OCHRONA DANYCH OSOBOWYCH Administrator Bezpieczeństwa Informacji kom. mgr Piotr Filip
PODSTAWY PRAWNE OCHRONY DANYCH Konstytucja RP Konwencja nr 108 Rady Europy dotycząca ochrony osób w związku z automatycznym przetwarzaniem danych osobowych Dyrektywa PE i RE z 24.10.1995r. (95/46/EC) w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych ( Dz. U. z 2002 Nr 101 poz. 926 tekst jednolity z późniejszymi zmianami )
PODSTAWY PRAWNE CD. Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych ( Dz.U. Nr 100 poz.1024)
PRZEPISY RESORTOWE Ustawa z dnia 7 września 1991 r. o systemie oświaty ( Dz. U. 2004, nr 256, poz. 2572 z późn. zm.) Rozporządzenie Ministra Edukacji Narodowej i Sportu z dnia 19 lutego 2002 r. w sprawie sposobu prowadzenia przez publiczne przedszkola, szkoły i placówki dokumentacji przebiegu nauczania, działalności wychowawczej i opiekuńczej oraz rodzajów tej dokumentacji (Dz. U. 2002 nr 23, poz. 225 z późn. zm.) Rozporządzenie Ministra Edukacji Narodowej i Sportu z dnia 20 lutego 2004 r. w sprawie warunków i trybu przyjmowania uczniów do szkół publicznych oraz przechodzenia z jednych typów szkół do innych (Dz. U. 2004 nr 26, poz. 232 z późn. zm.) Ustawa z dnia 19 lutego 2004 r. o systemie informacji oświatowej (Dz. U. 2004, nr 49, poz. 463 z późn. zm.) Ustawa z dnia 26 stycznia 1982 Karta Nauczyciela (Dz. U. 2006 nr 97 poz. 674 z późn. zm.).
KONSTYTUCJA RP art. 47 Każdy ma prawo do ochrony życia prywatnego, rodzinnego, czci i dobrego imienia oraz do decydowania o swoim życiu osobistym. art. 51 1. Nikt nie może być obowiązany inaczej niż na podstawie ustawy do ujawniania informacji dotyczących jego osoby. 2. Władze publiczne nie mogą pozyskiwać, gromadzić i udostępniać innych informacji o obywatelach niż niezbędne w demokratycznym państwie prawnym. 3. Każdy ma prawo dostępu do dotyczących go urzędowych dokumentów i zbiorów danych. Ograniczenie tego prawa może określić ustawa. 4. Każdy ma prawo do żądania sprostowania oraz usunięcia informacji nieprawdziwych, niepełnych lub zebranych w sposób sprzeczny z ustawą. 5. Zasady i tryb gromadzenia oraz udostępniania informacji określa ustawa.
Ustawa o ochronie danych osobowych
DEFINICJE USTAWOWE Dane osobowe Art. 6 1. W rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Numery identyfikacyjne: PESEL, NIP, paszport, dowód osobisty Cechy fizyczne: wygląd zewnętrzny, siatkówka oka, linie papilarne, Cechy fizjologiczne: grupa krwi, kod genetyczny Cechy ekonomiczne: status majątkowy, lista zaległości finansowych Cechy umysłowe, kulturowe lub społeczne: poglądy, wyznanie, pochodzenie lub przynależność związkowa
DEFINICJE USTAWOWE Art. 6 2. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. 3. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.
DEFINICJE USTAWOWE Definicje z art. 7 1) Zbiór danych - każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie, 2) przetwarzanie danych - rozumie się przez to jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych, 3) systemie informatycznym - rozumie się przez to zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych,
DEFINICJE USTAWOWE 4. Administrator danych - rozumie się przez to organ, jednostkę organizacyjną, podmiot lub osobę, o których mowa w art. 3, decydujące o celach i środkach przetwarzania danych osobowych; 5. Administrator Bezpieczeństwa Informacji - wyznaczony przez Administratora Danych pracownik odpowiedzialny za bezpieczeństwo danych osobowych;
GIODO Art. 8. 1. Organem do spraw ochrony danych osobowych jest Generalny Inspektor Ochrony Danych Osobowych, zwany dalej Generalnym Inspektorem. 2. Generalnego Inspektora powołuje i odwołuje Sejm Rzeczypospolitej Polskiej za zgodą Senatu.
