« Powrót

Paragraf 1. Polityka bezpieczeństwa danych osobowych



Polityka bezpieczeństwa danych osobowych stanowi jeden z ważniejszych dokumentów, który powinien być wdrożony u administratorów danych osobowych. W myśl § 3 i § 4 rozporządzenia Ministra Spraw Wewnętrznych i Administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (dalej: rozporządzenie), administrator danych osobowych powinien opracować w formie pisemnej oraz wdrożyć w przedsiębiorstwie politykę bezpieczeństwa. Politykę bezpieczeństwa należy rozumieć jako: „zestaw praw, reguł i praktycznych doświadczeń regulujących sposób zarządzania, ochrony i dystrybucji informacji wrażliwej wewnątrz określonego systemu” .

W wyroku z dnia 5 października 2005 r. Wojewódzki Sąd Administracyjny w Warszawie wskazał, że polityka bezpieczeństwa to dokument, który powinien być dostosowany do konkretnych warunków przetwarzania danych osobowych u określonego administratora danych. Konieczne jest zatem nadanie nazw poszczególnym zbiorom danych osobowych oraz wskazanie nazw używanych do ich przetwarzania programów komputerowych. Niezbędne jest też sporządzenie opisu struktury zbioru wskazującego zawartość informacji w nim gromadzonych. Opis pola danych powinien umożliwiać jednoznaczną interpretację jego zawartości .
Przyjmuje się, że polityka bezpieczeństwa powinna kompleksowo chronić dane osobowe. Nie ulega zatem wątpliwości, że odpowiedniemu zabezpieczeniu powinny podlegać dane osobowe przetwarzane w formie pisemnej, jak również dane przetwarzane w formie elektronicznej (w systemach informatycznych). Warto zauważyć, że zgodnie z wytycznymi Generalnego Inspektora Ochrony Danych Osobowych: „celem polityki bezpieczeństwa jest wskazanie działań, jakie należy wykonać, oraz ustanowienie zasad i reguł postępowania, które należy stosować, aby właściwie wykonać obowiązki administratora danych w zakresie zabezpieczenia danych osobowych, o których mowa w § 36 ustawy o ochronie danych osobowych” .

Należy też wiedzieć, że zgodnie z Polską Normą PN-ISO/IEC 17799 cel polityki bezpieczeństwa stanowi zapewnienie kierunków działania i wsparcie kierownictw dla bezpieczeństwa informacji . Ponadto w Polskiej Normie PN-ISO/IEC zostało wskazane, że polityka bezpieczeństwa co najmniej powinna obejmować:
a) definicję bezpieczeństwa informacji, jego ogólne cele i zakres oraz znaczenie bezpieczeństwa jako mechanizmu umożliwiającego współużytkowanie informacji;
b) oświadczenie o intencjach kierownictwa, potwierdzające cele i zasady bezpieczeństwa informacji;
c) krótkie wyjaśnienie polityki bezpieczeństwa, zasad, standardów i wymagań zgodności mających szczególne znaczenie dla instytucji, np.:

1) zgodność z prawem i wymaganiami wynikającymi z umów,
2) wymagania dotyczące kształcenia w dziedzinie bezpieczeństwa,
3) zapobieganie i wykrywanie wirusów oraz innego złośliwego oprogramowania,
4) zarządzanie ciągłością działania biznesowego,
5) konsekwencje naruszenia polityki bezpieczeństwa;

d) definicje ogólnych i szczególnych obowiązków w odniesieniu do zarządzania bezpieczeństwem informacji, w tym zgłaszania przypadków naruszenia bezpieczeństwa;
e) odsyłacze do dokumentacji mogącej uzupełniać politykę, np. bardziej szczegółowych polityk bezpieczeństwa i procedur dla poszczególnych systemów informatycznych lub zasad bezpieczeństwa, których użytkownicy powinni przestrzegać .

Zgodnie z § 4 rozporządzenia polityka bezpieczeństwa powinna zawierać w szczególności:
1) wykaz budynków, pomieszczeń lub części pomieszczeń tworzących obszar, w którym przetwarzane są dane osobowe;
2) wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych;
3) opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi;
4) sposób przepływu danych pomiędzy poszczególnymi systemami;
5) określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.
Zastosowane sformułowanie „w szczególności” oznacza, że § 4 nie zawiera katalogu zamkniętego. Wobec tego polityka bezpieczeństwa może regulować także inne kwestie związane z bezpieczeństwem przetwarzania danych osobowych.
Niewątpliwie polityka bezpieczeństwa danych osobowych powinna być dostosowana do określonego stanu faktycznego, na który składa się m.in. rodzaj stosowanych urządzeń, sprzętu oraz oprogramowania.

