Bezpieczeństwo i ochrona informacji

Transkrypt

1 Bezpieczeństwo i ochrona informacji

2 Zarządzanie kluczami poufność kluczy prywatnych uwierzytelnianie kluczy publicznych(certyfikaty) separacja kluczy(inne pary kluczy do szyfrowania, inne do podpisu) walidacja kluczy i parametrów systemowych- pewność, że parametry i klucze zostały wygenerowane we właściwy sposób kolejność szyfrowania i podpisywania- nie należy podpisywać zaszyfrowanych wiadomości

3 Dystrybucja kluczy publicznych publiczne ogłaszanie klucza jawnego użytkownika- dołączanie do listów, materiałów informacyjnych itp. ogólnie dostępny katalog- serwer zawierający listę kluczy jawnych odczyt dostępny dla wszystkich rejestracja i modyfikacja kontrolowana przez zarządzającego katalogiem. organ zarządzający kluczami- serwer zawierający listę kluczy jawnych. Każda wymiana informacji jest kontrolowana przez zarządzającego. system certyfikatów kluczy jawnych- katalog certyfikatów

4 Podpis elektroniczny: dane elektroniczne dołączone do innych danych elektronicznych lub logicznie z nimi powiązane w celu potwierdzenia tożsamości podpisującego, który się nimi posługuje. podpis cyfrowy: przekształcenie kryptograficzne danych umożliwiające odbiorcy danych sprawdzenie autentyczności i integralności danych oraz zapewniające nadawcy ochronę przed sfałszowaniem danych przez odbiorcę. PN-I parametry biometryczne: odciski palców, obraz tęczówki oka, głos, kod genetyczny(???).

5 USTAWA o podpisie elektronicznym. zdnia18września2001r. Art. 1. Ustawa określa warunki stosowania podpisu elektronicznego, skutki prawne jego stosowania, zasady świadczenia usług certyfikacyjnych oraz zasady nadzoru nad podmiotami świadczącymi te usługi.

6 Art. 3. Użyte w ustawie wyrażenia oznaczają: 1) podpis elektroniczny- dane w postaci elektronicznej, które wraz z innymi danymi, do których zostały dołączone lub z którymi są logicznie powiązane, służą do identyfikacji osoby składającej podpis elektroniczny,

7 2) bezpieczny podpis elektroniczny- podpis elektroniczny, który: (a) jest przyporządkowany wyłącznie do osoby składającej ten podpis, (b) jest sporządzany za pomocą podlegających wyłącznej kontroli osoby składającej podpis elektroniczny bezpiecznych urządzeń służących do składania podpisu elektronicznego i danych służących do składania podpisu elektronicznego, (c) jest powiązany z danymi, do których został dołączony, w taki sposób, że jakakolwiek późniejsza zmiana tych danych jest rozpoznawalna,

8 7) bezpieczne urządzenie służące do składania podpisu elektronicznego - urządzenie służące do składania podpisu elektronicznego spełniające wymagania określone w ustawie, 9) bezpieczne urządzenie służące do weryfikacji podpisu elektronicznego - urządzenie służące do weryfikacji podpisu elektronicznego spełniające wymagania określone w ustawie,

9 10) certyfikat- elektroniczne zaświadczenie, za pomocą którego dane służące do weryfikacji podpisu elektronicznego są przyporządkowane do osoby składającej podpis elektroniczny i które umożliwiają identyfikację tej osoby, 12) kwalifikowany certyfikat- certyfikat spełniający warunki określone w ustawie, wydany przez kwalifikowany podmiot świadczący usługi certyfikacyjne, spełniający wymogi określone w ustawie, 13) usługi certyfikacyjne- wydawanie certyfikatów, znakowanie czasem lub inne usługi związane z podpisem elektronicznym, 15) kwalifikowany podmiot świadczący usługi certyfikacyjne- podmiot świadczący usługi certyfikacyjne, wpisany do rejestru kwalifikowanych podmiotów świadczących usługi certyfikacyjne,

