(…) zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.

Przepis ten wskazuje, iż zapewniana przez Administratora ochrona danych osobowych musi być odpowiednia do potencjalnych zagrożeń oraz kategorii danych. W § 6 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 roku w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024) wyróżniono 3 poziomy bezpieczeństwa systemów informatycznych.

 

Poziomy bezpieczeństwa systemów informatycznych na podstawie § 6 rozporządzenia:

 

§ 6.

1. Uwzględniając kategorie przetwarzanych danych oraz zagrożenia wprowadza się poziomy bezpieczeństwa przetwarzania danych osobowych w systemie informatycznym:
1) podstawowy;
2) podwyższony;
3) wysoki.

2. Poziom co najmniej podstawowy stosuje siÄ™, gdy:
1) w systemie informatycznym nie są przetwarzane dane, o których mowa w art. 27 ustawy, oraz
2) żadne z urzÄ…dzeÅ„ systemu informatycznego, sÅ‚użącego do przetwarzania danych osobowych nie jest poÅ‚Ä…czone z sieciÄ… publicznÄ….

3. Poziom co najmniej podwyższony stosuje się, gdy:
1) w systemie informatycznym przetwarzane są dane osobowe, o których mowa w art. 27 ustawy, oraz
2) żadne z urządzeń systemu informatycznego, służącego do przetwarzania danych osobowych nie jest połączone z siecią publiczną.

4. Poziom wysoki stosuje się, gdy przynajmniej jedno urządzenie systemu informatycznego, służącego do przetwarzania danych osobowych, połączone jest z siecią publiczną.

5. Opis środków bezpieczeństwa stosowany na poziomach, o których mowa w ust. 1, określa załącznik do rozporządzenia.

Omówmy zatem po kolei wszystkie poziomu bezpieczeństwa i środki organizacyjne oraz techniczne, jakie należy wdrożyć w celu zabezpieczenia danych osobowych przetwarzanych w danym systemie.

 

Poziom podstawowy

Jeśli w systemie brak jest danych wrażliwych, o których mowa w art. 27 ust. 1 ustawy, a system nie jest podłączony z zewnętrzną siecią telekomunikacyjną, czyli nie ma dostępu do internetu, wystarczy zastosować podstawowy poziom bezpieczeństwa.

Dane wrażliwe, o których mowa w art. 27 ust. 1 ustawy:

Art. 27. 1. Zabrania się przetwarzania danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym.

 Natomiast art. 27 ust. 2 ustawy wskazuje na sytuacje, w których pod pewnymi warunkami przetwarzanie danych osobowych tego rodzaju jest dopuszczalne. JeÅ›li nasz zbiór nie zawiera takich danych, a system informatyczny, w którym przetwarzamy dane nie ma dostÄ™pu do Internetu, wystarczy, że zabezpieczymy system na podstawowym poziomie.

Wytyczne dotyczące środków organizacyjnych i technicznych stosowanych w celu zabezpieczenia systemu informatycznego, znajdują się w załączniku do rozporządzenia:

A. Środki bezpieczeństwa na poziomie podstawowym

I

Obszar, o którym mowa w § 4 pkt 1 rozporządzenia, zabezpiecza się przed dostępem osób nieuprawnionych na czas nieobecności w nim osób upoważnionych do przetwarzania danych osobowych.

Przebywanie osób nieuprawnionych w obszarze, o którym mowa w § 4 pkt 1 rozporządzenia, jest dopuszczalne za zgodą administratora danych lub w obecności osoby upoważnionej do przetwarzania danych osobowych.

II

1. W systemie informatycznym służącym do przetwarzania danych osobowych stosuje się mechanizmy kontroli dostępu do tych danych.

2. Jeżeli dostęp do danych przetwarzanych w systemie informatycznym posiadają co najmniej dwie osoby, wówczas zapewnia się, aby:

a) w systemie tym rejestrowany był dla każdego użytkownika odrębny identyfikator;

b) dostęp do danych był możliwy wyłącznie po wprowadzeniu identyfikatora i dokonaniu uwierzytelnienia.

III

System informatyczny służący do przetwarzania danych osobowych zabezpiecza się, w szczególności przed:

1) działaniem oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego;

2) utratą danych spowodowaną awarią zasilania lub zakłóceniami w sieci zasilającej.

 

IV

1. Identyfikator użytkownika, który utracił uprawnienia do przetwarzania danych, nie może być przydzielony innej osobie.

2. W przypadku gdy do uwierzytelniania użytkowników używa się hasła, jego zmiana następuje nie rzadziej niż co 30 dni. Hasło składa się co najmniej z 6 znaków.

3. Dane osobowe przetwarzane w systemie informatycznym zabezpiecza się przez wykonywanie kopii zapasowych zbiorów danych oraz programów służących do przetwarzania danych.

4. Kopie zapasowe:

a) przechowuje się w miejscach zabezpieczających je przed nieuprawnionym przejęciem, modyfikacją, uszkodzeniem lub zniszczeniem;

b) usuwa się niezwłocznie po ustaniu ich użyteczności.

 

V

Osoba użytkująca komputer przenośny zawierający dane osobowe zachowuje szczególną ostrożność podczas jego transportu, przechowywania i użytkowania poza obszarem, o którym mowa w § 4 pkt 1 rozporządzenia, w tym stosuje środki ochrony kryptograficznej wobec przetwarzanych danych osobowych.

VI

Urządzenia, dyski lub inne elektroniczne nośniki informacji, zawierające dane osobowe, przeznaczone do:

1) likwidacji — pozbawia się wcześniej zapisu tych danych, a w przypadku gdy nie jest to możliwe, uszkadza się w sposób uniemożliwiający ich odczytanie;

2) przekazania podmiotowi nieuprawnionemu do przetwarzania danych — pozbawia się wcześniej zapisu tych danych, w sposób uniemożliwiający ich odzyskanie;

3) naprawy — pozbawia się wcześniej zapisu tych danych w sposób uniemożliwiający ich odzyskanie albo naprawia się je pod nadzorem osoby upoważnionej przez administratora danych.

 

VII

Administrator danych monitoruje wdrożone zabezpieczenia systemu informatycznego

Poziom podwyższony

Jeśli w systemie informatycznym przetwarzane są dane wrażliwe, o których mowa w art. 27 ust. 1 ustawy, natomiast system nie jest narażony na zagrożenia z sieci telekomunikacyjnej (nie ma dostępu do Internetu) należy zastosować podwyższony poziom bezpieczeństwa. Administrator Danych Osobowych ma obowiązek zastosować wszystkie środki, o których mowa w części dotyczącej poziomu podstawowego, a dodatkowo również te, o których mowa w części B załącznika do rozporządzenia:

B. Środki bezpieczeństwa na poziomie podwyższonym

VIII

W przypadku gdy do uwierzytelniania użytkowników używa się hasła, składa się ono co najmniej z 8 znaków, zawiera małe i wielkie litery oraz cyfry lub znaki specjalne.

IX

Urządzenia i nośniki zawierające dane osobowe, o których mowa w art. 27 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, przekazywane poza obszar, o którym mowa w § 4 pkt 1 rozporządzenia, zabezpiecza się w sposób zapewniający poufność i integralność tych danych.

X

Instrukcja zarządzania systemem informatycznym, o której mowa w § 5 rozporządzenia, rozszerza się o sposób stosowania środków, o których mowa w pkt IX załącznika.

XI

Administrator danych stosuje na poziomie podwyższonym środki bezpieczeństwa określone w części A załącznika, o ile zasady zawarte w części B nie stanowią inaczej.

 

Poziom wysoki

Konieczność zastosowania wysokiego poziomu bezpieczeństwa dotyczy większości firm przetwarzających dane osobowe. Ten stan rzeczy wynika z prostego faktu, iż większość komputerów, na których pracujemy, ma możliwość podłączenia do zewnętrznej sieci telekomunikacyjnej, czyli do Internetu. Nie ma znaczenia, czy system informatyczny przetwarza zbiory zawierające dane wrażliwe, czy nie. Jeśli komputer z systemem informatycznym ma dostęp do Internetu, jest narażony na zagrożenia płynące z sieci (wirusy, szkodliwe oprogramowanie, kradzież danych itp.). Wysoki poziom bezpieczeństwa systemu informatycznego wymaga zastosowania wszystkich środków przewidzianych dla poziom podstawowego i podwyższonego (część A i B załącznika), a także środków, o których mowa w części C załącznika do rozporządzenia:

C. Środki bezpieczeństwa na poziomie wysokim

XII

1. System informatyczny służący do przetwarzania danych osobowych chroni się przed zagrożeniami pochodzącymi z sieci publicznej poprzez wdrożenie fizycznych lub logicznych zabezpieczeń chroniących przed nieuprawnionym dostępem.

2. W przypadku zastosowania logicznych zabezpieczeń, o których mowa w ust. 1, obejmują one:

a) kontrolę przepływu informacji pomiędzy systemem informatycznym administratora danych a siecią publiczną;

b) kontrolę działań inicjowanych z sieci publicznej i systemu informatycznego administratora danych.

XIII

Administrator danych stosuje środki kryptograficznej ochrony wobec danych wykorzystywanych do uwierzytelnienia, które są przesyłane w sieci publicznej.

XIV

Administrator danych stosuje na poziomie wysokim środki bezpieczeństwa, określone w części A i B załącznika, o ile zasady zawarte w części C nie stanowią inaczej.