1 NAJWAŻNIEJSZE AKTY PRAWNE WYKONAWCZE DO USTAWY Z 29 SIERPNIA 1997 ROKU O OCHRONIE DANYCH OSOBOWYCH.
2 1.Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. Nr 100, poz. 1024)
3 Rozporządzenie określa: sposób prowadzenia i zakres dokumentacji opisującej przetwarzanie danych osobowych, rodzaj środków technicznych i organizacyjnych wprowadzone do ochrony danych osobowych, adekwatnie do kategorii danych i stopni zagrożeń oraz sposób odnotowywania udostępniania danych osobowych, podstawowe warunki jakim powinny odpowiadać środki zabezpieczenia - zarówno techniczne jak i organizacyjne w systemach i urządzeniach informatycznych służących przetwarzaniu danych osobowych.
4 Dokumentacja to polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym. Polityka bezpieczeństwa to rodzaj drogowskazu dotyczącego polityki w zakresie bezpieczeństwa danych osobowych - zarówno dla kierownictwa przedsiębiorstwa, szkoły, uczelni, zakładu opieki zdrowotnej jak i jego pracowników oraz innych osób upoważnionych do przetwarzania danych. Polityka bezpieczeństwa jest zbiorem zasad i procedur obowiązujących w całym procesie przetwarzania danych osobowych.
5 W Rozporządzeniu wymieniono minimum informacji, które powinna polityka bezpieczeństwa ujmować i są to: wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe; wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych; opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi; sposób przepływu danych pomiędzy poszczególnymi systemami. określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.
6 Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych - wymagana jest jedynie od administratorów przetwarzających dane w systemie informatycznym i zawiera spis procedur związanych z przetwarzaniem danych, rejestrowaniem zbiorów, wprowadzaniem zabezpieczenia.
7 Rozporządzenie wyróżnia trzy poziomy ochrony: Poziom podstawowy stosuje się, gdy w systemie informatycznym nie są przetwarzane dane sensytywne, a system nie jest połączony z siecią publiczną, Poziom co najmniej podwyższony, gdy w systemie informatycznym są przetwarzane dane sensytywne, a system nie jest połączony z siecią publiczną, Poziom wysoki gdy w systemie informatycznym są przetwarzane dane sensytywne, a system jest połączony z siecią publiczną.
8 SYSTEM OCHRONY NA POZIOMIE PODSTAWOWYM * zabezpieczenie obszaru, w którym przetwarzane są dane, na czas nieobecności osób upoważnionych do przetwarzania danych, *dopuszczenie do obecności osób postronnych tylko za zgodą podmiotu upoważnionego #stosowanie mechanizmów kontroli w systemach informatycznych – identyfikatorów, #zabezpieczenie antywirusowe systemu uniemożliwiające dostęp cyberprzestępcom, zabezpieczenie ciągłości zasilania - zmiana hasła 1x30 dni, - nie korzystanie z kopii zapasowych danych przetwarzanych w SI, - szczególna ostrożność przy komputerach przenośnych – wprowadzenie kryptografii, - urządzenia przeznaczone do sprzedaży, likwidacji, naprawy mają kasowane wszystkie dane.
9 SYSTEM OCHRONY NA POZIOMIE PODWYŻSZONYM ***poufność danych - zapewnienie, że dane nie są udostępniane nieupoważnionym podmiotom, ***integralność danych - zapewnienie, że dane nie zostały zmienione lub zniszczone w sposób nieautoryzowany ----urządzenia i nośniki zawierające dane osobowe wrażliwe przekazywane poza obszar ochrony zabezpiecza się w sposób zapewniający poufność i integralność tych danych ------w przypadku gdy do uwierzytelniania użytkowników używa się hasła, składa się ono co najmniej z 8 znaków, zawiera małe i wielkie litery oraz cyfry lub znaki specjalne. -----wymogi zastrzeżone dla poziomu podstawowego
10 SYSTEM OCHRONY NA POZIOMIE WYSOKIM ….wdrożenie fizycznych lub logicznych zabezpieczeń chroniących system informatyczny przed nieuprawnionym dostępem, ….kontrola przepływu informacji pomiędzy SI administratora danych a siecią publiczną; ….kontrola działań inicjowanych z sieci publicznej i SI …..stosuje się środki kryptograficznej ochrony wobec danych wykorzysty wanych do uwierzytelnienia, które są przesyłane w sieci publicznej …..stosuje się środki przewidziane dla poziomu podstawowego i podwyższonego
11 2. Rozporządzenie Ministra Administracji I Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji(Dz. U. z dnia 29 maja 2015 r.)
12 Przedmiotem Rozporządzenia jest tryb i sposób sprawdzania przetwarzania danych osobowych pod kątem ich zgodności z ustawą oraz sporządzanie sprawozdania w tym zakresie przez ABI: ABI dokonuje sprawdzenia dla ADO lub GIODO ABI działa w trybie: planowanym, doraźnym, na wniosek GIODO
13 Sprawdzenie, o którym mowa w Rozporządzeniu dotyczy: zbiorów danych osobowych, systemów informatycznych i obejmuje weryfikację ich zgodności z ustawą o ochronie danych osobowych oraz przepisami wykonawczymi. Sprawdzeniem obejmuje sie okres nie krótszy od kwartału i nie dłuższy od 12 miesięcy, a zbiory danych i systemy informatyczne sprawdza się nie rzadziej niż raz na 5 lat, Sprawdzenie doraźne oraz wnioskowane przez GIODO wykonuje sie niezwłocznie.
14 ABI podejmuje czynności niezbędne do sprawdzenia zgodności przetwarzania danych z ustawą, a więc odbiera wyjaśnienia, sporządza kopie zapasowe udostępnionych mu dokumentów bądź nośników, zapisuje obrazy – w systemie informatycznym i dokumentuje wykonane czynności elektronicznie bądź papierowo. ABI ma prawną możliwość działania w celu weryfikacji zgodności z ustawą na wniosek osoby trzeciej, Spostrzeżenia, wnioski i uwagi ABI umieszcza w sprawozdaniu, z którym zapoznaje ADO, poucza i instruuje osobę odpowiedzialna za nieprawidłowości.
15 3. Rozporządzenie Ministra Administracji I Cyfryzacji z dnia 11 maja 2015 r. w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych (Dz. U. z dnia 25 maja 2015 r.)
16 Jednym z najważniejszych ustawowych zadań ABI jest prowadzenie rejestru zbiorów danych osobowych. Rozporządzenie określa zasady prowadzenia takiego rejestru i do najważniejszych elementów zalicza: informacje dotyczące każdego zbioru – od nazwy zbioru po informacje o zasadach i sposobach przekazywania danych do państw trzecich, datę wpisu zbioru i daty kolejnych aktualizacji wpisów