Polityka bezpieczeństwa powinna określać szczegółowy wykaz wszystkich budynków oraz pomieszczeń (ich części), ponieważ przetwarzanie danych osobowych może być realizowane w różnorodny sposób. Z tego względu należy wskazać wszystkie te budynki i pomieszczenia, w których może dochodzić do:
a) przechowywania dokumentacji zawierającej dane osobowe (dokumentacji papierowej, np. CV, akt osobowych pracowników);
b) przechowywania elektronicznych nośników zawierających dane osobowe, np. płyty CD, DVD, zewnętrzne dyski twarde itp.;
c) instalowania serwerów, na których gromadzone są dane osobowe;
d) przechowywania innych nośników zawierających dane osobowe.
W polityce bezpieczeństwa należy zatem dokładnie wskazać wszystkie zgromadzone zbiory danych osobowych, jak również określić programy komputerowe służące do przetwarzania tych danych. W praktyce możliwe jest, że dany program komputerowy będzie służył do przetwarzania dwóch lub większej liczby zbiorów danych osobowych. Najczęściej dochodzi do przetwarzania danych osobowych w programach kadrowych oraz w programach płacowych. Poadto dane osobowe mogą być przetwarzane w programach służących do wystawiania faktur bądź zawierających wykazy kontrahentów (klientów). Z powyższych względów polityka bezpieczeństwa powinna zawierać listę stosowanych programów komputerowych oraz wskazywać, która baza danych (bądź bazy danych) jest przetwarzana przy użyciu danego programu. Oprócz tego należy określić, w którym pomieszczeniu (budynku) zlokalizowany jest sprzęt elektroniczny (np. serwerownia), oraz wskazać, jakie bazy danych przetwarzane są przy użyciu tego sprzętu.

W polityce bezpieczeństwa należy zamieścić opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi. W praktyce oznacza to, że opis struktury powinien określać, jakiego rodzaju dane osobowe są przetwarzane w zbiorze.
Opis struktury danych osobowych może zawierać w szczególności:
a) rodzaj (kategorię) danych osobowych;
b) sposób (format) zapisania danych osobowych.
Poprzez powiązania pomiędzy polami informacyjnymi należy rozumieć wskazanie tych wszystkich danych, które mogą być skojarzone z określoną osobą w taki sposób, że możliwe będzie jej zidentyfikowanie.
W rozporządzeniu ustawodawca nie wyjaśnił, w jaki sposób należy dokonać opisu struktury zbiorów danych osobowych. Wobec powyższego należy uznać, że opis struktury zbiorów może być przedstawiony:
a) w postaci graficznej;
b) w postaci opisu tekstowego.

Kolejnym ważnym zagadnieniem polityki bezpieczeństwa danych osobowych jest sposób przepływu danych pomiędzy poszczególnymi systemami. Należy zatem przede wszystkim określić, w jaki sposób współpracują pomiędzy sobą stosowane u administratora danych systemy informatyczne.
Do przepływu informacji między zbiorem danych a systemem informatycznym może dochodzić w różny sposób:
a) jednokierunkowy – informacje pobierane są wyłącznie do odczytu;
b) dwukierunkowy – informacje pobierane są zarówno do odczytu, jak i do zapisu .
Ponadto pomiędzy systemami informatycznymi dane mogą być przenoszone:
a) w sposób manualny – przy wykorzystaniu zewnętrznych nośników danych;
b) w sposób półautomatyczny – przy wykorzystaniu teletransmisji .
Zgodnie z wytycznymi Generalnego Inspektora Ochrony Danych Osobowych: „w polityce bezpieczeństwa w punkcie określającym sposób przepływu danych pomiędzy systemami nie jest wymagane szczegółowe omawianie rozwiązań technologicznych. Najistotniejsze jest wskazanie zakresu przesyłanych danych, podmiotu lub kategorii podmiotów, do których dane są przekazywane oraz ogólnych informacji na temat sposobu przesyłania danych (Internet, poczta elektroniczna, inne rozwiązania), które mogą decydować o rodzaju narzędzi niezbędnych do zapewnienia ich bezpieczeństwa podczas teletransmisji” .

