BEZPIECZEŃSTWO DANYCH OSOBOWYCH PRZETWARZANYCH PRZY UŻYCIU SYSTEMÓW INFORMATYCZNYCH

Transkrypt

1 BEZPIECZEŃSTWO DANYCH OSOBOWYCH PRZETWARZANYCH PRZY UŻYCIU SYSTEMÓW INFORMATYCZNYCH Tomasz Soczyński Zastępca Dyrektora Departamentu Informatyki BIURO Generalnego Inspektora Ochrony Danych Osobowych Generalny Inspektor Ochrony Danych Osobowych ul. Stawki 2, Warszawa

2 Polityka bezpieczeństwa Dokumentacja Przetwarzania danych Podstawowe wymagania dotyczące funkcjonalności systemu informatycznego Poziomy bezpieczeństwa systemu informatycznego

3 KONSTYTUCJA RZECZYPOSPOLITEJ POLSKIEJ (Art. 47) Każdy ma prawo do ochrony życia prywatnego, rodzinnego, czci i dobrego imienia oraz do decydowania o swoim życiu osobistym.

4 KONSTYTUCJA RZECZYPOSPOLITEJ POLSKIEJ (Art. 51) 1.Nikt nie może być obowiązany inaczej niż na podstawie ustawy do ujawniania informacji dotyczących jego osoby. 2.Władze publiczne nie mogą pozyskiwać, gromadzić i udostępniać innych informacji o obywatelach niż niezbędne w demokratycznym państwie prawnym. 3.Każdy ma prawo dostępu do dotyczących go urzędowych dokumentów i zbiorów danych. Ograniczenie tego prawa może określić ustawa. 4.Każdy ma prawo do żądania sprostowania oraz usunięcia informacji nieprawdziwych, niepełnych lub zebranych w sposób sprzeczny z ustawą. 5.Zasady i tryb gromadzenia oraz udostępniania informacji określa ustawa.

5 AKTY PRAWNE Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.). 1. z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych 2. z dnia 11 grudnia 2008 r. w sprawie wzoru zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych 3. z dnia 22 kwietnia 2004 r. w sprawie wzorów imiennego upoważnienia i legitymacji służbowej inspektora Biura Generalnego Inspektora Ochrony Danych Osobowych

6 PRZESTĘPSTWA (UODO) Przetwarzanie danych w zbiorze wbrew zakazowi przetwarzania bądź przy braku uprawnienia do przetwarzania (art. 49) Udostępnienie danych lub umożliwienie dostępu osobom nieupoważnionym (art. 51) Naruszenie obowiązku zabezpieczenia danych (art. 52) Niezgłoszenie zbioru do rejestracji (art. 53) Niedopełnienie obowiązku informacyjnego (art. 54)

7 DANE OSOBOWE / PRZETWARZANIE (ART. 6 I 7 UODO) Osoba możliwa do zidentyfikowania osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne (art. 6 ust. 2). Informacji nie uważa się za umożliwiające określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań (art. 6 ust. 3). Przetwarzanie danych jakiekolwiek operacje na danych osobowych statyczne (np. przechowywanie danych) jak i dynamiczne (pozyskiwanie, udostępnianie, zmienianie, usuwanie itd.)

8 DANE OSOBOWE (Art. 6 i 7 UODO) Dane osobowe wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (art. 6 ust. 1). Art. 29 Opinii Grupy Roboczej Rady Europy wskazuje, że za dane osobowe należałoby również uznać odwzorowania danych biometrycznych oraz dane DNA, które mogą być wykorzystywane w celu ustalenia tożsamości osób.

9 DANE SENSYTYWNE (ART. 27 UODO) Dane ujawniające: pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, Dane o: stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym skazaniach, orzeczeniach o ukaraniu i mandatach karnych, innych orzeczeniach wydanych w postępowaniu sądowym lub administracyjnym.

10 ZASADY PRZETWARZANIA DANYCH (ART. 26 UST. 1 UODO) Administrator danych przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były: 1) przetwarzane zgodnie z prawem, 2) zbierane dla oznaczonych, zgodnych z prawem celów i nie poddawane dalszemu przetwarzaniu niezgodnemu z tymi celami, z zastrzeżeniem ust. 2, 3) merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane, 4) przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania.

