1024
ROZPORZŃDZENIE MINISTRA SPRAW WEWNóTRZNYCH I ADMINISTRACJI1)
z dnia 29 kwietnia 2004 r.
w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych,
jakim powinny odpowiadaç urzÄ…dzenia i systemy informatyczne s"uŻące do przetwarzania danych
osobowych
Na podstawie art. 39a ustawy z dnia 29 sierpnia przetwarzania danych osobowych w systemie in-
1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. formatycznym;
Nr 101, poz. 926 i Nr 153, poz. 1271 oraz z 2004 r.
3) haĘle rozumie si´ przez to ciÄ…g znaków litero-
Nr 25, poz. 219 i Nr 33, poz. 285) zarzÄ…dza si´, co na-
wych, cyfrowych lub innych, znany jedynie osobie
st´puje:
uprawnionej do pracy w systemie informatycz-
nym;
ż 1. Rozporządzenie okreĘla:
4) sieci telekomunikacyjnej rozumie si´ przez to
1) sposób prowadzenia i zakres dokumentacji opisu-
sieç telekomunikacyjnÄ… w rozumieniu art. 2 pkt 23
jącej sposób przetwarzania danych osobowych
ustawy z dnia 21 lipca 2000 r. Prawo telekomu-
oraz Ęrodki techniczne i organizacyjne zapewniają-
nikacyjne (Dz. U. Nr 73, poz. 852, z póęn. zm.2))
ce ochron´ przetwarzanych danych osobowych
5) sieci publicznej rozumie si´ przez to sieç pu-
odpowiednią do zagroŻeł oraz kategorii danych
blicznÄ… w rozumieniu art. 2 pkt 22 ustawy z dnia
obj´tych ochronÄ…;
21 lipca 2000 r. Prawo telekomunikacyjne;
2) podstawowe warunki techniczne i organizacyjne,
6) teletransmisji rozumie si´ przez to przesy"anie
jakim powinny odpowiadaç urzÄ…dzenia i systemy
informacji za poĘrednictwem sieci telekomunika-
informatyczne s"uŻące do przetwarzania danych
cyjnej;
osobowych;
7) rozliczalnoĘci rozumie si´ przez to w"aĘciwoĘç
3) wymagania w zakresie odnotowywania udost´p-
zapewniajÄ…cÄ…, Å»e dzia"ania podmiotu mogÄ… byç
niania danych osobowych i bezpieczełstwa prze-
przypisane w sposób jednoznaczny tylko temu
twarzania danych osobowych.
podmiotowi;
8) integralnoĘci danych rozumie si´ przez to w"a-
ż 2. Ilekroç w rozporzÄ…dzeniu jest mowa o:
ĘciwoĘç zapewniajÄ…cÄ…, Å»e dane osobowe nie zo-
1) ustawie rozumie si´ przez to ustaw´ z dnia sta"y zmienione lub zniszczone w sposób nieauto-
29 sierpnia 1997 r. o ochronie danych osobowych, ryzowany;
zwanÄ… dalej ustawÄ… ;
9) raporcie rozumie si´ przez to przygotowane
przez system informatyczny zestawienia zakresu
2) identyfikatorze uÅ»ytkownika rozumie si´ przez to
i treĘci przetwarzanych danych;
ciąg znaków literowych, cyfrowych lub innych jed-
noznacznie identyfikujÄ…cy osob´ upowaÅ»nionÄ… do
10) poufnoĘci danych rozumie si´ przez to w"aĘci-
woĘç zapewniajÄ…cÄ…, Å»e dane nie sÄ… udost´pniane
nieupowaŻnionym podmiotom;
1)
Minister Spraw Wewn´trznych i Administracji kieruje
dzia"em administracji rzÄ…dowej administracja publicz-
2)
na, na podstawie ż 1 ust. 2 pkt 1 rozporządzenia Prezesa Zmiany wymienionej ustawy zosta"y og"oszone w Dz. U.
Rady Ministrów z dnia 14 marca 2002 r. w sprawie szcze- z 2001 r. Nr 122, poz. 1321 i Nr 154, poz. 1800 i 1802,
gó"owego zakresu dzia"ania Ministra Spraw Wewn´trz- z 2002 r. Nr 25, poz. 253, Nr 74, poz. 676 i Nr 166, poz. 1360
nych i Administracji (Dz. U. Nr 35, poz. 325 i Nr 58, oraz z 2003 r. Nr 50, poz. 424, Nr 113, poz. 1070, Nr 130,
poz. 533). poz. 1188 i Nr 170, poz. 1652.
