Jakie są podstawowe obowiązki wynikające z ustawy o ochronie danych osobowych?

Transkrypt

1 Jakie są podstawowe obowiązki wynikające z ustawy o ochronie danych osobowych? Przypomnijmy. Ustawa o ochronie danych osobowych określa zasady postępowania przy przetwarzaniu danych osobowych i prawa osób fizycznych, których dane osobowe są przetwarzane w zbiorach danych. Ustawę stosuje się do każdej formy przetwarzania danych, zarówno w formach tradycyjnych, jak i systemie informatycznym, zarówno przez organy publiczne, jak i osoby prywatne. Administrator danych zobowiązany jest zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń i kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy i zmianą, utratą, uszkodzeniem lub zniszczeniem. Administrator danych prowadzi dokumentację opisującą sposób przetwarzania danych oraz ww. środki (art. 36. ustawy). Obowiązki administratora Administrator danych: 1 / 5

2 - wyznacza administratora bezpieczeństwa informacji, nadzorującego przestrzeganie zasad ochrony, chyba że sam wykonuje te czynności, - upoważnia inne osoby do przetwarzania danych, - zapewnia kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane, - prowadzi ewidencję osób upoważnionych do ich przetwarzania, która powinna zawierać: - imię i nazwisko osoby upoważnionej, - datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych, - identyfikator, jeśli dane przetwarzane są w systemie informatycznym. Osoby, które zostały upoważnione do przetwarzania danych, są zobowiązane zachować w tajemnicy te dane osobowe oraz sposoby ich zabezpieczenia. Środki bezpieczeństwa, sposób prowadzenia i zakres dokumentacji opisującej sposób przetwarzania danych, podstawowe warunki techniczne i organizacyjne, jakim powinny odpowiadać urządzenia i systemy informatyczne, określa Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (zob. niżej). Dokumentacja 2 / 5

3 Zgodnie z powyższym rozporządzeniem, dokumentacja przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych dzieli się na: - politykę bezpieczeństwa, - instrukcję zarządzania systemem informatycznym. Polityka bezpieczeństwa zawiera w szczególności: - wykaz budynków, pomieszczeń lub części pomieszczeń tworzących obszar, w którym przetwarzane są dane osobowe, - wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych, - opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi, - sposób przepływu danych pomiędzy poszczególnymi systemami, - określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych. Instrukcja zawiera w szczególności: - procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności, - stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem, - procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu, - procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania, - sposób, miejsce i okres przechowywania (elektronicznych nośników informacji zawierających dane osobowe i kopii zapasowych, o których mowa w pkt. 4), - sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, 3 / 5

4 którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego, - sposób realizacji wymogów, o których mowa w 7. ust. 1. pkt 4. rozporządzenia, - procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych. Poziomy bezpieczeństwa Rozporządzenie wprowadza trzy poziomy bezpieczeństwa: - podstawowy, - podwyższony, - wysoki. Poziom co najmniej podstawowy stosuje się, gdy: - w systemie informatycznym nie są przetwarzane dane, o których mowa w art. 27 ustawy (dane wrażliwe, np. pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne, stan zdrowia itp.) oraz - żadne z urządzeń systemu informatycznego służącego do przetwarzania danych osobowych nie jest połączone z siecią publiczną. Poziom co najmniej podwyższony stosuje się, gdy: - w systemie informatycznym przetwarzane są dane osobowe, o których mowa w art. 27 ustawy oraz - żadne z urządzeń systemu informatycznego służącego do przetwarzania danych osobowych nie jest połączone z siecią publiczną. 4 / 5

5 Poziom wysoki stosuje się, gdy przynajmniej jedno urządzenie systemu informatycznego służącego do przetwarzania danych osobowych połączone jest z siecią publiczną. 5 / 5