Informacje o kontrahentach firma musi chronić

Z danymi osobowymi ma do czynienia na co dzień każdy przedsiębiorca. Segregatory z fakturami, teczki i kartoteki z aktami personalnymi, komputerowe spisy klientów – trzeba zapewnić im bezpieczeństwo, bo dane osobowe podlegają szczególnej ochronie

Publikacja: 22.05.2009 07:00

Informacje o kontrahentach firma musi chronić

Foto: Fotorzepa, Rob Robert Gardziński

Red

Zapewnienie bezpieczeństwa danym jest obowiązkiem administratora, którym staje się automatycznie każda jednostka organizacyjna (firma, spółka, indywidualny przedsiębiorca) decydująca o celach i środkach przetwarzania danych. Może on powołać administratora bezpieczeństwa informacji lub upoważnić dowolną osobę do przetwarzania danych – albo robi to sam.

[srodtytul]Niezbędne będą dokumenty [/srodtytul]

Administrator danych musi stworzyć następujące dokumenty:

- polityka bezpieczeństwa – rozumiana jako zestaw praw, reguł i praktycznych doświadczeń dotyczących sposobu zarządzania, ochrony i dystrybucji danych osobowych wewnątrz organizacji. Dotyczy to danych przetwarzanych zarówno tradycyjnie, jak i w systemach informatycznych. Polityka bezpieczeństwa powinna zawierać szczególnie:

– wykaz budynków, pomieszczeń lub ich części tworzących obszar, w którym przetwarzane są dane osobowe

– wykaz zbiorów danych i programów zastosowanych do ich przetwarzania

– opis struktury zbiorów wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi

– sposób przepływu danych między poszczególnymi systemami

– określenie środków technicznych i organizacyjnych niezbędnych do zapewnienia poufności, integralności i rozliczalności przy przetwarzaniu danych (wyjaśnienie tych pojęć dalej)

- instrukcja dostępu do systemu informatycznego

Do tego dochodzą załączniki:

- upoważnienia dla przetwarzających dane

- rejestry: osób upoważnionych oraz kopii zapasowych

[srodtytul]I w szafach, i w komputerach[/srodtytul]

Dane na nośniku tradycyjnym, a więc zapisane na papierze, gromadzone w kartotekach, teczkach, skoroszytach, zbiorach fiszek itp., muszą być przechowywane w solidnie zamykanych szafach, chronionych pomieszczeniach zaopatrzonych w porządne zamki lub systemy alarmowe, do których dostęp mogą mieć tylko osoby upoważnione przez administratora danych. Należy prowadzić dokumentację zarówno sposobu przetwarzania danych, jak i stosowanych środków zabezpieczających.

Większość danych jest obecnie przechowywana i przetwarzana w komputerach i systemach informatycznych. Pojęcie ich ochrony jest tożsame z pojęciem bezpieczeństwa informacji (przez analogię z bezpieczeństwem teleinformatycznym), które zgodnie z normą PN-ISO/IEC-17799:2005 oznacza zachowanie poufności, integralności, dostępności, rozliczalności, autentyczności, niezaprzeczalności i niezawodności. Definicje tych właściwości zawiera z kolei norma PN-I-13335-1. I tak:

- poufność – pewność, że informacja nie jest udostępniana osobom niepowołanym

- integralność – pewność, że danych bezprawnie nie zmieniono lub nie zniszczono

- dostępność – pewność bycia osiągalnym na żądanie

- rozliczalność – pewność, że działania danego podmiotu można przypisać tylko jemu

- autentyczność – pewność co do tożsamości podmiotu

- niezaprzeczalność – niemożność zaprzeczenia uczestnictwa

- niezawodność – spójność i celowość zachowań i skutków

[srodtytul]Trzy poziomy[/srodtytul]

A oto inne co ważniejsze zasady zarządzania bezpieczeństwem danych w systemach informatycznych. Rozporządzenie wprowadza trzy poziomy zabezpieczeń:

- podstawowy – gdy nie przetwarza się tzw. danych wrażliwych (o których mowa w art. 27 ustawy) i żadne z urządzeń nie jest połączone z siecią publiczną,

- podwyższony – gdy przetwarza się dane wrażliwe i nie ma połączenia z siecią publiczną,

- wysoki – gdy przynajmniej jedno z urządzeń jest połączone z siecią publiczną.

Wykaz minimalnych środków organizacyjnych i technicznych, jakie należy stosować na każdym z poziomów, określa szczegółowo załącznik do rozporządzenia.

[srodtytul]Co w instrukcji[/srodtytul]

Powinny się tam znaleźć informacje o systemie i zbiorach przetwarzanych przy jego użyciu, o rozwiązaniach technicznych, procedurach eksploatacji i zasadach użytkowania. Instrukcja musi omawiać czynności związane z uruchamianiem systemu, logowaniem, przerwami w pracy tak, by zachować poufność haseł oraz uniemożliwić nieuprawnione przetwarzanie danych.

