ABC
bezpieczeństwa
danych
osobowych
przetwarzanych
przy użyciu
systemów
informatycznych
WYDAWNICTWO SEJMOWE
Warszawa 2007
BIURO GENERALNEGO INSPEKTORA
OCHRONY DANYCH OSOBOWYCH
ul. Stawki 2, 00-193 Warszawa
www.giodo.gov.pl
kancelaria@giodo.gov.pl
tel. (022) 860 70 81
fax (022) 860 70 86
SPIS TREÅšCI
Opracował Andrzej Kaczmarek
Wprowadzenie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
1. Polityka bezpieczeństwa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
Dyrektor Departamentu Informatyki
1.1. Uwagi ogólne . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
1.2. Wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar,
w którym przetwarzane są dane osobowe . . . . . . . . . . . . . . . . . 10
1.3. Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zasto-
Redaktor Andrzej Rudnicki
sowanych do przetwarzania tych danych . . . . . . . . . . . . . . . . . . 12
1.4. Opis struktury zbiorów danych wskazujący zawartość poszczególnych pól
informacyjnych i powiązania między nimi . . . . . . . . . . . . . . . . . 14
1.5. Sposób przepływu danych pomiędzy poszczególnymi systemami (ż 4 pkt 4
rozporzÄ…dzenia) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
1.6. Określenie środków technicznych i organizacyjnych niezbędnych dla zapew-
nienia poufności, integralności i rozliczalności przy przetwarzaniu danych 21
1.7. Zapewnienie dokumentacji i ciągłości doskonalenia zabezpieczeń . . . . 23
2. Podstawowe wymagania dotyczące funkcjonalności systemu informatycznego 24
2.1. Minimalne wymagania wynikające z potrzeb zapewnienia bezpieczeństwa 25
2.1.1. Minimalne wymagania funkcjonalne dotyczące kontroli dostępu do
danych . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
2.1.2. Minimalne wymagania dotyczÄ…ce systemu uwierzytelnienia . . . . 26
2.2. Minimalne wymagania funkcjonalne wynikajÄ…ce z obowiÄ…zku informacyj-
nego . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
© Copyright by Kancelaria Sejmu
Warszawa 2007 2.3. Niestandardowe sposoby realizacji minimalnych wymagań funkcjonalnych 28
3. Poziomy bezpieczeństwa systemu informatycznego . . . . . . . . . . . . . . . 29
3.1. Poziom podstawowy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
ISBN 978-83-7059-846-4
3.2. Poziom podwyższony . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
3.3. Poziom wysoki . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
KANCELARIA SEJMU
4. Instrukcja zarzÄ…dzania systemem informatycznym . . . . . . . . . . . . . . . 34
Wydawnictwo Sejmowe 4.1. Procedury nadawania uprawnień do przetwarzania danych i rejestrowania
Wydanie pierwsze tych uprawnień w systemie informatycznym oraz wskazanie osoby odpo-
Warszawa, listopad 2007 wiedzialnej za te czynności (ż 5 pkt 1 rozporządzenia) . . . . . . . . . . 36
2 3
4.2. Stosowane metody i środki uwierzytelnienia oraz procedury związane z ich
zarządzaniem i użytkowaniem (ż 5 pkt 2 rozporządzenia) . . . . . . . . . 36
4.3. Procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla
użytkowników systemu (ż 5 pkt 3 rozporządzenia) . . . . . . . . . . . . 39
4.4. Procedury tworzenia kopii zapasowych zbiorów danych oraz programów
i narzędzi programowych służących do ich przetwarzania (ż 5 pkt 4 rozpo-
rzÄ…dzenia) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
4.5. Sposób, miejsce i okres przechowywania elektronicznych nośników infor-
macji zawierających dane osobowe oraz kopii zapasowych, o których mowa
w ż 5 pkt 4 rozporządzenia (ż 5 pkt 5 rozporządzenia) . . . . . . . . . . 41
WPROWADZENIE
4.6. Sposób zabezpieczenia systemu informatycznego przed działalnością opro-
gramowania, o którym mowa w pkt III ppkt 1 załącznika do rozporządzenia
(ż 5 pkt 6 rozporządzenia) . . . . . . . . . . . . . . . . . . . . . . . . . 42
Zgodnie z art. 36 ustawy z dnia 29 sierpnia 1997 r. o ochronie da-
4.7. Sposób realizacji wymogów, o których mowa w ż 7 ust. 1 pkt 4 rozporzą-
nych osobowych (tekst jednolity: Dz.U. 2002 r. nr 101 poz. 926, z póz
n.
dzenia (ż 5 pkt 7 rozporządzenia) . . . . . . . . . . . . . . . . . . . . . . 43
zm.; dalej jako: ustawa), administrator danych osobowych zobowiÄ…zany
4.8. Procedury wykonywania przeglądów i konserwacji systemów oraz nośni-
jest do zapewnienia ochrony przetwarzanych danych osobowych przed
ków informacji służących do przetwarzania danych (ż 5 pkt 8 rozporzą-
ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę
dzenia) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
5. Pytania i odpowiedzi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
nieuprawnionÄ…, przetwarzaniem z naruszeniem ustawy oraz zmianÄ…,
utratą, uszkodzeniem lub zniszczeniem. Jakość zapewnianej ochrony po-
winna być odpowiednia do zagrożeń oraz kategorii danych nią obję-
tych. Ponadto zgodnie z art. 38 ustawy administrator danych zobowiÄ…-
zany jest zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez
kogo zostały do zbioru wprowadzone oraz komu są przekazywane.
Ten ostatni wymóg, pomimo że umieszczony został w rozdziale 5 us-
tawy dotyczÄ…cym zabezpieczenia przetwarzanych danych, odnosi siÄ™
nie tylko do kwestii bezpieczeństwa, ale również  odpowiednich funk-
cjonalności przyjętego systemu przetwarzania. Funkcjonalności te wy-
nikają z kolei nie tylko z potrzeby zapewnienia bezpieczeństwa danych,
ale również z konieczności zapewnienia określonych właściwości oraz
warunków umożliwiających administratorowi realizację zobowiązań wo-
bec podmiotów danych wynikających z art. 32 i 33 ustawy i ż 7 rozpo-
rządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwie-
tnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych
oraz warunków technicznych i organizacyjnych, jakim powinny odpo-
wiadać urządzenia i systemy informatyczne służące do przetwarzania
danych osobowych (Dz.U. nr 100 poz. 1024; dalej jako: rozporzÄ…dze-
nie). Wymagane w przywołanych przepisach obowiązki sprowadzają się
m.in. do zapewnienia i udostępniania  na żądanie osoby, której dane są
przetwarzane  informacji o:
4 5
1) dacie, od kiedy przetwarza siÄ™ w zbiorze jej dane osobowe, oraz tre-
Poufność  zapewnieniu, że informacja nie jest udostępniana
ści tych danych,
lub ujawniana nieautoryzowanym osobom, pod-
2) z
ródle, z którego pochodzą dane jej dotyczące, chyba że administra-
miotom lub procesom,
Integralność  zapewnieniu, że dane nie zostały zmienione lub
tor jest obowiązany do zachowania w tym zakresie tajemnicy pań-
zniszczone w sposób nieautoryzowany,
stwowej, służbowej lub zawodowej,
Dostępność  zapewnieniu bycia osiągalnym i możliwym do wy-
3) sposobie i zakresie udostępniania jej danych, a w szczególności in-
korzystania na żądanie, w założonym czasie, przez
formacji o odbiorcach lub kategoriach odbiorców, którym dane te są
autoryzowany podmiot,
udostępniane,
Rozliczalność  zapewnieniu, że działania podmiotu mogą być
4) sposobie, w jaki zebrano dane.
przypisane w sposób jednoznaczny tylko temu
Ogólnie przez pojęcie zapewnienia ochrony przetwarzanym danym
podmiotowi,
należy rozumieć działanie mające na celu zabezpieczenie przed czymś
Autentyczność  zapewnieniu, że tożsamość podmiotu lub zasobu
złym, niekorzystnym, niebezpiecznym. W odniesieniu do danych oso-
jest taka, jak deklarowana (autentyczność dotyczy
bowych będą to działania mające na celu zapewnienie, aby były one po-
użytkowników, procesów, systemów i informacji),
zyskiwane i przetwarzane zgodnie z przepisami prawa. Oznacza to mie-
Niezaprzeczalność  braku możliwości wyparcia się swego uczestnic-
dzy innymi, że powinny być one wykorzystywane tylko w określonym
twa w całości lub w części wymiany danych przez
celu, zabezpieczone przed nieuprawnionymi zmianami, ujawnieniem
jeden z podmiotów uczestniczących w tej wymia-
nieupoważnionym osobom, zniszczeniem, utratą lub uszkodzeniem.
nie,
Niezawodność  zapewnieniu spójności oraz zamierzonych zacho-
Czynności podejmowane w ramach tych działań oraz zastosowane
środki techniczne i organizacyjne będą zależne od środowiska, w jakim wań i skutków.
dane sÄ… przetwarzane.
Należy zwrócić uwagę, że zapewnienie a następnie wykazanie okre-
W niniejszym opracowaniu zostały omówione zagadnienia związane
ślonych właściwości wymaga często zastosowania określonych środ-
z zapewnieniem ochrony danych przetwarzanych przy użyciu systemów
ków i jednoczesnego spełnienia wielu warunków. Zapewnienie np. nie-
informatycznych. Pojęcie  ochrony danych należy w tym przypadku
zaprzeczalności podpisu elektronicznego (wykazanie, że dany doku-
utożsamiać z pojęciem  bezpieczeństwa informacji , stosowanym w li-
ment elektroniczny podpisała określona osoba) wymaga udowodnienia,
teraturze z zakresu bezpieczeństwa teleinformatycznego. Według
że dany dokument nie został zmieniony (integralność), a złożony pod-
normy PN-ISO/IEC-17799:20051 przez bezpieczeństwo informacji nale-
pis należy do danej osoby (uwierzytelnienie).
ży rozumieć zachowanie poufności, integralności, dostępności, rozli-
Gdy do przetwarzania danych osobowych wykorzystuje siÄ™ systemy
czalności, autentyczności, niezaprzeczalności i niezawodności. Wymie-
informatyczne, zadania dotyczące zapewnienia określonych właściwo-
nione właściwości, wg definicji zawartych w PN-I-13335-12, polegają
ści przenoszone są na odpowiednie wymagania dotyczące właściwości
odpowiednio na:
tych systemów. Dodatkowy problem, jaki wówczas powstaje, polega na
zapewnieniu skuteczności i ciągłości zachowywania przez systemy in-
formatyczne wymaganych właściwości. Właściwości te mogą być utra-
1
PN-SIO/IEC-17799:2005 Technika informatyczna. Praktyczne zasady zarzÄ…dzania
cone na skutek błędów popełnionych przez administratora systemu lub
bezpieczeństwem informacji, PKN, 2007.
2 celowych działań osób nieupoważnionych do ingerowania w dany sys-
PN-I-13335-1: Technika informatyczna. Wytyczne do zarządzania bezpieczeń-
stwem systemów informatycznych, PKN, 1999. tem informatyczny. W konsekwencji, oprócz działań mających na celu
6 7
ochronę przetwarzanych danych, należy zapewnić również ochronę sys- podejście instytucji do zarządzania bezpieczeństwem informacji. Jako
temu informatycznego, którego użyto do ich przetwarzania. Stąd też minimum w powyższej normie wskazuje się, aby dokument określający
w przepisach wykonawczych do ustawy, wydanych na podstawie dele- politykę bezpieczeństwa zawierał:
gacji zawartej w art. 39a, określone zostały wymagania dotyczące nie a) mechanizm umożliwiający współużytkowanie informacji (patrz Wpro-
tylko polityki bezpieczeństwa, ale również systemu informatycznego wadzenie);
oraz sposobu zarzÄ…dzania nim.
b) oświadczenie o intencjach kierownictwa, potwierdzające cele i zasa-
dy bezpieczeństwa informacji w odniesieniu do strategii i wymagań
biznesowych;
c) strukturę wyznaczania celów stosowania zabezpieczeń, w tym struk-
1. POLITYKA BEZPIECZEC
STWA
turÄ™ szacowania i zarzÄ…dzania ryzykiem;
d) krótkie wyjaśnienie polityki bezpieczeństwa, zasad, norm i wymagań
1.1. Uwagi ogólne
zgodności mających szczególne znaczenie dla organizacji, zawiera-
jÄ…ce:
Zgodnie z ż 3 i ż 4 rozporządzenia administrator danych obowiąza-
1) zgodność z prawem, regulacjami wewnętrznymi i wymaganiami
ny jest do opracowania w formie pisemnej i wdrożenia polityki bezpie-
wynikającymi z umów;
czeństwa. Pojęcie  polityka bezpieczeństwa użyte w rozporządzeniu
2) wymagania dotyczące kształcenia, szkoleń i uświadamiania w dzie-
należy rozumieć  jako zestaw praw, reguł i praktycznych doświadczeń
dzinie bezpieczeństwa;
dotyczÄ…cych sposobu zarzÄ…dzania, ochrony i dystrybucji danych osobo-
3) zarządzanie ciągłością działania biznesowego;
wych wewnątrz określonej organizacji3. Należy zaznaczyć, że zgodnie
4) konsekwencje naruszenia polityki bezpieczeństwa;
z art. 36 ust. 2 oraz art. 39a ustawy, polityka bezpieczeństwa, o której
e) definicje ogólnych i szczególnych obowiązków w odniesieniu do za-
mowa w rozporządzeniu, powinna odnosić się całościowo do problemu
rządzania bezpieczeństwem informacji, w tym zgłaszania incydentów
zabezpieczenia danych osobowych u administratora danych tj. zarówno
związanych z bezpieczeństwem informacji;
do zabezpieczenia danych przetwarzanych tradycyjnie, jak i danych
f) odsyłacze do dokumentacji mogącej uzupełniać politykę, np. bardziej
przetwarzanych w systemach informatycznych. Jej celem jest wskaza-
szczegółowych polityk bezpieczeństwa i procedur dotyczących po-
nie działań, jakie należy wykonać oraz ustanowienie zasad i reguł po-
szczególnych systemów informatycznych lub zalecanych do przestrze-
stępowania, które należy stosować, aby właściwie zabezpieczyć dane
gania przez użytkowników zasad bezpieczeństwa.
osobowe.
