Ochrona danych osobowych w informatyce

Transkrypt

1 Ochrona danych osobowych w informatyce 1

2 RAPORTY Podstawowe zadania informatyka w procesie ochrony danych osobowych 4 Nie każda informacja musi być daną osobową. Interpretacja zależy od kontekstu 7 Za nieprawidłowości zawsze odpowiada ADO 10 Przepisy wymagają od administratorów baz danych stosowania tzw. wysokiego stopnia bezpieczeństwa 12 Realizacja projektu IT z dostępem do informacji osobowych wymaga dodatkowych klauzul 16 Przekazanie zbioru danych tylko na piśmie 17 Przetwarzanie w chmurze musi poprzedzone szczegółową analizą zagrożeń 19 Standardowe klauzule ułatwią bezpieczną współpracę z dostawcą usług w chmurze obliczeniowej 20 Przeniesienie danych do chmury nie zwalnia z odpowiedzialności za ich bezpieczeństwo 22 Przedsiębiorca pozostaje administratorem danych, nawet jeśli przechowuje je w chmurze obliczeniowej 24 Pracodawca może legalnie zlecić monitoring pracowników, ale tylko spełniając określone warunki 26 Tajemnica telekomunikacyjna narzuca na operatorów sieciowych obowiązek ochrony przesyłanych danych 29 Utrudnianie inspekcji jest zagrożone nawet karą więzienia 31 EKSPERT ODPOWIADA GIODO ma prawo wejść do firmy 32 Ochronie nie podlegają dane osób prawnych 33 Personalia trzeba usuwać również z kopii zapasowych 34 Połączenie sieci firmowej z Internetem powoduje konieczność stosowania wysokiego poziomu zabezpieczeń 35 Prawo nie określa metody uwierzytelniania 36 Są wyjątki od obowiązku rejestracji zbioru 36 Wykonawca ma te same obowiązki w zakresie ochrony danych osobowych jak jego klient 37 Polityka bezpieczeństwa w firmie jest dokumentem wymaganym przez ustawę 38 Szkoła ma prawo nadać dostęp do e-dziennika rodzicom pełnoletnich uczniów 39 Dane osobowe można przekazywać do innych państw Unii Europejskiej bez ograniczeń 40 Nie każdy zbiór danych osobowych podlega rejestracji 41 Bezpodstawne oskarżenia to nieuczciwa konkurencja 42 Zaniedbania w zakresie wdrożenia zabezpieczeń danych są zagrożone postępowaniem karnym 43 Wykorzystanie na firmowej stronie prywatnego zdjęcia pracownika wymaga dodatkowej zgody 44 Umowa powierzenia nie uprawnia firmy do przetwarzania danych w celach marketingowych 44 Przetwarzanie publicznie dostępnych danych również wymaga zgody osób, których one dotyczą 45 Zbiory informacji wrażliwych można prowadzić tylko w sytuacjach przewidzianych ustawą 46 2

3 AUTORZY Piotr Glen Administrator Bezpieczeństwa Informacji, Audytor Systemu Zarządzania Bezpieczeństwem Informacji wg. PN-ISO/IEC Jakub Gosz radca prawny, Kancelaria Majchrzak Brandt i Wspólnicy Sp.k. Katarzyna Kaczanowska niezależny konsultant IT Szymon Karpierz radca prawny Marcin Sarna radca prawny Marcin Szeliga Microsoft Most Valuable Professional 3

4 Podstawowe zadania informatyka w procesie ochrony danych osobowych Ustawa o ochronie danych osobowych rozdziela obowiązki związane z ochroną danych w firmie czy instytucjach pomiędzy trzy różne osoby, z których każda pełni inną funkcję. Jedną z nich jest administrator systemu informatycznego, który odpowiada za wdrożenie zabezpieczeń infrastruktury IT. Administratorem danych osobowych (ADO) jest kierownik instytucji lub firmy, która przechowuje dane osobowe, np. pracowników, klientów, kontrahentów. Taką funkcję pełni więc dyrektor szpitala, prezes zarządu firmy, właściciel jednoosobowej działalności gospodarczej czy kierownik ośrodka pomocy społecznej. Administratorami danych są zarówno podmioty publiczne, jak i niepubliczne. Na administratorze danych ciąży wiele obowiązków, z których najważniejsze wynikają z ustawy o ochronie danych osobowych (uodo) i aktów wykonawczych do niej. Podstawowym zadaniem ADO jest zastosowanie odpowiednich środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Do realizacji tych zadań muszą zostać powołani administrator bezpieczeństwa informacji (ABI) oraz administrator systemu informatycznego (ASI) główny informatyk. ABI to osoba nadzorująca przestrzeganie zasad ochrony przetwarzanych danych osobowych wynikających z przepisów i wewnętrznych ustaleń administratora danych. Z kolei ASI, zwany informatykiem, odpowiada za prawidłowe funkcjonowanie sprzętu i oprogramowania oraz techniczno-organizacyjną obsługę. Instrukcja zarządzania Naturalnym kandydatem na ASI jest kierownik działu IT. Przy czym funkcję ASI, a także ABI mogą pełnić osoby z firm zewnętrznych, które w ramach outsourcingu świadczą takie usługi na podstawie stosownej umowy. Niestety obie te funkcje często pełni jedna osoba. Nie jest to wprawdzie łamaniem przepisów, ale rozdzielenie tych obowiązków ma ważne uzasadnienie. ABI to bardziej organizator nadzorujący kwestie formalne i merytoryczne, opisane w Polityce bezpieczeństwa danych osobowych firmy. ASI to technik wdrażający zabezpieczenia informatyczne, opisane w Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. Wymóg opracowania wspomnianych dokumentów w formie pisemnej wynika z przepisów prawa, m.in. art. 36 ust. 2 uodo. Wprawdzie ustawa mówi jedynie o obowiązku wyznaczenia ABI, ale już np. różne przepisy medyczne (m.in. ustawa o systemie informacji w ochronie zdrowia) wymagają powołania ASI. Coraz częściej też przepisy prawne powołują się na polskie i międzynarodowe normy z zakresu bezpieczeństwa informacji oraz je rekomendują, a tam informatyk (ASI) odgrywa pierwszoplanową rolę. Środki bezpieczeństwa Jednak normy, np. ISO, można mieć lub się na nich opierać, lecz formalnego przymusu do ich stosowania nie ma. Chcąc zapewnić w miarę skuteczną ochronę posiadanych informacji, należy śledzić na bieżąco rozwój technologii oraz towarzyszące temu coraz bardziej wyrafinowane zagrożenia. Poza tym bazując na ogólnie stosowanych i uznawanych normach, należy stosować silne środki bezpieczeństwa. Dlatego tak ważne jest posiadanie w organizacji dobrego informatyka. Obowiązki ASI muszą być formalnie określone umową o pracę, umową z firmą zewnętrzną czy chociażby załącznikiem w Polityce bezpieczeństwa informacji. Jeśli administrator danych 4

