Administrator ochrony danych osobowych jest zobowiązany do:
- zabezpieczenia danych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem niezgodnie z ustawą oraz zmianą, utratą, uszkodzeniem lub zniszczeniem;
- zastosowania środków technicznych i organizacyjnych odpowiednich do zagrożeń oraz kategorii danych objętych ochroną;
- prowadzenia dokumentacji opisującej sposób przetwarzania danych oraz podjęte środki organizacyjne i techniczne – na dokumentację składa się polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym;
- wyznaczenia administratora bezpieczeństwa informacji, tj. osoby odpowiedzialnej za nadzór nad procesem przetwarzania – musi ona posiadać wiedzę w zakresie ochrony danych osobowych, niezbędną w celu efektywnego wypełniania tej funkcji;
- nadania upoważnień osobom mającym dostęp do danych osobowych;
- prowadzenia ewidencji osób upoważnionych do przetwarzania danych osobowych;
Zabezpieczenie danych osobowych
- Wymogi zabezpieczenia danych osobowych, o których mowa w art. 36-39a, odnoszą się zarówno do danych przetwarzanych w sposób "tradycyjny" (manualny), jak i do przetwarzania danych
- w systemach informatycznych;
- Przepisy o ochronie danych osobowych nie precyzują, jakimi środkami należy się posłużyć, aby zapewnić właściwą ochronę przetwarzania danych osobowych;
- Akt wykonawczy, tj. rozporządzenie MSWiA z dn. 29 kwietnia
- 2004 r., określa minimalne wymogi techniczne oraz organizacyjne, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych;
- Przyjęte sposoby zabezpieczenia danych osobowych muszą zapewniać Administratorowi danych osobowych kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane.
- W celu zbudowania systemu zarządzania bezpieczeństwem Administrator danych powinien przeprowadzić analizę ryzyka
- w zakresie utraty poufności przetwarzanych danych, ich zniszczenia, utraty lub nieuprawnionej modyfikacji;
- Celem analizy ryzyka jest identyfikacja zasobów systemu, odpowiadających im podatności i zagrożeń, a także oszacowanie prawdopodobieństwa ich wystąpienia oraz wielkości potencjalnych strat;
- Wszystkie potencjalne elementy ryzyka, które mogą mieć wpływ na bezpieczeństwo i poufność danych finansowych, jak również środki, które to ryzyko redukują, powinny być wzięte pod uwagę przy tworzeniu procedur przetwarzania danych osobowych.
Dokumentacja zabezpieczenia danych osobowych
- Polityka bezpieczeństwa - zestaw praw, reguł i praktycznych doświadczeń dotyczących sposobu zarządzania, ochrony i dystrybucji danych osobowych wewnątrz określonej organizacji.
- Celem polityki bezpieczeństwa jest wskazanie działań, jakie należy wykonać oraz ustanowienie zasad i reguł postępowania, które należy stosować, aby właściwie zabezpieczyć dane osobowe.
- Polityka bezpieczeństwa powinna koncentrować się na bezpieczeń-stwie przetwarzania danych osobowych.
- Polityka bezpieczeństwa nie może mieć zbyt abstrakcyjnego charakteru. Zasady postępowania w niej wskazane powinny zawierać uzasadnienie wyjaśniające przyjęte standardy i wymagania.
Polityka bezpieczeństwa, aby zapewnić prawidłowe zarządzanie danymi osobowymi wymaga właściwej identyfikacji tych zasobów oraz określenia miejsca i sposobu ich przechowywania.
W związku z tym powinna zawierać:
- wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe;
- wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych;
- opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi;
- sposób przepływu danych pomiędzy poszczególnymi systemami;
- określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przy przetwarzaniu danych.
Wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe
- miejsca, w których wykonuje się operacje na nich (wpisuje, modyfikuje, kopiuje);
- miejsca, w których przechowuje się wszelkie nośniki informacji zawierające dane osobowe (szafy z dokumentacją papierową bądź komputerowymi nośnikami informacji z kopiami zapasowymi danych, stacje komputerowe, serwery i inne urządzenia komputerowe);
- miejsca, gdzie składowane są uszkodzone komputerowe nośniki danych (taśmy, dyski, płyty CD, niesprawne komputery i inne urządzenia z nośnikami zawierającymi dane osobowe);
- inne miejsca wykorzystywane do przechowywania danych osobowych np. archiwum dokumentów źródłowych.
Wykaz zbiorów danych osobowych
Polityka bezpieczeństwa powinna identyfikować:
- zbiory danych osobowych;
- systemy informatyczne używane do przetwarzania danych osobowych.
Wykaz powinien zawierać informacje precyzujące lokalizację miejsca (budynek, pomieszczenie, nazwa komputera lub innego urządzenia, np. macierzy dyskowej, biblioteki optycznej), w którym znajdują się zbiory danych osobowych przetwarzane na bieżąco oraz nazwy i lokalizacje programów (modułów programowych) używanych do ich przetwarzania.
Opis struktury zbiorów danych
Polityka bezpieczeństwa określa, czy dane osobowe są przetwarzane:
- w systemach informatycznych;
- na elektronicznych nośnikach danych;
- w zbiorach manualnych.
Określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przy przetwarzaniu danych
- Informacje zawarte w tej części polityki bezpieczeństwa powinny stanowić opis środków technicznych i organizacyjnych jakie zostały zastosowane przez administratora danych w celu zapewnienia przetwarzanym danym odpowiedniej ochrony.
- Ustawa o ochronie danych osobowych nie określa konkretnych procedur czy środków, jakie należy zastosować w celu zapewnienia odpowiedniej ochrony danych.
- Ustawa oraz akty wykonawcze wskazują jedynie na warunki, jakie powinny być spełnione, a nie na sposób czy na środki, przy użyciu których powinny być one osiągnięte. Wybór odpowiednich środków technicznych i organizacyjnych należy do administratora danych.
- Zastosowane środki techniczne i organizacyjne powinny być adekwatne do zagrożeń wynikających ze sposobu przetwarzania danych i środowiska w jakim ten proces ma miejsce, a także do kategorii przetwarzanych danych osobowych.
- Zastosowane środki techniczne i organizacyjne powinny zapewniać:
- poufność - zapewnienie, że informacja nie jest udostępniana lub ujawniana nieautoryzowanym osobom, podmiotom lub procesom,
- integralność - zapewnienie, że dane nie zostały zmienione lub zniszczone w sposób nieautoryzowany,
- rozliczalność - zapewnienie, że działania podmiotu mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi.
- W odniesieniu do systemów informatycznych ustawa wprowadziła minimalne wymagania dotyczące zarówno ich bezpieczeństwa, jak i funkcjonalności.
- Celem tych regulacji jest zapewnienie, aby systemy informatyczne, używane do przetwarzania danych osobowych, posiadały takie funkcje i mechanizmy, które będą wspomagały administratora w wywiązywaniu się z nałożonych na niego obowiązków
- Wymagania te dzieli się na dwie grupy:
- takie, które mają na celu zapewnienie ścisłej kontroli nad przetwarzanymi danymi,
- takie, które wynikają z uprawnień osób, których dane są przetwarzane.
- W odniesieniu do systemów informatycznych Ustawa i Rozporządzenie wprowadzają podział wymaganych zabezpieczeń na 3 następujące poziomy: podstawowy, podwyższony i wysoki.
- Podstawę zastosowania określonego poziomu zabezpieczeń uzależnia się od rodzaju danych przetwarzanych w zbiorze oraz od tego, czy urządzenie informatyczne, za pomocą którego prze- twarzane są dane osobowe, jest podłączone do sieci publicznej.
- W zależności od poziomu zmienia się stopień zaawansowania zabezpieczeń organizacyjnych i technicznych oraz zawartość instrukcji zarządzania systemem informatycznym.