Powyższe zalecenia w pełni można stosować do dokumentacji poli-
Polska Norma PN-ISO/IEC 17799:20054, określająca praktyczne za-
tyki bezpieczeństwa, o której mowa w ż 4 rozporządzenia. Dokument
sady zarządzania bezpieczeństwem informacji w obszarze technik infor-
określający politykę bezpieczeństwa nie może mieć zbyt abstrakcyjnego
matycznych, jako cel polityki bezpieczeństwa wskazuje  zapewnienie
charakteru. Zasady postępowania w niej wskazane powinny zawierać
kierunków działania i wsparcie kierownictwa dla bezpieczeństwa infor-
uzasadnienie wyjaśniające przyjęte standardy i wymagania. Jeżeli ma to
macji  . Należy przy tym podkreślić, że dokument polityki bezpieczeń-
miejsce, to rzadziej dochodzi do ich naruszenia5.
stwa powinien deklarować zaangażowanie kierownictwa i wyznaczać
Dokument, o którym mowa w ż 4 rozporządzenia, w zakresie przed-
3
PN-I-02000: Zabezpieczenia w systemach informatycznych  Terminologia, PKN,
miotowym powinien koncentrować się na bezpieczeństwie przetwarza-
1998.
4 5
PN-SIO/IEC-17799:2005 Technika informatyczna. Praktyczne zasady zarządzania Tomasz Pełech, Stosowanie zabezpieczeń danych w systemach korporacyjnych:
bezpieczeństwem informacji, PKN, 2007. dobra wola czy prawny obowiązek?,  Gazeta IT nr 18, listopad 2003 r.
8 9
nia danych osobowych, co wynika z art. 36 ustawy. Prawidłowe zarzą- chowuje się wszelkie nośniki informacji zawierające dane osobowe
dzanie zasobami, w tym również informacyjnymi, zwłaszcza w aspek- (szafy z dokumentacją papierową bądz
komputerowymi nośnikami in-
cie bezpieczeństwa informacji, wymaga właściwej identyfikacji tych
formacji z kopiami zapasowymi danych, stacje komputerowe, serwery
zasobów6 oraz określenia miejsca i sposobu ich przechowywania. Wy-
i inne urządzenia komputerowe, jak np. macierze dyskowe, na których
bór zaś odpowiednich dla poszczególnych zasobów metod zarządzania
dane osobowe są przetwarzane na bieżąco). Zgodnie z treścią ż 4
ich ochroną i dystrybucją zależny jest od zastosowanych nośników in-
punkt 1 rozporzÄ…dzenia miejsce przetwarzania danych osobowych po-
formacji, rodzaju urządzeń, sprzętu komputerowego i oprogramowania.
winno być określone poprzez wskazanie budynków, pomieszczeń lub
Stąd też w ż 4 rozporządzenia wskazano, że polityka bezpieczeństwa
części pomieszczeń, w których przetwarza się dane osobowe. Do ob-
powinna zawierać w szczególności następujące punkty:
szaru przetwarzania danych należy zaliczyć również pomieszczenia,
1) wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących
gdzie składowane są uszkodzone komputerowe nośniki danych (taśmy,
obszar, w którym przetwarzane są dane osobowe;
dyski, płyty CD, niesprawne komputery i inne urządzenia z nośnikami
2) wykaz zbiorów danych osobowych wraz ze wskazaniem programów
zawierajÄ…cymi dane osobowe). Do obszaru przetwarzania danych oso-
zastosowanych do przetwarzania tych danych;
bowych ich administrator powinien zaliczyć również miejsce w sejfie
3) opis struktury zbiorów danych wskazujący zawartość poszczegól-
bankowym, archiwum itp., jeśli wykorzystywane są one np. do prze-
nych pól informacyjnych i powiązania między nimi;
chowywania elektronicznych nośników informacji zawierających kopie
4) sposób przepływu danych pomiędzy poszczególnymi systemami;
zapasowe danych przetwarzanych w systemie informatycznym czy też
5) określenie środków technicznych i organizacyjnych niezbędnych dla
do składowania innych nośników danych, np. dokumentów z
ródło-
zapewnienia poufności, integralności i rozliczalności przy przetwarza-
wych.
niu danych.
Jeżeli dane osobowe przetwarzane są w systemie informatycznym,
do którego dostęp poprzez sieć telekomunikacyjną posiada wiele pod-
miotów, to w polityce bezpieczeństwa informacje o tych podmiotach
1.2. Wykaz budynków, pomieszczeń lub części pomieszczeń,
(jego nazwa, siedziba, pomieszczenia, w których przetwarzane są dane)
tworzących obszar, w którym przetwarzane są
powinny być również wymienione jako obszar przetwarzania danych.
dane osobowe
Wymóg powyższy nie dotyczy: sytuacji udostępniania danych osobo-
Określając obszar przetwarzania danych osobowych, należy pamię- wych użytkownikom, którzy dostęp do systemu uzyskują tylko z pra-
tać, iż zgodnie z ustawą, przetwarzaniem danych osobowych nazywa-
wem wglądu w swoje własne dane po wprowadzeniu właściwego iden-
my jakiekolwiek operacje wykonywane na danych osobowych, takie
tyfikatora i hasła (np. systemów stosowanych w uczelniach wyższych
jak: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienia-
do udostępniania studentom informacji o uzyskanych ocenach), a także
nie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się
systemów, do których dostęp z założenia ma charakter publiczny
w systemach informatycznych. W związku z powyższym, określanie
(np. książka telefoniczna zamieszczona w Internecie). W wyżej wymie-
obszaru pomieszczeń, w którym przetwarzane są dane osobowe, po-
nionych sytuacjach wystarczające jest wskazanie zarówno tych budyn-
winno obejmować zarówno te miejsca, w których wykonuje się opera-
ków i pomieszczeń, gdzie dane są przetwarzane przez administratorów
cje na nich (wpisuje, modyfikuje, kopiuje), jak również te, gdzie prze-
systemu informatycznego, jak i tych, w których dostęp do danych uzy-
6 skują osoby posiadające szerszy zakres uprawnień niż tylko wgląd do
PN-I-13335-1: Technika informatyczna. Wytyczne do zarządzania bezpieczeństwem
systemów informatycznych, PKN, 1999. swoich własnych danych lub danych udostępnianych publicznie.
10 11
1.3. Wykaz zbiorów danych osobowych
a) b)
a) b)
Dane kadrowe
wraz ze wskazaniem programów zastosowanych
oraz płacowe
Dane kadrowe
do przetwarzania tych danych
System
System
Kadrowo
Kadrowy
PÅ‚acowy
Ważnym elementem identyfikacji zasobów informacyjnych jest
wskazanie nazw zbiorów danych oraz systemów informatycznych uży-
wanych do ich przetwarzania. Stąd też, oprócz wskazania obszaru prze-
twarzania danych, polityka bezpieczeństwa powinna identyfikować
c) d)
c) d)
Dane kadrowe
Dane płacowe
zbiory danych osobowych oraz systemy informatyczne używane do ich
oraz płacowe
oraz niezb dne
przetwarzania. Gdy system zbudowany jest z wielu modułów progra-
System
dane kadrowe
mowych i mogą one pracować niezależnie  np. mogą być instalowane Kadrowy
System
na różnych stacjach komputerowych, wówczas wskazanie systemu po-
PÅ‚acowy
System
winno być wykonane z dokładnością do poszczególnych jego modułów.
PÅ‚acowy
Należy zauważyć również, iż jeden program może przetwarzać dane za-
warte zarówno w jednym, jak i wielu zbiorach. Sytuacja może być rów-
nież odwrotna, kiedy to wiele różnych programów przetwarza dane sta-
f)
e) f)
e)
Dane kadrowe
nowiące jeden zbiór. Programami tymi są najczęściej moduły zintegro-
Dane kadrowe
System
wanego systemu. Każdy taki moduł przeznaczony jest do wykonywania System
Kadrowy
Kadrowy
określonych, wydzielonych funkcjonalnie zadań. Przykładem mogą być
Przepływ
systemy kadrowy oraz płacowy, które często występują jako jeden zin-
danych
Przepływ
tegrowany system kadrowo-płacowy. Programy informatyczne mogą System
danych
PÅ‚acowy
być zintegrowane tworząc jeden system, z jednym lub wieloma zbiora-
Dane płacowe
System
mi danych (przykłady możliwych w tym zakresie konfiguracji przedsta-
Płacowy Dane płacowe
wia rys. 1).
Z powyższego wynika, że w części polityki bezpieczeństwa identy-
fikujÄ…cej zbiory danych osobowych oraz stosowane do ich przetwarza-
Rys. 1. Różne modele współpracy systemów informatycznych
nia programy powinny być zamieszczone nazwy zbiorów danych oso-
ze zbiorami danych; a), b), c)  jeden zbiór danych przetwarzany
bowych oraz nazwy używanych do ich przetwarzania programów kom-
przez jeden system; d)  dwa oddzielne systemy (moduły programowe)
puterowych. Wykaz ten powinien zawierać informacje precyzujące lo-
przetwarzajÄ… dane zawarte w jednym zbiorze; e), f)  dwa oddzielne systemy
kalizacjÄ™ miejsca (budynek, pomieszczenie, nazwa komputera lub inne-
(moduły programowe) przetwarzają dane zawarte w dwóch zbiorach
go urządzenia, np. macierzy dyskowej, biblioteki optycznej), w którym pomiędzy którymi występuje przepływ danych
znajdują się zbiory danych osobowych przetwarzane na bieżąco oraz
nazwy i lokalizacje programów (modułów programowych) używanych
do ich przetwarzania.
12 13
Tabela 1. Struktura zbioru zawierającego informacje o klientach, zamówieniach
1.4. Opis struktury zbiorów danych
i produktach
wskazujący zawartość poszczególnych pól informacyjnych
dane adresowe klienta: [identyfikator klienta, imiÄ™, nazwisko, adres (kod
i powiązania między nimi
pocztowy, miejscowość, ulica, nr domu/mieszkania)]
Zgodnie z ż 4 pkt 3 rozporządzenia dla każdego zidentyfikowanego
zamówienia klienta: [identyfikator zamówienia, identyfikator klienta,
zbioru danych powinien być wskazany opis jego struktury i zakres in-
nazwa towaru, ilość towaru, wartość zamówienia,
formacji w nim gromadzonych. Opisy poszczególnych pól informacyj-
data zamówienia, data odbioru]
nych w strukturze zbioru danych powinny jednoznacznie wskazywać,
sprzedawane towary: [identyfikator towaru, nazwa towaru, nazwa produ-
jakie kategorie danych sÄ… w nich przechowywane. Opis pola danych,
centa, data produkcji]
gdy możliwa jest niejednoznaczna interpretacja jego zawartości, powi-
nien wskazywać nie tylko kategorię danych, ale również format jej za-
Zakres przetwarzanych o kliencie danych (oznaczony wyżej jako
pisu i/lub określone w danym kontekście znaczenie. Za niewystarczają-
 Zakres 1 ), jak łatwo zauważyć, powstał na skutek relacji, jaka istnieje
cy należy uznać np. opis jednoznakowego pola w postaci  Zgoda na prze-
pomiędzy obiektami  dane adresowe klienta i  zamówienia klienta .
twarzanie danych osobowych dla celów marketingowych , jeśli nie do-
Relacja ta (rys. 2) spowodowała, że zakres danych, zawarty w obiekcie
damy, że w pole to należy wpisywać literę  T w wypadku wyrażenia
 dane adresowe klienta , powiększony został o dane zawarte w obiek-
zgody lub literę  N w razie jej braku. Brak stosownego opisu może
tach  zamówienia klienta . Warto tutaj zauważyć, że w obiekcie ozna-
spowodować inne niż zakładano sposoby zapisu oraz interpretacji okre-
czonym  zamówienia klienta zamawiany towar wskazany został bez-
ślonej informacji.
pośrednio poprzez określenie jego nazwy, a nie relacji z obiektem,
Przykładowo, jeśli w zbiorze przetwarzane są informacje o danych
w którym opisane są wszystkie dane na jego temat. Zapis taki spowo-
adresowych klienta, zamówieniach klientów oraz sprzedawanych towa-
dował, że dane o sprzedawanych towarach zapisane w obiektach ozna-
rach (w zakresie przedstawionym w tabeli 1), to z relacji ustanowio-
czonych sprzedawane towary, pomimo że fizycznie znajdują się w tym
nych za pośrednictwem pola o nazwie identyfikatora klienta pomiędzy
obiektami:  dane adresowe klienta i  zamówienia klienta wynika, że
w zbiorze tym przetwarzane są informacje o klientach w następującym
Identy- ImiÄ™ Nazwi- Kod Miejsco- Ulica Nr domu/
zakresie:
sko pocz- wość mieszkania
fikator
towy
klienta
Zakres 1: [imię, nazwisko, adres (kod pocztowy, miejscowość, ulica,
nr domu/mieszkania), nazwa towaru, ilość towaru, wartość
zamówienia, data zamówienia, data odbioru], oraz infor- Identyfi- Identyfi- Nazwa Ilość Wartość Data Data
kator za- kator
towaru towaru zamó- zamó- odbioru
macje o towarach w zakresie:
mówienia wienia wienia
klienta
Zakres 2: [identyfikator towaru, nazwa towaru, nazwa producenta,
data produkcji].
