Oprócz danych tzw. zwykłych, do których zaliczamy, m.in. adres zamieszkania, imię, nazwisko, datę urodzenia, nr PESEL, a czasami nawet adres email i IP komputera, rozróżniamy jeszcze dane wrażliwe. Są to informacje ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym. Zaliczają się do nich również dane dotyczące skazań, orzeczeń o ukaraniu i mandatach karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym.
Przetwarzanie danych wrażliwych w pracy informatyka
Kategoria: Ochrona danych osobowych
Data: 09-06-2014 r.
Każdy informatyk mający do czynienia z danymi osobowymi w swojej pracy zetknie się też z danymi wrażliwymi. Są to m.in. informacje o pochodzeniu rasowym, stanie zdrowia czy nałogach. Trzeba pamiętać, że wymagają one szczególnej ochrony.
Ochrona danych wrażliwych
Takie dane są szczególnie chronione, a ich przetwarzanie jest obarczone szczególnym reżimem prawnym. Trzeba więc stosować przy nich środki bezpieczeństwa na naprawdę wysokim poziomie, zapominając o archaicznym już podziale wynikającym z rozporządzenia MSWiA w sprawie warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych jeszcze z 2004 r. Mówi ono o poziomie podstawowym, podwyższonym i wysokim. Według ustawowej definicji poziom podstawowy stosuje się, gdy nie są przetwarzane dane wrażliwe i nie ma się dostępu do Internetu. Poziom podwyższony powinno się stosować, gdy przetwarzane są dane wrażliwe, ale nadal nie ma się dostępu do Internetu. Poziom wysoki stosuje się, gdy przynajmniej jedno urządzenie systemu informatycznego, służącego do przetwarzania danych osobowych, połączone jest z Internetem.
W obecnej rzeczywistości zawsze mamy do czynienia z poziomem wysokim, bo trudno sobie wyobrazić pracę bez dostępu do Internetu.
Normy bezpieczeństwa
Przy zapewnieniu ochrony danych osobowych na wysokim poziomie pomocne będą polskie i międzynarodowe normy z zakresu bezpieczeństwa informacji. Dobrym przykładem jest norma PN-ISO/IEC 27001.
Niektóre przepisy z zakresu ochrony danych rekomendują już stosowanie zaleceń ogólnie stosowanych norm. Przykładem może być ustawa o informatyzacji działalności podmiotów realizujących zadania publiczne, ustawa o systemie informacji w ochronie zdrowia, rozporządzenie rady ministrów w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych. W rozporządzeniu czytamy, że wymagania w zakresie opracowania systemu zarządzania bezpieczeństwem informacji uznaje się za spełnione, jeżeli system ten został opracowany na podstawie Polskiej Normy PN-ISO/IEC 27001.
Ponadto rozporządzenie mówi, że ustanawianie zabezpieczeń, zarządzanie ryzykiem oraz audytowanie odbywa się na podstawie Polskich Norm związanych z tą normą, w tym:
-
PN-ISO/IEC 17799 – w odniesieniu do ustanawiania zabezpieczeń,
-
PN-ISO/IEC 27005 – w odniesieniu do zarządzania ryzykiem,
-
PN-ISO/IEC 24762 – w odniesieniu do odtwarzania techniki informatycznej po katastrofie w ramach zarządzania ciągłością działania.
Przepisy samej ustawy o ochronie danych osobowych też będą pod tym kątem nowelizowane, aby nadążać za rozwojem osiągnięć cywilizacyjnych i technologicznych.
Źródło:
PN-ISO/IEC 27001, www.wiknet.net.pl
Zobacz także:
Tagi: dane osobowe, administrator it, audyt
Zaloguj się, aby dodać komentarz
Nie masz konta? Zarejestruj się »
