Określenie poziomu bezpieczeństwa

Prawidłowe sporządzenie dokumentacji dotyczącej ochrony danych osobowych w instytucji lub firmie wymaga poprawnego określenia poziomu bezpieczeństwa przetwarzania danych osobowych w systemie informatycznym. Wymóg ten wynika z rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004, Nr 100, poz. 1024) . Zgodnie z § 6 rozporządzenia wyróżniamy trzy poziomy:

1. Podstawowy. Odnosi się do instytucji lub firm, które w systemie informatycznym nie przetwarzają danych:
– ujawniających pochodzenie rasowe lub etniczne
– ujawniających poglądy polityczne
– ujawniających przekonania religijne lub filozoficzne
– ujawniających przynależność wyznaniową, partyjną lub związkową
– o stanie zdrowia
– o kodzie genetycznym
– o nałogach
– o życiu seksualnym
– dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych
– dotyczących innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym
oraz
żadne z urządzeń systemu informatycznego, służącego do przetwarzania danych osobowych nie jest połączone z siecią publiczną.

2. Podwyższony. Odnosi się do instytucji lub firm, w których w systemie informatycznym są przetwarzane dane wymienione w punkcie 1
oraz
podobnie jak w punkcie 1, żadne z urządzeń systemu informatycznego, służącego do przetwarzania danych osobowych nie jest połączone z siecią publiczną.

3. Wysoki. Stosuje się, gdy przynajmniej jedno urządzenie systemu informatycznego, służącego do przetwarzania danych osobowych, połączone jest z siecią publiczną.

Jeżeli ktoś z Państwa ma wątpliwości, czy Internet jest siecią publiczną, trzeba podkreślić, że odpowiedź jest tylko jedna – TAK, Internet jest siecią publiczną. Rozporządzenie nie wskazuje na to precyzyjnie i pojawiały się przypadki błędnego określania poziomu bezpieczeństwa przetwarzania danych osobowych w systemie informatycznym. Tłumaczono się zwykle nieznajomością prawa telekomunikacyjnego, które zawiera definicję pojęcia „sieć publiczna”. Obecnie dylemat ten został jednoznacznie rozstrzygnięty przez GIODO, m.in. w odpowiedzi na jedno z pytań na portalu informacyjno-edukacyjnym „eduGIODO”:

„Zgodnie z § 6 ust. 4 rozporządzenia wysoki poziom zabezpieczeń należy stosować w stosunku do komputera bądź sieci, które połączone są z siecią publiczną. Fakt zbierania danych przy użyciu poczty elektronicznej, która nie jest pocztą wewnętrzną funkcjonującą tylko w obrębie lokalnej sieci komputerowej, świadczy o tym, że sieć ta oraz podłączone do niej komputery, w tym ten, na którym odbierana jest poczta elektroniczna, połączone są z siecią publiczną. Komputer ten należy zatem zabezpieczyć na poziomie wysokim.”

Co to oznacza w praktyce? Konieczność określenia poziomu bezpieczeństwa przetwarzania danych osobowych (w systemie informatycznym) w większości przypadków jako WYSOKI. Wynika to z faktu, że w większości przypadków komputery służące do przetwarzania danych osobowych są połączone z Internetem. To natomiast oznacza konieczność zastosowania najbardziej restrykcyjnych środków bezpieczeństwa. Warto pamiętać, że administrator danych osobowych nie wybiera samodzielnie środków bezpieczeństwa na poszczególnych poziomach. Zostały one precyzyjnie wskazane w załączniku wspomnianego rozporządzenia (poz. 1024).

Środki bezpieczeństwa na poszczególnych poziomach zostaną omówione w osobnym artykule.