Rys. 2. Zakres danych osobowych (pola oznaczone szarym tłem)
przetwarzanych w zbiorze zawierajÄ…cym informacje
o danych adresowych klienta oraz zamówieniach
14 15
samym zbiorze danych, nie poszerzajÄ… zakresu danych o kliencie, ozna-
Identyfi- ImiÄ™ Nazwi- Kod Miejsco- Ulica Nr domu/
czonym jako  Zakres 1 .
kator sko pocz- wość mieszkania
Jeżeli chodzi o relacyjne bazy danych, to praktycznie każdą infor- klienta towy
mację można zapisać poprzez utworzenie odpowiedniej relacji. Dla
struktury przedstawionej w tabeli 1 informacje o nazwie zamawianego
Identyfika- Identy- Identyfika- Ilość Wartość Data Data
towaru w zamówieniach klientów można zapisać alternatywnie w po-
tor zamó- fikator tor towaru towaru zamówie- zamó- odbioru
staci relacji, co pokazuje tabela 2, a także rys. 3.
wienia klienta nia wienia
Tabela 2. Struktura zbioru zawierajÄ…cego informacje o klientach,
Identyfika- Nazwa Nazwa Data
zamówieniach i towarach z informacją o zamówionym towarze
tor towaru towaru produ- produk-
zapisanÄ… w postaci relacji
centa cji
dane adresowe klienta: [identyfikator klienta, imiÄ™, nazwisko, adres (kod
pocztowy, miejscowość, ulica, nr domu/mieszka-
Rys. 3. Zakres danych osobowych (pola oznaczone szarym tłem)
nia)]
przetwarzanych w zbiorze zawierajÄ…cym informacje
zamówienia klienta: [identyfikator zamówienia, identyfikator klienta,
o danych adresowych klienta, zamówieniach oraz sprzedawanych towarach
identyfikator towaru, ilość towaru, wartość zamó-
wienia, data zamówienia, data odbioru]
Analizując powyższy przykład, można zauważyć, że istniejące w struk-
sprzedawane towary: [identyfikator towaru, nazwa towaru, nazwa pro-
turze zbioru danych relacje pomiędzy opisami poszczególnych obiek-
ducenta, data produkcji]
tów w istotny sposób wpływają na rzeczywisty zakres przetwarzanych
informacji o wskazanym obiekcie.
Przedstawiona powyżej, na pozór niewielka, zmiana w strukturze
Skróty i oznaczenia poszczególnych kategorii danych oraz indeksy
opisu obiektów w zbiorze danych powoduje, że na skutek wprowadzo-
i klucze wprowadzane ze względów technicznych w celu podwyższenia
nej dodatkowo relacji pomiędzy zamówieniami klientów i sprzedawa-
efektywności przetwarzania, sprawiają często, że techniczny opis struk-
nymi produktami, zakres przetwarzanych informacji o klientach i wy-
tury zbioru danych, a zwłaszcza postać, w jakiej ta struktura jest zapisa-
konywanych przez nich zakupach powiększa się do zakresu:
na w systemie informatycznym, nie zawsze sÄ… wystarczajÄ…co przejrzy-
ste. Zatem, stosując się do ż 4 pkt 3 rozporządzenia, należy w polityce
Zakres 3: [imię, nazwisko, adres (kod pocztowy, miejscowość, ulica,
bezpieczeństwa wskazać poszczególne grupy informacji oraz istniejące
nr domu/mieszkania), nazwa towaru, nazwa producenta, data
produkcji, ilość towaru, wartość zamówienia, data zamó- między nimi relacje  identyfikując w ten sposób pełny zakres danych
wienia, data odbioru]. osobowych, jakie przetwarzane są w określonym zbiorze. Przy opisie
struktury zbiorów danych nie jest konieczne przedstawianie pełnej do-
kumentacji struktury bazy danych z wyszczególnieniem oryginalnych
nazw poszczególnych pól informacyjnych, stosowanych kluczy czy też
definicji wbudowanych obiektów funkcyjnych takich jak: procedury,
funkcje, pakiety i wyzwalacze. SÄ… to obiekty zapisane w bazie danych,
tak jak inne dane. Mogą być nimi procedury i funkcje, które mogą być
póz
niej używane przez aplikacje służące do przetwarzania danych. Pro-
16 17
cedury, które uruchamiane są przy zajściu określonego zdarzenia nazy- Należy pamiętać, że opis struktury zbiorów, o którym mowa w ż 4
wane są wyzwalaczami (ang. Trigger)7. pkt 3 rozporządzenia, powinien być przedstawiony w sposób czytelny
Wymóg wskazania powiązań pomiędzy polami informacyjnymi i zrozumiały.
w strukturze zbiorów danych, określony w ż 4 pkt 3 rozporządzenia,
należy rozumieć jako wymóg wskazania wszystkich tych danych znaj-
dujących się w strukturze zbioru, które poprzez występujące relacje
1.5. Sposób przepływu danych pomiędzy
można skojarzyć z określoną osobą. Przykładowo, ze struktury zbioru
poszczególnymi systemami (ż 4 pkt 4 rozporządzenia)
pokazanej w tabeli 1 wynika, iż do danych, które można skojarzyć
W punkcie tym należy przedstawić sposób współpracy pomiędzy
z osobą o podanym imieniu i nazwisku, należą nie tylko dane zawarte
różnymi systemami informatycznymi oraz relacje, jakie istnieją pomię-
w stosownej części tej tabeli, ale również dane znajdujące się w obiek-
dzy danymi zgromadzonymi w zbiorach, do przetwarzania których sys-
cie o nazwie  zamówienia klienta . Połączenie to, zgodnie z definicją
temy te są wykorzystywane. Przedstawiając przepływ danych, można
danych osobowych, powoduje poszerzenie zakresu danych osobowych
posłużyć się np. schematami (rys. 1), które wskazują, z jakimi zbiorami
klienta o dane zawarte w obiekcie  zamówienia klienta .
danych system lub moduł systemu współpracuje, czy przepływ infor-
W ż 4 pkt 3 rozporządzenia wyraz
nie wskazano, że w polityce bez-
macji pomiędzy zbiorem danych a systemem informatycznym jest jed-
pieczeństwa ma być zawarty opis struktury zbiorów wskazujący zawar-
nokierunkowy (np. informacje pobierane sÄ… tylko do odczytu) czy dwu-
tość poszczególnych pól informacyjnych i powiązania między nimi.
kierunkowy (do odczytu i do zapisu). W opisie sposobu przepływu da-
Opis ten może być przedstawiony w postaci formalnej (tak jak np. w ta-
nych pomiędzy poszczególnymi systemami należy zamieścić również
belach 1, 2), w postaci graficznej pokazujÄ…cej istniejÄ…ce powiÄ…zania po-
informacje o danych, które przenoszone są pomiędzy systemami w spo-
między obiektami (rys. 1, 2), jak również w formie opisu tekstowego,
sób manualny (przy wykorzystaniu zewnętrznych nośników danych)
który dla przypadku wskazanego w tabeli 1 może być następujący:
lub półautomatycznie (za pomocą teletransmisji, przy wykorzystaniu
W zbiorze danych przetwarzane są dane osobowe klientów w zakre-
specjalnych funkcji eksportu/importu danych). Taki przepływ występuje
sie:
np. często pomiędzy systemami kadrowym i płacowym (rys. 1 pkt f)
1) danych adresowych klienta (imiÄ™, nazwisko, kod pocztowy, miejsco-
oraz pomiędzy systemami kadrowym i płacowym a systemem płatnik
wość, ulica, nr domu), oraz
służącym do rozliczeń pracowników z ZUS. Dla identyfikacji procesów
2) wszystkich składanych przez danego klienta zamówieniach (nazwa
przetwarzania danych osobowych szczególne znaczenie ma specyfika-
towaru, ilość towaru, wartość zamówienia, data zamówienia i data
cja ich przepływu w systemach z rozproszonymi bazami danych. Cho-
odbioru).
dzi tu o sytuację, w której poszczególne podzbiory zlokalizowane są
W przytoczonym przykładzie opisu tekstowego informacja o powią-
w różnych miejscach oddalonych od siebie terytorialnie i mogą zawie-
zaniach pomiędzy poszczególnymi polami informacyjnymi występują-
rać, w zależności od lokalizacji, różne informacje (tzw. niejednorodne
cymi w strukturze zbioru została przedstawiona w tekście poprzez wska-
oraz federacyjne bazy danych)8. Dla systemów korporacyjnych o zasię-
zanie w punkcie 2, że w strukturze zbioru są też informacje o wszyst-
gu międzynarodowym, informacja o przepływie danych pomiędzy od-
kich składanych przez danego klienta zamówieniach (powiązanie zamó-
działami korporacji znajdującymi się w państwach nienależących do
wienia z danymi klienta, które należy rozumieć jako dane adresowe
Europejskiego Obszaru Gospodarczego musi być traktowana jako prze-
wymienione w punkcie 1).
7
8
Tomasz Pełech, Stosowanie zabezpieczeń danych w systemach korporacyjnych:
Podstawy bezpieczeństwa systemów teleinformatycznych, red. Andrzej Białas, Gli-
dobra wola czy prawny obowiÄ…zek?,  Gazeta IT nr 18, listopad 2003 r. wice 2002; Paul Beynon-Davies, Systemy baz danych, Warszawa 1998.
18 19
1
9
w punkcie 4 wymaganych dla poszczególnych systemów informatycz-
pływ danych do państwa trzeciego9 z wynikającymi z tego tytułu kon-
nych poziomów bezpieczeństwa.
sekwencjami10. W polityce bezpieczeństwa w punkcie określającym
sposób przepływu danych pomiędzy systemami nie jest wymagane
szczegółowe omawianie rozwiązań technologicznych. Najistotniejsze
1.6. Określenie środków technicznych i organizacyjnych
jest wskazanie zakresu przesyłanych danych, podmiotu lub kategorii
niezbędnych dla zapewnienia poufności, integralności
podmiotów, do których są one przekazywane oraz ogólnych informacji
i rozliczalności przy przetwarzaniu danych
na temat sposobów ich przesyłania (Internet, poczta elektroniczna, inne
rozwiązania), które mogą decydować o rodzaju narzędzi niezbędnych
W tej części polityki bezpieczeństwa należy określić środki technicz-
do zapewnienia ich bezpieczeństwa podczas teletransmisji.
ne i organizacyjne niezbędne dla zapewnienia przetwarzanym danym po-
Przepływ danych pomiędzy poszczególnymi systemami informa-
ufności, integralności, dostępności, rozliczalności, autentyczności, nieza-
tycznymi, z punktu widzenia analizy zakresu przetwarzanych danych,
przeczalności i niezawodności. Środki te powinny zapewnić zachowanie
można porównać do opisu relacji pomiędzy poszczególnymi polami in-
ww. właściwości dla wszelkich działań związanych z przetwarzaniem da-
formacyjnymi w strukturach zbiorów danych, co przedstawiono w punk-
nych osobowych. Należy pamiętać, iż środki te powinny być określone
cie 1.3. Przy przepływie danych pomiędzy systemami informatycznymi
po uprzednim przeprowadzeniu wnikliwej analizy zagrożeń i ryzyka
relacje, jakie powstają pomiędzy danymi przetwarzanymi w zbiorach
zwiÄ…zanych z przetwarzaniem danych osobowych. Analiza ta powinna
poszczególnych systemów, nie wynikają z ich struktury. W razie prze-
obejmować cały proces przetwarzania danych osobowych i uwzględniać
pływu danych pomiędzy systemami dane z poszczególnych zbiorów łą-
podatność stosowanych systemów informatycznych na określone zagro-
czone są dynamicznie poprzez wykonanie określonych funkcji systemu
żenia. Przez  podatność systemu należy rozumieć słabość w systemie,
lub odpowiednio zdefiniowanych procedur zewnętrznych.
która może umożliwić zaistnienie zagrożenia, np. włamania do systemu
Poprawne wykonanie zadań wymienionych w punktach 2 i 3 polity-
i utraty poufności danych. Podatność taka może np. polegać na braku me-
ki bezpieczeństwa oraz przeprowadzona analiza przepływu danych po-
chanizmu kontroli dostępu do danych, co może spowodować zagrożenie
winna dać odpowiedz
co do klasyfikacji poszczególnych systemów in-
przetwarzania danych, przez nieupoważnione osoby. Analizując środowi-
formatycznych z punktu widzenia kategorii przetwarzanych danych
sko przetwarzania danych, należy ocenić ryzyko zaistnienia określonych
osobowych. Klasyfikacja ta powinna w szczególności wykazać, czy
zagrożeń. Ryzykiem tym może być prawdopodobieństwo wykorzystania
w danym systemie informatycznym sÄ… przetwarzane dane osobowe
określonej podatności systemu na istniejące w danym środowisku zagro-
podlegające szczególnej ochronie, o których mowa w art. 27 ustawy, żenia. Dlatego zastosowane środki techniczne i organizacyjne powinny
czy też nie. Informacje te uzupełnione o dane dotyczące środowiska być adekwatne do zagrożeń wynikających ze sposobu przetwarzania da-
pracy poszczególnych systemów oraz ich ewentualne połączenie z sie- nych i środowiska, w jakim ten proces ma miejsce, a także do kategorii
cią publiczną powinny dać odpowiedz
w kwestii wyboru odpowiednie- przetwarzanych danych osobowych. Środki te powinny zapewniać rozli-
go poziomu bezpieczeństwa, o czym mowa w ż 6 rozporządzenia. Ina- czalność wszelkich działań (osób i systemów) podejmowanych w celu
czej mówiąc, podsumowaniem wykazów i opisów, o których mowa przetwarzania danych osobowych. Powinny one spełniać wymogi okre-
ślone w art. 36 39 ustawy oraz być adekwatne do wymaganych pozio-
w punktach 1, 2 i 3 polityki bezpieczeństwa powinno być wskazanie
mów bezpieczeństwa, o których mowa w ż 6 rozporządzenia. W odnie-
9
Przez państwo trzecie rozumie się  zgodnie z art. 7 pkt 7 ustawy o ochronie da-
sieniu do rozliczalności działań podejmowanych przy przetwarzaniu da-
nych osobowych  państwo nienależące do Europejskiego Obszaru Gospodarczego.
nych osobowych zastosowane środki powinny w szczególności wspoma-
10
Wymogi związane z przekazywaniem danych osobowych do państwa trzeciego
gać kontrolę administratora nad tym, jakie dane osobowe i przez kogo
określone zostały w art. 18 ust. 1 pkt 4, art. 41 ust. 1 pkt 7, art. 47 oraz art. 48 ustawy
o ochronie danych osobowych. zostały do zbioru wprowadzone (art. 38 ustawy).
