Zarządzanie bezpieczeństwem
informacji
Wykład 3 Ochrona informacji
1
Czym jest informacja
Informacja jest zawsze najważniejszym aktywem, jaki może
posiadać człowiek, organizacja, instytucja.
Które informacje należy chronić?
Ile warte są poszczególne informacje?
W zależności od koniecznego stopnia ochrony, informacje można
zaliczyć do różnych kategorii:
" jawne;
" chronione (np. zastrzeżone dla danej organizacji);
" poufne;
" tajne.
2
Informacje chronione
Akty prawne określają poziomy ważności informacji i wyróżniają kilka
typów tajemnicy.
SÄ… to:
" tajemnica państwowa, będąca własnością Państwa;
" tajemnica służbowa, będąca tajemnicą przedsiębiorstwa bądz

instytucji;
" tajemnica danych osobowych;
" tajemnica skarbowa, statystyczna czy bankowa.
Chronione są też tajemnice:
handlowa, wynalazcza, ubezpieczeniowa, lekarska i inne.
Na wewnętrzne potrzeby organizacji możemy informacje
podzielić na:
żð publikowane;
żð niepublikowane;
żð zastrzeżone.
Szacowanie wartości posiadanych informacji jest w każdym
przypadku ryzykowne
3
ObowiÄ…zujÄ…ce prawo
żð Ustawa o ochronie informacji niejawnych;
żð Ustawa o ochronie danych osobowych;
żð Ustawa o ochronie baz danych;
żð Ustawa o Å›wiadczeniu usÅ‚ug drogÄ… elektronicznÄ…;
żð Ustawa o zwalczaniu nieuczciwej konkurencji;
żð Ustawa o podpisie elektronicznym;
żð Ustawy: kodeks cywilny, kodeks karny, kodeks pracy
żð inne
Ustawa o ochronie informacji niejawnych
Zgodnie z przepisami Ustawy z dnia 22 stycznia 1999 roku
O OCHRONIE INFORMACJI NIEJAWNYCH, informacje
chronione klasyfikujemy jako:
żð Å›ciÅ›le tajne;
żð tajne;
żð poufne;
żð zastrzeżone.
4
Polityka bezpieczeństwa informacji
Celem jest zabezpieczenie jednostki organizacyjnej przez
nieuprawnionym udostępnieniem informacji.
Polityka bezpieczeństwa - dokument zapisany i
udostępniony wszystkim zainteresowanym osobom.
Polityka bezpieczeństwa musi być zrozumiana przez
pracowników firmy i użytkowników sieci.
W dokumencie PB określa się zalecenia dotyczące
systemów informatycznych i ich zabezpieczania, ale
także:
" obiegu dokumentów wewnątrz jednostki;
" klasyfikację poziomów dostępu do informacji;
" zasady uzyskiwania fizycznego dostępu do
pomieszczeń.
Wdrożenie polityki bezpieczeństwa wiąże się, ze spadkiem
efektywności i wygody pracy - konieczny jest więc kompromis.
5
Co powinna zawierać polityka
bezpieczeństwa informacji
" wyjaśnienie wdrażanych zasad i reguł;
" wyjaśnienie jakim celu w wdraża się PBI;
" opisanie podział odpowiedzialności i kompetencji;
" opis zagrożeń i procedury unikania zagrożeń.
" przedstawienie mechanizmów i terminarza wdrażania
kolejnych etapów polityki;
" wskazanie konkretnych osób (zespołów ludzi)
odpowiedzialnych za wdrożenie;
" określenie osoby (lub zespołu osób) nadzorujących
działanie wdrożonego systemu i dbających o jego rozwój.
Czego nie powinna zawierać polityka
bezpieczeństwa informacji
W polityce bezpieczeństwa informacji nie należy zdradzać
szczegółów technicznych zastosowanych rozwiązań Konieczna
jest realistyczna analiza potrzeb firmy, a nie wdrażanie
zapożyczonych wzorców bez ich zrozumienia.
6
Procedury postępowania z informacją
Jednym z elementów polityki bezpieczeństwa informacji są
procedury, które zabezpieczają organizację przed utratą informacji
w czasie jej przenoszenia.
Istnieje kilka metod wprowadzenia takich zabezpieczeń, na
przykład:
" oznakowanie i sklasyfikowanie każdego nośnika
zawierajÄ…cego informacje;
" rejestrowanie faktu wyniesienia z miejsca przechowywania
każdej informacji o większym stopniu poufności;
" przechowywanie nośników zgodnie z zaleceniami
producentów;
" opisanie wszystkich kopii informacji istotnych dla organizacji.
7
Zniszczenie informacji o szczególnym
znaczeniu (tajemnicy państwowej)
Art. 269 Kodeksu karnego
ż 1. Kto, na komputerowym nośniku informacji, niszczy, uszkadza,
usuwa lub zmienia zapis o szczególnym znaczeniu dla obronności
kraju, bezpieczeństwa w komunikacji, funkcjonowania
administracji rządowej, innego organu państwowego lub
administracji samorządowej albo zakłóca lub uniemożliwia
automatyczne gromadzenie lub przekazywanie takich informacji,
podlega karze pozbawienia wolności od 6 miesięcy do lat 8.
ż 2. Tej samej karze podlega, kto dopuszcza się czynu
określonego w ż 1, niszcząc albo wymieniając nośnik albo
wymieniając nośnik informacji lub niszcząc albo uszkadzając
urządzenie służące automatycznemu przetwarzaniu, gromadzeniu
lub przesyłaniu informacji.
8
Oszustwa komputerowe
Art. 287 Kodeksu karnego
Kto, w celu osiągnięcia korzyści materialnej lub
wyrządzenia innej osobie szkody, bez upoważnienia,
wpływa na automatyczne przetwarzanie,
gromadzenie lub przesyłanie informacji lub zmienia,
usuwa albo wprowadza nowy zapis na
komputerowym nośniku informacji, podlega karze
pozbawienia wolności od 3 miesięcy do 5 lat.
9
Odpowiedzialność oraz kompetencje w
systemie bezpieczeństwa informacji
Należy przeprowadzić szkolenia, wyznaczyć osoby
kompetentne do podejmowania określonych działań i zakres
ich odpowiedzialności.
Autoryzacja urządzeń do przetwarzania informacji
Należy, w miarę możliwości zakupywać tylko autoryzowany
sprzęt, zgodny ze ISO.
