« Powrót

Podrozdział 2. Ochrona danych osobowych w systemach informatycznych



Źródła wymagań bezpieczeństwa w zakresie ochrony danych osobowych w systemach informatycznych
Jedną z podstawowych zasad ochrony danych osobowych jest zapewnienie odpowiedniego zabezpieczenia danych osobowych. Zasada ta wynika z art. 36 ust. 1 ustawy. Zgodnie z tym przepisem administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.
Uzupełnieniem tej zasady jest wprowadzenie przez ustawodawcę w ustawie i rozporządzeniu podstawowych wymagań bezpieczeństwa dotyczących ochrony danych osobowych, a przede wszystkim ochrony danych osobowych przetwarzanych w systemach informatycznych.
W ustawie treść wymagań bezpieczeństwa określa sześć przepisów, są to:
1) art. 36 ust. 2 ustawy;
2) art. 36 ust. 3 ustawy;
3) art. 37 ustawy;
4) art. 38 ustawy;
5) art. 39 ust. 1 ustawy;
6) art. 39 ust. 2 ustawy.

Natomiast w rozporządzeniu wymagania w zakresie zabezpieczenia danych osobowych określają 23 przepisy, są to:
1) § 3 rozporządzenia;
2) § 4 rozporządzenia;
3) § 5 rozporządzenia;
4) § 7 rozporządzenia;
5) punkt I podpunkt 1 załącznika do rozporządzenia;
6) punkt I podpunkt 2 załącznika do rozporządzenia;
7) punkt II podpunkt 1 załącznika do rozporządzenia;
8) punkt II podpunkt 2 załącznika do rozporządzenia;
9) punkt III podpunkt 1 załącznika do rozporządzenia;
10) punkt III podpunkt 2 załącznika do rozporządzenia;
11) punkt IV podpunkt 1 załącznika do rozporządzenia;
12) punkt IV podpunkt 2 załącznika do rozporządzenia;
13) punkt IV podpunkt 3 załącznika do rozporządzenia;
14) punkt IV podpunkt 4 załącznika do rozporządzenia;
15) punkt V załącznika do rozporządzenia;
16) punkt VI załącznika do rozporządzenia;
17) punkt VII załącznika do rozporządzenia;
18) punkt VIII załącznika do rozporządzenia;
19) punkt IX załącznika do rozporządzenia;
20) punkt X załącznika do rozporządzenia;
21) punkt XII podpunkt 1 załącznika do rozporządzenia;
22) punkt XII podpunkt 2 załącznika do rozporządzenia;
23) punkt XIII załącznika do rozporządzenia.
Dodatkowo administrator danych zobowiązany jest przygotować wewnętrzne zasady dookreślające wymagania wynikające z ustawy i rozporządzenia. Owe zasady ochrony danych osobowych powinna regulować dokumentacja przetwarzania danych osobowych, na którą składają się Polityka bezpieczeństwa danych osobowych oraz Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych (§ 3 rozporządzenia).
W celu właściwego zabezpieczenia danych osobowych należy odnieść się do każdego z wymagań bezpieczeństwa, które wynikają z powyższych przepisów.
Pojęcie systemu informatycznego i zabezpieczenia danych w systemie informatycznym
Zgodnie z art. 7 pkt 2a ustawy system informatyczny to zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych.
Ustalenie znaczenia pojęcia „systemu informatycznego” jest bardzo ważne, ponieważ na jego podstawie administrator danych określa zakres swojej odpowiedzialności za zabezpieczanie danych osobowych przetwarzanych w tym systemie.
W myśl ustawowej definicji systemu informatycznego można wskazać na trzy elementy, z których się składa:
1) użytkownicy systemu informatycznego;
2) urządzenia i oprogramowanie służące do przetwarzania danych osobowych;
3) procedury przetwarzania danych osobowych w tym systemie.
Ostatni element systemu informatycznego „wiąże” de facto użytkowników systemu ze sprzętem i oprogramowaniem w jeden system. Nie można zatem pomijać w ochronie systemu tych jego elementów, które nie są związane bezpośrednio ze sprzętem i oprogramowaniem, ponieważ w takim przypadku ochronie nie podlegałyby ani dane wejściowe do tego systemu (dane, które są przetwarzane w postaci papierowej), ani dane wyjściowe z tego systemu, np. wydruki komputerowe. Na to uwarunkowanie wskazał Naczelny Sąd Administracyjny w wyroku z dnia 3 grudnia 2003 r. Zgodnie z tezą tego orzeczenia definicja systemu informatycznego w ustawie o ochronie danych osobowych jest bardzo pojemna. Nie można z niej wyeliminować procedur przetwarzania danych w innych formach niż elektroniczna. Procedury te mogą mieć charakter tradycyjny (np. ewidencje, skoroszyty), a nie tylko formę skondensowanego, jednomodułowego zbioru danych, np. w komputerze lub na dyskietce. ZUS i inne podmioty mogą więc – jeśli tak wynika z przyjętych przez nie procedur – gromadzić dane w systemie elektronicznym, a w inny sposób rejestrować informacje o osobach, które miały do nich dostęp, oraz o czasie udostępniania danych .
Zgodnie z art. 7 pkt 2b ustawy zabezpieczeniem danych osobowych w systemach informatycznych jest wdrożenie i eksploatacja stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem, tj. przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.

Podział wymagań na techniczne, organizacyjne i dokumentacyjne
Wymagania w zakresie zabezpieczenia danych osobowych ze względu na ich charakter i cel zastosowania można podzielić na trzy grupy:
a) organizacyjne;
b) techniczne;
c) dokumentacyjne.
Wymagania organizacyjne to oczekiwane przez ustawodawcę rozwiązania w zakresie organizacji przetwarzania danych osobowych (organizacji pracy lub działalności), których celem jest podniesienie odporności systemu informatycznego oraz urządzeń służących do przetwarzania danych osobowych na negatywne następstwa zdarzeń losowych czy celowej działalności człowieka.
Wymagania techniczne są oczekiwanymi przez ustawodawcę rozwiązaniami w zakresie doboru odpowiednich urządzeń oraz oprogramowania służącego do przetwarzania danych osobowych, które przez swoje cechy lub funkcjonalność zmniejszają podatność systemu informatycznego oraz samych danych osobowych na negatywne następstwa zdarzeń losowych czy celowej działalności człowieka.
Wymagania dokumentacyjne to oczekiwane przez ustawodawcę zasady, procedury, ustalone praktyki, przyjęte zwykle w postaci pisemnej i zatwierdzone przez osoby zarządzające danym podmiotem, których celem jest określanie pożądanych zachowań i rozwiązań technicznych służących ochronie danych osobowych.
Mając powyższe na względzie, można stwierdzić, że bezpieczeństwem danych osobowych jest pożądany stan, w którym wymagania organizacyjne, techniczne oraz dokumentacyjne są zrealizowane w sposób odpowiedni do zagrożeń oraz kategorii danych osobowych przetwarzanych w danym systemie informatycznym. Z tego punktu widzenia zakres koniecznych do wdrożenia środków technicznych, organizacyjnych i dokumentacyjnych jest różny w zależności od warunków, w jakich dane osobowe są przetwarzane .
Dostrzegł to również ustawodawca i wprowadził w § 6 rozporządzenia trzy poziomy bezpieczeństwa przetwarzania danych osobowych w systemie informatycznym:
1. poziom podstawowy, gdy w systemie informatycznym:
a. nie są przetwarzane dane, o których mowa w art. 27 ustawy, czyli dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz dane dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym;
b. żadne z urządzeń systemu informatycznego, służącego do przetwarzania danych osobowych, nie jest połączone z siecią publiczną (np. Internetem).
2. poziom podwyższony, gdy w systemie informatycznym:
a. przetwarzane są dane osobowe, o których mowa w art. 27 ustawy, czyli dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz dane dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym;
b. żadne z urządzeń systemu informatycznego, służącego do przetwarzania danych osobowych, nie jest połączone z siecią publiczną.
3. poziom wysoki, gdy przynajmniej jedno urządzenie systemu informatycznego, służącego do przetwarzania danych osobowych połączone jest z siecią publiczną.
Opis środków bezpieczeństwa stosowany na trzech poziomach określa załącznik do rozporządzenia, przy czym:
− część A załącznika określa środki bezpieczeństwa na poziomie podstawowym;
− część B załącznika określa środki bezpieczeństwa na poziomie podwyższonym;
− część C załącznika określa środki bezpieczeństwa na poziomie wysokim.
Praktyka stosowania powyższych przepisów pokazuje, że większość systemów informatycznych spełnia warunki wysokiego poziomu bezpieczeństwa danych osobowych , na którym stosuje się środki bezpieczeństwa określone w części C załącznika do rozporządzenia, a dodatkowo środki bezpieczeństwa określone w części A i B załącznika, o ile zasady zawarte w części C nie stanowią inaczej.

Wymagania organizacyjne
Wymagania organizacyjne określone są w następujących przepisach:
Art. 36 ust. 3 ustawy – wyznaczenie administratora bezpieczeństwa Informacji (ABI).
Stosownie do treści z art. 36 ust. 3 ustawy administrator danych osobowych wyznacza administratora bezpieczeństwa informacji nadzorującego przestrzeganie zasad ochrony danych osobowych określonych w dokumentacji przetwarzania danych osobowych, chyba że sam wykonuje te czynności.
Administratorem bezpieczeństwa informacji może być wyznaczona tyko osoba fizyczna wskazana z imienia i nazwiska. Może być to pracownik lub współpracownik administratora danych, zatrudniony na etacie lub umowie cywilnoprawnej .
Brak jest wskazań w przepisach o ochronie danych osobowych co do wymaganego wykształcenia oraz doświadczenia osoby wyznaczonej do tej funkcji. Należy jednak przyjąć, że brak odpowiedniego wykształcenia lub doświadczenia w zakresie nadzoru nad ochroną danych osobowych może stwarzać ryzyko, że nadzór nad ochroną danych osobowych takiej osoby będzie nieskuteczny bądź niefachowy.
W doktrynie prawniczej, która zajmuje się przepisami o ochronie danych osobowych, wskazuje się, że ze względu na szeroki zakres obowiązków oraz wiążącą się z nimi odpowiedzialność administrator bezpieczeństwa informacji powinien być zatrudniony na samodzielnym stanowisku, niezależnym od pionu służb informatycznych .
W zakresie ochrony danych osobowych ABI powinien posiadać prawo wydawania zaleceń wszystkim osobom upoważnionym do przetwarzania danych osobowych oraz innym osobom mającym wpływ na przetwarzanie tych danych (np. osoby sprzątające). W konsekwencji celowe jest umieszczenie stanowiska ABI jak najwyżej w strukturze organizacyjnej administratora danych. Za dobrą praktykę uznaje się również podporządkowanie ABI w strukturze organizacyjnej wyłącznie ścisłemu kierownictwu administratora danych, a nie np. kierownikowi departamentu informatyki.
Nie ma formalnych przeszkód, aby administrator bezpieczeństwa informacji wykonywał równocześnie inne obowiązki związane z ochroną informacji w firmie, nie tylko tych stanowiących dane osobowe.
Choć ustawa o tym nie mówi, administrator danych może, co jest zalecaną praktyką, wyznaczyć zastępcę administratora bezpieczeństwa informacji.
Jeżeli administrator bezpieczeństwa informacji jest pracownikiem administratora danych, to uszczegółowienie jego zadań powinno nastąpić w zakresie obowiązków pracowniczych. Trzeba jednak pamiętać, że zakres obowiązków, przekazywany pracownikowi po nawiązaniu stosunku pracy, nie może określać obowiązków pracownika szerzej niż określony w umowie o pracę rodzaj pracy. Jeżeli zatem pracownik zatrudniony jest na stanowisku niezwiązanym z zabezpieczeniem danych osobowych, to powierzenie mu funkcji administratora bezpieczeństwa informacji powinno nastąpić nie w wyniku przekazania mu rozszerzonego zakresu czynności, lecz np. na podstawie porozumienia zmieniającego, przybierającego postać aneksu do umowy o pracę, który wymaga zgody pracownika.
Należy przyjąć, że administrator danych, w świetle art. 26 ust. 1 ustawy o ochronie danych osobowych, jest zobowiązany również do dołożenia szczególnej staranności w doborze administratora bezpieczeństwa informacji. Nie powinien być to wybór przypadkowy. ABI nie musi mieć wykształcenia informatycznego ani też innego wykształcenia kierunkowego, lecz z uwagi na przedmiot wykonywanych przez niego obowiązków powinien dysponować odpowiednią wiedzą w zakresie informatyki (zdobytej np. w czasie specjalistycznych kursów oferowanych przez firmy szkoleniowe).
Art. 37 ustawy – upoważnienie do przetwarzania danych osobowych osób zatrudnionych przy ich przetwarzaniu.
Zgodnie z art. 37 ustawy do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych.
Celem nadawania, zmiany oraz cofania upoważnień jest zapewnienie „rozliczalności” działania osób, które do przetwarzania danych osobowych zostały dopuszczone, tak aby w przypadku nieuprawnionego ujawnienia danych osobowych lub nieupoważnionej modyfikacji móc ustalić, które spośród upoważnionych osób mogły tego dokonać.
Ustawa nie określa formy ani treści oświadczenia o udzieleniu upoważnienia do przetwarzania danych osobowych. Rekomenduje się, aby miało ono formę pisemną, ponieważ na podstawie upoważnienia trzeba uzupełnić ewidencję osób upoważnionych do przetwarzania danych osobowych. Należy w nim określić nazwę (imię i nazwisko) oraz adres administratora danych, osobę upoważnioną do przetwarzania danych osobowych, datę nadania i, jeżeli jest ono przyznawane na czas określony, datę ustania oraz zakres upoważnienia do przetwarzania danych osobowych . W szczególności upoważnienie do przetwarzania danych osobowych może być udzielone w formie służbowego e-maila, który byłby następnie zachowany w celach dowodowych .
Warto zwrócić uwagę, że brak upoważnienia do przetwarzania danych osobowych może stanowić przestępstwo, o którym mowa w art. 51 ustawy. Stosownie do treści tego przepisu, kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych, udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do dwóch lat. W przypadku gdy sprawca działa nieumyślnie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.
Art. 39 ust. 2 ustawy – tajemnica danych osobowych
Zgodnie z art. 39 ust. 2 ustawy osoby, które zostały upoważnione do przetwarzania danych, są obowiązane zachować w tajemnicy te dane osobowe oraz sposoby ich zabezpieczenia.
Mimo że wprost nie zostało to w przepisie przewidziane, osoby upoważnione do przetwarzania danych osobowych są zobowiązane do zachowania tajemnicy danych osobowych, do których miały dostęp także po zakończeniu pracy lub współpracy z administratorem danych, który je do przetwarzania tych danych upoważnił.
Z kwestią tajemnicy danych osobowych związany jest również obowiązek zachowania w tajemnicy przez osoby upoważnione do przetwarzania danych osobowych informacji o sposobach ich zabezpieczenia, np. informacji o miejscu przechowywania kluczy do pomieszczeń z danymi osobowymi lub informacji umożliwiającej zalogowanie się na koncie użytkownika mającego dostęp do przetwarzanych danych osobowych.
Z koniecznością zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia związane jest ustalenie sposobu udokumentowania przez administratora danych zapoznania się przez pracownika lub współpracownika z tymi obowiązkami. Forma klauzuli odpowiedzialności za ochronę danych osobowych, jak również jej treść, nie wynika z przepisów o ochronie danych osobowych. Jednak należy zauważyć, że pisemna (podpisana przez pracownika) forma klauzuli odpowiedzialności za ochronę danych osobowych (podobnie jak forma pisemna upoważnienia do przetwarzania danych osobowych) daje znacznie większe szanse administratorowi danych w przypadku sporu z pracownikiem na udowodnienie, że personel zatrudniony przy przetwarzaniu danych osobowych został do tego odpowiednio przygotowany.
Stosowanie pisemnej klauzuli odpowiedzialności za ochronę danych osobowych nie oznacza, że jest to jedyna metoda na potwierdzenie zapoznania się pracownika z jego odpowiedzialnością w zakresie ochrony danych osobowych.
Jako alternatywny sposób może zostać uznany również ten, który będzie polegał na zaznaczeniu przez pracownika tzw. check-boxu przy treści klauzuli. Kluczowe jednak w takim przypadku będzie wykazanie, że osoba, która zaznaczyła check-box, jest tą, której klauzula dotyczyła. Należy podkreślić, że w przepisach o ochronie danych osobowych nie ma przepisu, który nakazywałby wprost, aby pracownicy podpisywali tego rodzaju klauzule. Z drugiej strony, warto zauważyć, że nie ma przepisu, który tego rodzaju działań by zakazywał.
Obowiązek podpisania powyższej klauzuli ma zatem przede wszystkim wymiar dowodowy, potwierdzający znajomość obowiązków pracownika w zakresie ochrony danych osobowych.

