Wojciech Dworakowski

Ustawa o ochronie danych osobowych - bazy i aplikacje Oracle

• Odpowiedzialność

• Wymagania dotyczące baz danych i aplikacji (wybrane)

• Wprowadzenie do tematyki ochrony danych osobowych

Agenda

2

• Administratorzy przetwarzający dane osobowe w dniu wejścia w życie ustawy mieli czas karencji do 01.11.2004

– m.in. sprecyzowanie wymogów technicznych

• Od 01.05.2004 weszła w życie nowelizacja

• Z dnia 29 sierpnia 1997 r.

Zmiany w roku 2004

3

•

•

•

W rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.

Co to są „dane osobowe” ?

4

• działalności dziennikarskiej, literackiej lub artystycznej (chyba że wolność wyrażania swoich poglądów i rozpowszechniania informacji istotnie narusza prawa i wolności osoby, której dane dotyczą)

• osób fizycznych, które przetwarzają dane wyłącznie w celach osobistych lub domowych,

m.in. z wyjątkiem:

z pewnymi wyjątkami (art 3a)

Upraszczając – wszyscy

Kto musi stosować się do wymogów UODO ?

5

– przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się, – przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej,

• M.in. z obowiązku rejestracji są zwolnieni administratorzy danych:

• Na szczęście od tej zasady są liczne wyjątki (art 43 ustęp 1)

• Zbiory danych osobowych przed przystąpieniem do przetwarzania należy zarejestrować w GIODO

Obowiązek rejestracji

6

– dotyczących osób korzystających z ich usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta, – dotyczących osób należących do kościoła lub innego związku wyznaniowego, (...) przetwarzanych na potrzeby tego kościoła lub związku wyznaniowego – powszechnie dostępnych, – przetwarzanych w zakresie drobnych bieżących spraw życia codziennego.

• M.in. z obowiązku rejestracji są zwolnieni administratorzy danych (c.d.):

Obowiązek rejestracji

7

Zwolnienie z obowiązku rejestracji nie oznacza zwolnienia z obowiązku przetwarzania danych zgodnie z zasadami ustawy !

Uwaga !

8

– „administrator danych” – j.w. – „administrator bezpieczeństwa informacji” – osoba wyznaczona do nadzorowania przestrzegania zasad ochrony danych osobowych (Art. 36 ust. 3)

• Nie mylić:

• ... administrator danych to organ, jednostka organizacyjna, podmiot lub osoba, (...) decydujące o celach i środkach przetwarzania danych osobowych. (Art. 7 ust. 4)

Administrator danych osobowych

9

• Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem

Najogólniej – Art 36 ust 1:

Wymagania dotyczące zabezpieczeń

10

• Podstawowy tekst ustawy
Opracowanie GIODO: „Wymagania dotyczące struktur baz danych osobowych oraz funkcjonalności zarządzających nimi aplikacji”

• Rozporządzenie MSWiA MSWiA „w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych”

Źródła regulacji technicznych

11

• „Zapytanie do bazy danych obsługujące tą funkcję powinno być skonstruowane w ten sposób, żeby zwracać dane tylko jednej wyszukiwanej osoby.”

12

• Dane te powinny być wyświetlane i drukowane w postaci zrozumiałej dla przeciętnego odbiorcy !

• Opcja podglądu i weryfikacji przetwarzanych danych osobowych

Wymagania dotyczące aplikacji i baz danych

Wykształcenie:

Data urodzenia: Nr PESEL:

Imię (imiona): Adres:

W

Jan Zygmunt Nazwisko: Nalewki 20 m. 10; Imię ojca: 00-701 Warszawa 12 listopad 1954 Imię matki: 6711203221 Miejsce pracy:

“Zygfryt” S.A.

