Generalny Inspektor Ochrony Danych Osobowych ul. Stawki 2, 00-193 Warszawa
www.giodo.gov.pl kancelaria@giodo.gov.pl
BEZPIECZEŃSTWO DANYCH OSOBOWYCH PRZETWARZANYCH PRZY UŻYCIU
SYSTEMÓW INFORMATYCZNYCH
Tomasz Soczyński
Zastępca Dyrektora Departamentu Informatyki BIURO
Generalnego Inspektora Ochrony Danych Osobowych
• Polityka bezpieczeństwa
• Dokumentacja Przetwarzania danych
• Podstawowe wymagania dotyczące funkcjonalności systemu informatycznego
• Poziomy bezpieczeństwa systemu informatycznego
www.giodo.gov.pl
Każdy ma prawo do ochrony życia prywatnego, rodzinnego, czci i dobrego imienia oraz do
decydowania o swoim życiu osobistym.
KONSTYTUCJA RZECZYPOSPOLITEJ POLSKIEJ
(Art. 47)
1.Nikt nie może być obowiązany inaczej niż na podstawie ustawy do ujawniania informacji dotyczących jego osoby.
2.Władze publiczne nie mogą pozyskiwać, gromadzić i udostępniać innych informacji o obywatelach niż niezbędne w demokratycznym państwie prawnym.
3.Każdy ma prawo dostępu do dotyczących go urzędowych dokumentów i zbiorów danych. Ograniczenie tego prawa może określić ustawa.
4.Każdy ma prawo do żądania sprostowania oraz usunięcia informacji
nieprawdziwych, niepełnych lub zebranych w sposób sprzeczny z ustawą.
KONSTYTUCJA RZECZYPOSPOLITEJ POLSKIEJ
(Art. 51)
www.giodo.gov.pl
Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.).
1. z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych
2. z dnia 11 grudnia 2008 r. w sprawie wzoru zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych 3. z dnia 22 kwietnia 2004 r. w sprawie wzorów imiennego upoważnienia
i legitymacji służbowej inspektora Biura Generalnego Inspektora Ochrony Danych Osobowych
AKTY PRAWNE
• Przetwarzanie danych w zbiorze wbrew zakazowi przetwarzania bądź przy braku uprawnienia do przetwarzania (art. 49)
• Udostępnienie danych lub umożliwienie dostępu osobom nieupoważnionym (art. 51)
• Naruszenie obowiązku zabezpieczenia danych (art. 52)
• Niezgłoszenie zbioru do rejestracji (art. 53)
• Niedopełnienie obowiązku informacyjnego (art. 54)
PRZESTĘPSTWA (UODO)
www.giodo.gov.pl
DANE OSOBOWE / PRZETWARZANIE (ART. 6 I 7 UODO)
Osoba możliwa do zidentyfikowania – osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne (art. 6 ust. 2).
Informacji nie uważa się za umożliwiające określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań (art. 6 ust.
3).
Przetwarzanie danych – jakiekolwiek operacje na danych osobowych
statyczne (np. przechowywanie danych) jak i dynamiczne (pozyskiwanie, udostępnianie, zmienianie, usuwanie itd.)
Dane osobowe – wszelkie informacje dotyczące
zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (art. 6 ust. 1).
Art. 29 Opinii Grupy Roboczej Rady Europy wskazuje, że za dane osobowe należałoby również uznać odwzorowania danych biometrycznych oraz dane DNA, które mogą być wykorzystywane w celu ustalenia
tożsamości osób.
DANE OSOBOWE (Art. 6 i 7 UODO)
www.giodo.gov.pl
Dane ujawniające:
pochodzenie rasowe lub etniczne, poglądy polityczne,
przekonania religijne lub filozoficzne,
przynależność wyznaniową, partyjną lub związkową, Dane o:
stanie zdrowia,
kodzie genetycznym,
nałogach lub życiu seksualnym skazaniach,
orzeczeniach o ukaraniu i mandatach karnych,
innych orzeczeniach wydanych w postępowaniu sądowym lub administracyjnym.
DANE SENSYTYWNE (ART. 27 UODO)
Administrator danych przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić,
aby dane te były:
1) przetwarzane zgodnie z prawem,
2) zbierane dla oznaczonych, zgodnych z prawem celów i nie poddawane dalszemu przetwarzaniu niezgodnemu z tymi celami, z zastrzeżeniem ust. 2,
3) merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane,
4) przechowywane w postaci umożliwiającej identyfikację osób,
których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania.
