W firmie jak w banku
Bezpieczeństwo danych osobowych z perspektywy pracodawcy
Każdy pracodawca, zarówno spółka prawa handlowego jak również osoba fizyczna prowadząca działalność gospodarczą, jako administrator danych osobowych swoich pracowników ma szereg obowiązków do spełnienia – w szczególności dotyczą one zabezpieczenia przetwarzanych informacji.
Pracodawca jako podmiot przetwarzający dane osobowe zatrudnionych, czyli decydujący o celach i środkach ich przetwarzania, staje się administratorem tych danych.
Ze statusem administratora danych osobowych wiąże się szereg obowiązków, które określają przepisy Ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity: Dz.U. Z 2002 r. Nr 101, poz. 926 ze zm., zwana dalej „u.o.d.o.”) oraz przepisy wykonawcze do u.o.d.o. W szczegółach określa je Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. Z 2004 r. Nr 100, poz. 1024, dalej „Rozporządzenie”).
Administrator danych zobowiązany jest stosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych, odpowiednią do zagrożeń i kategorii informacji. Przykładowo, w razie przetwarzania w systemie informatycznym danych wrażliwych (np. dotyczących stanu zdrowia pracownika) stosuje się środki bezpieczeństwa na poziomie co najmniej podwyższonym, opisane szczegółowo w załączniku do Rozporządzenia. W celu kontroli przestrzegania zasad bezpieczeństwa danych pracodawca wyznacza administratora bezpieczeństwa informacji (ABI), chyba że sam wykonuje te czynności.
Pod pojęciem przetwarzania danych kryje się wiele operacji. Należą do nich: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, zwłaszcza jeśli wykonuje się je w systemach informatycznych. Administrator zobowiązany jest zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane. W szczególności powinien chronić dane przed ich udostępnieniem osobom nieupoważnionym, zmianą, utratą, uszkodzeniem lub zniszczeniem.
Polityka bezpieczeństwa, instrukcja zarządzania systemem informatycznym
Podstawowe działania służące zabezpieczeniu danych osobowych stanowi m.in. wyznaczenie osoby odpowiedzialnej za bezpieczeństwo danych w systemie informatycznym, opracowanie polityki bezpieczeństwa i stworzenie instrukcji określającej sposób zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. Dokumentację wdraża administrator danych w formie pisemnej. Rozporządzenie określa minimalne warunki, jakie muszą spełniać oba dokumenty (patrz ramka 2 i 3).
Ramka 2. Polityka bezpieczeństwa zawiera w szczególności:
1. wykaz budynków, pomieszczeń lub części pomieszczeń tworzących obszar, w którym przetwarzane są dane osobowe;
2. wykaz zbiorów danych osobowych, wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych;
3. opis struktury zbiorów danych, wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi;
4. sposób przepływu danych między poszczególnymi systemami;
5. określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.
Ramka 3. Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych powinna obejmować m.in.:
1. procedury nadawania uprawnień do przetwarzania danych i ich rejestrowania w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności;
2. stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem;
3. procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu;
4. procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania;
5. sposób, miejsce i okres przechowywania elektronicznych nośników informacji zawierających dane osobowe oraz kopii zapasowych;
6. sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego;
7. sposób realizacji wymogu odnotowania przez system informacji o odbiorcach, którym dane zostały udostępnione oraz dacie i zakresie tego udostępnienia;
8. procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.
Ze statusem administratora danych osobowych wiąże się szereg obowiązków, które określają przepisy Ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity: Dz.U. Z 2002 r. Nr 101, poz. 926 ze zm., zwana dalej „u.o.d.o.”) oraz przepisy wykonawcze do u.o.d.o. W szczegółach określa je Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. Z 2004 r. Nr 100, poz. 1024, dalej „Rozporządzenie”).
Administrator danych zobowiązany jest stosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych, odpowiednią do zagrożeń i kategorii informacji. Przykładowo, w razie przetwarzania w systemie informatycznym danych wrażliwych (np. dotyczących stanu zdrowia pracownika) stosuje się środki bezpieczeństwa na poziomie co najmniej podwyższonym, opisane szczegółowo w załączniku do Rozporządzenia. W celu kontroli przestrzegania zasad bezpieczeństwa danych pracodawca wyznacza administratora bezpieczeństwa informacji (ABI), chyba że sam wykonuje te czynności.
Pod pojęciem przetwarzania danych kryje się wiele operacji. Należą do nich: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, zwłaszcza jeśli wykonuje się je w systemach informatycznych. Administrator zobowiązany jest zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane. W szczególności powinien chronić dane przed ich udostępnieniem osobom nieupoważnionym, zmianą, utratą, uszkodzeniem lub zniszczeniem.
Polityka bezpieczeństwa, instrukcja zarządzania systemem informatycznym
Podstawowe działania służące zabezpieczeniu danych osobowych stanowi m.in. wyznaczenie osoby odpowiedzialnej za bezpieczeństwo danych w systemie informatycznym, opracowanie polityki bezpieczeństwa i stworzenie instrukcji określającej sposób zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. Dokumentację wdraża administrator danych w formie pisemnej. Rozporządzenie określa minimalne warunki, jakie muszą spełniać oba dokumenty (patrz ramka 2 i 3).
Ramka 2. Polityka bezpieczeństwa zawiera w szczególności:
1. wykaz budynków, pomieszczeń lub części pomieszczeń tworzących obszar, w którym przetwarzane są dane osobowe;
2. wykaz zbiorów danych osobowych, wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych;
3. opis struktury zbiorów danych, wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi;
4. sposób przepływu danych między poszczególnymi systemami;
5. określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.
Ramka 3. Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych powinna obejmować m.in.:
1. procedury nadawania uprawnień do przetwarzania danych i ich rejestrowania w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności;
2. stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem;
3. procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu;
4. procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania;
5. sposób, miejsce i okres przechowywania elektronicznych nośników informacji zawierających dane osobowe oraz kopii zapasowych;
6. sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego;
7. sposób realizacji wymogu odnotowania przez system informacji o odbiorcach, którym dane zostały udostępnione oraz dacie i zakresie tego udostępnienia;
8. procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.