Katarzyna

Kowalski Grzegorz

13

• Dane i opisy powinny być prezentowane w pełnym brzmieniu a nie w postaci kodowanej lub skrótowej

„zrozumiałe dla przeciętnego odbiorcy”

Dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym (...) system ten zapewnia odnotowanie: 1. daty pierwszego wprowadzenia danych do systemu; 2. identyfikatora użytkownika wprowadzającego dane osobowe do systemu, chyba że dostęp do systemu informatycznego i przetwarzanych w nim danych posiada wyłącznie jedna osoba; 3. źródła danych, w przypadku zbierania danych, nie od osoby, której one dotyczą; 4. informacji o odbiorcach, w rozumieniu art. 7 pkt 6 ustawy, którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia, chyba że system informatyczny używany jest do przetwarzania danych zawartych w zbiorach jawnych; 5. sprzeciwu, o którym mowa w art. 32 ust. 1 pkt 8 ustawy. (sprzeciw wobec przetwarzania danych)

Odnotowywanie

14

Jan Zygmunt Kowalski Nalewki 20 m.10 00-701 Warszawa 12 listopad 1954 54111203431

Pierwsze imię

Drugie imię

Nazwisko

Ulica, nr domu i mieszkania

Kod pocztowy

Miejscowość

Data urodzenia

PESEL

Wartość 12.10.1999 od osoby, której dotyczą a_grzeskowiak Tak

Nazwa danej

data 1-szego wprowadzenia danych do systemu

źródło pochodzenia danych

Identyfikator użytkownika wprowadzającego dane

zgoda na przetwarzanie danych

B - Informacje z zakresu § 7 ust. 1 pkt. 1, 2, 3, 5 rozporządzenia

Wartość

Nazwa danej

A - Informacje identyfikujące osobę

Przykład

15

• ALTER TABLE ... NOLOGGING (?) 16

• W przypadku Oracle (i innych zaawansowanych baz) należało by też wziąć pod uwagę: redo logi, dane flashback query, undo segments, backupy ...

• Rekordy z danymi osobowymi usuwane z bazy powinny być kasowane w rzeczywistości a nie zaznaczane jako skasowane. Tak żeby odpowiednie programy narzędziowe nie mogły tych danych odzyskać.

Usuwanie danych

• W dokumentacji systemu zarządzania bazą danych osobowych, sposób tworzenia numerów porządkowych i/lub indeksów, jeśli nie są to kolejne liczby naturalne określające pozycję zapisu w zbiorze, powinien być dokładnie opisany i wyjaśniony

– Z wyjątkiem: płci, daty urodzenia, numeru pozycji w rejestrze oraz liczby kontrolnej

17

• Zabronione jest nadawanie ukrytych znaczeń elementom numerów porządkowych w systemach ewidencjonujących osoby fizyczne.

Znaczenia ukryte

• wysoki - gdy przynajmniej jedno urządzenie systemu połączone jest z siecią publiczną

rasowe, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniowa, partyjna lub związkowa, dane o stanie zdrowia, kodzie genetycznym, nałogach, życiu seksualnym, dane dotyczące skazań)

• podwyższony – dla systemów przetwarzających dane o szczególnej wartości (art 27 uodo – np. pochodzenie

• podstawowy – dla wszystkich systemów

Poziomy zabezpieczeń wg Rozporządzenia

18

• Oracle Proxy Authentication (10g)

19

• Uwaga: Większość aplikacji działa zawsze na tym samym koncie w bazie danych

• Nie jest jasno powiedziane czy zasada ta dotyczy wszystkich warstw

• Należy stosować mechanizmy kontroli dostępu, przy czym jeśli do systemu ma dostęp wielu użytkowników, to muszą mieć oni odrębne identyfikatory.

Niektóre wymagania

• Zalecenia producenta (np. „Secure Configuration Guide for Oracle9iR2” )

• Zasady dobrej praktyki

• Brak precyzyjniejszej wykładni

• oraz „utratą danych spowodowaną awarią zasilania lub zakłóceniami w sieci zasilającej”.

• Zabezpieczenie przed „działaniem oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego”

Niektóre wymagania - c.d.

20

• Powinno to być uwzględnione w funkcji obsługującej zakładanie użytkownika

• Identyfikator użytkownika, który utracił uprawnienia do przetwarzania danych, nie może być przydzielony innej osobie.

Niektóre wymagania – c.d.

21

• Oracle Identity Management / Internet Directory – Password Policies

• Na poziomie aplikacji: własne mechanizmy

• Na poziomie bazy Oracle: wymuszenie za pomocą PROFILE

– poziom podstawowy: 6 znaków, – poziom podwyższony i wysoki: z 8 znaków i zawierać małe i wielkie litery oraz cyfry lub znaki specjalne,

• Hasło powinno się składać co najmniej:

• Powinny być zmieniane nie rzadziej niż co 30 dni

Wymagania odnośnie haseł

22

• Zasady dobrej praktyki

• Ustawodawca nie reguluje już jednak częstotliwości sporządzania kopii zapasowych.

• Usuwać niezwłocznie po ustaniu ich użyteczności.

23

• Kopie zapasowe należy przechowywać w „w miejscach zabezpieczających je przed nieuprawnionym przejęciem, modyfikacją, uszkodzeniem lub zniszczeniem”.

• Konieczność sporządzania kopii zapasowych danych i programów je przetwarzających.

Wymagania – kopie zapasowe

• Wielokrotne nadpisanie losową informacją

• Rozmagnesowanie nośnika w specjalnym urządzeniu

24

• Urządzenia, dyski lub inne nośniki elektroniczne zawierające dane osobowe przeznaczone do likwidacji, naprawy lub przekazania podmiotowi nieuprawnionemu do przetwarzania danych osobowych pozbawia się wcześniej zapisu w sposób uniemożliwiający ich odzyskanie.

Likwidacja, przekazanie, naprawa

• Kontrola ruchu wchodzącego i wychodzącego

• Firewall / IPS

– „kontrolę przepływu informacji pomiędzy systemem informatycznym administratora danych a siecią publiczną” – „kontrolę działań inicjowanych z sieci publicznej i systemu informatycznego administratora danych”

• Zabezpieczenia logiczne obejmujące:

Na poziomie wysokim

25

• W aplikacjach webowych ograniczenie ochrony tylko do danych uwierzytelniających nic nie daje (możliwość podszywania się pod identyfikator sesji)

• W przypadku aplikacji webowych – HTTPS

• Ochrona kryptograficzna wobec „danych wykorzystywanych do uwierzytelnienia, które są przesyłane w sieci publicznej”.

Na poziomie wysokim

26

– polityka bezpieczeństwa – instrukcja bezpieczeństwa

27

• Więcej uwagi w ustawie poświęcono konieczności właściwej dokumentacji zabezpieczeń

• Wymieniono tylko niektóre wymogi techniczne

To nie wszystko !

Kto administrując danymi narusza choćby nieumyślnie obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.

Art 52:

28

Kto przetwarza w zbiorze dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do których przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.

Art 49:

Odpowiedzialność

Art 19 • ...skierować zawiadomienie o popełnieniu przestępstwa, dołączając dowody dokumentujące podejrzenie 29

Art 18 ust 1 • usunięcie uchybień, • uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych, • zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe, • wstrzymanie przekazywania danych osobowych do państwa trzeciego, • zabezpieczenie danych lub przekazanie ich innym podmiotom, • usunięcie danych osobowych

GIODO w wyniku przeprowadzonej kontroli może

Ustawa i towarzyszące rozporządzenia

Wytyczne w zakresie opracowania i wdrożenia polityki bezpieczeństwa http://www.giodo.gov.pl/plik/id_p/551/t/pdf/j/pl/

Wskazówki dotyczące sposobu opracowania instrukcji określającej sposób zarządzania systemem informatycznym (...). http://www.giodo.gov.pl/plik/id_p/550/t/pdf/j/pl/

UODO Survival Kit - ISACA Warsaw Chapter http://www.isaca.org.pl/projects/WCP9/index.html

Coroczne sprawozdania GIODO

•

•

•

•

•

Materiały

30

http://www.securing.pl

[email protected]

Pytania

31