Rejestracja bazy danych w GIODO

Pytanie:

Co powinienem wiedzieć o rejestracji bazy danych w GIODO?

ODPOWIEDŹ PRAWNIKA

W pierwszej kolejności podajemy podstawowe informacje, z którymi
zapoznanie jest konieczne dla prawidłowego wykonania obowiązków wynikających
z regulacji o ochronie danych osobowych. Administrator danych jest obowiązany
zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych
danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych
ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem
osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem
z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.
Administrator danych prowadzi dokumentację opisującą sposób
przetwarzania danych oraz środki, o których mowa powyżej.
Na dokumentację składa się Polityka Bezpieczeństwa i Instrukcja zarządzania
systemem informatycznym służącym do przetwarzania danych osobowych wraz z
załącznikami. Dokumentację prowadzi się w formie pisemnej. Dokumentację wdraża
administrator danych.
Polityka bezpieczeństwa zawiera w szczególności:
1) wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar,
w którym przetwarzane są dane osobowe;
2) wykaz zbiorów danych osobowych wraz ze wskazaniem programów
zastosowanych do przetwarzania tych danych;
3) opis struktury zbiorów danych wskazujący zawartość poszczególnych pól
informacyjnych i powiązania między nimi;
4) sposób przepływu danych pomiędzy poszczególnymi systemami;
5) określenie środków technicznych i organizacyjnych niezbędnych dla
zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.
Jako minimum (por. PN-ISO/IEC 17799 Technika Informatyczna. Praktyczne
zasady zarządzania bezpieczeństwem informacji, PKN, 2003) wskazuje się, aby
dokument określający politykę bezpieczeństwa zawierał:
1) definicję bezpieczeństwa informacji, jego ogólne cele i zakres oraz znaczenie
bezpieczeństwa jako mechanizmu umożliwiającego współużytkowanie
informacji;
2) oświadczenie o intencjach kierownictwa, potwierdzające cele i zasady
bezpieczeństwa informacji;
3) krótkie wyjaśnienie polityki bezpieczeństwa, zasad, standardów i wymagań
zgodności mających szczególne znaczenie dla instytucji, np.:
a) zgodność z prawem i wymaganiami wynikającymi z umów;
b) wymagania dotyczące kształcenia w dziedzinie bezpieczeństwa;
c) zapobieganie i wykrywanie wirusów oraz innego złośliwego
oprogramowania;
d) zarządzanie ciągłością działania biznesowego;
e) konsekwencje naruszenia polityki bezpieczeństwa;
f) definicje ogólnych i szczególnych obowiązków w odniesieniu do zarządzania
bezpieczeństwem informacji, w tym zgłaszania przypadków naruszenia
bezpieczeństwa;
g) odsyłacze do dokumentacji mogącej uzupełniać politykę, np. bardziej
szczegółowych polityk bezpieczeństwa i procedur dla poszczególnych
systemów informatycznych lub zasad bezpieczeństwa, których użytkownicy
powinni przestrzegać.
W ramach polityki bezpieczeństwa można uregulować również kwestie
związane z:
1) postępowaniem w sytuacji naruszenia ochrony danych osobowych;
2) obowiązkami pracowniczymi osób zatrudnionych przy przetwarzaniu danych
osobowych wynikające z potrzeby zapewnienia ochrony danych osobowych;

Powyższe nie jest jednak obowiązkowe.

Dokument określający politykę bezpieczeństwa nie powinien mieć charakteru
zbyt abstrakcyjnego. Zasady postępowania określone w polityce bezpieczeństwa
powinny zawierać uzasadnienie wyjaśniające przyjęte standardy i wymagania.
Wyjaśnienia i uzasadnienia zalecanych metod sprawiają na ogół, że rzadziej
dochodzi do ich naruszenia i nie przestrzegania (Andrzej Białas, Eugeniusz Januła i
inni; [red. Andrzej Białas] Podstawy bezpieczeństwa systemów teleinformatycznych;
Wydawnictwo Pracowni Komputerowej Jacka Skalmierskiego, Gliwice 2002 za: A.
Kaczmarek - Wytyczne w zakresie opracowania i wdrożenia polityki bezpieczeństwa).