Punkt 1 ppkt 2 załącznika do rozporządzenia
Nadzór nad osobami nieuprawnionymi do przetwarzania danych osobowych
Stosownie do treści punktu 1 ppkt 2 załącznika do rozporządzenia przebywanie osób nieuprawnionych w obszarze przetwarzania danych osobowych, określonym w Polityce bezpieczeństwa danych osobowych, jest dopuszczalne wyłącznie za zgodą administratora danych lub w obecności osoby upoważnionej do przetwarzania danych osobowych.
Celem tego wymagania jest zapewnienie poufności i integralności danych osobowych.
Osobą nieuprawnioną do przetwarzania danych osobowych może być przykładowo:
1. klient administratora danych;
2. pracownik administratora danych, który nie jest zatrudniony przy przetwarzaniu danych osobowych;
3. pracownik podmiotu trzeciego, np. pracownik firmy IT, która została wezwana do wykonania prac serwisowych, lub pracownik firmy sprzątającej;
4. były pracownik administratora danych.
Osobą nieuprawnioną nie będzie przykładowo, mimo że nie posiada upoważnienia do przetwarzania danych osobowych, wykonujący czynności służbowe na podstawie przepisów prawa:
1. funkcjonariusz Policji;
2. funkcjonariusz Agencji Bezpieczeństwa Wewnętrznego;
3. funkcjonariusz Centralnego Biura Antykorupcyjnego;
4. pracownik Urzędu Skarbowego;
5. prokuratur;
6. inspektor Biura Generalnego Inspektora Ochrony Danych Osobowych.
Obecność osób upoważnionych wśród osób nieuprawnionych lub zgoda na przebywanie osób nieuprawnionych udzielona przez administratora danych ma zagwarantować, że w czasie przebywania w pomieszczeniu, gdzie dane są przetwarzane, nie dojdzie do ujawnienia danych lub takiego zachowania osoby nieuprawnionej, które mogłoby doprowadzić do uzyskania wglądu do danych osobowych przetwarzanych w systemie informatycznym.
§ 5 rozporządzenia oraz pkt X załącznika do rozporządzenia – Procedury bezpiecznego przetwarzania danych osobowych w systemie informatycznym
Rozporządzenie wprowadza obowiązek opracowania i wdrożenia sześciu procedur, których celem jest zapewnienie ochrony danych osobowych w systemie informatycznym przed utratą ich poufności, rozliczalności i integralności.
Procedura nr 1. Procedura nadawania uprawnień do przetwarzania danych osobowych (§ 5 pkt 1 zdanie 1 rozporządzenia)
Celem procedury jest zapewnienie, aby dane osobowe nie były udostępniane nieupoważnionym podmiotom (poufność danych osobowych).
Procedura powinna wskazywać, kto w organizacji podejmuje decyzje o nadaniu, zmianie oraz cofnięciu uprawnień do pracy w systemie informatycznym służącym do przetwarzania danych osobowych.
Procedura powinna obejmować:
1. pracowników administratora danych;
2. współpracowników administratora danych;
3. pracowników współpracowników (np. pracowników firm IT, którzy serwisują system informatyczny, jeśli mają mieć dostęp do danych osobowych);
4. stażystów administratora danych;
5. pracowników czasowych administratora danych.
Warunkiem nadania uprawnień w systemie informatycznym służącym do przetwarzania danych osobowych powinno być posiadanie uprawnienia do ich przetwarzania – zwykle będzie to upoważnienie do przetwarzania danych osobowych. Nie musi to być jednak wyłącznie dokument upoważnienia. Może to być także lista osób wskazanych przez podmiot, z którym administrator danych osobowych współpracuje, lub upoważnienie do kontroli wydane dla osoby zatrudnionej w instytucji publicznej, która prowadzi kontrolę u administratora danych, np. pracownik Generalnego Inspektora Ochrony Danych Osobowych lub pracownik Najwyższej Izby Kontroli.
Procedura powinna wskazywać nie tylko warunki, w których dochodzi do nadania uprawnień do pracy w systemie informatycznym, ale również przypadki, w których dokonuje się zmiany czy cofnięcia tych uprawnień.
Zmiana uprawnień w systemie informatycznym wynika zwykle ze zmiany zakresu zadań użytkownika w systemie informatycznym (np. zmiana roli z użytkownika zwykłego na użytkownika uprzywilejowanego itp.).
Cofnięcie uprawnień zwykle związane jest z m.in.:
a. cofnięciem upoważnienia do przetwarzania danych osobowych;
b. rozwiązaniem lub wygaśnięciem stosunku pracy;
c. przeniesieniem do pracy w innej komórce organizacyjnej administratora danych.
Dodatkowo w procedurze nadawania uprawnień do przetwarzania danych osobowych reguluje się również tryb i zasady odnotowywania nadanych uprawnień w ewidencji osób upoważnionych do przetwarzania tych danych.
Procedura nadawania (zmiany oraz cofnięcia) uprawnień do przetwarzania danych osobowych powinna być sporządzona w formie pisemnej i wdrożona. Stanowi część instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. Jest zatwierdzana przez administratora danych. Powinna być znana osobom, które mają uzyskać uprawnienie do przetwarzania danych osobowych w systemach informatycznych.

Procedura nr 2. Procedura rejestrowania uprawnień do przetwarzania danych osobowych w systemie informatycznym (§ 5 pkt 1 zdanie 2 rozporządzenia)
Celem procedury jest zapewnienie, aby dane wprowadzane do systemu informatycznego spełniały atrybut rozliczalności, tzn. działania użytkownika systemu informatycznego, na danych osobowych w nim przetwarzanych, mogły być przypisane w sposób jednoznaczny tylko temu podmiotowi.
Procedura powinna dotyczyć osób, którym wcześniej nadano, zmieniono albo cofnięto uprawniania do pracy w systemie informatycznym służącym do przetwarzania danych osobowych.
Procedura nadto powinna określać kroki, które służą do zarejestrowania i wyrejestrowania użytkownika w systemie informatycznym. Zwykle będzie to procedura polegająca na:
− nadaniu identyfikatora użytkownika w systemie informatycznym, przy czym identyfikator użytkownika to zgodnie z § 2 pkt 2 rozporządzenia ciąg znaków literowych, cyfrowych lub innych jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym;
− założeniu konta użytkownika w systemie informatycznym oraz przypisanie uprawnień związanych z tym kontem, pozwalających na różny zakres dostępu do danych oraz różny zakres działań, jakie na tych danych mogą być wykonywane;
− wyrejestrowaniu użytkownika z systemu informatycznego, polegająca na „zamknięciu” konta użytkownika, co w praktyce polegać będzie na odebraniu uprawnień zapisanych na koncie użytkownika w danym systemie informatycznym.
Procedura ma zapewnić realizację w warunkach konkretnego systemu informatycznego tzw. zasady „wiedzy uzasadnionej”. Zgodnie z nią dostęp do informacji prawnie chronionej powinien być tak określony, aby odpowiadał zakresowi zadań, dla których realizacji został udzielony.
Procedura rejestrowania i wyrejestrowania użytkowników z systemu informatycznego powinna być sporządzona w formie pisemnej, zatwierdzona i wdrożona przez administratora danych. Stanowi ona część instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. Z racji „technicznego” charakteru procedury jest ona skierowana do administratorów systemów lub administratorów aplikacji służących do przetwarzania danych osobowych. Nie powinna być ona w związku z tym dostępna dla zwykłych użytkowników, ponieważ do ich pracy nie jest im niezbędna.