Instrukcja musi też opisywać zasady przyznawania użytkownikom uprawnień, stosowania identyfikatorów, zabezpieczania hasłami – z wymogami dotyczącymi powtarzalności, zestawu znaków, częstotliwości i metody zmiany. Hasło użytkownika powinno mieć co najmniej sześć lub osiem znaków – w zależności od tego, czy przetwarza się dane wrażliwe – i być zmieniane najrzadziej co 30 dni. Jeśli stosowane są inne sposoby weryfikacji tożsamości użytkownika (np. karty mikroprocesorowe lub metody biometryczne), instrukcja powinna zawierać wytyczne ich stosowania.

Inne kwestie, które powinna regulować instrukcja, to: procedury tworzenia kopii zapasowych, sposób, miejsce i okres przechowywania nośników i kopii, sposób zabezpieczenia przed szkodliwym oprogramowaniem i wirusami.

Zawarte w instrukcji procedury i wytyczne muszą trafić do osób odpowiedzialnych za ich realizację – stosownie do uprawnień, zakresu obowiązków i odpowiedzialności.

[ramka][b]Najważniejsze przepisy[/b]

Obowiązek zapewnienia bezpieczeństwa danych osobowych nakłada [link=http://www.rp.pl/aktyprawne/akty/akt.spr;jsessionid=C1D7DF962263F6E6A3B4FDD6D9C63AEF?id=166335]ustawa o ochronie danych osobowych z 29 sierpnia 1997 r. (tekst jedn. DzU 2002 r. nr 101, poz. 926 ze zm.)[/link], a szczegółowe działania, jakie trzeba podjąć, aby dane nie trafiły do osób niepowołanych, zawiera [link=http://www.rp.pl/aktyprawne/akty/akt.spr;jsessionid=0B5DF8E6CD0AFAC0F30FFB0A5BFA8203?id=173419]rozporządzenie z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych z załącznikiem (DzU z 2004 r. nr 100, poz. 1024).[/link]

[b]Częste błędy[/b]

- W niektórych firmach rozumują tak: my nie przetwarzamy danych osobowych, w segregatorze mamy tylko imiona i nazwiska osób, którym firma dofinansowała zakup okularów. Błąd. To także zbiór danych, które podlegają ochronie.

Teczka z papierowymi fakturami i ich spis w komputerze to nie osobne bazy danych, jak się czasem sądzi, lecz jeden zbiór na różnych nośnikach – każdego trzeba strzec.

- Kolejny błąd popełniany przez przedsiębiorcę: niech o dane moich klientów na stronie WWW troszczy się hostingodawca. Błąd. Administratorem danych wciąż jest firma – i to ona za nie odpowiada. Z firmą hostującą podpisujemy umowę powierzenia (art. 31 ustawy) ze zobowiązaniem do ochrony danych i odpowiedzialności (roz. 5 ustawy).

- Zatrudniony na kilka tygodni praktykant, który np. sprawdza, czy wpłynęły pieniądze z faktur, także musi zostać upoważniony do przetwarzania danych osobowych, wpisany do rejestru i odpowiednio poinstruowany.

- Pracownicy mawiają: do mojego pokoju nie ma dostępu nikt poza mną i kolegą. A sprzątaczka? Ktoś ją przecież może namówić, by np. wykradła dane. [/ramka]

masz pytanie, wyślij e-mail do autora [mail=j.domagala@rp.pl]j.domagala@rp.pl[/mail]

Zapewnienie bezpieczeństwa danym jest obowiązkiem administratora, którym staje się automatycznie każda jednostka organizacyjna (firma, spółka, indywidualny przedsiębiorca) decydująca o celach i środkach przetwarzania danych. Może on powołać administratora bezpieczeństwa informacji lub upoważnić dowolną osobę do przetwarzania danych – albo robi to sam.

[srodtytul]Niezbędne będą dokumenty [/srodtytul]

Pozostało 95% artykułu
Konsumenci
Pozew grupowy oszukanych na pompy ciepła. Sąd wydał zabezpieczenie
https://track.adform.net/adfserve/?bn=77855207;1x1inv=1;srctype=3;gdpr=${gdpr};gdpr_consent=${gdpr_consent_50};ord=[timestamp]
Sądy i trybunały
Dr Tomasz Zalasiński: W Trybunale Konstytucyjnym gorzej już nie będzie
Konsumenci
TSUE wydał ważny wyrok dla frankowiczów. To pokłosie sprawy Getin Banku
Nieruchomości
Właściciele starych budynków mogą mieć problem. Wygasają ważne przepisy
Materiał Promocyjny
Bank Pekao wchodzi w świat gamingu ze swoją planszą w Fortnite
Prawo rodzinne
Przy rozwodzie z żoną trzeba się też rozstać z częścią krów