DobrÄ… praktykÄ… jest ustanowienie w organizacji zakazu
używania przez pracowników prywatnych urządzeń do
przetwarzania informacji, gdyż w ten sposób zmniejsza się
zagrożenie spowodowane nielegalnym wyprowadzeniem
danych firmowych na zewnÄ…trz organizacji.
10
Klasyfikacja informacji
Należy sporządzić dokładny spis informacji znajdujących się w
firmie i określić poziomy dostępu uzyskiwanego przez różne
osoby.
Wytyczne w zakresie klasyfikacji
Należy wziąć pod uwagę jej wartość oraz potrzeby jej
współużytkowania. Należy też wykluczyć dostęp osób
przypadkowych, które nie mają potrzeby wglądu do danej
informacji.
Należy prowadzić ewidencję kto, w jakim czasie i w jakim celu
korzystał z danej informacji.
Należy przypisywać informacjom odpowiednie kategorie.
Klasyfikacja i inwentaryzacja informacji musi również wiązać się
z ustanowieniem odpowiednich procedur dostępowych, jak
również procedur postępowania z samą informacją.
11
Umowa o zachowaniu poufności
Pracownik powinien wiedzieć, jakie grożą sankcje za celową
modyfikację, utratę, zniszczenie, kradzież czy za sprzedaż
informacji firmom konkurencyjnym.
Ujawnienie lub wykorzystanie informacji
Art. 266 Kodeksu karnego
ż 1. Kto wbrew przepisom ustawy lub przyjętemu na siebie
zobowiązaniu, ujawnia lub wykorzystuje informację, z którą
zapoznał się w związku z pełnioną funkcją, wykonywaną pracą,
działalnością publiczną, społeczną, gospodarczą lub naukową,
podlega grzywnie, karze ograniczenia wolności albo pozbawienia
wolności do lat 2.
12
Nieuprawnione uzyskiwanie informacji
Art. 267 Kodeksu karnego
ż 1. Kto bez uprawnienia uzyskuje informację dla niego nie
przeznaczoną, otwierając zamknięte pismo, podłączając się do
przewodu służącego do przekazywania informacji lub
przełamując elektroniczne, magnetyczne albo inne szczególne
zabezpieczenie, podlega grzywnie, karze ograniczenia wolności
albo pozbawienia wolności do lat 2.
ż 2. Tej samej karze podlega, kto w celu uzyskania informacji,
do której nie jest uprawniony, zakłada lub posługuje się
urządzeniem podsłuchowym, wizualnym albo innym
urzÄ…dzeniem specjalnym.
Naruszenie integralności lub zniszczenie
informacji podlegajÄ…cej ochronie
Art. 268 Kodeksu karnego
ż 1. Kto, nie będąc do tego uprawnionym, niszczy, uszkadza,
usuwa lub zmienia zapis istotnej informacji (...), podlega
grzywnie, karze ograniczenia wolności albo pozbawienia
wolności do lat 2.
13
Szkolenia i kształcenie w zakresie
bezpieczeństwa informacji
Każdy pracownik, zanim uzyska dostęp do danych informacji,
powinien przejść bardzo szczegółowe szkolenie z procedur,
jakim będzie podlegał.
Szkolenie z zakresu bezpieczeństwa informacji powinno
dotyczyć przede wszystkim procedur potrzebnych danej
osobie lub zespołowi pracowników.
Należy zapoznać pracowników z aspektami prawnymi
korzystania z urządzeń do przetwarzania danych.
14
Niezależne przeglądy stanu
bezpieczeństwa informacji
Celem jest losowa weryfikacja wprowadzonych przez
organizację procedur składających się na politykę
bezpieczeństwa informacji.
Takie kontrole pozwalajÄ… na stwierdzenie, czy pracownicy w
pełni przestrzegają narzuconych procedur bezpieczeństwa,
na ocenę, w jaki sposób radzą sobie z ich stosowaniem na co
dzień i jaki wpływ te procedury wywierają na funkcjonowanie
organizacji.
PrzeglÄ…du takiego dokonuje zazwyczaj administrator
bezpieczeństwa informacji.
15
Zabezpieczenie przed dostępem osób
trzecich
Metody zabezpieczenia przedsiębiorstwa przed osobami
trzecimi, dotyczące m.in. sposobów monitorowania ich
zachowania na terenie firmy, ich identyfikowania, określania
dostępnych im miejsc zostały szczegółowo opisane w normie.
Identyfikacja ryzyka zwiÄ…zanego z
dostępem osób trzecich
Należy zidentyfikować i zweryfikować rodzaje uzyskiwanego
dostępu oraz powody udzielania tego dostępu.
Należy także dokładnie określić, kim w rzeczywistości są lub
kim mogą być te osoby.
16
Rodzaje dostępu
Dostęp fizyczny jest związany z uzyskiwaniem
bezpośredniego dostępu do siedziby firmy, czyli do:
" budynku;
" biur;
" pomieszczeń z serwerami;
" szaf;
" sejfów;
" kancelarii tajnych;
" akt.
Dostęp logiczny, oznacza uzyskanie dostępu do danych
przechowywanych w zasobach informatycznych firmy, którymi
mogą być:
" systemy bazodanowe;
" serwery;
" inne systemy informatyczne, przechowujÄ…ce i
przetwarzajÄ…ce informacje.
17
Kontrola dostępu do danych
" uznaniowa (DAC)
" ścisła (MAC)
Istnieją też ich różne warianty - jak np. kontrola oparta
o role (RBAC) powszechnie spotykana np. systemach
baz danych.
Ścisła kontrola dostępu (Mandatory
Access Control)
" precyzyjne reguły dostępu automatycznie wymuszają
uprawnienia;
" nawet właściciel zasobu nie może dysponować
prawami dostępu;
" MAC pozwala łatwiej zrealizować (narzucić) silną
politykę bezpieczeństwa i konsekwentnie
stosować ją do całości zasobów.
18
Uznaniowa kontrola dostępu
(Discretionary Access Control)
Właściciel zasobu może decydować o jego atrybutach i
uprawnieniach innych użytkowników systemu względem tego
zasobu. Zagrożeniem jest niefrasobliwość przydziału
uprawnień (np. wynikająca z nieświadomości lub zaniedbań) i
niewystarczająca ochrona zasobów.
19
Reguły MAC
Etykiety poziomu zaufania (sensitivity labels) przydzielane
są w zależności np. od stopnia poufności.