Procedura nr 3. Procedura zarządzania i użytkowania środkami uwierzytelniania (§ 5 pkt 2 rozporządzenia)
Celem procedury zarządzania i użytkowania środkami uwierzytelnienia jest zapewnienie rozliczalności oraz poufności danych osobowych przetwarzanych w systemie informatycznym.
Procedura dotyczy użytkowników systemów informatycznych, którym wcześniej udzielono, zmieniono lub cofnięto uprawnienia do pracy w systemie informatycznym służącym do przetwarzania danych osobowych.
Warunkiem przygotowania procedury zarządzania i użytkowania środkami uwierzytelnienia jest ustalenie, jakie środki i metody stosuje administrator danych osobowych w systemie informatycznym w celu uwierzytelnienia użytkownika. Ustalenie to jest jednym ze środków technicznego zabezpieczenia danych osobowych, wymaganych przez ustawodawcę w punkcie II załącznika do rozporządzenia (wymaganie to zostanie omówione w dalszej części niniejszego podrozdziału).
Procedura powinna regulować następujące zdarzenia związane z użytkowaniem systemu informatycznego:
− ustalenie identyfikatora użytkownika w systemie informatycznym;
− ustalenie sposobu uwierzytelnienia użytkownika w systemie informatycznym i przekazanie użytkownikowi informacji o danych i procedurze służącej do uwierzytelnienia (np. sposób przekazania pierwszego hasła do konta w systemie informatycznym, jeśli środkiem uwierzytelnienia jest hasło). Budowie i częstotliwości zmiany hasła zostanie poświęcona dalsza część niniejszego podrozdziału;
− ustalenie sposobu zmiany danych służących do uwierzytelniania w przypadku podejrzenia, że osoba nieuprawniona mogła zapoznać się z tymi danymi i próbować wykorzystać je dla potrzeb nielegalnego uzyskania dostępu do systemu informatycznego, oraz w przypadku gdy uprawniony użytkownik zapomniał, jakimi danymi uwierzytelniał się w systemie informatycznym.
Procedura zarządzania i użytkowania środkami uwierzytelnienia użytkowników w systemie informatycznym powinna być sporządzona w formie pisemnej, zatwierdzona i wdrożona przez administratora danych. Stanowi ona część instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. Z racji „technicznego” charakteru procedury jest ona skierowana do administratorów systemów lub administratorów aplikacji służących do przetwarzania danych osobowych. Nie powinna być ona w związku z tym dostępna dla zwykłych użytkowników, ponieważ do ich pracy nie jest im niezbędna, poza częścią, w której określa się sposób informowania administratora systemu lub administratora aplikacji o zagubieniu hasła lub obawy, że hasło lub inny środek uwierzytelnienia, np. numer PIN, zostało przypadkowo ujawnione osobie nieuprawnionej do dostępu do danych osobowych.

Procedura nr 4. Procedury rozpoczęcia, zawieszenia i zakończenia pracy w systemie informatycznym (§ 5 pkt 3 rozporządzenia)
Celem procedury jest zapewnienie odpowiedniego, bezpiecznego postępowania użytkowników systemu informatycznego, służącego do przetwarzania danych osobowych.
Procedura jest skierowana do użytkowników systemu informatycznego służącego do przetwarzania danych osobowych.
Powinna ona regulować następujące zdarzenia związane z obsługą systemu informatycznego:
a) rozpoczęcie pracy w systemie informatycznym – z tej części procedury użytkownik powinien dowiedzieć się: „jak prawidłowo przebiega uruchamianie systemu informatycznego, a w szczególności zasady postępowania użytkowników podczas przeprowadzania procesu uwierzytelniania się (logowania się do systemu). Przestrzeganie określonych w procedurze zasad powinno zapewniać zachowanie poufności haseł oraz uniemożliwiać nieuprawnione przetwarzanie danych” . W procedurze powinny być zawarte wskazówki dotyczące sposobu podłączenia jednostki centralnej do układów zasilania elektrycznego w sposób zapewniający zabezpieczenie systemu i danych przed skutkami zaniku zasilania;
b) zawieszenie pracy w systemie informatycznym – ta część procedury powinna określać, w jaki sposób zabezpieczyć dostęp do danych osobowych przetwarzanych na stanowisku pracy w przypadku chwilowego, tymczasowego opuszczenia stanowiska pracy, np. wylogowanie się z systemu informatycznego, zamknięcie akt w szufladzie. W przypadku gdy pracownik dzieli pokój z innymi pracownikami, nawet gdy są zatrudnieni przez tego samego pracodawcę co użytkownik, wylogowanie się z systemu powinno być zasadą. Powoduje ono zwykle uruchomienie wygaszacza ekranu, który ogranicza ryzyko wystąpienia ujawnienia danych;
c) zakończenie pracy w systemie informatycznym – z tej części procedury użytkownik powinien dowiedzieć się, w jaki sposób zakończyć pracę z danymi osobowymi przetwarzanymi w systemie informatycznym oraz jak zabezpieczyć dostęp do danych osobowych, w tym dokumentów, wydruków oraz elektronicznych nośników danych, które są wykorzystywane w pracy, a przechowywane są poza systemem informatycznym.
Procedury przeznaczone dla użytkowników systemu powinny wskazywać sposób postępowania w sytuacji podejrzenia naruszenia bezpieczeństwa systemu, np. w przypadku braku możliwości zalogowania się użytkownika na jego konto czy też w przypadku stwierdzenia fizycznej ingerencji w przetwarzane dane lub użytkowane narzędzia programowe lub sprzętowe .

Procedura nr 5. Procedura tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania (§ 5 pkt 4 rozporządzenia)
Celem procedury jest zapewnienie integralności danych osobowych oraz zbiorów danych osobowych. Przez integralność danych należy rozumieć właściwość danych zapewniającą, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany (§ 2 pkt 8 rozporządzenia).
Procedura skierowana jest do administratorów systemu informatycznego, służącego do przetwarzania danych osobowych, których zadaniem jest zapewnienie technicznej sprawności urządzeń oraz oprogramowania, wchodzących w skład systemu informatycznego.
Powinna ona określać zasoby systemu informatycznego (chodzi o zasoby programowe), które są kluczowe dla odtworzenia zdolności systemu informatycznego do przetwarzania danych osobowych.
Co do zasady niezbędne jest tworzenie kopii:
1) zbioru danych osobowych, który należy rozumieć jako bazę danych osobowych;
2) aplikacji bazodanowej służącej użytkownikom do pracy na bazie danych osobowych;
3) systemu operacyjnego;
4) narzędzi programowych, służących do przetwarzania danych osobowych, np. oprogramowanie do obsługi skanerów, drukarek, jeśli są używane do przetwarzania danych osobowych.
Ponadto zaleca się, aby wskazać:
− metody (kopia przyrostowa, kopia całościowa, kopia różnicowa) i częstotliwość tworzenia kopii zapasowych danych oraz kopii zapasowych systemu informatycznego używanego do ich przetwarzania (harmonogram tworzenia kopii zapasowych);
− dla jakich danych wykonywane będą kopie zapasowe;
− typ nośników, na których kopie będą wykonywane, oraz narzędzia programowe i urządzenia, które mają być do tego celu wykorzystywane;
− okresy rotacji oraz całkowity czas użytkowania poszczególnych nośników danych .
Zalecane jest ponadto, aby uzupełnić procedurę tworzenia kopii zapasowych o procedury:
− sprawdzenia kopii zapasowych pod kątem ich przydatności do odtworzenia danych na wypadek utraty produkcyjnej bazy danych;
− odtworzenia zbioru danych osobowych oraz narzędzi programowych z kopii;
− likwidacji nośników zawierających kopie zapasowe danych po ich wycofaniu na skutek utraty przydatności lub uszkodzenia.
Procedura tworzenia kopii zbiorów danych osobowych oraz programów i narzędzi programowych powinna stanowić część instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych.

