OPUBLIKOWANO: WRZESIEŃ 2015 Prcedury i instrukcje związane z chrną danych sbwych w szkle Opracwali: Aneta Chamczyńska-Penkala, prawnik; Łukasz Zegarek, prawnik, ekspert kancelarii prawnej Lex Artist, specjalizujący się w dziedzinie chrny danych sbwych Pdstawa prawna: Ustawa z dnia 29 sierpnia 1997 r. chrnie danych sbwych (t.j. Dz.U. z 2014 r. pz. 1182 ze zm.), Rzprządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dkumentacji przetwarzania danych sbwych raz warunków technicznych i rganizacyjnych, jakim pwinny dpwiadać urządzenia i systemy infrmatyczne służące d przetwarzania danych sbwych (Dz.U. z 2004 r. Nr 100 pz. 1024), Rzprządzenie Ministra Administracji i Cyfryzacji z dnia 10 grudnia 2014 r. w sprawie wzrów pwłania i dwłania administratra bezpieczeństwa infrmacji (Dz.U z 2015 r. pz. 1934), Rzprządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i spsbu realizacji zadań w celu zapewnienia przestrzegania przepisów chrnie danych przez administratra bezpieczeństwa infrmacji (Dz.U z 2015 r. pz. 745). Administratrem danych sbwych jest szkła reprezentwana przez jej dyrektra. W każdej placówce knieczne jest zastswanie właściwych śrdków technicznych raz rganizacyjnych zapewniających chrnę przetwarzanych danych sbwych, umżliwiających zidentyfikwanie knkretnej sby (np. imię i nazwisk, adres zamieszkania, PESEL). Śrdki te muszą być dpwiednie d zagrżeń raz kategrii danych bjętych chrną, w szczególnści należy zabezpieczyć dane przed ich udstępnieniem sbm nieupważninym, zabraniem, przetwarzaniem z naruszeniem Ustawy chrnie danych sbwych raz zmianą, utratą, uszkdzeniem lub zniszczeniem. Należy przypmnieć, że pd pjęciem przetwarzania danych sbwych rzumie się jakieklwiek peracje wyknywane na danych sbwych, takie jak zbieranie, utrwalanie, przechwywanie, pracwywanie, zmienianie, udstępnianie i usuwanie, a zwłaszcza te, które wyknuje się w systemach infrmatycznych (art. 7 pkt 2 ud.). Zgdnie z art. 36a ust. 1 ud., w szkle mże zstać pwłany administratr bezpieczeństwa infrmacji (ABI). W przypadku jeg niepwłania, administratr danych sam realizuje jeg zadania (art. 36b). Mając na uwadze, że administratrem danych przetwarzanych w szkle jest szkła, t w przypadku braku pwłania ABI-eg t dyrektr, jak pdmit reprezentujący placówkę światwą, będzie wypełniał jeg bwiązki. Zgdnie z art. 36a ust. 5 ud., administratrem bezpieczeństwa infrmacji mże być sba, która spełnia łącznie następujące warunki: ma pełną zdlnść d czynnści prawnych raz krzysta z pełni praw publicznych, psiada dpwiednią wiedzę w zakresie chrny danych sbwych, nie była karana za umyślne przestępstw. Regulacje ustawwe kreślają również pzycję ABI-eg w strukturze administratra danych. Administratr bezpieczeństwa infrmacji pdlega bezpśredni kierwnikwi jednstki, a administratr danych musi mu zapewnić śrdki raz rganizacyjną drębnść, niezbędne d niezależneg wyknywania jeg zadań.
