Administratorem danych osobowych (ADO) jest kierownik instytucji lub firmy, która posiada jakieś dane osobowe, np. pracowników, klientów, kontrahentów. Taką rolę pełni więc dyrektor szpitala, prezes zarządu firmy, właściciel jednoosobowej działalności gospodarczej czy kierownik ośrodka pomocy społecznej. Administratorami danych są zarówno podmioty publiczne, jak i niepubliczne. Podstawowym zadaniem ADO jest zastosowanie odpowiednich środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.
Zadania informatyka w procesie ochrony danych osobowych
Ustawa o ochronie danych osobowych rozdziela obowiązki związane z ochroną danych w firmie czy instytucjach pomiędzy trzy różne osoby, z których każda pełni inną funkcję. Jedną z nich jest administrator systemu informatycznego, który odpowiada za wdrożenie zabezpieczeń infrastruktury IT.
Do realizacji tych zadań muszą zostać powołani Administrator Bezpieczeństwa Informacji (ABI) oraz Administrator Systemu Informatycznego (ASI) – główny informatyk. ABI to osoba nadzorująca przestrzeganie zasad ochrony przetwarzanych danych osobowych wynikających z przepisów i wewnętrznych ustaleń administratora danych. Z kolei ASI, zwany informatykiem odpowiada za prawidłowe funkcjonowanie sprzętu i oprogramowania oraz techniczno-organizacyjną obsługę.
Instrukcja zarządzania
Naturalnym kandydatem na ASI jest kierownik działu IT. Przy czym funkcję ASI , a także ABI i mogą pełnić osoby z firm zewnętrznych, które w ramach outsourcingu świadczą takie usługi na podstawie stosownej umowy. Niestety obie te role często pełni jedna osoba. Nie jest to wprawdzie łamaniem przepisów, ale rozdzielenie tych obowiązków ma ważne uzasadnienie. ABI to bardziej organizator nadzorujący kwestie formalne i merytoryczne, opisane w „Polityce bezpieczeństwa danych osobowych” firmy. ASI to technik wdrażający zabezpieczenia informatyczne opisane w „Instrukcji zarządzania systemem informatycznym” służącym do przetwarzania danych osobowych. Wymóg opracowania wspomnianych dokumentów w formie pisemnej wynika z przepisów prawa, min. art. 36 ust. 2 uodo.
Wprawdzie ustawa mówi jedynie o obowiązku wyznaczenia ABI, ale już np. różne przepisy „medyczne” (m.in. ustawa o systemie informacji w ochronie zdrowia) wymagają powołania ASI. Coraz częściej też przepisy prawne powołują się i rekomendują polskie i międzynarodowe normy z zakresu bezpieczeństwa informacji, a tam informatyk (ASI) gra pierwszoplanową rolę.
Jednak normy, np. ISO, można mieć lub się na nich opierać, lecz formalnego przymusu do ich stosowania nie ma. Chcąc zapewnić w miarę skuteczną ochronę posiadanych informacji, należy śledzić na bieżąco rozwój technologii oraz towarzyszące temu coraz bardziej wyrafinowane zagrożenia. Poza tym, bazując na ogólnie stosowanych i uznawanych normach, należy stosować silne środki bezpieczeństwa. Dlatego tak ważnym jest posiadanie w organizacji dobrego informatyka.
Zapamiętaj!
Obowiązki ASI muszą być formalnie określone: umową o pracę, umową z firmą zewnętrzną, czy chociażby załącznikiem w „Polityce bezpieczeństwa informacji”. Jeśli Administrator danych nie wyznaczy ABI i ASI, to automatycznie samodzielnie wykonuje te czynności. Najczęściej jednak GIODO (Generalny Inspektor Ochrony Danych Osobowych) decyzją administracyjną nakazuje wyznaczyć takie funkcje. Nie ma to jednak zastosowania do osób fizycznych prowadzących jednoosobową działalność gospodarczą.
Środki bezpieczeństwa
ASI organizuje i wdraża odpowiednie zabezpieczenia, a później - w miarę potrzeb - sprawdza ich stosowanie przez użytkowników. Do podstawowych środków zabezpieczenia, które spełniają formalne wymagania, należą m.in.: fizyczne zabezpieczenie pomieszczeń, w których znajdują się komputery, serwer i centra energetyczne oraz zabezpieczenie systemu informatycznego mechanizmami kontroli dostępu do danych, który powinien być możliwy wyłącznie po wprowadzeniu identyfikatora i dokonaniu uwierzytelnienia.
ADO szczególną uwagę powinien zwrócić na stosowanie mechanizmów wymuszających konfigurację i częstotliwość zmiany haseł. Przepisy mówią, że hasło musi składać się z co najmniej ośmiu znaków, zawierać w sobie małe i duże litery oraz cyfry lub znak specjalny i powinno być zmieniane nie rzadziej niż 30 dni. Obowiązek bezpiecznego skonfigurowania i użytkowania hasła można jednak przenieść na osoby, które są upoważnione do przetwarzania danych. W praktyce oznacza to wymuszenie na użytkownikach komputerów zmiany haseł, np. poprzez odpowiednią konfigurację Active Directory.
Kolejne kwestie, na które bezwzględnie powinien zwrócić uwagę ASI, to zabezpieczenie systemu informatycznego przed awarią zasilania, czyli chociażby stosowanie UPS-ów, a także tworzenie kopii bezpieczeństwa. Tryb i częstotliwość wykonywania kopii zapasowych należy zorganizować według własnych potrzeb i możliwości, ale kopie takie należy przechowywać w innym pomieszczeniu niż to, w którym są robione.
Normą musi być aktualny antywirus i włączona zapora sieciowa. Szczególną uwagę należy zwrócić na urządzenia przenośne przetwarzające dane osobowe oraz na pracę mobilną i na odległość, przy której ma się dostęp do danych. W takich sytuacjach należy wykorzystywać środki kryptograficznej ochrony danych. Szyfrowane protokoły muszą też być stosowane w procesie uwierzytelniania, np. logowania się na stronach WWW. Nie można też zapomnieć o takich drobiazgach, jak stosowanie wygaszaczy ekranów zabezpieczonych hasłem i ustawianie monitorów w taki sposób, aby nie miały do nich wglądu osoby nieupoważnione.
Nie jest trudno sprostać formalnym wymaganiom wynikającym z ustawy o ochronie danych osobowych w zakresie technicznego zabezpieczenia systemu IT wykorzystywanego do przetwarzania danych.
Przy ochronie danych osobowych w praktyce często są stosowane mocniejsze środki niż te minimalne, wymagane przepisami. Biorąc pod uwagę kategorie danych, ich wartość, podatność na zagrożenia, trzeba stosować adekwatne środki bezpieczeństwa, wykorzystując najnowsze rozwiązania w tej dziedzinie.
Źródło:
PN-ISO/IEC 27001, www.wiknet.net.pl
Zobacz także:
Tagi: dane osobowe, administrator it
Zaloguj się, aby dodać komentarz
Nie masz konta? Zarejestruj się »