Procedura nr 6. Procedura wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych (§ 5 pkt 8 rozporządzenia)
Celem tej procedury jest zapewnienie integralności danych osobowych. Sprawne urządzenia oraz zaktualizowane oprogramowanie zmniejsza ryzyko przypadkowej utraty danych lub błędów w działaniu oprogramowania bazodanowego.
Procedura wykonywania przeglądów i konserwacji powinna określać:
1) części systemu informatycznego, które podlegają przeglądowi i konserwacji. Należy kierować się przy tym wskazaniami producenta urządzeń co do częstotliwości wykonywania konserwacji oraz warunków pracy urządzeń wchodzących w skład systemu informatycznego;
2) częstotliwość wykonywania przeglądów i konserwacji;
3) podmioty i osoby uprawnione do dokonywania przeglądów i konserwacji systemu informatycznego;
4) sposób usuwania danych osobowych z nośników, na których utrwalone są dane osobowe, jeśli nośniki te mają zostać przekazane do naprawy poza przedsiębiorstwo administratora danych.
Procedura z § 5 pkt 8 rozporządzenia skierowana jest do administratorów systemu informatycznego.
Procedura wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych powinna być spisana i przyjęta przez administratora danych. Stanowi ona część instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych.
§ 5 pkt 1 rozporządzenia – wyznaczenie osoby uprawnionej do rejestrowania i wyrejestrowywania użytkowników w systemie informatycznym
Stosownie do treści § 5 pkt 1 rozporządzenia instrukcja zarządzania systemem informatycznym, służącym do przetwarzania danych osobowych, powinna wskazywać osobę odpowiedzialną za rejestrowanie i wyrejestrowywanie użytkowników z systemu informatycznego.
Osoba, która rejestruje i wyrejestrowuje użytkowników z systemu informatycznego, to w praktyce administrator aplikacji lub administrator sieci.
Oprócz czynności związanych z rejestrowaniem uprawnień użytkowników w systemach informatycznych do zadań administratora lub administratorów takiego systemu, służącego do przetwarzania danych osobowych, należy:
− dokonywanie zmiany uprawnień użytkowników systemu na podstawie wniosku administratora danych;
− utrzymanie systemu w sprawności technicznej, zgodnie z założonym poziomem świadczenia usług;
− przestrzeganie opracowanych dla systemu procedur bezpieczeństwa (patrz procedury powyżej „dedykowane” dla administratorów systemów);
− konfigurowanie urządzeń i oprogramowania;
− aktualizowanie i konfigurowanie oprogramowania antywirusowego;
− reagowanie na naruszenia bezpieczeństwa i usuwanie ich skutków;
− nadzór nad właściwym użytkowaniem oraz serwisowaniem urządzeń i oprogramowania;
− prowadzenie dokumentacji systemu.
Administrator systemu informatycznego powinien być, podobnie jak ma to miejsce w przypadku administratora bezpieczeństwa informacji, wyznaczony imiennie przez administratora danych. Ponadto powinien zostać określony zakres jego zadań w systemie lub systemach informatycznych służących do przetwarzania danych osobowych. Może być wyznaczonych kilku administratorów systemów, mogą być również wyznaczani ich zastępcy.

Wymagania techniczne
Wymagania techniczne określone są w następujących przepisach:
Punkt I ppkt 1 załącznika do rozporządzenia. Zabezpieczenie obszarów przetwarzania danych osobowych przed dostępem osób nieuprawnionych
Celem zabezpieczenia jest ochrona poufności danych osobowych oraz ich integralności.
Obszarem przetwarzania danych osobowych są pomieszczenia, w których znajdują się urządzenia, elektroniczne nośniki informacji oraz wydruki, wykorzystywane lub zawierające dane osobowe.
Obszarem przetwarzania danych osobowych będą zatem:
1) serwerownie;
2) pomieszczenia biurowe, w których pracują użytkownicy systemów;
3) pomieszczenia podmiotów, którym powierzono przetwarzanie danych osobowych w trybie i na zasadach, o których mowa w art. 31 i następnych ustawy;
4) pomieszczenia, w których zlokalizowane są aktywne urządzenia sieci (np. routery, switche);
5) pomieszczenia, gdzie przechowuje się kopie zapasowe, dokumenty źródłowe, z których wprowadzane są dane osobowe do bazy danych, wydruki, uszkodzone nośniki zawierające dane osobowe, wycofane z użytku zestawy komputerowe, dyski, na których mogą być zapisane dane osobowe.
Ograniczenie dostępu do obszarów przetwarzania danych osobowych może polegać w szczególności na:
− zamontowaniu zamków w drzwiach i zarządzaniu dostępem do kluczy do nich;
− zamontowaniu czytników do kart dostępu do pomieszczeń;
− zamontowaniu krat w oknach lub wzmacnianych folią antywłamaniową szyb;
− monitorowaniu pomieszczeń prowadzących do obszarów przetwarzania danych osobowych;
− zapewnieniu ochrony fizycznej.
Ochrona przed dostępem osób nieuprawnionych powinna być podejmowana w czasie, w którym w obszarze przetwarzania danych osobowych nie pracują osoby upoważnione do przetwarzania danych osobowych.
W związku z tym, że sposobów zabezpieczenia pomieszczeń przed dostępem osób nieuprawnionych może być wiele, rodzaj wybranych zabezpieczeń technicznych służący ochronie przed nimi powinien zostać określony w politykach bezpieczeństwa danych osobowych, przyjętych przez poszczególnych administratorów danych.
Punkt IV ppkt 4 lit. a załącznika do rozporządzenia.
Zabezpieczenie pomieszczeń, w których przechowywane są kopie zapasowe
Uzupełnieniem wymagania polegającego na ochronie pomieszczeń przed dostępem osób nieupoważnionych jest wymaganie wynikające z pkt IV ppk 4 lit. a załącznika do rozporządzenia. Stosownie do treści tego wymagania kopie zapasowe zbiorów danych osobowych oraz programów służących do ich przetwarzania przechowuje się w miejscach zabezpieczających je przed nieuprawnionym przejęciem, modyfikacją, uszkodzeniem lub zniszczeniem.
Wykładnia tego przepisu nakazuje przyjęcie, że inaczej niż w przypadku ochrony danych osobowych przetwarzanych „na bieżąco”, dane zapisane na kopiach zapasowych muszą być objęte ochroną przed dostępem osób nieuprawnionych 24 godziny na dobę przez siedem dni w tygodniu.
Punkt III ppkt 2 załącznika do rozporządzenia.
Ochrona danych przed przypadkową utratą spowodowaną awarią zasilania lub zakłóceniami w sieci zasilającej
Celem tego wymagania jest zapewnienie integralności i rozliczalności danych osobowych przetwarzanych w systemie informatycznym, szczególnie w zbiorze danych osobowych.
Przedmiotowe wymaganie wskazuje na dwa zagrożenia, które administrator danych powinien wziąć pod uwagę, przystępując do przetwarzania danych osobowych w systemie informatycznym:
a. awaria zasilania;
b. zakłócenia w sieci zasilającej.
Przyczyną awarii zasilania może być awaria sieci przesyłowej energii elektrycznej (np. zerwanie się pod wpływem opadów śniegu trakcji elektrycznej).
Przyczyną zakłóceń w sieci zasilającej może być zbyt duży pobór mocy z tejże (np. uruchomienie w tej samej chwili zbyt dużej liczby urządzeń zasilanych energią elektryczną).
Najczęstsze sposoby zabezpieczenia systemu informatycznego, a co za tym idzie danych osobowych w nim przetwarzanych, przed powyższymi zagrożeniami to podłączenie urządzenia lub urządzeń podtrzymywania sieci, tzw. UPS, które na pewien czas są w stanie zapewnić zasilanie dla kluczowych urządzeń wchodzących w skład systemu informatycznego, służącego do przetwarzania danych osobowych.
Innym sposobem, znacznie kosztowniejszym, jest założenie niezależnego, dedykowanego do systemu informatycznego, okablowania zasilającego, które dostarcza prąd tylko dla potrzeb działania systemu, co znacznie obniża ryzyko zakłóceń w sieci zasilającej.
Punkt VI ppkt 1 załącznika do rozporządzenia.

Usuwanie danych osobowych
Stosownie do treści pkt VI ppkt 1 załącznika do rozporządzenia urządzenia, dyski lub inne elektroniczne nośniki informacji, zawierające dane osobowe, przeznaczone do likwidacji – pozbawia się wcześniej zapisu tych danych, a w przypadku gdy nie jest to możliwe, uszkadza się w sposób uniemożliwiający ich odczytanie.
Celem tego wymagania jest zapewnienie poufności danych osobowych.
Wymaganie dotyczy tych przypadków związanych z przetwarzaniem danych osobowych, w których urządzenia, dyski lub inne elektroniczne nośniki danych, na których zapisane są dane osobowe, przestały być przydatne do przetwarzania tych danych i zachodzi potrzeba ich utylizacji.
Należy wyraźnie zaznaczyć, że ustawodawca zabrania pozbywania się nośników, np. oddawania do firm zbierających odpady zasilane energią elektryczną, zanim nie zostaną z nich usunięte dane osobowe. Powyższe wymaganie jest przykładem tego, że ochrona danych osobowych stawiana jest wyżej niż interes ekonomiczny administratora danych.
Usunięcie danych osobowych, przy zachowaniu sprawności nośnika, wykonywane jest zwykle za pomocą specjalnego oprogramowania narzędziowego, które służy do „wymazywania” danych z tego rodzaju nośników.
Inne sposoby pozbycia się danych to silny impuls elektromagnetyczny lub wysoka temperatura, jakiej poddawany jest nośnik (w tym przypadku dochodzi jednak do nieodwracalnego uszkodzenia nośnika danych).
Mimo że ustawodawca nie przewidział tego wprost w przepisach, obowiązek zniszczenia nośników, na których zapisane są dane osobowe, dotyczy również wydruków z systemu informatycznego, które nie są już przydatne w bieżącej pracy.
§ 7 rozporządzenia.
Specjalna funkcjonalność systemu służącego do przetwarzania danych
Wskazane w § 7 rozporządzenia wymagania dotyczące budowy bazy danych systemu informatycznego służącego do przetwarzania danych osobowych mają na celu zapewnienie rozliczalności tych danych.
Wymaganie to dotyczy wszystkich baz danych osobowych wchodzących w skład systemów informatycznych, za wyjątkiem systemów służących do przetwarzania danych osobowych ograniczonych wyłącznie do edycji tekstu w celu udostępnienia go na piśmie, np. dane wprowadzane są do systemu jedynie w celu przygotowania dokumentu, pisma zawierającego dane osobowe, którego potrzeba przechowywania kończy się co do zasady po przekazaniu go do adresata.
Poniżej przedstawiono poszczególne wymagania dotyczące budowy oprogramowania bazy danych, służącej do przetwarzania danych osobowych.
a) Data pierwszego wprowadzania danych do systemu.
Stosownie do treści § 7 ust. 1 pkt 1 rozporządzenia każdy system powinien zapewnić automatyczną możliwość odnotowania, przy rekordzie dotyczącym danej osoby, informacji o dacie pierwszego wprowadzenia danych do systemu. Powinna być ona odnotowana w taki sposób, aby była możliwość jej wydrukowania w raporcie na temat określonej osoby . Wygenerowanie takiego raportu powinno być zapewnione w systemie informatycznym.
b) Identyfikator użytkownika systemu.
Stosownie do treści § 7 ust. 1 pkt 2 rozporządzenia system, w którym wprowadza dane więcej niż dwóch użytkowników, powinien zapewnić możliwość automatycznego odnotowania, przy rekordzie dotyczącym danej osoby, informacji o identyfikatorze użytkownika, który jako pierwszy wprowadził dane do bazy danych systemu informatycznego (identyfikatorem jest ciąg znaków literowych, cyfrowych lub innych jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym – patrz § 2 pkt 2 rozporządzenia).
c) Źródło danych osobowych w systemie.
Stosownie do treści § 7 ust. 1 pkt 3 rozporządzenia system, do którego wprowadzane dane osobowe pochodzą również lub wyłącznie od innych osób niż osoba, której dane dotyczą, powinien zapewnić odnotowanie, przy rekordzie dotyczącym danej osoby, informacji, od kogo, kiedy i w jakim zakresie zostały pozyskane. Jeśli dane pochodzą wyłącznie od osoby, której dotyczą, realizacja tego wymagania nie jest niezbędna.
d) Odbiorca danych osobowych.
Stosownie do treści § 7 ust. 1 pkt 4 rozporządzenia w systemie, w którym zbiór danych osobowych w nim przetwarzany nie ma jawnego charakteru (np. zbiór jawny to zbiór danych przedsiębiorców zawarty w Centralnej Ewidencji i Informacji o Działalności Gospodarczej), należy zapewnić odnotowanie, przy rekordzie dotyczącym danej osoby, informacji, komu, kiedy i w jakim zakresie dane osobowe zostały udostępnione.
Przy realizacji tego wymagania trzeba mieć na względzie dwie kwestie.
Pierwsza – odnotowaniu podlega udostępnienie danych odbiorcy danych, a odbiorcą danych jest tylko podmiot lub osoba, która spełnia definicję odbiorcy, o którym mowa w art. 7 pkt 6 ustawy.
Druga kwestia wynika z § 7 ust. 4 rozporządzenia. Stosownie do treści tego przepisu w przypadku przetwarzania danych osobowych, w co najmniej dwóch systemach informatycznych, wymaganie odnotowania informacji o tym, komu, kiedy i w jakim zakresie udostępniono dane, może być realizowane w jednym z nich lub w odrębnym systemie informatycznym przeznaczonym do tego celu.
Wymagania wynikające z § 7 ust. 1 pkt 1 i 4 rozporządzenia są uszczegółowieniem wymagania wynikającego z art. 38 ustawy. Stosownie do treści art. 38 administrator danych jest obowiązany zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane.
e) Odnotowanie sprzeciwu wobec przetwarzania danych osobowych.
Stosownie do treści § 7 ust. 1 pkt 5 rozporządzenia w systemie informatycznym powinna być zapewniona możliwość odnotowania, przy rekordzie dotyczącym danej osoby, informacji o tym, czy wyraziła ona swój sprzeciw wobec wykorzystania jej danych w celach marketingu bezpośredniego, czyli np. wobec przesyłania jej ulotek reklamowych na adres zamieszkania.
f) Raport zawierający dane osobowe i informacje dodatkowe.
Stosownie do treści § 7 ust. 3 rozporządzenia dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym, system zapewnia sporządzenie i wydrukowanie raportu zawierającego w powszechnie zrozumiałej formie informacje o identyfikatorze użytkownika, który wprowadził dane, dacie pierwszego wprowadzenia danych, źródle danych (skąd zostały uzyskane), odbiorcach danych oraz o korzystaniu albo nie z prawa do złożenia sprzeciwu wobec przetwarzania danych osobowych.
Trzeba pamiętać, że raport, o którym mowa w § 7 ust. 3 rozporządzenia, to zgodnie z § 2 pkt 9 rozporządzenia przygotowane przez system informatyczny zestawienia zakresu i treści przetwarzanych danych.
Punkt II ppkt 1 załącznika do rozporządzenia.
Mechanizm kontroli dostępu
Zgodnie z pkt II ppkt 1 załącznika do rozporządzenia w systemie informatycznym służącym do przetwarzania danych osobowych stosuje się mechanizmy kontroli dostępu do tych danych.
Celem tego wymagania jest zapewnienie poufności i rozliczalności danych osobowych.
Mechanizmy kontroli dostępu do danych polegają na weryfikacji uprawnień do pracy w systemie informatycznym na podstawie specjalnie podanych w tym celu danych.
Najczęstszym przykładem mechanizmu kontroli dostępu, z jakim można spotkać się w praktyce, jest stosowanie identyfikatora i hasła (inne metody to np. karta mikroprocesorowa czy metody biometryczne). Mechanizm ten pozwala na identyfikację uprawnień użytkownika opartych na znanym tylko jemu haśle do konta w systemie.
Zgodnie z pkt II ppkt 2 załącznika do rozporządzenia, jeżeli dostęp do danych przetwarzanych w systemie informatycznym posiadają co najmniej dwie osoby, wówczas zapewnia się, aby:
a) w systemie tym rejestrowany był dla każdego użytkownika odrębny identyfikator;
b) dostęp do danych był możliwy wyłącznie po wprowadzeniu identyfikatora i dokonaniu uwierzytelnienia.
Posiadanie odrębnego identyfikatora oznacza, że identyfikator użytkownika, który utracił uprawnienia do przetwarzania danych, nie może być przydzielony innej osobie (pkt IV ppkt 1 załącznika do rozporządzenia).
Punkt IV ppkt 2 załącznika do rozporządzenia.
Hasło
W przypadku gdy do uwierzytelniania użytkowników używa się hasła, jego budowa powinna spełniać warunki określone w przepisach.
Hasło powinno składać się co najmniej z sześciu znaków, a jeśli służy do uwierzytelnienia w systemie, w którym przetwarzane są tzw. dane wrażliwe lub system podłączony jest do sieci publicznej, to co najmniej z ośmiu znaków.
W przypadku hasła co najmniej ośmioznakowego – powinno zawierać ono duże i małe litery, cyfry albo znaki specjalne, np. hasło to mogłoby mieć następującą budowę: FjzToO5x lub FjzToO%x.
Punkt IV ppkt 2 załącznika do rozporządzenia.
Częstotliwość zmiany hasła
W przypadku gdy do uwierzytelniania użytkowników używa się hasła, jego zmiana następuje nie rzadziej niż co 30 dni. Celem tego wymagania jest zapewnienie zmienności haseł, a przez to utrudnienie jego odgadnięcia przez nieuprawnionego użytkownika systemu.
W praktyce zmiana hasła jest wymuszana na użytkowniku przez system informatyczny, choć nie jest to warunek niezbędny.
Punkt IV ppkt 3 załącznika do rozporządzenia.
Kopia zapasowa zbioru danych osobowych
Zgodnie z punktem IV ppkt 3 załącznika do rozporządzenia dane osobowe przetwarzane w systemie informatycznym zabezpiecza się przez wykonywanie kopii zapasowych zbiorów danych oraz programów służących do przetwarzania danych.
Funkcję, jaką kopia zapasowa pełni w systemie ochrony danych osobowych, przybliżył wyrok Naczelnego Sądu Administracyjnego z dnia 3 lipca 2009 r. Zgodnie z tezą tego orzeczenia kopia zapasowa zbioru danych osobowych nie jest wartością samą w sobie, mogącą pozostawać poza regułami wynikającymi z ustawy o ochronie danych osobowych, tj. istnieć poza zbiorem danych osobowych. Może ona być bowiem jedynie częścią tego zbioru. Istnienie danych osobowych w kopii zapasowej zbioru danych jest przewidziane dla zapewnienia ich ochrony w sytuacji, gdy dany podmiot ma prawo przetwarzania danych osobowych, jest więc ich administratorem. Jednak gdy podmiot ten nie ma prawa do posiadania danych osobowych w ogóle, to jaka jest podstawa przetwarzania tych danych w kopiach zapasowych zbioru danych osobowych ?
Szczegółowo tryb i metody wykonywania kopii zapasowych zostały opisane przy omawianiu wymagania z § 5 pkt 4 rozporządzenia.
Punkt III ppkt 1 załącznika do rozporządzenia.
Oprogramowanie chroniące przed szkodliwym oprogramowaniem
Zgodnie z punktem III ppkt 1 załącznika do rozporządzenia system informatyczny służący do przetwarzania danych osobowych zabezpiecza się, w szczególności przed działaniem oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego.
Przykładem takiego oprogramowania są:
1) programy antywirusowe;
2) programy typu IDS (intrusion detection system).
Przy wdrażaniu tego rodzaju oprogramowania ważne jest, aby było ono na bieżąco aktualizowane o nowe bazy zagrożeń, na które oprogramowanie to ma być ochroną (np. częsta aktualizacja bazy wirusów, na której podstawie program antywirusowy skanuje system).
Punkt V oraz pkt IX oraz pkt XIII załącznika do rozporządzenia.
Program do szyfrowania danych
Wymóg szyfrowania danych osobowych został wprowadzony przez ustawodawcę w dwóch przypadkach. Ponadto Generalny Inspektor Ochrony Danych Osobowych zaleca stosowanie szyfrowania w jeszcze jednym przypadku przetwarzania danych.
Szyfrowania danych wymaga zatem przetwarzanie danych osobowych:
1) na komputerze przenośnym, jeśli jest on wynoszony poza obszar przetwarzania danych osobowych (punkt V załącznika do rozporządzenia);
2) na elektronicznym nośniku danych, na którym zapisane są dane osobowe, o których mowa w art. 27 ust. 1 ustawy, w sytuacji gdy nośnik z danymi jest wynoszony poza obszar przetwarzania danych osobowych, określony w Polityce bezpieczeństwa danych osobowych (punkt IX załącznik do rozporządzenia);
3) przesyłanych publiczną siecią telekomunikacyjną, np. przez Internet (zalecenie Generalnego Inspektora Ochrony Danych Osobowych).
Dodatkowo należy zapewnić szyfrowanie danych służących do uwierzytelniania użytkownika w systemie informatycznym, jeśli są one w tym celu przesyłane publiczną siecią telekomunikacyjną (np. użytkownik loguje się zdalnie do systemu dostępnego w innej lokalizacji niż ta, w której aktualnie przebywa). Wymaganie to wynika z punktu XIII załącznika do rozporządzenia.
Punkt XII załącznika do rozporządzenia.
Firewall
Stosownie do punktu XII załącznika do rozporządzenia system informatyczny służący do przetwarzania danych osobowych zabezpiecza się przed zagrożeniami pochodzącymi z sieci publicznej poprzez wdrożenie fizycznych lub logicznych zabezpieczeń chroniących przed nieuprawnionym dostępem.
W przypadku zastosowania logicznych zabezpieczeń przed zagrożeniami pochodzącymi z sieci publicznej obejmują one:
− kontrolę przepływu informacji pomiędzy systemem informatycznym administratora danych a siecią publiczną;
− kontrolę działań inicjowanych z sieci publicznej i systemu informatycznego administratora danych.
Najczęstszym sposobem realizacji tego wymagania jest uruchomienie oprogramowania, które monitoruje przepływ danych z systemu informatycznego administratora danych do sieci publicznej oraz danych napływających z sieci publicznej do systemu informatycznego. Przepływy te są monitorowane i kontrolowane zgodnie ze zdefiniowanymi regułami przez specjalne programy typu „firewall” pozwalające na automatyczne zablokowanie niechcianych transferów do sieci publicznej i z sieci publicznej.
Wymagania dokumentacyjne
W tej części zostaną omówione ogólne wymagania związane z opracowaniem niezbędnej dokumentacji, określającej zasady i reguły postępowania oraz praktyczne wskazówki służące zabezpieczeniu systemu informatycznego przed zagrożeniami, w których wyniku mogłoby dojść do udostępnienia danych osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.
Szczegółowo kwestie związane z opracowaniem Polityki bezpieczeństwa danych osobowych oraz Instrukcji zarządzania systemem informatycznym zostały omówione w osobnych paragrafach.
§ 4 Rozporządzenia.
Polityka bezpieczeństwa danych osobowych
W zakresie systemów informatycznych służących do przetwarzania danych osobowych Polityka bezpieczeństwa danych osobowych powinna wskazywać:
1) konkretne środki techniczne i organizacyjne zastosowane w celu zabezpieczenia danych osobowych przetwarzanych w tych systemach;
2) sposób przepływu danych pomiędzy poszczególnymi systemami;
3) opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi.
Warto także rozważyć umieszczenie w Polityce bezpieczeństwa danych osobowych (choć przepisy wymagają, aby wynikało to z Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych) opisu następujących rozwiązań i środków:
1) sposobu, miejsca i okresu przechowywania elektronicznych nośników informacji zawierających dane osobowe oraz kopii zapasowych zbiorów danych osobowych oraz programów zastosowanych do ich przetwarzania;
2) sposobu zabezpieczenia systemu informatycznego przed działalnością złośliwego oprogramowania.
§ 5 rozporządzenia.
Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych
Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych powinna zawierać przede wszystkim informacje o wykorzystywanych przez administratora danych systemach informatycznych, o zbiorach danych osobowych, które są przetwarzane przy zastosowaniu tych systemów. Nadto należy określić zastosowane rozwiązania techniczne oraz procedury, które mają na celu zabezpieczenie przetwarzanych danych osobowych .
Art. 39 ust. 1 ustawy.
Ewidencja osób upoważnionych do przetwarzania danych osobowych
Zgodnie z art. 39 ust. 1 ustawy administrator danych prowadzi ewidencję osób upoważnionych do ich przetwarzania, która powinna zawierać:
1) imię i nazwisko osoby upoważnionej;
2) datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych;
3) identyfikator, jeżeli dane są przetwarzane w systemie informatycznym.
Podobnie jak w przypadku upoważnienia do przetwarzania danych osobowych ustawodawca nie nakazał, aby ewidencja była prowadzona w postaci pisemnej. Oznacza to, że może być ona prowadzona również w postaci elektronicznej, pod warunkiem że będzie zapewniona rozliczalność dokonywanych w niej wpisów (np. wykrycia przerobienia ewidencji).
Oprócz wymaganych przez art. 39 ust. 1 ustawy elementów obowiązkowych, które powinny być odnotowywane w ewidencji, warto pomyśleć o odnotowywaniu w niej dodatkowo:
1) imienia i nazwiska osoby, która wystąpiła z wnioskiem o nadanie upoważnienia;
2) pomieszczeń, w których osoba upoważniona do przetwarzania danych osobowych wykonuje pracę na danych;
3) nazw systemów informatycznych, do których osoba upoważniona ma dostęp;
4) miejsca pracy i stanowiska osoby upoważnionej do przetwarzania danych.
Należy też pamiętać, że w przypadku ewidencji osób upoważnionych do przetwarzania danych osobowych, która będzie prowadzona w systemie informatycznym, powinna ona spełniać wymagania dotyczące systemu informatycznego służącego do przetwarzania danych osobowych, określone w § 7 rozporządzenia .
Kontrola Generalnego Inspektora Ochrony Danych Osobowych w przedmiocie spełnienia wymagań określonych w ustawie i rozporządzeniu
Z informacji dostępnych w sprawozdaniach z działalności Generalnego Inspektora Ochrony Danych Osobowych, przedstawianych corocznie Sejmowi (na podstawie art. 20 ustawy), wynika, że liczna grupa uchybień w zakresie stosowania przepisów o ochronie danych osobowych wynikała z braku lub niepełnego stosowania przepisów określających wymagania bezpieczeństwa w zakresie zabezpieczenia danych w systemach informatycznych.
Warto zatem przybliżyć zakres kontroli wykonywanej przez inspektorów Generalnego Inspektora Ochrony Danych Osobowych w przedmiocie spełnienia wymagań bezpieczeństwa. Ma to na celu przygotowanie administratora danych osobowych do kontroli w tym zakresie .
Z opublikowanych przez Generalnego Inspektora Ochrony Danych Osobowych zasad kontroli danych osobowych wynika, że: „w toku kontroli inspektorzy Biura GIODO ustalają, czy:
– wszystkie osoby biorące udział w procesie przetwarzania danych, tj. uczestniczące w jakichkolwiek operacjach wykonywanych na danych osobowych, takich jak: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie, usuwanie – posiadają upoważnienie nadane przez administratora danych (art. 37 ustawy);
– kontrolowany podmiot prowadzi ewidencję osób upoważnionych do przetwarzania danych (art. 39 ust. 1 ustawy), zawierającą:
a) imię i nazwisko osoby upoważnionej,
b) datę nadania upoważnienia,
c) datę ustania upoważnienia,
d) zakres upoważnienia,
e) identyfikator, jeżeli dane przetwarzane są w systemie informatycznym;
– osoby upoważnione do przetwarzania danych zachowują te dane oraz sposób ich zabezpieczenia w tajemnicy (art. 39 ust. 2 ustawy);
– administrator danych wyznaczył administratora bezpieczeństwa informacji (art. 36 ust. 3 ustawy), nadzorującego przestrzeganie zasad ochrony, chyba że sam sprawuje nadzór. Inspektor bada również, w jaki sposób jest wykonywany taki nadzór – m.in. czy zostały opracowane procedury określające obowiązki w tym zakresie, czy nadzór jest sprawowany sukcesywnie, w jakim przedziale czasowym, czy obejmuje wszystkie zagadnienia dotyczące zastosowanych zabezpieczeń i czy jest skuteczny;
– administrator danych zapewnił kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane (udostępniane) – art. 38 ustawy. Inspektor bada również sposób sprawowania takiej kontroli;
– urządzenia i systemy informatyczne spełniają wymogi bezpieczeństwa. Ocenę bezpieczeństwa rozpoczyna inspektor od analizy dokumentów określających politykę bezpieczeństwa kontrolowanego podmiotu w zakresie ochrony fizycznej obiektów, kontroli dostępu do poszczególnych systemów informatycznych i usług sieciowych oraz w zakresie ochrony zasobów informatycznych przed nieuprawnionym dostępem, przejęciem lub zniszczeniem przy użyciu szkodliwego oprogramowania i narzędzi (tzw. wirusy, robaki, konie trojańskie, rootkity itp.)” .
W zakresie kontroli urządzeń i systemów informatycznych ustala się stan:
„1) bezpieczeństwa fizycznego – podstawowymi elementami oceny są sposoby zabezpieczenia obiektów i pomieszczeń, gdzie znajdują się systemy informatyczne i nośniki informacji, na których przechowywane są kopie zapasowe lub archiwalne danych, oraz pomieszczeń, gdzie zlokalizowane są urządzenia sieciowe, serwery i stacje robocze. Pomieszczenia takie, zgodnie z wymaganą polityką bezpieczeństwa, powinny być wskazane jako obszar przetwarzania danych (§ 4 pkt 1 rozporządzenia). Inspektor dokonując oceny, sprawdza m.in.:
– formę realizacji ochrony fizycznej z udziałem czynnika ludzkiego (np. system organizacji służby ochrony);
– budowlane urządzenia zabezpieczające (np. drzwi stalowe, kraty stalowe, rolety przeciwwłamaniowe, okiennice i szyby zabezpieczające otwory okienne);
– urządzenia fizycznej kontroli dostępu do pomieszczeń (np. zamki, kłódki, zasuwy, blokady);
– elektroniczne urządzenia zabezpieczające przed włamaniem i pożarem (np. sygnalizacja włamania lub napadu, sygnalizacja pożaru, system wideo nadzoru);
– elektroniczny system kontroli dostępu z rejestracją operacji otwierania i zamykania pomieszczeń przez osoby uprawnione.
Stosowanie któregokolwiek z wymienionych środków powinno być uzależnione od występujących zagrożeń – w zakresie zapewnienia poufności, integralności i tzw. rozliczalności przetwarzanych danych .
2) bezpieczeństwa systemów informatycznych – przed przystąpieniem do kontroli inspektor zapoznaje się z architekturą używanych systemów oraz lokalizacją i strukturą prowadzonych zbiorów danych” .