10 Skutki prawne podpisu elektronicznego Art Dane w postaci elektronicznej opatrzone bezpiecznym podpisem elektronicznym weryfikowanym przy pomocy ważnego kwalifikowanego certyfikatu są równoważne pod względem skutków prawnych dokumentom opatrzonym podpisami własnoręcznymi, chyba że przepisy odrębne stanowią inaczej. Art Bezpieczny podpis elektroniczny weryfikowany przy pomocy ważnego kwalifikowanego certyfikatu stanowi dowód tego, że został on złożony przez osobę określoną w tym certyfikacie jako składającą podpis elektroniczny. 3. Nie można powoływać się, że podpis elektroniczny weryfikowany przy pomocy ważnego kwalifikowanego certyfikatu nie został złożony za pomocą bezpiecznych urządzeń i danych, podlegających wyłącznej kontroli osoby składającej podpis elektroniczny.

11 Art Podpis elektroniczny może być znakowany czasem. 2. Znakowanie czasem przez kwalifikowany podmiot świadczący usługi certyfikacyjne wywołuje w szczególności skutki prawne daty pewnej w rozumieniu przepisów Kodeksu cywilnego.

12 Art. 8. Nie można odmówić ważności i skuteczności podpisowi elektronicznemu tylko na tej podstawie, że istnieje w postaci elektronicznej lub dane służące do weryfikacji podpisu nie mają kwalifikowanego certyfikatu, lub nie został złożony za pomocą bezpiecznego urządzenia służącego do składania podpisu elektronicznego.

13 Obowiązki podmiotów świadczących usługi certyfikacyjne Art Prowadzenie działalności w zakresie świadczenia usług certyfikacyjnych nie wymaga uzyskania zezwolenia ani koncesji. 2. Organy władzy publicznej i Narodowy Bank Polski mogą świadczyć usługi certyfikacyjne, z zastrzeżeniem ust. 3, wyłącznie na użytek własny lub innych organów władzy publicznej. 3. Jednostka samorządu terytorialnego może świadczyć usługi certyfikacyjne na zasadach niezarobkowych także dla członków wspólnoty samorządowej.

14 Art Kwalifikowany podmiot świadczący usługi certyfikacyjne wydający kwalifikowane certyfikaty jest obowiązany: 2) stwierdzić tożsamość osoby ubiegającej się o certyfikat, 4) zawrzeć umowę ubezpieczenia odpowiedzialności cywilnej za szkody wyrządzone odbiorcom usług certyfikacyjnych, 7) jeżeli podmiot zapewnia publiczny dostęp do certyfikatów, to ich publikacja wymaga uprzedniej zgody osoby, której wydano ten certyfikat, 11) publikować dane, które umożliwią weryfikację, w tym również w sposób elektroniczny, autentyczności i ważności certyfikatów oraz innych danych poświadczanych elektronicznie przez ten podmiot oraz zapewnić nieodpłatny dostęp do tych danych odbiorcom usług certyfikacyjnych.

15 3. Osoba wykonująca czynności związane ze świadczeniem usług certyfikacyjnych powinna: 3) posiadać niezbędną wiedzę i umiejętności w zakresie technologii tworzenia certyfikatów i świadczenia innych usług związanych z podpisem elektronicznym.

16 Rozdział IV Świadczenie usług certyfikacyjnych Art W przypadku wydawania certyfikatów niebędących certyfikatami kwalifikowanymi, informacja, o której mowa w ust. 2, powinna również zawierać wskazanie, że podpis elektroniczny weryfikowany przy pomocy tego certyfikatu nie wywołuje skutków prawnych równorzędnych podpisowi własnoręcznemu.

17 Art Bezpieczne urządzenie służące do składania podpisu elektronicznego powinno co najmniej: 1) uniemożliwiać pozyskiwanie danych służących do składania podpisu lub poświadczenia elektronicznego, 2) nie zmieniać danych, które mają zostać podpisane lub poświadczone elektronicznie, oraz umożliwiać przedstawienie tych danych osobie składającej podpis elektroniczny przed chwilą jego złożenia, 4) zapewniać łatwe rozpoznawanie istotnych dla bezpieczeństwa zmian w urządzeniu do składania podpisu lub poświadczenia elektronicznego.