20 21
Ryzykiem dla przetwarzania danych osobowych w systemie infor- Opis środków, o których mowa w ż 4 pkt 5 rozporządzenia, powi-
nien obejmować zarówno środki techniczne, jak i organizacyjne. Przy-
matycznym podłączonym do sieci Internet jest np. możliwość przejęcia
kładowo w odniesieniu do stosowanych mechanizmów uwierzytelniania
lub podglądu tych danych przez osoby nieupoważnione. Ryzyko to bę-
powinny być wskazane i opisane zarówno zagadnienia dotyczące uwie-
dzie tym większe im mniej skuteczne zabezpieczenia będą stosowane.
rzytelnienia użytkowników w systemach informatycznych, jak i odno-
Sygnalizacja istniejącego zagrożenia pozwala podjąć odpowiednie dzia-
szące się do uwierzytelnienia przy wejściu (wyjściu) do określonych
łania zapobiegawcze. Ważna jest często sama świadomość istnienia
pomieszczeń, a także sposób rejestracji wejść (wyjść) itp. W wypadku
określonych zagrożeń, wynikających np. z przetwarzania danych w sys-
stosowania narzędzi specjalistycznych (np. zapór ogniowych  chronią-
temie informatycznym podłączonym do sieci Internet czy też spowodo-
cych system informatyczny przed atakami z zewnątrz; systemów wy-
wanych stosowaniem niesprawdzonych pod względem bezpieczeństwa
krywania intruzów  ang. Intrusion Detection System  IDS), należy
technologii bezprzewodowej transmisji danych. Zidentyfikowane zagro-
wskazać w polityce bezpieczeństwa, czy środki takie są stosowane,
żenia można minimalizować m.in. poprzez stosowanie systemów anty-
w jakim zakresie i w odniesieniu do jakich zasobów. W polityce bezpie-
wirusowych, mechanizmów szyfrowania, systemów izolacji i selekcji
czeństwa  dokumencie udostępnianym do wiadomości wszystkim pra-
połączeń z siecią zewnętrzną (firewall) itp. Dla dużych systemów infor-
cownikom  nie należy opisywać szczegółów dotyczących charaktery-
matycznych (systemów połączonych z sieciami publicznymi, systemów
styki technicznej i konfiguracji stosowanych narzędzi. Dokumenty tego
z rozproszonymi bazami danych itp.) wybór właściwych środków wy-
dotyczące powinny być objęte stosowną ochroną przed dostępem do
maga posiadania wiedzy specjalistycznej. W takich sytuacjach prawi-
nich osób nieupoważnionych.
dłowe opracowanie polityki bezpieczeństwa przetwarzania danych oso-
bowych jest procesem złożonym, wymagającym m.in. znajomości pod-
stawowych pojęć i modeli używanych do opisywania sposobów zarzą-
1.7. Zapewnienie dokumentacji
dzania bezpieczeństwem systemów informatycznych. Pojęcia i modele,
i ciągłości doskonalenia zabezpieczeń
o których mowa, jak również zagadnienia dotyczące zarządzania i pla-
W celu należytego wykonania ww. zadań art. 36 ust. 2 ustawy zobo-
nowania bezpieczeństwa systemów informatycznych, opisane zostały
wiązuje administratorów danych do prowadzenia dokumentacji opisują-
m.in. w Polskich Normach11.
cej sposób przetwarzania danych oraz środki techniczne i organizacyjne
Podczas określania środków technicznych i organizacyjnych nie-
zastosowane w celu zapewnienia ich ochrony. Z kolei ust. 3 obliguje ad-
zbędnych dla zapewnienia poufności i integralności przetwarzanych da-
ministratora do wyznaczenia administratora bezpieczeństwa informacji,
nych, jak również rozliczalności podejmowanych w tym celu działań,
nadzorującego przestrzeganie przyjętych zasad i monitorującego sku-
należy kierować się m.in. klasyfikacją poziomów bezpieczeństwa wpro-
teczność działania zastosowanych środków ochrony. Jest to konieczne
wadzoną w ż 6 rozporządzenia. Dla każdego z wymienionych tam po-
ze względu na złożoność problemu stosowania zabezpieczeń, na którą
ziomów (powinny być one zidentyfikowane po wykonaniu zadań wy-
składają się czynniki stawiające broniącego na pozycji gorszej od ata-
mienionych w punktach 2, 3 i 4 polityki bezpieczeństwa) niezbędne jest
kującego12. Do czynników tych należą: asymetria, zależność od otocze-
zapewnienie środków bezpieczeństwa spełniających co najmniej mini-
nia oraz ciągłość działania. Asymetria działań mających na celu zabez-
malne wymagania określone w załączniku do rozporządzenia.
12
http://wazniak.mimuw.edu.pl  informacje publikowane w ramach projektu Opra-
11
PN-SIO/IEC-17799:2005 Technika informatyczna. Praktyczne zasady zarządzania cowanie programów nauczania na odległość na kierunku studiów wyższych  Informaty-
bezpieczeństwem informacji, PKN, 2007; PN-I-13335-1: Technika informatyczna. Wy- ka sfinansowanego ze środków Europejskiego Funduszu Społecznego z programu Sekto-
tyczne do zarządzania bezpieczeństwem systemów informatycznych, PKN, 1999. rowy Program Operacyjny Rozwój Zasobów Ludzkich 2004 2006.
22 23
pieczenie systemu polega na tym, że: aby skutecznie zabezpieczyć sys- 2.1. Minimalne wymagania wynikające z potrzeb
tem należy usunąć wszystkie słabości, podczas gdy wystarczy znalez
ć
zapewnienia bezpieczeństwa
jedną, aby skutecznie zaatakować.
W tej grupie wymagań funkcjonalnych wymienione są warunki, ja-
Zależność od otoczenia  to z kolei wpływ całego otoczenia syste-
kim powinny odpowiadać systemy informatyczne, aby zapewnić prze-
mu, środowiska informatycznego, w jakim dany system przetwarzania
twarzanym danym bezpieczeństwo przed ich nieuprawnionym ujawnie-
danych funkcjonuje, na jego bezpieczeństwo. Inne zagrożenia wystąpią
niem, zmianami lub zniszczeniem. Wymagania te wynikajÄ… wprost
np. w sieci lokalnej określonej organizacji, niemającej styku z siecią
z obowiÄ…zku zabezpieczenia danych (art. 36 ustawy) i zachowania nad
publiczną, a inne, gdy dany system funkcjonuje w środowisku sieci In-
nimi kontroli (art. 37 i 38 ustawy). Konkretne środki, jakie należy za-
ternet.
stosować, będą zależne od infrastruktury technicznej i wielkości używa-
Ciągłość działania to z kolei wymóg permanentnego monitorowania
nego systemu informatycznego. Minimalne wymogi, jakie powinny być
i aktualizacji zastosowanych środków bezpieczeństwa. Jakakolwiek zmia-
spełnione, określone zostały w załączniku do rozporządzenia. Uzależ-
na struktury systemu czy też dodanie nowych usług każdorazowo wy-
maga jego weryfikacji pod względem zagrożeń i ryzyka, na jakie prze- nione są one od ryzyka i zagrożeń, na jakie narażone są przetwarzane
twarzane dane mogą być narażone i tym samym  weryfikacji zastoso- dane.
wanych środków bezpieczeństwa.
2.1.1. Minimalne wymagania funkcjonalne
dotyczące kontroli dostępu do danych
2. PODSTAWOWE WYMAGANIA DOTYCZ
CE
Minimalne wymagania dotyczące funkcjonalności używanego do prze-
FUNKCJONALNOÅšCI SYSTEMU INFORMATYCZNEGO
twarzania danych systemu informatycznego określone zostały w części A
ww. załącznika w punkcie II, który brzmi: W systemie informatycznym
służącym do przetwarzania danych osobowych stosuje się mechanizmy
W odniesieniu do systemów informatycznych ustawa wprowadziła
kontroli dostępu do tych danych.
szereg przepisów dotyczących zarówno ich bezpieczeństwa, jak i funk-
Jeżeli dostęp do danych przetwarzanych w systemie informatycznym
cjonalności. Celem tych regulacji jest zapewnienie, aby systemy infor-
posiadają co najmniej dwie osoby, wówczas zapewnia się, aby:
matyczne, używane do przetwarzania danych osobowych, posiadały
a) w systemie tym rejestrowany był dla każdego użytkownika odrębny
takie funkcje i mechanizmy, które będą wspomagały administratora
identyfikator;
w wywiązywaniu się z nałożonych na niego obowiązków. Wymagania
b) dostęp do danych był możliwy wyłącznie po wprowadzeniu identyfi-
te można podzielić najogólniej na dwie grupy. Pierwsza  to wymaga-
nia mające na celu zapewnienie ścisłej kontroli nad przetwarzanymi da- katora i dokonaniu uwierzytelnienia.
nymi. Natomiast druga  to wymagania wynikające z uprawnień osób, Z przepisu tego wynika, że  poza wyjątkiem, kiedy dane przetwa-
których dane są przetwarzane. rzane są przy użyciu jednego komputera, przez jedną osobę  system
informatyczny wykorzystywany do przetwarzania danych musi być wy-
posażony w mechanizmy kontroli dostępu. Ustawodawca przy nakłada-
niu tego obowiązku wyszedł z założenia, że gdy dostęp do danych po-
siada wyłącznie jedna osoba, w celu zapewnienia informacji o tym, kto
wprowadził dane do tego systemu wystarczy zabezpieczyć cały system
przed dostępem innych osób. W praktyce oznacza to, że system taki
24 25
może być zainstalowany wyłącznie na jednej stacji komputerowej, do Metody wykorzystujące dane biometryczne charakterystyczne dla
której dostęp jest ograniczony tylko dla jednej osoby. danego użytkownika, zwane metodami typu kim jestem. Uwierzytel-
We wszystkich pozostałych sytuacjach dostęp do systemu informa- nienie wykonywane jest w nich poprzez porównanie danych biome-
tycznego zabezpieczony powinien być za pomocą mechanizmów uwie- trycznych przypisanych w systemie użytkownikowi o danym identyfi-
rzytelnienia, gdzie każdemu użytkownikowi przypisuje się jednoznacz- katorze z danymi biometrycznymi charakteryzującymi uwierzytelniają-
ny identyfikator oraz dane służące uwierzytelnieniu. W celu uzyskania cą się osobę.
dostępu do tak zabezpieczonego systemu użytkownik musi wprowadzić W razie wykorzystywania metody uwierzytelniania, bazującej na
swój identyfikator i przypisane mu dane uwierzytelniające. Kontrolę identyfikatorze użytkownika i haśle, wymagane jest, aby długość hasła
dostępu uzyskuje się w tym wypadku poprzez przypisanie w systemie składała się co najmniej z 6 znaków, gdy wymaganym poziomem bez-
danemu użytkownikowi odpowiednich uprawnień, a także poprzez za- pieczeństwa jest poziom podstawowy, i 8 znaków, jeśli mamy do czy-
pewnienie, że dane służące uwierzytelnieniu zna tylko użytkownik, któ- nienia z podwyższonym lub wysokim poziomem bezpieczeństwa. Ten
rego one dotyczą. Dostęp do określonych informacji czy też funkcji słu- ostatni wymóg zapisany jest w części B ww. załącznika, w punkcie VIII,
żących wykonywaniu określonych operacji na danych powinien być który brzmi następująco: W przypadku gdy do uwierzytelniania użyt-
przyznawany zgodnie z nadanymi dla konkretnego użytkownika upraw- kowników używa się hasła, składa się ono co najmniej z 8 znaków, za-
nieniami. Ponadto, wykonywane przez niego operacje (w razie ich reje- wiera małe i wielkie litery oraz cyfry lub znaki specjalne.
strowania) powinny być opatrywane jego identyfikatorem. W szczegól-
ności, gdy przedmiotem wykonywanych operacji jest wprowadzenie
danych osobowych, w bazie systemu wraz z wprowadzonymi danymi
2.2. Minimalne wymagania funkcjonalne wynikajÄ…ce
powinien być odnotowany identyfikator użytkownika, który wprowa-
z obowiÄ…zku informacyjnego
dzał te dane i data ich wprowadzenia.
Wymagania dotyczące obowiązku informacyjnego określają zakres
danych, jakie powinny być rejestrowane w systemie informatycznym.
2.1.2. Minimalne wymagania dotyczÄ…ce systemu uwierzytelnienia
Ich posiadanie przez administratora danych jest niezbędne dla wykona-
W rozporządzeniu nie określa się metod uwierzytelnienia, jakie po- nia obowiązku informacyjnego określonego w art. 32 ust. 1 pkty 3 5
winny być stosowane. Może to być jedna z trzech znanych, wymienio- ustawy. Stanowią one, że: każdej osobie przysługuje prawo do kontroli
nych poniżej metod lub dowolna ich kombinacja. przetwarzania danych, które jej dotyczą, zawartych w zbiorach danych,
a zwłaszcza prawo do:
[...]
Najbardziej znane metody uwierzytelnienia
3) uzyskania informacji, od kiedy przetwarza siÄ™ w zbiorze dane jej do-
Metoda wykorzystująca znany tylko danemu użytkownikowi sekret, tyczące, oraz podania w powszechnie zrozumiałej formie treści tych
nazywana również metodą typu co wiem. Jest najczęściej stosowana. danych,
Uwierzytelnienie użytkownika polega w niej na wprowadzeniu identyfi- 4) uzyskania informacji o z
ródle, z którego pochodzą dane jej dotyczą-
katora i znanego tylko temu użytkownikowi hasła. ce, chyba że administrator danych jest zobowiązany do zachowania
Metoda wykorzystująca posiadanie przedmiotu o określonych wła- w tym zakresie tajemnicy państwowej, służbowej lub zawodowej,
snościach, nazywana również metodą typu co posiadam. Polega ona na 5) uzyskania informacji o sposobie udostępniania danych, a w szcze-
weryfikacji cech dostarczonego przez uwierzytelniającą się osobę przed- gólności informacji o odbiorcach lub kategoriach odbiorców, którym
miotu, np. karty magnetycznej, karty mikroprocesorowej tokenu, itp. dane te są udostępniane.