Instrukcja zawiera w szczególności:
1) procedury nadawania uprawnień do przetwarzania danych i rejestrowania
tych uprawnień w systemie informatycznym oraz wskazanie osoby
odpowiedzialnej za te czynności;
2) stosowane metody i środki uwierzytelnienia oraz procedury związane z ich
zarządzaniem i użytkowaniem;
3) procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla
użytkowników systemu;
4) procedury tworzenia kopii zapasowych zbiorów danych oraz programów i
narzędzi programowych służących do ich przetwarzania;
5) sposób, miejsce i okres przechowywania:
1. elektronicznych nośników informacji zawierających dane osobowe,
2. kopii zapasowych, o których mowa w pkt 4,
6) sposób zabezpieczenia systemu informatycznego przed działalnością
oprogramowania, o którym mowa w pkt III ppkt 1 załącznika do
rozporządzenia;
7) sposób realizacji wymogów, o których mowa w § 7 ust. 1 pkt 4;
8) procedury wykonywania przeglądów i konserwacji systemów oraz nośników
informacji służących do przetwarzania danych.
Administrator danych wyznacza administratora bezpieczeństwa informacji,
nadzorującego przestrzeganie zasad ochrony, chyba że sam wykonuje te czynności.
Do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające
upoważnienie nadane przez administratora danych. Administrator danych jest
obowiązany zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo
zostały do zbioru wprowadzone oraz komu są przekazywane. Osoby, które zostały
upoważnione do przetwarzania danych, są obowiązane zachować w tajemnicy te
dane osobowe oraz sposoby ich zabezpieczenia.
Administrator danych prowadzi ewidencję osób upoważnionych do ich
przetwarzania, która powinna zawierać:
1) imię i nazwisko osoby upoważnionej,
2) datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych
osobowych,
3) identyfikator, jeżeli dane są przetwarzane w systemie informatycznym.
Uwzględniając kategorie przetwarzanych danych oraz zagrożenia wprowadza
się poziomy bezpieczeństwa przetwarzania danych osobowych w systemie
informatycznym:
• podstawowy;
• podwyższony;
• wysoki.
Poziom co najmniej podstawowy stosuje się, gdy:
1) w systemie informatycznym nie są przetwarzane dane, o których mowa w art.
27 ustawy (tzw. dane „szczególnie chronione” - tj. dane ujawniające
pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak
również dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu
seksualnym oraz dane dotyczące skazań, orzeczeń o ukaraniu i mandatów
karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub
administracyjnym), oraz
2) żadne z urządzeń systemu informatycznego, służącego do przetwarzania
danych osobowych nie jest połączone z siecią publiczną.
Poziom co najmniej podwyższony stosuje się, gdy:
1) w systemie informatycznym przetwarzane są dane osobowe, o których mowa
w art. 27 ustawy, oraz
2) żadne z urządzeń systemu informatycznego, służącego do przetwarzania
danych osobowych nie jest połączone z siecią publiczną.
Poziom wysoki stosuje się, gdy przynajmniej jedno urządzenie systemu
informatycznego, służącego do przetwarzania danych osobowych, połączone jest z
siecią publiczną.
W Pana przypadku, zachowany powinien być poziom wysoki, ze względu na
zbieranie danych przy użyciu internetu.
A. Środki bezpieczeństwa na poziomie podstawowym.
I.
1. Obszar (budynki, pomieszczenia, itp.) zabezpiecza się przed dostępem osób
nieuprawnionych na czas nieobecności w nim osób upoważnionych do
przetwarzania danych osobowych.
2. Przebywanie osób nieuprawnionych w obszarze jest dopuszczalne za zgodą
administratora danych lub w obecności osoby upoważnionej do
przetwarzania danych osobowych.
II.
1. W systemie informatycznym służącym do przetwarzania danych osobowych
stosuje się mechanizmy kontroli dostępu do tych danych.
2. Jeżeli dostęp do danych przetwarzanych w systemie informatycznym
posiadają co najmniej dwie osoby, wówczas zapewnia się, aby:
a) w systemie tym rejestrowany był dla każdego użytkownika odrębny
identyfikator;
b) dostęp do danych był możliwy wyłącznie po wprowadzeniu identyfikatora
i dokonaniu uwierzytelnienia.
III.
System informatyczny służący do przetwarzania danych osobowych
zabezpiecza się, w szczególności przed:
1) działaniem oprogramowania, którego celem jest uzyskanie nieuprawnionego
dostępu do systemu informatycznego;
2) utratą danych spowodowaną awarią zasilania lub zakłóceniami w sieci
zasilającej.
IV.
1. Identyfikator użytkownika, który utracił uprawnienia do przetwarzania
danych, nie może być przydzielony innej osobie.
2. W przypadku gdy do uwierzytelniania użytkowników używa się hasła, jego
zmiana następuje nie rzadziej niż co 30 dni. Hasło składa się co najmniej z 6
znaków.
3. Dane osobowe przetwarzane w systemie informatycznym zabezpiecza się
przez wykonywanie kopii zapasowych zbiorów danych oraz programów
służących do przetwarzania danych.
4. Kopie zapasowe:
a) przechowuje się w miejscach zabezpieczających je przed nieuprawnionym
przejęciem, modyfikacją, uszkodzeniem lub zniszczeniem;
b) usuwa się niezwłocznie po ustaniu ich użyteczności.
V.
Osoba użytkująca komputer przenośny zawierający dane osobowe zachowuje
szczególną ostrożność podczas jego transportu, przechowywania i użytkowania
poza obszarem, w tym stosuje środki ochrony kryptograficznej wobec
przetwarzanych danych osobowych.
VI.
Urządzenia, dyski lub inne elektroniczne nośniki informacji, zawierające dane
osobowe, przeznaczone do:
1) likwidacji - pozbawia się wcześniej zapisu tych danych, a w przypadku gdy
nie jest to możliwe, uszkadza się w sposób uniemożliwiający ich odczytanie;
2) przekazania podmiotowi nieuprawnionemu do przetwarzania danych -
pozbawia się wcześniej zapisu tych danych, w sposób uniemożliwiający ich
odzyskanie;
3) naprawy - pozbawia się wcześniej zapisu tych danych w sposób
uniemożliwiający ich odzyskanie albo naprawia się je pod nadzorem osoby
upoważnionej przez administratora danych.
VII.
Administrator danych monitoruje wdrożone zabezpieczenia systemu
informatycznego.
B. Środki bezpieczeństwa na poziomie podwyższonym.
VIII.
W przypadku gdy do uwierzytelniania użytkowników używa się hasła,
składa się ono co najmniej z 8 znaków, zawiera małe i wielkie litery oraz cyfry lub
znaki specjalne.
IX.
Urządzenia i nośniki zawierające dane osobowe zabezpiecza się w sposób
zapewniający poufność i integralność tych danych.
X.
Instrukcja zarządzania systemem informatycznym rozszerza się o sposób
stosowania środków, o których mowa w pkt IX
XI.
Administrator danych stosuje na poziomie podwyższonym środki
bezpieczeństwa określone w części A załącznika, o ile zasady zawarte w części B nie
stanowią inaczej.
C. Środki bezpieczeństwa na poziomie wysokim.
XII.
1. System informatyczny służący do przetwarzania danych osobowych chroni
się przed zagrożeniami pochodzącymi z sieci publicznej poprzez wdrożenie
fizycznych lub logicznych zabezpieczeń chroniących przed nieuprawnionym
dostępem.
2. W przypadku zastosowania logicznych zabezpieczeń obejmują one:
a) kontrolę przepływu informacji pomiędzy systemem informatycznym
administratora danych a siecią publiczną;
b) kontrolę działań inicjowanych z sieci publicznej i systemu informatycznego
administratora danych.

