Obowiązki Administratora Danych Osobowych

Obowiązki

Administrator Danych jest zobowiązany przez ustawę o ochronie danych osobowych do:

  • zabezpieczenia przetwarzanych danych osobowych przed ich udostępnieniem osobom nieupoważnionym oraz zabraniem przez osobę nieuprawnioną,
  • przetwarzania danych zgodnie z wymogami ustawy
  • chronienia danych przed zmianą, utratą, uszkodzeniem lub zniszczeniem

Zadania te powinny zostać zrealizowane poprzez:

  • opracowanie dokumentacji
  • monitorowanie czynności wykonywanych na zbiorze danych
  • zapewnienie technicznych środków bezpieczeństwa

Obawiasz się konsekwencji? Potrzebujesz niezależnego audytu? Możemy go przeprowadzić!

Administrator Bezpieczeństwa Informacji

Jeśli Administrator Danych sam nie wykonuje powyższych czynności, powinien wyznaczyć Administratora Bezpieczeństwa Informacji (ABI), który będzie nadzorował przestrzeganie zasad ochrony. W efekcie ma on możliwość kontrolowania systemów informatycznych oraz wydawania zaleceń wszystkim użytkownikom.

Szeroki zakres zadań Administratora Bezpieczeństwa Informacji i duża odpowiedzialność sprawia, że powinno to być stanowisko podporządkowane w strukturze firmy bezpośrednio Administratorowi Danych (przedsiębiorcy, zarządowi firmy).

Opracowanie dokumentacji

Rozporządzenie wykonawcze zobowiązuje Administratora Danych do opracowania przynajmniej dwóch dokumentów:

  • Polityki Bezpieczeństwa Danych Osobowych
  • Instrukcji Zarządzania Systemem Informatycznym

Potrzebujesz pomocy przy opracowaniu dokumentów? Pomożemy Ci je stworzyć!

Polityka Bezpieczeństwa Danych Osobowych

Polityka Bezpieczeństwa Danych Osobowych powinna zawierać między innymi:

  • wykaz budynków, pomieszczeń lub części pomieszczeń tworzących obszar, w którym przetwarzane są dane osobowe
  • wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych
  • opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi
  • sposób przepływu danych pomiędzy poszczególnymi systemami
  • określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych

Instrukcja Zarządzania Systemem Informatycznym

Instrukcja Zarządzania Systemem Informatycznym powinna omawiać następujące aspekty:

  • procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności
  • stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem
  • procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu
  • procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania
  • sposób, miejsce i okres przechowywania elektronicznych nośników informacji zawierających dane osobowe oraz kopii zapasowych
  • sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego
  • sposób odnotowania informacji o odbiorcach, którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia,
  • procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych

Monitorowanie czynności

Dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym muszą zostać odnotowane następujące informacje:

  • data pierwszego wprowadzenia danych do systemu
  • identyfikator użytkownika wprowadzającego dane osobowe do systemu
  • źródło danych, w przypadku zbierania danych, nie od osoby, której one dotyczą
  • informacja o odbiorcach, którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia, chyba że system informatyczny używany jest do przetwarzania danych zawartych w zbiorach jawnych
  • fakt wniesienia sprzeciwu wobec przetwarzania danych, gdy administrator danych zamierza je przetwarzać w celach marketingowych lub wobec przekazywania danych osobowych innemu administratorowi danych

Możliwe musi być sporządzenie i wydrukowanie raportu zawierającego wymienione powyżej informacje.

Nie wiesz czy Twoje oprogramowanie spełnia te wymagania? Przeprowadzimy audyt, który to sprawdzi!

Zapewnienie technicznych środków bezpieczeństwa

W zależności od rodzaju przetwarzanych danych osobowych oraz faktu czy system informatyczny jest podłączony do sieci publicznej (Internetu), Administrator Danych musi zapewnić środki bezpieczeństwa na jednym z poziomów:

  • poziom podstawowy
  • poziom podwyższony
  • poziom wysoki

Zarządzasz firmą i nie wiesz czy dane osobowe są właściwie chronione? Potrzebujesz niezależnego audytu? Pomożemy Ci!

Poziom podstawowy

Wymagania:

  • system informatyczny musi zapewniać mechanizmy kontroli dostępu do danych
  • jeżeli dostęp do danych posiadają co najmniej dwie osoby, to każda z musi posiadać odrębny identyfikator, a dostęp powinien zostać przyznany dopiero po dokonaniu uwierzytelnienia
  • system informatyczny musi zostać zabezpieczony przed działaniem oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego
  • system informatyczny powinien zostać zabezpieczony przed utratą danych spowodowaną awarią zasilania lub zakłóceniami w sieci zasilającej
  • identyfikator użytkownika, który utracił uprawnienia do przetwarzania danych nie może zostać przyznany innej osobie
  • jeśli do uwierzytelniania użytkowników używa się hasła, to jego zmiana następuje nie rzadziej niż co 30 dni, a hasło składa się z co najmniej 6 znaków
  • przetwarzane dane osobowe zabezpiecza się przez wykonywanie kopii zapasowych zbiorów danych oraz programów służących do przetwarzania danych
  • kopie zapasowe powinny być przechowywane w miejscach zabezpieczających je przed nieuprawnionym przejęciem, modyfikacją, uszkodzeniem lub zniszczeniem
  • niezwłocznie po tym jak kopie zapasowe tracą swoją użyteczność powinny zostać zniszczone
  • osoba korzystająca z komputera przenośnego zawierającego dane osobowe powinna zachować szczególną ostrożność podczas jego transportu, przechowywania i użytkowania poza obszarem w którym w normalnej sytuacji przetwarza się dane osobowe oraz stosować środki ochrony kryptograficznej wobec przetwarzanych danych
  • przed likwidacją, przekazaniem lub naprawą urządzeń, dysków lub innych elektronicznych nośników informacji zawierających dane osobowe należy usunąć zapis tych danych w sposób uniemożliwiający ich odczytanie i odzyskanie

Potrzebujesz dodatkowych informacji? Skontaktuj się z nami!

Poziom podwyższony

Wymagania takie jak na poziomie podstawowym oraz:

  • jeśli do uwierzytelniania użytkowników używa się hasła, to powinno składać się z co najmniej 8 znaków oraz zawierać małe i wielkie litery, cyfry lub znaki specjalne
  • urządzenia i nośniki zawierające dane osobowe i przekazywane poza obszar w którym w normalnej sytuacji przetwarza się dane powinny zostać zabezpieczone w sposób zapewniający poufność i integralność tych danych

Potrzebujesz dodatkowych informacji? Skontaktuj się z nami!

Poziom wysoki

Wymagania takie jak na poziomie podwyższonym oraz:

  • system informatyczny powinien być chroniony przed zagrożeniami pochodzącymi z sieci publicznej poprzez wdrożenie fizycznych lub logicznych zabezpieczeń chroniących przed nieuprawnionym dostępem (firewall)
  • zapewniona powinna zostać kontrola przepływu informacji między systemem informatycznym a siecią publiczną
  • działania inicjowane z sieci publicznej i systemu Administratora Danych powinny być kontrolowane
  • należy zastosować środki kryptograficznej ochrony danych wobec danych wykorzystywanych do uwierzytelnienia, które są przesyłane w sieci publicznej (w praktyce zaleca się szyfrowanie całej transmisji)

Potrzebujesz dodatkowych informacji? Skontaktuj się z nami!