Ustawa o ochronie danych osobowych - bazy i aplikacje Oracle Wojciech Dworakowski
Agenda Wprowadzenie do tematyki ochrony danych osobowych Wymagania dotyczące baz danych i aplikacji (wybrane) Odpowiedzialność 2
Zmiany w roku 2004 Z dnia 29 sierpnia 1997 r. Od 01.05.2004 weszła w życie nowelizacja m.in. sprecyzowanie wymogów technicznych Administratorzy przetwarzający dane osobowe w dniu wejścia w życie ustawy mieli czas karencji do 01.11.2004 3
Co to są dane osobowe? W rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań. 4
Kto musi stosować się do wymogów UODO? Upraszczając wszyscy z pewnymi wyjątkami (art 3a) m.in. z wyjątkiem: osób fizycznych, które przetwarzają dane wyłącznie w celach osobistych lub domowych, działalności dziennikarskiej, literackiej lub artystycznej (chyba że wolność wyrażania swoich poglądów i rozpowszechniania informacji istotnie narusza prawa i wolności osoby, której dane dotyczą) 5
Obowiązek rejestracji Zbiory danych osobowych przed przystąpieniem do przetwarzania należy zarejestrować w GIODO Na szczęście od tej zasady są liczne wyjątki (art 43 ustęp 1) M.in. z obowiązku rejestracji są zwolnieni administratorzy danych: przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się, przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej, 6
Obowiązek rejestracji M.in. z obowiązku rejestracji są zwolnieni administratorzy danych (c.d.): dotyczących osób korzystających z ich usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta, dotyczących osób należących do kościoła lub innego związku wyznaniowego, (...) przetwarzanych na potrzeby tego kościoła lub związku wyznaniowego powszechnie dostępnych, przetwarzanych w zakresie drobnych bieżących spraw życia codziennego. 7
Uwaga! Zwolnienie z obowiązku rejestracji nie oznacza zwolnienia z obowiązku przetwarzania danych zgodnie z zasadami ustawy! 8
Administrator danych osobowych... administrator danych to organ, jednostka organizacyjna, podmiot lub osoba, (...) decydujące o celach i środkach przetwarzania danych osobowych. (Art. 7 ust. 4) Nie mylić: administrator danych j.w. administrator bezpieczeństwa informacji osoba wyznaczona do nadzorowania przestrzegania zasad ochrony danych osobowych (Art. 36 ust. 3) 9
Wymagania dotyczące zabezpieczeń Najogólniej Art 36 ust 1: Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem 10
Źródła regulacji technicznych Rozporządzenie MSWiA MSWiA w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych Podstawowy tekst ustawy Opracowanie GIODO: Wymagania dotyczące struktur baz danych osobowych oraz funkcjonalności zarządzających nimi aplikacji 11
Wymagania dotyczące aplikacji i baz danych Opcja podglądu i weryfikacji przetwarzanych danych osobowych Dane te powinny być wyświetlane i drukowane w postaci zrozumiałej dla przeciętnego odbiorcy! Zapytanie do bazy danych obsługujące tą funkcję powinno być skonstruowane w ten sposób, żeby zwracać dane tylko jednej wyszukiwanej osoby. 12
zrozumiałe dla przeciętnego odbiorcy Dane i opisy powinny być prezentowane w pełnym brzmieniu a nie w postaci kodowanej lub skrótowej Imię (imiona): Jan Zygmunt Nazwisko: Kowalski Adres: Nalewki 20 m. 10; Imię ojca: Grzegorz 00-701 Warszawa Data urodzenia: 12 listopad 1954 Imię matki: Katarzyna Nr PESEL: 6711203221 Miejsce pracy: Zygfryt S.A. Wykształcenie: W 13
Odnotowywanie Dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym (...) system ten zapewnia odnotowanie: 1. daty pierwszego wprowadzenia danych do systemu; 2. identyfikatora użytkownika wprowadzającego dane osobowe do systemu, chyba że dostęp do systemu informatycznego i przetwarzanych w nim danych posiada wyłącznie jedna osoba; 3. źródła danych, w przypadku zbierania danych, nie od osoby, której one dotyczą; 4. informacji o odbiorcach, w rozumieniu art. 7 pkt 6 ustawy, którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia, chyba że system informatyczny używany jest do przetwarzania danych zawartych w zbiorach jawnych; 5. sprzeciwu, o którym mowa w art. 32 ust. 1 pkt 8 ustawy. (sprzeciw wobec przetwarzania danych) 14
Przykład A - Informacje identyfikujące osobę Nazwa danej Pierwsze imię Drugie imię Nazwisko Ulica, nr domu i mieszkania Kod pocztowy Miejscowość Data urodzenia PESEL B - Informacje z zakresu 7 ust. 1 pkt. 1, 2, 3, 5 rozporządzenia Nazwa danej data 1-szego wprowadzenia danych do systemu źródło pochodzenia danych Identyfikator użytkownika wprowadzającego dane zgoda na przetwarzanie danych Wartość Jan Zygmunt Kowalski Nalewki 20 m.10 00-701 Warszawa 12 listopad 1954 54111203431 Wartość 12.10.1999 od osoby, której dotyczą a_grzeskowiak Tak 15
Usuwanie danych Rekordy z danymi osobowymi usuwane z bazy powinny być kasowane w rzeczywistości a nie zaznaczane jako skasowane. Tak żeby odpowiednie programy narzędziowe nie mogły tych danych odzyskać. W przypadku Oracle (i innych zaawansowanych baz) należało by też wziąć pod uwagę: redo logi, dane flashback query, undo segments, backupy... ALTER TABLE... NOLOGGING (?) 16
Znaczenia ukryte Zabronione jest nadawanie ukrytych znaczeń elementom numerów porządkowych w systemach ewidencjonujących osoby fizyczne. Z wyjątkiem: płci, daty urodzenia, numeru pozycji w rejestrze oraz liczby kontrolnej W dokumentacji systemu zarządzania bazą danych osobowych, sposób tworzenia numerów porządkowych i/lub indeksów, jeśli nie są to kolejne liczby naturalne określające pozycję zapisu w zbiorze, powinien być dokładnie opisany i wyjaśniony 17
Poziomy zabezpieczeń wg Rozporządzenia podstawowy dla wszystkich systemów podwyższony dla systemów przetwarzających dane o szczególnej wartości (art 27 uodo np. pochodzenie rasowe, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniowa, partyjna lub związkowa, dane o stanie zdrowia, kodzie genetycznym, nałogach, życiu seksualnym, dane dotyczące skazań) wysoki - gdy przynajmniej jedno urządzenie systemu połączone jest z siecią publiczną 18
Niektóre wymagania Należy stosować mechanizmy kontroli dostępu, przy czym jeśli do systemu ma dostęp wielu użytkowników, to muszą mieć oni odrębne identyfikatory. Nie jest jasno powiedziane czy zasada ta dotyczy wszystkich warstw Uwaga: Większość aplikacji działa zawsze na tym samym koncie w bazie danych Oracle Proxy Authentication (10g) 19
Niektóre wymagania - c.d. Zabezpieczenie przed działaniem oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego oraz utratą danych spowodowaną awarią zasilania lub zakłóceniami w sieci zasilającej. Brak precyzyjniejszej wykładni Zasady dobrej praktyki Zalecenia producenta (np. Secure Configuration Guide for Oracle9iR2 ) 20
Niektóre wymagania c.d. Identyfikator użytkownika, który utracił uprawnienia do przetwarzania danych, nie może być przydzielony innej osobie. Powinno to być uwzględnione w funkcji obsługującej zakładanie użytkownika 21
Wymagania odnośnie haseł Powinny być zmieniane nie rzadziej niż co 30 dni Hasło powinno się składać co najmniej: poziom podstawowy: 6 znaków, poziom podwyższony i wysoki: z 8 znaków i zawierać małe i wielkie litery oraz cyfry lub znaki specjalne, Na poziomie bazy Oracle: wymuszenie za pomocą PROFILE Na poziomie aplikacji: własne mechanizmy Oracle Identity Management / Internet Directory Password Policies 22
Wymagania kopie zapasowe Konieczność sporządzania kopii zapasowych danych i programów je przetwarzających. Kopie zapasowe należy przechowywać w w miejscach zabezpieczających je przed nieuprawnionym przejęciem, modyfikacją, uszkodzeniem lub zniszczeniem. Usuwać niezwłocznie po ustaniu ich użyteczności. Ustawodawca nie reguluje już jednak częstotliwości sporządzania kopii zapasowych. Zasady dobrej praktyki 23
Likwidacja, przekazanie, naprawa Urządzenia, dyski lub inne nośniki elektroniczne zawierające dane osobowe przeznaczone do likwidacji, naprawy lub przekazania podmiotowi nieuprawnionemu do przetwarzania danych osobowych pozbawia się wcześniej zapisu w sposób uniemożliwiający ich odzyskanie. Rozmagnesowanie nośnika w specjalnym urządzeniu Wielokrotne nadpisanie losową informacją 24
Na poziomie wysokim Zabezpieczenia logiczne obejmujące: kontrolę przepływu informacji pomiędzy systemem informatycznym administratora danych a siecią publiczną kontrolę działań inicjowanych z sieci publicznej i systemu informatycznego administratora danych Firewall / IPS Kontrola ruchu wchodzącego i wychodzącego 25
Na poziomie wysokim Ochrona kryptograficzna wobec danych wykorzystywanych do uwierzytelnienia, które są przesyłane w sieci publicznej. W przypadku aplikacji webowych HTTPS W aplikacjach webowych ograniczenie ochrony tylko do danych uwierzytelniających nic nie daje (możliwość podszywania się pod identyfikator sesji) 26
To nie wszystko! Wymieniono tylko niektóre wymogi techniczne Więcej uwagi w ustawie poświęcono konieczności właściwej dokumentacji zabezpieczeń polityka bezpieczeństwa instrukcja bezpieczeństwa 27
Odpowiedzialność Art 49: Kto przetwarza w zbiorze dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do których przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. Art 52: Kto administrując danymi narusza choćby nieumyślnie obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. 28
GIODO w wyniku przeprowadzonej kontroli może Art 18 ust 1 usunięcie uchybień, uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych, zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe, wstrzymanie przekazywania danych osobowych do państwa trzeciego, zabezpieczenie danych lub przekazanie ich innym podmiotom, usunięcie danych osobowych Art 19...skierować zawiadomienie o popełnieniu przestępstwa, dołączając dowody dokumentujące podejrzenie 29
Materiały Ustawa i towarzyszące rozporządzenia Wytyczne w zakresie opracowania i wdrożenia polityki bezpieczeństwa http://www.giodo.gov.pl/plik/id_p/551/t/pdf/j/pl/ Wskazówki dotyczące sposobu opracowania instrukcji określającej sposób zarządzania systemem informatycznym (...). http://www.giodo.gov.pl/plik/id_p/550/t/pdf/j/pl/ UODO Survival Kit - ISACA Warsaw Chapter http://www.isaca.org.pl/projects/wcp9/index.html Coroczne sprawozdania GIODO 30
Pytania wojciech.dworakowski@securing.pl http://www.securing.pl 31