NAJWAŻNIEJSZE AKTY PRAWNE WYKONAWCZE DO USTAWY Z 29 SIERPNIA 1997 ROKU O OCHRONIE DANYCH OSOBOWYCH.
1.Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. Nr 100, poz. 1024)
Rozporządzenie określa: sposób prowadzenia i zakres dokumentacji opisującej przetwarzanie danych osobowych, rodzaj środków technicznych i organizacyjnych wprowadzone do ochrony danych osobowych, adekwatnie do kategorii danych i stopni zagrożeń oraz sposób odnotowywania udostępniania danych osobowych, podstawowe warunki jakim powinny odpowiadać środki zabezpieczenia - zarówno techniczne jak i organizacyjne w systemach i urządzeniach informatycznych służących przetwarzaniu danych osobowych.
Dokumentacja to polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym. Polityka bezpieczeństwa to rodzaj drogowskazu dotyczącego polityki w zakresie bezpieczeństwa danych osobowych - zarówno dla kierownictwa przedsiębiorstwa, szkoły, uczelni, zakładu opieki zdrowotnej jak i jego pracowników oraz innych osób upoważnionych do przetwarzania danych. Polityka bezpieczeństwa jest zbiorem zasad i procedur obowiązujących w całym procesie przetwarzania danych osobowych.
W Rozporządzeniu wymieniono minimum informacji, które powinna polityka bezpieczeństwa ujmować i są to: wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe; wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych; opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi; sposób przepływu danych pomiędzy poszczególnymi systemami. określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.
Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych - wymagana jest jedynie od administratorów przetwarzających dane w systemie informatycznym i zawiera spis procedur związanych z przetwarzaniem danych, rejestrowaniem zbiorów, wprowadzaniem zabezpieczenia.
Rozporządzenie wyróżnia trzy poziomy ochrony: Poziom podstawowy stosuje się, gdy w systemie informatycznym nie są przetwarzane dane sensytywne, a system nie jest połączony z siecią publiczną, Poziom co najmniej podwyższony, gdy w systemie informatycznym są przetwarzane dane sensytywne, a system nie jest połączony z siecią publiczną, Poziom wysoki gdy w systemie informatycznym są przetwarzane dane sensytywne, a system jest połączony z siecią publiczną.
SYSTEM OCHRONY NA POZIOMIE PODSTAWOWYM * zabezpieczenie obszaru, w którym przetwarzane są dane, na czas nieobecności osób upoważnionych do przetwarzania danych, *dopuszczenie do obecności osób postronnych tylko za zgodą podmiotu upoważnionego #stosowanie mechanizmów kontroli w systemach informatycznych – identyfikatorów, #zabezpieczenie antywirusowe systemu uniemożliwiające dostęp cyberprzestępcom, zabezpieczenie ciągłości zasilania - zmiana hasła 1x30 dni, - nie korzystanie z kopii zapasowych danych przetwarzanych w SI, - szczególna ostrożność przy komputerach przenośnych – wprowadzenie kryptografii, - urządzenia przeznaczone do sprzedaży, likwidacji, naprawy mają kasowane wszystkie dane.
SYSTEM OCHRONY NA POZIOMIE PODWYŻSZONYM ***poufność danych - zapewnienie, że dane nie są udostępniane nieupoważnionym podmiotom, ***integralność danych - zapewnienie, że dane nie zostały zmienione lub zniszczone w sposób nieautoryzowany ----urządzenia i nośniki zawierające dane osobowe wrażliwe przekazywane poza obszar ochrony zabezpiecza się w sposób zapewniający poufność i integralność tych danych w przypadku gdy do uwierzytelniania użytkowników używa się hasła, składa się ono co najmniej z 8 znaków, zawiera małe i wielkie litery oraz cyfry lub znaki specjalne wymogi zastrzeżone dla poziomu podstawowego
SYSTEM OCHRONY NA POZIOMIE WYSOKIM ….wdrożenie fizycznych lub logicznych zabezpieczeń chroniących system informatyczny przed nieuprawnionym dostępem, ….kontrola przepływu informacji pomiędzy SI administratora danych a siecią publiczną; ….kontrola działań inicjowanych z sieci publicznej i SI …..stosuje się środki kryptograficznej ochrony wobec danych wykorzysty wanych do uwierzytelnienia, które są przesyłane w sieci publicznej …..stosuje się środki przewidziane dla poziomu podstawowego i podwyższonego
2. Rozporządzenie Ministra Administracji I Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji(Dz. U. z dnia 29 maja 2015 r.)
Przedmiotem Rozporządzenia jest tryb i sposób sprawdzania przetwarzania danych osobowych pod kątem ich zgodności z ustawą oraz sporządzanie sprawozdania w tym zakresie przez ABI: ABI dokonuje sprawdzenia dla ADO lub GIODO ABI działa w trybie: planowanym, doraźnym, na wniosek GIODO
Sprawdzenie, o którym mowa w Rozporządzeniu dotyczy: zbiorów danych osobowych, systemów informatycznych i obejmuje weryfikację ich zgodności z ustawą o ochronie danych osobowych oraz przepisami wykonawczymi. Sprawdzeniem obejmuje sie okres nie krótszy od kwartału i nie dłuższy od 12 miesięcy, a zbiory danych i systemy informatyczne sprawdza się nie rzadziej niż raz na 5 lat, Sprawdzenie doraźne oraz wnioskowane przez GIODO wykonuje sie niezwłocznie.
ABI podejmuje czynności niezbędne do sprawdzenia zgodności przetwarzania danych z ustawą, a więc odbiera wyjaśnienia, sporządza kopie zapasowe udostępnionych mu dokumentów bądź nośników, zapisuje obrazy – w systemie informatycznym i dokumentuje wykonane czynności elektronicznie bądź papierowo. ABI ma prawną możliwość działania w celu weryfikacji zgodności z ustawą na wniosek osoby trzeciej, Spostrzeżenia, wnioski i uwagi ABI umieszcza w sprawozdaniu, z którym zapoznaje ADO, poucza i instruuje osobę odpowiedzialna za nieprawidłowości.
3. Rozporządzenie Ministra Administracji I Cyfryzacji z dnia 11 maja 2015 r. w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych (Dz. U. z dnia 25 maja 2015 r.)
Jednym z najważniejszych ustawowych zadań ABI jest prowadzenie rejestru zbiorów danych osobowych. Rozporządzenie określa zasady prowadzenia takiego rejestru i do najważniejszych elementów zalicza: informacje dotyczące każdego zbioru – od nazwy zbioru po informacje o zasadach i sposobach przekazywania danych do państw trzecich, datę wpisu zbioru i daty kolejnych aktualizacji wpisów