Zabezpieczanie danych osobowych.

Ochrona danych osobowych

Jednym z podstawowych obowiązków każdego Administratora Danych jest obowiązek prawidłowego zabezpieczenia przetwarzanych przez siebie danych osobowych. Zgodnie z przepisami ustawy o ochronie danych osobowych (art. 36 ust. 1) Administrator Danych jest obowiązany stosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, przetwarzaniem z naruszeniem przepisów prawa, utratą, uszkodzeniem lub zniszczeniem.

Środki organizacyjne.

W ramach środków organizacyjnych ustawa o ochronie danych osobowych wymaga by:

  1. Administrator Danych prowadził dokumentację opisującą sposób przetwarzania danych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych.
  2. Osoby, które przetwarzają dane osobowe w strukturze Administratora Danych, legitymowały się upoważnieniem do przetwarzania danych osobowych.
  3. Dla wszystkich osób przetwarzających dane osobowe była prowadzona ewidencja osób upoważnionych do ich przetwarzania, zawierająca: imię i nazwisko osoby upoważnionej, datę nadania i ustania oraz zakres upoważnienia w systemie informatycznym.
  4. W ramach zabezpieczenia danych Administrator Danych jest obowiązany zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru danych wprowadzone oraz komu są przekazywane.

Upoważnienie do przetwarzania danych osobowych.

Upoważnienie do przetwarzania danych osobowych w danej organizacji może wydawać Administrator Danych lub Administrator Bezpieczeństwa Informacji (jeżeli posiada w tym zakresie stosowne pełnomocnictwo Administratora Danych). Upoważnienie do przetwarzania danych osobowych może przyjąć formę papierową, jak i elektroniczną. Osoby upoważnione do przetwarzania danych osobowych powinny mieć faktyczny dostęp do danych osobowych tylko w zakresie udzielonego upoważnienia. W upoważnieniu należny określić nazwę Administratora Danych oraz jego adres, datę nadania i jeżeli jest ono przyznawane na czas określony , ustalenia oraz zakres upoważnienia.

Ewidencję osób upoważnionych do przetwarzania danych osobowych w organizacji może prowadzić Administrator Bezpieczeństwa Informacji względnie inne osoby umocowane przez Administratora danych.

Dokumentacja opisująca sposób przetwarzania danych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzania danych osobowych.

W ramach dokumentacji w każdej organizacji powinny być wdrożone dwa dokumenty Polityka Bezpieczeństwa i Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. Polityka Bezpieczeństwa powinna zawierać w szczególności:

  • wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar , w którym przetwarzane są dane osobowe;
  • wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych;
  • opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi;
  • sposób przepływu danych pomiędzy poszczególnymi systemami;
  • określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych;
  • informacje o organizacji.

Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych powinna zawierać natomiast w szczególności:

  • procedury nadawania uprawnień do przetwarzania danych osobowych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności;
  • stosowane metody i środki uwierzytelniania oraz procedury związane z ich zarządzaniem i użytkowaniem;
  • procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu;
  • procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi służących do ich przetwarzania;
  • sposób i miejsce i okres przechowywania kopii zapasowych i elektronicznych nośników informacji z danymi osobowymi;
  • sposób zabezpieczania systemu informatycznego przed działalnością złośliwego oprogramowania
  • odnotowania informacji o odbiorcach, których dane zostały udostępnione, dacie i zakresie tego udostępnienia;
  • procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych osobowych.

Środki techniczne.

Minister Spraw Wewnętrznych i Administracji w rozporządzeniu z dnia 29 kwietnia 2004 roku w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych określił:

  • podstawowe warunki techniczne i organizacyjne, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych;
  • wymagania w zakresie odnotowywania udostępniania danych osobowych i bezpieczeństwa przetwarzania danych osobowych.