Mogą one być następujące:
ogólnie dostępne < do użytku wewn. < tylko dyrekcja < tylko zarząd
Lub w innego typu instytucji:
jawne < poufne < tajne < ściśle tajne
Kategorię przynależności danych
Kategorie te nie sÄ… hierarchiczne i reprezentujÄ… jedynie rodzaj
wykorzystania danych, np.:
FINANSOWE, OSOBOWE, KRYPTO, MILITARNE
20
Etykiety ochrony danych
Składają się one z 2 parametrów: poziomu zaufania i kategorii
informacji, np.
(tajne, {KRYPTO}) (ściśle tajne, {KRYPTO, MILITARNE})
Na zbiorze etykiet ochrony danych określona jest relacja
wrażliwości:
(ściśle tajne, {KRYPTO, MILITARNE}) -> (tajne, {KRYPTO})
Jest to relacja częściowego porządku, nie wszystkie etykiety do
niej należą. Przykładowo może nie być określona relacja
pomiędzy etykietą:
(ściśle tajne, {KRYPTO,MILITARNE})
a etykietÄ…:
(tajne, {FINANSOWE,KRYPTO})
21
Zbiór reguł MAC
1 Użytkownik może uruchomić tylko taki proces, który posiada
etykietę nie wyższą od aktualnej etykiety użytkownika.
2 Proces może czytać dane o etykiecie nie wyższej niż
aktualna etykieta procesu.
3 Proces może zapisać dane o etykiecie nie niższej niż
aktualna etykieta procesu.
22
Zarządzanie bezpieczeństwem
informacji
Kluczowym dla zarządzania bezpieczeństwem informacji jest
raport techniczny  ISO/IEC TR 13335, składający się z 5 części.
Oprócz dokumentów ISO istnieje szereg zaleceń zawierających
wytyczne w zakresie ochrony internetu oraz bezpieczeństwem
teleinformatycznym. Do tej grupy należy zaliczyć przede
wszystkim wspólne kryteria do oceny zabezpieczeń
teleinformatyki, norma ISO (ISO/IEC 15408).
Standardy
Politykę Bezpieczeństwa opracowuje się w oparciu o
następujące normy:
żð PN-ISO/IEC 17799 oraz rodzina norm: ISO/IEC 27000;
żð ISO/IEC TR 13335;
żð RFC 2196 -  Site Security Handbook ;
i inne.
23
Ochrona danych osobowych
W Polsce organem właściwym w tych sprawach jest Główny
Inspektor Ochrony Danych Osobowych (GIODO).
Ustawa o ochronie danych osobowych (Dz.U.97.133.883 z
póz
niejszymi zmianami). Ustawa ta reguluje zasady m.in.
przetwarzania danych osobowych oraz określa, jakie wymogi
powinny spełniać systemy informatyczne i urządzenia, które
służą do przetwarzania i przechowywania tych danych.
Cele ustawy o ochronie danych osobowych
" dostosowanie do przepisów Dyrektywy Parlamentu
Europejskiego i Rady Unii Europejskiej 95/46/WE z 24.10.1995r.
o ochronie osób w związku z przetwarzaniem ich danych
osobowych;
" realizacja konstytucyjnej gwarancji prywatności i ochrony
danych osobowych.
24
Ochrona danych osobowych
(przepisy szczególne)
1) Dyrektywa Parlamentu Europejskiego i Rady
Unii Europejskiej 2002/58/WE z 12.07.2002 r. w
sprawie przetwarzania danych osobowych oraz ochrony
prywatności w sektorze komunikacji elektronicznej
2) Ustawa z dnia 18.07.2002 r. o świadczeniu usług
drogÄ… elektronicznÄ… (Dz.U. Nr 144, poz. 1204 ze zm.)
25
Art.17 dyrektywy 95/46/we
(bezpieczeństwo przetwarzania danych)
1. Państwa członkowskie zapewnią, aby administrator danych
wprowadził odpowiednie środki techniczne i organizacyjne w
celu ochrony danych osobowych przed przypadkowym lub
nielegalnym zniszczeniem lub przypadkowÄ… utratÄ…, zmianÄ…,
niedozwolonym ujawnieniem lub dostępem, szczególnie
wówczas, gdy przetwarzanie danych obejmuje transmisję
danych w sieci, jak również przed wszelkimi innymi nielegalnymi
formami przetwarzania.
Uwzględniając stan wiedzy w tej dziedzinie oraz koszt realizacji,
przyjęte zostaną takie uregulowania, które zapewnią poziom
bezpieczeństwa odpowiedni do zagrożeń wynikających z
przetwarzania oraz charakteru danych objętych ochroną.
26
y
ródła prawa
KONSTYTUCJA RP  art.47,
Konwencja Nr 108 Rady Europy
art.51 ust.5
Ustawa o ochronie danych osobowych
Delegacje do wydania przepisów wykonawczych:
- art.22a, 39a i 46a
-art. 13 ust.2
Odesłania ( przepisy prawa ,  inna ustawa ,
 prawo )
- art.5
- art.27. 2.2
- art. 23.1.2
Rozporządzenie Ministra Spraw Wewnętrznych i Administracji
z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania
danych osobowych oraz warunków technicznych i organizacyjnych
jakim powinny odpowiadać urządzenia i systemy informatyczne
służące do przetwarzania danych osobowych (Dz.U. Nr 100, poz.
1024)
27
KONSTYTUCJA RP  ART. 47, 51
47. Każdy ma prawo do ochrony prawnej życia prywatnego
(...)
51.1 Nikt nie może być obowiązany inaczej niż na
podstawie ustawy do ujawniania informacji dotyczÄ…cej
jego osoby.
2. Władze publiczne nie mogą pozyskiwać, gromadzić i
udostępniać innych informacji o obywatelach niż niezbędne w
demokratycznym państwie prawa.
3. Każdy ma prawo dostępu do dotyczących go urzędowych
dokumentów i zbiorów danych. Ograniczenie tego prawa
może określić ustawa.
4. Każdy ma prawo do żądania sprostowania oraz usunięcia
informacji nieprawdziwych, niepełnych lub zebranych w
sposób sprzeczny z ustawą.
5. Zasady i tryb gromadzenia oraz udostępniania informacji
określi ustawa.
28
Zakres stosowania ustawy ochronie
danych osobowych (art. 2)
1. Ustawa określa zasady postępowania przy
przetwarzaniu danych osobowych oraz prawa osób
fizycznych, których dane są lub mogą być
przetwarzane w zbiorach danych.
2. UstawÄ™ stosuje siÄ™ do przetwarzania danych
osobowych:
1) w systemach informatycznych, także w przypadku
przetwarzania danych osobowych poza zbiorem
danych,
2) w kartotekach, skorowidzach, księgach, wykazach
i innych zbiorach ewidencyjnych.