11 ADMINISTRATOR DANYCH (ART. 7 PKT 4 UODO) organ państwowy, organ samorządu terytorialnego, państwowa lub komunalna jednostka organizacyjna, podmiot niepubliczny realizujący zadania publiczne, osoby fizyczne i prawne oraz jednostki organizacyjne niebędące osobami prawnymi przetwarzające dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych mające siedzibę albo miejsce zamieszkania na terytorium RP albo w państwie trzecim, o ile przetwarzają dane osobowe przy wykorzystaniu środków technicznych znajdujących się na terytorium RP (AD) decydujące o celach i środkach przetwarzania danych osobowych

12 OBOWIĄZKI ADMINISTRATORÓW DANYCH (UODO) przesłanki legalności przetwarzania danych - dane zwykłe art. 23, zaś dane szczególnie chronione art. 27, obowiązek informacyjny unormowany w art. 24 i 25 ustawy, obowiązek dołożenia szczególnej staranności w celu ochrony interesów osób, których dane dotyczą (art. 26 ustawy), obowiązek respektowania praw osób, których dane dotyczą - art. 32 i 33 ustawy, obowiązek zastosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych (art ustawy), obowiązek zgłoszenia zbioru danych do zarejestrowania Generalnemu Inspektorowi Ochrony Danych Osobowych (art. 40 ustawy), z wyjątkiem przypadków wymienionych w art. 43 ust. 1.

13 ZABEZPIECZENIE DANYCH OSOBOWYCH ( UODO (ROZDZIAŁ 5 Dopuszczenie do przetwarzania danych wyłącznie osób posiadających upoważnienie nadane przez administratora danych (ART. 37). Zapewnienie kontroli nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane (ART. 38). Ewidencja osób upoważnionych do przetwarzania danych (ART. 39). Obowiązek zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia. 13

14 Zabezpieczenie danych osobowych Art Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną Administrator danych prowadzi dokumentację opisującą sposób przetwarzania danych oraz środki, w szczególności; Politykę bezpieczeństwa, Instrukcję zarządzania systemami informatycznymi, Ewidencję osób upoważnionych do przetwarzania danych osobowych,

15 DANYCH BEZPIECZEŃSTWO ( 4) Polityka bezpieczeństwa zawiera w szczególności: wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe; wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych; opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi; sposób przepływu danych pomiędzy poszczególnymi systemami; określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych. 15

16 BEZPIECZEŃSTWO DANYCH ( 5) Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych zawiera w szczególności: 1) procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności; 2) stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem; 3) procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu; 4) procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania; 16

17 BEZPIECZEŃSTWO DANYCH ( 5 ) Instrukcja zarządzania systemem informatycznym cd: 5) sposób, miejsce i okres przechowywania: a) elektronicznych nośników informacji zawierających dane osobowe, b) kopii zapasowych, o których mowa w pkt 4; 6) sposób zabezpieczenia systemu informatycznego przed działalnością szkodliwego oprogramowania, o którym mowa w pkt III ppkt 1 załącznika do rozporządzenia; 7) sposób realizacji wymogów, o których mowa w 7 ust. 1 pkt 4; 8) procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych. 17

18 POLITYKA BEZPIECZEŃSTWA POLITYKA BEZPIECZEŃSTWA POZIOMY BEZPIECZEŃSTWA (1) System, w którym brak jest danych wrażliwych 1. podstawowy System nie połączony z publiczną siecią telekomunikacyjną 2. podwyższony 3. wysoki System, w którym występują dane wrażliwe System połączony z publiczną siecią telekomunikacyjną

19 ŚRODKI BEZPIECZEŃSTWA NA POZIOMIE PODSTAWOWYM Zabezpieczenie obszaru przed dostępem osób nieuprawnionych na czas nieobecności osób uprawnionych do przetwarzania danych osobowych, Mechanizmy kontroli dostępu w systemie informatycznym, Zabezpieczenie systemu przed oprogramowaniem umożliwiającym uzyskanie nieuprawnionego dostępu oraz utratą zasilania,

20 ŚRODKI BEZPIECZEŃSTWA NA POZIOMIE PODSTAWOWYM Hasła (min. 6 znaków, zmiana nie rzadziej niż co 30 dni) i identyfikatory (zakaz ponownego przydzielania tych samych identyfikatorów), Kopie zapasowe zbiorów i programów służących do przetwarzania danych, Kryptografia urządzenia przenośne, Reguły dotyczące nośników danych,

21 PROCEDURY DOTYCZĄCE NOŚNIKÓW Nośniki do likwidacji pozbawienie zapisu danych bądź ich uszkodzenie uniemożliwiające ich odczytanie przed likwidacją, Nośniki przekazywane podmiotom nieuprawnionym do przetwarzania danych uprzednie pozbawienie zapisu danych w sposób uniemożliwiający ich odczytanie, Nośniki przeznaczone do naprawy uprzednie pozbawienie zapisu danych w sposób uniemożliwiający ich odczytanie bądź naprawa pod nadzorem osoby upoważnionej przez administratora danych.

