Wymogi w zakresie dokumentacji przetwarzania danych osobowych określone zostały w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r.
w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024).
Polityka ochrony danych ma charakter ewidencyjny i wymaga starannego opisania bazy służącej do przetwarzania danych osobowych (budynki, pomieszczenia, zbiory danych, programy i in.). Z kolei instrukcja, zgodnie z brzmieniem paragrafu 5 rozporządzenia zawiera w szczególności:
1) procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności;
2) stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem;
3) procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu;
4) procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania;
5) sposób, miejsce i okres przechowywania:
a) elektronicznych nośników informacji zawierających dane osobowe,
b) kopii zapasowych, o których mowa w pkt 4,
6) sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, o którym mowa w pkt III ppkt 1 załącznika do rozporządzenia;
7) sposób realizacji wymogów, o których mowa w § 7 ust. 1 pkt 4;
8) procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.
Procedury, o których mowa w pkt 1 dotyczą przede wszystkim wskazania osób uprawnionych, zgodnie z wykonywanymi obowiązkami oraz przydziałami czynności na stanowiskach, na których występuje przetwarzanie danych osobowych (zgodnie z art. 7 pkt 2 ustawy o ochronie danych osobowych) przetwarzanie danych to jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych).
Osoby odpowiedzialne za przetwarzanie danych osobowych powinny, zgodnie z art. 37 ustawy otrzymać imienne upoważnienia od administratora danych (dyrektora). Administrator danych zobowiązany jest prowadzić ewidencję osób upoważnionych (art. 39 ust. 1 i 2 ustawy).
Wymagania określone w pkt 2 dotyczą głównie sposobu ustalania identyfikatorów, w tym haseł (kodów) dostępu, ich nadawania użytkownikom programów komputerowych oraz okresowej zmiany tych haseł.
W przypadku podwyższonego i wysokiego poziomu bezpieczeństwa przetwarzania danych osobowych, do uwierzytelniania użytkowników używa się haseł składających się co najmniej z 8 znaków, zawierających małe i wielkie litery oraz cyfry lub znaki specjalne. Zmiana każdego hasła następuje nie rzadziej niż co 30 dni.
Metody i środki uwierzytelnienia (pkt 2) dotyczą identyfikatorów użytkowników oraz haseł dostępu do programów.
Identyfikator użytkownika to ciąg znaków literowych, cyfrowych lub innych jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym.
Każda osoba upoważniona do przetwarzania danych osobowych w systemie informatycznym powinna posiadać osobisty, odrębny identyfikator, którego wprowadzenie do programu lub systemu potwierdza uprawnienie użytkownika do przetwarzania danych w tym programie (systemie).
Identyfikator osoby, która utraciła uprawnienia do przetwarzania danych powinien być anulowany i nie może być przydzielony innej osobie.
Uwierzytelnianie użytkowników następuje po wprowadzeniu hasła dostępu.
Hasło dostępu jest ciągiem znaków literowych, cyfrowych lub innych, znanym jedynie osobie uprawnionej (osobom uprawnionym) do pracy w systemie informatycznym.
W przypadku wysokiego poziomu bezpieczeństwa przetwarzania danych osobowych w systemie informatycznym hasło składa się co najmniej 8 znaków, zawierających małe i wielkie litery oraz cyfry lub znaki specjalne. Poziom wysoki występuje w jednostkach, w których przynajmniej jedno urządzenie systemu informatycznego, służącego do przetwarzania danych osobowych, połączone jest z siecią publiczną (internet).
Zmiana hasła powinna następować nie rzadziej niż co 30 dni.
Dla wszystkich użytkowników powinna być ustalona kolejność czynności rozpoczynania pracy z użyciem wspomnianych wyżej identyfikatorów i haseł, zawieszania (np. w przypadku opuszczenia pomieszczenia przez użytkownika) oraz zakończenia pracy (zamknięcia programu).
Zgodnie z wymogami pkt 6 wytycznych do instrukcji należy określić sposób zabezpieczenia systemu informatycznego.
System informatyczny służący do przetwarzania danych osobowych zabezpiecza się,
w szczególności, przed:
1) działaniem oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do sytemu informatycznego,
2) utratą danych spowodowaną awarią zasilania lub zakłóceniami w sieci zasilającej.
Instrukcja powinna określać również sposób realizacji wymogu zapewnienia dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym, odnotowywania przez system informacji o odbiorcach w rozumieniu art. 7 pkt 6 ustawy*), którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia, chyba że system informatyczny używany jest do przetwarzania danych zawartych w zbiorach jawnych.
Procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych powinny uwzględniać m.in. zasady udostępniania komputerów i nośników osobom i podmiotom wykonującym te czynności w sposób zabezpieczający zawarte tam dane przed zniszczeniem bądź nieuprawnionym wykorzystaniem, zgodnie z wymogami środków bezpieczeństwa.