Dziennik Ustaw Nr 100 7021 Poz. 1024
11) uwierzytelnianiu rozumie si´ przez to dzia"anie, 7) sposób realizacji wymogów, o których mowa
którego celem jest weryfikacja deklarowanej toŻ- w ż 7 ust. 1 pkt 4;
samoĘci podmiotu.
8) procedury wykonywania przeglądów i konserwacji
ż 3. 1. Na dokumentacj´, o której mowa w ż 1
systemów oraz noĘników informacji s"uŻących do
pkt 1, sk"ada si´ polityka bezpieczeÅ‚stwa i instrukcja
przetwarzania danych.
zarządzania systemem informatycznym s"uŻącym do
przetwarzania danych osobowych, zwana dalej in- ż 6. 1. Uwzgl´dniajÄ…c kategorie przetwarzanych
strukcjÄ… .
danych oraz zagroÅ»enia wprowadza si´ poziomy bez-
pieczełstwa przetwarzania danych osobowych w sys-
2. Dokumentacj´, o której mowa w ż 1 pkt 1, pro-
temie informatycznym:
wadzi si´ w formie pisemnej.
1) podstawowy;
3. Dokumentacj´, o której mowa w ż 1 pkt 1, wdra-
Ża administrator danych.
2) podwyŻszony;
ż 4. Polityka bezpieczełstwa, o której mowa w ż 3
3) wysoki.
ust. 1, zawiera w szczególnoĘci:
2. Poziom co najmniej podstawowy stosuje si´,
1) wykaz budynków, pomieszczeÅ‚ lub cz´Ä˜ci po-
gdy:
mieszczeł, tworzących obszar, w którym przetwa-
rzane sÄ… dane osobowe;
1) w systemie informatycznym nie sÄ… przetwarzane
dane, o których mowa w art. 27 ustawy, oraz
2) wykaz zbiorów danych osobowych wraz ze wska-
zaniem programów zastosowanych do przetwa-
2) Żadne z urządzeł systemu informatycznego, s"uŻą-
rzania tych danych;
cego do przetwarzania danych osobowych nie jest
3) opis struktury zbiorów danych wskazujący zawar- po"ączone z siecią publiczną.
toĘç poszczególnych pól informacyjnych i powiÄ…-
3. Poziom co najmniej podwyÅ»szony stosuje si´,
zania mi´dzy nimi;
gdy:
4) sposób przep"ywu danych pomi´dzy poszczegól-
nymi systemami;
1) w systemie informatycznym przetwarzane sÄ… dane
osobowe, o których mowa w art. 27 ustawy, oraz
5) okreĘlenie Ęrodków technicznych i organizacyj-
nych niezb´dnych dla zapewnienia poufnoĘci, in-
2) Żadne z urządzeł systemu informatycznego, s"uŻą-
tegralnoĘci i rozliczalnoĘci przetwarzanych da-
cego do przetwarzania danych osobowych nie jest
nych.
po"Ä…czone z sieciÄ… publicznÄ….
ż 5. Instrukcja, o której mowa w ż 3 ust. 1, zawiera
4. Poziom wysoki stosuje si´, gdy przynajmniej
w szczególnoĘci:
jedno urządzenie systemu informatycznego, s"uŻące-
go do przetwarzania danych osobowych, po"Ä…czone
1) procedury nadawania uprawnieł do przetwarzania
jest z sieciÄ… publicznÄ….
danych i rejestrowania tych uprawnieł w syste-
mie informatycznym oraz wskazanie osoby odpo-
5. Opis Ęrodków bezpieczełstwa stosowany na po-
wiedzialnej za te czynnoĘci;
ziomach, o których mowa w ust. 1, okreĘla za"ącznik
2) stosowane metody i Ęrodki uwierzytelnienia oraz
do rozporzÄ…dzenia.