D ustawwych zadań ABI-eg, zgdnie z art.36a ust. 2, należą: zapewnianie przestrzegania przepisów chrnie danych sbwych, w szczególnści przez: sprawdzenie zgdnści przetwarzania danych sbwych z przepisami raz pracwanie w tym zakresie sprawzdania dla administratra danych, nadzrwanie pracwania i aktualizacja dkumentacji chrny danych sbwych, zapewnienie zapznania sób upważninych d przetwarzania danych sbwych z przepisami chrnie danych sbwych; prwadzenie rejestru zbirów danych przetwarzanych przez administratra danych. Administratr danych mże pwierzyć administratrwi bezpieczeństwa infrmacji wyknywanie innych bwiązków, jeżeli nie naruszy t prawidłweg wyknywania zadań, których mwa wyżej. Nic nie sti na przeszkdzie, aby na administratra bezpieczeństwa infrmacji w szkle zstał wyznaczny np. wychwawca. Należy jednak pamiętać, że sba taka musi spełniać kreślne ustaww wymgi raz mieć zapewniną mżliwść realizacji nałżnych na nią przez ud. zadań. T d decyzji dyrektra szkły zależy więc, czy wychwawca będzie w stanie pgdzić bwiązki pedaggiczne i piekuńcze z bwiązkami wynikającymi z pełnienia funkcji administratra bezpieczeństwa infrmacji. Zgdnie z art. 46b ud. administratr danych jest zbwiązany d zgłszenia Generalnemu Inspektrwi Ochrny Danych Osbwych pwłania i dwłania administratra bezpieczeństwa infrmacji w terminie 30 dni d dnia jeg pwłania lub dwłania. Wzór zgłszenia kreślny zstał w Rzprządzeniu Ministra Administracji i Cyfryzacji w sprawie wzrów pwłania i dwłania administratra bezpieczeństwa infrmacji, a GIODO d 26 stycznia 2015 r. prwadzi jawny rejestr administratrów bezpieczeństwa infrmacji. Jak wskazan pwyżej, administratrem bezpieczeństwa infrmacji mże być jeden z pracwników szkły, ale przepisy nie wykluczają zatrudnienia d teg zadania sby z zewnątrz (tzw. utsurcing funkcji ABI-eg). Pwłanie d rli administratra bezpieczeństwa infrmacji pwinn nastąpić w frmie pisemnej. D przetwarzania danych mgą być dpuszczne wyłącznie sby psiadające upważnienie nadane przez administratra danych (art. 37 ww. Ustawy). Chdzi tu nie tylk upważnienie dla sby, która stale zajmuje się przetwarzaniem danych sbwych, ale również dla sby, która ad hc ma się zajmwać danymi, np. serwisant, który usuwa usterkę systemu. Ustawdawca nie wskazał, jaka ma być treść czy frma takieg upważnienia. Jednakże z uwagi na wartść dwdwą zasadne jest, aby miał n frmę pisemną. Dla dyrektra szkły ważne jest, aby upważniana sba pdpisała świadczenie znajmści przepisów chrnie danych sbwych raz zachwaniu w tajemnicy infrmacji, d których ma dstęp. Administratr danych jest bwiązany zapewnić kntrlę nad tym, jakie dane sbwe, kiedy i przez kg zstały wprwadzne d zbiru raz kmu są przekazywane (art. 38). Ustawa nie wskazuje, w jaki spsób ma być prwadzna taka kntrla. Metdy zstały pzstawine administratrwi. Zatem dyrektr przeprwadza kntrlę p t, aby sprawdzić, czy dane są dpwiedni zabezpieczne (np. czy są dpwiedni przechwywane w wersji papierwej w zamkniętych szafach) raz czy nie mają d nich dstępu sby nieuprawnine (czy dstęp d danych infrmatycznych jest zabezpieczny kdami). Ma t przede wszystkim na celu zapbieganie naruszenim raz identyfikwanie sób dpwiedzialnych, jeżeli już d nich djdzie. Inną frmą kntrli jest dknanie przez administratra danych (lub administratra bezpieczeństwa infrmacji, jeżeli zstał pwłany) sprawdzenia zgdnści przetwarzania danych sbwych z przepisami (jedn z wymieninych wyżej ustawwych zadań ABI-eg). Sprawdzenie mże być dknywane:
gdy zwróci się t GIODO (jest t nwa kmpetencja Generalneg Inspektra), cyklicznie, na pdstawie planu sprawdzeń przyjęteg przez szkłę, draźnie, jeżeli administratr danych (lub ABI) uzyska infrmacje wskazujące na występwanie zagrżeń naruszenia chrny danych sbwych. Sprawdzeniem mgą zstać bjęte m.in. zagadnienia dtyczące zasad przetwarzania danych sbwych, realizacji bwiązków dtyczących zgłszenia zbirów danych sbwych d rejestracji GIODO czy też spsbu zabezpieczenia danych sbwych. W ramach czynnści sprawdzających, administratr danych (lub ABI) zbiera dwdy w pstaci dkumentów, dknuje ględzin, czy też zbiera pisemne lub ustne wyjaśnienia. Z dknaneg sprawdzenia przygtwuje się sprawzdanie. Sprawzdanie pracwywane jest niezwłcznie i przekazywane d zapznania dyrektrwi szkły (jeżeli sprawdzenia dknywał ABI). W przypadku sprawzdania ze sprawdzenia dknywaneg na żądanie GIODO, sprządzane jest n w dwóch jednbrzmiących egzemplarzach. Jeden z nich trzymuje dyrektr placówki, a drugi Generalny Inspektr. Szczegółwe infrmacje trybie i spsbie prwadzenia sprawdzeń zawiera Rzprządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i spsbu realizacji zadań w celu zapewnienia przestrzegania przepisów chrnie danych przez administratra bezpieczeństwa infrmacji. Pdbną rlę, mającą na celu kntrlę przetwarzania danych w szkle, spełnia ewidencja sób upważninych d przetwarzania (grmadzenia) danych, która pwinna zawierać: imię i nazwisk sby upważninej, datę nadania i ustania raz zakres upważnienia d przetwarzania danych sbwych, identyfikatr, jeżeli dane są przetwarzane w systemie infrmatycznym. Osby upważnine są bwiązane zachwać w tajemnicy dane sbwe raz spsby ich zabezpieczenia. Śrdki bezpieczeństwa Zgdnie z przepisami Ustawy chrnie danych sbwych, administratr danych musi prwadzić dkumentację pisującą spsób przetwarzania danych raz śrdki zapewniające ich chrnę. Przepis ten nie knkretyzuje, jakie dkładnie śrdki chdzi. Uznać należy, że muszą być ne na tyle dpwiednie, aby były jak najbardziej skuteczne w danej jednstce (np. mnitring, kdy dstępu, systemy kdujące). Chdzi bwiem jak najefektywniejsze zminimalizwanie ewentualnych ujemnych skutków naruszeń raz graniczenie dstępu d danych sób nieuprawninych. Pdejmwane śrdki muszą być dpwiednie d zagrżeń raz kategrii danych. Dlateg też administratr pwinien w szczególnści brać pd uwagę kszty zabezpieczeń, rdzaj chrninych danych raz szkdę, jaka mże pwstać w przypadku dstępu d nich sób nieuprawninych. Dkumentacja Dyrektr szkły musi psiadać pisemną dkumentację zawierającą pis spsbu przetwarzania danych raz śrdków technicznych i rganizacyjnych zapewniających chrnę danych. Są t: plityka bezpieczeństwa, instrukcja zarządzania systemem infrmatycznym służącym d przetwarzania danych sbwych. Dkumentacja ta zstała kreślna w Rzprządzeniu w sprawie dkumentacji przetwarzania danych sbwych raz warunków technicznych i rganizacyjnych, jakim pwinny dpwiadać urządzenia i systemy infrmatyczne służące d przetwarzania danych sbwych.
Plityka bezpieczeństwa Zgdnie z 4 wskazaneg Rzprządzenia, plityka bezpieczeństwa zawiera w szczególnści: wykaz budynków, pmieszczeń lub części pmieszczeń, twrzących bszar, w którym przetwarzane są dane sbwe, wykaz zbirów danych sbwych wraz ze wskazaniem prgramów zastswanych d przetwarzania tych danych, spsób przepływu danych pmiędzy pszczególnymi systemami (np. pmiędzy prgramem kadrwym i płacwym), kreślenie śrdków technicznych i rganizacyjnych niezbędnych dla zapewnienia pufnści, integralnści i bliczalnści przetwarzanych danych. Pmcne w pracwaniu teg dkumentu dla danej placówki mgą być stwrzne przez Generalneg Inspektra Ochrny Danych Osbwych wytyczne w zakresie pracwania i wdrżenia plityki bezpieczeństwa, umieszczne na strnie internetwej http://www.gid.gv.pl. Instrukcja zarządzania systemem infrmatycznym służącym d przetwarzania danych sbwych D sprządzenia teg dkumentu zbwiązani są jedynie ci administratrzy danych, którzy przetwarzają dane sbwe w systemie infrmatycznym. Jeśli dane przetwarzane są w frmie papierwej, takiej kniecznści nie ma. Zgdnie z 5 ww. Rzprządzenia, wskazany dkument pwinien zawierać w szczególnści: prcedury nadawania uprawnień d przetwarzania danych i rejestrwania tych uprawnień w systemie infrmatycznym raz wskazanie sby dpwiedzialnej za te czynnści, stswane metdy i śrdki uwierzytelnienia raz prcedury związane z ich zarządzaniem i użytkwaniem, prcedury rzpczęcia, zawieszenia i zakńczenia pracy przeznaczne dla użytkwników systemu, prcedury twrzenia kpii zapaswych