06 Kwi

Polityka bezpieczeństwa: określenie środków technicznych i organizacyjnych

Na określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych składają się w szczególności:

  1. Procedura nadawania/zmiany/odwołania upoważnień do przetwarzania danych.
  2. Obowiązki Kierownika/Dyrektora/Zarządu (czyli tego kto działa w imieniu ADO).
  3. Obowiązki Osoby Upoważnionej.
  4. Obowiązki ASI (jeśli jest), ABI (jeśli jest) oraz np. koordynatora ochrony danych (jeśli jest).
  5. Opis zastosowanych zabezpieczeń technicznych.
  6. Opis zastosowanych zabezpieczeń organizacyjnych.
  7. Procedura postępowania przy naruszeniu bezpieczeństwa danych (co zrobić, komu zgłosić, itd.).
  8. Zasady udostępniania danych.
  9. Procedury powierzania danych.

Wskazówki do poszczególnych punktów:

  1. Przy procedurze nadawania/zmiany/upoważnień należy wskazać osoby odpowiedzialne za wnioskowanie o przyznanie/zmianę/odwołanie upoważnienia, osoby odpowiedzialne za przygotowanie upoważnień, kto może podpisać (ADO może wyznaczyć osoby upoważnione do podpisywania upoważnień), kto prowadzi ewidencję upoważnień, kto przechowuje upoważnienia.
  2. Obowiązki Kierownika/Dyrektora/Zarządu pokrywają się z ustawowymi obowiązkami ADO, w szczególności dbanie o zabezpieczenie danych, decydowanie o udostępnianiu danych, dbanie o legalność przetwarzania, dbanie o rozliczalność przetwarzanych danych, nadawanie/zmiana/odwoływanie upoważnień, obowiązek informacyjny, obowiązek zgłaszania zbiorów do rejestru GIODO.
  3. Osoba upoważniona musi być zaznajomiona z odpowiedzialnością za dane, do których otrzymała upoważnienie oraz z zasadami właściwego zabezpieczenia danych i postępowania w sytuacjach zagrażających ich integralności, rozliczalności, czy poufności.
  4. W tym punkcie określa się zakres obowiązków osób koordynujących przetwarzanie danych osobowych zgodnie z przepisami u ADO.
  5. Przykładowe zabezpieczenia techniczne:
    • zbiór danych osobowych przechowywany jest w pomieszczeniu zabezpieczonym drzwiami zwykłymi (niewzmacnianymi, nie przeciwpożarowymi),
    • dane są przechowywane w pomieszczeniu zabezpieczonym drzwiami o podwyższonej odporności ogniowej >= 30 min,
    • dane są przechowywane w pomieszczeniu zabezpieczonym drzwiami  o podwyższonej odporności na włamanie – drzwi klasy C,
    • dane są przechowywane w pomieszczeniu, w którym okna  zabezpieczone są za pomocą krat, rolet lub folii antywłamaniowej,
    • pomieszczenia, w których przetwarzane są dane wyposażone są w system alarmowy przeciwwłamaniowy,
    • dostęp do pomieszczeń objęty jest systemem kontroli dostępu,
    • dostęp do pomieszczeń kontrolowany jest przez system monitoringu z zastosowaniem kamer przemysłowych,
    • dostęp do pomieszczeń  jest w czasie nieobecności zatrudnionych tam pracowników nadzorowany przez służbę ochrony,
    • dostęp do pomieszczeń, w których przetwarzany jest zbiór danych osobowych przez całą dobę jest nadzorowany przez służbę ochrony,
    • dane w formie papierowej przechowywane są w zamkniętej, niemetalowej/metalowej szafie lub sejfie, kopie zapasowe/archiwalne danych osobowych przechowywane są w zamkniętej niemetalowej/metalowej szafie lub sejfie,
    • pomieszczenia, w których przetwarzane są dane są zabezpieczone przed skutkami pożaru za pomocą systemu przeciwpożarowego i/lub wolnostojącej gaśnicy,
    • dokumenty zawierające dane osobowe po ustaniu przydatności są niszczone w sposób mechaniczny za pomocą niszczarek dokumentów zastosowano urządzenia typu UPS, generator prądu i/lub wydzieloną sieć elektroenergetyczną, chroniące system informatyczny służący do przetwarzania danych osobowych przed skutkami awarii zasilania,