XIII.

Administrator danych stosuje środki kryptograficznej ochrony wobec danych
wykorzystywanych do uwierzytelnienia, które są przesyłane w sieci publicznej.
XIV.
Administrator danych stosuje na poziomie wysokim środki bezpieczeństwa,
określone w części A i B załącznika, o ile zasady zawarte w części C nie stanowią
inaczej.
Zgodnie z art. 41 ust. 2 ustawy administrator danych jest zobowiązany
zgłaszać Generalnemu Inspektorowi każdą zmianę informacji zawartych w
zgłoszeniu, w terminie 30 dni od dnia dokonania zmiany. Obowiązek ten dotyczy
np. zmiany nazwy administratora danych, adresu jego siedziby czy zakresu danych
osobowych przetwarzanych w zbiorze. Do zgłaszania zmian stosuje się odpowiednio
przepisy o rejestracji zbioru danych. Dla administratora zbioru oznacza to w
szczególności, iż zgłoszenia zmian w zbiorze dokonuje na tym samym formularzu,
który służy do zgłoszenia zbioru danych do rejestracji. Po otrzymaniu informacji o
takiej zmianie Generalny Inspektor dokonuje stosownej aktualizacji zapisów w
księdze rejestrowej. Na żądanie administratora danych może być wydane
zaświadczenie o zarejestrowaniu zgłoszonego przez niego zbioru danych.
Zgłoszenie można przesłać pocztą lub złożyć w Biurze Generalnego
Inspektora Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa).
Zgłoszenia można dokonać także drogą elektroniczną, z użyciem bezpiecznego
podpisu elektronicznego. Aplikacja umożliwiająca skuteczne dokonanie zgłoszenia
drogą elektroniczną znajduje się na stronie internetowej Generalnego Inspektora
Ochrony Danych Osobowych – w systemie „platforma e-GIODO”
(www.giodo.gov.pl). Zgłoszenia można również dokonać drogą elektroniczną bez
użycia podpisu elektronicznego, jednak i tak wymagać to będzie złożenia formularza
w formie papierowej.
Określając inne środki techniczne i organizacyjne zastosowane w celu
zabezpieczenia danych można skorzystać z czterech zaproponowanych w tej części list najczęściej stosowanych środków bezpieczeństwa i wskazać te, które zostały
użyte do zabezpieczenia zgłaszanego zbioru danych.
Jeżeli zastosowane zostały dodatkowo inne środki nie wymienione w
udostępnionych listach, wówczas należy je wpisać w pole tekstowe znajdujące się w
dolnej części formularza.
Przykładowe spis środków technicznych i organizacyjnych stosowanych w
celu zabezpieczenia danych osobowych (do pkt 16 lit. f.):
Środki ochrony fizycznej danych:
1. Zbiór danych osobowych przechowywany jest w pomieszczeniu
zabezpieczonym drzwiami zwykłymi (niewzmacnianymi, nie
przeciwpożarowymi).
2. Zbiór danych osobowych przechowywany jest w pomieszczeniu
zabezpieczonym drzwiami o podwyższonej odporności ogniowej >= 30 min.
3. Zbiór danych osobowych przechowywany jest w pomieszczeniu
zabezpieczonym drzwiami o podwyższonej odporności na włamanie - drzwi
klasy C.
4. Zbiór danych osobowych przechowywany jest w pomieszczeniu, w którym
okna zabezpieczone są za pomocą krat, rolet lub folii antywłamaniowej.
5. Pomieszczenia, w którym przetwarzany jest zbiór danych osobowych
wyposażone są w system alarmowy przeciwwłamaniowy.
6. Dostęp do pomieszczeń, w których przetwarzany jest zbiory danych
osobowych objęte są systemem kontroli dostępu.
7. Dostęp do pomieszczeń, w których przetwarzany jest zbiór danych
osobowych kontrolowany jest przez system monitoringu z zastosowaniem
kamer przemysłowych.
8. Dostęp do pomieszczeń, w których przetwarzany jest zbiór danych
osobowych jest w czasie nieobecności zatrudnionych tam pracowników
nadzorowany przez służbę ochrony.
9. Dostęp do pomieszczeń, w których przetwarzany jest zbiór danych
osobowych przez cała dobę jest nadzorowany przez służbę ochrony.
10. Zbiór danych osobowych w formie papierowej przechowywany jest w
zamkniętej niemetalowej szafie.
11. Zbiór danych osobowych w formie papierowej przechowywany jest w
zamkniętej metalowej szafie.
12. Zbiór danych osobowych w formie papierowej przechowywany jest w
zamkniętym sejfie lub kasie pancernej.
13. Kopie zapasowe/archiwalne zbioru danych osobowych przechowywane są w
zamkniętej niemetalowej szafie.
14. Kopie zapasowe/archiwalne zbioru danych osobowych przechowywane są w
zamkniętej metalowej szafie.
15. Kopie zapasowe/archiwalne zbioru danych osobowych przechowywane są w
zamkniętym sejfie lub kasie pancernej.
16. Zbiory danych osobowych przetwarzane są w kancelarii tajnej, prowadzonej
zgodnie z wymogami określonymi w odrębnych przepisach.
17. Pomieszczenie, w którym przetwarzane są zbiory danych osobowych
zabezpieczone jest przed skutkami pożaru za pomocą systemu