GIODO - zadania Art. 12 1) kontrola zgodności przetwarzania danych z przepisami o ochronie danych osobowych, 2) wydawanie decyzji administracyjnych i rozpatrywanie skarg w sprawach wykonania przepisów o ochronie danych osobowych, 3) zapewnienie wykonania przez zobowiązanych obowiązków o charakterze niepieniężnym wynikających z decyzji, o których mowa w pkt 2, przez stosowanie środków egzekucyjnych przewidzianych w ustawie z dnia 17 czerwca 1966 r. o postępowaniu egzekucyjnym w administracji (Dz. U. z 2005 r., Nr 229, poz. 1954 z późn. zm.),
GIODO - zadania Art. 12 4. prowadzenie rejestru zbiorów danych oraz udzielanie informacji o zarejestrowanych zbiorach, 5. opiniowanie projektów ustaw i rozporządzeń dotyczących ochrony danych osobowych, 6. inicjowanie i podejmowanie przedsięwzięć w zakresie doskonalenia ochrony danych osobowych, 7. uczestniczenie w pracach międzynarodowych organizacji i instytucji zajmujących się problematyką ochrony danych osobowych.
DOPUSZCZALNOŚĆ PRZETWARZANIA DANYCH Art. 23. 1. Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy: 1. osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych, 2. jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa, 3. jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą, 4. jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego, 5. jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.
DOPUSZCZALNOŚĆ PRZETWARZANIA DANYCH 3. Jeżeli przetwarzanie danych jest niezbędne dla ochrony żywotnych interesów osoby, której dane dotyczą, a spełnienie warunku określonego w ust. 1 pkt 1 jest niemożliwe, można przetwarzać dane bez zgody tej osoby, do czasu, gdy uzyskanie zgody będzie możliwe.
OBOWIĄZEK INFORMACYJNY Art. 24. 1. W przypadku zbierania danych osobowych od osoby, której one dotyczą, administrator danych jest obowiązany poinformować tę osobę o: 1) adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna - o miejscu swojego zamieszkania oraz imieniu i nazwisku, 2) celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych, 3) prawie dostępu do treści swoich danych oraz ich poprawiania, 4) dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej.
OBOWIĄZEK INFORMACYJNY Art. 24. 2. Przepisu ust. 1 nie stosuje się, jeżeli: 1) przepis innej ustawy zezwala na przetwarzanie danych bez ujawniania faktycznego celu ich zbierania, 2) osoba, której dane dotyczą, posiada informacje, o których mowa w ust. 1
OBOWIĄZKI ADMINISTRATORA DANYCH Art. 26. 1. Administrator danych przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były: 1) przetwarzane zgodnie z prawem, 2) zbierane dla oznaczonych, zgodnych z prawem celów i nie poddawane dalszemu przetwarzaniu niezgodnemu z tymi celami, z zastrzeżeniem ust. 2, 3) merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane, 4) przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania.
OBOWIĄZKI ADMINISTRATORA DANYCH Art. 26. 2. Przetwarzanie danych w celu innym niż ten, dla którego zostały zebrane, jest dopuszczalne, jeżeli nie narusza praw i wolności osoby, której dane dotyczą, oraz następuje: 1) w celach badań naukowych, dydaktycznych, historycznych lub statystycznych, 2) z zachowaniem przepisów art. 23 i 25.(obowiązek informacyjny)
ZAKAZ PRZETWARZANIA DANYCH Art. 27. 1. Zabrania się przetwarzania danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym.