    • dostęp do systemu operacyjnego komputera, w którym przetwarzane są dane osobowe zabezpieczony jest za pomocą procesu uwierzytelnienia z wykorzystaniem identyfikatora użytkownika oraz hasła,
    • dostęp do systemu operacyjnego komputera, w którym przetwarzane są dane osobowe zabezpieczony jest za pomocą procesu uwierzytelnienia z wykorzystaniem karty procesorowej oraz kodu PIN lub tokena
    • zastosowano środki ochrony przed szkodliwym oprogramowaniem takim, jak np. robaki, wirusy, konie trojańskie, rootkity,
    • użyto system Firewall do ochrony dostępu do sieci komputerowej,
    • wykorzystano środki pozwalające na rejestrację zmian wykonywanych na poszczególnych elementach zbioru danych osobowych w systemie informatycznym,
    • zastosowano środki umożliwiające określenie praw dostępu do wskazanego zakresu danych w ramach przetwarzanego w systemie informatycznym zbioru danych osobowych,
    • dostęp do danych osobowych w systemie informatycznym wymaga uwierzytelnienia z wykorzystaniem identyfikatora użytkownika oraz hasła,
    • zastosowano mechanizm wymuszający okresową zmianę haseł dostępu do systemu służącego do przetwarzania danych,
    • zastosowano mechanizm automatycznej blokady dostępu do systemu informatycznego służącego do przetwarzania danych osobowych w przypadku dłuższej nieaktywności pracy użytkownika.
  6. Przykładowe zabezpieczenia organizacyjne:
    • do przetwarzania danych zostały dopuszczone wyłącznie osoby posiadające upoważnienie
    • nadane przez administratora danych
    • prowadzona jest ewidencja osób upoważnionych do przetwarzania danych,
    • została opracowana i wdrożona polityka bezpieczeństwa,
    • została opracowana i wdrożona instrukcja zarządzania systemem informatycznym,
    • osoby zatrudnione przy przetwarzaniu danych zostały zaznajomione z przepisami dotyczącymi ochrony danych osobowych,
    • przeszkolono osoby zatrudnione przy przetwarzaniu danych osobowych w zakresie zabezpieczeń systemu informatycznego,
    • osoby zatrudnione przy przetwarzaniu danych osobowych obowiązane zostały do zachowania ich w tajemnicy,
    • kopie zapasowe zbioru danych osobowych przechowywane są w innym pomieszczeniu niż to, w którym znajduje się serwer, na którym dane osobowe przetwarzane są na bieżąco.
  7. Procedura powinna być opisana w sposób zrozumiały dla szeregowego pracownika – co ma zrobić w przypadku podejrzenia zagrożenia dla poufności danych, np. gdy widzi, że dane w formie papierowej są zabezpieczone niewłaściwie lub podejrzewa, że ktoś może mieć nieuprawniony dostęp do danych w systemie informatycznym. Należy określić procedury postępowania na każdym etapie: osoby, która zauważyła problem, osoby która podejmuje działania prewencyjne i wyjaśniające oraz kierownika jednostki organizacyjnej działającego w imieniu ADO.
  8. Należy określić procedurę postępowania w przypadku udostępnienia danych – podmiotom, które są upoważnione do tego na podstawie przepisów prawa oraz innym podmiotom. Kiedy dane można udostępnić, kto może to zrobić, w jakiej formie dane są udostępniane, kto i jak odnotowuje informację o udostępnieniu.
  9. Należy określić, w jakich sytuacjach konieczne jest podpisanie umowy powierzenia danych osobowych (wskazane jest dodanie do polityki wzoru zapisów powierzenia danych) i kto za to odpowiada.

 


Sylwia CzubSpodobał Ci się ten wpis? Masz jeszcze jakieś pytania? A może potrzebujesz pomocy przy danych osobowych? Pomogłam już wielu, pomogę i Tobie!

Napisz do mnie