Strona główna

Prowadź biznes efektywnie
dzięki zastosowaniu informatycznych rozwiązań

Zasoby

Logowanie

Zarejestruj się Zapomniałem hasła

Aktualności

Prace nad szkoleniami

Obecnie trwają prace nad opracowaniem szkoleń E-learningowych i M-learningowych zawierających informacje przeznaczone dla osób prowadzących działalność gospodarczą w sektorze MŚP. Planowany termin zakończenia tych prac to 31 grudzień 2011.

więcej

Uruchomienie platrofmy e-learningowej

30 czerwca 2011, zgodnie z harmonogramem projektu uruchomiona została platforma E-learningowa.

więcej

Publikacja strony www projektu

31 marca 2011 r. uruchomiona została platforma oparta na technologii www, zintegrowana z platformą E-Learningu, E-firma i E-Turist

więcej
zobacz wszystkie

Wydarzenia

«Kwiecień 2024»
Pn Wt Śr Cz Pt So Nd
01 02 03 04 05 06 07
08 09 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30          
 
Brak nadchodzących wydarzeń wpisanych do kalendarza

Ankieta

Zarządzaj online» Zasoby » Porady

Ochrona danych osobowych

Ochrona danych osobowych
Informacje podstawowe

Uregulowania prawne dotyczące ochrony danych osobowych mają na celu ochronę obywateli przed potencjalnymi niebezpieczeństwami związanymi z nowoczesnymi metodami przetwarzania informacji. W szczególności chodzi o ochronę prywatności, która mogłaby być naruszona poprzez:

  • wykorzystanie danych w celach innych niż ich przeznaczenie
  • wypływ danych z przedsiębiorstw urzędów i instytucji
  • łączenie baz z różnych firm celem uzyskania informacji o profilu osobowym klientów


Uregulowania prawne

  1.  DYREKTYWA 95/46/EC PARLAMENTU EUROPEJSKIEGO ORAZ RADY z 24 października 1995 O ochronie osób w związku z przetwarzaniem danych osobowych oraz o swobodnym obiegu tychże danych.
  2. USTAWA z dnia 29 sierpnia 1997 r. O ochronie danych osobowych. (Dz. U. z 1997 r. Nr 133, poz. 883)
  3. Rozporządzenie ministra spraw wewnętrznych i administracji z 29 kwietnia 2004 r. W sprawie dokumentacji i przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (DzU nr 100, poz. 1024) wraz załącznikiem opisującym poziomy bezpieczeństwa w firmie.

 

Podstawowe pojęcia

  • Zbiór danych - każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie,
  • Przetwarzanie danych - jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych,Usuwanie danych - zniszczenie danych osobowych lub taką ich modyfikację, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą,
  • Administrator danych - organ, instytucja, jednostka organizacyjna, podmiot lub osoba , których dotyczy ustawa o ochronie danych osobowych.
  • Administrator bezpieczeństwa informacji, to osoba odpowiedzialna za bezpieczeństwo danych osobowych w systemie informatycznym.
  • Administrator sieci, to osoba nadzorująca pracę całości systemu informatycznego (sieci zakładowej, sieci wydzielonej).
  • Administrator systemu, to osoba odpowiedzialna za funkcjonowanie systemu (programu) informatycznego.
  • Adresy Generalnego Inspektora Danych Osobowych: Pl. Powstańców Warszawy 1, 00-030 Warszawa, tel. (0-22)827-86-09, fax 827-88-12

 

Zadania Administratora Bezpieczeństwa Informacji

Materiały opracowane na podstawie informacji z Biura Generalnego Inspektora Ochrony Danych Osobowych (Departament Informatyki).

Adres biura:
ul. Koszykowa 53
00-659 Warszawa
Tel.: (022) 629-02-13;  Fax.: (022) 628-97-16

Administrator bezpieczeństwa informacji, to osoba odpowiedzialna za bezpieczeństwo danych osobowych w systemie informatycznym, w tym w szczególności za przeciwdziałanie dostępowi osób niepowołanych do systemu, w którym przetwarzane są dane osobowe, oraz za podejmowanie odpowiednich działań w przypadku wykrycia naruszeń w systemie zabezpieczeń.