18 2. Bezpieczne urządzenie służące do weryfikacji podpisu elektronicznego powinno spełniać następujące wymagania: 1) dane używane do weryfikacji podpisu elektronicznego odpowiadają danym, które są uwidaczniane osobie weryfikującej ten podpis, 3) osoba weryfikująca może w sposób niebudzący wątpliwości ustalić zawartość podpisanych danych, 5) wynik weryfikacji identyfikacji osoby składającej podpis elektroniczny jest poprawnie i czytelnie wykazywany, 7) istotne dla bezpieczeństwa zmiany w urządzeniu służącym do weryfikacji podpisu elektronicznego są sygnalizowane.

19 Art Kwalifikowany certyfikat zawiera co najmniej następujące dane: 1) numer certyfikatu, 2) wskazanie, że certyfikat został wydany jako certyfikat kwalifikowany do stosowania zgodnie z określoną polityką certyfikacji, 3) określenie podmiotu świadczącego usługi certyfikacyjne wydającego certyfikatipaństwa,wktórymmaonsiedzibę,oraznumerpozycjiw rejestrze kwalifikowanych podmiotów świadczących usługi certyfikacyjne, 4) imię i nazwisko lub pseudonim osoby składającej podpis elektroniczny; użycie pseudonimu musi być wyraźnie zaznaczone, 5) dane służące do weryfikacji podpisu elektronicznego, 6) oznaczenie początku i końca okresu ważności certyfikatu, 7) poświadczenie elektroniczne podmiotu świadczącego usługi certyfikacyjne, wydającego dany certyfikat, 8) ograniczenia zakresu ważności certyfikatu, jeżeli przewiduje to określona polityka certyfikacji, 9) ograniczenie najwyższej wartości granicznej transakcji, w której certyfikat może być wykorzystywany.

20 Ważność certyfikatów Art Certyfikat jest ważny w okresie w nim wskazanym. 2. Podmiot świadczący usługi certyfikacyjne unieważnia certyfikat kwalifikowany przed upływem okresu jego ważności, jeżeli: 1) certyfikat ten został wydany na podstawie nieprawdziwych lub nieaktualnychdanych,októrychmowawart.20ust.1pkt4iust.2, 2) nie dopełnił obowiązków określonych w ustawie, 4) podmiot świadczący usługi certyfikacyjne zaprzestaje świadczenia usług certyfikacyjnych, a jego praw i obowiązków nie przejmie inny kwalifikowany podmiot, 5) zażąda tego osoba składająca podpis elektroniczny lub osoba trzecia wskazana w certyfikacie,

21 Art Podmiot świadczący usługi certyfikacyjne publikuje listę zawieszonych i unieważnionych certyfikatów(clr). 4. Podmiot świadczący usługi certyfikacyjne publikuje informacje o zawieszeniu i unieważnieniu certyfikatu na liście, o której mowa w ust. 1, zgodnie z odpowiednią polityką certyfikacji, jednak nie później niż w ciągu 1 godziny od unieważnienia lub zawieszenia certyfikatu.

22 Udzielanie akredytacji i dokonywanie wpisu do rejestru kwalifikowanych podmiotów świadczących usługi certyfikacyjne Art Podmiot świadczący usługi certyfikacyjne lub zamierzający podjąć taką działalność może wystąpić o wpis do rejestru kwalifikowanych podmiotów świadczących usługi certyfikacyjne. 3. Minister właściwy do spraw gospodarki publikuje, w postaci elektronicznej, listę wydanych zaświadczeń certyfikacyjnych, o których mowa w ust. 2, oraz dane służące do weryfikacji wydanych przez siebie zaświadczeń certyfikacyjnych.

23 Przepisy karne Art. 45. Kto świadczy usługi certyfikacyjne jako kwalifikowany podmiot świadczący usługi certyfikacyjne bez uprzedniego zawarcia wymaganej umowy ubezpieczenia odpowiedzialności cywilnej za szkody wyrządzone odbiorcom tych usług, podlega grzywnie do złotych. Art. 46. Kto, świadcząc usługi certyfikacyjne, wbrew obowiązkowi określonemu w ustawie nie informuje osoby ubiegającej się o certyfikat o warunkach uzyskania i używania certyfikatu, podlega grzywnie do złotych.