22 ŚRODKI BEZPIECZEŃSTWA NA POZIOMIE PODWYŻSZONYM Środki ochrony na poziomie podstawowym, Hasła (min. 8 znaków, małe i wielkie litery, cyfry lub znaki specjalne), Urządzenia i nośniki zawierające dane osobowe szczególnie chronione przekazywane poza obszar, w którym przetwarzane są dane osobowe, zabezpiecza się w sposób zapewniający poufność i integralność tych danych, Instrukcja zarządzania systemem informatycznym musi zawierać sposób stosowania środków zabezpieczenia poufności i integralności danych,

23 BEZPIECZEŃSTWO DANYCH STOSOWANE METODY I ŚRODKI UWIERZYTELNIENIA (1) Czy proces uwierzytelnienia może być przyjazny dla użytkownika?

24 BEZPIECZEŃSTWO DANYCH STOSOWANE METODY I ŚRODKI UWIERZYTELNIENIA (2) Uwierzytelnienie na podstawie, hasło, identyfikator )wiedzyposiadanej PIN) Uwierzytelnienie na podstawie posiadanej rzeczy (klucz, token, karta mikroprocesorowa) Uwierzytelnienie na podstawie posiadanej cechy

25 ŚRODKI BEZPIECZEŃSTWA NA POZIOMIE WYSOKIM Środki ochrony na poziomie podstawowym i podwyższonym, Ochrona przed zagrożeniami pochodzącymi z sieci publicznej (wdrożenie fizycznych lub logicznych zabezpieczeń chroniących przed nieuprawnionym dostępem), Środki kryptograficznej ochrony wobec danych wykorzystywanych do uwierzytelnienia, które są przesyłane w sieci publicznej,

26 Zakres ewidencji osób upoważnionych do przetwarzania danych osobowych Zgodnie z art. 39. Administrator danych prowadzi ewidencję osób upoważnionych do przetwarzania danych osobowych, która powinna zawierać: imię i nazwisko osoby upoważnionej, datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych, identyfikator, jeżeli dane są przetwarzane w systemie informatycznym. Osoby, które zostały upoważnione do przetwarzania danych, są obowiązane zachować w tajemnicy te dane osobowe oraz sposoby ich zabezpieczenia.

27 FUNKCJONALNOŚĆ ZAPEWNIAJĄCA ODNOTOWYWANIE 7 ust. 1-4 ROZPORZĄDZENIA MSWiA (Ust. 1) Dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym - z wyjątkiem systemów służących do przetwarzania danych osobowych ograniczonych wyłącznie do edycji tekstu w celu udostępnienia go na piśmie - system ten zapewnia odnotowanie: 1) daty pierwszego wprowadzenia danych do systemu; 2) identyfikatora użytkownika wprowadzającego dane osobowe do systemu, chyba że dostęp do systemu informatycznego i przetwarzanych w nim danych posiada wyłącznie jedna osoba; 3) źródła danych, w przypadku zbierania danych, nie od osoby, której one dotyczą; 4) informacji o odbiorcach, w rozumieniu art. 7 pkt 6 ustawy, którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia, chyba że system informatyczny używany jest do przetwarzania danych zawartych w zbiorach jawnych; 27

28 FUNKCJONALNOŚĆ ZAPEWNIAJĄCA ODNOTOWYWANIE 7 ust. 1-4 ROZPORZĄDZENIA MSWiA 5) sprzeciwu, o którym mowa w art. 32 ust. 1 pkt 8 ustawy. (Ust. 2) Odnotowanie informacji, o których mowa w ust. 1 pkt 1 i 2, następuje automatycznie po zatwierdzeniu przez użytkownika operacji wprowadzenia danych. (Ust. 3) Dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym, system zapewnia sporządzenie i wydrukowanie raportu zawierającego w powszechnie zrozumiałej formie informacje, o których mowa w ust. 1. (Ust. 4) W przypadku przetwarzania danych osobowych, w co najmniej dwóch systemach informatycznych, wymagania, o których mowa w ust. 1 pkt 4, mogą być realizowane w jednym z nich lub w odrębnym systemie informatycznym przeznaczonym do tego celu. 28

29 Platforma edukacyjna GIODO Zapraszamy każdego, kto chce pogłębić swoją wiedzę o ochronie danych osobowych, do skorzystania z internetowego serwisu edukacyjnego - platformy edugiodo. Portal umożliwia: poznanie podstawowych zagadnień dotyczących ochrony danych osobowych, ukończenie trzech specjalistycznych kursów e-larningowych wzbogaconych o elementy multimedialne oraz testy sprawdzające. Adresowany jest do: administratorów danych, osób przetwarzających dane, osób, których dane dotyczą, czyli każdego z nas. nowoczesne źródło wiedzy o ochronie danych osobowych

30

31 Informacje szczegółowe znajdziecie Państwo na portalach:

32 Biuro Generalnego Inspektora Ochrony Danych Osobowych ul. Stawki 2, Warszawa tel. (0 22) fax. (0 22) Dziękuję za uwagę