Środki organizacyjne i techniczne zabezpieczenia danych osobowych

Artykuł 24 rozporządzenia nakłada na administratora danych obowiązek wdrożenia „odpowiednich środków technicznych i organizacyjnych”, aby przetwarzanie danych osobowych odbywało się zgodnie z rozporządzeniem. Rozporządzenie nakazuje, by stosowanie środków technicznych i organizacyjnych było „proporcjonalne”, a przetwarzanie danych poprzedzone „przyjęciem odpowiednich polityk ochrony danych”.

Jednym z podstawowych celów rozporządzenia o ochronie danych było dostosowanie zasad ochrony danych do wyzwań XXI w., takich jak internet czy przetwarzanie danych w chmurze obliczeniowej. Przepisy rozporządzenia w zakresie zabezpieczenia przetwarzanych danych są bardzo ogólne i technologicznie neutralne (bez odniesień do konkretnych rozwiązań technicznych). RODO kładzie nacisk na koncepcję uwzględniania w każdym procesie przetwarzania danych ryzyka dla praw i wolności, jakie może nieść to przetwarzanie, i każdorazowe dostosowywanie wykorzystywanych narzędzi zabezpieczających dane do tego ryzyka. W rozporządzeniu wzrosła znacznie rola administratora danych, który, uwzględniając takie czynniki, jak: aktualny stan wiedzy technicznej, koszt wdrażania systemów zabezpieczeń, charakter, zakres i cele przetwarzania danych, samodzielnie będzie musiał decydować, jakie środki bezpieczeństwa zastosować, by zapewnić zgodność przetwarzania danych z wymogami rozporządzenia.

Wdrażając odpowiednie środki techniczne i organizacyjne, będzie musiał zapewnić właściwy stopień bezpieczeństwa danych osobowych odpowiadający przeprowadzonej analizie ryzyka.

Ważnymi elementami bezpieczeństwa będą:

  1. rozwiązania techniczne systemów przetwarzających dane, w tym możliwość pseudonimizacji danych oraz szyfrowania danych osobowych,
  2. zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania na zagrożenia,
  3. zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego,
  4. regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Środki techniczne i organizacyjne muszą być racjonalnie dobierane na podstawie przeprowadzonej analizy ryzyka i w taki sposób, by to ryzyko maksymalnie minimalizować i sprowadzać do poziomu akceptowalnego. Przy doborze środków technicznych i organizacyjnych warto rozpocząć od przeglądu już zaimplementowanych rozwiązań organizacyjnych i technicznych. Często są to sprawdzone rozwiązania, które właściwie spełniały swoją funkcję i powinny być wykorzystywane w dalszym procesie.

Wiele z prezentowanych poniżej rozwiązań jest już wdrożonych w jednostkach organizacyjnych i wystarczy je ująć w nowo prowadzonym procesie dokumentowania przetwarzania danych osobowych.

Wykaz miejsc i obszarów przetwarzania danych osobowych

Prowadzenie wykazu miejsc, obszarów czy też pomieszczeń, w których są przetwarzane dane osobowe, jest jednym z podstawowych wymogów RODO.

Obszary przetwarzania danych osobowych muszą być zabezpieczone przed dostępem osób postronnych, a dostęp do nich musi być ściśle kontrolowany i nadzorowany. W tych obszarach znajdują się systemy informatyczne, serwerownie, archiwa i inne miejsca, w których występuje duża ilość danych.

Wyznaczenie tych miejsc, stworzenie ich granic i odpowiednie zabezpieczenie jest jednym z podstawowych czynników zapobiegających kradzieży danych, nieuprawnionemu dostępowi do systemów i miejsc ich przetwarzania oraz przechowywania:

  • Obszar przetwarzania danych osobowych zabezpiecza się przed dostępem osób nieuprawnionych na czas nieobecności w nim osób upoważnionych do przetwarzania danych osobowych (zabezpieczenie obszaru poprzez elektroniczną kontrolę dostępu).
  • Przebywanie osób nieuprawnionych w ww. obszarze jest dopuszczalne za zgodą administratora danych, inspektora lub w obecności osoby upoważnionej do przetwarzania danych osobowych.
  • Pomieszczenia stanowiące obszar przetwarzania danych powinny być zamykane na klucz, a klucze powinny być deponowane na stanowiskach ochrony fizycznej lub w portierni.
  • Przed opuszczeniem pomieszczenia stanowiącego obszar przetwarzania danych należy zamknąć okna oraz usunąć z biurka wszystkie dokumenty i nośniki informacji oraz umieścić je w odpowiednich zamykanych szafach lub biurkach – zasada czystego biurka.

Ewidencja osób upoważnionych do przetwarzania danych osobowych

Wprowadzenie ewidencji osób upoważnionych do przetwarzania danych osobowych jest również częścią zabezpieczeń stosowanych w ochronie danych. Ewidencja jest jedną z metod rozliczalności osób przetwarzających dane. W upoważnieniach wskazuje się, kto i do jakich danych ma dostęp oraz w jakim zakresie może je przetwarzać.

Ewidencja powinna zawierać: imię i nazwisko osoby upoważnionej, datę nadania i ustania uprawnień oraz ich zakres, a w przypadku kiedy dane są przetwarzane za pomocą programu komputerowego – również identyfikator dostępowy do tego programu.

Ewidencja stanowi podstawę do wydania upoważnienia do przetwarzania danych osobowych.

Środki organizacyjne ochrony danych osobowych

W celu stworzenia właściwych zabezpieczeń, które powinny bezpośrednio oddziaływać na procesy przetwarzania danych, należy wprowadzić następujące środki organizacyjne:

  • Wyznaczenie inspektora dla administratorów i podmiotów przetwarzających (zgodnie z rozporządzeniem o ochronie danych – art. 37 ust. 1); wyznaczenie inspektora jest konieczne, gdy:
    • przetwarzania danych dokonują organ lub podmioty publiczne, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości,
    • główna działalność administratora danych lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę,
    • główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o których mowa w art. 10.
  • Przetwarzanie danych osobowych w jednostce organizacyjnej może odbywać się wyłącznie w ramach wykonywania zadań służbowych. Zakres uprawnień wynika z zakresu tych zadań oraz wydanego upoważnienia.
  • Do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające stosowne upoważnienie.
  • Inspektor prowadzi ewidencję osób upoważnionych oraz na jej podstawie przygotowuje upoważnienia do przetwarzania danych i przedkłada je do podpisu ADO.
  • Przetwarzanie danych jest dozwolone tylko w wyznaczonych obszarach przetwarzania danych, które muszą być określone w polityce.
  • Każdy pracownik jednostki organizacyjnej co najmniej raz na 2 lata musi odbyć szkolenie z zakresu ochrony danych osobowych. Za organizację szkoleń odpowiedzialny jest administrator lub inspektor, który prowadzi w tym celu odpowiednią dokumentację. Nowo przyjęty pracownik musi odbyć szkolenie przed przystąpieniem do przetwarzania danych i uzyskaniem dostępu do systemów IT, w których te dane są przetwarzane.
  • Każdy pracownik upoważniony do przetwarzania danych potwierdza pisemnie fakt zapoznania się z dokumentacją bezpieczeństwa ochrony danych oraz zrozumienie wszystkich zasad bezpieczeństwa.
  • Monitory komputerów, na których przetwarzane są dane osobowe, ustawione są w sposób uniemożliwiający wgląd osobom postronnym w przetwarzane dane.
  • Przetwarzanie danych może odbywać się tylko na podstawie zgody podającego te dane lub na podstawie przepisów prawa.

Środki techniczne ochrony danych

Zbiory danych przetwarzane w jednostce organizacyjnej zabezpiecza się poprzez zastosowanie środków technicznych.

Środki ochrony fizycznej:

  • Zbiory danych osobowych przechowywane na serwerach (serwerowniach) oraz zbiory danych osobowych w postaci papierowej przechowywane są w archiwach, w pomieszczeniach zabezpieczonych drzwiami o podwyższonej odporności na włamanie (drzwi klasy C), spełniającymi również normy ochrony przeciwpożarowej.
  • Zbiory danych osobowych przechowywane na serwerach (serwerowniach) oraz zbiory danych osobowych w postaci papierowej przechowuje się w archiwach, w pomieszczeniach, w których okna zabezpieczone są za pomocą rolet lub innych urządzeń, np. krat, folii anty­włamaniowej.
  • Pomieszczenia, w których przetwarzane są zbiory danych osobowych, wyposażone są w system alarmowy przeciwwłamaniowy oraz system sygnalizacji pożarowej.
  • Dostęp do pomieszczeń, w których przetwarzane są zbiory danych osobowych, objęty jest systemem kontroli dostępu.
  • Dostęp do pomieszczeń, w których przetwarzane są zbiory danych osobowych, kontrolowany jest przez system monitoringu wizyjnego (CCTV).
  • Dostęp do pomieszczeń, w których przetwarzane są zbiory danych osobowych, jest nadzorowany przez całą dobę przez służbę ochrony obiektu.
  • Zbiory danych osobowych w formie papierowej przechowywane są w zamkniętych metalowych szafach lub w meblach biurowych zamykanych na klucz.
  • Kopie zapasowe/archiwalne zbiorów danych osobowych przechowywane są w zamkniętej niemetalowej ognioodpornej szafie w innej części budynku niż serwerownia.
  • Dokumenty zawierające dane osobowe po ustaniu przydatności są niszczone w sposób mechaniczny za pomocą niszczarek dokumentów spełniających klasę P4 według normy DIN.