26 27
Sposób wykonania tego obowiązku sprecyzowany został w ż 7 ust. 1 jego całość. W praktyce jednak bardzo często spotykane są rozwiązania
rozporządzenia, którego treść jest następująca: Dla każdej osoby, której cząstkowe, w których do przetwarzania danych używa się wielu róż-
dane osobowe są przetwarzane w systemie informatycznym  z wy- nych systemów dostosowanych do realizacji wąskiego zakresu zadań,
jątkiem systemów służących do przetwarzania danych osobowych instalowanych często na wydzielonych stanowiskach komputerowych.
ograniczonych wyłącznie do edycji tekstu w celu udostępnienia go Systemy takie nie zawsze posiadają wszystkie wymagane funkcjonalno-
na piśmie  system ten zapewnia odnotowanie: ści, o których mowa w ż 7 ust. 1 rozporządzenia. Dotyczy to zwłaszcza
1) daty pierwszego wprowadzenia danych do systemu; funkcjonalności umożliwiającej odnotowywanie informacji o odbior-
2) identyfikatora użytkownika wprowadzającego dane osobowe do sys- cach, w rozumieniu art. 7 pkt 6 ustawy, którym dane osobowe zostały
udostępnione oraz dacie i zakresie tego udostępnienia. Wyjściem ratun-
temu, chyba że dostęp do systemu informatycznego i przetwarzanych
kowym dla administratora danych w takiej sytuacji jest rozwiÄ…zanie or-
w nim danych posiada wyłącznie jedna osoba;
ganizacyjne wskazane w ż 7 ust. 4 rozporządzenia, które mówi, że
3) z
ródła danych, w przypadku zbierania danych, nie od osoby, której
w przypadku przetwarzania danych osobowych, w co najmniej dwóch
one dotyczÄ…;
systemach informatycznych, wymagania, o których mowa w ust. 1 pkt 4,
4) informacji o odbiorcach, w rozumieniu art. 7 pkt 6 ustawy, którym
mogą być realizowane w jednym z nich lub w odrębnym systemie infor-
dane osobowe zostały udostępnione, dacie i zakresie tego udostęp-
matycznym przeznaczonym do tego celu.
nienia, chyba że system informatyczny używany jest do przetwarza-
nia danych zawartych w zbiorach jawnych;
5) sprzeciwu, o którym mowa w art. 32 ust. 1 pkt 8 ustawy.
A
atwo zauważyć, że obligatoryjność odnotowywania daty wprowa-
3. POZIOMY BEZPIECZEC
STWA
dzenia danych oraz identyfikatora użytkownika wynika, nie tylko z obo-
SYSTEMU INFORMATYCZNEGO
wiązku informacyjnego, ale również z określonego w art. 38 ustawy,
obowiÄ…zku zachowania kontroli nad tym, jakie dane osobowe, kiedy
Obowiązek stosowania przez administratorów danych odpowiednich
i przez kogo zostały do zbioru wprowadzone. Stąd też w przepisach
zabezpieczeń systemu informatycznego zapisany został w art. 36 39a
rozporzÄ…dzenia postawiono dodatkowe warunki dotyczÄ…ce sposobu ich
ustawy. W art. 36 ust. 1 wymaga siÄ™, aby administrator danych zastoso-
odnotowywania, mające zapewnić, aby dane nie mogły być modyfiko-
wał środki techniczne i organizacyjne zapewniające ochronę przetwa-
wane przez użytkownika w sposób nieuprawniony. Warunki te określa
rzanych danych osobowych odpowiednią do zagrożeń oraz kategorii
ż 7 ust. 2 rozporządzenia, stanowiąc, że odnotowanie informacji, o któ-
danych objętych ochroną, a w szczególności, aby zabezpieczył dane
rych mowa w ust. 1 pkt 1 i 2, następuje automatycznie po zatwierdzeniu
przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez
przez użytkownika operacji wprowadzenia danych.
osobÄ™ nieuprawnionÄ…, przetwarzaniem z naruszeniem ustawy oraz zmia-
nÄ…, utratÄ…, uszkodzeniem lub zniszczeniem.
W ż 6 rozporządzenia wprowadzony został podział wymaganych za-
2.3. Niestandardowe sposoby realizacji
bezpieczeń na 3 następujące poziomy: podstawowy, podwyższony i wy-
minimalnych wymagań funkcjonalnych
soki.
Standardowo, jeżeli system informatyczny, służący do przetwarza- Zabezpieczenia na poziomie co najmniej podstawowym należy sto-
nia danych osobowych, jest budowany z uwzględnieniem wymagań sować, gdy:
funkcjonalnych określonych w ż 7 ust. 1 rozporządzenia, to wszystkie 1) w systemie informatycznym nie są przetwarzane dane, o których mowa
wymagane funkcjonalności powinny zostać wbudowane jako integralna w art. 27 ustawy, oraz
28 29
Tabela 3. Wykaz minimalnych środków bezpieczeństwa wymaganych
2) żadne z urządzeń systemu informatycznego, służącego do przetwa-
do osiągnięcia podstawowego poziomu bezpieczeństwa
rzania danych osobowych nie jest połączone z siecią publiczną.
Zabezpieczenia na poziomie co najmniej podwyższonym należy sto-
Lp. Opis wymaganych rozwiązań technicznych lub organizacyjnych
sować, gdy:
I. 1. Obszar, o którym mowa w ż 4 pkt 1 rozporządzenia, zabezpiecza się
1) w systemie informatycznym przetwarzane są dane osobowe, o któ-
przed dostępem osób nieuprawnionych na czas nieobecności w nim osób
rych mowa w art. 27 ustawy, oraz
upoważnionych do przetwarzania danych osobowych.
2) żadne z urządzeń systemu informatycznego, służącego do przetwa- 2. Przebywanie osób nieuprawnionych w obszarze, o którym mowa w ż 4
pkt 1 rozporzÄ…dzenia, jest dopuszczalne za zgodÄ… administratora danych
rzania danych osobowych nie jest połączone z siecią publiczną.
lub w obecności osoby upoważnionej do przetwarzania danych osobo-
Gdy przynajmniej jedno urządzenie systemu informatycznego, słu-
wych.
żącego do przetwarzania danych osobowych, połączone jest z siecią pu-
II. 1. W systemie informatycznym służącym do przetwarzania danych osobo-
bliczną, należy stosować zabezpieczenia na poziomie wysokim. Powyż-
wych stosuje się mechanizmy kontroli dostępu do tych danych.
sze zależności zostały przedstawione na rys. 4.
2. Jeżeli dostęp do danych przetwarzanych w systemie informatycznym po-
siadają co najmniej dwie osoby, wówczas zapewnia się, aby:
Kategorie przetwarzanych danych, rodzaje
a) w systemie tym rejestrowany był dla każdego użytkownika odrębny
Poziom bezpieczeństwa
zagrożeń
identyfikator;
b) dostęp do danych był możliwy wyłącznie po wprowadzeniu identyfi-
katora i dokonaniu uwierzytelnienia.
W systemie, brak jest danych wrażliwych.
III. System informatyczny służący do przetwarzania danych osobowych zabez-
System nie jest połączony z publiczną sie-
1. podstawowy
piecza się, w szczególności przed:
ciÄ… telekomunikacyjnÄ….
1) działaniem oprogramowania, którego celem jest uzyskanie nieuprawnio-
nego dostępu do systemu informatycznego;
W systemie, przetwarzane są dane wrażli-
2) utratą danych spowodowaną awarią zasilania lub zakłóceniami w sieci
we. System nie jest połączony z publiczną
2. podwyższony
zasilajÄ…cej.
sieciÄ… telekomunikacyjnÄ….
IV. 1. Identyfikator użytkownika, który utracił uprawnienia do przetwarzania
danych, nie może być przydzielony innej osobie.
2. W przypadku gdy do uwierzytelniania użytkowników używa się hasła,
System jest połączony z publiczną siecią
telekomunikacyjną  występują zagroże- jego zmiana następuje nie rzadziej, niż co 30 dni. Hasło składa się co
3. wysoki
nia pochodzÄ…ce z sieci publicznej.
najmniej z 6 znaków.
3. Dane osobowe przetwarzane w systemie informatycznym zabezpiecza siÄ™
Rys. 4. Zależności pomiędzy zakresem przetwarzanych danych i zagrożeniem,
przez wykonywanie kopii zapasowych zbiorów danych oraz programów
na jakie są narażone, a wymaganym poziomem bezpieczeństwa
służących do przetwarzania danych.
4. Kopie zapasowe:
a) przechowuje siÄ™ w miejscach zabezpieczajÄ…cych je przed nieupraw-
3.1. Poziom podstawowy nionym przejęciem, modyfikacją, uszkodzeniem lub zniszczeniem;
b) usuwa się niezwłocznie po ustaniu ich użyteczności.
Podstawowy poziom bezpieczeństwa wymaga zastosowania okre-
V. Osoba użytkująca komputer przenośny zawierający dane osobowe zachowu-
ślonych środków organizacyjnych oraz technicznych. Wykaz minimal-
je szczególną ostrożność podczas jego transportu, przechowywania i użytko-
nych środków bezpieczeństwa, jakie na tym poziomie, zgodnie z za- wania poza obszarem, o którym mowa w ż 4 pkt 1 rozporządzenia, w tym
stosuje środki ochrony kryptografi cznej wobec przetwarzanych danych oso-
łącznikiem do rozporządzenia, powinny być zastosowane przedstawio-
bowych.
no w tabeli 3.
30 31
3.3. Poziom wysoki
Lp. Opis wymaganych rozwiązań technicznych lub organizacyjnych
VI. Urządzenia, dyski lub inne elektroniczne nośniki informacji, zawierające dane
Wysoki poziom bezpieczeństwa systemu informatycznego jest wy-
osobowe, przeznaczone do:
magany wszędzie tam, gdzie systemy używane do przetwarzania da-
1) likwidacji pozbawia się wcześniej zapisu tych danych, a w przypadku
nych połączone zostały z siecią wykorzystywaną do świadczenia usług
gdy nie jest to możliwe, uszkadza się w sposób uniemożliwiający ich od-
publicznych. Jego zastosowanie jest wówczas niezbędne z uwagi na do-
czytanie;
2) przekazania podmiotowi nieuprawnionemu do przetwarzania danych
datkowe zagrożenia, jakie mogą pochodzić z tej sieci. Mogą to być
pozbawia się wcześniej zapisu tych danych, w sposób uniemożli-
próby  włamania się do naszego systemu przez osoby nieuprawnione
wiajÄ…cy ich odzyskanie;
lub próby zniszczenia danych. Skutkiem przeprowadzonego ataku może
3) naprawy pozbawia się wcześniej zapisu tych danych w sposób unie-
być również zablokowanie możliwości korzystania z systemu poprzez
możliwiający ich odzyskanie albo naprawia się je pod nadzorem
przeciążenie komputera, na którym dany system został zainstalowany.
osoby upoważnionej przez administratora danych.
Stąd też, oprócz środków wskazanych w punktach 3.1 i 3.2 zestawio-
VII. Administrator danych monitoruje wdrożone zabezpieczenia systemu infor-
nych w tabelach 3 i 4, niezbędne jest zastosowanie środków wymienio-
matycznego.
nych w tabeli 5.
3.2. Poziom podwyższony Tabela 5. Wykaz dodatkowych w stosunku do poziomu podstawowego
i podwyższonego minimalnych środków bezpieczeństwa
Gdy zakres przetwarzanych danych obejmuje dane wymienione
wymaganych do osiągnięcia wysokiego poziomu bezpieczeństwa
w art. 27 ustawy i system nie jest narażony na zagrożenia z sieci pub-
Lp. Opis wymaganych rozwiązań technicznych lub organizacyjnych
licznej, co praktycznie oznacza, że nie jest do niej podłączony, wówczas
XII. 1. System informatyczny służący do przetwarzania danych osobowych
trzeba wprowadzić podwyższony poziom bezpieczeństwa. Aby to nastą-
chroni się przed zagrożeniami pochodzącymi z sieci publicznej poprzez
piło, należy zastosować wszystkie środki, wymagane dla osiągnięcia po-
wdrożenie fi zycznych lub logicznych zabezpieczeń chroniących przed
ziomu podstawowego oraz dodatkowo środki wymienione w tabeli 4.
nieuprawnionym dostępem.
2. W przypadku zastosowania logicznych zabezpieczeń, o których mowa
Tabela 4. Wykaz dodatkowych w stosunku do poziomu podstawowego
w ust. 1, obejmujÄ… one:
minimalnych środków bezpieczeństwa wymaganych do osiągnięcia
a) kontrolę przepływu informacji pomiędzy systemem informatycznym
podwyższonego poziomu bezpieczeństwa
administratora danych a sieciÄ… publicznÄ…;
b) kontrolę działań inicjowanych z sieci publicznej i systemu informa-
Lp. Opis wymaganych rozwiązań technicznych lub organizacyjnych
tycznego administratora danych.
VIII. W przypadku gdy do uwierzytelniania użytkowników używa się hasła, skła-
XIII. Administrator danych stosuje środki kryptografi cznej ochrony wobec da-
da się ono co najmniej z 8 znaków, zawiera małe i w(ielkie litery oraz cyfry
nych wykorzystywanych do uwierzytelnienia, które są przesyłane w sieci
lub znaki specjalne.
publicznej.
IX. Urządzenia i nośniki zawierające dane osobowe, o których mowa w art. 27
ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych,
przekazywane poza obszar, o którym mowa w ż 4 pkt 1 rozporządzenia, za-
bezpiecza się w sposób zapewniający poufność i integralność tych danych.
X. Instrukcję zarządzania systemem informatycznym, o której mowa w ż 5 roz-
porządzenia, rozszerza się o sposób stosowania środków, o których mowa
w pkt IX załącznika.