Administratora bezpieczeństwa informacji, swoje działania powinien dostosować do sytuacji organizacyjnej oraz finansowej administratora danych. W przypadku gdy administratora danych osobowych nie jest w stanie zakupić drogich, profesjonalnych informatycznych narzędzi zabezpieczających dane osobowe, Administrator Bezpieczeństwa Informacji powinien wskazać tańsze często fizyczne środki zabezpieczające przetwarzane dane, które przy zachowaniu odpowiedniej organizacji pracy mogą być również wystarczające.

 

Podstawowe obowiązki wynikające z tych zadań:

  1. Nadzór nad fizycznym zabezpieczeniem pomieszczeń, w których przetwarzane są dane osobowe oraz kontrolą przebywających w nich osób. Pomieszczenia, o których mowa wyżej powinny być zabezpieczone przed dostępem do nich osób nie posiadających uprawnień do przetwarzania danych osobowych. Osoby nie posiadające takich uprawnień mogą przebywać w nich jedynie w obecności osób uprawnionych. Na czas nieobecności zatrudnionych tam osób, pomieszczenia te powinny być odpowiednio zabezpieczone. W celu zabezpieczenia pomieszczeń należy zastosować odpowiednie zamki do drzwi oraz sprawować właściwy nadzór nad kluczami do tych pomieszczeń.
  2. Zapewnienie awaryjnego zasilania komputerów oraz innych urządzeń mających wpływ na bezpieczeństwo przetwarzania. Komputery oraz urządzenia, o których mowa wyżej powinny być zasilane poprzez zastosowanie specjalnych urządzeń podtrzymujących zasilanie (UPS). Urządzenia te mogą być wyposażone w oprogramowania umożliwiającego bezpieczne wyłączenie systemu komputerowego. Oznacza to takie wyłączenie, w którym przed zanikiem zasilania zostaną prawidłowo zakończone rozpoczęte transakcje na bazie danych oraz wszelkie inne działanie w ramach pracujących aplikacji i oprogramowania systemowego.
  3. Dopilnowanie aby komputery przenośne, w których przetwarzane są dane osobowe zabezpieczone były hasłem dostępu przed nieautoryzowanym uruchomieniem oraz aby mikrokomputery te nie były udostępniane osobom nieupoważnionym do przetwarzania danych osobowych. Osoby posiadające mikrokomputery przenośne z zapisanymi w nich danymi osobowymi należy przeszkolić w celu zachowania szczególnej uwagi podczas ich transportu oraz na to, aby mikrokomputery te przechowywane były we właściwie zabezpieczonym pomieszczeniu.
  4. Nadzór nad naprawami, konserwacją oraz likwidacją urządzeń komputerowych na których zapisane są dane osobowe. Dyski i inne informatyczne nośniki danych zawierające dane osobowe przeznaczone do likwidacji, należy pozbawić zapisu tych danych, a w przypadku gdy nie jest to możliwe należy uszkodzić w sposób uniemożliwiający ich odczyt. Urządzenia przekazywane do naprawy należy pozbawić zapisu danych osobowych lub naprawiać w obecności osoby upoważnionej przez administratora danych.
  5. Zarządzanie hasłami użytkowników i nadzór nad przestrzeganiem procedur określających częstotliwość ich zmiany zgodnie z wytycznymi, które powinny być zawarte w instrukcji określającej sposób zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, ze szczególnym uwzględnieniem wymogów bezpieczeństwa informacji (§11 ust, 2 punkt 1 rozporządzenia).
  6. Nadzór czynności związanych ze sprawdzaniem systemu pod kątem obecności wirusów komputerowych, częstości ich sprawdzania oraz nadzorowanie wykonywania procedur uaktualniania systemów antywirusowych i ich konfiguracji.
  7. Nadzór nad wykonywania kopii awaryjnych, ich przechowywaniem oraz okresowym sprawdzaniem pod kątem ich dalszej przydatności do odtwarzania danych w przypadku awarii systemu.