ZASADY PRZETWARZANIA DANYCH
(ART. 26 UST. 1 UODO)
www.giodo.gov.pl
organ państwowy, organ samorządu terytorialnego, państwowa lub komunalna jednostka organizacyjna, podmiot niepubliczny realizujący zadania publiczne, osoby fizyczne i prawne oraz jednostki organizacyjne niebędące osobami prawnymi przetwarzające dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych mające siedzibę albo miejsce zamieszkania na terytorium RP albo w państwie trzecim, o ile przetwarzają dane osobowe przy wykorzystaniu środków technicznych znajdujących się na terytorium RP
(AD) decydujące o celach i środkach przetwarzania danych osobowych
ADMINISTRATOR DANYCH (ART. 7 PKT 4
UODO)
• przesłanki legalności przetwarzania danych - dane zwykłe art. 23, zaś dane szczególnie chronione – art. 27,
• obowiązek informacyjny unormowany w art. 24 i 25 ustawy,
• obowiązek dołożenia szczególnej staranności w celu ochrony interesów osób, których dane dotyczą (art. 26 ustawy),
• obowiązek respektowania praw osób, których dane dotyczą - art. 32 i 33 ustawy,
• obowiązek zastosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych (art. 36 – 39 ustawy),
• obowiązek zgłoszenia zbioru danych do zarejestrowania
Generalnemu Inspektorowi Ochrony Danych Osobowych (art. 40 ustawy), z wyjątkiem przypadków wymienionych w art. 43 ust. 1.
OBOWIĄZKI ADMINISTRATORÓW DANYCH
(UODO)
www.giodo.gov.pl
ZABEZPIECZENIE DANYCH OSOBOWYCH (ROZDZIAŁ 5 UODO)
• Dopuszczenie do przetwarzania danych wyłącznie osób posiadających upoważnienie nadane przez administratora danych (ART. 37).
• Zapewnienie kontroli nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane (ART. 38).
• Ewidencja osób upoważnionych do przetwarzania danych (ART. 39).
Obowiązek zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia.
13
1. Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych
osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną...
2. Administrator danych prowadzi dokumentację opisującą sposób przetwarzania danych oraz środki, w szczególności;
• Politykę bezpieczeństwa,
• Instrukcję zarządzania systemami informatycznymi,
• Ewidencję osób upoważnionych do przetwarzania danych osobowych,
Zabezpieczenie danych osobowych Art. 36.
www.giodo.gov.pl 15
(§ 4) Polityka bezpieczeństwa zawiera w szczególności:
wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe;
wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych;
opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi;
sposób przepływu danych pomiędzy poszczególnymi systemami;
określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.
BEZPIECZEŃSTWO DANYCH
1) procedury nadawania uprawnień do przetwarzania danych i
rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności;
2) stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem;
3) procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu;
4) procedury tworzenia kopii zapasowych zbiorów danych oraz
BEZPIECZEŃSTWO DANYCH
(§ 5) Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych zawiera w szczególności:
www.giodo.gov.pl 17
a) elektronicznych nośników informacji zawierających dane osobowe, b) kopii zapasowych, o których mowa w pkt 4;
BEZPIECZEŃSTWO DANYCH
(§ 5 ) Instrukcja zarządzania systemem informatycznym cd:
5) sposób, miejsce i okres przechowywania:
6) sposób zabezpieczenia systemu informatycznego przed działalnością szkodliwego oprogramowania, o którym mowa w pkt III ppkt 1 załącznika do rozporządzenia;
7) sposób realizacji wymogów, o których mowa w § 7 ust. 1 pkt 4;
8) procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.
POLITYKA BEZPIECZEŃSTWA
POLITYKA BEZPIECZEŃSTWA – POZIOMY BEZPIECZEŃSTWA (1)
System nie połączony z publiczną siecią telekomunikacyjną
System, w którym brak jest danych wrażliwych
System, w którym występują dane wrażliwe 2. podwyższony
1. podstawowy
www.giodo.gov.pl
• Zabezpieczenie obszaru przed dostępem osób nieuprawnionych na czas nieobecności osób uprawnionych do przetwarzania danych osobowych,
• Mechanizmy kontroli dostępu w systemie informatycznym,
• Zabezpieczenie systemu przed oprogramowaniem umożliwiającym uzyskanie nieuprawnionego dostępu oraz utratą zasilania,
ŚRODKI BEZPIECZEŃSTWA NA POZIOMIE
PODSTAWOWYM
• Hasła (min. 6 znaków, zmiana nie rzadziej niż co 30 dni) i identyfikatory (zakaz ponownego przydzielania tych samych identyfikatorów),
• Kopie zapasowe zbiorów i programów służących do przetwarzania danych,
• Kryptografia – urządzenia przenośne,
• Reguły dotyczące nośników danych,
ŚRODKI BEZPIECZEŃSTWA NA POZIOMIE
PODSTAWOWYM
www.giodo.gov.pl
• Nośniki do likwidacji – pozbawienie zapisu danych bądź ich uszkodzenie uniemożliwiające ich odczytanie przed likwidacją,
• Nośniki przekazywane podmiotom nieuprawnionym do
przetwarzania danych – uprzednie pozbawienie zapisu danych w sposób uniemożliwiający ich odczytanie,
• Nośniki przeznaczone do naprawy – uprzednie pozbawienie zapisu danych w sposób uniemożliwiający ich odczytanie bądź naprawa pod nadzorem osoby upoważnionej przez administratora danych.
