Wojciech Dworakowski
Ustawa o ochronie danych osobowych - bazy i aplikacje Oracle
• Odpowiedzialność
• Wymagania dotyczące baz danych i aplikacji (wybrane)
• Wprowadzenie do tematyki ochrony danych osobowych
Agenda
2
• Administratorzy przetwarzający dane osobowe w dniu wejścia w życie ustawy mieli czas karencji do 01.11.2004
– m.in. sprecyzowanie wymogów technicznych
• Od 01.05.2004 weszła w życie nowelizacja
• Z dnia 29 sierpnia 1997 r.
Zmiany w roku 2004
3
•
•
•
W rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.
Co to są „dane osobowe” ?
4
• działalności dziennikarskiej, literackiej lub artystycznej (chyba że wolność wyrażania swoich poglądów i rozpowszechniania informacji istotnie narusza prawa i wolności osoby, której dane dotyczą)
• osób fizycznych, które przetwarzają dane wyłącznie w celach osobistych lub domowych,
m.in. z wyjątkiem:
z pewnymi wyjątkami (art 3a)
Upraszczając – wszyscy
Kto musi stosować się do wymogów UODO ?
5
– przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się, – przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej,
• M.in. z obowiązku rejestracji są zwolnieni administratorzy danych:
• Na szczęście od tej zasady są liczne wyjątki (art 43 ustęp 1)
• Zbiory danych osobowych przed przystąpieniem do przetwarzania należy zarejestrować w GIODO
Obowiązek rejestracji
6
– dotyczących osób korzystających z ich usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta, – dotyczących osób należących do kościoła lub innego związku wyznaniowego, (...) przetwarzanych na potrzeby tego kościoła lub związku wyznaniowego – powszechnie dostępnych, – przetwarzanych w zakresie drobnych bieżących spraw życia codziennego.
• M.in. z obowiązku rejestracji są zwolnieni administratorzy danych (c.d.):
Obowiązek rejestracji
7
Zwolnienie z obowiązku rejestracji nie oznacza zwolnienia z obowiązku przetwarzania danych zgodnie z zasadami ustawy !
Uwaga !
8
– „administrator danych” – j.w. – „administrator bezpieczeństwa informacji” – osoba wyznaczona do nadzorowania przestrzegania zasad ochrony danych osobowych (Art. 36 ust. 3)
• Nie mylić:
• ... administrator danych to organ, jednostka organizacyjna, podmiot lub osoba, (...) decydujące o celach i środkach przetwarzania danych osobowych. (Art. 7 ust. 4)
Administrator danych osobowych
9
• Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem
Najogólniej – Art 36 ust 1:
Wymagania dotyczące zabezpieczeń
10
• Podstawowy tekst ustawy Opracowanie GIODO: „Wymagania dotyczące struktur baz danych osobowych oraz funkcjonalności zarządzających nimi aplikacji”
• Rozporządzenie MSWiA MSWiA „w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych”
Źródła regulacji technicznych
11
• „Zapytanie do bazy danych obsługujące tą funkcję powinno być skonstruowane w ten sposób, żeby zwracać dane tylko jednej wyszukiwanej osoby.”
12
• Dane te powinny być wyświetlane i drukowane w postaci zrozumiałej dla przeciętnego odbiorcy !
• Opcja podglądu i weryfikacji przetwarzanych danych osobowych
Wymagania dotyczące aplikacji i baz danych
Wykształcenie:
Data urodzenia: Nr PESEL:
Imię (imiona): Adres:
W
Jan Zygmunt Nazwisko: Nalewki 20 m. 10; Imię ojca: 00-701 Warszawa 12 listopad 1954 Imię matki: 6711203221 Miejsce pracy:
“Zygfryt” S.A.
Katarzyna
Kowalski Grzegorz
13
• Dane i opisy powinny być prezentowane w pełnym brzmieniu a nie w postaci kodowanej lub skrótowej
„zrozumiałe dla przeciętnego odbiorcy”
Dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym (...) system ten zapewnia odnotowanie: 1. daty pierwszego wprowadzenia danych do systemu; 2. identyfikatora użytkownika wprowadzającego dane osobowe do systemu, chyba że dostęp do systemu informatycznego i przetwarzanych w nim danych posiada wyłącznie jedna osoba; 3. źródła danych, w przypadku zbierania danych, nie od osoby, której one dotyczą; 4. informacji o odbiorcach, w rozumieniu art. 7 pkt 6 ustawy, którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia, chyba że system informatyczny używany jest do przetwarzania danych zawartych w zbiorach jawnych; 5. sprzeciwu, o którym mowa w art. 32 ust. 1 pkt 8 ustawy. (sprzeciw wobec przetwarzania danych)
Odnotowywanie
14
Jan Zygmunt Kowalski Nalewki 20 m.10 00-701 Warszawa 12 listopad 1954 54111203431
Pierwsze imię
Drugie imię
Nazwisko
Ulica, nr domu i mieszkania
Kod pocztowy
Miejscowość
Data urodzenia
PESEL
Wartość 12.10.1999 od osoby, której dotyczą a_grzeskowiak Tak
Nazwa danej
data 1-szego wprowadzenia danych do systemu
źródło pochodzenia danych
Identyfikator użytkownika wprowadzającego dane
zgoda na przetwarzanie danych
B - Informacje z zakresu § 7 ust. 1 pkt. 1, 2, 3, 5 rozporządzenia
Wartość
Nazwa danej
A - Informacje identyfikujące osobę
Przykład
15
• ALTER TABLE ... NOLOGGING (?) 16
• W przypadku Oracle (i innych zaawansowanych baz) należało by też wziąć pod uwagę: redo logi, dane flashback query, undo segments, backupy ...
• Rekordy z danymi osobowymi usuwane z bazy powinny być kasowane w rzeczywistości a nie zaznaczane jako skasowane. Tak żeby odpowiednie programy narzędziowe nie mogły tych danych odzyskać.
Usuwanie danych
• W dokumentacji systemu zarządzania bazą danych osobowych, sposób tworzenia numerów porządkowych i/lub indeksów, jeśli nie są to kolejne liczby naturalne określające pozycję zapisu w zbiorze, powinien być dokładnie opisany i wyjaśniony
– Z wyjątkiem: płci, daty urodzenia, numeru pozycji w rejestrze oraz liczby kontrolnej
17
• Zabronione jest nadawanie ukrytych znaczeń elementom numerów porządkowych w systemach ewidencjonujących osoby fizyczne.
Znaczenia ukryte
• wysoki - gdy przynajmniej jedno urządzenie systemu połączone jest z siecią publiczną
rasowe, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniowa, partyjna lub związkowa, dane o stanie zdrowia, kodzie genetycznym, nałogach, życiu seksualnym, dane dotyczące skazań)
• podwyższony – dla systemów przetwarzających dane o szczególnej wartości (art 27 uodo – np. pochodzenie
• podstawowy – dla wszystkich systemów
Poziomy zabezpieczeń wg Rozporządzenia
18
• Oracle Proxy Authentication (10g)
19
• Uwaga: Większość aplikacji działa zawsze na tym samym koncie w bazie danych
• Nie jest jasno powiedziane czy zasada ta dotyczy wszystkich warstw
• Należy stosować mechanizmy kontroli dostępu, przy czym jeśli do systemu ma dostęp wielu użytkowników, to muszą mieć oni odrębne identyfikatory.
Niektóre wymagania
• Zalecenia producenta (np. „Secure Configuration Guide for Oracle9iR2” )
• Zasady dobrej praktyki
• Brak precyzyjniejszej wykładni
• oraz „utratą danych spowodowaną awarią zasilania lub zakłóceniami w sieci zasilającej”.
• Zabezpieczenie przed „działaniem oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego”
Niektóre wymagania - c.d.
20
• Powinno to być uwzględnione w funkcji obsługującej zakładanie użytkownika
• Identyfikator użytkownika, który utracił uprawnienia do przetwarzania danych, nie może być przydzielony innej osobie.
Niektóre wymagania – c.d.
21
• Oracle Identity Management / Internet Directory – Password Policies
• Na poziomie aplikacji: własne mechanizmy
• Na poziomie bazy Oracle: wymuszenie za pomocą PROFILE
– poziom podstawowy: 6 znaków, – poziom podwyższony i wysoki: z 8 znaków i zawierać małe i wielkie litery oraz cyfry lub znaki specjalne,
• Hasło powinno się składać co najmniej:
• Powinny być zmieniane nie rzadziej niż co 30 dni
Wymagania odnośnie haseł
22
• Zasady dobrej praktyki
• Ustawodawca nie reguluje już jednak częstotliwości sporządzania kopii zapasowych.
• Usuwać niezwłocznie po ustaniu ich użyteczności.
23
• Kopie zapasowe należy przechowywać w „w miejscach zabezpieczających je przed nieuprawnionym przejęciem, modyfikacją, uszkodzeniem lub zniszczeniem”.
• Konieczność sporządzania kopii zapasowych danych i programów je przetwarzających.
Wymagania – kopie zapasowe
• Wielokrotne nadpisanie losową informacją
• Rozmagnesowanie nośnika w specjalnym urządzeniu
24
• Urządzenia, dyski lub inne nośniki elektroniczne zawierające dane osobowe przeznaczone do likwidacji, naprawy lub przekazania podmiotowi nieuprawnionemu do przetwarzania danych osobowych pozbawia się wcześniej zapisu w sposób uniemożliwiający ich odzyskanie.
Likwidacja, przekazanie, naprawa
• Kontrola ruchu wchodzącego i wychodzącego
• Firewall / IPS
– „kontrolę przepływu informacji pomiędzy systemem informatycznym administratora danych a siecią publiczną” – „kontrolę działań inicjowanych z sieci publicznej i systemu informatycznego administratora danych”
• Zabezpieczenia logiczne obejmujące:
Na poziomie wysokim
25
• W aplikacjach webowych ograniczenie ochrony tylko do danych uwierzytelniających nic nie daje (możliwość podszywania się pod identyfikator sesji)
• W przypadku aplikacji webowych – HTTPS
• Ochrona kryptograficzna wobec „danych wykorzystywanych do uwierzytelnienia, które są przesyłane w sieci publicznej”.
Na poziomie wysokim
26
– polityka bezpieczeństwa – instrukcja bezpieczeństwa
27
• Więcej uwagi w ustawie poświęcono konieczności właściwej dokumentacji zabezpieczeń
• Wymieniono tylko niektóre wymogi techniczne
To nie wszystko !
Kto administrując danymi narusza choćby nieumyślnie obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.
Art 52:
28
Kto przetwarza w zbiorze dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do których przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.
Art 49:
Odpowiedzialność
Art 19 • ...skierować zawiadomienie o popełnieniu przestępstwa, dołączając dowody dokumentujące podejrzenie 29
Art 18 ust 1 • usunięcie uchybień, • uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych, • zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe, • wstrzymanie przekazywania danych osobowych do państwa trzeciego, • zabezpieczenie danych lub przekazanie ich innym podmiotom, • usunięcie danych osobowych
GIODO w wyniku przeprowadzonej kontroli może
Ustawa i towarzyszące rozporządzenia
Wytyczne w zakresie opracowania i wdrożenia polityki bezpieczeństwa http://www.giodo.gov.pl/plik/id_p/551/t/pdf/j/pl/
Wskazówki dotyczące sposobu opracowania instrukcji określającej sposób zarządzania systemem informatycznym (...). http://www.giodo.gov.pl/plik/id_p/550/t/pdf/j/pl/
UODO Survival Kit - ISACA Warsaw Chapter http://www.isaca.org.pl/projects/WCP9/index.html
Coroczne sprawozdania GIODO
•
•
•
•
•
Materiały
30
http://www.securing.pl
[email protected]
Pytania
31