5 nie wyznaczy ABI i ASI, to automatycznie samodzielnie wykonuje te czynności. Najczęściej jednak GIODO (generalny inspektor ochrony danych osobowych) decyzją administracyjną nakazuje wyznaczyć takie funkcje. Nie ma to jednak zastosowania do osób fizycznych prowadzących jednoosobową działalność gospodarczą. ASI organizuje i wdraża odpowiednie zabezpieczenia, a później w miarę potrzeb sprawdza ich stosowanie przez użytkowników. Do podstawowych środków zabezpieczenia, które spełniają formalne wymagania, należą m.in.: fizyczne zabezpieczenie pomieszczeń, w których znajdują się komputery, serwer i centra energetyczne, oraz zabezpieczenie systemu informatycznego mechanizmami kontroli dostępu do danych, który powinien być możliwy wyłącznie po wprowadzeniu identyfikatora i dokonaniu uwierzytelnienia. Kolejne kwestie, na które bezwzględnie powinien zwrócić uwagę ASI, to zabezpieczenie systemu informatycznego przed awarią zasilania, czyli chociażby stosowanie UPS-ów, a także tworzenie kopii bezpieczeństwa. Tryb i częstotliwość wykonywania kopii zapasowych należy zorganizować według własnych potrzeb i możliwości, ale takie kopie trzeba przechowywać w innym pomieszczeniu niż to, w którym są robione. Polityka zmiany haseł ADO szczególną uwagę powinien zwrócić na stosowanie mechanizmów wymuszających konfigurację i częstotliwość zmiany haseł. Przepisy mówią, że hasło musi składać się z co najmniej ośmiu znaków i zawierać w sobie małe i duże litery oraz cyfry lub znak specjalny. Powinno być zmieniane nie rzadziej niż 30 dni. Obowiązek bezpiecznego skonfigurowania i użytkowania hasła można jednak przenieść na osoby, które są upoważnione do przetwarzania danych. W praktyce oznacza to wymuszenie na użytkownikach komputerów zmiany haseł, np. przez odpowiednią konfigurację Active Directory. Normą muszą być aktualny antywirus i włączona zapora sieciowa. Szczególną uwagę należy zwrócić na urządzenia przenośne przetwarzające dane osobowe oraz na pracę mobilną i na odległość, przy której ma się dostęp do danych. W takich sytuacjach należy wykorzystywać środki kryptograficznej ochrony danych. Szyfrowane protokoły muszą też być stosowane w procesie uwierzytelniania, np. logowania się na stronach WWW. Nie można też zapomnieć o takich drobiazgach, jak stosowanie wygaszaczy ekranów zabezpieczonych hasłem i ustawianie monitorów w taki sposób, aby nie miały do nich wglądu osoby nieupoważnione. Nie jest trudno sprostać formalnym wymaganiom wynikającym z ustawy o ochronie danych osobowych w zakresie technicznego zabezpieczenia systemu IT wykorzystywanego do przetwarzania danych. Dane wrażliwe Warto wspomnieć, że oprócz danych tzw. zwykłych, do których zaliczamy m.in. adres zamieszkania, imię, nazwisko, datę urodzenia, nr PESEL, a czasami nawet adres i IP komputera, rozróżniamy jeszcze dane wrażliwe. To informacje ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym. Zaliczają się do nich również dane dotyczące skazań, orzeczeń o ukaraniu i mandatach karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym. Takie dane są szczególnie chronione, a ich przetwarzanie jest obarczone szczególnym reżimem prawnym. Trzeba więc stosować przy nich środki bezpieczeństwa na naprawdę wysokim poziomie, zapominając o archaicznym już podziale wynikającym z rozporządzenia MSWiA w sprawie warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych jeszcze z 2004 roku. Mówi ono o poziomie podstawowym, podwyższonym i wysokim. Według ustawowej definicji poziom podstawowy stosuje się, gdy nie 5