Professional Documents
Culture Documents
Zakopane
Padziernik 2006
Abstrakt
Artyku dokonuje analizy obowizujcych w Polsce aktw prawnych pod ktem zapisw dotyczcych zabezpiecze baz
danych i informacji przechowywanych w tych bazach. Analiza jest przeprowadzona w celu okrelenia, na jakie przepisy
prawa musi wrci uwag administrator bazy danych oraz waciciel danych w zalenoci od informacji jaka jest w niej
przechowywana i charakterystyki organizacji, ktra wykorzystuje dan baz (podmiot publiczny, czy podmiot prywatny).
W ramach artykuu przedstawione zostay wymagania dotyczce bezpieczestwa zawarte m.in. w ustawie o ochronie danych osobowych, ustawie o ochronie baz danych, ustawie o informatyzacji dziaalnoci podmiotw publicznych, ustawie o
wiadczeniu usug drog elektroniczn, ustawie o ochronie informacji niejawnych, ustawie skarbowej, prawie telekomunikacyjnym oraz powizanych z tymi ustawami rozporzdzeniach. W artykule zwrcona zostaa uwaga na aspekty zwizane
z odpowiedzialnoci waciciela bazy danych za informacj w niej przechowywan i przedstawione zostay sytuacje,
w ktrych jest on z tej odpowiedzialnoci zwolniony.
237
Wstp
Punktem wyjcia do przeprowadzenia analizy aktw prawnych pod ktem stawianych przez nie
wymaga bezpieczestwa dla baz danych i informacji w nich przechowywanych byo powszechnie wykorzystywane stwierdzenie: Nieznajomo prawa nie zwalnia z odpowiedzialnoci za jego
przestrzeganie.
Mnogo aktw prawnych, ktre definiuj i okrelaj zasady postpowania w zakresie ochrony
informacji w zalenoci od jej rodzaju, moe spowodowa sytuacj, w ktrej uytkownik nie jest
wiadomy, e podejmowane przez niego dziaania mog podlega regulacjom prawnym. Zapewne
nikt nie chce, przynajmniej wiadomie, nie przestrzega obowizujcego w Polsce prawa. Zgodno z regulacjami prawnymi powinna by dla kadego podmiotu priorytetem, czy to w dziaaniu
biznesowym czy te w innym. Zgodno ta ma wpyw na pozycj i konkurencyjno podmiotw
biznesowych oraz na prawidowe wykonywanie statutowych dziaa w przypadku instytucji publicznych. Zatem znajomo i stosowanie regulacji prawa dotyczcych bezpieczestwa baz danych
i informacji w nich zawartych jest kwestia istotn dla kadego administratora baz danych. wiadomo, ktre akty prawne dotycz ich dziaania, oraz ktre zapisy s w nich najwaniejsze, zdaje
si by dla administratorw elementem koniecznym w ich codziennej pracy. Mamy nadziej, e po
przeczytaniu niniejszego artykuu wiedza w wymienionym zakresie zostanie poszerzona.
W niniejszym artykule analizie zostay poddane nastpujce ustawy i rozporzdzenia odnoszce si do baz danych lub informacji w nich przechowywanych:
Ustawa o ochronie danych osobowych,
Ustawa o ochronie baz danych,
Ustawa o informatyzacji dziaalnoci podmiotw realizujcych zadania publiczne,
Ustawa o wiadczeniu usug drog elektroniczn,
Ustawa o ochronie informacji niejawnych,
Ustawie o rachunkowoci,
Prawo Telekomunikacyjne,
Rozporzdzenie w sprawie minimalnych wymaga dla systemw teleinformatycznych,
Rozporzdzenie w sprawie minimalnych wymaga dla rejestrw publicznych i wymiany in-
w rejestrze publicznym,
Ustawa o narodowym zasobie archiwalnym i archiwach.
Poniewa cz z wyej wymienionych aktw prawnych dotyczy tylko podmiotw publicznych, analiza aktw prawnych zostaa podzielona na dwie czci:
analiza aktw prawnych odnoszcych si do wszystkich podmiotw,
analiza aktw prawnych dotyczcych podmiotw realizujcych zadania publiczne.
238
Nie we wszystkich aktach prawnych aspekty bezpieczestwa zostay potraktowane w naleyty sposb w naszej opinii niektre akty prawne tylko oglnie nadmieniaj konieczno zachowania ochrony i bezpieczestwa bez gbszych wyjanie i wskaza w tym zakresie.
Normalizacja znaczenia pojcia bezpieczestwo pojawia si dopiero z momentem adaptacji normy ISO 17799:2000 na PN/ISO 17799 naley zauway, e norma PN jest tylko
wskazaniem i wytyczn, jej stosowanie nie jest i nie bdzie obowizkowe dopki nie zostanie to jednoznacznie wskazane w treci ustawy lub rozporzdzenia.
poufnoci,
integralnoci,
dostpnoci.
Bdc zgodnym z powyszym zaoeniem podczas analizy aktw prawnych pod ktem opisanych w nich wymaga dla baz danych lub informacji, brano pod uwag poza zapisami dotyczcymi zabezpiecze take fragmenty dotyczce udostpniania i wymogw zachowania integralnoci
przy ich przesyaniu oraz przetwarzaniu.
Ustawa o rachunkowoci,
Prawo Telekomunikacyjne.
239
Ustawa prawie w caoci (poza artykuami dotyczcymi organizacji i zasad dziaania GIODO
i organw przez niego powoanych) dotyczy analizowanego tematu w kontekcie przetwarzania
i przechowywania danych osobowych obywateli Rzeczypospolitej Polskiej.
W ramach praw i obowizkw GIODO i organw przez niego powoanych, Ustawa wskazuje
prawo GIODO do kontroli podmiotw przetwarzajcych dane osobowe w zakresie zgodnoci
przetwarzania danych osobowych z zapisami Ustawy. W zwizku z tym Ustawa w swojej treci
nakada okrelone obowizki organizacyjne na te podmioty w celu umoliwienia przeprowadzanie
takiej kontroli. Ustawa daje take uprawnienia GIODO do wystpowania na drodze administracyjnej w razie nieprzestrzegania przez podmioty przetwarzajce dane osobowe zapisw Ustawy.
W rozdziale 3 Ustawy opisano zasady organizacyjne przetwarzania danych osobowych, obowizki wobec podmiotw je przetwarzajcych, ograniczenia wzgldem informacji jak mona
przetwarza w ramach danych osobowych ze wskazaniem wyjtkw, w ktrych moliwe jest przetwarzania tych informacji oraz zasady udostpniania danych osobowych.
Rozdzia 4 opisuje jakie czynnoci organizacyjne musz by podejmowane przez podmioty
przetwarzajce dane osobowe w celu umoliwienia realizacji praw osb, ktrych dane s przez te
podmioty przetwarzane. Zapisy w artykuach dotycz gwnie okrelenia zakresu informacji jak
podmiot przetwarzajcy dane osobowe musi udostpni osobie, ktrej dane przetwarza.
Bardzo istotnym z punktu widzenia przeprowadzanej analizy jest rozdzia 5 Ustawy okrelajcy zasady zabezpieczania danych osobowych zarwno w sposb techniczny jak i organizacyjny.
Art. 39a okrela, e podstawowe warunki organizacyjne jak i techniczne, jakie musz spenia
240
wy (Art. 2, 3, 3a, 6, 40) dotyczy on gwnie aspektw identyfikacji czy w administrowanej bazie danych znajduj si dane osobowe jeeli tak to jak z nimi postpowa.
przetwarzania danych osobowych w ramach tych zasad okrelone s:
przetwarzanie danych osobowych (rozd. 3) dotyczce okrelenia zakresu przetwarzania
administrowanych danych, identyfikacji czy jest wymagana i dostpna zgoda osb, ktrych dane dotycz, weryfikacji kompletnoci danych i poprawnoci ich przetwarzania ze
zgoszonym celem i zakresem,
udostpnianie danych osobowych (Art. 29, 30, 35) dotyczce mechanizmu udostpniania
zyka i identyfikacji zagroe, okrelanie poziomu bezpieczestwa dla kadego ze zbiorw, nadawanie i zarzdzanie upowanieniami do przetwarzania danych oraz stosowania
mechanizmw rozliczalnoci,
dokumentacja (Art. 39a) dotyczca sposobu przetwarzania i zabezpieczania dokumenta-
wany.
Naley stosowa fizyczne zabezpieczenia instalacji informatycznych, baz danych
i nonikw zawierajcych dane osobowe. Rwnoczenie kady administrator wykonawczy powinien zna zabezpieczenia stosowane bezporednio do swojego systemu.
Trzeba wyznaczy osoby, ktre bd odpowiedzialne za fizyczne bezpieczestwo in-
systemw.
241
cze.
zabezpieczenia techniczne dotyczce integralnoci (Art. 39a) opisujce mechanizmy, ja-
kie naley stosowa w celu zachowania integralnoci przetwarzanych zbiorw zawierajcych dane osobowe; wskazane mechanizmy brzmi nastpujco:
Naley rejestrowa w systemach informacje dotyczce daty wprowadzania do syste-
mu i id uytkownika.
Informacje o dostpie i zmianach powinny by rejestrowane automatycznie.
W systemach powinny by rejestrowane informacje dotyczce rda danych, nie od
kie naley stosowa w celu zachowania integralnoci przetwarzanych zbiorw zawierajcych dane osobowe; wskazane mechanizmy brzmi nastpujco:
Naley stosowa systemy bezpieczestwa (alarmy, system gaszenia) i systemy ro-
osoba.
Naley wykonywa kopie zapasowe majce zapewnion fizyczn ochron nie gorsz
ni dane rdowe.
Dostp do kopii zapasowych powinien by ograniczony i cile kontrolowany.
Naley stosowa systemy awaryjnego zasilania.
Naley opracowa plany BCP/DRP, ktrych czci bdzie zabezpieczenie dostpno-
ci do danych.
anonimizacji (Art. 2) dotyczcej zasad niszczenia lub anonimizacji zbiorw, ktre nie s
juz przetwarzane.
242
Ustawa wymienia bazy danych, ktre podlegaj ochronie w tym w szczeglnoci wskazuje na
bazy danych utworzone przez podmioty posiadajce osobowo prawn.
Jednym z istotnych zapisw w Ustawie jest ten, ktry mwi, e ochronie opisanej w Ustawie
nie podlegaj programy komputerowe uywane do sporzdzenia bazy danych i korzystania z niej.
Ustawa okrela take czas obowizywania ochrony bazy danych na 15 lat od momentu jej
utworzenia lub od momentu jej udostpnienia publicznie, o ile to udostpnienie nastpio w cigu
15 lat od jej utworzenia.
przetwarza po zakoczeniu korzystania usugobiorcy z usug wiadczonych droga elektroniczn (Art. 19).
Warunki kiedy mona przetwarza dane osobowe na potrzeby okrelenia odpowiedzialnoci
stanowi inaczej,
usugodawca moe przetwarza okrelone w Ustawie dane osobowe, ktre s niezbdne do
nawizania, uksztatowania treci, zmiany lub rozwizania umowy midzy nimi, a take
w celu realizacji umw lub dokonania innej czynnoci prawnej z usugobiorc,
243
usugobiorc,
usugodawca nie moe przetwarza danych osobowych po zakoczeniu korzystania z usugi
wiadczonej drog elektroniczn poza sytuacj dotyczc: rozliczenia usugobiorcy, reklamy, wyjanienia niedozwolonego korzystania z usugi, okrelenia odpowiedzialnoci usugobiorcy w przypadku naruszenia przez niego regulaminu.
W pierwszej kolejnoci Ustawa okrela jakie rodzaje danych mona sklasyfikowa jako informacj niejawn. Okrelone zostay take w niej zasady klasyfikacji informacji w celu jej poprawnej identyfikacji i dalszego przetwarzania.
Ustawa w zakresie zachowania bezpieczestwa teleinformatycznego dokadnie precyzuje zasady ochrony urzdze przetwarzajcych informacj, jak i samych informacji. Zasady te mona podzieli na nastpujce obszary:
Ochrona fizyczna systemu i sieci zasady bezpieczestwa dotyczce:
odpowiedniego umieszczania urzdze sucych do przetwarzania informacji niejaw-
244
(Art. 71),
zasady przechowywania dowodw ksigowych (Art. 73),
okrelenie czasu archiwizacji poszczeglnych rodzajw danych ksigowych (Art. 74).
Analiza kwestii istotnych
naley zapewni trwao zapisu danych przez czas nie krtszy ni okrelony w Ustawie,
naley stosowa rozwizania programowe i organizacyjne w celu ochrony przed nieuprawnionym dostpem do systemw i danych lub ich zniszczeniem.
Ustawa okrela w treci informacj w jaki sposb mog by przechowywane dowody ksigowe
i okrela szczegowo przez jaki czas naley przechowywa poszczeglne zbiory danych z podziaem na ich kategorie.
(Art. 164).
245
Ustawa okrela jakie informacje musz zosta zawarte w umowie pomidzy akceptantem
a agentem rozliczeniowym. w szczeglnoci s to informacje dotyczce stosowania procedury,
w tym procedury bezpieczestwa, oraz obowizku akceptanta w zwizku z dokonywaniem operacji.
Ustawa nakada na akceptanta obowizek zachowania procedur bezpieczestwa, ktre powinny
by okrelone w umowie z agentem rozliczeniowym. W szczeglnoci dotyczy to nieudostpniania danych o posiadaczu lub uytkowniku elektronicznego instrumentu patniczego osobom nieupowanionym oraz do ochrony tego elektronicznego instrumentu patniczego.
246
Rozporzdzenie w sprawie minimalnych wymaga dla rejestrw publicznych i wymiany informacji w formie elektronicznej,
Rozporzdzenie w sprawie sposobu, zakresu i trybu udostpniania danych zgromadzonych
w rejestrze publicznym,
Ustawa o narodowym zasobie archiwalnym i archiwach.
W kolejnych podrozdziaach zostay one opisane dokadniej.
realizacji zada publicznych oraz dla rejestrw publicznych i wymiany informacji w formie
elektronicznej,
dostosowywania obecnie uywanych systemw teleinformatycznych do wymaga dla sys-
temw teleinformatycznych,
dostosowywania rejestrw publicznych i wymiany informacji do okrelonych wymaga,
kontroli projektw informatycznych o publicznym zastosowaniu,
wymiany informacji drog elektroniczn,
ustalania i publikacji specyfikacji stosowanych rozwiza.
W zakresie zabezpiecze baz danych i przechowywanych w nich informacji Ustawa ta definiuje nastpujce kwestie:
Obowizek speniania przez systemy teleinformatyczne minimalnych wymaga dla syste-
247
4.3. Rozporzdzenie w sprawie minimalnych wymaga dla rejestrw publicznych i wymiany informacji w formie elektronicznej
Rozporzdzenie okrela minimalne wymagania, jakie powinny spenia rejestry publiczne
w zakresie zapewnienia spjnoci dziaa z innymi systemami teleinformatycznymi, jak rwnie
wymiany informacji pomidzy rejestrami publicznymi. Rozporzdzenie w zaczniku okrela definicje cech informacyjnych i obowizek korzystania z nich przez podmioty prowadzce rejestr
publiczny i wymian informacji w formie elektronicznej.
4.4. Rozporzdzenie w sprawie sposobu, zakresu i trybu udostpniania danych zgromadzonych w rejestrze publicznym
Rozporzdzenie okrela sposb, zakres i tryb udostpniania danych zgromadzonych w rejestrze
publicznym, podmiotom realizujcym zadania publiczne.
W zakresie bezpieczestwa danych dokument nakada obowizki na podmiot prowadzcy rejestr o informowaniu w sposb powszechnie dostpny, w tym w Biuletynie Informacji Publicznej,
o warunkach zabezpiecze technicznych i organizacyjnych niezbdnych do uzyskania dostpu do
danych zgromadzonych w rejestrze. Take podmiot, ktremu udostpniono dane zgromadzone
w rejestrze, ma obowizek zabezpieczania otrzymanych danych przed dostpem osb nieupowanionych lub nieuprawnion zmian ich zawartoci oraz przed ich wykorzystaniem niezgodnym
z celem, dla ktrego zostay uzyskane.
248
Wedug rozporzdzenia podmiot, ktremu udostpniono dane zgromadzone w rejestrze, odpowiada za bezpieczestwo i integralno uzyskanych danych.
Podsumowanie
Obecnie obowizuje dua liczba aktw prawnych, ktrych zapisy dotycz baz danych i informacji w nich przechowywanych w szczeglnoci w kontekcie bezpieczestwa. Akty te rni
przede wszystkim zakresy stosowania w aspekcie danych, ktrych dotycz jak i podmiotw, ktre
przetwarzaj te dane. W wikszoci analizowanych aktw prawnych obowizek stosowania zabezpiecze i ochrony danych jest potraktowany bardzo oglnie, wrcz na poziomie jednego zdania
lub akapitu w stylu: naley zadba o stosowanie zabezpiecze przetwarzanych danych. Tylko
niektre z analizowanych dokumentw wskazuj na konkretne mechanizmy i sposoby zabezpiecze. Pytanie, na ktre musz odpowiada sobie administratorzy brzmi nastpujco: w jaki sposb
speni zapisy aktu prawnego, gdy nie ma w nim wskazanych informacji, jaki stan jest uznawany
za zgodny z danym aktem? Proponowanym rozwizaniem tego problemu jest wykonanie nastpujcych czynnoci przez administratorw:
Identyfikacja rodzaju danych przechowywanych w ich bazach danych.
Okrelenie charakterystyki prowadzonej dziaalnoci przez podmiot, ktry jest wacicielem
249
Bibliografia
[1]
[2]
[3]
[4]
[5]
[6]
[7]
Ustawa z dnia 17 lutego 2005 r. o informatyzacji dziaalnoci podmiotw realizujcych zadania publiczne
[8]
[9]
[10]
[11]