Ochrona danych osobowych w informatyce

Podobne dokumenty
Ochrona danych osobowych w informatyce

Katarzyna Sadło. Ochrona danych osobowych w organizacjach pozarządowych. Kraków, 13 grudnia (stan obecny)

Bezpieczeństwo teleinformatyczne danych osobowych

Przetwarzanie danych osobowych w przedsiębiorstwie

Jakie są podstawowe obowiązki wynikające z ustawy o ochronie danych osobowych?

II Lubelski Konwent Informatyków i Administracji r.

POLITYKA BEZPIECZEŃSTWA w Gimnazjum nr 1 w Żarach. Podstawa prawna

ELEKTRONICZNA DOKUMENTACJA MEDYCZNA, A OCHRONA DANYCH OSOBOWYCH. dr Piotr Karniej Uniwersytet Medyczny we Wrocławiu

Szkolenie podstawowe z ustawy o ochronie danych osobowych dla wolontariuszy świadczących pomoc na rzecz podopiecznych Ośrodka Pomocy Społecznej

OCHRONA DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ MSZCZONOWSKA. Łukasz Zegarek 29 listopada 2016 r.

ZARZĄDZENIE Nr 15/13 WÓJTA GMINY ŚWIĘTAJNO z dnia 16 kwietnia 2013 r.

Ochrona danych osobowych

ZGŁOSZENIE ZBIORU DANYCH DO REJESTRACJI GENERALNEMU INSPEKTOROWI OCHRONY DANYCH OSOBOWYCH

ZGŁOSZENIE ZBIORU DANYCH DO REJESTRACJI GENERALNEMU INSPEKTOROWI OCHRONY DANYCH OSOBOWYCH

Regulamin ochrony danych osobowych w Spółdzielni Budowlano Mieszkaniowej Powiśle w Warszawie

Polityka Prywatności portalu 1. Postanowienia ogólne

POLITYKA BEZPIECZEŃSTWA INFORMACJI URZĘDU GMINY W KIKOLE

Jak stworzyć sprawny system ochrony danych osobowych? Łukasz Zegarek, ekspert ds. ochrony danych osobowych

Rodzaje danych (informacji) m.in.: Podmioty przetwarzające dane: podmioty publiczne, podmioty prywatne.

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

Dane osobowe w data center

ZARZĄDZENIE NR 473/2015 PREZYDENTA MIASTA KIELCE. z dnia 29 grudnia 2015 r.

wraz z wzorami wymaganej prawem dokumentacją

WZÓR ZGŁOSZENIE ZBIORU DANYCH DO REJESTRACJI GENERALNEMU INSPEKTOROWI OCHRONY DANYCH OSOBOWYCH

Jak zorganizować szkolną infrastrukturę informatyczną (sieć informatyczną) Tadeusz Nowik

Bezpieczeństwo informacji. Opracował: Mariusz Hoffman

Program ochrony danych osobowych na poziomie LGR. radca prawny Jarosław Ornicz

danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 i Nr 153, poz oraz z 2004 r. Nr 25, poz. 219 i Nr 33, poz. 285),

REGULAMIN ZASAD OCHRONY DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ ODJ W KRAKOWIE

POLITYKA BEZPIECZEŃSTWA

Organizacja środowiska pracy dla Administratora Bezpieczeństwa Informacji


Podstawowe obowiązki administratora danych osobowych

Szkolenie. Ochrona danych osobowych

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH STOWARZYSZENIE RODZICÓW DZIECI Z WRODZONĄ PRZEPUKLINĄ PRZEPONOWĄ I INNYMI WADAMI WRODZONYMI

SYSTEM OCHRONY DANYCH OSOBOWYCH W PRZEDSIĘBIORSTWIE INFORMACJE OGÓLNE

INSTRUCKJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

1 z :46

Zarządzenie Nr 623/ ABI/ 2016 Prezydenta Miasta Słupska z dnia 16 sierpnia 2016 r.

Zarządzenie Nr 224/ ABI/ 2016 Prezydenta Miasta Słupska z dnia 6 kwietnia 2016 r.

ZASADY PRZETWARZANIA I OCHRONY DANYCH OSOBOWYCH NA UCZELNIACH WYŻSZYCH

PRAWNE UWARUNKOWANIA WYKORZYSTANIA DANYCH INDYWIDUALNYCH W CELU EWALUACJI POLITYKI ZATRUDNIENIA W POLSCE

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI (1) z dnia 29 kwietnia 2004 r.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM służącym do przetwarzania danych osobowych w Urzędzie Gminy Ostaszewo.

Zbiór danych osobowych Skargi, wnioski, podania

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r.

Określa się wzór zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych, stanowiący załącznik do rozporządzenia.

Ochrona Danych Osobowych

Instrukcja zarządzania RODO. w Liceum Ogólnokształcącym im. Komisji Edukacji Narodowej w Gogolinie

PARTNER.

Jak zidentyfikować zbiór danych osobowych w swojej firmie?

Obowiązki ADO. Zasady przetwarzania danych osobowych. Jarosław Żabówka IV Internetowe Spotkanie ABI

PROCEDURA POLITYKI BEZPIECZEŃSTWA I OCHRONY DANYCH OSOBOWYCH OBOWIĄZUJĄCA W ZESPOLE SZKÓŁ NR 1 W WODZISŁAWIU ŚLĄSKIM

Polityka bezpieczeństwa przeznaczona dla administratora danych, który nie powołał administratora bezpieczeństwa informacji

i częstotliwość tworzenia kopii, zasady sprawdzania obecności wirusów komputerowych oraz dokonywania przeglądów i konserwacji systemów.

Obowiązki lekarza, lekarza dentysty wykonującego działalność leczniczą w ramach praktyki zawodowej związane z ochroną danych osobowych

26 listopada 2015, Warszawa Trusted Cloud Day Spotkanie dla tych, którzy chcą zaufać chmurze

administratora systemów informatycznych w Urzędzie Gminy i Miasta Proszowice NIE

URZĄD MIASTA ZIELONA GÓRA PLAN SPRAWDZEŃ ZGODNOŚCI PRZETWARZANIA DANYCH OSOBOWYCH Z PRZEPISAMI O OCHRONIE DANYCH OSOBOWYCH

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI (1) z dnia 29 kwietnia 2004 r.

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH

PROCEDURA POLITYKI BEZPIECZEŃSTWA I OCHRONY DANYCH OSOBOWYCH

Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych objętych zbiorem pod nazwą

Załącznik Nr 2 do ZARZĄDZENIA NR 568/2016 PREZYDENTA MIASTA SOPOTU z dnia 12 maja 2016 r. INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

REGULAMIN OCHRONY DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ MISTRZEJOWICE-PÓŁNOC w Krakowie

INSTRUKCJE DOTYCZĄCE OCHRONY DANYCH OSOBOWYCH W KANCELARII DORADZTWA PODATKOWEGO

rodo. ochrona danych osobowych.

Art. 36a - Ustawa o ochronie danych osobowych (Dz. U r. poz. 922 z późn. zm.)

Przykładowy wzór Wystąpienia GIODO dotyczy zastosowanych środków bezpieczeństwa* Wystąpienie o dokonanie sprawdzenia

Niepełnosprawność: szczególna kategoria danych osobowych

weryfikację prawidłowości zapisów dokumentacji zgodnie z ustawą o ochronie danych osobowych (t.j. Dz. U. z 2014 r. poz z późn.zm.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

Ochrona wrażliwych danych osobowych

Tajemnica bankowa i ochrona danych osobowych w czynnościach outsourcingowych

Polityka ochrony danych osobowych. Rozdział I Postanowienia ogólne

Ochrona danych osobowych

SKUTECZNE SZKOLENIA PERSONELU JAKO NOWY OBOWIĄZEK ADMINISTRATORA BEZPIECZEŃSTWA INFORMACJI

Instrukcja zarządzania systemem informatycznym STORK Szymon Małachowski

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

ADMISTRATOR BEZPIECZEŃSTWA INFORMACJI

Marcin Soczko. Agenda

ADMINISTRATOR BEZPIECZEŃSTWA INFORMACJI. zadania: przepisami; Nowe kompetencje GIODO: Administratora danych; Przekazywanie danych do państw trzecich:

Ochrona danych osobowych w systemie rachunkowości. Wpisany przez Rafał Rydzak

Ochrona danych osobowych w biurach rachunkowych

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W OŚRODKU KULTURY W DRAWSKU POMORSKIM

ZARZĄDZENIE NR 100/2015 WÓJTA GMINY STEGNA. z dnia 16 czerwca 2015 r.

Zwykłe dane osobowe, a dane wrażliwe

BEZPIECZEŃSTWO PRAWNE ELEKTRONICZNEGO OBIEGU DOKUMENTÓW

ZGŁOSZENIE ZBIORU DANYCH DO REJESTRACJI GENERALNEMU INSPEKTOROWI OCHRONY DANYCH OSOBOWYCH

System bezpłatnego wsparcia dla NGO

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH. Rozdział I Postanowienia wstępne.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

DYREKTORA PRZEDSZKOLA NR 42 IM. PRZYJACIÓŁ PRZYRODY W BIELSKU - BIAŁEJ Z DNIA 1 WRZEŚNIA 2014 ROKU

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH WRAZ Z INSTRUKCJA ZARZĄDZANIA ZINTEGROWANĄ PLATFORMĄ ELF24

Jak nie wdepnąć w GIODO, czyli co musi wiedzieć dział HR o ochronie danych osobowych. Jacek Bajorek Instytut Zarządzania Bezpieczeństwem Informacji

Polityka bezpieczeństwa przetwarzania danych osobowych w VII L.O. im. Juliusza Słowackiego w Warszawie.

Instrukcja Zarządzania Systemem Informatycznym. załącznik nr 13 do Polityki. Bezpieczeństwa Informacji Ośrodka Pomocy Społecznej w Starym Sączu

Przetwarzania danych osobowych

Transkrypt:

Ochrona danych osobowych w informatyce 1

RAPORTY Podstawowe zadania informatyka w procesie ochrony danych osobowych 4 Nie każda informacja musi być daną osobową. Interpretacja zależy od kontekstu 7 Za nieprawidłowości zawsze odpowiada ADO 10 Przepisy wymagają od administratorów baz danych stosowania tzw. wysokiego stopnia bezpieczeństwa 12 Realizacja projektu IT z dostępem do informacji osobowych wymaga dodatkowych klauzul 16 Przekazanie zbioru danych tylko na piśmie 17 Przetwarzanie w chmurze musi poprzedzone szczegółową analizą zagrożeń 19 Standardowe klauzule ułatwią bezpieczną współpracę z dostawcą usług w chmurze obliczeniowej 20 Przeniesienie danych do chmury nie zwalnia z odpowiedzialności za ich bezpieczeństwo 22 Przedsiębiorca pozostaje administratorem danych, nawet jeśli przechowuje je w chmurze obliczeniowej 24 Pracodawca może legalnie zlecić monitoring pracowników, ale tylko spełniając określone warunki 26 Tajemnica telekomunikacyjna narzuca na operatorów sieciowych obowiązek ochrony przesyłanych danych 29 Utrudnianie inspekcji jest zagrożone nawet karą więzienia 31 EKSPERT ODPOWIADA GIODO ma prawo wejść do firmy 32 Ochronie nie podlegają dane osób prawnych 33 Personalia trzeba usuwać również z kopii zapasowych 34 Połączenie sieci firmowej z Internetem powoduje konieczność stosowania wysokiego poziomu zabezpieczeń 35 Prawo nie określa metody uwierzytelniania 36 Są wyjątki od obowiązku rejestracji zbioru 36 Wykonawca ma te same obowiązki w zakresie ochrony danych osobowych jak jego klient 37 Polityka bezpieczeństwa w firmie jest dokumentem wymaganym przez ustawę 38 Szkoła ma prawo nadać dostęp do e-dziennika rodzicom pełnoletnich uczniów 39 Dane osobowe można przekazywać do innych państw Unii Europejskiej bez ograniczeń 40 Nie każdy zbiór danych osobowych podlega rejestracji 41 Bezpodstawne oskarżenia to nieuczciwa konkurencja 42 Zaniedbania w zakresie wdrożenia zabezpieczeń danych są zagrożone postępowaniem karnym 43 Wykorzystanie na firmowej stronie prywatnego zdjęcia pracownika wymaga dodatkowej zgody 44 Umowa powierzenia nie uprawnia firmy do przetwarzania danych w celach marketingowych 44 Przetwarzanie publicznie dostępnych danych również wymaga zgody osób, których one dotyczą 45 Zbiory informacji wrażliwych można prowadzić tylko w sytuacjach przewidzianych ustawą 46 2

AUTORZY Piotr Glen Administrator Bezpieczeństwa Informacji, Audytor Systemu Zarządzania Bezpieczeństwem Informacji wg. PN-ISO/IEC 27001 Jakub Gosz radca prawny, Kancelaria Majchrzak Brandt i Wspólnicy Sp.k. Katarzyna Kaczanowska niezależny konsultant IT Szymon Karpierz radca prawny Marcin Sarna radca prawny Marcin Szeliga Microsoft Most Valuable Professional 3

Podstawowe zadania informatyka w procesie ochrony danych osobowych Ustawa o ochronie danych osobowych rozdziela obowiązki związane z ochroną danych w firmie czy instytucjach pomiędzy trzy różne osoby, z których każda pełni inną funkcję. Jedną z nich jest administrator systemu informatycznego, który odpowiada za wdrożenie zabezpieczeń infrastruktury IT. Administratorem danych osobowych (ADO) jest kierownik instytucji lub firmy, która przechowuje dane osobowe, np. pracowników, klientów, kontrahentów. Taką funkcję pełni więc dyrektor szpitala, prezes zarządu firmy, właściciel jednoosobowej działalności gospodarczej czy kierownik ośrodka pomocy społecznej. Administratorami danych są zarówno podmioty publiczne, jak i niepubliczne. Na administratorze danych ciąży wiele obowiązków, z których najważniejsze wynikają z ustawy o ochronie danych osobowych (uodo) i aktów wykonawczych do niej. Podstawowym zadaniem ADO jest zastosowanie odpowiednich środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Do realizacji tych zadań muszą zostać powołani administrator bezpieczeństwa informacji (ABI) oraz administrator systemu informatycznego (ASI) główny informatyk. ABI to osoba nadzorująca przestrzeganie zasad ochrony przetwarzanych danych osobowych wynikających z przepisów i wewnętrznych ustaleń administratora danych. Z kolei ASI, zwany informatykiem, odpowiada za prawidłowe funkcjonowanie sprzętu i oprogramowania oraz techniczno-organizacyjną obsługę. Instrukcja zarządzania Naturalnym kandydatem na ASI jest kierownik działu IT. Przy czym funkcję ASI, a także ABI mogą pełnić osoby z firm zewnętrznych, które w ramach outsourcingu świadczą takie usługi na podstawie stosownej umowy. Niestety obie te funkcje często pełni jedna osoba. Nie jest to wprawdzie łamaniem przepisów, ale rozdzielenie tych obowiązków ma ważne uzasadnienie. ABI to bardziej organizator nadzorujący kwestie formalne i merytoryczne, opisane w Polityce bezpieczeństwa danych osobowych firmy. ASI to technik wdrażający zabezpieczenia informatyczne, opisane w Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. Wymóg opracowania wspomnianych dokumentów w formie pisemnej wynika z przepisów prawa, m.in. art. 36 ust. 2 uodo. Wprawdzie ustawa mówi jedynie o obowiązku wyznaczenia ABI, ale już np. różne przepisy medyczne (m.in. ustawa o systemie informacji w ochronie zdrowia) wymagają powołania ASI. Coraz częściej też przepisy prawne powołują się na polskie i międzynarodowe normy z zakresu bezpieczeństwa informacji oraz je rekomendują, a tam informatyk (ASI) odgrywa pierwszoplanową rolę. Środki bezpieczeństwa Jednak normy, np. ISO, można mieć lub się na nich opierać, lecz formalnego przymusu do ich stosowania nie ma. Chcąc zapewnić w miarę skuteczną ochronę posiadanych informacji, należy śledzić na bieżąco rozwój technologii oraz towarzyszące temu coraz bardziej wyrafinowane zagrożenia. Poza tym bazując na ogólnie stosowanych i uznawanych normach, należy stosować silne środki bezpieczeństwa. Dlatego tak ważne jest posiadanie w organizacji dobrego informatyka. Obowiązki ASI muszą być formalnie określone umową o pracę, umową z firmą zewnętrzną czy chociażby załącznikiem w Polityce bezpieczeństwa informacji. Jeśli administrator danych 4

nie wyznaczy ABI i ASI, to automatycznie samodzielnie wykonuje te czynności. Najczęściej jednak GIODO (generalny inspektor ochrony danych osobowych) decyzją administracyjną nakazuje wyznaczyć takie funkcje. Nie ma to jednak zastosowania do osób fizycznych prowadzących jednoosobową działalność gospodarczą. ASI organizuje i wdraża odpowiednie zabezpieczenia, a później w miarę potrzeb sprawdza ich stosowanie przez użytkowników. Do podstawowych środków zabezpieczenia, które spełniają formalne wymagania, należą m.in.: fizyczne zabezpieczenie pomieszczeń, w których znajdują się komputery, serwer i centra energetyczne, oraz zabezpieczenie systemu informatycznego mechanizmami kontroli dostępu do danych, który powinien być możliwy wyłącznie po wprowadzeniu identyfikatora i dokonaniu uwierzytelnienia. Kolejne kwestie, na które bezwzględnie powinien zwrócić uwagę ASI, to zabezpieczenie systemu informatycznego przed awarią zasilania, czyli chociażby stosowanie UPS-ów, a także tworzenie kopii bezpieczeństwa. Tryb i częstotliwość wykonywania kopii zapasowych należy zorganizować według własnych potrzeb i możliwości, ale takie kopie trzeba przechowywać w innym pomieszczeniu niż to, w którym są robione. Polityka zmiany haseł ADO szczególną uwagę powinien zwrócić na stosowanie mechanizmów wymuszających konfigurację i częstotliwość zmiany haseł. Przepisy mówią, że hasło musi składać się z co najmniej ośmiu znaków i zawierać w sobie małe i duże litery oraz cyfry lub znak specjalny. Powinno być zmieniane nie rzadziej niż 30 dni. Obowiązek bezpiecznego skonfigurowania i użytkowania hasła można jednak przenieść na osoby, które są upoważnione do przetwarzania danych. W praktyce oznacza to wymuszenie na użytkownikach komputerów zmiany haseł, np. przez odpowiednią konfigurację Active Directory. Normą muszą być aktualny antywirus i włączona zapora sieciowa. Szczególną uwagę należy zwrócić na urządzenia przenośne przetwarzające dane osobowe oraz na pracę mobilną i na odległość, przy której ma się dostęp do danych. W takich sytuacjach należy wykorzystywać środki kryptograficznej ochrony danych. Szyfrowane protokoły muszą też być stosowane w procesie uwierzytelniania, np. logowania się na stronach WWW. Nie można też zapomnieć o takich drobiazgach, jak stosowanie wygaszaczy ekranów zabezpieczonych hasłem i ustawianie monitorów w taki sposób, aby nie miały do nich wglądu osoby nieupoważnione. Nie jest trudno sprostać formalnym wymaganiom wynikającym z ustawy o ochronie danych osobowych w zakresie technicznego zabezpieczenia systemu IT wykorzystywanego do przetwarzania danych. Dane wrażliwe Warto wspomnieć, że oprócz danych tzw. zwykłych, do których zaliczamy m.in. adres zamieszkania, imię, nazwisko, datę urodzenia, nr PESEL, a czasami nawet adres e-mail i IP komputera, rozróżniamy jeszcze dane wrażliwe. To informacje ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym. Zaliczają się do nich również dane dotyczące skazań, orzeczeń o ukaraniu i mandatach karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym. Takie dane są szczególnie chronione, a ich przetwarzanie jest obarczone szczególnym reżimem prawnym. Trzeba więc stosować przy nich środki bezpieczeństwa na naprawdę wysokim poziomie, zapominając o archaicznym już podziale wynikającym z rozporządzenia MSWiA w sprawie warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych jeszcze z 2004 roku. Mówi ono o poziomie podstawowym, podwyższonym i wysokim. Według ustawowej definicji poziom podstawowy stosuje się, gdy nie 5

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres