Lista kontrolna ODO

Lista kontrolna Ochrony Danych Osobowych
Sporządził
Data:
Strona:
ABI
DD-MM-RRRR
1 z 16
Załącznik Nr 9 do „Polityki Bezpieczeństwa Ochrony Danych Osobowych
w Państwowej Wyższej Szkoły Informatyki i Przedsiębiorczości w Łomży”
Spis treści
Przesłanki legalności przetwarzania danych osobowych zwykłych i wrażliwych .............................................................................................................................. 1
Merytoryczna poprawność danych i ich adekwatność do celu przetwarzania .................................................................................................................................... 3
Obowiązek informacyjny (art. 24, art. 25, art. 33) .............................................................................................................................................................................. 3
Zgłoszenie zbioru do rejestracji ........................................................................................................................................................................................................... 4
Przekazywanie danych do państwa trzeciego ...................................................................................................................................................................................... 5
Powierzenie przetwarzania danych ...................................................................................................................................................................................................... 5
Udostępnianie danych .......................................................................................................................................................................................................................... 6
Zabezpieczenia organizacyjne ............................................................................................................................................................................................................. 6
Zabezpieczenia fizyczne .................................................................................................................................................................................................................... 10
Zabezpieczenia informatyczne........................................................................................................................................................................................................... 11
Zabezpieczenia osobowe ................................................................................................................................................................................................................... 14
Przesłanki legalności przetwarzania danych osobowych zwykłych i wrażliwych
L.p.
1.
2.
Pytanie
Wskazówka
Jeśli podstawą prawną upoważniającą do
prowadzenia zbioru danych jest zgoda
osoby (art. 23, ust. 1, pkt 1), to czy jest
to zgoda udokumentowana?
należy uzyskać dowody udzielenia zgody, takie jak:
Podpis osoby pod klauzulą zgody (np.: na CV, na umowach z klauzulą zgody
na marketing, na umowach ze zgodą na udostępnianie danych innym
podmiotom, na oświadczeniach zgód na publikację wizerunku na www)
Mail z klauzulą zgody w treści (stosowany, np.: w mailach od kandydatów
do pracy, zawierających CV, w mailach od osób zgłaszających się do konkursów,
promocji)
Checkbox z zaznaczeniem zgody (stosowany np.: podczas rejestracji na
portalu, podczas subskrypcji do newslettera)
Zapis rozmowy telefonicznej (stosowany np.: podczas działań
marketingowych)
Czy klauzula zgody ma precyzyjnie
określone cele?
klauzula zgody musi mieć określony wyraźny cel lub cele
Czy organizacja spełnia
wymaganie T/N/UWAGI
3.
4.
5.
6.
Czy zachowywana jest treść udzielonych
zgód z przypisaniem do osób, które
zgody udzielają?
Jeśli dane w zbiorze przetwarzane są w
celu zrealizowania uprawnienia lub
spełnienia obowiązku wynikającego z
przepisu prawa (art. 23, ust 1, pkt 2), to
czy wskazano podstawę prawną?
Jeśli podstawą prawną upoważniającą do
prowadzenia zbioru danych jest
przetwarzanie niezbędne do realizacji
umowy, której dana osoba jest stroną
(art. 23, ust 1, pkt 3), to czy istnieje
taka umowa?
Czy podstawą legalności przetwarzania
jest art. 23, ust.1, pkt 5 – czyli prawnie
usprawiedliwiony cel administratora?
7.
Czy zbiór jest zbiorem tymczasowym?
8.
Czy przetwarzanie danych osobowych
wrażliwych odbywa się na podstawie
pisemnej zgody osoby, której dane
dotyczą? (art. 27)
Czy przepis innej ustawy zezwala na
przetwarzanie danych osobowych
wrażliwych bez zgody osoby, której dane
dotyczą? (art. 27)
Czy przetwarzanie danych wrażliwych
dotyczy zatrudnienia pracowników i
innych osób, a zakres przetwarzanych
danych jest określony w ustawie?
Czy dane w zbiorze podlegają
wymaganiom przepisów szczególnych?
9.
10.
11.
Żądać podania podstawy prawnej
Przykłady podstaw prawnych:
Ustawa o systemie ubezpieczeń społecznych, Kodeks Pracy, Prawo bankowe
Żądać potwierdzenia istnienia umowy. W przypadku umów przedwstępnych żądać przedstawienia dokumentacji przetargowej, konkursowej, treści umowy
przedwstępnej
Przykład: umowy zlecenia i umowy o dzieło
Jeśli tak, to sprawdzić, czy:
 firma wobec swoich klientów prowadzi marketing produktów i usług
własnych lub zleca windykację?
 organizacja stosuje monitoring wizyjny, lub prowadzi rejestr wejść/wyjść lub
książkę korespondencyjną
Za zbiór tymczasowy uznajemy np. plik w excelu lub w wordzie, gdzie dane są
przechowywane przez okres co najwyżej kilku miesięcy. Jeśli jest to zbiór
tymczasowy podlega zapewnieniu poufności.
Jeśli podstawą legalności jest zgoda osoby, to dowodem jest zgoda wyrażona na
piśmie
Jeśli przepis innej ustawy zezwala na przetwarzanie takich danych bez zgody
osoby, której dane dotyczą, jako dowód: wskazać tę ustawę
Dotyczy np.: dyrektorów szkół (zaświadczenia o niekaralności)
Jeśli dane wrażliwe dotyczą zatrudnienia pracowników i innych osób, dowodem
legalności jest stosunek pracy
Przykład: wypadki BHP, dane do PFRON, stopień niepełnosprawności, ZFŚS,
przynależność związkowa
Przykładowe przepisy szczególne uwzględniane w kontroli:
Kodeks Pracy, Ustawa o świadczeniu usług drogą elektroniczną (UŚUDE),
Ustawa o rachunkowości, Prawo bankowe, Prawo medyczne, Prawo
telekomunikacyjne, Ustawa o systemie oświaty, Ustawa o dostępie do informacji
publicznej
Merytoryczna poprawność danych i ich adekwatność do celu przetwarzania
L.p.
12.
13.
Pytanie
Wskazówka
Czy zapewniono merytoryczną
poprawność danych osobowych?
W trakcie całej kontroli należy sprawdzać, czy dane osobowe w systemach oraz
w wersji papierowej są poprawne, zaktualizowane i spójne
Czy zakres przetwarzanych danych
osobowych jest adekwatny do celu ich
przetwarzania?
Sprawdzenie tzw. Zasady adekwatności. Każda informacja o osobie musi mieć
swoje racjonalne uzasadnienie (swój cel) w oparciu o Art. 23 lub Art. 27.
14.
Czy określony jest czas przechowywania
danych?
15.
Czy dane przechowywane są nie dłużej
niż jest to niezbędne do osiągnięcia celu
przetwarzania?
Czy organizacja spełnia
wymaganie T/N/UWAGI
Jeśli przetwarza się dane „nadmiarowe” , to należy zaprzestać przetwarzania
tych danych
Sprawdzenie tzw. zasady czasowości.
Dowody: Czas przechowywania wpisany w dokumentacji ODO na podstawie
ustawy lub określony wewnętrzną procedurą
Sprawdzenie, czy dokonuje się faktycznego niszczenia dokumentów papierowych
i danych w wersji elektronicznej w momencie ustania ich ważności.
Obowiązek informacyjny (art. 24, art. 25, art. 33)
L.p.
16.
Pytanie
Wskazówka
Czy wobec osób w kontrolowanym
zbiorze wykonano obowiązek
informacyjny?
Dowody: wprowadzona w życie klauzula informacyjna
17.
Czy treść klauzuli informacyjnej dla
danych osobowych od osób, których te
dane dotyczą (art. 24) jest zgodna z
wymaganiami UODO?
18.
Czy treść klauzuli informacyjnej dla
danych osobowych pochodzących z
innych źródeł, niż od osób których te
dane dotyczą (art. 25), jest zgodna z
wymaganiami UODO?
Oczekiwane sposoby wprowadzenia klauzuli informacyjnej:
 Stopka w umowie
 Stopka w mailu
 Odrębny dokument do zapoznania się przez pracownika
 Stopka na internetowym formularzu rejestracyjnym
 W regulaminie, na stronie internetowej, BIP
Prawidłowa Klauzula powinna zawierać następujące informacje:
 Adres, siedzibę i pełną nazwę ADO
 Cel przetwarzania
 Informację o Prawie dostępu do treści swoich danych oraz możliwość ich
poprawiania,
 Informację o dobrowolności lub obowiązku podania danych
Prawidłowa klauzula powinna zawierać następujące informacje:
 Adres siedziby i pełną nazwę ADO
 Cel i zakres zbierania danych
 Źródło danych
 Informację o prawie dostępu do treści swoich danych oraz o prawie do ich
poprawiania
 Informacje o prawie wniesienia sprzeciwu wobec przetwarzania danych w
Czy organizacja spełnia
wymaganie T/N/UWAGI
19.
Czy wdrożono procedurę wykonania
obowiązku informacyjnego wobec osoby
żądającej tego na mocy art. 33?
20.
Czy klauzula informacyjna przesłana
osobie żądającej jest poprawna?
celach marketingowych lub wobec przekazywania tych danych osobowych
innemu administratorowi danych
Sprawdzić gotowość organizacji do wysłania odpowiedzi, gdy osoba zgłosi
żądanie wykonania obowiązku informacyjnego.
Na wniosek osoby, której dane dotyczą, ADO jest obowiązany, w terminie 30
dni, poinformować o przysługujących jej prawach oraz udzielić informacji (art.
32 ust. 1 pkt. 1 – 5a):
Klauzula powinna zawierać informacje:
 kim jest ADO (nazwa, adres) i
 jakie dane osobowe wnioskującego są przetwarzane,
 w jaki sposób i kiedy zebrano dane,
 w jakim celu i zakresie dane są przetwarzane,
 w jakim zakresie oraz komu dane zostały udostępnione
Na wniosek osoby, informacji powyższych udziela się na piśmie.
Osoba ma prawo wnioskować nie częściej, niż raz na pół roku.
Zgłoszenie zbioru do rejestracji
L.p.
21.
22.
23.
24.
25.
Pytanie
Wskazówka
Czy ADO wie, kiedy może rozpocząć
przetwarzanie danych osobowych
zwykłych, które podlegają rejestracji
jako zbiór danych osobowych w GIODO?
Czy ADO wie, kiedy może rozpocząć
przetwarzanie danych osobowych
wrażliwych, które podlegają rejestracji
jako zbiór danych osobowych w GIODO?
Czy ADO zna sposób rejestracji zbioru?
Zgłoszenie zbioru do GIODO danych zwykłych jest uznane za dokonane, gdy
ADO wyśle list polecony z wydrukowanym wnioskiem lub wyśle wniosek
elektronicznie z podpisem cyfrowym ADO lub wyśle wniosek przez e-PUAP
Czy ADO zna zasady aktualizacji danych
w zarejestrowanym w GIODO zbiorze?
Czy ADO jest zwolniony z obowiązku
rejestracji zbioru w GIODO?
Zgłoszenie zbioru do GIODO danych wrażliwych jest uznane za dokonane, gdy
GIODO przyśle oficjalną informację o akceptacji wniosku rejestracyjnego.
Rejestracji dokonuje się na stronie
http://egiodo.giodo.gov.pl/index.dhtml
Obowiązek ten dotyczy np. zmiany nazwy administratora danych, adresu jego
siedziby czy zakresu danych osobowych przetwarzanych w zbiorze.
Administrator danych nie musi zgłaszać bazy danych do GIODO, gdy przetwarza
dane osobowe:
 w związku z zatrudnianiem, świadczeniem usług na podstawie umów
cywilnoprawnych, zrzeszaniem się, nauczaniem osób
 wyłącznie w celu wystawienia faktury, rachunku
 w zakresie drobnych bieżących spraw życia codziennego
 w ramach świadczenia usług medycznych, adwokackich, prawnych,
Czy organizacja spełnia
wymaganie T/N/UWAGI



notarialnych, doradztwa podatkowego
w celach objętych informacją niejawną, z postępowań policyjnych i
sądowych
powszechnie dostępne
w zbiorach prowadzonych w formie papierowej, jeśli dane nie są danymi
wrażliwymi
Przekazywanie danych do państwa trzeciego
L.p.
26.
Czy organizacja spełnia
wymaganie T/N/UWAGI
Pytanie
Wskazówka
Czy przekazywanie danych osobowych
odbywa się w sposób legalny?
Przekazywanie takie jest legalne, gdy:
 osoba, której dane dotyczą, udzieliła zgodę na piśmie
 dane są niezbędne do zrealizowania umowy
 państwo docelowe daje gwarancje ochrony danych jak w RP
 wynika z obowiązku nałożonego na administratora danych przepisami prawa
lub postanowieniami ratyfikowanej umowy międzynarodowej
 wdrożono BRC (wiążące reguły korporacyjne)
 GIODO akceptuje przekazanie danych na specjalny wniosek
 Program „Safe harbour”
Powierzenie przetwarzania danych
L.p.
27.
28.
29.
30.
Pytanie
Wskazówka
Czy organizacja zidentyfikowała
podmioty zewnętrzne z którymi
podpisano lub należy podpisać umowę
powierzenia?
Czy powierzenie danych podmiotowi
zewnętrznemu ma formę pisemną?
Czy w umowie powierzenia określono cel
i zakres przetwarzania oraz zobowiązanie
podmiotu, któremu powierzono dane do
przetwarzania do stosowania
zabezpieczeń zgodnie z wymaganiami
art. 36 – 39a UODO?
W jaki sposób ADO sprawuje nadzór nad
podmiotem, któremu powierzył
przetwarzanie danych?
Żądać umów powierzenia danych lub aneksów
Dowód: odrębna umowa powierzenia, aneks lub paragrafy w umowie biznesowej
Możliwe formy nadzoru nad podmiotem:

podmiot dostarcza do ADO wykaz zabezpieczeń, które stosuje aby chronić
powierzone dane
 podmiot dostarcza do ADO do wglądu swoją politykę i instrukcję
 ADO może wykonywać kontrole wewnętrzne w siedzibie podmiotu, któremu
powierzył przetwarzanie danych
Czy organizacja spełnia
wymaganie T/N/UWAGI
31.
Czy w umowie zawarte są klauzule o
możliwości dalszego powierzenia?
Udostępnianie danych
L.p.
32.
33.
Czy organizacja spełnia
wymaganie T/N/UWAGI
Pytanie
Wskazówka
Czy udostępnienie komercyjne innym
podmiotom odbywa się za zgodą osób?
Dowód:
 zgoda osoby na udostępnienie danych innym podmiotom
Czy udostępnienie w oparciu o przepisy
prawa odbywa się w sposób bezpieczny?
Dowód: pismo z żądaniem udostępnienia ze wskazaniem ustawy/rozporządzenia,
która takie żądanie uzasadnia
Zabezpieczenia organizacyjne
L.p.
34.
35.
Pytanie
Wskazówka
Czy powołano formalnie ABI?
Jako dowodu żądać:
 Dokumentu powołania ABI (w aktach osobowych)
 Aneksu do umowy o pracę (w aktach osobowych)
 Umowy outsourcingowej (zewnętrzny ABI)
Sprawdzić, czy w zakresie obowiązków wymieniono poniższe zadania:
 sprawdzanie zgodności przetwarzania danych osobowych z przepisami o
ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania
dla administratora danych,
 nadzorowanie opracowania i aktualizowania dokumentacji, o której mowa w
art. 36 ust. 2 UODO, oraz przestrzegania zasad w niej określonych,
 zapewnianie zapoznania osób upoważnionych do przetwarzania danych
osobowych z przepisami o ochronie danych osobowych,
 prowadzenie rejestru zbiorów danych przetwarzanych przez administratora
danych, z wyjątkiem zbiorów zawierających dane wrażliwe
 organizacja bezpieczeństwa i ochrony danych osobowych zgodnie z
wymogami ustawy o ochronie danych osobowych,
 zapewnienie przetwarzania danych zgodnie z uregulowaniami polityki
bezpieczeństwa informacji
 wydawanie i anulowanie Upoważnień do przetwarzania danych osobowych,
 prowadzenie Ewidencji osób upoważnionych do przetwarzania danych
osobowych,
 prowadzenie postępowania wyjaśniającego w przypadku naruszenia ochrony
danych osobowych,
 nadzór nad bezpieczeństwem danych osobowych,
 kontrola działań komórek organizacyjnych pod względem zgodności
Czy znany jest zakres obowiązków i
uprawnień ABI w kwestiach dotyczących
administrowanych zbiorów/systemów?
Czy organizacja spełnia
wymaganie T/N/UWAGI
przetwarzania danych z przepisami o ochronie danych osobowych,
inicjowanie i podejmowanie przedsięwzięć w zakresie doskonalenia ochrony
danych osobowych
Możliwe rodzaje upoważnień: upoważnienie ogólne, upoważnienie do zbioru,
upoważnienie z zakresem upoważnienia, upoważnienie do wykonania
określonych czynności
Dowód:
 procedura nadawania upoważnień
 upoważnienie wydrukowane i podpisane przez ADO lub ABI

36.
Czy istnieją imienne upoważnienia dla
osób przetwarzających dane osobowe?
37.
W jaki sposób dokonywane jest
upoważnianie osób?
38.
Czy upoważnienia są nadane wszystkim
osobom, które przetwarzają dane
osobowe ?
Czy administrator danych prowadzi
ewidencję osób upoważnionych do ich
przetwarzania zgodnie z wymaganiami
UODO?
Czy w ewidencji osób upoważnionych
pozostają osoby z odnotowaną datą
ustania upoważnienia?
Czy osoby przetwarzające dane osobowe
zostały zapoznane z zasadami
bezpieczeństwa danych osobowych?
39.
40.
41.
42.
43.
44.
45.
46.
Czy osoby zobowiązane do zachowania
poufności do przetwarzania danych
podpisały oświadczenia o poufności?
Czy dla podmiotów mających dostęp do
danych osobowych administratora
stosuje się Umowy o zachowaniu
poufności?
Czy opisano zasady odbierania
oświadczeń o poufności od osób
zobowiązanych do zachowania
poufności?
Czy Polityka Bezpieczeństwa Informacji
jest wydrukowana, podpisana przez ADO
oraz ogłoszona?
Czy polityka bezpieczeństwa zawiera
Sprawdzić, czy prowadzona ewidencja osób upoważnionych zawiera: imię i
nazwisko osoby upoważnionej, datę nadania i ustania oraz zakres upoważnienia
oraz identyfikator w systemach informatycznych.
Osoby z wygasłym upoważnieniem nie powinny być usuwane z ewidencji.
