyczące zarówno ich bezpieczeństwa, jak i funkcjonalności.
  • Celem tych regulacji jest zapewnienie, aby systemy informatyczne, używane do przetwarzania danych osobowych, posiadały takie funkcje i mechanizmy, które będą wspomagały administratora w wywiązywaniu się z nałożonych na niego obowiązków
  • Wymagania te dzieli się na dwie grupy:
    • takie, które mają na celu zapewnienie ścisłej kontroli nad przetwarzanymi danymi,
    • takie, które wynikają z uprawnień osób, których dane są przetwarzane.
  • W odniesieniu do systemów informatycznych Ustawa i Rozporządzenie wprowadzają podział wymaganych zabezpieczeń na 3 następujące poziomy: podstawowy, podwyższony i wysoki.
  • Podstawę zastosowania określonego poziomu zabezpieczeń uzależnia się od rodzaju danych przetwarzanych w zbiorze oraz od tego, czy urządzenie informatyczne, za pomocą którego prze- twarzane są dane osobowe, jest podłączone do sieci publicznej.
  • W zależności od poziomu zmienia się stopień zaawansowania zabezpieczeń organizacyjnych i technicznych oraz zawartość instrukcji zarządzania systemem informatycznym.