PROCEDURY DOTYCZĄCE NOŚNIKÓW
• Środki ochrony na poziomie podstawowym,
• Hasła (min. 8 znaków, małe i wielkie litery, cyfry lub znaki specjalne),
• Urządzenia i nośniki zawierające dane osobowe szczególnie chronione przekazywane poza obszar, w którym przetwarzane są dane osobowe, zabezpiecza się w sposób zapewniający poufność i integralność tych danych,
• Instrukcja zarządzania systemem informatycznym musi zawierać sposób
ŚRODKI BEZPIECZEŃSTWA NA POZIOMIE
PODWYŻSZONYM
www.giodo.gov.pl
BEZPIECZEŃSTWO DANYCH
STOSOWANE METODY I ŚRODKI UWIERZYTELNIENIA (1) Czyprocesuwierzytelnieniamożebyćprzyjaznydlaużytkownika?
BEZPIECZEŃSTWO DANYCH
STOSOWANE METODY I ŚRODKI UWIERZYTELNIENIA (2)
Uwierzytelnienie na podstawie
posiadanejwiedzy(identyfikator,hasło,
PIN)
Uwierzytelnienie na podstawie
posiadanej rzeczy (klucz, token, karta mikroprocesorowa)
Uwierzytelnienie na podstawie posiadanej cechy
www.giodo.gov.pl
• Środki ochrony na poziomie podstawowym i podwyższonym,
• Ochrona przed zagrożeniami pochodzącymi z sieci publicznej (wdrożenie fizycznych lub logicznych zabezpieczeń chroniących przed
nieuprawnionym dostępem),
• Środki kryptograficznej ochrony wobec danych wykorzystywanych do uwierzytelnienia, które są przesyłane w sieci publicznej,
ŚRODKI BEZPIECZEŃSTWA NA POZIOMIE
WYSOKIM
Zgodnie z art. 39. Administrator danych prowadzi ewidencję osób
upoważnionych do przetwarzania danych osobowych, która powinna zawierać:
• imię i nazwisko osoby upoważnionej,
• datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych,
• identyfikator, jeżeli dane są przetwarzane w systemie informatycznym.
Osoby, które zostały upoważnione do przetwarzania danych, są obowiązane zachować w tajemnicy te dane osobowe oraz sposoby ich
Zakres ewidencji osób upoważnionych do
przetwarzania danych osobowych
www.giodo.gov.pl 27
1) daty pierwszego wprowadzenia danych do systemu;
2) identyfikatora użytkownika wprowadzającego dane osobowe do systemu, chyba że dostęp do systemu informatycznego i przetwarzanych w nim danych posiada wyłącznie jedna osoba;
3) źródła danych, w przypadku zbierania danych, nie od osoby, której one dotyczą;
4) informacji o odbiorcach, w rozumieniu art. 7 pkt 6 ustawy, którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia, chyba że system informatyczny używany jest do przetwarzania danych zawartych w zbiorach jawnych;
FUNKCJONALNOŚĆ ZAPEWNIAJĄCA ODNOTOWYWANIE
§ 7 ust. 1 - 4 ROZPORZĄDZENIA MSWiA
• (Ust. 1) Dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym - z wyjątkiem systemów służących do przetwarzania danych osobowych ograniczonych wyłącznie do edycji tekstu w celu udostępnienia go na piśmie - system ten zapewnia odnotowanie:
5) sprzeciwu, o którym mowa w art. 32 ust. 1 pkt 8 ustawy.
FUNKCJONALNOŚĆ ZAPEWNIAJĄCA ODNOTOWYWANIE
§ 7 ust. 1 - 4 ROZPORZĄDZENIA MSWiA
• (Ust. 2) Odnotowanie informacji, o których mowa w ust. 1 pkt 1 i 2, następuje automatycznie po zatwierdzeniu przez użytkownika operacji wprowadzenia danych.
• (Ust. 3) Dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym, system zapewnia sporządzenie i wydrukowanie raportu zawierającego w powszechnie zrozumiałej formie informacje, o których mowa w ust. 1.
• (Ust. 4) W przypadku przetwarzania danych osobowych, w co najmniej dwóch systemach informatycznych, wymagania, o których mowa w
www.giodo.gov.pl
Zapraszamy każdego, kto chce pogłębić swoją wiedzę o ochronie danych
osobowych, do skorzystania z internetowego serwisu edukacyjnego - platformy eduGIODO.
• Portal umożliwia:
• poznanie podstawowych zagadnień dotyczących ochrony danych osobowych,
• ukończenie trzech specjalistycznych kursów e-larningowych wzbogaconych o elementy multimedialne oraz testy sprawdzające.
Adresowany jest do:
• administratorów danych,
• osób przetwarzających dane,
• osób, których dane dotyczą, czyli każdego z nas.
https://edugiodo.giodo.gov.pl
nowoczesne źródło wiedzy o ochronie danych osobowych
Platforma edukacyjna GIODO
https://edugiodo.giodo.gov.pl/
www.giodo.gov.pl
Informacje szczegółowe znajdziecie Państwo na portalach:
www.giodo.gov.pl
www.edugiodo.giodo.gov.pl
Biuro Generalnego Inspektora Ochrony Danych Osobowych
ul. Stawki 2, 00-193 Warszawa tel. (0 22) 860 70 81 fax. (0 22) 860 70 86 kancelaria@giodo.gov.pl
www.giodo.gov.pl