29
Pojęcie  danych osobowych - art.6
1.  wszelkie informacje dotyczÄ…ca
zidentyfikowanej lub możliwej do zidentyfikowania
osoby fizycznej ,
2.  osoba możliwa do zidentyfikowania jest osoba,
której tożsamość można określić bezpośrednio lub
pośrednio, w szczególności przez powołanie się na
numer identyfikacyjny albo jeden lub kilka
specyficznych czynników, określających jej cechy
fizyczne, fizjologiczne, umysłowe, ekonomiczne,
kulturowe lub społeczne ,
3  informacji nie uważa się za umożliwiającą
określenie tożsamości osoby, jeżeli
wymagałoby to nadmiernych kosztów, czasu
lub działań .
30
Definicje
Przetwarzanie danych to jakiekolwiek
operacje wykonywane na danych osobowych,
takie jak zbieranie, utrwalanie, przechowywanie,
opracowywanie, zmienianie, udostępnianie i
usuwanie, a zwłaszcza te, które wykonuje się w
systemach informatycznych (art. 7 pkt 2 u.o.d.o.).
Zbiór danych to każdy posiadający strukturę
zestaw danych o charakterze osobowym,
dostępnych według określonych kryteriów,
niezależnie od tego czy zestaw ten jest
rozproszony lub podzielony funkcjonalnie (art. 7
pkt 1 u.o.d.o.).
31
Zakres podmiotowy ustawy o
ochronie danych osobowych
Art. 3.
1. Ustawę stosuje się do organów państwowych, organów
samorządu terytorialnego oraz do państwowych i komunalnych
jednostek organizacyjnych.
2. Ustawę stosuje się również do:
1) podmiotów niepublicznych realizujących zadania
publiczne,
2) osób fizycznych i osób prawnych oraz jednostek
organizacyjnych niebędących osobami prawnymi, jeżeli
przetwarzają dane osobowe w związku z działalnością
zarobkową, zawodową lub dla realizacji celów
statutowych - które mają siedzibę albo miejsce zamieszkania
na terytorium Rzeczypospolitej Polskiej, albo w państwie
trzecim, o ile
przetwarzają dane osobowe przy wykorzystaniu środków
technicznych znajdujÄ…cych siÄ™ na terytorium Rzeczypospolitej
Polskiej.
32
Wyłączenia
Art. 3a.
1. Ustawy nie stosuje siÄ™ do:
1) osób fizycznych, które przetwarzają dane wyłącznie w
celach osobistych lub domowych,
2) podmiotów mających siedzibę lub miejsce zamieszkania w
państwie trzecim, wykorzystujących środki techniczne
znajdujące się na terytorium Rzeczypospolitej Polskiej wyłącznie
do przekazywania danych.
2. Ustawy, z wyjątkiem przepisów art. 14-19 i art. 36 ust. 1, nie
stosuje się również do prasowej działalności dziennikarskiej w
rozumieniu ustawy z dnia 26 stycznia 1984 r. - Prawo prasowe
(Dz. U. Nr 5, poz. 24, z póz
n. zm.) oraz do działalności
literackiej lub artystycznej, chyba że wolność wyrażania swoich
poglądów i rozpowszechniania informacji istotnie narusza prawa
i wolności osoby, której dane dotyczą.
33
Zakres przedmiotowy
1. Przetwarzanie danych osobowych w zbiorach
prowadzonych w systemie papierowym (kartotekach,
skorowidzach, księgach, wykazach i innych zbiorach
ewidencyjnych).
2. Przetwarzanie danych osobowych w systemach
informatycznych, także w przypadku przetwarzania
danych osobowych poza zbiorem.
34
Kto odpowiada za ochronÄ™ danych
osobowych
1. Administrator danych;
2. Podmiot, któremu administrator powierzył
przetwarzanie danych;
3. Administrator bezpieczeństwa informacji;
4. Osoba upoważniona do przetwarzania danych
osobowych.
Administrator danych - organ, jednostka
organizacyjna, podmiot lub osoba decydujÄ…ce o
celach i środkach przetwarzania danych
osobowych.
35
Kategorie obowiązków administratora
danych
" warunki ( przesłanki ) dopuszczalności przetwarzania danych
osobowych;
" obowiÄ…zki informacyjne (w stosunku do podmiotu danych
art.24 i art.25 oraz względem innych administratorów
danych (art.35ust.3);
" obowiązki  szczególnej staranności (art.26);
" udostępnienie danych osobowych (art.29);
" wymogi powierzenia przetwarzania danych osobowych (art.31);
" obowiązki realizacji żądań osoby, której dane dotyczą
(art.32-35);
" obowiÄ…zek zabezpieczenia technicznego i
organizacyjnego zbiorów danych(art.36-39);
" zgłoszenie zbioru danych do rejestracji GIODO/aktualizacja
zgłoszenia(art.40-46).
36
Administrator Bezpieczeństwa
Informacji (ABI)
Administrator danych wyznacza administratora
bezpieczeństwa informacji nadzorującego
przestrzeganie zasad ochrony (& ), chyba że
sam wykonuje te czynności.
Środki kontrolne wobec osób przetwarzających
dane (ew. innych osób posiadających niezbędne
informacje).
37
Osoba upoważniona do przetwarzania
danych osobowych
Podstawy prawne:
Art. 37.
Do przetwarzania danych mogą być dopuszczone
wyłącznie osoby posiadające upoważnienie nadane
przez administratora danych.
Art. 39.
1. Administrator danych prowadzi ewidencję osób
upoważnionych do ich przetwarzania, która powinna
zawierać:
1) imię i nazwisko osoby upoważnionej,
2) datę nadania i ustania oraz zakres upoważnienia do
przetwarzania danych osobowych,
3) identyfikator, jeżeli dane są przetwarzane w systemie i
nformatycznym.
2. Osoby, które zostały upoważnione do przetwarzania
danych są obowiązane zachować w tajemnicy te
dane osobowe oraz sposoby ich zabezpieczenia.
38
Odpowiedzialność osób upoważnionych
1) Odpowiedzialność służbowa
2) Odpowiedzialność karna
Art. 51.
1. Kto administrując zbiorem danych lub będąc
obowiązany do ochrony danych osobowych udostępnia je
lub umożliwia dostęp do nich osobom nieupoważnionym,
podlega grzywnie, karze ograniczenia wolności albo
pozbawienia wolności do lat 2.
2. Jeżeli sprawca działa nieumyślnie, podlega grzywnie,
karze ograniczenia wolności albo pozbawienia wolności
do roku.
