Zadania Administratora Systemów Informatycznych wynikające z przepisów ochrony danych osobowych Co ASI widzieć powinien..
Czy dane osobowe są informacją szczególną dla Administratora Systemów IT?
Administrator Systemu Informatycznego Zarządza systemem informatycznym jest to zbiór powiązanych ze sobą elementów, którego funkcją jest przetwarzanie danych przy użyciu techniki komputerowej jest wydzieloną, skomputeryzowaną, część systemy informacyjnego Zapewniającym dostępność, poufność, integralność, rozliczalność informacji, autentyczność Zarządza systemem informatycznym przetwarzającym dane osobowe systemie informatycznym - rozumie się przez to zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych (osobowych) Zapewniającym Dostępność, poufność, integralność, rozliczalność informacji
Zapewnienie poufności poufności danych rozumie się przez to właściwość zapewniającą, że dane nie są udostępniane nieupoważnionym podmiotom Na podstawie ustanowionych procedur w organizacji, dobrych praktyk, norm mechanizmy kontroli dostępu systemy antywirusowe urządzenia przenośne - środki ochrony kryptograficznej wobec przetwarzanych danych osobowych hasła, składa się ono co najmniej z 8 znaków, zawiera małe i wielkie litery oraz cyfry lub znaki specjalne kontrolę przepływu informacji pomiędzy systemem informatycznym administratora danych a siecią publiczną; kontrolę działań inicjowanych z sieci publicznej i systemu informatycznego administratora danych
Zapewnienie integralności 1/2 integralności danych rozumie się przez to właściwość zapewniającą, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany; Na podstawie ustanowionych procedur w organizacji, dobrych praktyk, wdrożonych norm Obowiązki wynikające z wymaganej dokumentacji opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi; sposób przepływu danych pomiędzy poszczególnymi systemami ( prawdziwość i aktualność danych) Art. 26. 1. Administrator danych przetwarzający dane powinien ( )zapewnić, aby dane te były: 3) merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane
Zapewnienie integralności 2/2 integralności danych rozumie się przez to właściwość zapewniającą, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany; Obowiązki wynikające z wymaganej dokumentacji opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi; sposób przepływu danych pomiędzy poszczególnymi systemami ( prawdziwość i aktualność danych) Art. 26. 1. Administrator danych przetwarzający dane powinien ( )zapewnić, aby dane te były: 3) merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane
Zapewnienie rozliczalności 1/2 rozliczalności rozumie się przez to właściwość zapewniającą, że działania podmiotu mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi; Na podstawie ustanowionych procedur w organizacji, dobrych praktyk, wdrożonych norm 4) informacji o odbiorcach, w rozumieniu art. 7 pkt 6 ustawy, ( podmioty n.p. umowy o powierzenie do przetwarzania) którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia, ( ); 5) sprzeciwu, o którym mowa w art. 32 ust. 1 pkt 8 ustawy. (wniesienia sprzeciwu wobec przetwarzania jej danych w przypadkach, wymienionych w art. 23 ust. 1 pkt 4 i 5, gdy administrator danych zamierza je przetwarzać w celach marketingowych lub wobec przekazywania jej danych osobowych innemu administratorowi danych, ) Dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym, system zapewnia sporządzenie i wydrukowanie raportu zawierającego w powszechnie zrozumiałej formie informacje, o których mowa w ust. 1.
Zapewnienie rozliczalności 2/2 4) informacji o odbiorcach, w rozumieniu art. 7 pkt 6 ustawy, ( podmioty n.p. umowy o powierzenie do przetwarzania) którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia, ( ); 5) sprzeciwu, o którym mowa w art. 32 ust. 1 pkt 8 ustawy. (wniesienia sprzeciwu wobec przetwarzania jej danych w przypadkach, wymienionych w art. 23 ust. 1 pkt 4 i 5, gdy administrator danych zamierza je przetwarzać w celach marketingowych lub wobec przekazywania jej danych osobowych innemu administratorowi danych, ) Dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym, system zapewnia sporządzenie i wydrukowanie raportu zawierającego w powszechnie zrozumiałej formie informacje, o których mowa w ust. 1.
Usuwanie danych usuwaniu danych - rozumie się przez to zniszczenie danych osobowych lub taką ich modyfikację, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą, Na podstawie ustanowionych procedur w organizacji, dobrych praktyk, wdrożonych norm Art. 26. 1. 4 przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania. Kopie zapasowe: b) usuwa się niezwłocznie po ustaniu ich użyteczności. Urządzenia, dyski lub inne elektroniczne nośniki informacji, zawierające dane osobowe, przeznaczone do: likwidacji,przekazania naprawy pozbawia się wcześniej zapisu tych danych, a w przypadku gdy nie jest to możliwe, uszkadza się w sposób uniemożliwiający ich odczytanie; pozbawia się wcześniej zapisu tych danych w sposób uniemożliwiający ich odzyskanie ( )
Dobre praktyki ODO Współpraca i rozdział odpowiedzialności ASI z Administratorem Bezpieczeństwa Informacji Monitoring nowych projektów i procesów w zakresie ochrony danych osobowych spełnienie wymagań ( wymagania ODO dla nowych systemów już w fazie planowania) Monitorowanie zawartości danych w procesach wymiany informacji z podmiotami trzecimi (wymagania prawne ) Audyt bezpieczeństwa IT i zgodności z ODO przeprowadzony przez niezależny podmiot www.dopk.pl www.standarder.pl