procedury związane z ich zarządzaniem i uŻytko-
waniem; ż 7. 1. Dla kaŻdej osoby, której dane osobowe są
przetwarzane w systemie informatycznym z wyjÄ…t-
3) procedury rozpocz´cia, zawieszenia i zakoÅ‚czenia
kiem systemów s"uŻących do przetwarzania danych
pracy przeznaczone dla uŻytkowników systemu;
osobowych ograniczonych wy"Ä…cznie do edycji tekstu
w celu udost´pnienia go na piĘmie system ten za-
4) procedury tworzenia kopii zapasowych zbiorów
pewnia odnotowanie:
danych oraz programów i narz´dzi programowych
s"uŻących do ich przetwarzania;
1) daty pierwszego wprowadzenia danych do syste-
mu;
5) sposób, miejsce i okres przechowywania:
a) elektronicznych noĘników informacji zawierają-
2) identyfikatora uŻytkownika wprowadzającego da-
cych dane osobowe,
ne osobowe do systemu, chyba Å»e dost´p do sys-
temu informatycznego i przetwarzanych w nim
b) kopii zapasowych, o których mowa w pkt 4,
danych posiada wy"Ä…cznie jedna osoba;
6) sposób zabezpieczenia systemu informatycznego
przed dzia"alnoĘcią oprogramowania,októrymmowa 3) ęród"a danych, w przypadku zbierania danych, nie
w pkt III ppkt 1 za"ącznika do rozporządzenia; od osoby, której one dotyczą;
Dziennik Ustaw Nr 100 7022 Poz. 1024
4) informacji o odbiorcach, w rozumieniu art. 7 pkt porzÄ…dzenia pod wzgl´dem bezpieczeÅ‚stwa na pozio-
6 ustawy, którym dane osobowe zosta"y udo- mie wysokim.
st´pnione, dacie i zakresie tego udost´pnienia,
chyba Że system informatyczny uŻywany jest do ż 9. Administrator przetwarzanych w dniu wejĘcia
przetwarzania danych zawartych w zbiorach jaw- w Życie niniejszego rozporządzenia danych osobo-
nych; wych jest obowiÄ…zany dostosowaç systemy informa-
tyczne s"uŻące do przetwarzania tych danych do wy-
5) sprzeciwu, o którym mowa w art. 32 ust. 1 pkt 8 mogów okreĘlonych w ż 7 oraz w za"ączniku do rozpo-
ustawy. rzÄ…dzenia w terminie 6 miesi´cy od dnia wejĘcia w Å»y-
cie niniejszego rozporzÄ…dzenia.
2. Odnotowanie informacji, o których mowa
w ust. 1 pkt 1 i 2, nast´puje automatycznie po zatwier- ż 10. RozporzÄ…dzenie wchodzi w Å»ycie z dniem uzy-
dzeniu przez uŻytkownika operacji wprowadzenia da- skania przez Rzeczpospolitą Polską cz"onkostwa
w Unii Europejskiej4).
nych.
3. Dla kaŻdej osoby, której dane osobowe są prze-
Minister Spraw Wewn´trznych i Administracji:
twarzane w systemie informatycznym, system zapew-
w z. T. Matusiak
nia sporzÄ…dzenie i wydrukowanie raportu zawierajÄ…ce-
go w powszechnie zrozumia"ej formie informacje,
o których mowa w ust. 1.
3)
Zmiany wymienionej ustawy zosta"y og"oszone w Dz.U.
z 2000 r. Nr 12, poz. 136 i Nr 39, poz. 462, z 2001 r. Nr 22,
4. W przypadku przetwarzania danych osobo-
poz. 247, Nr 27, poz. 298, Nr 56, poz. 580, Nr 110,
wych, w co najmniej dwóch systemach informatycz-
poz. 1189, Nr 123, poz. 1353, Nr 154 poz. 1800, z 2002 r.
nych, wymagania, o których mowa w ust. 1 pkt 4,
Nr 74, poz. 676, Nr 89, poz. 804 i Nr 153, poz. 1271,
mogÄ… byç realizowane w jednym z nich lub w odr´b- z 2003 r. Nr 17, poz. 155 oraz z 2004 r. Nr 29, poz. 257.
4)
nym systemie informatycznym przeznaczonym do te- Niniejsze rozporzÄ…dzenie by"o poprzedzone rozporzÄ…dze-
niem Ministra Spraw Wewn´trznych i Administracji z dnia
go celu.
3 czerwca 1998 r. w sprawie okreĘlenia podstawowych
warunków technicznych i organizacyjnych, jakim powinny
ż 8. System informatyczny s"uŻący do przetwarza-
odpowiadaç urzÄ…dzenia i systemy informatyczne s"uŻące
nia danych, który zosta" dopuszczony przez w"aĘciwą
do przetwarzania danych osobowych (Dz. U. Nr 80,
s"uÅ»b´ ochrony paÅ‚stwa do przetwarzania informacji
poz. 521 oraz z 2001 r. Nr 121, poz. 1306), które utraci moc
niejawnych, po uzyskaniu certyfikatu wydanego na
z dniem wejĘcia w Życie ustawy z dnia 22 stycznia 2004 r.
podstawie przepisów ustawy z dnia 22 stycznia 1999 r.
o zmianie ustawy o ochronie danych osobowych oraz
o ochronie informacji niejawnych (Dz. U. Nr 11,
ustawy o wynagrodzeniu osób zajmujących kierownicze
poz. 95, z póęn. zm.3)) spe"nia wymogi niniejszego roz- stanowiska pałstwowe (Dz. U. Nr 33, poz. 285).
Za"Ä…cznik do rozporzÄ…dzenia Ministra Spraw Wewn´trznych
i Administracji z dnia 29 kwietnia 2004 r. (poz. 1024)
A. Ârodki bezpieczeÅ‚stwa na poziomie podstawowym
I b) dost´p do danych by" moÅ»liwy wy"Ä…cznie po wpro-
wadzeniu identyfikatora i dokonaniu uwierzytel-
1. Obszar, o którym mowa w ż 4 pkt 1 rozporządze-
nienia.
nia, zabezpiecza si´ przed dost´pem osób nieupraw-
nionych na czas nieobecnoĘci w nim osób upowaŻnio-
III
nych do przetwarzania danych osobowych.
System informatyczny s"uŻący do przetwarzania
2. Przebywanie osób nieuprawnionych w obsza-
danych osobowych zabezpiecza si´, w szczególnoĘci
rze, o którym mowa w ż 4 pkt 1 rozporządzenia, jest
przed:
dopuszczalne za zgodÄ… administratora danych lub
1) dzia"aniem oprogramowania, którego celem jest
w obecnoĘci osoby upowaŻnionej do przetwarzania
uzyskanie nieuprawnionego dost´pu do systemu
danych osobowych.
informatycznego;
II
2) utratÄ… danych spowodowanÄ… awariÄ… zasilania lub
1. W systemie informatycznym s"uŻącym do prze-
zak"óceniami w sieci zasilającej.
twarzania danych osobowych stosuje si´ mechanizmy
IV
kontroli dost´pu do tych danych.
2. JeÅ»eli dost´p do danych przetwarzanych w sys- 1. Identyfikator uÅ»ytkownika, który utraci" upraw-
nienia do przetwarzania danych, nie moÅ»e byç przy-
temie informatycznym posiadajÄ… co najmniej dwie
dzielony innej osobie.
osoby, wówczas zapewnia si´, aby:
a) w systemie tym rejestrowany by" dla kaŻdego 2. W przypadku gdy do uwierzytelniania uŻytkow-
uÅ»ytkownika odr´bny identyfikator; ników uÅ»ywa si´ has"a, jego zmiana nast´puje nie rza-
Dziennik Ustaw Nr 100 7023 Poz. 1024
dziej niÅ» co 30 dni. Has"o sk"ada si´ co najmniej z 6 VI
znaków.
Urządzenia, dyski lub inne elektroniczne noĘniki
3. Dane osobowe przetwarzane w systemie infor- informacji, zawierajÄ…ce dane osobowe, przeznaczone
matycznym zabezpiecza si´ przez wykonywanie kopii do:
zapasowych zbiorów danych oraz programów s"uŻą-
1) likwidacji pozbawia si´ wczeĘniej zapisu tych
cych do przetwarzania danych.
danych, a w przypadku gdy nie jest to moŻliwe,
4. Kopie zapasowe: uszkadza si´ w sposób uniemoÅ»liwiajÄ…cy ich od-
czytanie;
a) przechowuje si´ w miejscach zabezpieczajÄ…cych je
przed nieuprawnionym przej´ciem, modyfikacjÄ…, 2) przekazania podmiotowi nieuprawnionemu do
uszkodzeniem lub zniszczeniem; przetwarzania danych pozbawia si´ wczeĘniej
zapisu tych danych, w sposób uniemoŻliwiający
b) usuwa si´ niezw"ocznie po ustaniu ich uÅ»yteczno-
ich odzyskanie;
Ęci.
