Sposoby zabezpieczenia danych osobowych w Ośrodku:

Aby ułatwić tworzenie systemu ochrony danych osobowych w Ośrodku, poniżej zamieszczam sposoby zabezpieczenia danych osobowych, z którymi spotkamy się w trakcie rejestracji zbioru danych osobowych na Platformie E-GIODO.

W pierwszej kolejności wskazać należy, że zbiór poniży to katalog otwarty, w którym znaleźć się mogą także inne sposoby zabezpieczenia danych osobowych w Państwa Ośrodkach. Zapoznanie się ze sposobami zabezpieczenia zbiorów danych osobowych, może być pomocne ze względu na wcześniejszą dokumentację, którą musimy sporządzić, by we wniosku o zarejestrowanie danych osobowych potwierdzić zgodny z prawdą obiektywną stan faktyczny.

Znając przykładowe wyliczenie zabezpieczeń, możemy jeszcze przed rejestracją wniosku uwzględnić je w dokumentacji składającej się na system ochrony danych osobowych w Ośrodku, w tym w szczególności w Polityce Bezpieczeństwa Przetwarzania Danych Osobowych w Ośrodku czy też w Instrukcji Zarządzania systemem informatycznym Ośrodka.

Wypełniając wniosek o rejestrację zbioru danych osobowych w Ośrodku, przed wskazaniem na sposób zabezpieczenia w/w zbiorów (część E wniosku) należy określić czy:

Zbiór danych osobowych jest prowadzony:

centralnie lub w architekturze rozproszonej;
wyłącznie w postaci papierowej czy też z użyciem systemu informatycznego
z użyciem co najmniej jednego urządzenia systemu informatycznego służącego do przetwarzania danych osobowych połączonego z siecią publiczną (np. Internetem) bądź też bez użycia żadnego z urządzeń systemu informatycznego służącego do przetwarzania danych osobowych połączonego z siecią publiczną (np. Internetem)

Wreszcie w odniesieniu do sposobów zabezpieczenia zbiorów danych osobowych:

I – Wymóg spełnienia wymogów, o których mowa w art. 36 – 39 ustawy o ochronie danych osobowych, w tym:

wyznaczenie administratora bezpieczeństwa informacji nadzorującego przestrzeganie zasad ochrony przetwarzanych danych osobowych, bądź wskazanie, że zadania te realizuje sam administrator bezpieczeństwa informacji;
do przetwarzania danych zostały dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych;
prowadzona jest ewidencja osób upoważnionych do przetwarzania danych;
została opracowana i wdrożona polityka bezpieczeństwa
została opracowana i wdrożona instrukcja zarządzania systemem informatycznym;

II – Środki ochrony fizycznej:

Zbiór danych osobowych przechowywany jest w pomieszczeniu zabezpieczonym drzwiami zwykłymi (niewzmacnianymi, nie przeciwpożarowymi);
Zbiór danych osobowych przechowywany jest w pomieszczeniu zabezpieczonym drzwiami o podwyższonej odporności ogniowej >= 30 min;
Zbiór danych osobowych przechowywany jest w pomieszczeniu zabezpieczonym drzwiami o podwyższonej odporności na włamanie – drzwi klasy C;
Zbiór danych osobowych przechowywany jest w pomieszczeniu, w którym okna zabezpieczone są za pomocą krat, rolet lub folii antywłamaniowej;
Pomieszczenia, w którym przetwarzany jest zbiór danych osobowych wyposażone są w system alarmowy przeciwwłamaniowy;
Dostęp do pomieszczeń, w których przetwarzany jest zbiory danych osobowych objęte są systemem kontroli dostępu;
Dostęp do pomieszczeń, w których przetwarzany jest zbiór danych osobowych kontrolowany jest przez system monitoringu z zastosowaniem kamer przemysłowych;
Dostęp do pomieszczeń, w których przetwarzany jest zbiór danych osobowych jest w czasie nieobecności zatrudnionych tam pracowników nadzorowany przez służbę ochrony;
Dostęp do pomieszczeń, w których przetwarzany jest zbiór danych osobowych przez cała dobę jest nadzorowany przez służbę ochrony;
Zbiór danych osobowych w formie papierowej przechowywany jest w zamkniętej niemetalowej szafie;
Zbiór danych osobowych w formie papierowej przechowywany jest w zamkniętej metalowej szafie;
Zbiór danych osobowych w formie papierowej przechowywany jest w zamkniętym sejfie lub kasie pancernej;
Kopie zapasowe/archiwalne zbioru danych osobowych przechowywane są w zamkniętej niemetalowej szafie;
Kopie zapasowe/archiwalne zbioru danych osobowych przechowywane są w zamkniętej metalowej szafie;
Kopie zapasowe/archiwalne zbioru danych osobowych przechowywane są w zamkniętym sejfie lub kasie pancernej;
Zbiory danych osobowych przetwarzane są w kancelarii tajnej, prowadzonej zgodnie z wymogami określonymi w odrębnych przepisach;
Pomieszczenie, w którym przetwarzane są zbiory danych osobowych zabezpieczone jest przed skutkami pożaru za pomocą systemu przeciwpożarowego i/lub wolnostojącej gaśnicy;
Dokumenty zawierające dane osobowe po ustaniu przydatności są niszczone w sposób mechaniczny za pomocą niszczarek dokumentów;

III – Środki sprzętowe infrastruktury informatycznej i telekomunikacyjnej:

Zbiór danych osobowych przetwarzany jest przy użyciu komputera przenośnego;
Komputer służący do przetwarzania danych osobowych nie jest połączony z lokalną siecią komputerową;
Zastosowano urządzenia typu UPS, generator prądu i/lub wydzieloną sieć elektroenergetyczną, chroniące system informatyczny służący do przetwarzania danych osobowych przed skutkami awarii zasilania;
Dostęp do zbioru danych osobowych, który przetwarzany jest na wydzielonej stacji komputerowej/ komputerze przenośnym zabezpieczony został przed nieautoryzowanym uruchomieniem za pomocą hasła BIOS;
Dostęp do systemu operacyjnego komputera, w którym przetwarzane są dane osobowe zabezpieczony jest za pomocą procesu uwierzytelnienia z wykorzystaniem identyfikatora użytkownika oraz hasła;
Dostęp do systemu operacyjnego komputera, w którym przetwarzane są dane osobowe zabezpieczony jest za pomocą procesu uwierzytelnienia z wykorzystaniem karty procesorowej oraz kodu PIN lub tokena;
Dostęp do systemu operacyjnego komputera, w którym przetwarzane są dane osobowe zabezpieczony jest za pomocą procesu uwierzytelnienia z wykorzystaniem technologii biometrycznej;
Zastosowano środki uniemożliwiające wykonywanie nieautoryzowanych kopii danych osobowych przetwarzanych przy użyciu systemów informatycznych;
Zastosowano systemowe mechanizmy wymuszający okresową zmianę haseł;
Zastosowano system rejestracji dostępu do systemu/zbioru danych osobowych;
Zastosowano środki kryptograficznej ochrony danych dla danych osobowych przekazywanych drogą teletransmisji;
Dostęp do środków teletransmisji zabezpieczono za pomocą mechanizmów uwierzytelnienia;
Zastosowano procedurę oddzwonienia (callback) przy transmisji realizowanej za pośrednictwem modemu;
Zastosowano macierz dyskową w celu ochrony danych osobowych przed skutkami awarii pamieci dyskowej;
Zastosowano środki ochrony przed szkodliwym oprogramowaniem takim, jak np. robaki, wirusy, konie trojańskie, rootkity;
Użyto system Firewall do ochrony dostępu do sieci komputerowej;
Użyto system IDS/IPS do ochrony dostępu do sieci komputerowej;

IV – Środki ochrony w ramach narzędzi programowych i baz danych:

Wykorzystano środki pozwalające na rejestrację zmian wykonywanych na poszczególnych elementach zbioru danych osobowych;
Zastosowano środki umożliwiające określenie praw dostępu do wskazanego zakresu danych w ramach przetwarzanego zbioru danych osobowych;
Dostęp do zbioru danych osobowych wymaga uwierzytelnienia z wykorzystaniem identyfikatora użytkownika oraz hasła;
Dostęp do zbioru danych osobowych wymaga uwierzytelnienia przy użyciu karty procesorowej oraz kodu PIN lub tokena;
Dostęp do zbioru danych osobowych wymaga uwierzytelnienia z wykorzystaniem technologii biometrycznej;
Zastosowano systemowe środki pozwalające na określenie odpowiednich praw dostępu do zasobów informatycznych, w tym zbiorów danych osobowych dla poszczególnych użytkowników systemu informatycznego;
Zastosowano mechanizm wymuszający okresową zmianę haseł dostępu do zbioru danych osobowych;
Zastosowano kryptograficzne środki ochrony danych osobowych;
Zainstalowano wygaszacze ekranów na stanowiskach, na których przetwarzane są dane osobowe;
Zastosowano mechanizm automatycznej blokady dostępu do systemu informatycznego służącego do przetwarzania danych osobowych w przypadku dłuższej nieaktywności pracy użytkownika;
Zastosowano mechanizm automatycznej blokady dostępu do systemu informatycznego służącego do przetwarzania danych osobowych w przypadku dłuższej nieaktywności pracy użytkownika.

V – Środki organizacyjne:

Osoby zatrudnione przy przetwarzaniu danych zostały zaznajomione z przepisami dotyczącymi ochrony danych osobowych;
Przeszkolono osoby zatrudnione przy przetwarzaniu danych osobowych w zakresie zabezpieczeń systemu informatycznego;
Osoby zatrudnione przy przetwarzaniu danych osobowych obowiązane zostały do zachowania ich w tajemnicy;
Monitory komputerów, na których przetwarzane są dane osobowe ustawione są w sposób uniemożliwiający wgląd osobom postronnym w przetwarzane dane;
Kopie zapasowe zbioru danych osobowych przechowywane są w innym pomieszczeniu niż to, w którym znajduje się serwer, na którym dane osobowe przetwarzane są na bieżąco;

Tak jak podkreślałem już powyżej, wyliczenie to ma charakter przykładowy, tym samym po wyborze zaproponowanych powyżej sposobów zabezpieczeń, możemy przejść do pola, w którym swobodnie możemy wpisać także inne zabezpieczenia.

Stan prawny na dzień: 6 października 2014 r.

Sposoby zabezpieczenia danych osobowych w Ośrodku:

Podobne wpisy

Doręczenia elektroniczne w podmiotach publicznych – ośrodkach pomocy społecznej i centrach usług społecznych

Dzień Pracownika Socjalnego

Przedłużenie ważności orzeczeń o (stopniu) niepełnosprawności vol. 4

Uchwała w sprawie odpłatności za pobyt w mieszkaniu treningowym i wspomaganym

Newsletter

Zapisz się do newslettera a otrzymasz dwa aktualne wzory decyzji.