ZAKAZ PRZETWARZANIA DANYCH Art. 27. 2. Przetwarzanie danych, o których mowa w ust. 1, jest jednak dopuszczalne, jeżeli: 1) osoba, której dane dotyczą, wyrazi na to zgodę na piśmie, chyba że chodzi o usunięcie dotyczących jej danych, 2) przepis szczególny innej ustawy zezwala na przetwarzanie takich danych bez zgody osoby, której dane dotyczą, i stwarza pełne gwarancje ich ochrony, 3) przetwarzanie takich danych jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby, gdy osoba, której dane dotyczą, nie jest fizycznie lub prawnie zdolna do wyrażenia zgody, do czasu ustanowienia opiekuna prawnego lub kuratora,
ZAKAZ PRZETWARZANIA DANYCH Art. 27. 2. Przetwarzanie danych, o których mowa w ust. 1, jest jednak dopuszczalne, jeżeli: 4) jest to niezbędne do wykonania statutowych zadań kościołów i innych związków wyznaniowych, stowarzyszeń, fundacji lub innych niezarobkowych organizacji lub instytucji o celach politycznych, naukowych, religijnych, filozoficznych lub związkowych, pod warunkiem, Że przetwarzanie danych dotyczy wyłącznie członków tych organizacji lub instytucji albo osób utrzymujących z nimi stałe kontakty w związku z ich działalnością i zapewnione są pełne gwarancje ochrony przetwarzanych danych, 5) przetwarzanie dotyczy danych, które są niezbędne do dochodzenia praw przed sądem,
ZAKAZ PRZETWARZANIA DANYCH Art. 27. 2. Przetwarzanie danych, o których mowa w ust. 1, jest jednak dopuszczalne, jeżeli: 6) przetwarzanie jest niezbędne do wykonania zadań administratora danych odnoszących się do zatrudnienia pracowników i innych osób, a zakres przetwarzanych danych jest określony w ustawie, 7) przetwarzanie jest prowadzone w celu ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów przez osoby trudniące się zawodowo leczeniem lub świadczeniem innych usług medycznych, zarządzania udzielaniem usług medycznych i są stworzone pełne gwarancje ochrony danych osobowych, 8) przetwarzanie dotyczy danych, które zostały podane do wiadomości publicznej przez osobę, której dane dotyczą,
ZAKAZ PRZETWARZANIA DANYCH Art. 27. 2. Przetwarzanie danych, o których mowa w ust. 1, jest jednak dopuszczalne, jeżeli: 9) jest to niezbędne do prowadzenia badań naukowych, w tym do przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego; publikowanie wyników badań naukowych nie może następować w sposób umożliwiający identyfikację osób, których dane zostały przetworzone, 10) przetwarzanie danych jest prowadzone przez stronę w celu realizacji praw i obowiązków wynikających z orzeczenia wydanego w postępowaniu sądowym lub administracyjnym.
OBOWIĄZKI ABI sprawuje nadzór nad wdrożeniem stosownych środków organizacyjno-technicznych w celu zapewnienia bezpieczeństwa danych osobowych; sprawuje nadzór nad funkcjonowaniem systemu zabezpieczeń, w tym także nad prowadzeniem ewidencji z zakresu ochrony danych osobowych; nadzoruje udostępnianie danych osobowych odbiorcom danych i innym podmiotom; przygotowuje wnioski zgłoszeń rejestracyjnych i aktualizacyjnych zbiorów danych osobowych oraz prowadzi inną korespondencję z Generalnym Inspektorem Ochrony Danych Osobowych;
OBOWIĄZKI ABI zatwierdza wzory dokumentów (odpowiednie klauzule na dokumentach) dotyczących ochrony danych osobowych, przygotowywane przez komórki organizacyjne administratora danych; prowadzi ewidencję osób upoważnionych do przetwarzania danych osobowych; prowadzi oraz aktualizuje dokumentację opisującą sposób przetwarzania danych osobowych oraz środki organizacyjnotechniczne zapewniające ochronę przetwarzanych danych osobowych; podejmuje odpowiednie działania w przypadku naruszenia lub podejrzenia naruszenia bezpieczeństwa danych osobowych; prowadzi szkolenia osób upoważnionych do przetwarzania danych osobowych.
