XII Konferencja PLOUG

Zakopane
Padziernik 2006

Wymagania dotyczce bezpieczestwa

informacji i baz danych zawarte
w obowizujcych w Polsce aktach
prawnych
Jakub Radziulis, prof. Witold Houbowicz
Uniwersytet im. Adama Mickiewicza w Poznaniu
email:radziuli@amu.edu.pl, holub@amu.edu.pl
Rafa Knapik
ITTI Sp. z o.o.
email: rafal.knapik@itti.com.pl

Abstrakt
Artyku dokonuje analizy obowizujcych w Polsce aktw prawnych pod ktem zapisw dotyczcych zabezpiecze baz
danych i informacji przechowywanych w tych bazach. Analiza jest przeprowadzona w celu okrelenia, na jakie przepisy
prawa musi wrci uwag administrator bazy danych oraz waciciel danych w zalenoci od informacji jaka jest w niej
przechowywana i charakterystyki organizacji, ktra wykorzystuje dan baz (podmiot publiczny, czy podmiot prywatny).
W ramach artykuu przedstawione zostay wymagania dotyczce bezpieczestwa zawarte m.in. w ustawie o ochronie danych osobowych, ustawie o ochronie baz danych, ustawie o informatyzacji dziaalnoci podmiotw publicznych, ustawie o
wiadczeniu usug drog elektroniczn, ustawie o ochronie informacji niejawnych, ustawie skarbowej, prawie telekomunikacyjnym oraz powizanych z tymi ustawami rozporzdzeniach. W artykule zwrcona zostaa uwaga na aspekty zwizane
z odpowiedzialnoci waciciela bazy danych za informacj w niej przechowywan i przedstawione zostay sytuacje,
w ktrych jest on z tej odpowiedzialnoci zwolniony.

Wymagania dotyczce bezpieczestwa in-formacji i baz danych zawarte w obowizujcych...

237

Wstp
Punktem wyjcia do przeprowadzenia analizy aktw prawnych pod ktem stawianych przez nie
wymaga bezpieczestwa dla baz danych i informacji w nich przechowywanych byo powszechnie wykorzystywane stwierdzenie: Nieznajomo prawa nie zwalnia z odpowiedzialnoci za jego
przestrzeganie.
Mnogo aktw prawnych, ktre definiuj i okrelaj zasady postpowania w zakresie ochrony
informacji w zalenoci od jej rodzaju, moe spowodowa sytuacj, w ktrej uytkownik nie jest
wiadomy, e podejmowane przez niego dziaania mog podlega regulacjom prawnym. Zapewne
nikt nie chce, przynajmniej wiadomie, nie przestrzega obowizujcego w Polsce prawa. Zgodno z regulacjami prawnymi powinna by dla kadego podmiotu priorytetem, czy to w dziaaniu
biznesowym czy te w innym. Zgodno ta ma wpyw na pozycj i konkurencyjno podmiotw
biznesowych oraz na prawidowe wykonywanie statutowych dziaa w przypadku instytucji publicznych. Zatem znajomo i stosowanie regulacji prawa dotyczcych bezpieczestwa baz danych
i informacji w nich zawartych jest kwestia istotn dla kadego administratora baz danych. wiadomo, ktre akty prawne dotycz ich dziaania, oraz ktre zapisy s w nich najwaniejsze, zdaje
si by dla administratorw elementem koniecznym w ich codziennej pracy. Mamy nadziej, e po
przeczytaniu niniejszego artykuu wiedza w wymienionym zakresie zostanie poszerzona.
W niniejszym artykule analizie zostay poddane nastpujce ustawy i rozporzdzenia odnoszce si do baz danych lub informacji w nich przechowywanych:
Ustawa o ochronie danych osobowych,
Ustawa o ochronie baz danych,
Ustawa o informatyzacji dziaalnoci podmiotw realizujcych zadania publiczne,
Ustawa o wiadczeniu usug drog elektroniczn,
Ustawa o ochronie informacji niejawnych,
Ustawie o rachunkowoci,
Prawo Telekomunikacyjne,
Rozporzdzenie w sprawie minimalnych wymaga dla systemw teleinformatycznych,
Rozporzdzenie w sprawie minimalnych wymaga dla rejestrw publicznych i wymiany in-

formacji w formie elektronicznej,

Rozporzdzenie w sprawie sposobu, zakresu i trybu udostpniania danych zgromadzonych

w rejestrze publicznym,
Ustawa o narodowym zasobie archiwalnym i archiwach.

Poniewa cz z wyej wymienionych aktw prawnych dotyczy tylko podmiotw publicznych, analiza aktw prawnych zostaa podzielona na dwie czci:
analiza aktw prawnych odnoszcych si do wszystkich podmiotw,
analiza aktw prawnych dotyczcych podmiotw realizujcych zadania publiczne.

Wynikiem przeprowadzonej analizy, jest przedstawiony poniej opis najwaniejszych czci

aktw prawnych odnoszcych si do omawianego tematu.

238

Jakub Radziulis, prof. Witold Houbowicz, Rafa Knapik

Bezpieczestwo w rozumieniu aktw prawnych

Przed przystpieniem do waciwej analizy zadano sobie pytanie, czy tworzone w RP akty
prawne rozumiej pojcie bezpieczestwa i ochrony danych w ten sam sposb. Po przeprowadzeniu analizy opisywanych dokumentw nie mona jednoznacznie odpowiedzie na to pytanie
w sposb twierdzcy. Wtpliwoci wynikaj z nastpujcych faktw:

Analizowane akty prawne powstaway w rnych okresach czasu i opracowywane zostay

przez rne zespoy im wicej zespow pracujcych przy aktach prawnych, tym wiksze ryzyko, e sowo bezpieczestwo zostanie zinterpretowane w odmienny sposb;
oprcz tego nie sposb zauway, e im pniej akt prawny zosta utworzony bd nowelizowany, tym dokadniej i precyzyjniej pojcie bezpieczestwo byo w tym akcie wykorzystywane.

Rne zakresy stosowania aktw prawnych powoduj, e wykorzystywane w nich pojcie

bezpieczestwa odnosi si w znacznej wikszoci tylko i wycznie do zakresu zdefiniowanego w treci pojcie ochrony danych rozumiane jest inaczej w Ustawie
o ochronie danych osobowych ni w Ustawie o ochronie informacji niejawnej w kontekcie przedmiotu ochrony.

Nie we wszystkich aktach prawnych aspekty bezpieczestwa zostay potraktowane w naleyty sposb w naszej opinii niektre akty prawne tylko oglnie nadmieniaj konieczno zachowania ochrony i bezpieczestwa bez gbszych wyjanie i wskaza w tym zakresie.

Normalizacja znaczenia pojcia bezpieczestwo pojawia si dopiero z momentem adaptacji normy ISO 17799:2000 na PN/ISO 17799 naley zauway, e norma PN jest tylko
wskazaniem i wytyczn, jej stosowanie nie jest i nie bdzie obowizkowe dopki nie zostanie to jednoznacznie wskazane w treci ustawy lub rozporzdzenia.

Opisane rozbienoci w pojmowaniu i rozumieniu bezpieczestwa w rnych ustawach

i rozporzdzeniach wymusiy opracowanie i zdefiniowanie przez nas takiego podejcia do analizy,
ktre umoliwiao jej wykonanie w taki sam sposb dla kadego z rozpatrywanych aktw prawnych. Przyjta przez nas definicja pojcia bezpieczestwa jest zgodna z polsk norm PN/ISO
17799, ktra opisuje zapewnienie bezpieczestwa informacji jako zachowanie jej trzech cech:

poufnoci,

integralnoci,

dostpnoci.

Bdc zgodnym z powyszym zaoeniem podczas analizy aktw prawnych pod ktem opisanych w nich wymaga dla baz danych lub informacji, brano pod uwag poza zapisami dotyczcymi zabezpiecze take fragmenty dotyczce udostpniania i wymogw zachowania integralnoci
przy ich przesyaniu oraz przetwarzaniu.

Akty prawne dotyczce wszystkich podmiotw

W rozdziale zostay opisane akty prawne dotyczce w sposb oglny wszystkich podmiotw,
o ile podmioty te realizuj zadania okrelone w zakresie tych aktw, lub przetwarzaj dane, ktrych dotycz zapisy w dokumentach. Analizowane akty prawne to:

Ustawa o ochronie danych osobowych,

Ustawa o ochronie baz danych,

Wymagania dotyczce bezpieczestwa in-formacji i baz danych zawarte w obowizujcych...

Ustawa o wiadczeniu usug drog elektroniczn,

Ustawa o ochronie informacji niejawnych,

Ustawa o rachunkowoci,

Prawo Telekomunikacyjne.

239

W kolejnych podrozdziaach zostan one omwione dokadniej.

3.1. Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych

Ustawa okrela zasady postpowania przy przetwarzaniu danych osobowych oraz prawa osb,
ktrych dane s przetwarzane, niezalenie od sposobu przetwarzania danych (papierowo lub elektronicznie). W zakresie zabezpiecze baz danych i przechowywanych w nich informacji. Ustawa
ta definiuje nastpujce kwestie:

Okrelenie co Ustawa rozumie pod pojciem dane osobowe (Art. 6).

Okrelenie organw ochrony danych osobowych (rozdzia 2) w tym wyszczeglnienie

praw i obowizkw Generalnego Inspektora Ochrony Danych Osobowych (dalej okrelanego skrtem GIODO) (Art. 12, 14, 18-20) i obowizkw podmiotw wzgldem
GIODO (Art. 15).

Okrelenie zasad przetwarzania danych osobowych (rozdzia 3).

Wskazanie praw osoby, ktrej dane s przetwarzane (rozdzia 4).

Aspekt zabezpieczania danych osobowych (rozdzia 5).

Obowizek rejestrowania zbiorw danych osobowych (rozdzia 6).

Zasady przekazywania danych osobowych do pastw trzecich (rozdzia 7).

Analiza kwestii istotnych

Ustawa prawie w caoci (poza artykuami dotyczcymi organizacji i zasad dziaania GIODO
i organw przez niego powoanych) dotyczy analizowanego tematu w kontekcie przetwarzania
i przechowywania danych osobowych obywateli Rzeczypospolitej Polskiej.
W ramach praw i obowizkw GIODO i organw przez niego powoanych, Ustawa wskazuje
prawo GIODO do kontroli podmiotw przetwarzajcych dane osobowe w zakresie zgodnoci
przetwarzania danych osobowych z zapisami Ustawy. W zwizku z tym Ustawa w swojej treci
nakada okrelone obowizki organizacyjne na te podmioty w celu umoliwienia przeprowadzanie
takiej kontroli. Ustawa daje take uprawnienia GIODO do wystpowania na drodze administracyjnej w razie nieprzestrzegania przez podmioty przetwarzajce dane osobowe zapisw Ustawy.
W rozdziale 3 Ustawy opisano zasady organizacyjne przetwarzania danych osobowych, obowizki wobec podmiotw je przetwarzajcych, ograniczenia wzgldem informacji jak mona
przetwarza w ramach danych osobowych ze wskazaniem wyjtkw, w ktrych moliwe jest przetwarzania tych informacji oraz zasady udostpniania danych osobowych.
Rozdzia 4 opisuje jakie czynnoci organizacyjne musz by podejmowane przez podmioty
przetwarzajce dane osobowe w celu umoliwienia realizacji praw osb, ktrych dane s przez te
podmioty przetwarzane. Zapisy w artykuach dotycz gwnie okrelenia zakresu informacji jak
podmiot przetwarzajcy dane osobowe musi udostpni osobie, ktrej dane przetwarza.
Bardzo istotnym z punktu widzenia przeprowadzanej analizy jest rozdzia 5 Ustawy okrelajcy zasady zabezpieczania danych osobowych zarwno w sposb techniczny jak i organizacyjny.
Art. 39a okrela, e podstawowe warunki organizacyjne jak i techniczne, jakie musz spenia

240

Jakub Radziulis, prof. Witold Houbowicz, Rafa Knapik

urzdzenia i systemy informatyczne suce do przetwarzania danych osobowych s wskazane

w rozporzdzeniu wydawanym przez ministra waciwego do spraw administracji publicznej.
Rozdzia 6 Ustawy opisuje obowizki organizacyjne podmiotu przetwarzajcego dane osobowe
w zakresie rejestrowania baz danych do GIODO, w tym wskazanie informacji opisujcych baz
danych, jakie naley zgosi. Rozdzia 7 okrela zasady przekazywania danych osobowych do
pastw trzecich jest to istotne dla rozliczania obywateli Rzeczypospolitej Polskiej pracujcych
za granic.
W zakresie zabezpiecze informacji i baz danych, w ktrych informacje te s przechowywane
Ustawa zawiera zasady dotyczce:
zbiorw danych osobowych w ramach tych zasad okrelony jest zakres stosowania usta-

wy (Art. 2, 3, 3a, 6, 40) dotyczy on gwnie aspektw identyfikacji czy w administrowanej bazie danych znajduj si dane osobowe jeeli tak to jak z nimi postpowa.
przetwarzania danych osobowych w ramach tych zasad okrelone s:
przetwarzanie danych osobowych (rozd. 3) dotyczce okrelenia zakresu przetwarzania

administrowanych danych, identyfikacji czy jest wymagana i dostpna zgoda osb, ktrych dane dotycz, weryfikacji kompletnoci danych i poprawnoci ich przetwarzania ze
zgoszonym celem i zakresem,
udostpnianie danych osobowych (Art. 29, 30, 35) dotyczce mechanizmu udostpniania

danych i weryfikacji rejestracji udostpniania danych,

przekazywanie danych osobowych (Art. 38) dotyczce okrelenia formatu przekazywa-

nia danych, zakresu i rejestrowania przekazywania danych,

powierzenie przetwarzania danych (Art. 31) odnoszce si do przekazywania innym ad-

ministrowanych danych w celu ich przetwarzania,

zabezpiecze danych osobowych w ramach tych zasad okrelone s:
zabezpieczenia organizacyjne (Art. 31, rozdz. 5) dotyczce przeprowadzania analizy ry-

zyka i identyfikacji zagroe, okrelanie poziomu bezpieczestwa dla kadego ze zbiorw, nadawanie i zarzdzanie upowanieniami do przetwarzania danych oraz stosowania
mechanizmw rozliczalnoci,
dokumentacja (Art. 39a) dotyczca sposobu przetwarzania i zabezpieczania dokumenta-

cji, oraz informacje co powinna taka dokumentacja zawiera i jak ni zarzdza,

zabezpieczenia techniczne dotyczce poufnoci (Art. 39a) opisujce mechanizmy, jakie

naley stosowa w celu zachowania poufnoci przetwarzanych zbiorw zawierajcych

dane osobowe; wskazane mechanizmy brzmi nastpujco:
Dostp do obszarw przetwarzania danych powinien by zabezpieczony i kontrolo-

wany.
Naley stosowa fizyczne zabezpieczenia instalacji informatycznych, baz danych

i nonikw zawierajcych dane osobowe. Rwnoczenie kady administrator wykonawczy powinien zna zabezpieczenia stosowane bezporednio do swojego systemu.
Trzeba wyznaczy osoby, ktre bd odpowiedzialne za fizyczne bezpieczestwo in-

stalacji informatycznych, baz danych i nonikw zawierajcych dane osobowe.

Systemy informatyczne powinny posiada kontrol dostpu zapewniajc jedno-

znaczn identyfikacje i uwierzytelnianie.

Naley okreli, w jaki sposb bd weryfikowane nadane uprawnienia dostpu do

systemw.

Wymagania dotyczce bezpieczestwa in-formacji i baz danych zawarte w obowizujcych...

241

Do uwierzytelniania uytkownikw stosowane powinny by opracowane zasady do-

tyczce dugoci i skadni hase oraz okrelony czas ich wanoci.

Noniki danych osobowych przed likwidacj, napraw bd przekazaniem osobom

nieupowanionym powinny by pozbawione zapisw.

Do przesyania danych naley stosowa metody kryptograficzne.
Naley stosowa zabezpieczenia fizyczne i logiczne w dostpie do/z sieci publicznej.
Dla urzdze przenonych (laptopw) naley stosowa szczeglne metody zabezpie-

cze.
zabezpieczenia techniczne dotyczce integralnoci (Art. 39a) opisujce mechanizmy, ja-

kie naley stosowa w celu zachowania integralnoci przetwarzanych zbiorw zawierajcych dane osobowe; wskazane mechanizmy brzmi nastpujco:
Naley rejestrowa w systemach informacje dotyczce daty wprowadzania do syste-

mu i id uytkownika.
Informacje o dostpie i zmianach powinny by rejestrowane automatycznie.
W systemach powinny by rejestrowane informacje dotyczce rda danych, nie od

osoby, ktrej one dotycz.

zabezpieczenie techniczne dotyczce dostpnoci (Art. 39a) dotyczce mechanizmw ja-

kie naley stosowa w celu zachowania integralnoci przetwarzanych zbiorw zawierajcych dane osobowe; wskazane mechanizmy brzmi nastpujco:
Naley stosowa systemy bezpieczestwa (alarmy, system gaszenia) i systemy ro-

dowiskowe (temperatura, wilgotno) dotyczce pomieszcze, w ktrych znajduj si

instalacje informatyczne, bazy danych lub noniki zawierajce dane osobowe.
Za systemy bezpieczestwa i systemy rodowiskowe musi odpowiada konkretna

osoba.
Naley wykonywa kopie zapasowe majce zapewnion fizyczn ochron nie gorsz

ni dane rdowe.
Dostp do kopii zapasowych powinien by ograniczony i cile kontrolowany.
Naley stosowa systemy awaryjnego zasilania.
Naley opracowa plany BCP/DRP, ktrych czci bdzie zabezpieczenie dostpno-

ci do danych.
anonimizacji (Art. 2) dotyczcej zasad niszczenia lub anonimizacji zbiorw, ktre nie s

juz przetwarzane.

3.2. Ustawa z dnia 27 lipca 2001 r. o ochronie baz danych

Ustawa opisuje zasady ochrony baz danych nie speniajcych cech utworw. Ustawa dotyczy
baz danych przechowywanych w dowolny sposb. W zakresie zabezpiecze baz danych i przechowywanych w nich informacji Ustawa ta definiuje nastpujce kwestie:
Okrelenie definicji bazy danych (Art. 2).
Okrelenie jakie bazy danych podlegaj ochronie (Art. 5).
Zasad korzystania z udostpnionej publicznie bazy danych lub jej czci (Art. 7 i 8).
Czasu trwania ochrony bazy danych (Art. 10).

242

Jakub Radziulis, prof. Witold Houbowicz, Rafa Knapik

Analiza kwestii istotnych

Ustawa wymienia bazy danych, ktre podlegaj ochronie w tym w szczeglnoci wskazuje na
bazy danych utworzone przez podmioty posiadajce osobowo prawn.
Jednym z istotnych zapisw w Ustawie jest ten, ktry mwi, e ochronie opisanej w Ustawie
nie podlegaj programy komputerowe uywane do sporzdzenia bazy danych i korzystania z niej.
Ustawa okrela take czas obowizywania ochrony bazy danych na 15 lat od momentu jej
utworzenia lub od momentu jej udostpnienia publicznie, o ile to udostpnienie nastpio w cigu
15 lat od jej utworzenia.

3.3. Ustawa z dnia 18 lipca 2002 r. o wiadczeniu usug drog elektroniczn

Ustawa okrela, jakie s obowizki podmiotu wiadczcego usugi drog elektroniczn, zasady
wyczenia odpowiedzialnoci usugodawcy oraz zasady ochrony danych osb fizycznych, ktre
korzystaj z usugi. W zakresie zabezpiecze baz danych i przechowywanych w nich informacji
Ustawa ta definiuje nastpujce kwestie:
Obowizek zapewnienia dziaania systemu informatycznego usugodawcy i dziaa zwi-

zanych z zapewnieniem bezpieczestwa przesyanych informacji i identyfikacji stron (Art.

7).
Warunki wyczenia odpowiedzialnoci usugodawcy za przechowywane i przetwarzane

dane (Art. 13 i 14).

Obowizek stosowania Ustawy o ochronie danych osobowych (Art. 16).
Okrelenie jakie dane osobowe mog by przetwarzane (Art. 18).
Uwarunkowania kiedy usugodawca nie moe przetwarza dane osobowe i jakie dane moe

przetwarza po zakoczeniu korzystania usugobiorcy z usug wiadczonych droga elektroniczn (Art. 19).
Warunki kiedy mona przetwarza dane osobowe na potrzeby okrelenia odpowiedzialnoci

usugobiorcy (Art. 21).

Analiza kwestii istotnych

W zakresie bezpieczestwa i zapewnienia niezawodnoci systemu teleinformatycznego Ustawa

okrela, e usugodawca powinien nieodpatnie, gdy wymaga tego waciwo usugi, zapewni
korzystanie w usugi wiadczonej drog elektroniczn, tak aby zapewni ochron przed nieuprawnionym dostpem do przekazywanej treci wykorzystujc w tym celu w szczeglnoci techniki
kryptograficzne.
Ustawa poza definiowaniem obowizkw usugodawcy okrela take warunki wyczenia odpowiedzialnoci usugodawcy w zakresie transmisji danych i ich przechowywania. Dotyczy to
gwnie sytuacji, w ktrej usugodawca nie jest inicjatorem transmisji danych ani wacicielem
przechowywanych danych o charakterze bezprawnym.
Ustawa zwraca uwag na aspekt przetwarzania danych osobowych usugobiorcw w systemie
teleinformatycznym usugodawcy. W tym zakresie tre Ustawy stanowi, e:
naley przestrzega ustawy o ochronie danych osobowych o ile opisywana Ustawa nie

stanowi inaczej,
usugodawca moe przetwarza okrelone w Ustawie dane osobowe, ktre s niezbdne do

nawizania, uksztatowania treci, zmiany lub rozwizania umowy midzy nimi, a take
w celu realizacji umw lub dokonania innej czynnoci prawnej z usugobiorc,

Wymagania dotyczce bezpieczestwa in-formacji i baz danych zawarte w obowizujcych...

243

usugodawca moe przetwarza dane charakteryzujce sposb korzystania z usugi przez

usugobiorc,
usugodawca nie moe przetwarza danych osobowych po zakoczeniu korzystania z usugi

wiadczonej drog elektroniczn poza sytuacj dotyczc: rozliczenia usugobiorcy, reklamy, wyjanienia niedozwolonego korzystania z usugi, okrelenia odpowiedzialnoci usugobiorcy w przypadku naruszenia przez niego regulaminu.

3.4. Ustawa z dnia 22 stycznia 1999 r. o ochronie informacji niejawnej

Ustawa okrela zasady ochrony informacji sklasyfikowanej jako tajemnica pastwowa lub
subow. W zakresie zabezpiecze baz danych i przechowywanych w nich informacji Ustawa ta
definiuje:
Definicje rodzajw danych, ktre podlegaj ochronie (Art. 2).
Zasady klasyfikowania informacji niejawnych i nadawania im klauzul tajnoci (rozdz. 4).
Zasady zachowania bezpieczestwa systemw i sieci teleinformatycznych (rozdz. 10).
Wykaz rodzajw informacji, ktre mog stanowi tajemnic pastwow (zacznik nr. 1).
Analiza kwestii istotnych

W pierwszej kolejnoci Ustawa okrela jakie rodzaje danych mona sklasyfikowa jako informacj niejawn. Okrelone zostay take w niej zasady klasyfikacji informacji w celu jej poprawnej identyfikacji i dalszego przetwarzania.
Ustawa w zakresie zachowania bezpieczestwa teleinformatycznego dokadnie precyzuje zasady ochrony urzdze przetwarzajcych informacj, jak i samych informacji. Zasady te mona podzieli na nastpujce obszary:
Ochrona fizyczna systemu i sieci zasady bezpieczestwa dotyczce:
odpowiedniego umieszczania urzdze sucych do przetwarzania informacji niejaw-

nych w zalenoci od klauzuli tajnoci, iloci i zagroe dla poufnoci, integralnoci

i dostpnoci informacji niejawnych,
stosowania rodkw zapewniajcych ochron fizyczn, w szczeglnoci przed:
nieuprawnionym dostpem,
podgldem,
podsuchem.
Role i odpowiedzialnoci osb za funkcjonowanie systemw i sieci, przestrzeganie zasad

bezpieczestwa, kontrol zgodnoci funkcjonowania sieci i systemw.

Ochrona elektromagnetyczna systemu zasady bezpieczestwa dotyczce:
umieszczania urzdze w strefach kontrolowanego dostpu speniajcych wymagania

w zakresie tumiennoci elektromagnetycznej przy uwzgldnieniu wynikw szacowanego ryzyka,

stosowania odpowiednich urzdze o obnionym poziomie emisji lub ich ekranowanie

i filtrowanie zewntrznych linii zasilajcych i sygnaowych.

Przekazywanie informacji na elektronicznych nonikach z zapewnieniem odpowiedniej

ochrony kryptograficznej i zasad opisanych w odrbnych rozporzdzeniach.

244

Jakub Radziulis, prof. Witold Houbowicz, Rafa Knapik

Zapewnienie niezawodnoci transmisji, polegajcej na zapewnieniu integralnoci i do-

stpnoci informacji niejawnych.

Kontrol dostpu do systemu.
Utworzenie i kontrola dokumentacji zawierajcej m.in. procedury bezpieczestwa.

3.5. Ustawa o rachunkowoci

Ustawa okrela zasady rachunkowoci oraz tryb badania sprawozda przez biegych rewidentw. W zakresie zabezpiecze baz danych i przechowywanych w nich informacji Ustawa ta definiuje w rozdziale Ochrona danych (rozdz.8) nastpujce kwestie:
wytyczne dotyczce sposobw ochrony danych przetwarzanych przy uyciu komputera

(Art. 71),
zasady przechowywania dowodw ksigowych (Art. 73),
okrelenie czasu archiwizacji poszczeglnych rodzajw danych ksigowych (Art. 74).
Analiza kwestii istotnych

Ustawa w odniesieniu do danych rachunkowych przetwarzanych z wykorzystaniem urzdze

komputerowych okrela zasady ochrony danych przetwarzanych w tych urzdzeniach. W zakresie
tych zasad zostay okrelone nastpujce elementy:

sprzt powinien by chroniony rodkami ochrony zewntrznej,

naley systematycznie tworzy kopi zapasow przetwarzanych zbiorw danych na

nonikach zewntrznych, ktre powinny by odporne na zagroenia,

naley zapewni trwao zapisu danych przez czas nie krtszy ni okrelony w Ustawie,

naley stosowa rozwizania programowe i organizacyjne w celu ochrony przed nieuprawnionym dostpem do systemw i danych lub ich zniszczeniem.

Ustawa okrela w treci informacj w jaki sposb mog by przechowywane dowody ksigowe
i okrela szczegowo przez jaki czas naley przechowywa poszczeglne zbiory danych z podziaem na ich kategorie.

3.6. Ustawa z dnia 16 lipca 2004 r. Prawo Telekomunikacyjne

Ustawa okrela zasady wykonywania dziaalnoci telekomunikacyjnej przez przedsibiorcw
telekomunikacyjnych, w tym warunki przetwarzania danych w telekomunikacji i ochrony tajemnicy telekomunikacyjnej. W zakresie zabezpiecze baz danych i przechowywanych w nich informacji Ustawa te definiuje:
Okrelenie tajemnicy telekomunikacyjnej i postpowanie z ni (Art. 159).
Obowizek stosowania zabezpiecze wobec zbiorw danych przed ujawnieniem tajemnicy

telekomunikacyjnej (Art. 160).

Okrelenie danych jakie ma prawo przetwarza i gromadzi przedsibiorca telekomunika-

cyjny (Art. 161).

Okres w jakim przedsibiorca telekomunikacyjny moe przechowywa dane uytkownikw

(Art. 164).

Wymagania dotyczce bezpieczestwa in-formacji i baz danych zawarte w obowizujcych...

245

Okres w jakim przedsibiorca telekomunikacyjny moe przechowywa dane teletransmisyj-

ne (Art. 165.) wraz z obowizkiem stosowania ochrony bezpieczestwa i poufnoci tych

danych.
Zasady korzystania z danych o lokalizacji uytkownikw (Art. 166).
Zasady tworzenia spisu abonentw i zarzdzanie nim (Art. 169).

Analiza kwestii istotnych

Ustawa w swojej treci wyodrbnia cay dzia (Dzia VII) powicony tajemnicy telekomunikacyjnej ochronie danych uytkownikw kocowych. Ustawa precyzuje rodzaje przetwarzanych
i gromadzonych danych w bazach danych przedsibiorcy, ktrego dziaalno podlega jej regulacjom. Wraz z okreleniem rodzajw przetwarzanych danych, zapisy Ustawy wskazuj jakie
uprawnienia posiada podmiot je przetwarzajcy w zakresie zarzdzania nimi i korzystania z nich.
Ustawa wskazuje na wyjtki w zakresie obowizywania jej zapisw wskazanie podmiotw,
ktrych dane regulacje nie dotycz i w jakim zakresie. Wyczenia z obowizku przestrzegania
prawa dotycz gwnie czynnoci i podmiotw zwizanych bezporednio z dziaaniami na rzecz
obronnoci pastwa. Aspekty bezpieczestwa s w Prawie Telekomunikacyjnym poruszane
w sposb oglny, bez wyranego wskazania metod i zasad ochrony. Szczeglny nacisk Ustawa
kadzie na przechowywanie i przetwarzanie danych teletransmisyjnych i ich zabezpieczenie
w zapisach zwrcono uwag na cech poufnoci chronionych danych.

3.7. Ustawa z dnia 12 wrzenia 2002 r. o elektronicznych instrumentach

patniczych
Ustawa okrela uywanie i wykorzystywanie form elektronicznych instrumentw patniczych
do realizacji zobowiza wynikajcych z prawa podatkowego. W zakresie zabezpiecze baz danych i przechowywanych w nich informacji Ustawa ta definiuje nastpujce kwestie:
Obowizek przestrzegania procedur bezpieczestwa okrelonych w umowie pomidzy

agentem rozliczeniowym a akceptantem (Art. 10).

Zakres danych, jakie powinny by okrelone w umowie pomidzy akceptantem (np. Urzd

Skarbowy) a agentem rozliczeniowym (np. Bank) (Art. 8).

Analiza kwestii istotnych

Ustawa okrela jakie informacje musz zosta zawarte w umowie pomidzy akceptantem
a agentem rozliczeniowym. w szczeglnoci s to informacje dotyczce stosowania procedury,
w tym procedury bezpieczestwa, oraz obowizku akceptanta w zwizku z dokonywaniem operacji.
Ustawa nakada na akceptanta obowizek zachowania procedur bezpieczestwa, ktre powinny
by okrelone w umowie z agentem rozliczeniowym. W szczeglnoci dotyczy to nieudostpniania danych o posiadaczu lub uytkowniku elektronicznego instrumentu patniczego osobom nieupowanionym oraz do ochrony tego elektronicznego instrumentu patniczego.

Akty prawne dotyczce podmiotw publicznych

W rozdziale zostay opisane akty prawne, ktre dotycz podmiotw realizujcych zadania publiczne, s to:
Ustawa o informatyzacji dziaalnoci podmiotw realizujcych zadania publiczne,
Rozporzdzenie w sprawie minimalnych wymaga dla systemw teleinformatycznych,

246

Jakub Radziulis, prof. Witold Houbowicz, Rafa Knapik

Rozporzdzenie w sprawie minimalnych wymaga dla rejestrw publicznych i wymiany informacji w formie elektronicznej,
Rozporzdzenie w sprawie sposobu, zakresu i trybu udostpniania danych zgromadzonych
w rejestrze publicznym,
Ustawa o narodowym zasobie archiwalnym i archiwach.
W kolejnych podrozdziaach zostay one opisane dokadniej.

4.1. Ustawa z dnia 17 lutego 2005 r. o informatyzacji dziaalnoci podmiotw

realizujcych zadania publiczne
Ustawa okrela zasady:
ustalania minimalnych wymaga dla systemw teleinformatycznych wykorzystywanych do

realizacji zada publicznych oraz dla rejestrw publicznych i wymiany informacji w formie
elektronicznej,
dostosowywania obecnie uywanych systemw teleinformatycznych do wymaga dla sys-

temw teleinformatycznych,
dostosowywania rejestrw publicznych i wymiany informacji do okrelonych wymaga,
kontroli projektw informatycznych o publicznym zastosowaniu,
wymiany informacji drog elektroniczn,
ustalania i publikacji specyfikacji stosowanych rozwiza.

W zakresie zabezpiecze baz danych i przechowywanych w nich informacji Ustawa ta definiuje nastpujce kwestie:
Obowizek speniania przez systemy teleinformatyczne minimalnych wymaga dla syste-

mw teleinformatycznych, rejestrw publicznych i transmisji danych (Art. 13 i 14).

Obowizek udostpniania danych z prowadzonego rejestru podmiotom publicznym lub re-

alizujcym zadania publiczne (Art. 15).

Obowizek zgaszania do krajowej ewidencji danych dotyczcych prowadzonego rejestru

publicznego i danych dotyczcych wykorzystywanego systemu teleinformatycznego (Art.

20).
Analiza kwestii istotnych

W Ustawie zawarto zapisy, w ktrych mowa, e systemy teleinformatyczne wykorzystywane

do realizacji zada publicznych musz spenia minimalne wymagania dla systemw teleinformatycznych w niej wskazane. Dodatkowo na podmiot wykorzystujcy system teleinformatyczny
nakada si obowizek:
speniania przez systemy wykorzystywane do wymiany danych zasady rwnego traktowa-

nia rozwiza informatycznych,

publikowania w BIP lub inny sposb informacji dotyczcych wykorzystywanych formatw

dokumentw, formatw danych, protokow komunikacyjnych oraz szyfrujcych.

W zakresie podmiotw publicznych prowadzcych rejestr publiczny Ustawa zobowizuje je do
speniania minimalnych wymaga dla systemw teleinformatycznych, jeeli rejestr ten jest prowadzony w tych systemach oraz speniania minimalnych wymaga dla rejestrw publicznych
i wymiany informacji w postaci elektronicznej .

Wymagania dotyczce bezpieczestwa in-formacji i baz danych zawarte w obowizujcych...

247

Ustawa okrela obowizek i zasady udostpniania danych z rejestru publicznego wskazujc na

rozporzdzenie Prezesa Rady Ministrw, ktre ma zawiera szczegy w tym zakresie.
Zgodnie z Ustaw podmioty publiczne wykorzystujce systemy teleinformatyczne i prowadzce rejestry publiczne powinny zgosi je do krajowej ewidencji wraz ze wskazanymi w Ustawie
informacjami opisujcymi te systemy.

4.2. Rozporzdzenie w sprawie minimalnych wymaga dla systemw teleinformatycznych

Rozporzdzenie okrela minimalne wymagania dla systemw teleinformatycznych, w szczeglnoci systemy te powinny (2):
spenia waciwoci i cechy w zakresie funkcjonalnoci, niezawodnoci, uywalnoci, wy-

dajnoci, przenoszalnoci i pielgnowalnoci, okrelone w normach ISO zatwierdzonych

przez krajow jednostk normalizacyjn, na etapie projektowania, wdraania i modyfikowania tych systemw,
by wyposaone w skadniki sprztowe i oprogramowanie:
umoliwiajce wymian danych z innymi systemami teleinformatycznymi uywanymi

do realizacji zada publicznych za pomoc protokow komunikacyjnych i szyfrujcych

okrelonych w zaczniku nr 1 do rozporzdzenia, stosownie do zakresu dziaania tych
systemw,
zapewniajce dostp do zasobw informacji udostpnianych przez systemy teleinforma-

tyczne uywane do realizacji zada publicznych przy wykorzystaniu formatw danych

okrelonych w zaczniku nr 2 do rozporzdzenia.
Rozporzdzenie nakada na podmiot publiczny wykorzystujcy system teleinformatyczny
obowizek opracowania i wdroenia polityki bezpieczestwa (3 pkt. 1) dla tego systemu
z uwzgldnieniem Polskich Norm z zakresu bezpieczestwa informacji (3 pkt. 2).

4.3. Rozporzdzenie w sprawie minimalnych wymaga dla rejestrw publicznych i wymiany informacji w formie elektronicznej
Rozporzdzenie okrela minimalne wymagania, jakie powinny spenia rejestry publiczne
w zakresie zapewnienia spjnoci dziaa z innymi systemami teleinformatycznymi, jak rwnie
wymiany informacji pomidzy rejestrami publicznymi. Rozporzdzenie w zaczniku okrela definicje cech informacyjnych i obowizek korzystania z nich przez podmioty prowadzce rejestr
publiczny i wymian informacji w formie elektronicznej.

4.4. Rozporzdzenie w sprawie sposobu, zakresu i trybu udostpniania danych zgromadzonych w rejestrze publicznym
Rozporzdzenie okrela sposb, zakres i tryb udostpniania danych zgromadzonych w rejestrze
publicznym, podmiotom realizujcym zadania publiczne.
W zakresie bezpieczestwa danych dokument nakada obowizki na podmiot prowadzcy rejestr o informowaniu w sposb powszechnie dostpny, w tym w Biuletynie Informacji Publicznej,
o warunkach zabezpiecze technicznych i organizacyjnych niezbdnych do uzyskania dostpu do
danych zgromadzonych w rejestrze. Take podmiot, ktremu udostpniono dane zgromadzone
w rejestrze, ma obowizek zabezpieczania otrzymanych danych przed dostpem osb nieupowanionych lub nieuprawnion zmian ich zawartoci oraz przed ich wykorzystaniem niezgodnym
z celem, dla ktrego zostay uzyskane.

248

Jakub Radziulis, prof. Witold Houbowicz, Rafa Knapik

Wedug rozporzdzenia podmiot, ktremu udostpniono dane zgromadzone w rejestrze, odpowiada za bezpieczestwo i integralno uzyskanych danych.

4.5. Ustawa z dnia 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach

Ustawa definiuje pojcie materiau archiwalnego, przedstawia informacje na temat narodowego
zasobu archiwalnego, jego podziau i dziaalnoci archiwalnej w jego zakresie. Reguluje ponadto
sprawy dotyczce niepastwowego zasobu archiwalnego oraz postpowanie materiaami archiwalnymi. Ustawa ta wymienia rwnie przepisy karne dotyczce postpowania z materiaami archiwalnymi.
Z punktu widzenia zabezpiecze baz danych i przechowywanych w nich informacji Ustawa reguluje kwesti gromadzenia i przechowywania wszelkiej dokumentacji obsugiwanej przy uyciu
systemu, z uwzgldnieniem elektronicznej formy dokumentw. W szczeglnoci ustawa pozwala
zaklasyfikowa dane gromadzone w systemie do narodowego zasobu archiwalnego (art. 1 i 15
ust. 1), uwzgldnia potrzeb naoenia szczeglnych wymaga wynikajcych z elektronicznej
postaci dokumentw i archiwum (art. 5 ust.2). Okrela zasady tworzenia archiww zakadowych
dla dokumentw nie podlegajcych narodowemu zasobowi archiwalnemu (art. 33) wyznaczajc
zakres odpowiedzialnoci za zgromadzone zasoby (art. 34) oraz reguluje dziaanie archiwum zakadowego (art. 35).

Podsumowanie
Obecnie obowizuje dua liczba aktw prawnych, ktrych zapisy dotycz baz danych i informacji w nich przechowywanych w szczeglnoci w kontekcie bezpieczestwa. Akty te rni
przede wszystkim zakresy stosowania w aspekcie danych, ktrych dotycz jak i podmiotw, ktre
przetwarzaj te dane. W wikszoci analizowanych aktw prawnych obowizek stosowania zabezpiecze i ochrony danych jest potraktowany bardzo oglnie, wrcz na poziomie jednego zdania
lub akapitu w stylu: naley zadba o stosowanie zabezpiecze przetwarzanych danych. Tylko
niektre z analizowanych dokumentw wskazuj na konkretne mechanizmy i sposoby zabezpiecze. Pytanie, na ktre musz odpowiada sobie administratorzy brzmi nastpujco: w jaki sposb
speni zapisy aktu prawnego, gdy nie ma w nim wskazanych informacji, jaki stan jest uznawany
za zgodny z danym aktem? Proponowanym rozwizaniem tego problemu jest wykonanie nastpujcych czynnoci przez administratorw:
Identyfikacja rodzaju danych przechowywanych w ich bazach danych.
Okrelenie charakterystyki prowadzonej dziaalnoci przez podmiot, ktry jest wacicielem

bazy danych, w tym zakresu wiadczonych usug, podmiotw wsppracujcych.

Okrelenie na podstawie powyszej analizy ktre z omwionych w artykule aktw praw-

nych dotycz administrowanej przez niego bazy i informacji.

Weryfikacja, czy bazy danych speniaj opisane wymagania z zakresu bezpieczestwa

i wdroenie wymaganych mechanizmw, a w przypadku oglnych zapisw o stosowaniu

ochrony i zabezpiecze, skorzystanie z normy PN/ISO 17799 w zakresie wyboru metod
ochrony i ich wdroenie.
Podjcie powyszych krokw powinno w efekcie zapewni zgodno administrowanych baz
danych z obowizujcym w Polsce prawem w tym zakresie.

Wymagania dotyczce bezpieczestwa in-formacji i baz danych zawarte w obowizujcych...

249

Bibliografia
[1]

Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych

[2]

Ustawa z dnia 27 lipca 2001 r. o ochronie baz danych

[3]

Ustawa z dnia 18 lipca 2002 r. o wiadczeniu usug drog elektroniczn

[4]

Ustawa z dnia 12 wrzenia 2002 r. o elektronicznych instrumentach patniczych

[5]

Ustawa z dnia 16 lipca 2004 r. Prawo Telekomunikacyjne

[6]

Ustawa z dnia 22 stycznia 1999 r. o ochronie informacji niejawnej

[7]

Ustawa z dnia 17 lutego 2005 r. o informatyzacji dziaalnoci podmiotw realizujcych zadania publiczne

[8]

Rozporzdzenie w sprawie minimalnych wymaga dla systemw teleinformatycznych

[9]

Rozporzdzenie w sprawie sposobu, zakresu i trybu udostpniania danych zgromadzonych w rejestrze

publicznym

[10]

Rozporzdzenie w sprawie sposobu, zakresu i trybu udostpniania danych zgromadzonych w rejestrze

publicznym

[11]

Ustawa z dnia 14 lipca 1983 r. - o narodowym zasobie archiwalnym i archiwach