32 33
4. INSTRUKCJA ZARZ
DZANIA SYSTEMEM W instrukcji powinny być wskazane systemy informatyczne, ich lo-
INFORMATYCZNYM
kalizacje i stosowane metody dostępu (bezpośrednio z komputera,
na którym system jest zainstalowany, w lokalnej sieci komputerowej
Jednym z wymogów nałożonych na administratorów danych, zgod- czy też poprzez sieć telekomunikacyjną, np. łącze dzierżawione, Inter-
nie z ż 3 ust. 1 rozporządzenia, jest opracowanie instrukcji, określającej
net). Instrukcja ma obejmować zagadnienia dotyczące bezpieczeństwa
sposób zarządzania systemem informatycznym, służącym do przetwa-
informacji, a w szczególności elementy wymienione w ż 5 rozporzą-
rzania danych osobowych, zwanej dalej instrukcjÄ….
dzenia, na które składają się:
Powinna być ona zatwierdzona przez administratora danych i przy-
1) procedury nadawania uprawnień do przetwarzania danych i reje-
jęta do stosowania, jako obowiązujący dokument. Zawarte w niej pro-
strowania tych uprawnień w systemie informatycznym oraz wskaza-
cedury i wytyczne powinny być przekazane osobom odpowiedzialnym
nie osoby odpowiedzialnej za te czynności,
w jednostce za ich realizację stosownie do przydzielonych uprawnień,
2) stosowane metody i środki uwierzytelnienia oraz procedury związa-
zakresu obowiązków i odpowiedzialności. Np. zasady i procedury nada-
ne z ich zarządzaniem i użytkowaniem,
wania uprawnień do przetwarzania danych osobowych czy też sposób
3) procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczo-
prowadzenia ewidencji osób zatrudnionych przy przetwarzaniu danych
osobowych powinny być przekazane osobom zarządzającym organiza-
ne dla użytkowników systemu,
cją przetwarzania danych; sposób rozpoczęcia i zakończenia pracy, spo-
4) procedury tworzenia kopii zapasowych zbiorów danych oraz progra-
sób użytkowania systemu czy też zasady zmiany haseł  wszystkim
mów i narzędzi programowych służących do ich przetwarzania,
osobom będącym jego użytkownikami; zasady ochrony antywirusowej,
5) sposób, miejsce i okres przechowywania:
a także procedury wykonywania kopii zapasowych  osobom zajmują-
a) elektronicznych nośników informacji zawierających dane oso-
cym się techniczną eksploatacją i utrzymaniem ciągłości pracy syste-
bowe,
mu.
b) kopii zapasowych, o których mowa w pkt. 4,
W treści instrukcji powinny być zawarte ogólne informacje o syste-
6) sposób zabezpieczenia systemu informatycznego przed działalnością
mie informatycznym i zbiorach danych osobowych, które są przy ich
oprogramowania, o którym mowa w pkt III ppkt 1 załącznika do roz-
użyciu przetwarzane, zastosowane rozwiązania techniczne, jak również
procedury eksploatacji i zasady użytkowania, jakie zastosowano w celu porządzenia,
zapewnienia bezpieczeństwa przetwarzania danych osobowych. Gdy
7) sposób realizacji wymogów, o których mowa w ż 7 ust. 1 pkt 4 roz-
administrator do przetwarzania danych wykorzystuje nie jeden, lecz
porzÄ…dzenia,
kilka systemów informatycznych, wówczas stosownie do podobieństwa
8) procedury wykonywania przeglądów i konserwacji systemów oraz
zastosowanych rozwiązań powinien opracować jedną, ogólną instrukcję
nośników informacji służących do przetwarzania danych.
zarządzania lub oddzielne instrukcje dla każdego z użytkowanych sys-
W celu zapewnienia ochrony przetwarzanym danym, w odniesieniu
temów. Zatem inny będzie zakres opracowanych zagadnień w małych
do każdego z wymienionych wyżej punktów, w treści instrukcji powin-
podmiotach, w których dane osobowe przetwarzane są przy pomocy
ny być wskazane odpowiednie dla stosowanych systemów informatycz-
jednego lub kilku komputerów, a inny w dużych, w których funkcjonują
nych zasady postępowania. Poniżej przedstawiono ogólne wskazówki
rozbudowane lokalne sieci komputerowe z dużą ilością serwerów i sta-
w tym zakresie.
cji roboczych przetwarzających dane przy użyciu wielu systemów in-
formatycznych.
34 35
4.1. Procedury nadawania uprawnień do przetwarzania danych po otrzymaniu hasła powinien być zobowiązany do niezwłocznej jego
zmiany, chyba że system nie umożliwia wykonania takiej operacji.
i rejestrowania tych uprawnień w systemie informatycznym
W zależności od stosowanych rozwiązań należy podać dodatkowe in-
oraz wskazanie osoby odpowiedzialnej za te czynności
formacje dotyczące haseł (np. wymogi dotyczące ich powtarzalności
(ż 5 pkt 1 rozporządzenia)
czy też zestawu tworzących je znaków). Powinna być również zawarta
W punkcie tym powinny zostać opisane zasady przyznawania użyt-
informacja o wymaganej częstotliwości i metodzie zmiany hasła 
kownikowi systemu informatycznego identyfikatora, jak również zasa-
np. czy zmiana hasła wymuszana jest po określonym czasie przez sys-
dy nadawania lub modyfikacji uprawnień dostępu użytkownika do zaso-
tem informatyczny, czy też użytkownik sam musi o tym pamiętać. Przy
bów systemu informatycznego. Zasady te powinny obejmować operacje
określaniu częstotliwości zmiany haseł należy pamiętać, iż hasło użyt-
związane z nadawaniem użytkownikom uprawnień do pracy w systemie
kownika powinno być zmieniane nie rzadziej niż co 30 dni i składać się
informatycznym począwszy od utworzenia użytkownikowi konta, po-
co najmniej z 6 lub 8 znaków  w zależności od tego, czy w systemie
przez przydzielanie i modyfikację jego uprawnień, aż do momentu usu- są przetwarzane dane wrażliwe, o których mowa w art. 27 ustawy (za-
nięcia konta z systemu informatycznego. Procedura określająca zasady łącznik do rozporządzenia pkt IV ppk 2 w zw. z pkt VII).
rejestracji użytkowników powinna w sposób jednoznaczny określać zasa- Hasła w systemie informatycznym powinny być przechowywane
dy postępowania z hasłami użytkowników uprzywilejowanych (tzn. użyt- w postaci zaszyfrowanej. Należy wskazać sposób przechowywania
kowników posiadających uprawnienia na poziomie administratorów haseł użytkowników posiadających uprawnienia administratorów syste-
systemów informatycznych), jak również zasady administrowania sys- mów informatycznych oraz sposób odnotowywania ich awaryjnego
temem informatycznym w przypadkach awaryjnych, np. nieobecności użycia. Dodatkowo w razie zastosowania innych, niż identyfikator
administratora. i hasło, metod weryfikacji tożsamości użytkownika (np. kart mikropro-
W instrukcji należy wskazać osoby odpowiedzialne za realizację cesorowych czy też metod biometrycznych), w instrukcji powinny być
procedury określającej zasady przyznawania uprawnień do korzystania zawarte wytyczne dotyczące ich stosowania. Przykładowo dla kart mi-
z systemów informatycznych oraz za realizację związanych z tym czyn- kroprocesorowych należy wskazać sposób ich personalizacji, zaś dla
ności technicznych takich, jak rejestrowanie i wyrejestrowywanie użyt- metod biometrycznych  sposób pobierania danych biometrycznych
w procesie rejestrowania użytkownika w systemie oraz sposób ich prze-
kowników, którym uprawnienia te zostały nadane.
chowywania.
Ponadto w tej części instrukcji należy poinformować użytkownika
o możliwych zagrożeniach i konsekwencjach związanych z tzw. utratą
4.2. Stosowane metody i środki uwierzytelnienia
tożsamości elektronicznej (tj. utratą danych służących uwierzytelnieniu,
oraz procedury związane z ich zarządzaniem i użytkowaniem
co może skutkować pozyskaniem tych danych przez osoby nieupraw-
(ż 5 pkt 2 rozporządzenia)
nione), a przede wszystkim  o konieczności przestrzegania obowiązku
W punkcie tym powinien zostać opisany tryb przydzielania haseł,
ochrony miejsca przetwarzania danych przed dostępem osób nieupo-
tj. wskazanie, czy hasła użytkowników przekazywane mają być w for- ważnionych. To zagrożenie może wystąpić, np. przy podłożeniu opro-
mie ustnej czy pisemnej oraz wskazanie zaleceń dotyczących stopnia gramowania, które  jeśli użytkownik je zainstaluje  spowoduje prze-
ich złożoności. Powinny zostać również wskazane, funkcjonalnie jęcie przez osobę nieuprawnioną danych służących uwierzytelnieniu
lub personalnie, osoby odpowiedzialne za przydział haseł. Zaleca się, (identyfikatora i hasła) lub podłączenie w tym celu w sposób niezauwa-
aby unikać przekazywania haseł przez osoby trzecie lub za pośrednic- żony odpowiednich urządzeń nazywanych keyloggerami (rys. 5).
twem niechronionych wiadomości poczty elektronicznej. Użytkownik
36 37
a) b) a)
c)
b)
Rys. 5. Urządzenia nazywane keyloggerami, służące do rejestracji
wszelkich operacji wykonywanych przy użyciu klawiatury:
a) keylogger w postaci  przejściówki włączanej do gniazda, w które
włącza się klawiaturę; b) keylogger w postaci przedłużacza do klawiatury;
c) keylogger wbudowany w klawiaturÄ™
Pokazane na rys. 5 urządzenia mogą być wykorzystane do zebrania
wszystkich danych wprowadzanych do systemu za pomocÄ… klawiatury.
W razie korzystania z systemów podłączonych do sieci publicznej,
należy szczegółowo opisać sposób korzystania z używanych przegląda-
Rys. 6. Ustawienie przeglÄ…darki  a) Internet Explorer oraz
rek internetowych. W szczególności trzeba określić zasady dotyczące
b) Mozilla Firefox  w taki sposób, aby komputer nie zapamiętywał haseł
miejsca przechowywania haseł do aplikacji internetowych, z których
w formularzach logowania do aplikacji internetowych
użytkownicy będą korzystać. Dobrą praktyką jest wówczas zalecenie
zablokowania możliwości zapamiętywania haseł na stacji komputero-
wej, co dla przeglÄ…darki Internet Explorer oraz Mozilla Firefox pokaza-
4.3. Procedury rozpoczęcia, zawieszenia i zakończenia pracy
no na rys. 6.
przeznaczone dla użytkowników systemu
(ż 5 pkt 3 rozporządzenia)
W punkcie tym powinny być wskazane kolejne czynności, jakie na-
leży wykonać w celu uruchomienia systemu informatycznego, a w szcze-
gólności zasady postępowania użytkowników podczas przeprowadzania
procesu uwierzytelniania siÄ™ (logowania siÄ™ do systemu). Przestrzeganie
określonych w instrukcji zasad powinno zapewniać zachowanie poufno-
38 39
ści haseł oraz uniemożliwiać nieuprawnione przetwarzanie danych. Na- lub uszkodzenia. Procedura likwidacji nośników zawierających dane
leży również określić metody postępowania w sytuacji tymczasowego osobowe powinna uwzględniać wymogi zawarte w pkt VI ppkt 1 załącz-
zaprzestania pracy na skutek opuszczenia stanowiska pracy lub w oko- nika do rozporzÄ…dzenia. NakazujÄ… one, aby urzÄ…dzenia, dyski lub inne
licznościach, kiedy wgląd w wyświetlane na monitorze dane może mieć informatyczne nośniki, przeznaczone do likwidacji, pozbawiać zapisu
nieuprawniona osoba. Użytkownik powinien być poinstruowany o ko- danych, a gdy nie jest to możliwe  uszkadzać w sposób uniemożliwia-
nieczności wykonania operacji wyrejestrowania się z systemu informa- jący ich odczytanie.
tycznego przed wyłączeniem stacji komputerowej oraz o czynnościach,
jakie w tym celu powinien wykonać. Procedury przeznaczone dla użyt-
kowników systemu powinny wskazywać sposób postępowania w sytu-
4.5. Sposób, miejsce i okres przechowywania elektronicznych
acji podejrzenia naruszenia bezpieczeństwa systemu, np. w razie braku
nośników informacji zawierających dane osobowe oraz kopii
możliwości zalogowania się użytkownika na jego konto czy też w sytu-
zapasowych, o których mowa w ż 5 pkt 4 rozporządzenia
acji stwierdzenia fizycznej ingerencji w przetwarzane dane bÄ…dz
użyt-
(ż 5 pkt 5 rozporządzenia)
kowane narzędzia programowe lub sprzętowe.
W tym punkcie instrukcji należy określić sposób i czas przechowy-
wania wszelkiego rodzaju nośników informacji (dyskietki, płyty CD,
taśmy magnetyczne), tj. wskazać pomieszczenia, przeznaczone do ich
4.4. Procedury tworzenia kopii zapasowych zbiorów danych
przechowywania, jak również sposób ich zabezpieczenia przed nie-
oraz programów i narzędzi programowych służących do ich
uprawnionym przejęciem, odczytem, skopiowaniem lub zniszczeniem.
przetwarzania (ż 5 pkt 4 rozporządzenia)
Przy opracowywaniu zaleceń dotyczących sposobu i czasu przecho-
wywania nośników informacji należy uwzględnić wymogi rozporządze-
W punkcie tym należy wskazać metody i częstotliwość tworzenia
nia w tym zakresie. Kopie zapasowe należy przechowywać w miejscach
kopii zapasowych danych oraz kopii zapasowych systemu informatycz-
zabezpieczających je przed nieuprawnionym przejęciem, modyfikacją,
nego używanego do ich przetwarzania. Należy określić, dla jakich da-
uszkodzeniem lub zniszczeniem (pkt IV ppkt 4a załącznika do rozpo-
nych wykonywane będą kopie zapasowe, typ nośników, na których
rządzenia), a kopie awaryjne należy bezzwłocznie usuwać po ustaniu
będą one wykonywane oraz narzędzia programowe i urządzenia, które
ich użyteczności (pkt IV ppkt 4b załącznika do rozporządzenia).
mają być do tego celu wykorzystywane. W procedurze powinien być
W celu bezpiecznego przekazywania nośników informacji podmio-
określony harmonogram wykonywania kopii zapasowych dla poszcze-
tom zewnętrznym należy określić procedury i metody, dzięki którym in-
gólnych zbiorów danych wraz ze wskazaniem odpowiedniej metody
formacje te będą chronione przed dostępem osób nieuprawnionych pod-
sporządzania kopii (kopia przyrostowa, kopia całościowa). Fragment in-
czas ich transportu/przekazywania.
strukcji dotyczÄ…cy wykonywania kopii zapasowych, gdy procedury ich
wykonywania są złożone, może się odwoływać do procedur szczegóło-
wych przypisanych poszczególnym zbiorom danych czy też systemom
informatycznym. Procedury takie powinny być wówczas załączone do
instrukcji zarządzania. W procedurach określających zakres i sposób
wykonywania kopii zapasowych powinny być wskazane okresy rotacji
oraz całkowity czas użytkowania poszczególnych nośników danych.
Powinny być określone procedury likwidacji nośników zawierających
kopie zapasowe danych po ich wycofaniu na skutek utraty przydatności
40 41
4.6. Sposób zabezpieczenia systemu informatycznego 4.7. Sposób realizacji wymogów,
przed działalnością oprogramowania, o którym mowa o których mowa w ż 7 ust. 1 pkt 4 rozporządzenia
w pkt III ppkt 1 załącznika do rozporządzenia
(ż 5 pkt 7 rozporządzenia)
(ż 5 pkt 6 rozporządzenia)
Zgodnie z ż 7 ust. 1 pkt 4 rozporządzenia dla każdej osoby, której
W opisie zabezpieczeń systemu informatycznego przed działalno-
dane osobowe sÄ… przetwarzane w systemie informatycznym, system ten
ścią oprogramowania należy określić obszary systemu informatyczne-
powinien zapewnić odnotowanie informacji o odbiorcach, w rozumieniu
go narażone na ingerencję wirusów komputerowych oraz wszelkiego
art. 7 pkt 6 ustawy, którym dane osobowe zostały udostępnione, dacie
rodzaju inne szkodliwe oprogramowanie. Trzeba wskazać możliwe
i zakresie tego udostępnienia, chyba że system informatyczny używany
z
ródła przedostania się szkodliwego oprogramowania do systemu oraz
jest do przetwarzania danych zawartych w zbiorach jawnych. Wynika
działania, jakie należy podejmować, aby minimalizować możliwość
stąd, że system informatyczny wykorzystywany do przetwarzania da-
jego zainstalowania się. Niezależnie od wskazania w instrukcji tzw.
nych osobowych powinien posiadać funkcjonalności umożliwiające od-
profilaktycznych czynności należy przedstawić zastosowane narzędzia
notowanie wspomnianych wyżej informacji. Sposób oraz forma odnoto-
programowe, których zadaniem jest przeciwdziałanie skutkom szkodli-
wania, jak wynika z ż 5 pkt 7 rozporządzenia, powinna zostać określona
wego działania takiego oprogramowania. Jeśli zostało zainstalowane
w instrukcji. Należy jednak zauważyć, iż nie jest wystarczające odnoto-
oprogramowanie antywirusowe należy je wskazać. Ponadto trzeba okreś-
wanie w formie papierowej informacji, o których mowa w ż 7 ust. 1 pkt
lić metody i częstotliwość aktualizacji definicji wirusów oraz osoby
4 rozporządzenia, gdyż byłoby to niezgodne z przedstawioną w ustawie
odpowiedzialne za zarzÄ…dzanie tym oprogramowaniem. Konieczne jest
definicjÄ… systemu informatycznego.
przedstawienie procedur postępowania użytkowników na okoliczność
Należy również podkreślić, że w razie przetwarzania danych osobo-
zidentyfikowania określonego typu zagrożeń. Użytkownik powinien
wych nie tylko w jednym systemie informatycznym wymagania, o któ-
być poinformowany o wskazówkach postępowania, gdyby oprogramo-
rych mowa w ż 7 ust. 1 pkt 4 rozporządzenia, mogą być realizowane
wanie zabezpieczające wskazywało zaistnienie zagrożenia. Zdarza się,
w jednym z nich lub w odrębnym systemie informatycznym przezna-
że zamiast oprogramowania antywirusowego stosowane są inne meto-
czonym do tego celu. Wynika stąd, że odnotowanie informacji o udo-
dy ochrony przed szkodliwym oprogramowaniem. Należy je również
stępnieniach możliwe jest w jednym systemie tylko wtedy, gdy zbiór
wyraz
nie opisać. Mogą do nich należeć, np. fizyczne odłączenie urzą-
danych przetwarzany w dwóch lub więcej systemach dotyczy dokładnie
dzeń umożliwiających odczyt danych z wymiennych nośników infor-
tych samych osób. Przykładem takiej sytuacji jest korzystanie przez
matycznych poszczególnych stacji komputerowych (np. odłączenie
wiele aplikacji z tej samej bazy danych. Niedopuszczalne jest natomiast
stacji CD, stacji dyskietek itp.), a także wyznaczenie wydzielonego
odnotowanie wskazanej informacji wyłącznie w jednym systemie, gdy
stanowiska w sieci komputerowej do wymiany danych za pomocÄ… no-
śników zewnętrznych. grupy osób, których dane przetwarzane są w poszczególnych systemach
nie są dokładnie tożsame. Gdy zbiór osób, których dane przetwarzane
są w jednym systemie, różni się od zbioru osób, których dane przetwa-
rzane sÄ… w drugim systemie i nie zachodzi relacja zawierania siÄ™ pomiÄ™-
dzy tymi zbiorami, wówczas konieczne jest odnotowanie informacji
o udostępnieniach odrębnie w każdym systemie obsługującym te zbiory
lub ewentualnie w systemie przeznaczonym specjalnie do odnotowania
tych informacji.
42 43
4.8. Procedury wykonywania przeglądów i konserwacji Zwolnienie z obowiązku zgłoszenia zbioru danych osobowych do
rejestracji, które dotyczy zbiorów wskazanych w art. 43 ust. 1 ustawy
systemów oraz nośników informacji służących
nie implikuje zwolnienia z innych obowiązków, w tym również z za-
do przetwarzania danych (ż 5 pkt 8 rozporządzenia)
bezpieczenia danych, o którym mowa w art. 36 ustawy.
W punkcie tym należy określić cel, zakres, częstotliwość oraz pro-
cedury wykonywania przeglądów i konserwacji systemu informatyczne-
Jeśli w bazie danych mam takie dane klienta, jak imię, nazwisko
go oraz podmioty i osoby do tego uprawnione. Procedury wykonywania
i adres, i użytkownik A po zalogowaniu się zobaczy jego dane
czynności konserwacyjnych systemu, gdy zleca się je osobom nieposia-
(np. Jan Nowak), to czy do rejestru zdarzeń ( logów ) systemu na-
dającym upoważnień do przetwarzania danych (np. specjalistom z firm
leży wpisać informację w postaci: użytkownik A o godzinie 11:11:12
zewnętrznych), powinny określać sposób nadzoru nad nimi przez admi-
dnia 23 lipca 2006 r. widział dane klienta: Jan Nowak?
nistratora danych. W razie przekazywania do naprawy nośników infor-
ObowiÄ…zek odnotowywania informacji o tym: komu, kiedy, jakie
matycznych zawierających dane osobowe należy wcześniej wskazać
dane i w jakim celu zostały udostępnione, zgodnie z ż 7 ust. 1 pkt 4
sposób usuwania danych osobowych z tych nośników. W procedurach
rozporządzenia, dotyczy tylko odbiorców danych. Użytkownik systemu
dotyczących naprawy sprzętu komputerowego należy uwzględnić
przeglądający dane klienta lub klientów, który zgodnie z art. 7 pkt 6
wymóg, określony w punkcie VI ppkt 3 załącznika do rozporządzenia,
lit. b ustawy musi być osobą upoważnioną do przetwarzania danych,
który nakazuje, aby urządzenia, dyski lub inne elektroniczne nośniki in-
nie jest odbiorcą danych. Stąd też należy stwierdzić, że z ustawy nie
formacji  zawierajÄ…ce dane osobowe, przeznaczone do naprawy  po-
wynika obowiązek odnotowywania faktu zapoznania się użytkownika
zbawiać wcześniej zapisu tych danych w sposób uniemożliwiający ich
systemu z danymi osób, które są w nim zarejestrowane. Nie oznacza to
odzyskanie bÄ…dz
też naprawiać je pod nadzorem osoby upoważnionej
jednak, że obowiązku takiego, w celu prowadzenia ścisłej kontroli do-
przez administratora danych.
stępu do danych, nie mogą nakładać inne, odrębne przepisy.
Jeżeli zbiór danych znajduje się na stanowisku komputerowym wy-
5. PYTANIA I ODPOWIEDZI
dzielonym z sieci, a jedynie proces zbierania danych osobowych od-
bywa się metodą teletransmisji poprzez sieć Internet, to czy ko-
nieczne jest zastosowanie wysokiego poziomu bezpieczeństwa w sto-
Zgodnie z ustawą nie trzeba rejestrować zbiorów danych osobo-
sunku do komputera (sieci komputerowej) używanej wyłącznie do
wych, które służą tylko do przetwarzania danych w celu wystawie-
zbierania danych? Czy w razie zbierania danych osobowych drogÄ…
nia faktury. Czy zwolnienie to zwalnia również administratora da-
mailowÄ… konieczne jest stosowanie wysokiego poziomu zabezpie-
nych z obowiÄ…zku zabezpieczenia danych w tym zbiorze?
czeń?
Wymogi dotyczące zabezpieczenia zbiorów danych osobowych,
o których mowa w art. 36 ustawy, odnoszą się do wszystkich zbiorów, Zgodnie z ż 6 ust. 4 rozporządzenia wysoki poziom zabezpieczeń
w których przetwarzane są dane osobowe. Obowiązek zabezpieczenia należy stosować w stosunku do komputera bądz
sieci, które połączone
danych nie jest uzależniony od celu przetwarzania, rodzaju podmiotu są z siecią publiczną. Fakt zbierania danych przy użyciu poczty elektro-
będącego administratorem, jak również przywilejów, do których m.in. nicznej, która nie jest pocztą wewnętrzną funkcjonującą tylko w obrę-
należy zwolnienie administratorów danych z obowiązku rejestracji bie lokalnej sieci komputerowej, świadczy o tym, że sieć ta oraz podłą-
określonego typu zbiorów. czone do niej komputery, w tym ten, na którym odbierana jest poczta
44 45
elektroniczna, połączone są z siecią publiczną. Komputer ten należy wane dane osobowe, czy wystarczy tylko podać działy/piony, w któ-
zatem zabezpieczyć na poziomie wysokim. rych przetwarzane są dane?
Należy również zaznaczyć, że ankiety osobowe, które mają być
Dokumentacja stanowiąca politykę bezpieczeństwa powinna zawie-
przesyłane pocztą elektroniczną, powinny być zabezpieczone przed
rać w szczególności wykaz budynków, pomieszczeń lub części pomiesz-
ujawnieniem osobom nieuprawnionym  poprzez zastosowanie odpo-
czeń, tworzących obszar, w którym przetwarzane są dane osobowe, jak
wiednich środków kryptograficznych.
również wykaz zbiorów danych osobowych wraz ze wskazaniem pro-
gramów zastosowanych do przetwarzania tych danych.
Jeżeli dla zbioru danych stosuje się wysoki poziom zabezpieczeń
Wykaz budynków, pomieszczeń lub części pomieszczeń, tworzą-
i zbieranie ich od podmiotów zewnętrznych odbywa się metodą tele-
cych obszar, w którym przetwarzane są dane osobowe należy rozumieć
transmisji poprzez sieć Internet, to czy konieczne jest zabezpiecze-
jako wyszczególnienie w sposób spójny i jednoznaczny miejsc, w któ-
nie procesu przesyłania danych za pomocą połączenia szyfrowanego
rych przetwarza się dane osobowe zarówno w zbiorach prowadzonych
protokołem SSL? Czy wpływ na zastosowanie tego instrumentu ma
w postaci zwykłej (papierowej), jak i elektronicznej. Należy zauważyć,
fakt przetwarzania danych wrażliwych?
że miejscem, o którym mowa powyżej, może być zarówno obszar całe-
Zgodnie z art. 36 ustawy administrator danych ma obowiÄ…zek za-
go budynku lub budynków, obszar kilku wybranych pomieszczeń, jak
bezpieczenia danych m.in. przed ich nieuprawnionym ujawnieniem.
i obszar stanowiący wydzieloną część danego pomieszczenia. Przykła-
W razie przesyłania danych metodą teletransmisji przy użyciu sieci pu-
dowo, gdy upoważniony podmiot realizuje przetwarzanie danych oso-
blicznej zawsze istnieje możliwość przejęcia przesyłanych danych przez
bowych we wszystkich pomieszczeniach budynku, wówczas zawartym
osobę nieuprawnioną. Istnieje również niebezpieczeństwo ich nieupraw-
w polityce bezpieczeństwa wykazem obszaru przetwarzania danych
nionej zmiany, uszkodzenia lub zniszczenia. Niezbędne jest zatem zasto-
może być ogólna informacja, że miejscem przetwarzania danych osobo-
sowanie odpowiednich zabezpieczeń, które ochronią przesyłane dane.
wych sÄ… wszystkie pomieszczenia znajdujÄ…ce siÄ™ w budynku o danym
O tym, jakie środki należy zastosować, administrator danych powinien
adresie. Podobnie jest, gdy proces przetwarzania danych realizowany
zdecydować samodzielnie. Może to być wymieniony w pytaniu proto-
jest w pomieszczeniach zajmujących całe piętro budynku  w wykazie
kół szyfrowania danych SSL, jak również inne środki ochrony krypto-
można wówczas opisać wszystkie pomieszczenia znajdujące się na danym
graficznej, np. szyfrowanie przy użyciu poczty elektronicznej i klucza
piętrze budynku o wskazanym adresie. Wskazanie w sposób ogólny miej-
publicznego odbiorcy.
sca przetwarzania danych  rozumianego jako pomieszczenia stanowiÄ…-
ce cały budynek, wybraną kondygnację budynku itp.  możliwe jest
Jestem odpowiedzialny za stworzenie dokumentów dotyczących
tylko wówczas, gdy we wszystkich pomieszczeniach tego obszaru pod-
ustawy w firmie liczącej około 1000 pracowników. Moje pytanie do-
miot przetwarza dane osobowe.
tyczy dwóch punktów, które powinny być opisane w polityce bez-
Wykaz zbiorów danych osobowych, wraz ze wskazaniem progra-
pieczeństwa:
mów używanych do ich przetwarzania, powinien zawierać informacje
 Wykazu budynków, pomieszczeń lub części pomieszczeń, two-
o tym, jakie zbiory danych osobowych sÄ… przetwarzane przez podmiot
rzących obszar, w którym przetwarzane są dane osobowe oraz
oraz przy użyciu jakich systemów dane zawarte w tych zbiorach są
 Wykazu zbiorów danych osobowych wraz ze wskazaniem pro-
przetwarzane.
gramów zastosowanych do przetwarzania tych danych .
Czy w ww. punktach należy umieścić spis wszystkich pracowni-
ków, komputerów i pokoi, w których są wprowadzane i modyfiko-
46 47
Czy firma zajmująca się hostingiem stron internetowych (czyli miot, któremu powierzono przetwarzanie danych osobowych nie staje
dzierżawą miejsca na serwerze i świadczeniem usług dostępu do się ich administratorem, jest jednak obowiązany, przed rozpoczęciem
tych serwisów z Internetu) staje się podmiotem przetwarzającym przetwarzania, podjąć środki zabezpieczające, o których mowa w art. 36
dane w sytuacji, gdy hostowany serwis posiada w swej strukturze  39 ustawy, oraz spełnić wymagania, określone w rozporządzeniu do
dane osobowe i mechanizmy je obsługujące? ustawy. W zakresie przestrzegania wskazanych powyżej przepisów pod-
miot ten ponosi taką samą odpowiedzialność jak administrator danych.
Zgodnie z art. 31 ust. 1 ustawy powierzenie przetwarzania danych
Nie zwalnia to oczywiście tego ostatniego z obowiązku sprawowania
osobowych musi być dokonane w formie umowy, która określi m.in.
nadzoru nad przestrzeganiem przepisów ustawy przez podmiot, które-
jego zakres oraz zadania i obowiązki podmiotu, któremu przetwarzanie
mu powierzył przetwarzanie danych. Art. 31 ust. 4 ustawy mówi wyraz
-
zostaje powierzone. Nie każda zatem umowa hostingu stron interneto-
nie, że odpowiedzialność za przestrzeganie przepisów niniejszej ustawy
wych może być uznana za umowę powierzenia przetwarzania danych
spoczywa na administratorze danych, co nie wyłącza odpowiedzialności
osobowych. Z sytuacjÄ… powierzenia przetwarzania danych osobowych
podmiotu, który zawarł umowę, za przetwarzanie danych niezgodnie
będziemy mieli do czynienie tylko wtedy, gdy zawarta umowa spełniać
z tÄ… umowÄ….
będzie wymagania określone w art. 31 ustawy. Oznacza to, że musi być
Z przywołanych przepisów wynika, że zarówno podmiot powierza-
ona sporządzona w formie pisemnej i wskazywać cel oraz zakres prze-
jący przetwarzanie danych (administrator danych), jak i podmiot, które-
twarzania. Jeżeli usługa hostingu sprowadza się wyłącznie do dzierża-
mu dane zostały powierzone, zobligowane są do przestrzegania przepi-
wy miejsca na serwerze, to w zakresie przetwarzania danych powinien
sów dotyczących ochrony danych osobowych. Do administratora da-
siÄ™ znalez
ć co najmniej obowiązek odpowiedniego zabezpieczenia prze-
nych należy jednak wybór takiego rozwiązania informatycznego (syste-
twarzanych danych przed nieupoważnionymi zmianami lub zniszcze-
mu informatycznego), które spełnia wymogi zawarte w ustawie i aktach
niem. Ponadto, jeżeli powierzający przetwarzanie nie wykonuje kopii
wykonawczych do niej. Wiąże się to z wyborem takiego dostawcy usług
zapasowej przetwarzanego zbioru danych u siebie, to obowiÄ…zek ten
internetowych, który oferuje system informatyczny spełniający wymogi
musi być wykonywany przez podmiot hostujący, co również powinno
ustawy. Należy również zaznaczyć, że administrator danych zawierający
być zawarte w umowie.
umowę powierzenia przetwarzania danych osobowych z dostawcą usług
Jeżeli podmiot udostępniający system (serwer) nie posiada wiedzy
internetowych ma wpływ na treść takiej umowy i jego obowiązkiem jest
co do rodzaju danych przetwarzanych w tym systemie i nie powierzono
ujęcie w niej wszystkich aspektów dotyczących ochrony przetwarzanych
mu danych w myśl art. 31 ustawy, to podlega on postanowieniom
danych. W umowie takiej podmiot, któremu zleca się przetwarzanie da-
art. 14 ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elek-
nych osobowych, powinien być poinformowany przede wszystkim o fak-
troniczną i jego odpowiedzialność za przetwarzane dane jest ograniczo-
cie, że na jego serwerach będą przetwarzane dane osobowe i w związku
na zgodnie z art. 12 15 tej ustawy.
z tym przyjmuje on na siebie odpowiedzialność wynikającą ze wskaza-
nych powyżej przepisów.
Czy administrator serwera, na którym w ramach świadczonych
Może jednak zaistnieć sytuacja, w której podmiot udostępniający
usług hostingowych przetwarzane są dane osobowe, staje się auto-
system (serwer) nie posiada wiedzy co do rodzaju danych przetwarza-
matycznie administratorem tych danych?
nych w tym systemie (np. w przypadku konta shell owego). Wówczas
Z art. 31 ust. 1 ustawy wynika, że administrator danych może po- udostępniający zasoby systemu informatycznego podlega postanowie-
wierzyć wykonywanie czynności obejmujących przetwarzanie danych, niom art. 14 ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą
w tym przy użyciu systemu informatycznego, innemu podmiotowi. elektroniczną i jego odpowiedzialność za przetwarzane dane jest ogra-
Może to mieć miejsce na podstawie zawartej na piśmie umowy. Pod- niczona zgodnie z art. 12 15 tej ustawy.
48 49
Reasumując, należy stwierdzić, iż rozumowanie, jakoby administra- Ze względu na fakt, iż pomiędzy systemami informatycznymi hostin-
tor serwera, na którym świadczone są usługi hostingu automatycznie godawcy i hostingobiorcy zachodzi teletransmisja danych z wykorzysta-
stawał się administratorem danych osobowych, jest nieprawidłowe. Gdy niem infrastruktury sieci teleinformatycznej stanowiącej element sieci
publicznej Internet, teletransmisja ta  jako jeden z elementów procesu
mamy do czynienia z powierzeniem przetwarzania danych, w rozumie-
przetwarzania danych  powinna zapewniać im integralność, niezaprze-
niu art. 31 ustawy, co oznacza, że podmiot udostępniający infrastruktu-
czalność oraz poufność. Zapewnienie takiej teletransmisji wymaga za-
rÄ™ informatycznÄ… posiada wiedzÄ™ co do charakteru przetwarzanych da-
stosowania odpowiedniego mechanizmu szyfrowania danych, np. bez-
nych, wówczas podlega jej przepisom w zakresie art. 36 39, pomimo iż
piecznego protokołu SSL. Ponadto obydwa współpracujące ze sobą sys-
nie jest administratorem danych osobowych. Natomiast jeżeli podmiot
temy powinny być odpowiednio zabezpieczone przed zagrożeniami po-
udostępniający system nie posiada wiedzy co do charakteru przetwarza-
chodzÄ…cymi z sieci publicznej  m.in. poprzez zastosowanie specjali-
nych danych, to podlega przepisom art. 12 15 ustawy o świadczeniu
stycznych urządzeń typu firewall, urządzeń służących wykrywaniu prób
usług drogą elektroniczną.
nieuprawnionego dostępu, programów antywirusowych, jak również
opracowanie i wdrożenie odpowiednich procedur zarządzania.
Jaka jest rola i odpowiedzialność hostingodawcy w sytuacji, kiedy
AnalizujÄ…c z informatycznego punktu widzenia problematykÄ™ ho-
w ramach jego usług hostingobiorca przetwarza we własnym celu
stingu, należy przyjąć że system informatyczny służący do przetwarza-
zbiór danych osobowych? Czy pojecie systemu informatycznego,
nia danych będzie się składał z dwóch części, z których jedna będzie po
o którym mowa w rozporządzeniu, i wymagania, jakie powinien on
stronie hostingodawcy, a druga po stronie hostingobiorcy. Szczegółowa
spełniać, odnoszą się wówczas tylko do tej części systemu, którą wy-
specyfikacja poszczególnych części takiego systemu jest indywidualna
korzystuje hostingobiorca?
dla każdego przypadku. Indywidualny jest również podział zadań w za-
Zgodnie z art. 7 pkt 2a ustawy pod pojęciem system informatyczny
kresie zapewnienia dla danego systemu zgodności z przepisami prawa,
należy rozumieć zespół współpracujących ze sobą urządzeń, programów,
w tym problem zapewnienia bezpieczeństwa przetwarzania danych
procedur przetwarzania informacji i narzędzi programowych zastosowa-
i wzajemnej współpracy obydwu stron.
nych w celu przetwarzania danych. Należy zatem uznać, że dane osobo-
Zatem należy uznać, że zarówno hostingodawca, jak i hostingobior-
we, przetwarzane są zarówno w systemie informatycznym hostingobior-
ca powinni dostosować swoje systemy informatyczne do warunków wy-
cy, jak i systemie informatycznym hostingodawcy. Proces teletransmisji
maganych w rozporzÄ…dzeniu. W odniesieniu do systemu informatyczne-
danych zachodzący pomiędzy tymi systemami realizowany jest z wyko-
go hostingodawcy warunki, o których mowa w rozporządzeniu, musi
rzystaniem teleinformatycznej infrastruktury tworzącej publiczną sieć
spełniać w szczególności ta część systemu, która wykorzystywana jest
Internet. Przez system informatyczny hostingodawcy należy rozumieć
przez hostingobiorcę, który przetwarza dane osobowe. Jeżeli chodzi
wszelkie urządzenia oraz programy umożliwiające dokonanie zapisu,
o wzajemne relacje pomiędzy nimi, to należy zaznaczyć, że warunki od-
odczytu, kasowania, przechowywania danych osobowych hostingobior-
noszące się do systemu hostingodawcy oraz środki techniczne i organi-
cy. Do systemu tego należą również urządzenia i programy zabezpiecza-
zacyjne, jakie powinien on zastosować w związku z przetwarzaniem
jące dane przed skutkami awarii zasilania oraz działaniem oprogramo-
przez hostingobiorcę danych osobowych powinny być zidentyfikowane
wania, którego celem jest uzyskanie nieuprawnionego dostępu do da-
i jednoznacznie określone w umowie pomiędzy tymi podmiotami. Stro-
nych. Zgodnie z przyjętą definicją do systemu informatycznego zalicza ną decydującą o tym, czy z usług danego hostingodawcy można sko-
się również procedury zarządzania procesem przetwarzania danych (pro- rzystać, czy jego system spełnia warunki, jakim powinny odpowiadać
cedury nadawania uprawnień do przetwarzania danych, procedury wy- systemy używane do przetwarzania danych osobowych jest administra-
konywania kopii zapasowych itp.). tor danych osobowych, który z usług takich zamierza korzystać.
50 51
Serwer bazy danych sam w sobie jest systemem informatycznym. Czy system informatyczny służący do adresowania kopert, w któ-
rych wysyłane są informacje o bieżącej działalności naszej instytu-
Załóżmy, że przechowuję w nim dane osobowe, np. listę z adresami
cji (wystawy, wykłady itp.) można uznać za system  służący do
osób. Producenci takich systemów nie dostarczają wbudowanych
przetwarzania danych osobowych i ograniczony wyłącznie do edycji
mechanizmów do ewidencjonowania operacji na rekordach (zapi-
tekstu w celu udostępnienia go na piśmie , o którym mowa w ż 7
sach) w poszczególnych tabelach takich, jak data wprowadzenia da-
rozporzÄ…dzenia? Na dane osobowe przetwarzane w tym systemie
nych i identyfikator użytkownika, który dane wprowadził. Można
składają się takie pola, jak imię i nazwisko, stanowisko, nazwa in-
zatem wnioskować, że system taki nie spełnia wymogów prawa
stytucji, adres i kod pocztowy. Dane te sÄ… drukowane na kopertach,
z zakresu danych osobowych. Jak zatem traktować zbiór danych
które następnie wysyła się za pomocą Poczty Polskiej lub rozwozi
osobowych zawarty w bazie danych, np. tabelę z listą adresów osób
na adresy odpowiednich instytucji. Czy jest to jedyny sposób wyko-
fizycznych? Jak traktować sam serwer bazy danych  aplikację,
rzystywania tych danych?
która de facto staje się systemem informatycznym?
Zgodnie z treścią ż 7 rozporządzenia spełnienie wymogów określo-
Ustawa nie precyzuje, jakie technologie informatyczne powinny
nych w tym paragrafie nie jest wymagane dla zbiorów danych osobo-
być używane podczas przetwarzania danych osobowych. Obliguje jed- wych służących do przetwarzania danych osobowych ograniczonych
wyłącznie do edycji tekstu w celu udostępnienia go na piśmie.
nak ich administratora do użytkowania systemów informatycznych
Wskazane w pytaniu cechy systemu informatycznego służącego do
zgodnych z jej wymogami. Dlatego też decyzja o wykorzystaniu kon-
 przetwarzania danych osobowych w celu adresowania kopert nie
kretnego systemu informatycznego do przetwarzania danych osobo-
w pełni określają właściwości tego systemu. W ww. opisie nie wskaza-
wych powinna być determinowana zgodnością tego systemu z obowią-
no, czy przetwarzane w tym systemie dane osobowe są niezwłocznie
zujÄ…cymi przepisami (ustawÄ… i rozporzÄ…dzeniem). OdnoszÄ…c siÄ™ jednak
usuwane z tego systemu po ich wykorzystaniu (tj. po wykonaniu nadru-
do przedstawionej w pytaniu sytuacji, należy zaznaczyć, że o tym,
ku danych adresowych na kopertach) czy też po wydrukowaniu są w dal-
jakie pola informacyjne wystÄ…piÄ… w tworzonej bazie danych zawsze de-
szym ciÄ…gu przechowywane w tym systemie.
cyduje użytkownik. W każdej bazie danych, w której jest możliwe
Gdyby dane osobowe przetwarzane w ww. systemie były niezwłocz-
utworzenie pola dla imienia i nazwiska osoby, jest również możliwe
nie usuwane po sporządzeniu wydruku (po osiągnięciu celu dla którego
utworzenie pola dla innych wymaganych informacji  takich jak np.
zostały wprowadzone), to należy uznać, że zbiór ten służy wyłącznie do
data wprowadzenia danych czy identyfikator użytkownika, który te
edycji tekstu w celu udostępnienia go na piśmie. Gdyby ww. warunek
dane wprowadził. W wielu bazach danych jest ponadto możliwość
nie był spełniony, to należy wówczas uznać, że zbiór, o którym mowa,
umieszczenia procedury, która dany wpis wykona automatycznie (np. służy wyłącznie do edycji tekstu w celu udostępnienia go na piśmie
i powinien spełniać wszystkie wymogi określone w ż 7 ust. 1 rozporzą-
czynności odnotowania daty utworzenia nowego wpisu, jak i nazwy
dzenia.
użytkownika wprowadzającego ten wpis). Natomiast, jeżeli któraś
z wymaganych funkcjonalności w samej bazie danych nie występuje,
to bazy takiej nie można wykorzystać jako samodzielnego systemu do
przetwarzania danych osobowych. Nie oznacza to jednak, że nie można
jej użyć jako składnika systemu informatycznego, który w połączeniu
z określonym oprogramowaniem spełni wszystkie wymagane przepisa-
mi prawa funkcjonalności.
52 53