OBOWIĄZEK REJESTRACJI ZBIORU DANYCH Art. 40. Administrator danych jest obowiązany zgłosić zbiór danych do rejestracji Generalnemu Inspektorowi, z wyjątkiem przypadków, o których mowa w art. 43 ust. 1. W postępowaniu prowadzonym przez GIODO, w związku ze zgłoszeniem zbioru do rejestracji, ustala on w szczególności, czy administrator, przetwarzając dane osobowe, - przestrzega zasad ochrony danych osobowych określonych przepisami ustawy - prawidłowo zabezpieczył dane w zbiorze
PRZYKŁAD REJESTRACJI ZBIORU DANYCH
PRZYKŁAD REJESTRACJI ZBIORU DANYCH
PLATFORMA E-GIODO http://egiodo.giodo.gov.pl/index.dhtml
WYKAZ ZGŁOSZONYCH ZBIORÓW DANYCH
WYŁĄCZENIA Z OBOWIĄZKU REJESTRACYJNEGO Art. 43. 1. Z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych: 1) zawierających informacje niejawne, 1a) które zostały uzyskane w wyniku czynności operacyjno-rozpoznawczych przez funkcjonariuszy organów uprawnionych do tych czynności, 2) przetwarzanych przez właściwe organy dla potrzeb postępowania sądowego oraz na podstawie przepisów o Krajowym Rejestrze Karnym, 2a) przetwarzanych przez Generalnego Inspektora Informacji Finansowej, 2b) przetwarzanych przez właściwe organy na potrzeby udziału Rzeczypospolitej Polskiej w Systemie Informacyjnym Schengen oraz Wizowym Systemie Informacyjnym, 2c) przetwarzanych przez właściwie organy na podstawie przepisów o wymianie informacji z organami ścigania państw członkowskich Unii Europejskiej,
WYŁĄCZENIA Z OBOWIĄZKU REJESTRACYJNEGO Art. 43. 3) dotyczących osób należących do kościoła lub innego związku wyznaniowego, o uregulowanej sytuacji prawnej, przetwarzanych na potrzeby tego kościoła lub związku wyznaniowego, 4) przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się, 5) dotyczących osób korzystających z ich usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta, 6) tworzonych na podstawie przepisów dotyczących wyborów do Sejmu, Senatu, Parlamentu Europejskiego, rad gmin, rad powiatów i sejmików województw, wyborów na urząd Prezydenta Rzeczypospolitej Polskiej, na wójta, burmistrza, prezydenta miasta oraz dotyczących referendum ogólnokrajowego i referendum lokalnego, 7) dotyczących osób pozbawionych wolności na podstawie ustawy, w zakresie niezbędnym do wykonania tymczasowego aresztowania lub kary pozbawienia wolności,
WYŁĄCZENIA Z OBOWIĄZKU REJESTRACYJNEGO Art. 43. 8) przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej, 9) powszechnie dostępnych, 10) przetwarzanych w celu przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego, 11) przetwarzanych w zakresie drobnych bieżących spraw życia codziennego.
WYŁĄCZENIA Z OBOWIĄZKU REJESTRACYJNEGO Co do zasady, art. 43 ust. 1 pkt. 4 ustawy zwalnia z obowiązku rejestracji administratorów danych przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się. Nie wolno jednak tego zwolnienia przenosić na dane osób, które zakończyły edukację w danej szkole, a informacje o nich znalazły się np. w ewidencji korespondencji lub są przetwarzane przez bibliotekę szkolną
ZABEZPIECZENIE DANYCH OSOBOWYCH Art. 36. 1. Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. 2. Administrator danych prowadzi dokumentację opisującą sposób przetwarzania danych oraz środki, o których mowa w ust. 1. 3. Administrator danych wyznacza administratora bezpieczeństwa informacji, nadzorującego przestrzeganie zasad ochrony, o których mowa w ust. 1, chyba że sam wykonuje te czynności.
ZABEZPIECZENIE DANYCH OSOBOWYCH Art. 37 Do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych. Art. 38 Administrator danych jest obowiązany zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane.
ZABEZPIECZENIE DANYCH OSOBOWYCH Art. 39 1. Administrator danych prowadzi ewidencję osób upoważnionych do ich przetwarzania, która powinna zawierać: 1) imię i nazwisko osoby upoważnionej, 2) datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych, 3) identyfikator, jeżeli dane są przetwarzane w systemie informatycznym. 2. Osoby, które zostały upoważnione do przetwarzania danych, są obowiązane zachować w tajemnicy te dane osobowe oraz sposoby ich zabezpieczenia.