39
Obowiązki osób upoważnionych
1. Wykonywanie czynności na danych
wyłącznie w zakresie nadanego
upoważnienia
2. Zachowanie w tajemnicy dane osobowe
oraz sposoby ich zabezpieczenia.
3. Przestrzeganie zasad bezpieczeństwa
technicznego i organizacyjnego, tj.
określonych przez administratora
danych środków zabezpieczenia:
- organizacyjnych,
- fizycznych,
- programowych,
- sprzętowych.
40
Rodzaje danych osobowych
Dane zwykłe Dane wrażliwe
" brak wyliczenia " dane ujawniajÄ…ce pochodzenie
(wszelkie inne dane rasowe lub etniczne, poglÄ…dy
osobowe oprócz danych polityczne, przekonania religijne lub
wrażliwych) filozoficzne, przynależność
wyznaniowÄ…, partyjnÄ… lub zwiÄ…zkowÄ…,
jak również dane o stanie zdrowia,
kodzie genetycznym, nałogach lub
życiu seksualnym oraz dane dotyczące
skazań, orzeczeń o ukaraniu i
mandatów karnych, a także innych
orzeczeń wydanych w postępowaniu
sÄ…dowym lubadministracyjnym (art.
27 ust. 1 u.o.d.o.)
41
Dopuszczalność przetwarzania danych
osobowych
Art. 23. 1. Przetwarzanie danych jest dopuszczalne
tylko wtedy, gdy:
1) osoba, której dane dotyczą, wyrazi na to zgodę,
chyba że chodzi o usunięcie dotyczących jej danych,
2) jest to niezbędne dla zrealizowania uprawnienia
lub spełnienia obowiązku wynikającego z przepisów
prawa,
3) jest konieczne dla realizacji umowy, gdy osoba,
której dane dotyczą, jest jej stroną (& ),
4) jest niezbędne do wykonania określonych prawem
zadań
realizowanych dla dobra publicznego,
5) jest niezbędne do wypełnienia prawnie
usprawiedliwionych celów administratorów danych
albo odbiorców danych, a przetwarzanie danych nie
42
narusza praw i wolności osoby, której dane dotyczą.
Dopuszczalność przetwarzania danych
wrażliwych
Przesłanki dopuszczalności przetwarzania danych o stanie
zdrowia (art. 27 ust.2 u.o.d.o.):
1) osoba, której dane dotyczą, wyrazi na to zgodę na piśmie,
chyba że chodzi o usunięcie dotyczących jej danych,
2) przepis szczególny innej ustawy zezwala na przetwarzanie
takich danych bez zgody osoby, której dane dotyczą, i stwarza
pełne gwarancje ich ochrony,
3) przetwarzanie takich danych jest niezbędne do ochrony
żywotnych interesów osoby, której dane dotyczą, lub innej osoby,
gdy osoba, której dane dotyczą, nie jest fizycznie lub prawnie
zdolna do wyrażenia zgody, do czasu ustanowienia opiekuna
prawnego lub kuratora,
4) jest to niezbędne do wykonania statutowych zadań kościołów i
innych związków wyznaniowych(...)
Ustawa wskazuje jeszcze 6 innych przesłanek
43
Zasady przetwarzania danych osobowych
art. 26 ust. 1 ustawy, podstawowe obowiÄ…zki AD.
Ma on przestrzegać:
1) zasady legalności  przetwarzać dane zgodnie z prawem,
2) zasady celowości  zbierać dane dla oznaczonych, zgodnych
z prawem celów,
3) zasady merytorycznej poprawności  dbać o merytoryczną
poprawność danych,
4) zasady adekwatności  dbać o adekwatność danych w stosunku
do celów, w jakich są przetwarzane,
5) zasady ograniczenia czasowego  przechowywać dane w
postaci umożliwiającej identyfikację osób, których
dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu
przetwarzania.
Przetwarzanie danych w celu innym niż ten, dla którego zostały zebrane, jest
dopuszczalne, jeżeli nie narusza praw i wolności osoby, której dane dotyczą, oraz
następuje:
1) w celach badań naukowych, dydaktycznych, historycznych lub statystycznych,
2) z zachowaniem przepisów art. 23 i 25 ustawy (art. 26 ust. 2 ustawy).
44
Obowiązki szczególnej staranności
Art. 26. 1. Administrator danych przetwarzajÄ…cy dane
powinien dołożyć szczególnej staranności w celu
ochronyinteresów osób, których dane dotyczą, a w
szczególności jest obowiązany zapewnić, aby dane te
były:
1) przetwarzane zgodnie z prawem,
2) zbierane dla oznaczonych, zgodnych z
prawem celów i nie poddawane dalszemu
przetwarzaniu niezgodnemu z tymi celami, (& )
3) merytorycznie poprawne i adekwatne w
stosunku do celów, w jakich są przetwarzane,
4) przechowywane w postaci umożliwiającej i
dentyfikację osób, których dotyczą, nie dłużej
niż jest to niezbędne do osiągnięcia celu
przetwarzania.
45
ObowiÄ…zek informacyjny
Art. 24.
1. W przypadku zbierania danych osobowych od osoby, której
dane dotyczÄ…, administrator danych jest obowiÄ…zany
poinformować tę osobę o:
1) adresie swojej siedziby i pełnej nazwie, a w przypadku
gdy administratorem danych jest osoba fizyczna o miejscu
swojego zamieszkania oraz imieniu i nazwisku,
2) celu zbierania danych, a w szczególności o znanych mu w
czasie udzielania informacji lub przewidywanych
odbiorcach lub kategoriach odbiorców danych,
3) prawie dostępu do treści swoich danych oraz ich
poprawiania,
4) dobrowolności albo obowiązku podania danych, a jeżeli
taki obowiÄ…zek istnieje, o jego podstawie prawnej.
2 Przepisu ust. 1 nie stosuje się, jeżeli:
1)przepis innej ustawy zezwala na przetwarzanie (& )
46
ObowiÄ…zek informacyjny
art. 32 ust. 1 pkty 3-5 ustawy. Stanowią one, że: każdej
osobie przysługuje prawo do kontroli przetwarzania
danych, które jej dotyczą zawartych w zbiorach danych,
a zwłaszcza prawo do: [...]
3) uzyskania informacji, od kiedy przetwarza siÄ™ w
zbiorze dane jej dotyczÄ…ce, oraz podania w
powszechnie zrozumiałej formie treści tych danych,
4) uzyskania informacji o z
ródle, z którego pochodzą
dane jej dotyczące, chyba że administrator danych
jest zobowiÄ…zany do zachowania w tym zakresie t
ajemnicy państwowej, służbowej lub zawodowej,
5) uzyskania informacji o sposobie udostępniania
danych, a w szczególności informacji o odbiorcach lub
kategoriach odbiorców, którym dane te są
udostępniane.
