Skopiuj link
Obowiązujące akty prawne
Podstawową regulacją prawną jest rozporządzenie MSWiA z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (DZ. U.
z 2004 r. nr 100, poz. 1024), którego treść ustala:
- sposób prowadzenia i zakres dokumentacji opisującej sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną,
- podstawowe warunki techniczne i organizacyjne, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych,
- wymagania w zakresie odnotowywania udostępniania danych osobowych i bezpieczeństwa przetwarzania danych osobowych.
Kim jest ASI?
W świetle § 1 ust. 1 oraz § 5 powołanego powyżej rozporządzenia administrator danych osobowych jest zobowiązany do opracowania dokumentacji opisującej sposób przetwarzania danych osobowych. Należą do niej: polityka bezpieczeństwa oraz instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych (§ 3 ust. 1 rozporządzenia). W treści samej instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych należy zawrzeć procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazać osobę odpowiedzialną za te czynności. ASI (administrator systemu informatycznego) jest więc tą osobą, która ma nadzorować „ruch” danych osobowych w systemie informatycznym.
Poziomy bezpieczeństwa przetwarzania danych osobowych w systemie informatycznym
Poziomy bezpieczeństwa są uzależnione od kategorii przetwarzanych danych oraz zagrożeń. Jak wynika z § 6 ust. 1 rozporządzenia wprowadza się poziomy bezpieczeństwa przetwarzania danych osobowych w systemie informatycznym: podstawowy, podwyższony oraz wysoki.
Z pierwszym z nich mamy do czynienia w sytuacji gdy w systemie informatycznym nie są przetwarzane dane wrażliwe (art. 27 ustawy) oraz żadne z urządzeń systemu informatycznego służącego do przetwarzania danych osobowych nie jest połączone z siecią publiczną.
Poziom podwyższony występuje gdy w systemie informatycznym przetwarzane są sensytywne dane osobowe oraz żadne z urządzeń systemu informatycznego służącego do przetwarzania danych osobowych nie jest połączone z siecią publiczną.
Poziom wysoki stosuje się, gdy przynajmniej jedno urządzenie systemu informatycznego, służącego do przetwarzania danych osobowych, połączone jest z siecią publiczną.
Opis środków bezpieczeństwa stosowany na poszczególnych poziomach określa załącznik do rozporządzenia.
Pamiętaj!
Do podstawowych zadań GIODO należy kontrola zgodności przetwarzania danych z przepisami o ochronie danych osobowych. Zgodnie z art. 14 pkt 4 ustawy o ochronie danych osobowych w ramach prowadzonej kontroli inspektorzy GIODO mają prawo przeprowadzania oględzin urządzeń, nośników oraz systemów informatycznych służących do przetwarzania danych. Warto być przygotowanym do takiej kontroli.