Przetwarzanie danych osobowych wiąże się z obowiązkiem zastosowania odpowiednich zabezpieczeń, jakie winien wdrożyć Administrator danych osobowych. W tym celu należy dokonać wcześniejszej analizy ryzyka związanego z możliwością utraty, uszkodzenia, zaginięcia lub wykradnięcia danych.
Zgodnie z art. 36 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. 2016 r. poz. 195), Administrator danych osobowych zobligowany jest do zapewnienia odpowiednich środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Zakres środków, jakie mogą być zastosowane w celu ochrony danych może być różny i zależny jest od zagrożeń dla przetwarzanych danych osobowych.
Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r, Nr 100, poz. 1024), wprowadza następujące poziomy bezpieczeństwa:
- poziom podstawowy,
- poziom podwyższony,
- poziom wysoki.
O wdrożeniu danego poziomu bezpieczeństwa przetwarzanych danych osobowych decyduje kategoria przetwarzanych danych oraz zagrożenia, jakimi mogą być objęte. Jeżeli więc nie przetwarzamy danych wrażliwych ani też żadne z naszych urządzeń/komputerów nie jest podłączone do publicznej sieci, to zgodnie z rozporządzeniem stosujemy wymogi bezpieczeństwa na poziomie podstawowym. W przypadku, gdy chociaż jedno urządzenie systemu informatycznego służącego do przetwarzania danych osobowych połączone jest z lokalną siecią publiczną, wówczas stosuje się wysoki poziom bezpieczeństwa.
W celu zabezpieczenia przetwarzanych danych osobowych możemy zastosować:
- środki ochrony fizycznej,
- środki sprzętowe infrastruktury informatycznej i telekomunikacyjnej,
- środki ochrony w ramach narzędzi programowych i baz danych,
- środki organizacyjne.
Dla przykładu w ramach środków ochrony fizycznej możemy wyróżnić:
- zabezpieczenie pomieszczeń drzwiami zwykłymi, wzmacnianymi lub antywłamaniowymi,
- zabezpieczenie okien za pomocą krat, rolet lub folii antywłamaniowej,
- zabezpieczenie w postaci zastosowania systemu alarmowego przeciwwłamaniowego,
- zastosowanie systemu monitoringu, czyli kamery przemysłowe, lub też nadzór pomieszczeń poprzez służbę ochrony,
- zabezpieczenie pomieszczenia przed skutkami pożaru za pomocą systemu przeciwpożarowego lub wolno stojącej gaśnicy,
- przechowywanie kopii zapasowych/archiwalnych zbioru danych osobowych w zamkniętej niemetalowej szafie lub w sejfie lub kasie pancernej.
W przypadku danych przetwarzanych przy wykorzystaniu systemu informatycznego można zastosować następujące zabezpieczenia:
- oprogramowanie antywirusowe, stale aktualizowane,
- zapora ogniowa w postaci Firewall, czyli system Firewall, jako ochrona przed wirusami i ewentualnymi włamaniami do systemu,
- dostęp do systemu operacyjnego komputera, na którym przetwarzane są dane osobowe zabezpieczony za pomocą procesu uwierzytelnienia z wykorzystaniem identyfikatora użytkownika oraz hasła,
- macierz dyskowa w celu ochrony danych osobowych przed skutkami awarii pamięci dyskowej,
- mechanizm wymuszający okresową zmianę haseł,
- zabezpieczenie zbioru danych osobowych w postaci ustanowienia hasła BIOS,
- zastosowanie urządzenia typu UPS, generator prądu i/lub wydzieloną sieć elektroenergetyczną, chroniące system informatyczny służący do przetwarzania danych osobowych przed skutkami awarii zasilania,
- środki uniemożliwiające wykonywanie nieautoryzowanych kopii danych osobowych przetwarzanych przy użyciu systemów informatycznych.
Przy zabezpieczaniu baz danych oraz oprogramowania można zastosować:
- środki umożliwiające rejestrację zmian wykonywanych na poszczególnych elementach zbioru danych osobowych,
- system uwierzytelnienia z wykorzystaniem identyfikatora użytkownika oraz hasła lub wykorzystaniem technologii biometrycznej,
- środki umożliwiające określenie praw dostępu do wskazanego zakresu danych w ramach przetwarzanego zbioru danych osobowych,
- kryptograficzne środki ochrony danych osobowych,
- wygaszacze ekranów na stanowiskach, na których przetwarzane są dane osobowe,
- mechanizm automatycznej blokady dostępu do systemu informatycznego służącego do przetwarzania danych osobowych w przypadku dłuższej nieaktywności pracy użytkownika.
Jeżeli zaś chodzi o środki organizacyjne to ważne jest by osoby zatrudnione przy przetwarzaniu danych osobowych zostały zapoznane z przepisami dotyczącymi ochrony danych osobowych. W celu zapewnienia ochrony można zastosować takie ustawienie monitorów komputerów, na których przetwarzane są dane osobowe by uniemożliwiało wgląd osobom postronnym w przetwarzane dane.
W przypadku danych przetwarzanych w postaci papierowej należy pamiętać by dokumenty zawierające dane osobowe po ustaniu przydatności były niszczone za pomocą niszczarek dokumentów lub też przekazane wyspecjalizowanej firmie, która dokona ich zniszczenia. Ważne jest by po zakończeniu pracy na dokumentach z danymi, dokumenty były zamykane w biurkach lub w przeznaczonych do tego szafach metalowych, niemetalowych lub w kasie pancernej.
Reasumując
Zabezpieczenie danych osobowych jest jednym z najważniejszych elementów ustawy o ochronie danych osobowych. Administrator danych osobowych musi stosować takie środki organizacyjne jak i techniczne, które zapewniają ochronę przetwarzanym danym osobowym uwzględniającą zagrożenia jak i kategorie danych objętą ochroną. Wprowadzone zabezpieczenia muszą należycie chronić dane osobowe, tak by nie nastąpiło naruszenie danych przez osoby trzecie.
Opracowanie: Katarzyna Zajdel