w w w . p r a w n i k w p o m o c y s p o ł e c z n e j . p l prawnikwpomocyspolecznej.pl - Aktualności

Aktualności

2014.10.06

Sposoby zabezpieczenia danych osobowych w Ośrodku....

Zabezpieczenie danych osobowych
    Aby ułatwić tworzenie systemu ochrony danych osobowych w Ośrodku, poniżej zamieszczam sposoby zabezpieczenia danych osobowych, z którymi spotkamy się w trakcie rejestracji zbioru danych osobowych na Platformie E-GIODO.

W pierwszej kolejności wskazać należy, że zbiór poniży to katalog otwarty, w którym znaleźć się mogą także inne sposoby zabezpieczenia danych osobowych w Państwa Ośrodkach. Zapoznanie się ze sposobami zabezpieczenia zbiorów danych osobowych, może być pomocne ze względu na wcześniejszą dokumentację, którą musimy sporządzić, by we wniosku o zarejestrowanie danych osobowych potwierdzić zgodny z prawdą obiektywną stan faktyczny.

Znając przykładowe wyliczenie zabezpieczeń, możemy jeszcze przed rejestracją wniosku uwzględnić je w dokumentacji składającej się na system ochrony danych osobowych w Ośrodku, w tym w szczególności w Polityce Bezpieczeństwa Przetwarzania Danych Osobowych w Ośrodku czy też w Instrukcji Zarządzania systemem informatycznym Ośrodka.

Wypełniając wniosek o rejestrację zbioru danych osobowych w Ośrodku, przed wskazaniem na sposób zabezpieczenia w/w zbiorów (część E wniosku) należy określić czy:

Zbiór danych osobowych jest prowadzony:

  1. centralnie lub w architekturze rozproszonej;
  2. wyłącznie w postaci papierowej czy też z użyciem systemu informatycznego
  3. z użyciem co najmniej jednego urządzenia systemu informatycznego służącego do przetwarzania danych osobowych połączonego z siecią publiczną (np. Internetem) bądź też bez użycia żadnego z urządzeń systemu informatycznego służącego do przetwarzania danych osobowych połączonego z siecią publiczną (np. Internetem)

Wreszcie w odniesieniu do sposobów zabezpieczenia zbiorów danych osobowych:

I - Wymóg spełnienia wymogów, o których mowa w art. 36 – 39 ustawy o ochronie danych osobowych, w tym:

  • wyznaczenie administratora bezpieczeństwa informacji nadzorującego przestrzeganie zasad ochrony przetwarzanych danych osobowych, bądź wskazanie, że zadania te realizuje sam administrator bezpieczeństwa informacji;
  • do przetwarzania danych zostały dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych;
  • prowadzona jest ewidencja osób upoważnionych do przetwarzania danych;
  • została opracowana i wdrożona polityka bezpieczeństwa
  • została opracowana i wdrożona instrukcja zarządzania systemem informatycznym;

II – Środki ochrony fizycznej:

  • Zbiór danych osobowych przechowywany jest w pomieszczeniu zabezpieczonym drzwiami zwykłymi (niewzmacnianymi, nie przeciwpożarowymi);
  • Zbiór danych osobowych przechowywany jest w pomieszczeniu zabezpieczonym drzwiami o podwyższonej odporności ogniowej >= 30 min;
  • Zbiór danych osobowych przechowywany jest w pomieszczeniu zabezpieczonym drzwiami o podwyższonej odporności na włamanie - drzwi klasy C;
  • Zbiór danych osobowych przechowywany jest w pomieszczeniu, w którym okna zabezpieczone są za pomocą krat, rolet lub folii antywłamaniowej;
  • Pomieszczenia, w którym przetwarzany jest zbiór danych osobowych wyposażone są w system alarmowy przeciwwłamaniowy;
  • Dostęp do pomieszczeń, w których przetwarzany jest zbiory danych osobowych objęte są systemem kontroli dostępu;
  • Dostęp do pomieszczeń, w których przetwarzany jest zbiór danych osobowych kontrolowany jest przez system monitoringu z zastosowaniem kamer przemysłowych;
  • Dostęp do pomieszczeń, w których przetwarzany jest zbiór danych osobowych jest w czasie nieobecności zatrudnionych tam pracowników nadzorowany przez służbę ochrony;
  • Dostęp do pomieszczeń, w których przetwarzany jest zbiór danych osobowych przez cała dobę jest nadzorowany przez służbę ochrony;
  • Zbiór danych osobowych w formie papierowej przechowywany jest w zamkniętej niemetalowej szafie;
  • Zbiór danych osobowych w formie papierowej przechowywany jest w zamkniętej metalowej szafie;
  • Zbiór danych osobowych w formie papierowej przechowywany jest w zamkniętym sejfie lub kasie pancernej;
  • Kopie zapasowe/archiwalne zbioru danych osobowych przechowywane są w zamkniętej niemetalowej szafie;
  • Kopie zapasowe/archiwalne zbioru danych osobowych przechowywane są w zamkniętej metalowej szafie;
  • Kopie zapasowe/archiwalne zbioru danych osobowych przechowywane są w zamkniętym sejfie lub kasie pancernej;
  • Zbiory danych osobowych przetwarzane są w kancelarii tajnej, prowadzonej zgodnie z wymogami określonymi w odrębnych przepisach;
  • Pomieszczenie, w którym przetwarzane są zbiory danych osobowych zabezpieczone jest przed skutkami pożaru za pomocą systemu przeciwpożarowego i/lub wolnostojącej gaśnicy;
  • Dokumenty zawierające dane osobowe po ustaniu przydatności są niszczone w sposób mechaniczny za pomocą niszczarek dokumentów;

III – Środki sprzętowe infrastruktury informatycznej i telekomunikacyjnej:

  • Zbiór danych osobowych przetwarzany jest przy użyciu komputera przenośnego;
  • Komputer służący do przetwarzania danych osobowych nie jest połączony z lokalną siecią komputerową;
  • Zastosowano urządzenia typu UPS, generator prądu i/lub wydzieloną sieć elektroenergetyczną, chroniące system informatyczny służący do przetwarzania danych osobowych przed skutkami awarii zasilania;
  • Dostęp do zbioru danych osobowych, który przetwarzany jest na wydzielonej stacji komputerowej/ komputerze przenośnym zabezpieczony został przed nieautoryzowanym uruchomieniem za pomocą hasła BIOS;
  • Dostęp do systemu operacyjnego komputera, w którym przetwarzane są dane osobowe zabezpieczony jest za pomocą procesu uwierzytelnienia z wykorzystaniem identyfikatora użytkownika oraz hasła;
  • Dostęp do systemu operacyjnego komputera, w którym przetwarzane są dane osobowe zabezpieczony jest za pomocą procesu uwierzytelnienia z wykorzystaniem karty procesorowej oraz kodu PIN lub tokena;
  • Dostęp do systemu operacyjnego komputera, w którym przetwarzane są dane osobowe zabezpieczony jest za pomocą procesu uwierzytelnienia z wykorzystaniem technologii biometrycznej;
  • Zastosowano środki uniemożliwiające wykonywanie nieautoryzowanych kopii danych osobowych przetwarzanych przy użyciu systemów informatycznych;
  • Zastosowano systemowe mechanizmy wymuszający okresową zmianę haseł;
  • Zastosowano system rejestracji dostępu do systemu/zbioru danych osobowych;
  • Zastosowano środki kryptograficznej ochrony danych dla danych osobowych przekazywanych drogą teletransmisji;
  • Dostęp do środków teletransmisji zabezpieczono za pomocą mechanizmów uwierzytelnienia;
  • Zastosowano procedurę oddzwonienia (callback) przy transmisji realizowanej za pośrednictwem modemu;
  • Zastosowano macierz dyskową w celu ochrony danych osobowych przed skutkami awarii pamieci dyskowej;
  • Zastosowano środki ochrony przed szkodliwym oprogramowaniem takim, jak np. robaki, wirusy, konie trojańskie, rootkity;
  • Użyto system Firewall do ochrony dostępu do sieci komputerowej;
  • Użyto system IDS/IPS do ochrony dostępu do sieci komputerowej;

IV – Środki ochrony w ramach narzędzi programowych i baz danych:

  • Wykorzystano środki pozwalające na rejestrację zmian wykonywanych na poszczególnych elementach zbioru danych osobowych;
  • Zastosowano środki umożliwiające określenie praw dostępu do wskazanego zakresu danych w ramach przetwarzanego zbioru danych osobowych;
  • Dostęp do zbioru danych osobowych wymaga uwierzytelnienia z wykorzystaniem identyfikatora użytkownika oraz hasła;
  • Dostęp do zbioru danych osobowych wymaga uwierzytelnienia przy użyciu karty procesorowej oraz kodu PIN lub tokena;
  • Dostęp do zbioru danych osobowych wymaga uwierzytelnienia z wykorzystaniem technologii biometrycznej;
  • Zastosowano systemowe środki pozwalające na określenie odpowiednich praw dostępu do zasobów informatycznych, w tym zbiorów danych osobowych dla poszczególnych użytkowników systemu informatycznego;
  • Zastosowano mechanizm wymuszający okresową zmianę haseł dostępu do zbioru danych osobowych;
  • Zastosowano kryptograficzne środki ochrony danych osobowych;
  • Zainstalowano wygaszacze ekranów na stanowiskach, na których przetwarzane są dane osobowe;
  • Zastosowano mechanizm automatycznej blokady dostępu do systemu informatycznego służącego do przetwarzania danych osobowych w przypadku dłuższej nieaktywności pracy użytkownika;
  • Zastosowano mechanizm automatycznej blokady dostępu do systemu informatycznego służącego do przetwarzania danych osobowych w przypadku dłuższej nieaktywności pracy użytkownika.
V – Środki organizacyjne:

  • Osoby zatrudnione przy przetwarzaniu danych zostały zaznajomione z przepisami dotyczącymi ochrony danych osobowych;
  • Przeszkolono osoby zatrudnione przy przetwarzaniu danych osobowych w zakresie zabezpieczeń systemu informatycznego;
  • Osoby zatrudnione przy przetwarzaniu danych osobowych obowiązane zostały do zachowania ich w tajemnicy;
  • Monitory komputerów, na których przetwarzane są dane osobowe ustawione są w sposób uniemożliwiający wgląd osobom postronnym w przetwarzane dane;
  • Kopie zapasowe zbioru danych osobowych przechowywane są w innym pomieszczeniu niż to, w którym znajduje się serwer, na którym dane osobowe przetwarzane są na bieżąco;
Sposoby zabezpieczenia danych osobowych w Ośrodku

Tak jak podkreślałem już powyżej, wyliczenie to ma charakter przykładowy, tym samym po wyborze zaproponowanych powyżej sposobów zabezpieczeń, możemy przejść do pola, w którym swobodnie możemy wpisać także inne zabezpieczenia.


Żródło - Platforma E - GIODO - wniosek o rejestrację zbioru danych osobowych.

Stan prawny na dzień: 6 października 2014 r.
Wyraź swoją opinię i oceń artykuł:

"Sposoby zabezpieczenia danych osobowych w Ośrodku"




Komentarze, te dobre i te złe...

Add a comment

Title:
Your Name(*):
Email:
Reply Notify:
Website:
Comment(*):
Code in the picture: This is a captcha-picture. It is used to prevent mass-access by robots. (see: www.captcha.net)
 
Trackback-URL