3) naprawy pozbawia si´ wczeĘniej zapisu tych da-
V
nych w sposób uniemoŻliwiający ich odzyskanie
albo naprawia si´ je pod nadzorem osoby upo-
Osoba uŻytkująca komputer przenoĘny zawierają-
waŻnionej przez administratora danych.
cy dane osobowe zachowuje szczególnÄ… ostroÅ»noĘç
podczas jego transportu, przechowywania i uŻytkowa-
VII
nia poza obszarem, o którym mowa w ż 4 pkt 1 rozpo-
rządzenia, w tym stosuje Ęrodki ochrony kryptograficz- Administrator danych monitoruje wdroŻone za-
nej wobec przetwarzanych danych osobowych. bezpieczenia systemu informatycznego.
B. Ârodki bezpieczeÅ‚stwa na poziomie podwyÅ»szonym
VIII X
W przypadku gdy do uwierzytelniania uŻytkowni-
Instrukcja zarzÄ…dzania systemem informatycznym,
ków uÅ»ywa si´ has"a, sk"ada si´ ono co najmniej z 8
o której mowa w ż 5 rozporzÄ…dzenia, rozszerza si´
znaków, zawiera ma"e i wielkie litery oraz cyfry lub
o sposób stosowania Ęrodków, o których mowa w pkt
znaki specjalne.
IX za"Ä…cznika.
IX
XI
Urządzenia i noĘniki zawierające dane osobowe,
o których mowa w art. 27 ust. 1 ustawy z dnia
Administrator danych stosuje na poziomie pod-
29 sierpnia 1997 r. o ochronie danych osobowych,
wyÅ»szonym Ęrodki bezpieczeÅ‚stwa okreĘlone w cz´Ä˜ci
przekazywane poza obszar, o którym mowa w ż 4 pkt
A za"Ä…cznika, o ile zasady zawarte w cz´Ä˜ci B nie sta-
1 rozporzÄ…dzenia, zabezpiecza si´ w sposób zapewnia-
jÄ…cy poufnoĘç i integralnoĘç tych danych. nowiÄ… inaczej.
C. Ârodki bezpieczeÅ‚stwa na poziomie wysokim
XII b) kontrol´ dzia"aÅ‚ inicjowanych z sieci publicznej
i systemu informatycznego administratora danych.
1. System informatyczny s"uŻący do przetwarzania
XIII
danych osobowych chroni si´ przed zagroÅ»eniami po-
chodzącymi z sieci publicznej poprzez wdroŻenie fi-
Administrator danych stosuje Ęrodki kryptograficz-
zycznych lub logicznych zabezpieczeł chroniących
nej ochrony wobec danych wykorzystywanych do
przed nieuprawnionym dost´pem.
uwierzytelnienia, które są przesy"ane w sieci publicznej.
2. W przypadku zastosowania logicznych zabezpie-
XIV
czeł, o których mowa w ust. 1, obejmują one:
Administrator danych stosuje na poziomie wyso-
a) kontrol´ przep"ywu informacji pomi´dzy syste- kim Ęrodki bezpieczeÅ‚stwa, okreĘlone w cz´Ä˜ci A i B
mem informatycznym administratora danych
za"Ä…cznika, o ile zasady zawarte w cz´Ä˜ci C nie stano-
a sieciÄ… publicznÄ…; wiÄ… inaczej.
Wyszukiwarka
Podobne podstrony:
ustawa o ochronie danych osobowychZarz¦ůdzanie systemami BHP, upowaznienie do przetwarzania danych osobowychdocABC zasad kontroli przetwarzania danych osobowychABC zasad bezpieczenstwa przetwarzania danych osobowychUstawa o ochronie danych osobowychUstawa o ochronie danych osobowychUstawa o ochronie danych osobowychustawa o ochronie danych osobowych 21,09,2015Ustawa z dnia 29 sierpnia 1997 r o ochronie danych osobowychO ochronie danych osobowych (USTAWA z dnia 29 sierpnia 1997 r )więcej podobnych podstron