ZABEZPIECZENIE DANYCH OSOBOWYCH ROZPORZĄDZENIE MSWIA z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024)
ZABEZPIECZENIE DANYCH OSOBOWYCH 6. 1. Uwzględniając kategorie przetwarzanych danych oraz zagrożenia wprowadza się poziomy bezpieczeństwa przetwarzania danych osobowych w systemie informatycznym: Podstawowy (wyłącznie dane osobowe zwykłe ) Podwyższony (dane osobowe wrażliwe ) Wysoki (system przetwarzający dane jest podłączony do sieci zewnętrznej Internet)
ZABEZPIECZENIE TECHNICZNE Obszar, w którym przetwarzane są dane osobowe (budynki, pomieszczenia, części pomieszczeń); zabezpiecza się przed dostępem osób nieuprawnionych na czas nieobecności osób upoważnionych do przetwarzania danych zabezpieczenia techniczne drzwi i okien w pomieszczeniu alarm z powiadomieniem procedury pobierania i zdawania kluczy do pomieszczeń służbowych
ZABEZPIECZENIE TECHNICZNE Wydzielone pomieszczenie Szafy metalowe, sejfy Szafy biurowe zamykane na zamek kluczowy Dodatkowe zabezpieczenia: Referentki Plomby Pieczęcie
ZABEZPIECZENIA ORGANIZACYJNE Polityka Bezpieczeństwa 4 ROZPORZĄDZENIE MSWIA z dnia 29 kwietnia 2004 r. Polityka bezpieczeństwa, zawiera w szczególności: 1) wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe; 2) wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych; 3) opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi; 4) sposób przepływu danych pomiędzy poszczególnymi systemami; 5) określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.
1. WPROWADZENIE 1.1 Podstawowe terminy użyte w niniejszym dokumencie 1.2 Zakres dokumentu Polityka Bezpieczeństwa 1.3 Cel przetwarzania danych osobowych w bazie systemu 1.4 Lokalizacja zbioru danych osobowych 1.5 Osoby odpowiedzialne za ochronę i eksploatację systemu Postępowania Sprawdzające 1.6 Zadania administratorów i użytkowników systemu 1.7 Odnośniki do innej dokumentacji związanej z bezpieczeństwem 1.8 Odnośniki do stosowanych standardów bezpieczeństwa 2. ZAGROŻENIA DLA ZBIORU DANYCH OSOBOWYCH 3. DEFINICJA WYMAGAŃ BEZPIECZEŃSTWA DANYCH OSOBOWYCH 4. ŚRODKI STOSOWANE DO OCHRONY BAZY DANYCH SYSTEMU 4.1 Ochrona fizyczna pomieszczenia, w którym przetwarzane są dane osobowe 4.2 Ochrona systemu i bazy danych 4.2.1 Kontrola dostępu do systemu operacyjnego, w którym przetwarzany jest zbiór danych osobowych 4.2.2 Kontrola dostępu do bazy danych aplikacji Postępowania Sprawdzające 4.2.3 Stosowanie haseł dostępowych przez użytkowników systemu operacyjnego oraz aplikacji PS. 4.3 Usuwanie kont użytkowników 5. ARCHITEKTURA ZBIORÓW OSOBOWYCH 5.1 Struktura zbiorów danych osobowych 5.2 Opis aplikacji przetwarzającej dane osobowe 6. ZABEZPIECZENIE STANOWISKA KOMPUTEROWEGO PRZED DZIAŁANIEM ZŁOŚLIWEGO OPROGRAMOWANIA 6.1 Ochrona antywirusowa oraz ochrona przed złośliwym oprogramowaniem 7. ZARZĄDZANIE INCYDENTAMI BEZPIECZEŃSTWA 8. ZADANIA REALIZOWANE PODCZAS PRACY Z SYSTEMEM 9. SZKOLENIA
ZABEZPIECZENIA ORGANIZACYJNE 5 ROZPORZĄDZENIE MSWIA z dnia 29 kwietnia 2004 r. Instrukcja zarządzania systemem Instrukcja zawiera w szczególności: 1) procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności; 2) stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem; 3) procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu; 4) procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania; 5) sposób, miejsce i okres przechowywania; 6) sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, o którym mowa w pkt III ppkt 1 załącznika do rozporządzenia; 7) sposób realizacji wymogów, o których mowa w 7 ust. 1 pkt 4; (data wprowadzenia, źródło danych, itp.) 8) procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.