47
ObowiÄ…zek informacyjny
System musi zapewnić odnotowanie:
1) daty pierwszego wprowadzenia danych do
systemu;
2) identyfikatora użytkownika
wprowadzajÄ…cego dane osobowe do
systemu, chyba że dostęp do systemu
informatycznego i przetwarzanych w nim
danych posiada wyłącznie jedna osoba;
3) z
ródła danych, w przypadku zbierania
danych, nie od osoby, której one dotyczą.
48
Bezpieczeństwo danych osobowych
Rodzaje obowiązków:
1) Poziomy bezpieczeństwa,
2) Wymogi niezależne od poziomu bezpieczeństwa:
- upoważnienie;
- administrator bezpieczeństwa informacji;
- kontrola wprowadzania danych do zbioru i ich
udostępniania;
3) dokumentacja przetwarzania i ochrony danych.
Zabezpieczenia powinny być odpowiednie do:
- kategorii danych objętych ochroną,
- zagrożeń.
Wymogi określone są w rozporządzeniu MSWIA  niezależne od
poziomów.
49
Podstawowe obowiÄ…zki zabezpieczenia
Polityka bezpieczeństwa zawiera w szczególności:
1) wykaz budynków, pomieszczeń lub części pomieszczeń,
tworzących obszar, w którym przetwarzane są dane
osobowe;
2) wykaz zbiorów danych osobowych wraz ze wskazaniem
programów zastosowanych do przetwarzania tych
danych;
3) opis struktury zbiorów danych wskazujący zawartość
poszczególnych pól informacyjnych i powiązania
między nimi;
4) sposób przepływu danych pomiędzy poszczególnymi
systemami;
5) określenie środków technicznych i organizacyjnych
niezbędnych dla zapewnienia poufności, integralności
i rozliczalności przetwarzanych danych.
50
Poziomy ochrony
Poziomy bezpieczeństwa
Podstawowy
" W systemie, brak jest danych wrażliwych.
" System nie jest połączony z publiczną siecią
telekomunikacyjnÄ….
Podwyższony
" W systemie, przetwarzane są dane wrażliwe.
" System nie jest połączony z publiczną siecią
telekomunikacyjnÄ….
Wysoki
System jest połączony z publiczną siecią telekomunikacyjną
 występują zagrożenia pochodzące z sieci publicznej.
51
Poziom podstawowy
1. Zabezpieczenie fizyczne obszaru przetwarzania danych;
2. Mechanizm kontroli dostępu do danych (identyfikator i
hasło). Wymogi wobec hasła: ilość znaków (6) i okres jego
używania(max. 30 dni);
3.Dopuszczalność stosowania dodatkowych sposobów
Uwierzytelnienia;
4. Ochrona infrastruktury przed zakłóceniami i zagrożeniami
zewnętrznymi:
- ochrona przed awarią zasilania lub zakłóceniami w sieci
zasilajÄ…cej,
- ochrona przed dostępem do danych przy pomocy
oprogramowania wykorzystującego luki i błędy w
systemach.
- Zabezpieczenie kopii zapasowych;
- Użytkowanie komputera przenośnego;
- Zasady postępowania z nośnikami przeznaczonymi do
likwidacji, naprawy lub przekazania innemu podmiotowi
52
Wykaz minimalnych środków bezpieczeństwa dla
osiągnięcia podstawowego poziomu
bezpieczeństwa
I. 1. Obszar, o którym mowa w ż 4 pkt 1 rozporządzenia, zabezpiecza się
przed dostępem osób nieuprawnionych na czas nieobecności w nim osób
upoważnionych do przetwarzania danych osobowych.
2. Przebywanie osób nieuprawnionych w obszarze, o którym mowa w ż 4
pkt 1 rozporzÄ…dzenia, jest dopuszczalne za zgodÄ… administratora danych
lub w obecności osoby upoważnionej do przetwarzania danych osobowych.
II. 1. W systemie informatycznym służącym do przetwarzania danych
osobowych stosuje się mechanizmy kontroli dostępu do tych danych.
2. Jeżeli dostęp do danych przetwarzanych w systemie informatycznym
posiadają co najmniej dwie osoby, wówczas zapewnia się, aby:
a) w systemie tym rejestrowany był dla każdego użytkownika odrębny
identyfikator;
b) dostęp do danych był możliwy wyłącznie po wprowadzeniu identyfikatora
i dokonaniu uwierzytelnienia.
III. System informatyczny służący do przetwarzania danych osobowych
zabezpiecza się, w szczególności przed:
1) działaniem oprogramowania, którego celem jest uzyskanie
nieuprawnionego dostępu do systemu informatycznego;
2) utratą danych spowodowaną awarią zasilania lub zakłóceniami w sieci
53
zasilajÄ…cej.
Wykaz minimalnych środków bezpieczeństwa
wymaganych do osiągnięcia podstawowego
poziomu bezpieczeństwa (cd)
IV. 1. Identyfikator użytkownika, który utracił uprawnienia do
przetwarzania danych, nie może być przydzielony innej osobie.
2. W przypadku gdy do uwierzytelniania użytkowników używa się
hasła, jego zmiana następuje nie rzadziej, niż co 30 dni. Hasło
składa się co najmniej z 6 znaków.
3. Dane osobowe przetwarzane w systemie informatycznym
zabezpiecza się przez wykonywanie kopii zapasowych zbiorów
danych oraz programów służących do przetwarzania danych.
4. Kopie zapasowe:
a) przechowuje siÄ™ w miejscach zabezpieczajÄ…cych je przed
nieuprawnionym przejęciem, modyfikacją, uszkodzeniem lub
zniszczeniem;
b) usuwa się niezwłocznie po ustaniu ich użyteczności.
V. Osoba użytkująca komputer przenośny zawierający dane osobowe
zachowuje szczególną ostrożność podczas jego transportu,
przechowywania i użytkowania poza obszarem, o którym mowa w ż
4 pkt 1 rozporządzenia, w tym stosuje środki ochrony
54
kryptograficznej wobec przetwarzanych danych osobowych.
