Podobne dokumenty
CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r.

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI (1) z dnia 29 kwietnia 2004 r.

Jakie są podstawowe obowiązki wynikające z ustawy o ochronie danych osobowych?

POLITYKA BEZPIECZEŃSTWA

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI

Polityka Bezpieczeństwa Danych Osobowych. w sklepie internetowym kozakominek.pl prowadzonym przez firmę Worldflame Sp. z o. o.

ZARZĄDZENIE Nr 15/13 WÓJTA GMINY ŚWIĘTAJNO z dnia 16 kwietnia 2013 r.

PolGuard Consulting Sp.z o.o. 1

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM PRZETWARZAJĄCYM DANE OSOBOWE W FIRMIE

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SZKOLE PODSTAWOWEJ W CHRUŚLINIE

POLITYKA BEZPIECZEŃSTWA

POLITYKA BEZPIECZEŃSTWA SYSTEMÓW INFORMATYCZNYCH SŁUŻĄCYCH DO PRZETWARZNIA DANYCH OSOBOWYCH W URZĘDZIE GMINY DĄBRÓWKA

ADMINISTRACJI z dnia 1 września 2017 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych

PARTNER.

INSTRUCKJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

Jak zorganizować szkolną infrastrukturę informatyczną (sieć informatyczną) Tadeusz Nowik

Polityka bezpieczeństwa informacji

POLITYKA BEZPIECZEŃSTWA INFORMACJI w MYFUTURE HOUSE SP. Z O.O.

POLITYKA BEZPIECZEŃSTWA INFORMACJI W KANCELARII ADWOKACKIEJ DR MONIKA HACZKOWSKA

Bezpieczeństwo informacji. Opracował: Mariusz Hoffman

Ochrona danych osobowych w biurach rachunkowych

POLITYKA BEZPIECZEŃSTWA INFORMACJI CENTRUM FOCUS ON GRZEGORZ ŻABIŃSKI. Kraków, 25 maja 2018 roku

POLITYKA BEZPIECZEŃSTWA INFORMACJI

Polityka Bezpieczeństwa w zakresie przetwarzania danych osobowych

POLITYKA BEZPIECZEŃSTWA INFORMACJI

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl

Marcin Soczko. Agenda

2. Dane osobowe - wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej;

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM PRZETWARZAJĄCYM DANE OSOBOWE W FIRMIE

POLITYKA BEZPIECZEŃSTWA INFORMACJI w KANCELARII ADWOKACKIEJ AGNIESZKA PODGÓRSKA-ZAETS. Ul. Sienna 57A lok Warszawa

wraz z wzorami wymaganej prawem dokumentacją

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

Polityka bezpieczeństwa informacji w Fundacji UPGRADE POLITYKA BEZPIECZEŃSTWA INFORMACJI. Fundacja UPGRADE. ulica Deszczowa Gdynia

Ochrona Danych Osobowych

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM służącym do przetwarzania danych osobowych w Urzędzie Gminy Ostaszewo.

POLITYKA BEZPIECZEŃSTWA INFORMACJI. Heksagon sp. z o.o. z siedzibą w Katowicach. (nazwa Administratora Danych)

Polityka bezpieczeństwa przetwarzania danych osobowych w VII L.O. im. Juliusza Słowackiego w Warszawie.

POLITYKA BEZPIECZEŃSTWA

Bezpieczeństwo teleinformatyczne danych osobowych

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

Katarzyna Sadło. Ochrona danych osobowych w organizacjach pozarządowych. Kraków, 13 grudnia (stan obecny)

Bezpieczeństwo danych osobowych listopada 2011 r.

Uwaga przypominamy o obowiązkach związanych z ochroną danych osobowych w praktyce lekarskiej i dentystycznej.

POLITYKA BEZPIECZEŃSTWA INFORMACJI

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

Obowiązki lekarza, lekarza dentysty wykonującego działalność leczniczą w ramach praktyki zawodowej związane z ochroną danych osobowych

administratora systemów informatycznych w Urzędzie Gminy i Miasta Proszowice NIE

Przykładowy wykaz zbiorów danych osobowych w przedszkolu

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W OŚRODKU KULTURY W DRAWSKU POMORSKIM

POLITYKA BEZPIECZEŃSTWA

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH w przedsiębiorstwie QBL Wojciech Śliwka Daszyńskiego 70c, Ustroń

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH WRAZ Z INSTRUKCJA ZARZĄDZANIA ZINTEGROWANĄ PLATFORMĄ ELF24

Ochrona danych osobowych w systemie rachunkowości. Wpisany przez Rafał Rydzak

Bezpieczne dane - dobre praktyki w szkole. Roman Pinoczek Dyrektor Szkoły

Polityka bezpieczeństwa przeznaczona dla administratora danych, który nie powołał administratora bezpieczeństwa informacji

Polityka Bezpieczeństwa Danych Osobowych wraz z Instrukcją zarządzania systemem informatycznym przetwarzającym dane osobowe

ZARZĄDZENIE NR 100/2015 WÓJTA GMINY STEGNA. z dnia 16 czerwca 2015 r.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

a) po 11 dodaje się 11a 11g w brzmieniu:

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH W STOWARZYSZENIU PRACOWNIA ROZWOJU OSOBISTEGO

Polityka bezpieczeństwa. przetwarzania danych osobowych. w Urzędzie Miejskim w Węgorzewie

Polityka prywatności wraz z instrukcją

Samodzielnym Publicznym Szpitalu Klinicznym Nr 1 im. Prof. Stanisława Szyszko w Zabrzu Śląskiego Uniwersytetu Medycznego w Katowicach

Polityka bezpieczeństwa ochrony danych osobowych i zarządzania systemem informatycznym w POYADE Group Poland sp. z o.o.

POLITYKA BEZPIECZEŃSTWA. w spółce W.EG Polska sp. z o.o. z siedzibą we Wrocławiu

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH W FUNDACJI CENTRUM IMIENIA PROF. BRONISŁAWA GEREMKA

Jak przetwarzać dane sensytywne zgodnie z RODO w gabinecie lekarskim 1

OCHRONA DANYCH OSOBOWYCH W BIBLIOTECE J U S T Y N A J A N K O W S K A

2. Dane osobowe - wszelkie informacje, w tym o stanie zdrowia, dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej

POLITYKA BEZPIECZEŃSTWA INFORMACJI W MELACO SP. Z O.O.

Załącznik Nr 2 do ZARZĄDZENIA NR 568/2016 PREZYDENTA MIASTA SOPOTU z dnia 12 maja 2016 r. INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

26 listopada 2015, Warszawa Trusted Cloud Day Spotkanie dla tych, którzy chcą zaufać chmurze

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH. Rozdział I Postanowienia wstępne.

Rodzaje danych (informacji) m.in.: Podmioty przetwarzające dane: podmioty publiczne, podmioty prywatne.

Załącznik nr 2 Opis wdrożonych środków organizacyjnych i technicznych służących ochronie danych osobowych

POLITYKA BEZPIECZEŃSTWA w Gimnazjum nr 1 w Żarach. Podstawa prawna

Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Urzędzie Miasta Lublin

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM W ADCONNECT SP. Z O.O. SP. K.

Zadania Administratora Systemów Informatycznych wynikające z przepisów ochrony danych osobowych. Co ASI widzieć powinien..

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH Michał Serzycki D E C Y Z J A. DIS/DEC - 652/21890/10 dot. DIS-K-421/29/10

ZAŁĄCZNIK NR 1. Komentarz do Instrukcji:

ZARZĄDZENIE NR 120/38/15 PREZYDENTA MIASTA TYCHY. z dnia 30 kwietnia 2015 r.

Instrukcja Zarządzania Systemem Informatycznym. załącznik nr 13 do Polityki. Bezpieczeństwa Informacji Ośrodka Pomocy Społecznej w Starym Sączu

Instrukcja Zarządzania Systemem Informatycznym

POLITYKA BEZPIECZEŃSTWA. Wykaz zbiorów danych oraz programów zastosowanych do przetwarzania danych osobowych.

Załącznik numer 1 do Instrukcji Zarządzania Systemem Informatycznym Załącznik numer 1 do Instrukcji Zarządzania Systemem Informatycznym

Załącznik do zarządzenia nr16 /2010 Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych

ZASADY PRZETWARZANIA I OCHRONY DANYCH OSOBOWYCH NA UCZELNIACH WYŻSZYCH

Instrukcja zarządzania systemem informatycznym STORK Szymon Małachowski

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH STOWARZYSZENIE RODZICÓW DZIECI Z WRODZONĄ PRZEPUKLINĄ PRZEPONOWĄ I INNYMI WADAMI WRODZONYMI

Przykładowy wzór Wystąpienia GIODO dotyczy zastosowanych środków bezpieczeństwa* Wystąpienie o dokonanie sprawdzenia

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ ODJ KRAKÓW

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

PRZETWARZANIE DANYCH OSOBOWYCH KLIENTÓW PRZEZ SERWISY SPRZĘTU AGD Agnieszka Wiercińska-Krużewska 15 września 2016 r.

II Lubelski Konwent Informatyków i Administracji r.

Dotyczy komputera przetwarzającego dane osobowe w ramach podsystemu PEFS.

Przetwarzanie danych osobowych w przedsiębiorstwie

POLITYKA BEZPIECZEŃSTWA

Ustawa o ochronie danych osobowych po zmianach

Transkrypt:

Szyfrowanie danych konieczność, czy rozsądek? 07/2016 autor dr Kamil Galicki Zabezpieczanie wszelkich danych, w tym cennych danych organizacji, a w szczególności bezpieczeństwa informacji wrażliwych wydaje się oczywistym obowiązkiem, tymczasem mimo regulacji prawnych, czy procedur wewnętrznych firm zależy to ostatecznie - jak większość kwestii - od ludzi. Mamy do czynienia z dwoma rodzajami użytkowników takimi, którzy kopie danych (tzw. backup) robią regularnie (w przeważającej większości na zewnętrzne dyski twarde lub pamięci zewnętrzne) oraz tymi, którzy tego nie robią pomimo świadomości konsekwencji dla organizacji, odpowiedzialności, w tym karnej, w stosunku do osób mających obowiązek ochrony danych. Jak zapewnić, aby kopie danych były bezpieczne - nie tylko fizycznie np. przed zniszczeniem, czy uszkodzeniem nośnika lub utratą danych, ale jednocześnie chronione przed dostępem do informacji osób nieupoważnionych? W tym celu poza wyborem optymalnej metody wykonywania kopii danych konieczne, a wręcz niezbędne jest ich szyfrowanie. Każda firma, czy podmiot instytucjonalny powinien zabezpieczać wykonane kopie poprzez szyfrowanie - wynika to wprost z regulacji prawnych. Bez regularnej realizacji szyfrowanych kopii, dane w każdej postaci (w tym ważne i wrażliwe) można bezpowrotnie i bez możliwości ich odzyskania utracić. Niezależnie od tego gdzie oraz w jaki sposób dokonywane są kopie danych warto, aby były one zaszyfrowane przy wykorzystaniu metod kryptograficznych o odpowiednim poziomie skomplikowania, wiarygodności i niezawodności. Wymaga podkreślenia, że szyfrowaniu powinny podlegać również dane znajdujące się na urządzeniach przenośnych, których ryzyko utraty (w szczególności przez kradzież) jest znacząco wyższe niż w przypadku rozwiązań stacjonarnych. Dane wrażliwe, czy o krytycznym znaczeniu bezsprzecznie zawsze powinny być szyfrowane. Kryptograficzna ochrona danych jest bowiem jedyną gwarancją, że nawet w przypadku uzyskania do nich dostępu przez osobę niepowołaną, pozostaną bezpieczne. Skoro nawet w codziennym przetwarzaniu, czy przesyłaniu dane są kodowane, tym bardziej kopie powinny podlegać szyfrowaniu. Wniosek jest oczywisty dane muszą być zaszyfrowywane w sposób skuteczny i ciągły. Obecnie wciąż popularną praktyką jest przechowywanie na dysku twardym lub w pamięci urządzenia

informacji wrażliwych, stanowiących tajemnicę przedsiębiorstwa, czy też poufnych, przedstawiających zasadniczą wartość, a których ujawnienie mogłoby mieć szeroko rozumiane negatywne skutki. W takich przypadkach niezbędne jest zastosowanie nowoczesnych metod kryptograficznej ochrony danych. Przy wykorzystaniu odpowiednich narzędzi, metod kryptograficznych o odpowiednim poziomie innowacyjności, dbamy przede wszystkim o bezpieczeństwo, co ma znaczenie również w kontekście certyfikacji, czy procesów ciągłości działania. Przechowywanie kopii danych poza lokalizacją macierzystą Tradycyjnie punktem wyjścia dla ochrony danych jest przechowywanie kopii poza lokalizacją, w której na co dzień dane są generowane, czy przetwarzane. Niesie to za sobą pewne konkretne ryzyka związane logistyką, zaangażowaniem osób trzecich oraz kwestiami przywrócenia w przyszłości danych w odpowiednim momencie. Szyfrowanie kopii danych wydaje się więc naturalnym rozwiązaniem umożliwia to ich bezpieczny transport i przechowywanie zakładając oczywiście, że hasła lub klucze szyfrujące są przechowywane osobno w stosunku do samych danych. Jeżeli dołożymy do szyfrowania możliwość przechowywania danych w chmurze, otrzymamy jeszcze bardziej kompleksowe rozwiązanie - zaszyfrowane kopie, których treść jest niedostępna dla potencjalnego atakującego, a które jednocześnie są dostępne (bez konieczności ich transportu) w sposób bezpośredni, co umożliwia szybsze i sprawniejsze odzyskiwanie danych (tzw. recovery ), w przypadku zaistnienia takiej potrzeby. Czynnik czasu jest krytyczny w przypadku konieczności odzyskania danych. Warto zwrócić uwagę, że istotny jest wybór odpowiednich narzędzi szyfrowania, aby zminimalizować czas fazy recovery i usprawnić ten proces. Przy dzisiejszych metodach kryptograficznych ( ) osoba, która przejmie nad dyskiem kontrolę, bo na przykład ukradnie nam sprzęt, nie będzie w stanie dotrzeć do zapisanych tam danych. ( ) szyfrowanie danych na twardych dyskach, czy pendrivach jest absolutnie konieczne. W przeciwnym przypadku możemy być współodpowiedzialni za utratę danych osobowych. dr Wojciech Rafał Wiewiórowski, Generalny Inspektor Ochrony Danych Osobowych, w latach 2010-2014 Niestety według oficjalnych danych niemal co druga polska firma nie szyfruje danych na swoich laptopach, czy urządzeniach mobilnych czy regulacje prawne zabezpieczające tak ważne kwestie jak

bezpieczeństwo danych, co bezpośrednio ma wpływ również na bezpieczeństwo infrastruktury krytycznej jest satysfakcjonujące? Z przeprowadzonego badania wynika, że potrzeba zmian jest duża. Czy według Pana/Pani powinny zostać wprowadzone w przyszłości zmiany w zapisach Narodowego Programu Ochrony Infrastruktury Krytycznej, w celu zwiększenia jego efektywności? Raczej nie; 10; 10% Zdecydowanie tak; 16; 16% Zdecydowanie tak Raczej tak; 41; 41% Raczej tak Trudno powiedzieć Trudno powiedzieć; 33; 33% Raczej nie Źródło: Opracowanie własne na podstawie badania przeprowadzonego na próbie 1000 osób pracujących w obszarach związanych infrastrukturą techniczną. Konieczność szyfrowania danych przechowywanych na dysku twardym lub w pamięci urządzenia wynika wprost z regulacji prawnych Szyfrowanie każdego komputera zawierającego dane osobowe wynoszonego poza siedzibę firmy. Osoba użytkująca komputer przenośny zawierający dane osobowe zachowuje szczególna ostrożność podczas jego transportu, przechowywania i użytkowania poza obszarem, o którym mowa w 4 pkt 1 rozporządzenia i, w tym stosuje środki ochrony kryptograficznej wobec przetwarzanych danych osobowych. Na konieczność właściwego zabezpieczenia danych wskazują dobre praktyki bezpieczeństwa przedstawicieli zawodów przetwarzających wrażliwe dane np. lekarzy, ubezpieczycieli i adwokatów. 19 ust. 5 Kodeksu etyki adwokackiej: Adwokat posługujący się w pracy zawodowej komputerem lub innymi środkami elektronicznego utrwalania danych obowiązany jest stosować oprogramowanie i inne środki zabezpieczające dane przed ich niepowołanym ujawnieniem.

Szyfrowanie staje się coraz ważniejszą bronią w arsenale ochrony bezpieczeństwa informacji. Musi ono stanowić uzupełnienie dla tradycyjnych narzędzi bezpieczeństwa jak np. firewall. Tam gdzie tradycyjne systemy bezpieczeństwa zawodzą szyfrowanie uchroni dane przed ich odczytaniem przez osoby niepowołane. Regulacje prawne pomagają, czy szkodzą? Za ww. rozwiązaniami technologicznymi powinny nadążać regulacje prawne, odzwierciedlające współczesne uwarunkowania technologiczne i globalne przetwarzania danych osobowych. Niestety nie obejmują one m.in. kwestii przetwarzania danych w chmurze obliczeniowej, tym samym nie zapewniając bezpieczeństwa operacji przetwarzania danych osobowych. Niezależnie od braku nowoczesnych regulacji dotyczących wymogów technicznych i organizacyjnych podmioty przetwarzające dane osobowe są zobowiązane do ciągłego monitorowania i oceniania pojawiających się zagrożeń. Monitoringowi podlega również skuteczność zastosowanych środków przeciwdziałania zagrożeniom. Konieczność weryfikacji i zmian zabezpieczeń zależna jest więc od dynamicznie zmieniających się uwarunkowań. Zgodnie z definicją zawartą w art. 6 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922) za dane osobowe uważane są wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Podmiot dokonujący w ramach swojej działalności zarobkowej, zawodowej lub dla realizacji celów statutowych, takie czynności jak zbieranie, utrwalanie, przechowywanie, udostępnianie, zmienianie oraz usuwanie danych osobowych (przetwarzanie danych osobowych), traktowany jest jako administrator danych osobowych (vide art. 7 pkt 4 ustawy o ochronie danych osobowych). Przepisy ustawy o ochronie danych osobowych w art. 36 nakładają na administratora obowiązek prowadzenia dokumentacji zawierającej opis sposobu przetwarzania danych oraz środków technicznych i organizacyjnych zapewniających im ochronę. Zgodnie z art. 36 ustawy o ochronie danych osobowych administrator danych ma obowiązek zabezpieczenia danych m.in. przed ich nieuprawnionym ujawnieniem. W razie przesyłania danych metodą teletransmisji przy użyciu sieci publicznej zawsze istnieje możliwość przejęcia przesyłanych danych przez osobę nieuprawnioną. Istnieje również niebezpieczeństwo ich nieuprawnionej zmiany, uszkodzenia lub zniszczenia. Niezbędne jest zatem zastosowanie odpowiednich zabezpieczeń, które

ochronią przesyłane dane. O tym, jakie środki należy zastosować, administrator powinien zdecydować samodzielnie, uwzględniając ryzyka związane z tego typu działaniami. Uzupełnieniem regulacji ustawowych jest akt wykonawczy wydany na podstawie art. 39 c ustawy o ochronie danych osobowych, definiujący podstawowe, można by powiedzieć minimalne wymogi techniczne oraz organizacyjne, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Obecnie obowiązujące rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024) wskazuje na konieczność posiadania stosownej dokumentacji opisującej sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną. Ww. akt normatywny określa również sposób prowadzenia tejże dokumentacji. Zgodnie z 3 rozporządzenia na dokumentację, która powinna być prowadzona w formie pisemnej, składają się między innymi polityka bezpieczeństwa oraz instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. Polityka bezpieczeństwa to dokument opisujący cele i zasady zabezpieczenia danych - powinien zawierać w szczególności: wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe, wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych, opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi, sposób przepływu danych między poszczególnymi systemami oraz określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych. Z kolei instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, powinna określać między innymi: procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności, stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem, procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu, procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania, sposób, miejsce

i okres przechowywania zarówno elektronicznych nośników informacji zawierających dane osobowe, jak i kopii zapasowych, sposób zabezpieczenia systemu informatycznego przed działalnością złośliwego oprogramowania oraz procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych. Przepisy rozporządzenia wskazują na konieczność szyfrowania ( środki ochrony kryptograficznej ). Rozporządzenie o nim wspomina w trzech punktach, tj. V, IX oraz XIII. W pkt V zwraca się uwagę, że dane osobowe przetwarzane na komputerach przenośnych należy szyfrować, o ile jest on transportowany poza obszar przetwarzania danych osobowych. Osoba użytkująca komputer przenośny zawierający dane osobowe zachowuje szczególną ostrożność podczas jego transportu, przechowywania i użytkowania poza obszarem, o którym mowa w 4 pkt 1 rozporządzenia, w tym stosuje środki ochrony kryptograficznej wobec przetwarzanych danych osobowych. Stosowanie środków kryptograficznych na urządzeniach mobilnych jest wiec koniecznością. Dane osobowe, które są transportowane poza obszar należy zabezpieczać w sposób zapewniający poufność i integralność danych do tego celu często stosuje się szyfrowanie, które zapewnia odpowiedni poziom zabezpieczenia i ochrony. Urządzenia i nośniki zawierające dane osobowe, o których mowa w art. 27 ust. 1 ustawy o ochronie danych osobowych, przekazywane poza obszar, o którym mowa w 4 pkt 1 rozporządzenia, zabezpiecza się w sposób zapewniający poufność i integralność tych danych - czyli warunkiem sine qua non jest korzystanie ze środków umożliwiających szyfrowanie transmisji przesyłu. Szyfruje się również dane wykorzystywane do logowania. Najczęściej identyfikatora (loginu) i hasła - jeśli te dane przesyłane są przez np. internet, to należy je przesyłać zaszyfrowane. Administrator danych stosuje ponadto środki kryptograficznej ochrony wobec danych wykorzystywanych do uwierzytelnienia, które są przesyłane w sieci publicznej. Reasumując, z powyższego nasuwa się wniosek, iż sposób ochrony danych osobowych jest uzależniony od stopnia zaawansowania technologicznego działalności podmiotu przetwarzającego dane osobowe. De facto podmioty przetwarzające dane osobowe są pozostawione same sobie w zakresie budowania systemu ochrony danych, w oparciu o regulacje prawne, które nie są dostosowane do postępu technologicznego (wskazują jedynie minimalne wymagania systemowe) i w taki sposób, aby uniknąć sankcji za naruszenie przepisów ustawy o ochronie danych osobowych.

Administrator danych osobowych odpowiada za skuteczność zabezpieczeń karnie, natomiast za stosowanie minimalnych środków ochrony administracyjnie Wskazane w ustawie w art. 51 i art. 52, kary, dotyczą kwestii: udostępniania danych osobowych osobom nieupoważnionym: Art. 51.1. Kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. 2. Jeżeli sprawca działa nieumyślnie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. ; naruszenia obowiązku zabezpieczenia danych osobowych: Art. 52. Kto administrując danymi narusza choćby nieumyślnie obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.. W zakresie odpowiedzialności administracyjnej podmiot przetwarzający dane może być ukarana karą grzywny, jednakże: każdorazowo nałożona grzywna nie może przekraczać kwoty 10 000 zł, a w stosunku do osób prawnych i jednostek organizacyjnych nieposiadających osobowości prawnej kwoty 50 000 zł.; grzywny nakładane wielokrotnie nie mogą łącznie przekroczyć kwoty 50 000 zł, a w stosunku do osób prawnych oraz jednostek organizacyjnych nieposiadających osobowości prawnej kwoty 200 000 zł. i pkt V Załącznika A (Środki bezpieczeństwa na poziomie podstawowym) do Rozporządzenia MSWiA z dnia 29 kwietnia 2004 r. (Dz.U.2004.100.1024)

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres