ABC bezpieczeństwa danych osobowych przetwarzanych przy użyciu systemów informatycznych

Wprowadzenie

Zgodnie z art. 36 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity: Dz.U. z 2014 r. poz. 1182 z późn. zm.; dalej jako: ustawa), administrator danych osobowych zobowiązany jest do zapewnienia ochrony przetwarzanych danych osobowych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Jakość zapewnianej ochrony powinna być odpowiednia do zagrożeń oraz kategorii danych nią objętych. Ponadto zgodnie z art. 38 ustawy administrator danych zobowiązany jest zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane.
Ten ostatni wymóg, pomimo że umieszczony został w rozdziale 5 ustawy dotyczącym zabezpieczenia przetwarzanych danych, odnosi się nie tylko do kwestii bezpieczeństwa, ale również – odpowiednich funkcjonalności przyjętego systemu przetwarzania. Funkcjonalności te wynikają z kolei nie tylko z potrzeby zapewnienia bezpieczeństwa danych, ale również z konieczności zapewnienia określonych właściwości oraz warunków umożliwiających administratorowi realizację zobowiązań wobec osób, których dane dotyczą wynikających z art. 32 i 33 ustawy i § 7 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. nr 100 poz. 1024; dalej jako: rozporządzenie). Wymagane w przywołanych przepisach obowiązki sprowadzają się m.in. do zapewnienia i udostępniania – na żądanie osoby, której dane są przetwarzane – informacji o:

  1. dacie, od kiedy przetwarza się w zbiorze jej dane osobowe, oraz treści tych danych,
  2. źródle, z którego pochodzą dane jej dotyczące, chyba że administrator jest obowiązany do zachowania w tym zakresie tajemnicy państwowej, służbowej lub zawodowej,
  3. sposobie i zakresie udostępniania jej danych, a w szczególności informacji o odbiorcach lub kategoriach odbiorców, którym dane te są udostępniane,
  4. sposobie, w jaki zebrano dane.

Ogólnie przez pojęcie zapewnienia ochrony przetwarzanym danym należy rozumieć działanie mające na celu zabezpieczenie przed czymś złym, niekorzystnym, niebezpiecznym. W odniesieniu do danych osobowych będą to działania mające na celu zapewnienie, aby były one pozyskiwane i przetwarzane zgodnie z przepisami prawa. Oznacza to miedzy innymi, że powinny być one wykorzystywane tylko w określonym celu, zabezpieczone przed nieuprawnionymi zmianami, ujawnieniem nieupoważnionym osobom, zniszczeniem, utratą lub uszkodzeniem.
Czynności podejmowane w ramach tych działań oraz zastosowane środki techniczne i organizacyjne będą zależne od środowiska, w jakim dane są przetwarzane.
W niniejszym opracowaniu zostały omówione zagadnienia związane z zapewnieniem ochrony danych przetwarzanych przy użyciu systemów informatycznych. Pojęcie „ochrony danych” należy w tym przypadku utożsamiać z pojęciem „bezpieczeństwa informacji”, stosowanym w literaturze z zakresu bezpieczeństwa teleinformatycznego. Według normy PN-ISO/IEC-17799:20051 przez bezpieczeństwo informacji należy rozumieć zachowanie poufności, integralności, dostępności, rozliczalności, autentyczności, niezaprzeczalności i niezawodności. Wymienione właściwości, wg definicji zawartych w PN-I-13335-12, polegają odpowiednio na:



Poufność – zapewnieniu, że informacja nie jest udostępniana lub ujawniana nieautoryzowanym osobom, podmiotom lub procesom,

Integralność – zapewnieniu, że dane nie zostały zmienione lub zniszczone w sposób nieautoryzowany,

Dostępność – zapewnieniu bycia osiągalnym i możliwym do wykorzystania na żądanie, w założonym czasie, przez autoryzowany podmiot,

Rozliczalność – zapewnieniu, że działania podmiotu mogą być przy pisane w sposób jednoznaczny tylko temu podmiotowi,

Autentyczność – zapewnieniu, że tożsamość podmiotu lub zasobu jest taka, jak deklarowana (autentyczność dotyczy użytkowników, procesów, systemów i informacji),

Niezaprzeczalność – braku możliwości wyparcia się swego uczestnictwa w całości lub w części wymiany danych przez jeden z podmiotów uczestniczących w tej wymianie,

Niezawodność – zapewnieniu spójności oraz zamierzonych zachowań i skutków.

 

Należy zwrócić uwagę, że zapewnienie a następnie wykazanie określonych właściwości wymaga często zastosowania określonych środków i jednoczesnego spełnienia wielu warunków. Zapewnienie np. niezaprzeczalności podpisu elektronicznego (wykazanie, że dany dokument elektroniczny podpisała określona osoba) wymaga udowodnienia, że dany dokument nie został zmieniony (integralność), a złożony podpis należy do danej osoby (uwierzytelnienie).
Gdy do przetwarzania danych osobowych wykorzystuje się systemy informatyczne, zadania dotyczące zapewnienia określonych właściwości przenoszone są na odpowiednie wymagania dotyczące właściwości tych systemów. Dodatkowy problem, jaki wówczas powstaje, polega na zapewnieniu skuteczności i ciągłości zachowywania przez systemy informatyczne wymaganych właściwości. Właściwości te mogą być utracone na skutek błędów popełnionych przez administratora systemu lub celowych działań osób nieupoważnionych do ingerowania w dany system informatyczny. W konsekwencji, oprócz działań mających na celu ochronę przetwarzanych danych, należy zapewnić również ochronę systemu informatycznego, którego użyto do ich przetwarzania. Stąd też w przepisach wykonawczych do ustawy, wydanych na podstawie delegacji zawartej w art. 39a, określone zostały wymagania dotyczące nie tylko polityki bezpieczeństwa, ale również systemu informatycznego oraz sposobu zarządzania nim.