Wykaz minimalnych środków bezpieczeństwa
wymaganych do osiągnięcia podstawowego
poziomu bezpieczeństwa (cd)
VI. Urządzenia, dyski lub inne elektroniczne nośniki informacji,
zawierajÄ…ce dane osobowe, przeznaczone do:
1) likwidacji pozbawia się wcześniej zapisu tych danych, a w przypadku
gdy nie jest to możliwe, uszkadza się w sposób uniemożliwiający ich
odczytanie;
2) przekazania podmiotowi nieuprawnionemu do przetwarzania danych
pozbawia się wcześniej zapisu tych danych, w sposób uniemożliwiający ich
odzyskanie;
3) naprawy pozbawia się wcześniej zapisu tych danych w sposób
uniemożliwiający ich odzyskanie albo naprawia się je pod nadzorem osoby
upoważnionej przez administratora danych.
VII. Administrator danych monitoruje wdrożone zabezpieczenia systemu
informatycznego
55
Poziom podwyższony
1. Ilość znaków w haśle (8 znaków, hasło złożone);
2. Zabezpieczenie urządzeń i nośników zawierających dane
osobowe wynoszone poza obszar przetwarzania danych.
Wykaz dodatkowych minimalnych środków bezpieczeństwa
dla osiągnięcia podwyższonego poziomu bezpieczeństwa
VIII. W przypadku gdy do uwierzytelniania użytkowników używa się
hasła, składa się ono co najmniej z 8 znaków, zawiera małe i wielkie
litery oraz cyfry lub znaki specjalne.
IX. Urządzenia i nośniki zawierające dane osobowe, o których mowa w
art. 27 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych
osobowych, przekazywane poza obszar, o którym mowa w ż 4 pkt 1
rozporzÄ…dzenia, zabezpiecza
się w sposób zapewniający poufność i integralność tych danych.
X. Instrukcję zarządzania systemem informatycznym, o której mowa w ż
5 rozporządzenia, rozszerza się o sposób stosowania środków, o których
mowa w pkt IX załącznika.
56
Poziom wysoki
1. Zabezpieczenia logiczne i fizyczne przed zagrożeniami
pochodzÄ…cymi ze strony sieci;
2. Zabezpieczenia teletransmisji ( Administrator danych stosuje
środki kryptograficznej ochrony wobec danych wykorzystywanych
do uwierzytelnienia, które są przesyłane w sieci publicznej )
Wykaz dodatkowych minimalnych środków
bezpieczeństwa dla wysokiego poziomu bezpieczeństwa
XII. 1. System informatyczny służący do przetwarzania danych osobowych
chroni się przed zagrożeniami pochodzącymi z sieci publicznej poprzez
wdrożenie fizycznych lub logicznych zabezpieczeń chroniących przed
nieuprawnionym dostępem.
2. W przypadku zastosowania logicznych zabezpieczeń, o których mowa w
ust. 1, obejmujÄ… one:
a) kontrolę przepływu informacji pomiędzy systemem informatycznym
administratora danych a sieciÄ… publicznÄ…;
b) kontrolę działań inicjowanych z sieci publicznej i systemu
informatycznego administratora danych.
XIII. Administrator danych stosuje środki kryptograficznej ochrony wobec
57
danych wykorzystywanych do uwierzytelnienia, które są przesyłane w sieci
ABC bezpieczeństwa danych osobowych
przetwarzanych przy użyciu systemów
informatycznych
Dostępne na stronach www GIODO (www.giodo.gov.pl)
Opracowanie dr Andrzej Kaczmarka dyrektora Departamentu
Informatyki Biura Generalnego Inspektora Ochrony Danych
Osobowych
58
Polityka bezpieczeństwa systemach
informatycznych w zakresie ochrony
danych osobowych
Polska Norma PN-ISO/IEC 17799:2005, określająca praktyczne
zasady zarządzania bezpieczeństwem informacji w obszarze
technik informatycznych, jako cel polityki bezpieczeństwa wskazuje
 zapewnienie kierunków działania i wsparcie kierownictwa dla
bezpieczeństwa informacji .
" Wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących
obszar, w którym przetwarzane są dane osobowe;
" Wykaz zbiorów danych osobowych wraz ze wskazaniem programów
zastosowanych do przetwarzania tych danych;
" Opis struktury zbiorów danych wskazujący zawartość poszczególnych
pól informacyjnych i powiązania między nimi;
" Sposób przepływu danych pomiędzy poszczególnymi systemami (ż 4
pkt 4 rozporzÄ…dzenia);
" Określenie środków technicznych i organizacyjnych niezbędnych dla
zapewnienia poufności, integralności i rozliczalności przy
przetwarzaniu danych;
" Zapewnienie dokumentacji i ciągłości doskonalenia zabezpieczeń;
59
Określenie niezbędnych środków
technicznych i organizacyjnych
Środki te powinny być określone po przeprowadzeniu
wnikliwej analizy zagrożeń i ryzyka związanych z
przetwarzaniem danych osobowych, powinny być
adekwatne do zagrożeń wynikających ze sposobu
przetwarzania danych i środowiska, w jakim ten proces
ma miejsce, a także do kategorii przetwarzanych danych
osobowych.
Środki te powinny zapewniać rozliczalność wszelkich
działań (osób i systemów) podejmowanych w celu
przetwarzania danych osobowych.
Powinny one spełniać wymogi określone w art. 36 39
ustawy oraz być adekwatne do wymaganych poziomów
bezpieczeństwa, o których mowa w ż 6 rozporządzenia
60
Podstawowe wymagania dotyczÄ…ce
funkcjonalności systemu informatycznego
Minimalne wymagania wynikajÄ…ce z potrzeb zapewnienia
bezpieczeństwa (wynikają wprost z art. 36, 37 i 38 ustawy).
Określone zostały w załączniku do rozporządzenia.
Minimalne wymagania funkcjonalne dotyczÄ…ce kontroli
dostępu do danych
Jeżeli dostęp do danych przetwarzanych w systemie
informatycznym
posiadają co najmniej dwie osoby, wówczas zapewnia się, aby:
a) w systemie tym rejestrowany był dla każdego użytkownika
odrębny identyfikator;
b) dostęp do danych był możliwy wyłącznie po wprowadzeniu
identyfikatora i dokonaniu uwierzytelnienia.
Minimalne wymagania dotyczÄ…ce systemu uwierzytelnienia
W rozporządzeniu nie określa się metod uwierzytelnienia, jakie
powinny być stosowane.
Minimalne wymagania funkcjonalne wynikajÄ…ce z
obowiÄ…zku informacyjnego
61
Instrukcja zarzÄ…dzania systemem
informatycznym
Jednym z wymogów nałożonych na administratorów danych,
zgodniez ż 3 ust. 1 rozporządzenia, jest opracowanie instrukcji,
określającej sposób zarządzania systemem informatycznym,
służącym do przetwarzania danych osobowych. W instrukcji
powinny być wskazane systemy informatyczne, ich lokalizacje i
stosowane metody.
