Porada prawna on-line

Artykuły

»

Prawo dla firm

»

Ochrona danych osobowych

»

Pozostałe

» Jak prawnie zabezpieczyć ...

NAJNOWSZE ARTYKUŁY

Klamka z zamkiem i kluczem.

Jak prawnie zabezpieczyć dane osobowe, czyli kilka słów o środkach technicznych.

03.04.2016

Pozostałe

W dzisiejszym artykule przedstawię najważniejsze zagadnienie z całego zakresu wiedzy ochrony danych osobowych, a mianowicie – sposoby ochrony danych osobowych. Dział ten jest bardzo obszerny, bowiem przepisy dotyczące tego zagadnienia są bardzo ogólne, a obowiązki – szerokie. Dlatego też warto zastanowić się nad tym, w jaki sposób powinno się chronić dane osobowe.

Jak wskazuje art. 36 ustawy o ochronie danych osobowych administrator danych (Dz.U. z 2015 r. poz. 2135) jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych, odpowiednie do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Przepis ten ustala więc bardzo szeroki zakres obowiązków, jednocześnie nie wskazując na sposób ich wykonania. Wnioskując więc – to na osobie przetwarzającej dane osobowe spoczywa bezwzględny obowiązek dobrania właściwych środków zabezpieczeń danych osobowych, który zobowiązany jest do zapewnienia właściwego i adekwatnego  poziomu zabezpieczeń (od tej zasady są jednak wyjątki).

Zgodnie z powyżej zacytowanym przepisem administrator danych zobowiązany jest zastosować środki techniczne i organizacyjne. Wskazanie to należy jednak rozumieć bardzo szeroko. Środki organizacyjne to przede wszystkim posiadanie odpowiedniej dokumentacji, zapewnienie upoważnień, przeszkolenia personelu zatrudnionego przy przetwarzaniu danych osobowych. Środki organizacyjne obejmują także utworzenie stosownych procedur związanych z obiegiem dokumentacji i ochroną danych (w tym także tych, które nie są bezpośrednio związane z przetwarzaniem danych, a które pojawiają się tam „poniekąd”). Dotyczy to nie tylko zbierania, ale także dostęp do danych oraz zasady ich wykorzystania, możliwości wynoszenia dokumentów poza obiekt pracodawcy etc. Dokumentacja tego rodzaju jest niezmiernie istotna z pragmatycznego punktu widzenia – to od niej rozpoczynają kontrole odpowiednie, publiczne służby ochrony danych osobowych.

Środkiem organizacyjnym będzie również wyznaczenie służby ochrony danych osobowych w danej organizacji, na czele której może stanąć Administrator Bezpieczeństwa Informacji (lecz nie musi). Środki ochrony organizacyjnej często wynikają wprost z przepisów prawa, co tyczy się szczególnie dokumentacji, której elementy zostały dość szczegółowo opisane w rozporządzeniu, a która będzie stanowiła przedmiot kolejnego artykułu.

Nieco inaczej jest w przypadku środków technicznych zabezpieczania danych osobowych. Owe środki również należy rozumieć bardzo szeroko, a w jego ramach można wyróżnić bardzo liczne podgrupy. Co do zasady jednak szczególnie ważne są dwie – zabezpieczenia przed fizycznym dostępem oraz zabezpieczenie systemów informatycznych, które są wykorzystywane w organizacji.

Ustawa nie wskazuje żadnych fizycznych środków ochrony danych osobowych. Zakres ten ulega stopniowemu zmniejszeniu ze względu na coraz większą ilość danych przetwarzanych elektronicznie, jednak nadal spora część dokumentacji jest prowadzona w formie papierowej (faktury, umowy, akta pracownicze etc.). Dane takie należy chronić w każdy, możliwy do zastosowania i adekwatny do sytuacji, sposób, tj., jak wskazuje przykładowo GIODO:

  • zastosowanie drzwi, w tym również antywłamaniowych lub przeciwpożarowych;

  • zastosowanie sejfów, zamykanych szyfrowo lub na klucz szafek;

  • zastosowanie monitoringu (Uwaga! Nagranie z monitoringu może stanowić oddzielną daną osobową!);

  • zastosowanie systemu ochrony opartego o służbę ochroniarską;

  • konieczność autoryzacji przy pobieraniu kluczy do najważniejszych pomieszczeń, takich jak archiwa lub serwerownia,

  • zastosowanie niszczarek dokumentów (jedyny środek ochrony fizycznej wskazany, choć nie bezpośrednio, w przepisach ustawy o ochronie danych osobowych).

Przy opisie systemów informatycznych należy wskazać, iż dzieli się je na trzy grupy. Pierwszą, w której przetwarzane są dane „zwykłe”, a urządzenie dostępowe nie ma dostępu do Internetu (rzadkość, acz zdarzają się np. programy księgowe nieoparte o wymianę danych w sieci). Drugą są systemy przetwarzające dane zwykłe i wrażliwe, przy których urządzenie dostępowe nie ma dostępu do Internetu (np. dane kadrowe przetwarzane w wewnętrznych systemach). Ostatnią kategorią są systemy, które przetwarzają dane na urządzeniach, które posiadają dostęp do sieci publicznej (takich jest zdecydowana większość).

Przepisy prawa, a w szczególności Rozporządzenie MSWiA z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, wskazują na szereg obowiązków dotyczących ochrony danych w takich systemach. Pierwszym z nich jest konieczność dokonywania autoryzacji dostępu za pomocą identyfikatora i hasła. Hasło musi zawierać określoną ilość określonych znaków (przy systemach grupy 1 – minimum 6 znaków, przy grupie 2 i 3 – minimum 8 znaków, małych i dużych liter oraz cyfr lub znaków specjalnych) i musi być zmieniane co 30 dni.

Ponadto, system musi posiadać zabezpieczenia przed utratą danych z powodu awarii sieci lub energii elektrycznej. Konieczne jest tworzenie kopii zapasowych (tzw. backupów), które przechowuje się w miejscach zabezpieczających je przed nieuprawnionym przejęciem, modyfikacją, uszkodzeniem lub zniszczeniem i usuwa się niezwłocznie po ustaniu ich użyteczności. Kopie zapasowe należy przetrzymywać w miejscu innym, niż miejsce działania systemu informatycznego przetwarzającego dane.

Ważne zagadnienia dotyczą również systemów z grupy 3. W tego rodzaju systemach dane chroni się przed zagrożeniami pochodzącymi z sieci publicznej poprzez wdrożenie fizycznych lub logicznych zabezpieczeń chroniących przed nieuprawnionym dostępem. Konieczne jest więc w szczególności stosowanie oprogramowania antywirusowego na każdym komputerze, na którym przetwarza się dane osobowe, oprócz wprowadzenia dodatkowych zabezpieczeń kryptograficznych.

Jak widać z przedstawionych regulacji dotyczących środków technicznych, są one bardzo ogólne. Każdy administrator danych powinien dostosować system zabezpieczeń do rodzaju i sposobu przetwarzanych danych. Szczegółowe zasady organizacyjne powinny być określone w dokumentach - polityce bezpieczeństwa danych osobowych oraz instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, o których jednak następnym razem.

Zobacz także II część artykułu na temat dokumentów niezbędnych do zabezpieczania danych osobowych.

MASZ PYTANIE?