zbirów danych raz prgramów i narzędzi prgramwych służących d ich przetwarzania, spsób, miejsce i kres przechwywania elektrnicznych nśników infrmacji zawierających dane sbwe i kpii zapaswych. Pmc d sprządzenia instrukcji mgą stanwić wskazówki pracwane przez GIODO dtyczące spsbu pracwania instrukcji kreślającej spsób zarządzania systemem infrmatycznym, służącym d przetwarzania danych sbwych, ze szczególnym uwzględnieniem wymgów bezpieczeństwa infrmacji (www.gid.gv.pl). Z uwagi na specyfikę systemów infrmatycznych wydaje się jednak zasadne, aby mówine dkumenty były pracwane przez sbę/firmę, która psiada specjalistyczną wiedzę z zakresu infrmatyki i systemów bezpieczeństwa. Pzimy bezpieczeństwa Wymgi stawiane przed dyrektrem szkły, jak sbą reprezentującą administratra danych, zstały zróżnicwane pprzez wskazanie tzw. pzimów bezpieczeństwa przetwarzania danych sbwych, birąc pd uwagę kategrię przetwarzanych danych raz zagrżenia związane z ich przetwarzaniem ( 6 Rzprządzenia). Wydrębnin zatem: pzim pdstawwy, który stsuje się, gdy w systemie infrmatycznym nie są przetwarzane dane wrażliwe (dtyczące np. pchdzenia rasweg, pglądów plitycznych, wyrków sądu, życia
seksualneg) raz żadne z urządzeń systemu infrmatyczneg, służąceg d przetwarzania danych sbwych, nie jest płączne z siecią publiczną, pzim pdwyższny, który stsuje się, gdy w systemie infrmatycznym przetwarzane są dane sbwe wrażliwe raz żadne z urządzeń systemu infrmatyczneg, służąceg d przetwarzania danych sbwych, nie jest płączne z siecią publiczną, pzim wyski, który stsuje się, gdy przynajmniej jedn urządzenie systemu infrmatyczneg, służąceg d przetwarzania danych sbwych, płączne jest z siecią publiczną. Opis śrdków bezpieczeństwa stswany na tych pzimach kreśla załącznik d mawianeg Rzprządzenia. Na pzimie pdstawwym mżna wskazać kniecznść zmiany hasła użytkwnika psiadająceg dstęp d danych nie rzadziej niż c 30 dni, a hasł musi się składać c najmniej z sześciu znaków. Na pzimie pdwyższnym, w przypadku gdy d uwierzytelniania użytkwników używa się hasła, składa się n c najmniej z śmiu znaków, zawiera małe i wielkie litery raz cyfry lub znaki specjalne. Natmiast na pzimie wyskim administratr danych stsuje śrdki kryptgraficznej chrny wbec danych wykrzystywanych d uwierzytelnienia, które są przesyłane w sieci publicznej. Zatem w zależnści d rdzaju psiadanych danych sbwych administratr stsuje dpwiednie dla daneg pzimu śrdki bezpieczeństwa. Należy również wskazać, że dla każdej sby (nauczyciela, ucznia), której dane sbwe są przetwarzane w systemie infrmatycznym zapewnia się dntwanie m.in.: daty pierwszeg wprwadzenia danych d systemu, identyfikatra użytkwnika wprwadzająceg dane sbwe d systemu, chyba że dstęp d systemu infrmatyczneg i przetwarzanych w nim danych psiada wyłącznie jedna sba, źródła danych w przypadku zbierania ich nie d sby, której ne dtyczą. Należy przyjąć, że w przypadku zatrudnienia pracwnika lub firmy, pmieszczenia, w których przechwywane są dane, a także warunki dstępu d danych przez sby trzecie pwinny być uprzedni sprawdzne przez administratra danych. Kntrla Generalneg Inspektra Ochrny Danych Osbwych (GIODO) Realizacja prawidłweg wyknania zadań dyrektra z zakresu administracji danymi sbwymi pdlega kntrli Generalneg Inspektra Ochrny Danych Osbwych. Upważnieni d kntrli inspektrzy GIODO mają praw wstępu d pmieszczeń, w których przechwywane są dane sbwe, mgą ni żądać pisemnych lub ustnych wyjaśnień raz dknywać ględzin urządzeń czy nśników infrmatycznych, na których zapisane są dane. Jeżeli stwierdzne zstaną nieprawidłwści, wówczas inspektrzy mgą w drdze decyzji administracyjnej, np. zażądać zastswania ddatkwych zabezpieczeń (art. 18 Ustawy chrnie danych sbwych). W przypadku, gdy dyrektr szkły lub jeg pracwnik nie dpełnia ciążących bwiązków związanych z przetwarzaniem danych sbwych (np. udstępni dane sbwe sbm nieupważninym), mże być pciągnięta d dpwiedzialnści karnej przewidzianej w art. 51 i 52 Ustawy chrnie danych sbwych.