Podstawowym dokumentem wymaganym od kontrolowanego podmiotu jest opisana powyżej polityka bezpieczeństwa danych osobowych (§ 3 rozporządzenia).
W ostatniej kolejności inspektor szczegółowo sprawdza stosowane u administratora danych procedury zarządzania systemami informatycznymi, które służą do przetwarzania danych osobowych. Nadto sprawdzane są zastosowane środki bezpieczeństwa. Na tym etapie szczegółowej analizie poddawana jest także instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych (§ 3 rozporządzenia). Zadaniem inspektora jest sprawdzenie samej treści instrukcji, jak również ustalenie, czy zastosowane procedury oraz środki ochrony są faktycznie stosowane. Badany jest mechanizm logowania i uwierzytelnienia się użytkownika każdego systemu czy też modułu programowego oraz system kontroli uprawnień.
Podsumowując, należy stwierdzić, że jednym z podstawowych zadań administratora danych jest zapewnienie odpowiedniego oraz bezpiecznego przetwarzania danych osobowych w systemach informatycznych. Z tego względu administrator danych powinien zwrócić szczególną uwagę na właściwy dobór systemu informatycznego. Ponadto systemy informatyczne powinny być stale aktualizowane, w szczególności pod względem ich zabezpieczeń. Zaniechanie powyższych obowiązków może rodzić odpowiedzialność administratora danych, w tym także odpowiedzialność karną.
Przypisy
Bibliografia
Lista publikacji dotyczących tematyki artykułu:
1. J. Barta, P. Fajgielski, R. Markiewicz, Ochrona danych osobowych, Komentarz, wydanie 4, Wydawnictwo Lex a Wolters Kluwer business, Kraków 2007.
2. A. Drozd, Ustawa o ochronie danych osobowych. Komentarz. Wzory pism i przepisy, Wydawnictwo Prawnicze LexisNexis, Warszawa 2008.
3. A. Drozd, Zabezpieczenie danych osobowych, PRESSCOM, Wrocław 2008.
4. M. Brzozowska, Ochrona danych osobowych w sieci, wyd. I, PRESSCOM, Wrocław 2012.
5. T. Cygan, Podręcznik administratora bezpieczeństwa informacji, wyd. I, PRESSCOM, Wrocław 2011.
6. T. Cygan, M. Geilke, Polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym, PRESSCOM, Wrocław 2011.
7. ABC zasad kontroli przetwarzania danych osobowych, red. A. Kowalik, Wydawnictwo Sejmowe, Warszawa 2007.

Lista adresów internetowych dotyczących tematyki artykułu:
1. http://www.chip.pl/news/bezpieczenstwo/technologie-bezpieczenstwa/2012/11/jak-stworzyc-dobre-haslo-zabezpieczajace-1 – na stronie został opisany sposób stworzenia hasła zabezpieczającego.
2. http://windows.microsoft.com/pl-pl/windows7/back-up-and-restore-frequently-asked-questions – na stronie znajduje się opis sposobu wykonywania kopii zapasowych w Windows 7.
3. http://www.giodo.gov.pl/473/id_art/1950/j/pl/ – środki bezpieczeństwa i narzędzia antyspamowe dostawców usług łączności elektronicznej – stan obecny i tendencje.
4. http://www.giodo.gov.pl/473/id_art/1944/j/pl/ – Poradnik dla użytkowników: Jak poszerzyć wiedzę o bezpieczeństwie informacji.
5. http://techinfo.giodo.gov.pl/ – ochrona prywatności w systemach teleinformatycznych.
6. http://www.giodo.gov.pl/222/ – wskazówki dla administratorów danych osobowych.