Zabezpieczenie systemu informatycznego, który wykorzystywany jest do przetwarzania danych osobowych, wymaga zastosowania odpowiednio dobranych środków. Według artykułu 24 ustawy o RODO należy wykorzystać wszystkie niezbędne środki techniczne i organizacyjne, aby należycie zadbać o bezpieczeństwo danych osobowych.
Czym jest system informatyczny służący do przetwarzania danych osobowych?
GIODO rozumie przez system informatyczny każde urządzenie elektroniczne, podłączone do sieci internetowej. Dokładne objaśnienie systemu informatycznego zostało określone w artykule 7 pkt 2 a ustawy o ochronie danych osobowych W treści tego aktu system informatyczny jest zespołem współpracujących ze sobą urządzeń procedur przetwarzania informacji i narzędzi programowych, a także programów stosowany w celu przetwarzania danych osobowych. Każdy z tych wyżej wymienionych elementów, czyli komputer, serwer lub oprogramowanie, jest częścią systemu informatycznego. Według GIODO każdy komputer, bez względu na to czy jest to urządzenie stacjonarne, czy też przenośne, podłączony do sieci publicznej i zawierający dane osobowe, traktowany jest jako system informatyczny. Według art. 7 pkt 2 ustawy o ochronie danych osobowych Word czy Excel, czyli bardzo popularne służące do edycji tekstu lub też zawierające arkusze kalkulacyjne, również są częścią systemu informatycznego, ponieważ zawierają one dane osobowe, które są przetwarzane i edytowane.
Jakie powinno być zabezpieczenie systemu informatycznego przeznaczonego do przetwarzania danych osobowych?
Zabezpieczeniem systemu informatycznego przeznaczonego do przetwarzania danych osobowych jest wykorzystanie identyfikatorów użytkowników, którzy wprowadzają dane osobowe do systemu. Wyjątkiem od tej reguły jest wprowadzanie i edycja danych osobowych, wykonywana wyłącznie przez jedną oddelegowana do tego zadania osobę. Zabezpieczeniem systemu informatycznego przeznaczonego do przetwarzania danych osobowych jest także sporządzanie i wydrukowanie raportu, zawierającego spis czynności, które odbyły się w toku przetwarzania danych osobowych w systemie informatycznym, należącym do instytucji lub przedsiębiorstwa. W przypadku przetwarzania danych osobowych, w co najmniej dwóch systemach informatycznych, które są na wyposażeniu przedsiębiorstwa bądź instytucji, wymagane jest, aby były realizowane one w jednym z nich lub w odrębnym systemie informatycznym, przeznaczonym do tego celu. Zabezpieczeniem w trakcie przetwarzania danych osobowych jest także polityka haseł. Uzależniona od poziomu zabezpieczeń, jaki administrator danych musi zapewnić poszczególnym elementom wybranego systemu informatycznego.
Polityka haseł i warunki techniczne, jakie powinna spełnić serwerownia
Zgodnie z rozporządzeniem MSWiA z 29 kwietnia 2004 roku dostępne są trzy poziomy bezpieczeństwa dla systemu informatycznego. W każdym z nich zostały określone zasady postępowania z hasłami. W przypadku poziomu podstawowego, kiedy system jest podłączony do sieci publicznej, czyli Internetu, hasło powinno składać się z co najmniej sześciu znaków, a jego zmiana nie musi następować krócej niż co 30 dni. W przypadku poziomu podwyższonego, kiedy system nie jest podłączony do sieci publicznej Internetu, hasło może składać się z 8 znaków, a jego zmiana również nie musi następować rzadziej niż co 30 dni, gdy system informatyczny jest podłączony do sieci publicznej Internetu przez cały czas zjawisko to nazywane jest poziomem podwyższonym. Wówczas hasło powinno składać się z 8 znaków, a jego zmiana powinna być przeprowadzana w regularnych odstępach, jednak nie krócej niż co 30 dni.
Zaostrzone standardy bezpieczeństwa stosuje się, gdy za pomocą haseł użytkownicy mają dostęp do danych osobowych. W przypadku, gdy hasła do bazy danych osobowych przechowywane są w formie elektronicznej należy pamiętać o zastosowaniu metod kryptograficznych. Uniemożliwiają one uzyskanie dostępu do nich osobom postronnym. Mogą być to na przykład elektroniczne sejfy takie jak KeePass. Duże znaczenie mają także warunki techniczne, jakie powinno spełniać pomieszczenie, w którym znajduje się serwer służący do przechowywania danych osobowych. Serwerownia nie może być narażona na zalanie, a dostęp do tego pomieszczenia powinien być na bieżąco kontrolowany.
Zgodnie z ustawą z dnia 29 sierpnia 1997 roku o ochronie danych osobowych administrator tych danych jest zobowiązany pełnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo są dodawane do zbioru, a także komu są przekazywane. Dodatkowo w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z 29 kwietnia 2004 roku dokładnie określono warunki, które musi spełnić system informatyczny, aby był on bezpieczny i odpowiednio chroniony.