przeciwpożarowego i/lub wolnostojącej gaśnicy.
18. Dokumenty zawierające dane osobowe po ustaniu przydatności są niszczone
w sposób mechaniczny za pomocą niszczarek dokumentów.
Środki sprzętowe infrastruktury informatycznej i telekomunikacyjnej:
1. Zbiór danych osobowych przetwarzany jest przy użyciu komputera
przenośnego.
2. Komputer służący do przetwarzania danych osobowych nie jest połączony z
lokalną siecią komputerową.
3. Zastosowano urządzenia typu UPS, generator prądu i/lub wydzieloną sieć
elektroenergetyczną, chroniące system informatyczny służący do
przetwarzania danych osobowych przed skutkami awarii zasilania.
4. Dostęp do zbioru danych osobowych, który przetwarzany jest na wydzielonej
stacji komputerowej/ komputerze przenośnym zabezpieczony został przed
nieautoryzowanym uruchomieniem za pomocą hasła BIOS.
5. Dostęp do systemu operacyjnego komputera, w którym przetwarzane są dane
osobowe zabezpieczony jest za pomocą procesu uwierzytelnienia z
wykorzystaniem identyfikatora użytkownika oraz hasła.
6. Dostęp do systemu operacyjnego komputera, w którym przetwarzane są dane
osobowe zabezpieczony jest za pomocą procesu uwierzytelnienia z
wykorzystaniem karty procesorowej oraz kodu PIN lub tokena.
7. Dostęp do systemu operacyjnego komputera, w którym przetwarzane są dane
osobowe zabezpieczony jest za pomocą procesu uwierzytelnienia z
wykorzystaniem technologii biometrycznej.
8. Zastosowano środki uniemożliwiające wykonywanie nieautoryzowanych
kopii danych osobowych przetwarzanych przy użyciu systemów
informatycznych.
9. Zastosowano systemowe mechanizmy wymuszający okresową zmianę haseł.
10. Zastosowano system rejestracji dostępu do systemu/zbioru danych
osobowych.
11. Zastosowano środki kryptograficznej ochrony danych dla danych osobowych
przekazywanych drogą teletransmisji.
12. Dostęp do środków teletransmisji zabezpieczono za pomocą mechanizmów
uwierzytelnienia.
13. Zastosowano procedurę oddzwonienia (callback) przy transmisji realizowanej
za pośrednictwem modemu.
14. Zastosowano macierz dyskową w celu ochrony danych osobowych przed
skutkami awarii pamięci dyskowej.
15. Zastosowano środki ochrony przed szkodliwym oprogramowaniem takim,
jak np. robaki, wirusy, konie trojańskie, rootkity.
16. Użyto system Firewall do ochrony dostępu do sieci komputerowej.
17. Użyto system IDS/IPS do ochrony dostępu do sieci komputerowej.
Środki ochrony w ramach narzędzi programowych i baz danych:
1. Wykorzystano środki pozwalające na rejestrację zmian wykonywanych na
poszczególnych elementach zbioru danych osobowych.
2. Zastosowano środki umożliwiające określenie praw dostępu do wskazanego
zakresu danych w ramach przetwarzanego zbioru danych osobowych.
3. Dostęp do zbioru danych osobowych wymaga uwierzytelnienia z
wykorzystaniem identyfikatora użytkownika oraz hasła.
4. Dostęp do zbioru danych osobowych wymaga uwierzytelnienia przy użyciu
karty procesorowej oraz kodu PIN lub tokena.
5. Dostęp do zbioru danych osobowych wymaga uwierzytelnienia z
wykorzystaniem technologii biometrycznej.
6. Zastosowano systemowe środki pozwalające na określenie odpowiednich
praw dostępu do zasobów informatycznych, w tym zbiorów danych
osobowych dla poszczególnych użytkowników systemu informatycznego.
7. Zastosowano mechanizm wymuszający okresową zmianę haseł dostępu do
zbioru danych osobowych.
8. Zastosowano kryptograficzne środki ochrony danych osobowych.
9. Zainstalowano wygaszacze ekranów na stanowiskach, na których
przetwarzane są dane osobowe.
10. Zastosowano mechanizm automatycznej blokady dostępu do systemu
informatycznego służącego do przetwarzania danych osobowych w
przypadku dłuższej nieaktywności pracy użytkownika.
Środki organizacyjne:
1. Osoby zatrudnione przy przetwarzaniu danych zostały zaznajomione z
przepisami dotyczącymi ochrony danych osobowych.
2. Przeszkolono osoby zatrudnione przy przetwarzaniu danych osobowych w
zakresie zabezpieczeń systemu informatycznego.
3. Osoby zatrudnione przy przetwarzaniu danych osobowych obowiązane
zostały do zachowania ich w tajemnicy.
4. Monitory komputerów, na których przetwarzane są dane osobowe ustawione
są w sposób uniemożliwiający wgląd osobom postronnym w przetwarzane
dane.
5. Kopie zapasowe zbioru danych osobowych przechowywane są w innym
pomieszczeniu niż to, w którym znajduje się serwer, na którym dane
osobowe przetwarzane są na bieżąco.

Potrzebujesz porady prawnej?

KOMENTARZE (0)

Nie dodano jeszcze żadnego komentarza. Bądź pierwszy!!


Dodaj komentarz

DODAJ KOMENTARZ

ZOBACZ TAKŻE: