OCHRONA DANYCH OSOBOWYCHpdf.helion.pl/e_55mx/e_55mx.pdf · informacje szczególnie istotne, np....

Grudzień 2014issn 2391-5781nr 3

Praktyczne porady • Instrukcje krok po kroku • Wzory

▌ Zmiany w ochronie danych

▌ Najczęściej popełniane błędy w związku z ochroną danych

▌ Zasady tworzenia umowy powierzenia danych

OCHRONADANYCH OSOBOWYCH

„Oficyna Prawa Polskiego”Wydawnictwo WiPul. Łotewska 9A, 03-918 Warszawa

NIP: 526-19-92-256

KRS: 0000098264 – Sąd Rejonowy dla m.st. Warszawy,Sąd Gospodarczy XIII Wydział Gospodarczy RejestrowyWysokość kapitału zakładowego: 200.000 zł„Ochrona danych osobowych”

Redaktor:Wioleta Szczygielska

Kierownik grupy wydawniczej:Ewa Ziętek-Maciejczyk

Wydawca:Monika Kijok

Koordynacja produkcji:Mariusz Jezierski, Magdalena Huta

Korekta:Zespół

Projekt graficzny okładki:Michał Marczewski

Skład i łamanie:Ireneusz Gawliński

Drukarnia: MDdruk

Nakład: 500 egz.

„Ochrona danych osobowych” wraz z przysługującym Czytelnikom innymi elementami dostępnymi w prenumeracie (e-letter, strona WWW i inne) chronione są prawem autorskim. Przedruk materiałów opublikowanych w „Ochronie danych osobowych” oraz w innych dostępnych elementach prenumeraty – bez zgody wydawcy – jest zabroniony. Zakaz nie dotyczy cytowania publikacji z powołaniem się na źródło.Publikacja „Ochrona danych osobowych” została przygotowana z zachowaniem najwyższej staranności i wykorzy-staniem wysokich kwalifikacji, wiedzy i doświadczenia autorów oraz konsultantów. Zaproponowane w publikacji „Ochrona danych osobowych” oraz w innych dostępnych elementach subskrypcji wskazówki, porady i interpretacje nie mają charakteru porady prawnej. Ich zastosowanie w konkretnym przypadku może wymagać dodatkowych, pogłębionych konsultacji. Publikowane rozwiązania nie mogą być traktowane jako oficjalne stanowisko organów i urzędów państwowych. W związku z powyższym redakcja nie może ponosić odpowiedzialności prawnej za zasto-sowanie zawartych w publikacji „Ochrona danych osobowych” lub w innych dostępnych elementach prenumeraty wskazówek, przykładów, informacji itp. do konkretnych przypadków.

Informacje o prenumeracie:tel.: 22 518 29 29 faks: 22 617 60 10 e-mail: [email protected]

OCHRONA DANYCH OSOBOWYCH GRUDZIEŃ 2014141

SPIS TREŚCI

Spis treści

AKTUALNOŚCI

Zmiany w ochronie danych . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3Jarosław Żabówka

Dane osobowe lądują w koszu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4Wioleta Szczygielska

Dostęp do danych pacjentów . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4Wioleta Szczygielska

INSTRUKCJE

Jak należy przygotować politykę bezpieczeństwa danych . . . . . . . . . . . . . . . . . . . . . . . 5Konrad Gałaj-Emiliańczyk

Najczęściej popełniane błędy w związku z ochroną danych . . . . . . . . . . . . . . . . . . . . . . 7Piotr Janiszewski

Tworzymy instrukcję zarządzania systemem informatycznym . . . . . . . . . . . . . . . . . . . . 9Jarosław Żabówka

TEMAT NUMERU

Zasady tworzenia umowy powierzenia danych . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12Marcin Sarna

PORADY

Jak należy przeprowadzić audyt ochrony danych osobowych . . . . . . . . . . . . . . . . . . . 15Łukasz Onysyk

Dokumenty zawierające dane osobowe – jak je przechowywać . . . . . . . . . . . . . . . . . 17Piotr Glen

Szkolenie dla pracowników z ochrony danych . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19Przemysław Zegarek

WZORY DOKUMENTÓW . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22


LIST OD REDAKTORA

Wioleta Szczygielskaredaktor prowadząca

Podczas codziennej pracy z pewnością spotkali się Państwo z sytuacją, kie-dy trzeba było przekazać dane swoich klientów lub pracowników innej fi r-mie. Być może zlecali Państwo obsługę księgową zewnętrznemu podmiotowi. Trzeba pamiętać, że takie przekazanie danych to – zgodnie z ustawą – powie-rzenie przetwarzania danych osobowych. Administrator Danych Osobowych powinien uregulować ten proces w odrębnej umowie powierzenia. W artykule „Zasady tworzenia umowy powierzenia danych” radca prawny Marcin Sarna podpowiada, jak skonstruować taki kontrakt.Szczególnie polecam też poradnikowe teksty, które pomogą Państwu stwo-rzyć wewnętrzne dokumenty regulujące zasady ochrony danych osobowych. Doświadczeni Administratorzy Bezpieczeństwa Informacji w artykułach: „Jak przygotować politykę bezpieczeństwa przetwarzania danych” i „Two-rzymy instrukcję zarządzania systemem informatycznym” podpowiada-ją, jak przygotować te dokumenty, aby spełniały wymogi ustawy o ochronie danych osobowych.Wiele osób, które zajmują się tematem ochrony danych osobowych, ma problem z przechowywaniem dokumentacji papierowej zawierającej dane osobowe. Jest to o tyle trudne, że ustawa o ochronie danych osobowych nie daje jasnych wytycznych w tej kwestii. Nasz ekspert, wieloletni Administra-tor Bezpieczeństwa Informacji i członek zarządu Stowarzyszenia Admini-stratorów Bezpieczeństwa Informacji SABI, Piotr Glen, doradzi, jak długo i w jaki sposób przechowywać takie dokumenty.Po raz kolejny podpowiemy też Państwu, w jaki sposób przygotować szko-lenie z ochrony danych osobowych dla pracowników. Zachęcam również do skorzystania z gotowych wzorów dokumentów, które z pewnością przyda-dzą się w codziennej pracy.A już w następnym numerze zajmiemy się nowelizacją ustawy o ochroniedanych osobowych. Eksperci z kancelarii Traple Konarski Podrecki szczegó-łowo wyjaśnią jak planowane zmiany wpłyną na pracę Administratorów Bezpieczeństwa Informacji.

Życzę owocnej lektury!

Szanowni Czytelnicy!


AKTUALNOŚCI

JAROSŁAW ŻABÓWKAtrener, wykładowca, po-pularyzator zagadnień ochrony danych osobo-wych, właściciel fi rmy www.proInfoSec.pl, wieloletni administrator bezpieczeństwa infor-macji, twórca systemów zarządzania ochroną danych osobowych w małych i dużych przedsiębiorstwach, au-dytor normy ISO 27001 i menedżer systemów informatycznych, autor publikacji i prezentacji branżowych

AKTUALNOŚCI

Nowelizacja ustawy o ochronie danych osobo-wych ma rozwiać wątpliwości odnośnie wyzna-czenia ABI. Jego powołanie będzie zależało od decyzji administratora danych. Jeżeli zdecydu-je się on wyznaczyć ABI, to będzie zwolniony z obowiązku rejestracji zbiorów zawierających dane zwykłe (taki rejestr będzie prowadził ad-ministrator bezpieczeństwa informacji).

Powołać czy nie powołać ABIJeżeli ABI zostanie powołany:1. ADO jest obowiązany zgłosić do GIODO po-

wołanie i odwołanie ABI w terminie 30 dni.2. Jego zadaniem będzie zapewnienie przestrze-

gania przepisów o ochronie danych osobo-wych. W tym celu ABI ma obowiązek:• Sprawdzać zgodność przetwarzania da-

nych osobowych z przepisami oraz opra-cowywać sprawozdanie dla ADO.

• Nadzorować opracowywanie i aktualizo-wanie polityki bezpieczeństwa i instrukcji zarządzania systemem informatycznym.

• Nadzorować przestrzeganie zasad prze-twarzania danych.

• Zapewnić zapoznanie osób upoważnio-nych do przetwarzania danych z przepi-sami o ochronie danych.

3. ABI będzie prowadził jawny rejestr zbiorów danych przetwarzanych przez administrato-ra danych.

4. Administratorem Bezpieczeństwa Informacji może być osoba, która:• ma pełną zdolność do czynności praw-

nych oraz korzysta z pełni praw publicz-nych,

• posiada odpowiednią wiedzę w zakresie ochrony danych osobowych,

• nie była karana za przestępstwo popełnio-ne z winy umyślnej.

5. Musi podlegać bezpośrednio kierownikowi jednostki organizacyjnej lub ADO. Osoby te zobowiązane są zapewnić środki niezbędne do wykonywania zadań przez ABI.

6. ADO będzie mógł powierzyć ABI wykonywa-nie innych zadań – nie mogą one wpływać na wykonywanie podstawowych obowiązków.

7. ADO może powołać zastępców ABI.8. ADO będzie zwolniony ze zgłaszania do reje-

stracji zbiorów danych – wyłącznie tych nie-zawierających danych wrażliwych.

9. GIODO może się zwrócić do ABI o spraw-dzenie zgodności przetwarzania danych z przepisami o ochronie danych osobowych.

10. Po sprawdzeniu, za pośrednictwem ADO, ABI przedstawi GIODO sprawozdanie.

Jeżeli ABI nie zostanie powołany:1. ADO zobowiązany jest zapewnić przestrzega-

nie przepisów o ochronie danych osobowych. W tym celu powinien:• Sprawdzać zgodność przetwarzania da-

nych z przepisami.• Nadzorować opracowywanie i aktualizo-

wanie dokumentacji.• Nadzorować przestrzeganie zasad prze-

twarzania danych.• Zapewnić zapoznanie osób upoważnio-

nych do przetwarzania danych z przepi-sami o ochronie danych osobowych.

2. ADO będzie zgłaszać zbiory na dotych-czasowych zasadach. Niezgłoszenie zbioru będzie nadal zagrożone karą grzywny, ogra-niczenia wolności albo pozbawienia wolno-ści do roku.

Jeśli ADO nie powoła ABI, zobowiązany jest do zapewnienia realizacji wszystkich zadań, które mógłby realizować ABI, z wyjątkiem opracowa-nia sprawozdania.

Czy zmiany są potrzebneProponowana nowelizacja będzie miała zna-czenie dla tych administratorów danych, któ-rzy często składają wnioski rejestracyjne. Będą to duże podmioty ze sporą ilością zbiorów lub często zawierające umowy powierzenia prze-twarzania. Zwykle też mają już wyznaczone-go ABI.Dla małych przedsiębiorców zwolnienie z obo-wiązku zgłoszenia zbioru nie będzie istotne. Korzystne może być zwolnienie z obowiązku wy-znaczenia ABI. Chociaż przedsiębiorca będzie na-dal zobowiązany do realizacji jego zadań.Po wejściu w życie nowelizacji każdy admi-nistrator danych będzie musiał samodzielnie podjąć decyzję, który wariant jest dla niego ko-rzystniejszy.

Zmiany w ochronie danychKończą się prace nad nowelizacją ustawy o ochronie danych osobowych. Projekt został przyjęty przez Sejm i Senat. Teraz czeka tylko na podpis prezydenta. Zmiany będą obowiązywać od stycznia 2015 roku.

1 Tekst powstał na podstawie projektu ustawy, procedowane-go w Komisji Nadzwyczajnej do spraw związanych z ogranicza-niem biurokracji.


[email protected]

Dane osobowe lądują w koszuAż z 93% wyrzuconych dokumentów firmowych da się odczytać dane osobowe. W większości są to informacje istotne, np. o wypłatach dla pracowników czy opinie bankowe. Takie wnioski płyną z badania przeprowadzonego w Miejskim Przedsiębiorstwie Oczyszczania w Warszawie.

W ramach VI edycji kampanii „Nie daj się okraść, chroń swoją tożsamość” przeprowadzono internetową ankietę, z której wynika, że w teorii dbamy o zabezpieczenie danych osobowych. Osoby, które mają kontakt z danymi wrażli-wymi w większości (97%) niszczą dokumentację, która je zawiera – wynika z ankiety.A jak jest w praktyce? W ramach kampanii przeprowadzo-no też badanie w Miejskim Przedsiębiorstwie Oczyszczania w Warszawie. Okazało się, że na śmietnikach lądują zarów-no druki fi rmowe, jak i te z domów prywatnych. Spośród 1610 sprawdzonych dokumentów 42% pochodziło z fi rm lub instytucji, a 48% od osób prywatnych.Aż 578 (84%) spośród urzędowych lub fi rmowych doku-mentów było wyrzuconych w całości. Zniszczono tylko 16%. Jednak spora ich część była zniszczona w taki sposób,

że z łatwością można było odczytać zawarte w nich dane, np. były przedarte na pół. W konsekwencji aż ponad połowę pozornie zniszczonych dokumentów można było odczytać. Co najbardziej alar-mujące jest to, że wśród znalezionych dokumentów były informacje szczególnie istotne, np. akty notarialne zaku-pu nieruchomości, raporty medyczne lub zeznania po-datkowe.Na kwestię wycieku danych osobowych szczególną uwagę powinny zwracać nie tylko osoby prywatne, ale też fi rmy i instytucje państwowe. Za ujawnienie danych może grozić od 2 do nawet 3 lat więzienia w przypadku danych wrażli-wych, np. o stanie zdrowia.

Wioleta Szczygielska

Dostęp do danych pacjentówUregulowanie zasad udostępniania dokumentacji medycznej, wprowadzenie telemedycyny i Karty Ubezpieczenia Zdrowotnego – to jedne z ważniejszych zmian, jakie ma wprowadzić nowelizacja ustawy o systemie informacji o ochronie zdrowia.

Jak wynika z projektu ustawy o zmianie ustawy o systemie informacji o ochronie zdrowia i innych ustaw, dane me-dyczne i inne dane przetwarzane w Systemie Informacji Medycznej dotyczące pacjentów będą udostępniane Za-kładowi Ubezpieczeń Społecznych i Narodowemu Fundu-szowi Zdrowia. Fundacja Panoptykon alarmuje, że nowy akt w niedostateczny sposób będzie chronił dane osobo-we pacjentów.Projekt nie wspomina bowiem, na podstawie jakich przepi-sów instytucje te będą przetwarzać dane osobowe pacjen-tów. Projekt jedynie enigmatycznie wspomina, że będzie się to odbywać „w zakresie zgodnym z ustawą”. Zdaniem Fun-dacji Panoptykon powinno być jasne, w jakim celu, zakresie i w jaki sposób ZUS i NFZ będą te dane wykorzystywać.Dodatkowo dane osobowe pacjentów mają być również

udostępniane płatnikom, którzy fi nansują albo współfi -nansują świadczenia opieki zdrowotnej ze środków pub-licznych. Chodzi np. o samorządy opłacające programy niepłodności metodą zapłodnienia pozaustrojowego.Projekt nowelizacji zakłada, że dane pacjenta będą udo-stępniane za jego zgodą. W wielu przypadkach osoba korzystająca ze świadczeń medycznych będzie mogła także zgłosić sprzeciw wobec przetwarzania swoich danych, np. wobec udostępnia-nia jednostkowych danych medycznych zgromadzo-nych w module statystyczno-rozliczeniowym. Ustawa nie wskazuje jednak, w jaki sposób będzie można wnieść sprzeciw wobec przetwarzania swoich danych.

Wioleta Szczygielska


KONRAD GAŁAJ--EMILIAŃCZYKprawnik i administra-tor bezpieczeństwa informacji w kilku-nastu podmiotach sektora prywatnego i publicznego, trener i wykładowca szkoleń, konferencji i semina-riów, Coach Inc. Ochro-na Danych Osobowych, coach-inc.pl

INSTRUKCJE

Polityka bezpieczeństwa to jeden z ważniejszych dokumentów, który administrator danych musi przygotować i wdrożyć. Biorąc pod uwagę negatywne konsekwencje braku kontroli nad danymi osobowymi, warto poświęcić temu zagadnieniu czas i środki.

Jak należy przygotować politykę bezpieczeństwa danych

Wskazówek, w jaki sposób przygotować politykę bezpieczeństwa, udziela rozporządzenie ministra spraw wewnętrznych i administracji z 29 kwiet-nia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. z 2004 r. nr 100, poz. 1024) i wytyczne GIODO. Jest jednak kilka elementów, jak np. opis struk-tury zbiorów czy sposób przepływu danych po-między poszczególnymi systemami, których przygotowanie może sprawić problemy.

PRZYKŁADDobrą praktyką przy tworzeniu polityki bezpieczeństwa jest ukształtowanie jej w formie dokumentu głównego z załącznikami. Dzięki temu ADO nie będzie musiał jej podpisywać za każdym razem, gdy zajdzie konieczność wprowadzenia zmian, zmiany można będzie wprowadzić w załącznikach. ABI zaś będzie mógł rzadziej weryfikować ten dokument – najczęściej raz w roku podczas okreso-wej kontroli systemu ochrony danych.

Od czego zacząć?Zgodnie z wytycznymi GIODO polityka bez-pieczeństwa musi wyjaśniać podstawową termi-nologię oraz cel, jakiemu ma służyć. Dokument warto zacząć w następujący sposób:W celu zapewnienia bezpieczeństwa i kontroli nad przepływem danych osobowych w … [na-zwa podmiotu] wdraża się postanowienia ni-niejszej polityki bezpieczeństwa. Często stosuje się też odnośniki do innych we-wnętrznych dokumentów, jak instrukcja kance-laryjna czy regulamin IT. Dobrą praktyką jest również określenie środków, jakie mają zostać wykorzystane w celu osiągnię-cia celu, jakiemu polityka ma służyć. Najczęściej określa się je w następujący sposób: W celu zapewnienia ochrony danych oso-bowych stosuje się zabezpieczenia fi zyczne, organizacyjne oraz techniczne. Powołano ad-

ministratora bezpieczeństwa informacji dla pełnienia nadzoru nad systemem ochrony da-nych osobowych.Powyższe zapisy mają na celu jednoznaczne okre-ślenie charakteru i zakresu polityki bezpieczeństwa.

Osoby odpowiedzialnePolityka bezpieczeństwa powinna jednoznacznie określać, kto jest administratorem danych oso-bowych oraz kto pełni nadzór nad przestrzega-niem dokumentu w organizacji. Nawet jeśli ABI nie jest wyznaczony, należy jasno opisać prawa i obowiązki osoby odpowiedzialnej za nadzór nad przestrzeganiem dokumentu. Dobrą praktyką jest również umieszczanie w tym miejscu informacji o funkcji Administratora Sy-stemów Informatycznych (ASI) i zakresie jego praw i obowiązków.

Obszary przetwarzaniaEwidencja obszarów przetwarzania jest pierw-szym wymaganym przez rozporządzenie ele-mentem polityki bezpieczeństwa. Najprościej jest ją prowadzić w formie załącznika, gdyż ist-nieje duże prawdopodobieństwo, że będzie zmie-niana częściej niż raz w roku. Są dwie metody opisywania obszaru przetwarzania. Pierwsza zakłada opisywanie wszystkich po-mieszczeń w podmiocie wraz z określeniem zastosowanych zabezpieczeń fizycznych (np. pokój nr 9 – drzwi zamykane na klucz), orga-nizacyjnych (np. sala konferencyjna – procedu-ra kontroli dostępu) oraz informatycznych (np. serwerownia – szyfrowanie danych). Druga metoda przewiduje tzw. defi nicję nega-tywną. Podajemy np. sam adres (jeżeli zajmuje-my cały budynek) lub dodajemy piętro i segment naszej siedziby wraz z wyłączeniem obszarów, które nie stanowią obszaru przetwarzania (np. ul. Marszałkowska 1, 00-123 Warszawa, piętro I, lo-kal 3, z wyłączeniem komunikacji oraz pomiesz-czeń socjalnych).


[email protected]

Ewidencja obszarów przetwarzania jest najczęściej łączona z ewidencją zbiorów danych osobowych. W praktyce bo-wiem zbiory są w mniejszym lub większym stopniu zwią-zane z obszarami przetwarzania danych.

Zbiory danych osobowychEwidencję zbioru danych osobowych również warto pro-wadzić w formie załącznika. Powinien on zawierać nazwę zbioru danych w powiązaniu z oprogramowaniem stoso-wanym do jego przetwarzania (np. zbiór danych osobo-wych pracowników jest przetwarzany z wykorzystaniem programu Płatnik oraz Symfonia). Dodatkowo zbiór wraz z oprogramowaniem powinien być przypisany do obszaru przetwarzania, tym samym do za-bezpieczeń. Każdy zbiór może być przetwarzany zarówno przez jeden, jak i wiele programów jednocześnie. Zgodnie z wytycznymi Generalnego Inspektora Ochrony Danych Osobowych w zakresie szczegółowości określania oprogra-mowania należy brać pod uwagę nawet moduły poszcze-gólnych programów.

UWAGADobrą praktyką jest określenie podstawy prawnej przetwarzania zbio-rów danych osobowych (art. 23 lub art. 27 ustawy o ochronie da-nych osobowych).

Opis struktury zbiorówPodobnie jak powyższe elementy dokumentacji, opis struktury zbiorów jest obligatoryjny i również najczęś-ciej prowadzi się go w formie załącznika. Tworzy się go w stosunku do każdego wyodrębnionego zbioru danych, podając jego nazwę, sposób przetwarzania danych (wer-sja papierowa i/lub system informatyczny) oraz wszelkie kategorie gromadzonych danych (np. imiona i nazwiska, miejsce zamieszkania, adres e-mail itp.). Jeżeli przetwarzamy dane z wykorzystaniem programu informatycznego, powinniśmy opisać poszczególne pola informacyjne. W przypadku korzystania z komercyjnego oprogramowania należy odnieść się do instrukcji użyt-kownika lub specyfi kacji oprogramowania dostarczanej przez producenta. Problem pojawia się, gdy korzystamy z dedykowanego oprogramowania stworzonego na nasze potrzeby, a pro-ducent nie zadbał o takie informacje. W takim przypadku musimy sami stworzyć opracowa-nie, z którego będą wynikały powiązania pomiędzy po-szczególnymi polami informacyjnymi do wypełnienia w programie. Ostatnim, koniecznym elementem opisu struktury zbio-rów jest powiązanie danych w kategorie (np. dane dotyczą-

ce zamówienia – produkt, ilość, numer ID produktu itp. oraz dane dotyczące dostawy – imię i nazwisko, adres itp.).

Sposób przepływu danych Obowiązkowym elementem polityki bezpieczeństwa jest określenie sposobu przepływu danych pomiędzy poszcze-gólnymi systemami informatycznymi, czyli jednoznaczne określenie, z jakiego do jakiego programu dane przepływają. W praktyce najczęściej załącznik ten stanowi schemat prze-pływu danych pomiędzy poszczególnymi programami prze-twarzającymi dane. Wynika to z faktu, że większość oprogramowania posiada własne bazy zawierające dane osobowe. W zależności od liczby programów wykorzystywanych w naszej jednostce przetwarzających dane osobowe mo-żemy skorzystać z prostego schematu, np. kierunek prze-pływu danych (np. jednokierunkowo lub dwukierunkowo) – sposób przepływu danych (np. automatycznie, półauto-matycznie lub manualnie).

PRZYKŁADJeżeli programów lub ich modułów jest więcej, najłatwiej jest stworzyć rysunek, który bardziej czytelnie będzie obrazował przepływ danych. Dodatkowo należy określić, z którego programu dane są przesyłane za pośrednictwem sieci publicznej – Internetu (przykład takiego ry-sunku na stronie nr 23).

Środki techniczne i organizacyjneOstatnim elementem każdej polityki bezpieczeństwa jest opis środków technicznych i organizacyjnych. Określa on stosowa-ne zabezpieczenia i procedury, które mają zapewnić poufność, integralność i rozliczalność danych osobowych. Z reguły raz przygotowane procedury rzadko się zmieniają, dlatego też jest to element dokumentu głównego, a nie za-łącznik. Zarówno zabezpieczenia, jak i procedury opisywane w tym do-kumencie muszą być adekwatne do zagrożeń. Nie można więc mówić o minimalnym zabezpieczeniu danych osobowych. Ty-powe zabezpieczenia organizacyjne to: kontrola dostępu, poli-tyka haseł, polityka czystego biurka i czystego ekranu.

PRZYKŁADJedną z ważniejszych procedur, którą warto wdrożyć, jest instrukcja alarmowa na wypadek incydentu ochrony danych osobowych. Jest to prosty opis postępowania użytkowników w razie np. wycieku da-nych osobowych. Przykładowa instrukcja na str. 24.

Liczba procedur i zakres regulacji najczęściej zależą od wielkości podmiotu i ryzyka, jakie zostało w nim zidenty-fi kowane. Z tego też względu procedur może być zarówno bardzo dużo, jak i bardzo mało. Oczywiście nie można zapominać o wdrożeniu przygoto-wanej polityki bezpieczeństwa, co najczęściej jest realizowa-ne przez szkolenie użytkowników (osób upoważnionych).

Szablon gotowej polityki bezpieczeństwa można pobrać ze strony:http://online.wip.pl/download/WzoryADN03.rar

Politykę bezpieczeństwa danych najlepiej przygotować w formie dokumentu głównego wraz z załącznikami


PIOTR JANISZEWSKIradca prawny, ekspert ds. ochrony danych osobowych

INSTRUKCJE

Brak kontroli nad zgodami na przetwarzanie danych i niedostosowanie systemu informatycznego do wymogów uodo to tylko niektóre z błędów popełnianych przy przetwarzaniu danych. Ich lekceważenie pociąga za sobą m.in. konsekwencje finansowe.

Najczęściej popełniane błędy w związku z ochroną danych

Błędy popełniane przez Administratorów Da-nych Osobowych to w większości braki w do-kumentacji lub brak odpowiednich środków organizacyjno-technicznych służących ochro-nie danych osobowych. Są też jednak i takie błę-dy, które mocno ingerują w sposób prowadzenia biznesu oraz takie, które mogą spowodować duże straty fi nansowe.

Przesłanka legalizującaJednym z poważniejszych uchybień jest brak zapewnienia odpowiedniej i prawidłowej prze-słanki legalizującej przetwarzanie danych osobowych. Nieraz zdarza się sytuacja, gdy ad-ministrator danych przy organizacji: • akcji marketingowej, np. newslettera, kon-

kursu czy loterii, • procesu rekrutacji potencjalnych pracowników,• sprzedaży danych nierzetelnych dłużników,• bazy danych osobowych do sprzedania w ce-

lach marketingowychpomija kwestie związane z ochroną danych oso-bowych. W efekcie okazuje się, że jedyne, co można zro-bić legalnie z pozyskanymi danymi, to ich usu-nięcie, ponieważ nie zapewniono prawidłowej podstawy prawnej ich przetwarzania w celach marketingowych.

Spóźniona reakcjaCzęsto zagadnienia związane z ochroną danych osobowych nie są doceniane, a ich analiza pro-wadzona jest na etapie, gdy już niewiele da się naprawić. Ocena prowadzonego procesu zbierania danych osobowych powinna zawsze być jednym z pierw-szych elementów badania jej legalności i dopusz-czalności. GIODO wielokrotnie podkreślał, aby wszelkie procesy, w których dane osobowe mają być prze-twarzane, były konsultowane już na poziomie ich projektowania.

Osoby odpowiadające za ochronę danych oso-bowych (np. Administrator Bezpieczeństwa Informacji) nie mogą dopuścić, by duża i kosz-towna akcja zbierania danych była wdrożona bez analizy jej dopuszczalności w świetle wymagań określonych w ustawie o ochronie danych oso-bowych.

Brak zgodyDo najczęstszych błędów należy brak kontroli nad tym, kiedy i jakiej treści oświadczenie doty-czące ochrony danych złożyła osoba, której dane są przetwarzane.Prawie w każdym sporze dotyczącym legalności

PRZYKŁADSpółka kapitałowa chciała zbudować bazę marketin-gową do promocji swoich produktów. Dane miały być pozyskiwane przez zewnętrzne call center za pomocą wy-chodzących rozmów telefonicznych. Dział prawny spółki opracował prawidłowe klauzule zgód, tj. zgody na prze-twarzanie danych osobowych w celach marketingowych oraz zgody na przesyłanie informacji handlowych drogą elektroniczną. Niestety na etapie układania skryptu dla pracowników call center uznano, że obydwie zgody można ze sobą połączyć i zbierać jedną zgodę na przetwarzanie danych osobowych w celach marketingowych oraz przesyłanie informacji handlowych drogą elektroniczną. Po kilku miesiącach pracy call center wypełniło danymi osobowymi prawie 1 milion rekordów bazy danych. Nie-stety jedna z osób, która zgodziła się pierwotnie podać swoje dane osobowe, zakwestionowała kształt użytych klauzul. Ich analiza doprowadziła do wniosku, że są nie-prawidłowe. W związku z tym okazało się, że cała baza danych została zebrana w sposób nielegalny. Pomijając kwestię ewentualnej odpowiedzialności kar-nej i cywilnej administratora danych, poniósł on ogromne koszty akcji obdzwaniania osób z bazy danych i zbierania tym razem prawidłowych zgód. Kolejnym „kosztem” oka-zało się to, że tym razem zgody wyraziło znacznie mniej osób, tj. około 150 tysięcy.


[email protected]

przetwarzania, a konkretniej – dopuszczalności wykorzy-stywania danych w określonym celu, administrator danych jest zobowiązany przez Generalnego Inspektora Ochrony Danych Osobowych (sąd administracyjny lub cywilny) do przedstawienia dowodu, iż posiada odpowiednią zgodę wyrażoną przez klienta.Treść klauzul zgód na przetwarzanie danych osobowych cały czas ewoluuje. Mimo to administrator powinien za-pewnić kontrolę i rozliczalność tego, jakiej treści zgodę wyraził klient i kiedy to zrobił. Tylko w ten sposób Ad-ministrator Danych Osobowych będzie mógł wykazać, że przetwarza dane na podstawie odpowiedniej prze-słanki.

PRZYKŁADAdministrator danych stosował wyłącznie papierowe formularze ze zgodami, które nie były wprowadzane do systemu. Posiadał kilkaset tysięcy papierowych nieuporządkowanych formularzy. Aby wykazać przed GIODO, że klient podpisał klauzule zgody, konieczne było za-trudnienie kilku osób, które parę tygodni poszukiwały odpowiednie-go formularza. Zgoda została odnaleziona, ale koszt tej operacji był bardzo duży.

ADO powinien zapewnić rozliczalność wyrażanych przez klientów zgód. Musi być w stanie wykazać, jakiej treści zgo-dę wyraził klient oraz kiedy to uczynił (lub w jakim zakre-sie i kiedy ją odwołał). Osiągnąć to można poprzez rozbudowę systemu infor-matycznego do zarządzania relacjami z klientem CRM (Customer Relationship Managment) o moduł dotyczą-cy zbieranych i używanych oświadczeń klientów lub cho-ciażby ich skanowanie. W razie potrzeby skany formularzy mogą zostać przetworzone przez oprogramowanie rozpo-znające pismo i w ten prosty sposób znajdziemy potrzeb-ny nam dokument.

PRZYKŁADJeden z salonów samochodowych przy okazji każdego bezpośred-niego kontaktu z klientem przedstawiał do podpisu klauzulę zgody na przetwarzanie danych osobowych w celach marketingowych. Raz w roku oświadczenia te były wprowadzane do systemu informatycz-nego. Nie zawierały jednak daty, w której były składane. Podczas sporu z jednym z klientów okazało się, że administrator nie był w stanie wykazać, czy klient najpierw wyraził zgodę na przetwa-rzanie danych w celach marketingowych, a przy następnej wizycie odwołał ją poprzez brak zaznaczenia odpowiedniego checkboxa, czy odwrotnie – przy pierwszej wizycie nie wyraził zgody, ale przy kolejnej okazji zgodził się na przetwarzanie danych w celach marketingowych. Kolejność złożonych oświadczeń była ważna, ponieważ warunkowa-ła dopuszczalność wykonanej przez administratora wysyłki marke-tingowej do klienta.

System informatycznyCzęstym i „kosztownym” błędem jest stosowanie systemów informatycznych, które nie spełniają wymogów przepisów o ochronie danych. Zgodnie z rozporządzeniem do ustawy dla każdej osoby, której dane osobowe są przetwarzane w systemie infor-

matycznym – z wyjątkiem przetwarzania w formie edycji tekstu w celu udostępnienia go na piśmie – system ten za-pewnia odnotowanie:• daty pierwszego wprowadzenia danych do systemu,• identyfi katora użytkownika wprowadzającego dane do

systemu, chyba że dostęp do niego i przetwarzanych w nim danych posiada wyłącznie jedna osoba,

• źródła danych, w przypadku zbierania danych, nie od osoby, której one dotyczą,

• informacji o odbiorcach, w rozumieniu art. 7 pkt 6 usta-wy, którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia, chyba że system informa-tyczny używany jest do przetwarzania danych zawartych w zbiorach jawnych,

• sprzeciwu, o którym mowa w art. 32 ust. 1 pkt 8 ustawy.Odnotowanie informacji, o których mowa w pkt 1 i 2, po-winno nastąpić automatycznie po zatwierdzeniu przez użytkownika operacji wprowadzenia danych. System po-winien zapewniać sporządzenie i wydrukowanie raportu zawierającego powyższe informacje.

Dostosowanie systemuWiele kontroli Generalnego Inspektora Ochrony Danych Osobowych kończy się przekazaniem zaleceń dotyczących dostosowania używanych systemów do wymogów ustawy odo. Jeżeli ADO jest właścicielem systemu informatycz-nego i sam go rozwija, koszt ograniczy się do kosztu pra-cy pracowników. Jeśli jednak korzysta z systemu na podstawie licencji lub nie ma prawa do wprowadzania do niego poprawek, koszt mo-dyfi kacji może sięgać nawet kilkuset tysięcy złotych. Jeśli system nie zostanie dostosowany do wymogów ustawy o ochronie danych osobowych, Generalny Inspektor może nałożyć na grzywnę w wysokości do 200 tys. zł.Jeżeli administrator korzysta z systemu dostarczonego przez podmiot trzeci, powinien zastrzec sobie w umowie z producentem, że gwarantuje on, iż system spełnia aktual-ne, na czas jego używania, wymogi określone w przepisach oraz zobowiązuje się do dokonania odpowiednich mody-fi kacji, jeżeli przepisy ulegną zmianie. Taką regulację warto obudować karami umownymi, które będą zachęcały producenta systemu do skutecznych i szyb-kich działań.Jeśli kod systemu jest zamknięty i w umowie na jego uży-wanie brak regulacji zmuszającej producenta do zapewnie-nia zgodności z przepisami, trzeba zmienić taką umowę. Producent może to wykorzystać do renegocjowania swo-jego wynagrodzenia. W takiej sytuacji możemy też zrezyg-nować z takiego systemu i zastąpić go innym, który będzie spełniał wymogi ustawy o ochronie danych osobowych.

Stosowany w jednostce system informatyczny musi spełniać wymogi przepisów o ochronie danych osobowych


JAROSŁAW ŻABÓWKAtrener, wykładowca, po-pularyzator zagadnień ochrony danych osobo-wych, właściciel fi rmy www.proInfoSec.pl, wieloletni administrator bezpieczeństwa infor-macji, twórca systemów zarządzania ochroną danych osobowych w małych i dużych przedsiębiorstwach, au-dytor normy ISO 27001 i menedżer systemów informatycznych, autor publikacji i prezentacji branżowych

INSTRUKCJE

Instrukcja zarządzania systemem informatycznym to dokument, który każda jednostka przetwarzająca dane osobowe powinna stworzyć. Przepisy podpowiadają, jak to zrobić, jednak nie można ograniczyć się do przepisania zapisów z rozporządzenia.

Tworzymy instrukcję zarządzania systemem informatycznym

Obowiązek przygotowania instrukcji zarządza-nia systemem informatycznym wynika z roz-porządzenia ministra spraw wewnętrznych i administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i syste-my informatyczne służące do przetwarzania da-nych osobowych (Dz.U. z 1 maja 2004 r.).

Instrukcja – obowiązek ADODo opracowania i wdrożenia instrukcji zobo-wiązani są wszyscy administratorzy danych, przetwarzający dane z wykorzystaniem syste-mu informatycznego. W praktyce jest to niemal każdy ADO.Systemy informatyczne zmieniają się bardzo szybko. Rozporządzenie z 2004 roku z pewnoś-cią nie przystaje do tych współczesnych i nie uwzględnia aktualnych zagrożeń bezpieczeństwa danych. Jednak wciąż obowiązuje i wszyscy ad-ministratorzy zobowiązani są do stosowania się do jego wymagań.

UWAGAWymagania określone w rozporządzeniu są minimalne. Każdy z administratorów powinien dobrać zabezpiecze-nia adekwatne do zagrożeń i kategorii danych, jakie wy-stępują w jego podmiocie.

Więcej niż wymaga prawoRozporządzenie mówi, jakie elementy są wyma-gane w instrukcji. Nie oznacza to, że nie powinny znaleźć się w niej inne procedury. Instrukcja nie może być przepisanym rozporządzeniem. Trzeba możliwie szczegółowo opisać faktycznie obowią-zujące procedury wymienione w rozporządzeniu. Przykładami dodatkowych procedur mogą być: „Procedura prowadzenia ewidencji sprzętu i oprogramowania”, „Procedura zmiany konfi -guracji systemu”, „Procedura prowadzenia te-stów nowych wersji systemu” itd.

PRZYKŁADBłędem popełnianym przy tworzeniu instrukcji jest np. ograniczenie się w procedurze nadawania uprawnień do stwierdzenia typu „Nadaje się uprawnienia do syste-mu informatycznego”. Należy szczegółowo opisać kolej-ne kroki, przewidzieć sytuacje nietypowe oraz wskazać osoby odpowiedzialne. Jeżeli uprawnienia nadaje ad-ministrator systemu, to powinniśmy to napisać. Może to wyglądać w taki sposób: „ABI przekazuje kopię upoważ-nienia administratorowi systemu kadrowo-płacowego, który tworzy konto użytkownika oraz wprowadza upraw-nienia w zakresie zgodnym z upoważnieniem”.

Tworzenie procedur możemy rozpocząć od przeprowadzenia wywiadów i opisania rzeczy-wiście funkcjonujących w organizacji toków postępowania. Musimy jednak je przeanalizo-wać i upewnić się, że zapewniają odpowiedni poziom bezpieczeństwa. A także uwzględnić wymagania biznesowe organizacji. Ogranicze-nia organizacyjne i fi nansowe nie mogą jednak uzasadniać niezgodnego z prawem przetwarza-nia danych.

Struktura dokumentuCzasami tworzoną dokumentację należy po-dzielić na kilka części lub przygotować wersje dla osób pracujących na różnych stanowiskach czy w różnych działach. Należy ją przygotować w taki sposób, by każdy z użytkowników systemu informatycznego miał możliwość zapoznania się z obowiązującymi go procedurami. Dokumentacja nie powinna obniżać poziomu bezpieczeństwa danych, dlatego nie udostęp-niajmy użytkownikom tych informacji, które nie są im niezbędne. Nie każdy pracownik po-winien wiedzieć, gdzie są przechowywane kopie bezpieczeństwa. Instrukcja musi być stale aktualizowana. Należy uwzględniać w niej zmiany organizacyjne, mo-dyfi kacje systemów informatycznych oraz poja-wiające się nowe zagrożenia.


[email protected]

Podstawowe elementy instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych

Element wymagany zgodnie z § 5 rozporządzenia

Właściwa zawartość instrukcji

1) procedury nadawania upraw-nień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpo-wiedzialnej za te czynności

Procedury, które tworzymy, powinny obejmować:

nadawanie uprawnień dla nowych pracowników, modyfi kacje uprawnień spowodowane zmianą stanowiska pracy, modyfi kacje uprawnień spowodowane zmianą wersji oprogramowania, odebranie uprawnień zwalnianego użytkownika systemu (zastanówmy się, czy przy-padkiem uprawnienia nie powinny być odebrane, zanim pracownik dowie się, że został zwolniony),

odebranie uprawnień użytkownikowi systemu, który porzucił pracę, sposób postępowania na wypadek nieobecności administratora systemu, sposób okresowego przeglądu uprawnień, oraz inne specyfi czne dla organizacji przypadki.

Zawsze należy wskazać, kto odpowiada za wykonanie poszczególnych czynności.W procedurach trzeba opisać, w jaki sposób będzie tworzony i przekazywany użytkowni-kowi identyfi kator.Niezależnie należy stworzyć procedury dotyczące kont administracyjnych.W procedurach musimy uwzględnić wszystkie systemy wykorzystywane do przetwarzania danych. Możemy tworzyć osobne procedury dla poszczególnych systemów lub uwzględ-nić kilka systemów w jednej procedurze.