Instrukcja ma obejmować zagadnienia bezpieczeństwa informacji, a
w szczególności elementy wymienione w ż 5 rozporządzenia:
1) procedury nadawania uprawnień do przetwarzania danych i
rejestrowania tych uprawnień w systemie informatycznym oraz
wskazanie osoby odpowiedzialnej za te czynności,
2) stosowane metody i środki uwierzytelnienia oraz procedury
związane z ich zarządzaniem i użytkowaniem,
3) procedury rozpoczęcia, zawieszenia i zakończenia pracy
przeznaczone dla użytkowników systemu,
4) procedury tworzenia kopii zapasowych zbiorów danych oraz
programów i narzędzi programowych służących do ich
62
przetwarzania,
Instrukcja zarzÄ…dzania systemem
informatycznym (cd)
5) sposób, miejsce i okres przechowywania:
a) elektronicznych nośników informacji zawierających dane
osobowe,
b) kopii zapasowych, o których mowa w pkt. 4,
6) sposób zabezpieczenia systemu informatycznego przed
działalnością oprogramowania, o którym mowa w pkt III
ppkt 1 załącznika do rozporządzenia,
7) sposób realizacji wymogów, o których mowa w ż 7 ust. 1
pkt 4 rozporzÄ…dzenia,
8) procedury wykonywania przeglądów i konserwacji
systemów oraz nośników informacji służących do przetwarzania
danych.
Procedury nadawania uprawnień do przetwarzania danych i
rejestrowania tych uprawnień w systemie informatycznym
oraz wskazanie osoby odpowiedzialnej za te czynności (ż 5 pkt
1 rozporzÄ…dzenia)
63
Stosowane metody i środki
uwierzytelnienia oraz procedury zwiÄ…zane
z ich zarządzaniem i użytkowaniem
(ż 5 pkt 2 rozporządzenia)
W tej części instrukcji należy min. poinformować
użytkownika o możliwych zagrożeniach i
konsekwencjach związanych z tzw. utratą tożsamości
elektronicznej (tj. utratą danych służących
uwierzytelnieniu), a przede wszystkim  o
konieczności przestrzegania obowiązku ochrony
miejsca przetwarzania danych przed dostępem osób
nieupoważnionych (keyloggery).
64
Kompetencje GIODO
1. Kontrola przetwarzania danych osobowych;
2. Wydawanie decyzji administracyjnych 
nakazów przywrócenia stanu zgodnego z
prawem;
3. Rejestracja zbiorów danych;
4. Zawiadamianie organów ścigania o
popełnieniu przestępstwa przeciwko ochronie
danych osobowych;
5. Żądanie wszczęcia wobec pracownika
postępowania dyscyplinarnego lub innego
przewidzianego prawem postępowania w
przypadku dopuszczenia do uchybień w
ochronie danych osobowych.
65
Uprawnienia kontrolne GIODO
Art. 14 W celu wykonania zadań, o których mowa w art. 12
pkt. 1 i 2,
Generalny Inspektor, zastępca Generalnego Inspektora lub
upoważnieni przez niego pracownicy Biura, zwani dalej
"inspektorami", majÄ… prawo:
1) wstępu, w godzinach od 6.00 do 22.00, za okazaniem imiennego
upoważnienia i legitymacji służbowej, do pomieszczenia, w którym
zlokalizowany jest zbiór danych oraz pomieszczenia, w którym
przetwarzane sÄ… dane poza zbiorem danych, i przeprowadzenia
niezbędnych badań lub innych czynności kontrolnych w celu oceny
zgodności przetwarzania danych z ustawą,
2) Żądać złożenia pisemnych lub ustnych wyjaśnień oraz wzywać i
przesłuchiwać osoby w zakresie niezbędnym do ustalenia stanu
faktycznego,
3) wglądu do wszelkich dokumentów i wszelkich danych mających
bezpośredni związek z przedmiotem kontroli oraz sporządzania ich
kopii,
4) przeprowadzania oględzin urządzeń, nośników oraz systemów
informatycznych służących do przetwarzania danych,
5) zlecać sporządzanie ekspertyz i opinii.
66
Uprawnienia kontrolne GIODO
Art. 14 W celu wykonania zadań, o których mowa w art. 12
pkt. 1 i 2,
Generalny Inspektor, zastępca Generalnego Inspektora lub
upoważnieni przez niego pracownicy Biura, zwani dalej
"inspektorami", majÄ… prawo:
1) wstępu, w godzinach od 6.00 do 22.00, za okazaniem imiennego
upoważnienia i legitymacji służbowej, do pomieszczenia, w którym
zlokalizowany jest zbiór danych oraz pomieszczenia, w którym
przetwarzane sÄ… dane poza zbiorem danych, i przeprowadzenia
niezbędnych badań lub innych czynności kontrolnych w celu oceny
zgodności przetwarzania danych z ustawą,
2) Żądać złożenia pisemnych lub ustnych wyjaśnień oraz wzywać i
przesłuchiwać osoby w zakresie niezbędnym do ustalenia stanu
faktycznego,
3) wglądu do wszelkich dokumentów i wszelkich danych mających
bezpośredni związek z przedmiotem kontroli oraz sporządzania ich
kopii,
4) przeprowadzania oględzin urządzeń, nośników oraz systemów
informatycznych służących do przetwarzania danych,
5) zlecać sporządzanie ekspertyz i opinii.
67
ObowiÄ…zek rejestracyjny
Art. 40
" Art.40  Administrator danych jest obowiÄ…zany
zgłosić zbiór danych do rejestracji Generalnemu
Inspektorowi, z wyjątkiem przypadków, o których
mowa wart. 43 ust. 1
" W art. 43 ust.1 katalog 13 przesłanek
wyłączających obowiązek rejestracyjny.
68
Szafy stalowe na dokumenty niejawne
o nadanej klauzuli "POUFNE"
.
Wymagania stawiane szafom do przechowywania
dokumentów niejawnych zawarte są w Rozporządzeniu
Rady Ministrów z dnia 18.10.2005 ( Dz. U. 208, poz. 1741)
oraz ZarzÄ…dzenia Ministra Obrony Narodowej z dnia
17.11.2005r. w sprawie organizacji i funkcjonowania
kancelarii tajnych. Polecane na akta osobowe.
Kategoria: Szafy na "POUFNE" klasy A:
69