Polityka bezpieczeństwa powinna określać także środki techniczne i organizacyjne niezbędne dla zapewnienia poufności, integralności i rozliczalności przy przetwarzaniu danych. W tym celu należy przede wszystkim ustalić, jakiego rodzaju zagrożenia i ryzyka mogą wystąpić podczas procesu przetwarzania danych osobowych. Administrator danych powinien zatem zbadać, czy w danych warunkach dopuszczalne jest zastosowanie określonego systemu informatycznego. Stosowany system powinien bowiem gwarantować bezpieczeństwo zbioru danych osobowych. Administrator danych powinien zapewnić stosowanie takiego systemu, który ma odpowiednie zabezpieczenia uniemożliwiające włamanie się oraz bezprawne ujawnienie (przechwycenie) danych osobowych. System informatyczny oraz stopień jego zabezpieczenia powinien być uzależniony od kategorii danych osobowych, które są w nim przetwarzane. Zgodnie z art. 38 ustawy o ochronie danych osobowych administrator danych powinien zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały wprowadzone do zbioru oraz komu są przekazywane.
Najbardziej narażone na bezprawne ujawnienie (kradzież) są zbiory danych osobowych przetwarzane w systemach informatycznych podłączonych do sieci Internet. Do tych zbiorów administratorzy danych powinni przywiązywać największą uwagę. W tym przypadku systemy informatyczne powinny być wyposażone w najwyższej jakości zabezpieczenia przed ewentualnym atakiem z Internetu.

Zgodnie z § 6 rozporządzenia, uwzględniając kategorie przetwarzanych danych oraz zagrożenia, wprowadza się poziomy bezpieczeństwa przetwarzania danych osobowych w systemie informatycznym:
1) podstawowy;
2) podwyższony;
3) wysoki.
Poziom co najmniej podstawowy należy stosować, gdy:
1) w systemie informatycznym nie są przetwarzane dane, o których mowa w art. 27 ustawy (tzw. dane wrażliwe);
2) żadne z urządzeń systemu informatycznego, służącego do przetwarzania danych osobowych, nie jest połączone z siecią publiczną.
Poziom co najmniej podwyższony należy stosować, gdy:
1) w systemie informatycznym przetwarzane są dane osobowe, o których mowa w art. 27 ustawy (tzw. dane wrażliwe);
2) żadne z urządzeń systemu informatycznego, służącego do przetwarzania danych osobowych, nie jest połączone z siecią publiczną.
Poziom wysoki należy stosować, gdy przynajmniej jedno urządzenie systemu informatycznego, służącego do przetwarzania danych osobowych, połączone jest z siecią publiczną.
Szczegółowy opis środków bezpieczeństwa stosowanych dla danego poziomu został określony w załączniku do rozporządzenia.
Przypisy
Bibliografia
Lista publikacji dotycząca tematyki artykułu
1) J. Barta, P. Fajgielski, R. Markiewicz, Ochrona danych osobowych. Komentarz, wydanie 4, Wydawnictwo Lex a Wolters Kluwer business, Kraków 2007.
2) A. Drozd, Ustawa o ochronie danych osobowych. Komentarz. Wzory pism i przepisy, Wydawnictwo Prawnicze LexisNexis, Warszawa 2008.
3) T. Cygan, M. Geilke, Polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym, PRESSCOM, Wrocław 2011.
4) P. Litwiński, Udostępnianie danych osobowych na potrzeby postępowań cywilnych, Przegląd Prawa Technologii Informacyjnych ICT Law Review z 2013 r. nr 1.
5) D. Fleszer, Zakres przetwarzania danych osobowych w działalności gospodarczej, Wolters Kluwer Polska 2008.

Lista adresów internetowych dotycząca tematyki artykułu, [data odczytu 11.11.2013 r.]
1) http://www.giodo.gov.pl/ – strona zawiera informacje na temat konstruowania polityki bezpieczeństwa danych osobowych.
2) http://ochronadanychosobowych.info/ – strona zawiera szereg praktycznych porad związanych z polityką bezpieczeństwa danych osobowych.
3) http://www.frog.org.pl/ncrm/poradnik.pdf - na stronie znajduje się poradnik w zakresie ochrony danych osobowych.
4) http://mamstartup.pl/poradnik/3511/twoj-startup-a-ochrona-danych-osobowych-cz-1 - artykuł na temat ochrony danych osobowych.
5) http://www.ngo.pl/x/468727 - na stronie został zamieszczony praktyczny poradnik w przedmiocie ochrony danych osobowych.