2) stosowane metody i środki uwierzytelnienia oraz proce-dury związane z ich zarządza-niem i użytkowaniem

Opisujemy stosowane metody i środki uwierzytelnienia. Jeżeli do logowania użytkownicy wykorzystują hasła, opisujemy, jak zapewnimy stoso-wanie haseł o wymaganej przez rozporządzenie złożoności oraz okresową zmianę hasła (wskazujemy, czy jest to wymuszane przez system, czy też użytkownik musi o tym pamię-tać samodzielnie).Należy opisać sposób, w jaki użytkownikowi zostanie przekazane pierwsze hasło, oraz spo-sób postępowania na wypadek zapomnienia hasła.Jeżeli do uwierzytelniania wykorzystywane są inne niż hasło mechanizmy (np. karty proce-sorowe), również należy opisać stosowane procedury (metodę personalizacji kart, sposób postępowania na wypadek zapomnienia kodu PIN itd.).

3) procedury rozpoczęcia, za-wieszenia i zakończenia pracy przeznaczone dla użytkowni-ków systemu

Tworzymy procedury opisujące sposób rozpoczęcia (włączenie komputera, logowanie do systemu itd.) i zakończenia pracy w systemie przez użytkownika. Należy stworzyć procedurę postępowania na wypadek zawieszenia pracy (np. przy chwi-lowym opuszczeniu stanowiska pracy). Procedura może zobowiązać użytkownika do wy-logowania się z systemu, ale może też nakazać mu jedynie zablokowanie stacji. Jeżeli wykorzystujemy mechanizmy automatycznego blokowanie stacji w razie oddalenia się użytkownika, należy je również opisać.Procedury powinny uwzględniać sposób postępowania na wypadek problemów z logo-waniem lub podejrzenia naruszenia bezpieczeństwa.

4) procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania

Opisujmy szczegółowo procedury wykonywania kopii zapasowych.Powinny być możliwie szczegółowe i zawierać takie elementy, jak:

wskazanie zbiorów danych znajdujących się w poszczególnych kopiach, harmonogram wykonywania kopii poszczególnych zasobów, częstotliwość wykorzystywania poszczególnych nośników, okres lub liczbę wykonanych kopii, po którym nośnik należy poddać testowaniu lub zli-kwidować,


INSTRUKCJE

opis systemu używanego do tworzenia kopii (w wypadku zmiany systemu należy za-bezpieczyć starszą wersję do momentu usunięcia kopii stworzonych z wykorzystaniem tego systemu),

procedurę przywracania poszczególnych elementów (plików, systemów, baz danych itd.), uwzględniającą niezbędne zasoby oraz czas przywrócenia,

procedurę przenoszenia kopii do innych lokalizacji, procedurę testowania poprawności wykonania kopii, procedurę okresowych testów polegających na przywróceniu poszczególnych elemen-tów z kopii,

wskazanie osób odpowiedzialnych za poszczególne czynności.

Wybierając rozwiązania techniczne oraz opracowując harmonogram szkoleń, powinni-śmy brać pod uwagę, czy odtwarzając dane, zapewnimy utrzymanie wymaganych przez biznes parametrów. W szczególności powinniśmy wziąć pod uwagę czasy RTO i RPO.

5) sposób, miejsce i okres prze-chowywania:a) elektronicznych nośników

informacji zawierających dane osobowe,

b) kopii zapasowych, o któ-rych mowa w pkt 4

Należy wskazać miejsce i okres przechowywania poszczególnych nośników, dlatego ko-nieczne jest wprowadzenie pełnej ewidencji wykorzystywanych nośników:

dysków przenośnych, pendrive’ów, kart pamięci, płyt CD/DVD, smartfonów, komputerów przenośnych, taśm streamerów, wymontowanych dysków oraz wszelkich innych nośników wykorzystywanych w organizacji.

Administrator Danych Osobowych zawsze musi wiedzieć, jakie dane i od kiedy znajdują się na danym nośniku – tylko w ten sposób zagwarantujemy, że spełniona zostanie zasa-da ograniczenia czasowego.W wypadku kopii zapasowych zaleca się, aby przynajmniej część z nich była przechowy-wana w innej lokalizacji. Stanowić to będzie zabezpieczenie przed utratą danych na wy-padek kradzieży, zalania, pożaru itd.

6) sposób zabezpieczenia syste-mu informatycznego przed działalnością oprogramowa-nia, o którym mowa w pkt III ppkt 1 załącznika do rozporzą-dzenia

Należy wskazać zainstalowane systemy antywirusowe (oraz inne systemy chroniące przed złośliwym oprogramowaniem), w jaki sposób są zarządzane oraz kto odpowiada za ich po-prawne funkcjonowanie.Trzeba opisać, w jaki sposób mają postępować użytkownicy oraz administratorzy syste-mów w razie wykrycia działania złośliwego oprogramowania.

7) sposób realizacji wymogów, o których mowa w § 7 ust. 1 pkt 4

Należy opisać, w jaki sposób odnotowywana jest informacja o odbiorcach, którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia.Zgodnie z omawianym rozporządzeniem w przypadku przetwarzania danych osobowych w co najmniej dwóch systemach informatycznych do tego przeznaczonych informacje te mogą być odnotowywane w jednym z nich lub w odrębnym systemie informatycznym przeznaczonym do tego celu.

8) procedury wykonywania prze-glądów i konserwacji syste-mów oraz nośników informacji służących do przetwarzania danych

Należy stworzyć procedury przeglądów i konserwacji systemów uwzględniając zakres i czę-stotliwość przeglądów oraz wskazać osoby odpowiedzialne.Ponieważ urządzenia i nośniki przekazywane do naprawy pozbawia się wcześniej zapisu danych lub naprawia pod nadzorem, należy to uwzględnić w tworzonej procedurze. Sto-sowanym w praktyce rozwiązaniem jest zawarcie odpowiedniej umowy powierzenia z do-stawcą usług serwisowych. Należy także opisać sposób postępowania w wypadku sprzętu objętego gwarancją.

OCHRONA DANYCH OSOBOWYCHpdf.helion.pl/e_55mx/e_55mx.pdf · informacje szczególnie istotne, np....

Documents

Transcript of OCHRONA DANYCH OSOBOWYCHpdf.helion.pl/e_55mx/e_55mx.pdf · informacje szczególnie istotne, np....