Środki sprzętowe, infrastruktury informatycznej i telekomunikacyjnej:

  • Zbiory danych osobowych przetwarzane przy użyciu komputerów stacjonarnych i przenośnych są zabezpieczone loginem użytkownika i hasłem dostępu składającym się co najmniej z 8 znaków, w tym przynajmniej jednej cyfry i jednego znaku specjalnego.
  • Komputery służące do przetwarzania danych osobowych są połączone z lokalną siecią komputerową i administrowane przez upoważnionego administratora.
  • Urządzenia typu UPS mają wydzieloną sieć elektroenergetyczną chroniącą systemy informatyczne służące do przetwarzania danych osobowych przed skutkami awarii zasilania.
  • Dostęp do zbiorów danych osobowych, które przetwarzane są na wydzielonej stacji komputerowej i komputerze przenośnym, jest zabezpieczony przed nieautoryzowanym uruchomieniem za pomocą hasła.
  • Dostęp do systemu operacyjnego komputera, w którym przetwarzane są dane osobowe, jest zabezpieczony za pomocą uwierzytelnienia z wykorzystaniem identyfikatora użytkownika oraz hasła.
  • Środki, które uniemożliwiają wykonywanie nieautoryzowanych kopii danych osobowych przetwarzanych przy użyciu systemów informatycznych.
  • Systemowe mechanizmy wymuszają okresową zmianę haseł.
  • Środki kryptograficznej ochrony danych dla danych osobowych są przekazywane drogą teletransmisji.
  • Dostęp do środków teletransmisji jest zabezpieczony za pomocą mechanizmów uwierzytelnienia.
  • Stosuje się środki ochrony przed szkodliwym oprogramowaniem, takim jak np. robaki, wirusy, konie trojańskie, rootkity.
  • Wykorzystuje się system Firewall do ochrony dostępu do sieci komputerowej.

Środki ochrony w ramach systemowych narzędzi programowych i baz danych:

  • środki pozwalające na rejestrację zmian wykonywanych na poszczególnych elementach zbiorów danych osobowych,
  • środki umożliwiające określenie praw dostępu do wskazanego zakresu danych w ramach przetwarzanych zbiorów danych osobowych,
  • dostęp do zbiorów danych osobowych wymaga uwierzytelnienia z wykorzystaniem identyfikatora użytkownika oraz hasła,
  • systemowe środki pozwalające na określenie odpowiednich praw dostępu do zasobów informatycznych, w tym zbiorów danych osobowych dla poszczególnych użytkowników systemu informatycznego,
  • mechanizm wymuszający okresową zmianę haseł dostępu do zbiorów danych osobowych,
  • kryptograficzne środki ochrony danych osobowych,
  • wygaszacze ekranów na stanowiskach, na których przetwarzane są dane osobowe,
  • mechanizm automatycznej blokady dostępu do systemu informatycznego służącego do przetwarzania danych osobowych w przypadku dłuższej nieaktywności pracy użytkownika,
  • mechanizmy blokowania kont użytkownika w przypadku trzech nieudanych prób logowania do systemu.

Mechanizmy kontrolne w celu zapewnienia kontroli przestrzegania zasad przetwarzania danych osobowych:

  • nadzór inspektora nad procesem przetwarzania danych osobowych zgodnie z ustawą o ochronie danych osobowych i innymi przepisami prawa, w tym RODO;
  • systematyczna kontrola przestrzegania zasad ochrony danych osobowych; nie rzadziej niż dwa razy do roku kontrola zastosowanych środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych odpowiednich do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności kontrola pod kątem zabezpieczenia danych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem obowiązujących przepisów oraz zmianą, utratą, uszkodzeniem lub zniszczeniem, w szczególności:
    • kontrola dokumentacji opisującej sposób przetwarzania oraz ochrony,
    • kontrola i analiza systemu zabezpieczeń połączona z analizą ryzyka,
    • kontrola fizycznych zabezpieczeń obszarów przetwarzania i pomieszczeń, w których przetwarzane są dane osobowe,
    • kontrola poprawności zabezpieczenia danych osobowych przetwarzanych metodami tradycyjnymi,
    • kontrola i testy awaryjnego zasilania komputerów i systemu IT,
    • ciągły nadzór nad naprawą, konserwacją oraz wycofywaniem z użytku i likwidacją urządzeń komputerowych,
    • kontrola systemu kontroli obecności wirusów komputerowych oraz sprawdzanie aktualizacji systemu,
    • kontrola wykonywania kopii zapasowych,
    • kontrola przeglądu, konserwacji oraz uaktualnienia systemów informatycznych,
    • kontrola mechanizmów uwierzytelniania użytkowników w systemie informatycznym przetwarzającym dane osobowe oraz kontrola dostępu do danych osobowych,
    • kontrola nadanych upoważnień;
  • przedstawianie administratorowi danych wyników z przeprowadzonych kontroli oraz ewentualnych zaleceń i czynności naprawczych;
  • systematyczna analiza dokumentacji pod kątem obszarów przetwarzania danych, zagrożeń dla przetwarzanych danych i zbiorów oraz zasad ochrony;
  • szkolenie z ochrony danych osobowych, przepisów i zasad bezpiecznego przetwarzania danych;
  • podjęcie natychmiastowych działań zabezpieczających w przypadku otrzymania informacji o naruszeniu systemu bezpieczeństwa ochrony danych osobowych oraz prowadzenie postępowań wyjaśniających w przypadku wystąpienia incydentów bezpieczeństwa;
  • prowadzenie monitoringu przetwarzania danych w systemach IT;
  • cykliczne prowadzenie testów bezpieczeństwa systemu.