24 Art. 47. Kto składa bezpieczny podpis elektroniczny za pomocą danych służących do składania podpisu elektronicznego, które zostały przyporządkowane do innej osoby, podlega grzywnie lub karze pozbawienia wolnościdolat3alboobutymkaromłącznie. Art. 48. Kto, świadcząc usługi certyfikacyjne, kopiuje lub przechowuje dane służące do składania bezpiecznego podpisu lub poświadczenia elektronicznego lub inne dane, które mogłyby służyć do ich odtworzenia, podlega grzywnie lub karze pozbawienia wolności do lat 3 albo obu tym karom łącznie.

25 ROZPORZĄDZENIE RADY MINISTRÓW: z dnia 7 sierpnia 2002 r. w sprawie określenia warunków technicznych i organizacyjnych dla kwalifikowanych podmiotów świadczących usługi certyfikacyjne, polityk certyfikacji dla kwalifikowanych certyfikatów wydawanych przez te podmioty oraz warunków technicznych dla bezpiecznych urządzeń służących do składania i weryfikacji podpisu elektronicznego.

26 2. Użyte w rozporządzeniu określenia oznaczają: 2) algorytm szyfrowy- zestaw przekształceń matematycznych służących do zamiany informacji na niezrozumiałą, czasami z wykorzystaniem parametrów zależnych od zastosowanego klucza; 3) funkcja skrótu- funkcję odwzorowującą ciągi bitów na ciągi bitów o stałej długości, w której dla danej wartości funkcji jest obliczeniowo trudne wyznaczenie argumentu odwzorowywanego na tę wartość, a dla danego argumentu jest obliczeniowo trudne wyznaczenie drugiego argumentu odwzorowywanego na tę samą wartość;

27 4) atrybut podpisu- dodatkowe dane, które są podpisywane razem z podpisywanymi danymi lub do nich logicznie dołączane, a w szczególności: a) wskazanie kwalifikowanego certyfikatu lub kwalifikowany certyfikat służący do weryfikacji podpisu elektronicznego, b) oznaczenie czasu, c) format zawartości, umożliwiający w szczególności ustalenie sposobu kodowania podpisanych elektronicznie danych;

28 Szczegółowe warunki techniczne, jakim powinny odpowiadać bezpieczne urządzenia do składania podpisów elektronicznych oraz bezpieczne urządzenia do weryfikacji podpisów elektronicznych Bezpieczne urządzenie do składania podpisów elektronicznych składa się z oprogramowania podpisującego oraz współpracującego z nim komponentu technicznego.

29 4. 5. Komponenty techniczne generujące dane służące do składania i weryfikacji bezpiecznego podpisu elektronicznego zapewniają mechanizmy, zgodnie z którymi generowanie następuje wyłącznie pod nadzorem uprawnionej osoby Komponenty techniczne: 1) posiadają obudowy, które zapewniają wykazanie prób nielegalnego otwarcia lub penetracji;

30 Podstawowe wymagania organizacyjne i techniczne dotyczące polityk certyfikacji dla kwalifikowanych certyfikatów 12. Maksymalny okres ważności kwalifikowanego certyfikatu przewidziany przez politykę certyfikacji wynosi nie więcej niż 2 lata Ważność kwalifikowanego certyfikatu i znacznika czasu określa się na podstawie odpowiedniej ścieżki certyfikacji Listy unieważnionych i zawieszonych certyfikatów, zwane dalej listami CRL, listy unieważnionych zaświadczeń certyfikacyjnych oraz kwalifikowane certyfikaty, wydawane w ramach polityk certyfikacji, zawierają wszystkie obligatoryjne pola wymienione w załączniku nr 2 do rozporządzenia.

31 Wymagania dla algorytmów szyfrowych określa załącznik nr 3 do rozporządzenia. 4. Liczby będące parametrami algorytmów szyfrowych, które według specyfikacji algorytmu są liczbami pierwszymi, powinny wypełniać kryteria testów sprawdzających cechy liczb pierwszych w ten sposób, że mogą dawaćbłędnywynikzprawdopodobieństwemniewiększymniż2 60.

