Poziom podwyższony ochrony danych osobowych

Autor: Marcin Szeliga
Data: 16-06-2014 r.

Na poziomie podwyższonym ochrony danych osobowych obowiązują wszystkie zabezpieczenia właściwe dla poziomu podstawowego. Trzeba jednak pamiętać o kilku dodatkowych zabezpieczeniach charakterystycznych dla tego poziomu.

Jeśli do uwierzytelniania użytkowników systemu używa się haseł, powinny one zawierać małe i duże litery oraz cyfry lub znaki specjalne i składać się z co najmniej 8 znaków. Ten wymóg również można spełnić, korzystając z wbudowanych funkcji serwera bazodanowego, jeśli tylko (zgodnie z wcześniejszą sugestią) uwierzytelnianie użytkowników przeprowadzane jest przez ten serwer, a nie po stronie aplikacji klienckiej.

Gdy urządzenia i elektroniczne nośniki informacji zawierające dane wrażliwe są przekazywane poza obszar przetwarzania, należy zabezpieczyć je w sposób zapewniający ochronę poufności i integralność. Obie, wspomniane wcześniej w artykule o ochronie danych na poziomie podstawowym, technologie szyfrowania dysków twardych (TrueCrypt i BitLocker) spełniają ten warunek. Trzeba mieć na uwadze, że szyfrowanie plików technologią EFS zapewnia jedynie poufność, ale nie integralność zaszyfrowanych informacji (teoretycznie atakujący może zmieniać szyfrogram bez jego wcześniejszego odszyfrowania, jednak w przypadku plików bazodanowych wymagałoby to od niego dogłębnej znajomości wewnętrznych mechanizmów działania danego serwera bazodanowego).

Wszystkie bazy trzeba chronić

Za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej osoby oraz dane pozwalające bez nadmiernych kosztów, czasu lub działań ustalić tożsamość osoby. W praktyce oznacza to, że bazy, w których przechowywane są dane klientów lub pracowników, podlegają tej ustawie. Wyjątkiem od powyższej reguły są bazy danych osób fizycznych, jeśli tylko są przetwarzane wyłącznie w celach osobistych lub domowych, oraz bazy używane wyłącznie do działalności dziennikarskiej, literackiej lub artystycznej.

Nie wszystkie bazy danych osobowych muszą zostać zgłoszone Generalnemu Inspektorowi Ochrony Danych Osobowych (GIODO). Z tego obowiązku zwolnione są bazy danych przetwarzane w związku z zatrudnieniem (np. wypłatą), świadczeniem usług (np. wystawieniem faktur) oraz w zakresie drobnych bieżących sprawach życia codziennego. Zwolnienie z obowiązku rejestracji nie zwalnia jednak z obowiązku przetwarzania danych zgodnie z ustawą, w szczególności z obowiązku zabezpieczenia bazy danych.

Marcin Szeliga, Microsoft Most Valuable Professional,założyciel SQLExpert.pl

Zaloguj się, aby dodać komentarz

Nie masz konta? Zarejestruj się »

Zobacz także

Jak zatrzeć ślady po przeglądaniu Internetu?

pobierz

Biznesplan

pobierz

Wzór Polityki Bezpieczeństwa w ochronie danych osobowych

pobierz

Konfiguracja bezpieczeństwa. Windows 10

pobierz

Polecane artykuły

Polecamy kancelarię:

Array ( [docId] => 35108 )
Array ( [docId] => 35108 )

Array ( [docId] => 35108 )