Odbierz pakiet bezpłatnych poradników i mikroszkoleń RODO
Co GIODO rozumie przez system informatyczny, czy jest to również komputer połączony z siecią internet, jak i oprogramowanie do serwera, program CRM?
Pojęcie systemu informatycznego określone zostało w art. 7 pkt 2a ustawy o ochronie danych osobowych: jest to „zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych”.
A więc każdy z wymienionych elementów (komputer, serwer, oprogramowanie) stanowi część systemu informatycznego. Co więcej, każdy komputer, podłączony do sieci publicznej, na którym dane są gromadzone i edytowane dane osobowe, traktowany jest jako system informatyczny. Nawet Word czy Excel są częścią systemu informatycznego (zob. DIS/DEC-201/12/15307).
Co wchodzi w zakres raportu z audytu systemów informatycznych?
Zgodnie z ustawą z 29 sierpnia 1997 r. o ochronie danych osobowych, administrator danych jest obowiązany zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane (art. 38). Dodatkowo, w Rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z 29 kwietnia 2004 r. sprecyzowano warunki, które musi spełniać system informatyczny. I tak:
§7.1. Dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym — z wyjątkiem systemów służących do przetwarzania danych osobowych ograniczonych wyłącznie do edycji tekstu w celu udostępnienia go na piśmie — system ten zapewnia odnotowanie:
1) daty pierwszego wprowadzenia danych do systemu;
2) identyfikatora użytkownika wprowadzającego dane osobowe do systemu, chyba że dostęp do systemu informatycznego i przetwarzanych w nim danych posiada wyłącznie jedna osoba;
3) źródła danych, w przypadku zbierania danych, nie od osoby, której one dotyczą;
4) informacji o odbiorcach, w rozumieniu art. 7 pkt 6 ustawy, którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia, chyba że system informatyczny używany jest do przetwarzania danych zawartych w zbiorach jawnych;
5) sprzeciwu, o którym mowa w art. 32 ust. 1 pkt 8 ustawy.
§7.2. Odnotowanie informacji, o których mowa w ust. 1 pkt. 1 i 2, następuje automatycznie po zatwierdzeniu przez użytkownika operacji wprowadzenia danych.
§7.3. Dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym, system zapewnia sporządzenie i wydrukowanie raportu zawierającego w powszechnie zrozumiałej formie informacje, o których mowa w ust. 1.
§7.4. W przypadku przetwarzania danych osobowych w co najmniej dwóch systemach informatycznych wymagania, o których mowa w ust. 1 pkt 4, mogą być realizowane w jednym z nich lub w odrębnym systemie informatycznym przeznaczonym do tego celu. Wszystkie powyższe elementy powinny zostać zweryfikowane podczas kontroli systemu informatycznego.
Czy instrukcja zarządzania systemem informatycznym może opisywać kilka systemów?
Jeżeli w firmie / instytucji funkcjonują różne systemy i każdy z nich charakteryzuje się, dla przykładu, innymi sposobami zabezpieczania, inną procedurą wykonywania kopii zapasowych lub też odmiennym sposobem nadawania uprawnień, należy wówczas opisać każdy z nich osobno, ale wciąż w ramach jednej instrukcji zarządzania. Dzięki temu wszystkie niezbędne dla IT informacje będą w jednym miejscu.
Co dokładnie oznacza pojęcie kopii zapasowych (bezpieczeństwa)?
Zgodnie z ogólną definicją kopia bezpieczeństwa to dane, które mają służyć do odtworzenia oryginalnych danych w przypadku ich utraty lub uszkodzenia. W praktyce jest to dodatkowy nośnik danych (dysk lub specjalna taśma), na który „kopiuje się” zgromadzone dane, dzięki czemu w przypadku awarii systemu, pożaru czy zalania sprzętu administrator będzie w stanie odtworzyć dane. Ważne, aby zapasowa kopia danych była przechowywana conajmniej w innmy pomieszczeniu niż systemy informatyczne, a najlepiej w zupełnie w innym miejscu (budynku).
Czy hasła do systemu / stacji (w domenie) także muszą być zmieniane co 30 dni?
Bezpłatna wiedza o RODO.
Korzystaj do woli!
Polityka haseł jest uzależniona od poziomu zabezpieczeń jaki administrator danych musi zapewnić poszczególnym elementom systemu informatycznego. Rozporządzenie MSWiA z 29 kwietnia 2004 r. precyzuje trzy poziomy bezpieczeństwa dla systemu informatycznego, w każdym z nich zostały wprost określone zasady postępowania z hasłami:
- Poziom podstawowy (system nie jest podłączony do sieci publicznej - Internet) – hasło składa się co najmniej z 6 znaków, jego zmiana następuje nie rzadziej niż co 30 dni.
- Poziom podwyższony - (system nie jest podłączony do sieci publicznej - Internet) – hasło składa się co najmniej z 8 znaków, jego zmiana następuje nie rzadziej niż co 30 dni.
- Poziom podwyższony - (system jest podłączony do sieci publicznej - Internet) – hasło składa się co najmniej z 8 znaków, jego zmiana następuje nie rzadziej niż co 30 dni.
Należy podkreślić, że przez „podłączony do internetu” rozumie się taki system, w którym co najmniej jeden z jego elementów jest lub bywa podłączony do internetu. W praktyce większość systemów ma, choćby sporadyczne, połączenie z internetem – w efekcie, hasła muszą być mocniejsze i zmieniane co 30 dni. Hasła do kont używanych nieinteraktywnie (tzw. konta usług systemowych, konta serwisowe) zwykło się zmieniać rzadziej.
Do jakich haseł stosuje się zaostrzone standardy bezpieczeństwa?
Standardy, o których mowa powyżej, stosuje się do wszystkich kont użytkowników, którzy mają, za pomocą haseł, dostęp do danych osobowych.
Jeżeli hasła są przechowywane w formie elektronicznej należy pamiętać o zastosowaniu metod kryptograficznych, uniemożliwiających dostęp do nich osób postronnych. Przykładowo, używa się tzw. elektronicznych sejfów, takich jak KeePass.
W przypadku zabezpieczenia haseł w formie papierowej stosuje się koperty, które uniemożliwiają otwarcie bez uszkodzenia ich struktury (tzw. „koperty bezpieczne”). Koperty z hasłami przechowuje się w sejfie, w miejscu, do którego dostęp mają tylko osoby do tego uprawnione.
Jakie warunki techniczne powinno spełniać pomieszczenie, w którym znajduje się serwer przechowujący dane osobowe?
Przede wszystkim należy zadbać o to, aby dostęp do serwerowni miały jedynie osobowy do tego upoważnione. Na etapie projektowania zaleca się dokładną analizę ryzyka - na jej podstawie będzie można ocenić, jakie rozwiązania ochrony warto zastosować. Im ważniejsze dane, w tym lepsze zabezpieczenia należy zainwestować. Poniżej przedstawiamy najbardziej typowe rozwiązania.
Przede wszystkim serwerownia nie może być narażona na zalanie. Ponadto, dostęp do pomieszczenia musi być kontrolowany - jeśli to możliwe, warto zainwestować w monitoring wizyjny i system alarmowy. Warto też zwrócić uwagę na możliwość instalacji zabezpieczeń technicznych, takich jak drzwi przeciwpożarowe. Zaleca się również instalację czujników temperatury, zadymienia, wilgotności, dostępu lub system SAP. Na wypadek pożaru serwerownie wyposaża się w układ gaszenia gazowego lub gaśnicę dedykowaną do gaszenia urządzeń elektrycznych. W przypadku wyboru automatycznego gaszenia, należy bezwzględnie pamiętać o bezpieczeństwie i wyposażyć pomieszczenie w maski dla przebywających wewnątrz osób lub zastosować środek gaszący, nieszkodliwy dla ludzi. Dla urządzeń zapewnia się awaryjny system zasilania w postaci generatorów lub UPS-ów. Biorąc pod uwagę fakt, iż urządzenia generują podwyższoną temperaturę administrator musi pamiętać o wydajnym systemie chłodzenia, np. klimatyzacja.
Kim są procesorzy danych, świadczący usługi w zakresie IT? Dlaczego należy podpisać umowę powierzenia?
Procesorem, czyli podmiotem, któremu powierzono przetwarzanie danych osobowych, będzie każdy podmiot świadczący usługi, z którymi wiąże się przetwarzanie danych, na rzecz administratora tych danych. Z każdą firmą, której dajemy dostęp do części systemu informatycznego, w którym są gromadzone dane musimy podpisać umowę powierzenia. Dla przykładu, jeżeli posiadamy system kadrowo-płacowy lub finansowy, w zakresie którego korzystamy ze wsparcia producenta lub dystrybutora, z takim podmiotem musimy podpisać umowę powierzenia - wymaga tego ustawa o ochronie danych osobowych.
Zachęcamy do korzystania z POMOC ODO 24