  8. Nadzór nad przeglądami, konserwacjami oraz uaktualnieniami systemów służących do przetwarzania danych osobowych oraz wszystkimi innymi czynnościami wykonywanymi na bazach danych osobowych.
  9. Nadzór nad systemem komunikacji w sieci komputerowej oraz przesyłaniem danych za pośrednictwem urządzeń teletransmisji.
  10. Nadzór nad obiegiem oraz przechowywaniem dokumentów i wydawnictw zawierających dane osobowe generowane przez system informatyczny. W zakresie nadzoru, o którym mowa wyćej administrator bezpieczeństwa informacji powinien dopilnować, aby osoby zatrudnione przy przetwarzaniu danych osobowych miały dostęp do niszczarki dokumentów w celu niszczenia błędnie utworzonych lub niepotrzebnych już wydruków komputerowych z danymi osobowymi.
  11. Nadzór nad funkcjonowaniem mechanizmów uwierzytelniania użytkowników w systemie informatycznym przetwarzającym dane osobowe oraz kontrolą dostępu do danych osobowych. Nadzorowanie, o którym mowa wyćej powinno obejmować:
    * ustalenie identyfikatorów użytkowników i ich haseł (identyfikatory ućytkowników należy wpisać do ewidencji osób zatrudnionych przy przetwarzaniu danych osobowych).
    * dopilnowanie aby hasła użytkowników były zmieniane okresowo,
    * dopilnowanie aby dostęp do danych osobowych przetwarzanych w systemie był możliwy wyłącznie po podaniu identyfikatora i właściwego hasła,
    * dopilnowanie, aby hasła użytkowników były trzymane w tajemnicy (również po upływie terminu ich ważności),
    * dopilnowanie, aby identyfikatory osób, które utraciły uprawnienia do przetwarzania danych osobowych zastały natychmiast wyrejestrowane, a ich hasła unieważnione,
  12. Dopilnowanie, aby jeżeli istnieją odpowiednie możliwości techniczne, ekrany monitorów stanowisk komputerowych, na których przetwarzane są dane osobowe, automatycznie się wyłączały po upływie ustalonego czasu nieaktywności użytkownika. Zalecanym rozwiązaniem powyższego problemu jest zastosowanie takich wygaszaczy ekranowych, które po upływie określonego czasu bezczynności użytkownika wygaszają monitor i jednocześnie uruchamiają blokadę, która uniemożliwia kontynuowanie pracy na komputerze bez podania właściwego hasła. Wygaszacz taki oprócz ochrony danych, które przez dłuższy okres czasu wyświetlane były by na ekranie monitora, chroni system przed przechwyceniem sesji dostępu do danych przez nieuprawnioną osobę.
  13. Dopilnowanie, aby w pomieszczeniach, gdzie przebywają osoby postronne, monitory stanowisk dostępu do danych osobowych były ustawione w taki sposób aby uniemoćliwić tym osobom wgląd w dane.
  14. Podjęcie natychmiastowych działań zabezpieczających stan systemu informatycznego w przypadku otrzymania informacji o naruszeniu zabezpieczeń systemu informatycznego lub informacji o zmianach w sposobie działania programu lub urządzeń wskazujących na naruszenie bezpieczeństwa danych.
  15. Analiza sytuacji, okoliczności i przyczyn, które doprowadziły do naruszenia bezpieczeństwa danych (jeśli takie wystąpiło) i przygotowanie oraz przedstawienie administratorowi danych odpowiednich takich zmian do instrukcji zarządzania systemem informatycznym, służącym do przetwarzania danych osobowych (§11 ust. 1 rozporządzenia). Zmiany te powinny być takie, aby wyeliminować lub ograniczyć wystąpienie podobnych sytuacji w przyszłości. Obowiązek śledzenia skuteczności zabezpieczeń, o którym mowa wyćej, oraz obowiązek ich udoskonalania, nałożony na administratora bezpieczeństwa, wynika bezpośrednio z obowiązku podejmowania odpowiednich działań w przypadku wykrycia naruszeń w systemie zabezpieczeń (§3 rozporządzenia)

PROCEDURY POSTĘPOWANIA

1. Przygotowanie systemu

  • Wskazanie kandydatów na funkcję administratora systemów informatycznych (aplikacji) związanych z przetwarzaniem danych osobowych.
  • Zebranie i przechowywanie w bezpiecznym miejscu kompletu haseł, których znajomość jest niezbędna dla eksploatacji systemu (hasło komputera, hasło administratora sieci i administratora programu). Hasła należy przechowywać w bezpiecznym miejscu w zapieczętowanej kopercie.

2. Postępowanie w razie nieobecności osoby pracującej przy przetwarzaniu danych, gdy niezbędna jest znajomość hasła dostępu:

  • Hasło może być udostępnione upoważnionym inspektorom lub osobom wykonującym konserwację sprzętu komputerowego
  • W razie potrzeby można skorzystać z hasła przechowywanego w zapieczętowanej kopercie
  • Po ujawnieniu hasła musi ono być zmienione na inne - znane Administratorowi
  • Po powrocie pracownika należy dopilnować by założył on nowe hasło i zabezpieczyć je ponownie.

3. Postępowanie w razie naruszenia bezpieczeństwa poprzez zarażenie komputera wirusem:

  • Zlecić wykonanie kontroli antywirusowej wszystkich komputerów w sieci
  • Dokonać odpowiedniego wpisu do dokumentacji eksploatacyjnej
  • Po ujawnieniu źródła zarażenia sporządzić odpowiednią notatkę z ewentualnym wnioskiem konsekwencji służbowych

4. Postępowanie w razie naruszenia ochrony danych osobowych:

  • Podjąć działania zgodnie z instrukcją
  • W przypadku, gdy na przykład istnieje podejrzenie, iż naruszenie bezpieczeństwa danych osobowych spowodowane zostało zaniedbaniem lub naruszeniem dyscypliny pracy, zadaniem administratora bezpieczeństwa informacji powinno być przedstawienie wniosku administratorowi danych o wszczęcie postępowania wyjaśniającego i ukaranie odpowiedzialnych za to osób.
  • Podjęcie natychmiastowych działań zabezpieczających stan systemu informatycznego w przypadku otrzymania informacji o naruszeniu zabezpieczeń systemu informatycznego lub informacji o zmianach w sposobie działania programu lub urządzeń wskazujących na naruszenie bezpieczeństwa danych.

 

Instrukcja postępowania w sytuacji naruszenia ochrony danych osobowych.

Przykład (wzór):

 1. Stwierdzenie faktu naruszenia ochrony danych osobowych
Podejrzenie naruszenia ochrony danych osobowych zachodzi w razie:

  • fizycznego naruszenia ochrony pomieszczeń (włamanie, pożar)
  • obecności w obszarze w którym są przetwarzane dane osób nie upoważnionych
  • stwierdzenia obecności nośników danych lub wydruków poza obszarem przetwarzania danych
  • stwierdzenia faktu użytkowania systemów informatycznych przez osoby obce (na podstawie stanu urządzeń, uruchomionych programów, rejestru przyłączonych do serwera sieci użytkowników)

2. Postępowanie w razie naruszenia ochrony
2.1. W razie podejrzenia faktu naruszenia ochrony danych osobowych należy powiadomić Administratora Bezpieczeństwa Informacji, a w razie jego nieobecności - osobę przez niego upoważnioną.
2.2. Jeśli zachodzi niebezpieczeństwo całkowitego zniszczenia systemu (pożar, klęski żywiołowe), należy niezwłocznie podjąć kroki celem uniknięcia zniszczenia. W pierwszej kolejności należy zabezpieczyć jednostkę centralną serwera sieci, a w razie jego zniszczenia (utraty), jednostki centralne końcówek na które wykonuje się bieżące kopie bezpieczeństwa i kopie na innych nośnikach (dyskietki).
2.3. W razie stwierdzenia naruszenia prawa, Administratora Bezpieczeństwa Informacji podejmuje decyzję o poinformowaniu organów ścigania (policja) i dalsze kroki związane z zabezpieczeniem danych podejmuje w uzgodnieniu z nimi.
2.4. Administratora Bezpieczeństwa Informacji podejmuje kroki celem przywrócenia stanu zgodnego z prawem, a w szczególności doprowadza do zniszczenia pozaprawnych kopii danych.
2.5. W każdym przypadku podejrzenia naruszenia Administrator Bezpieczeństwa Informacji sporządza i przekazuje Dyrekcji Zakładu notatkę służbową zawierającą:

  • przesłanki na podstawie których stwierdzono naruszenie danych
  • ocenę powstałych szkód
  • podjęte w związku z tym kroki
  • analizę systemu ochrony w świetle wystąpienia faktu jego naruszenia
  • wnioski

Kopia notatki zostaje umieszczona w dokumentacji eksploatacji systemu.
W razie potrzeby (zob. art. 41 pkt 2 ustawy) informację tą przekazuje się Generalnemu Inspektorowi Ochrony Danych Osobowych w terminie do 30 dni.

powrót
Projekt współfinansowany ze środków Unii Europejskiej z Europejskiego Funduszu Rozwoju Regionalnego w ramach Regionalnego Programu Operacyjnego Województwa Podkarpackiego na lata 2007 – 2013