32 5. Procedury stosowane przy tworzeniu danych służących do składania lub weryfikacji bezpiecznego podpisu elektronicznego lub poświadczenia elektronicznego używają jako argumentu ciągu losowego pochodzącego ze źródła generującego ciąg losowy w oparciu o zjawisko fizyczne.

33 6. Procedury stosowane przy tworzeniu losowych parametrów algorytmówszyfrowych,októrychmowawust.1,różnychdlakażdegoużycia algorytmu w celu złożenia bezpiecznego podpisu elektronicznego lub poświadczenia elektronicznego, używają jako argumentu ciągu losowego pochodzącego ze źródła generującego ciąg losowy w oparciu o zjawisko fizyczne lub ciągu pseudolosowego. W obu przypadkach należy zapewnić, że prawdopodobieństwo przypadkowego, ponownego wygenerowania takiegosamegociągubyłoniewiększeniżwiększazdwóchwartości2 128 lub2 k,przyczymprzez k należyrozumiećokreślonąwbitachdługość tworzonych losowych parametrów.

34 9. Wykaz testów statystycznych proponowanych do badania jakości generatorów losowych zawiera załącznik nr 4 do rozporządzenia.

35 Polityka certyfikacji zapewnia, że dane służące do składania poświadczenia elektronicznego stosowane przez kwalifikowany podmiot świadczący usługi certyfikacyjne do poświadczeń elektronicznych lub klucze chroniące te dane są dzielone na części według schematu progowego stopnia(m, n), gdzie wartość m wynosi co najmniej 2, natomiast n>m+1.każdązczęściprzechowujesięwmodułachkluczowych. 2.Dane,októrychmowawust.1,pojawiająsięwpełnejformiewyłącznie w komponencie technicznym.

36 Szczegółowe warunki techniczne i organizacyjne, które muszą spełnić kwalifikowane podmioty świadczące usługi certyfikacyjne Serwery oraz stacje robocze systemu teleinformatycznego wykorzystywane przez kwalifikowany podmiot świadczący usługi certyfikacyjne do świadczenia usług certyfikacyjnych łączy się za pomocą logicznie wydzielonej, co najmniej dwusegmentowej sieci wewnętrznej.

37 2. Sieć, o której mowa w ust. 1, musi spełniać następujące wymagania: 1) dostęp do sieci z zewnątrz odbywa się tylko za pośrednictwem serwerów zlokalizowanych w strefie, w której serwery w niej zgromadzone mogą kontaktować się bez konieczności użycia śluzy bezpieczeństwa tylko między sobą, natomiast w przypadku transmisji informacji z segmentem sieci wewnętrznej muszą korzystać z pośrednictwa wewnętrznej śluzy bezpieczeństwa; w przypadku transmisji z zewnętrzną siecią teleinformatyczną muszą korzystać z pośrednictwa zewnętrznej śluzy bezpieczeństwa;

38 2) segment sieci, w którym znajduje się serwer dokonujący poświadczeń elektronicznych, jest oddzielony od segmentu podłączonego do strefy, o której mowa w pkt 1, za pomocą śluzy bezpieczeństwa lub urządzenia pośredniczącego w wymianie danych między siecią wewnętrzną i sieciami zewnętrznymi, rozpoznającego dane przychodzące spoza sieci wewnętrznej na podstawie adresu i portu docelowego i rozsyłającego je do odpowiednich adresów w sieci wewnętrznej; 3) śluzy bezpieczeństwa sieci konfiguruje się w taki sposób, że pozwalają na realizację wyłącznie tych protokołów i usług, które są niezbędne do realizacji usług certyfikacyjnych.

39 W Polskim Komitecie Normalizacyjnym są udostępniane następujące normy międzynarodowe: 1. 1) norma ISO/IEC Information technology- Open Systems Interconnection- Specification of Abstract Syntax Notation One (ASN.1), wydana przez International Organization for Standardization; 2. norma ISO/IEC Information technology- Security techniques- Cryptographic techniques based on elliptic curves- Part 2: Digital signatures, do wydania przez International Organization for Standardization; 3. norma ISO/IEC Information technology- Open Systems Interconnection- The Directory: Authentication framework; 4. norma ISO/IEC Information technology- Security techniques- Evaluation criteria for IT security, wydana przez International Organization for Standardization; 5. norma PN-ISO/IEC Technika informatyczna- Współdziałanie systemów otwartych- Procedury organów rejestracji OSI; 6. norma PN-EN Ogólne kryteria deklaracji zgodności składanej przez dostawcę;

40 7.normaISO3166-Codesfortherepresentationofcountriesand their subdivisions; 8. norma ISO/IEC Codes for representation of currencies and funds.

41 ZAŁĄCZNIK Nr 1- WYKAZ ALGORYTMÓW SZYFROWYCH I FUNK- CJI SKRÓTU WYKORZYSTYWANYCH DO TWORZENIA BEZPIECZ- NYCH PODPISÓW ELEKTRONICZNYCH I POŚWIADCZEŃ ELEK- TRONICZNYCH ZAŁĄCZNIK Nr 2- SZCZEGÓŁOWE WYMAGANIA DOTYCZĄCE KWALIFIKOWANEGO CERTYFIKATU I ZAŚWIADCZENIA CERTYFI- KACYJNEGO ORAZ LISTY UNIEWAŻNIONYCH I ZAWIESZONYCH ZAŁĄCZNIK Nr 3- WYMAGANIA DLA ALGORYTMÓW SZYFRO- WYCH ZAŁĄCZNIK Nr 4- WYKAZ TESTÓW STATYSTYCZNYCH PROPO- NOWANYCH DO BADANIA JAKOŚCI GENERATORÓW LOSOWYCH

42 USTAWA z dnia 29 sierpnia 1997 r. o ochronie danych osobowych 2. Ustawę stosuje się do przetwarzania danych osobowych: 1) w kartotekach, skorowidzach, księgach, wykazach i w innych zbiorach ewidencyjnych, 2) w systemach informatycznych, także w przypadku przetwarzania danych poza zbiorem danych. 3. W odniesieniu do zbiorów danych osobowych sporządzanych doraźnie, wyłącznie ze względów technicznych, szkoleniowych lub w związku z dydaktyką w szkołach wyższych, a po ich wykorzystaniu niezwłocznie usuwanych albo poddanych anonimizacji, mają zastosowanie jedynie przepisy rozdziału 5.

43 Art Ustawę stosuje się do organów państwowych, organów samorządu terytorialnego oraz do państwowych i komunalnych jednostek organizacyjnych. 2. Ustawę stosuje się również do: 1) podmiotów niepublicznych realizujących zadania publiczne, 2) osób fizycznych i osób prawnych oraz jednostek organizacyjnych niebędących osobami prawnymi, jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych Art..3a. 1.Ustawyniestosujesiędo: 1) osób fizycznych, które przetwarzają dane wyłącznie w celach osobistych lub domowych,

44 Art W rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. 2. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. 3. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.

45 Art..7. Ilekroćwustawiejestmowao: 1) zbiorze danych- rozumie się przez to każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie, 2a) systemie informatycznym- rozumie się przez to zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych, 2b) zabezpieczeniu danych w systemie informatycznym- rozumie się przez to wdrożenie i eksploatację stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem,

46 Art Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy: 1)osoba,którejdanedotyczą,wyrazinatozgodę,chybażechodzio usunięcie dotyczących jej danych, 2) jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa, 3) jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą,jestjejstronąlubgdyjesttoniezbędnedopodjęciadziałańprzed zawarciem umowy na żądanie osoby, której dane dotyczą,

47 Art W przypadku zbierania danych osobowych od osoby, której one dotyczą, administrator danych jest obowiązany poinformować tę osobę o: 1) adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna- o miejscu swojego zamieszkania oraz imieniu i nazwisku, 2)celuzbieraniadanych,awszczególnościoznanychmuwczasieudzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych, 3) prawie dostępu do treści swoich danych oraz ich poprawiania, 4) dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej.