Spis Treści 1. Wprowadzenie i opis systemu 2. Procedura nadawania uprawnień i rejestracji użytkowników 3. Procedura określająca zasady ochrony, przydziału i zmiany haseł 4. Procedura rozpoczynania, zawieszania i kończenia pracy w systemie na stanowisku 5. Procedura tworzenia kopii zapasowej i ich przechowywania 6. Procedura usuwania danych osobowych ze zbioru 7. Procedura ochrony fizycznej stanowiska komputerowego przetwarzającego dane osobowe 8. Procedura bezpieczeństwa urządzeń 9. Procedura ochrony antywirusowej 10.Procedura zarządzania konfiguracją systemu 11.Procedura utrzymania ciągłości działania systemu 12.Procedura rozliczalności zadań
PRZYKŁADOWA PROCEDURA Instrukcja Zarządzania Systemem Postępowania Sprawdzające Procedura określająca zasady ochrony, przydziału i zmiany haseł Data wprowadzenia: 2009 Nr wersji procedury 1 Nr procedury: 2 Ilość stron: 1 Wszyscy użytkownicy są zobowiązani do przestrzegania następujących zasad ochrony haseł: Hasło dostępu do konta użytkownika należy chronić przed ujawnieniem; W przypadku ujawnienia (kompromitacji) hasła należy niezwłocznie poinformować o tym fakcie administratora systemu celem jego zmiany; Użytkownik odpowiada za nieuprawnione ujawnienie swojego hasła; Hasło dostępu do aplikacji Postępowania Sprawdzające dla użytkownika winno zawierać minimum 6 znaków, natomiast dla administratora 8 znaków; Hasła w miarę możliwości powinny zawierać: małe i duże litery, cyfry oraz znaki (!@#$%^&*_+<>?~`) Hasło dostępu do konta użytkownika powinno być zmieniane co kwartał; Każde następne hasło powinno być różne od poprzednich; Zdefiniowanego dla systemu hasła nie należy wykorzystywać w innych systemach; Niedopuszczalne jest stosowanie identycznego hasła dla konta w systemie operacyjnym i systemie Postępowania Sprawdzające ;
PRZEPISY KARNE Opis czynu Niedopuszczalne przetwarzanie danych w zbiorze lub przez osobę nieuprawnioną, art. 49 UODO. Odpowiedzialność kwalifikowana jeśli czyn dotyczy danych sensytywnych, art. 49 ust. 2 Przechowywanie danych w zbiorze niezgodnie z celem jego utworzenia, art. 50 UODO Nieuprawnione udostępnienie danych osobom nieupoważnionym lub umożliwienie dostępu art. 51 UODO Podmiot Każda osoba osoba administrująca zbiorem danych osoba administrująca zbiorem danych lub zobowiązana do ochrony danych Naruszony przepis UODO art. 23 podstawa prawna przetwarzania danych art. 27 dane sensytywne art. 26 ust. 1 pkt. 2 z zastrzeżeniem ust. 2 dane muszą być przetwarzane zgodnie z celem dla jakiego zostały zebrane art. 23 podstawa prawna przetwarzania danych Strona podmiotowa umyślność umyślność umyślność i nieumyślność
PRZEPISY KARNE Opis czynu Podmiot Naruszony przepis Strona podmiotowa Naruszenie obowiązku zabezpieczenia danych, art. 52 UODO Osoba administrująca zbiorem danych Rozdział 5 o zabezpieczeniu danych oraz przepisy rozporządzenia MSWiA umyślność, i nieumyślność Niezgłoszenie zbioru danych do rejestracji, art. 53 UODO osoba zobowiązana do zgłoszenia zbioru do rejestracji art. 40 obowiązek zgłoszenia zbioru danych do rejestracji umyślność Niedopełnienie obowiązku informacyjnego, art. 54 UODO osoba administrująca zbiorem danych art. 24 i 25 obowiązek informacyjny art. 32 ust. 1 pkt. 1-5a kontrola przetwarzania danych, art. 33 umyślność
DZIĘKUJE ZA UWAGĘ kom. mgr Piotr Filip