Opracowując instrukcję należy uwzględnić środki bezpieczeństwa stosowane w systemach informatycznych przetwarzających dane osobowe (załącznik do rozporządzenia MSWiA). Należy przyjąć, że w jednostkach w których dane płatnika składek ZUS, dane SIO
i inne przekazywane są do sieci publicznej za pośrednictwem internetu, obowiązuje wysoki poziom bezpieczeństwa.
Poziom ten obejmuje również środki bezpieczeństwa wymagane na poziomie podstawowym i podwyższonym i zawiera łącznie następujące wymagania:
• Obszar, o którym mowa w § 4 pkt 1 rozporządzenia (budynki, pomieszczenia lub części pomieszczeń, w których przetwarzane są dane osobowe, zabezpiecza się przed dostępem osób nieuprawnionych na czas nieobecności w nim osób upoważnionych do przetwarzania danych osobowych.
• Przebywanie osób nieuprawnionych w obszarze, o którym mowa w § 4 pkt 1 rozporządzenia, jest dopuszczalne za zgodą administratora danych lub w obecności osoby upoważnionej do przetwarzania danych osobowych.
• W systemie informatycznym służącym do przetwarzania danych osobowych stosuje się mechanizmy kontroli dostępu do tych danych.
• Jeżeli dostęp do danych przetwarzanych w systemie informatycznym posiadają
co najmniej dwie osoby, wówczas zapewnia się, aby:
a) w systemie tym rejestrowany był dla każdego użytkownika odrębny identyfikator;
b) dostęp do danych był możliwy wyłącznie po wprowadzeniu identyfikatora i dokonaniu uwierzytelnienia.
• System informatyczny służący do przetwarzania danych osobowych zabezpiecza się, w szczególności przed:
1) działaniem oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego;
2) utratą danych spowodowaną awarią zasilania lub zakłóceniami w sieci zasilającej.
• Identyfikator użytkownika, który utracił uprawnienia do przetwarzania danych, nie może być przydzielony innej osobie.
• W przypadku gdy do uwierzytelniania użytkowników używa się hasła, jego zmiana następuje nie rzadziej niż co 30 dni. Hasło składa się co najmniej z 8 znaków i zawiera małe i wielkie litery oraz cyfry lub znaki specjalne.
• Dane osobowe przetwarzane w systemie informatycznym zabezpiecza się przez wykonywanie kopii zapasowych zbiorów danych oraz programów służących do przetwarzania danych.
• Kopie zapasowe:
a) przechowuje się w miejscach zabezpieczających je przed nieuprawnionym przejęciem, modyfikacją, uszkodzeniem lub zniszczeniem;
b) usuwa się niezwłocznie po ustaniu ich użyteczności.
• Osoba użytkująca komputer przenośny zawierający dane osobowe zachowuje szczególną ostrożność podczas jego transportu, przechowywania i użytkowania poza obszarem,
o którym mowa w § 4 pkt 1 rozporządzenia, w tym stosuje środki ochrony kryptograficznej wobec przetwarzanych danych osobowych.
• Urządzenia, dyski lub inne elektroniczne nośniki informacji, zawierające dane osobowe, przeznaczone do:
1) likwidacji - pozbawia się wcześniej zapisu tych danych, a w przypadku gdy nie jest to możliwe, uszkadza się w sposób uniemożliwiający ich odczytanie;
2) przekazania podmiotowi nieuprawnionemu do przetwarzania danych - pozbawia się wcześniej zapisu tych danych, w sposób uniemożliwiający ich odzyskanie;
3) naprawy - pozbawia się wcześniej zapisu tych danych w sposób uniemożliwiający ich odzyskanie albo naprawia się je pod nadzorem osoby upoważnionej przez administratora danych.
• Administrator danych monitoruje wdrożone zabezpieczenia systemu informatycznego.
• Urządzenia i nośniki zawierające dane osobowe, o których mowa w art. 27 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, przekazywane poza obszar, o którym mowa w § 4 pkt 1 rozporządzenia, zabezpiecza się w sposób zapewniający poufność
i integralność tych danych.
• System informatyczny służący do przetwarzania danych osobowych chroni się przed zagrożeniami pochodzącymi z sieci publicznej poprzez wdrożenie fizycznych lub logicznych zabezpieczeń chroniących przed nieuprawnionym dostępem.
• W przypadku zastosowania logicznych zabezpieczeń, o których mowa powyżej, obejmują one:
a) przechowuje się w miejscach zabezpieczających je przed nieuprawnionym przejęciem, modyfikacją, uszkodzeniem lub zniszczeniem;
b) kontrolę przepływu informacji pomiędzy systemem informatycznym administratora danych a siecią publiczną;
• Administrator danych stosuje środki kryptograficznej ochrony wobec danych wykorzystywanych do uwierzytelnienia, które są przesyłane w sieci publicznej.