48 Art Zabrania się przetwarzania danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym. 2. Przetwarzanie danych, o których mowa w ust. 1, jest jednak dopuszczalne, jeżeli: 1)osoba,którejdanedotyczą,wyrazinatozgodęnapiśmie,chybaże chodzi o usunięcie dotyczących jej danych, 2) przepis szczególny innej ustawy zezwala na przetwarzanie takich danych bez zgody osoby, której dane dotyczą, i stwarza pełne gwarancje ich ochrony, i jeszcze 8 wyjątków

49 Art Numery porządkowe stosowane w ewidencji ludności mogą zawierać tylko oznaczenie płci, daty urodzenia, numer nadania oraz liczbę kontrolną. 3. Zabronione jest nadawanie ukrytych znaczeń elementom numerów porządkowych w systemach ewidencjonujących osoby fizyczne.

50 Rozdział 4 Prawa osoby, której dane dotyczą Art Każdej osobie przysługuje prawo do kontroli przetwarzania danych, które jej dotyczą, zawartych w zbiorach danycho realizacji celu, dla którego zostały zebrane, 7)wniesienia,wprzypadkachwymienionychwart.23ust.1pkt4i 5, pisemnego, umotywowanego żądania zaprzestania przetwarzania jej danych ze względu na jej szczególną sytuację, 8) wniesienia sprzeciwu wobec przetwarzania jej danych w przypadkach, wymienionychwart.23ust.1pkt4i5,gdyadministratordanychzamierza je przetwarzać w celach marketingowych lub wobec przekazywania jej danych osobowych innemu administratorowi danych,

51 4. Jeżeli dane są przetwarzane dla celów naukowych, dydaktycznych, historycznych, statystycznych lub archiwalnych, administrator danych może odstąpić od informowania osób o przetwarzaniu ich danych w przypadkach, gdy pociągałoby to za sobą nakłady niewspółmierne z zamierzonym celem. 5. Osoba zainteresowana może skorzystać z prawa do informacji, o którychmowawust.1pkt1-5,nieczęściejniżrazna6miesięcy.

52 Rozdział 5 Zabezpieczenie danych osobowych Art Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. 2. Administrator danych prowadzi dokumentację opisującą sposób przetwarzaniadanychorazśrodki,októrychmowawust Administrator danych wyznacza administratora bezpieczeństwa informacji, nadzorującego przestrzeganie zasad ochrony, o których mowa w ust. 1, chyba że sam wykonuje te czynności.

53 Art..37. Do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych. Art..38. Administrator danych jest obowiązany zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane. Art Osoby, które zostały upoważnione do przetwarzania danych, są obowiązane zachować w tajemnicy te dane osobowe oraz sposoby ich zabezpieczenia.

54 Rozdział 6 Rejestracja zbiorów danych osobowych Art..40. Administrator danych jest obowiązany zgłosić zbiór danych do rejestracji Generalnemu Inspektorowi, z wyjątkiem przypadków, o których mowa w art.43ust.1. Art Generalny Inspektor prowadzi ogólnokrajowy, jawny rejestr zbiorów danych osobowych. Rejestr powinien zawierać informacje, o których mowa wart.41ust.1pkt1-4ai7.

55 2.Każdymaprawoprzeglądaćrejestr,októrymmowawust Na żądanie administratora danych może być wydane zaświadczenie o zarejestrowaniu zgłoszonego przez niego zbioru danych, z zastrzeżeniem ust. 4.

56 Rozdział 8 Przepisy karne Art Kto przetwarza w zbiorze dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do których przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności dolat2. 2. Jeżeli czyn określony w ust. 1 dotyczy danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym, sprawca podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolnościdolat3.

57 Art..50. Kto administrując zbiorem danych przechowuje w zbiorze dane osobowe niezgodnie z celem utworzenia zbioru, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. Art Kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat Jeżeli sprawca działa nieumyślnie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.

58 Art..52. Kto administrując danymi narusza choćby nieumyślnie obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. Art..53. Kto będąc do tego obowiązany nie zgłasza do rejestracji zbioru danych, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.

59 Art..54. Kto administrując zbiorem danych nie dopełnia obowiązku poinformowania osoby, której dane dotyczą, o jej prawach lub przekazania tej osobie informacji umożliwiających korzystanie z praw przyznanych jej w niniejszej ustawie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.