Dowody:
 Podpis osoby na Oświadczeniu o poufności, że zapoznała się polityką i
instrukcją
 Podpis osoby na regulaminie, że zapoznała się regulaminem ochrony danych
osobowych
 Podpis na liście obecności z odbytego szkolenia
 Certyfikat uczestnictwa w szkoleniu
 E-learnig
Dowody: Oświadczenia o poufności od: pracowników etatowych, sprzątaczek,
ochroniarzy, wolontariuszy, kierowników,
Sprawdzić, czy istnieje taka procedura zawarta w Polityce lub w Instrukcji
Sprawdzić, czy istnieje udokumentowana i zatwierdzona przez polityka
bezpieczeństwa w formie uchwały lub zarządzenia.
Wymagać: Graficzny schemat pomieszczeń lub Tabela lub Lista lokalizacji
47.
48.
49.
50.
51.
52.
53.
54.
55.
wykaz budynków, pomieszczeń lub
części pomieszczeń, tworzących obszar,
w którym przetwarzane są dane
osobowe?
Czy polityka bezpieczeństwa zawiera
wykaz zbiorów danych osobowych wraz
z wskazaniem programów
zastosowanych do przetwarzania tych
danych?
Czy polityka bezpieczeństwa zawiera w
szczególności opis struktury zbiorów
danych wskazujących zawartość
poszczególnych pól informacyjnych i
powiązania między nimi?
Czy polityka bezpieczeństwa zawiera w
szczególności sposób przepływu danych
pomiędzy poszczególnymi systemami?
Czy polityka bezpieczeństwa zawiera w
szczególności określenie środków
technicznych i organizacyjnych
niezbędnych dla zapewnienia poufności,
integralności i rozliczalności
przetwarzanych danych?
Czy polityka bezpieczeństwa zawiera w
szczególności Instrukcję alarmową
(postępowania w przypadku naruszenia
ochrony danych osobowych)?
Czy w Polityce opisano procedurę
kontroli wewnętrznej i procedurę
sprawozdawczą?
Czy w Polityce opisano procedurę
szkoleń?
Czy instrukcja zarządzania systemami
informatycznymi służącymi do
przetwarzania danych osobowych jest
prowadzona w formie pisemnej?
Czy instrukcja zawiera w szczególności
Wymagać: Lista zbiorów, lista programów lub tabela łącząca zbiory z
programami
Dowód WYMAGANY dla każdego z programów w których są przetwarzane dane
osobowe - do wyboru:
 Struktura bazy lub lista tabel
 Instrukcja obsługi programu lub Print screeny z opisem pól
 Lista pól sporządzona odręcznie
Sprawdzić, czy istnieją:
 Opisane połączenia pomiędzy programami z listy programów lub pomiędzy
modułami danego programu
 Opisany kierunek przepływu danych osobowych (jednokierunkowo,
dwukierunkowo) oraz sposób ich przesyłania (automatycznie,
półautomatycznie, manualnie)
Polityka powinna zawierać wykaz zabezpieczeń. Preferowane, które powinny być
wykazane, znajdują się na Liście zabezpieczeń z rozporządzenia MSWiA oraz (+)
na liście zabezpieczeń z Wniosku rejestracyjnego do GIODO
Procedura nie jest wymagana, ale stanowi dobrą praktykę. Określa ona:
 czym są zagrożenia i naruszenia danych osobowych
 sposób reagowania, gdy wystąpią one w rzeczywistości
 sposób postępowania po wystąpieniu naruszenia
Sprawdź, czy rejestrowane są incydenty lub słabości systemu
Sprawdzić, czy istnieją raporty pokontrolne
Sprawdzić, czy istnieje sprawozdanie dla kierownictwa
Procedura nie jest wymagana, ale stanowi dobrą praktykę
Sprawdzić, czy istnieje udokumentowana i zatwierdzona przez kierownictwo
instrukcja zarządzania systemami informatycznymi służącymi do przetwarzania
danych osobowych
Procedura nieobligatoryjna: W tej procedurze opisano zasady obsługi sprzętu
procedurę „Bezpieczna eksploatacja
sprzętu i oprogramowania”?
służącego do przetwarzania zbiorów danych osobowych, np. komputerów,
notebooków, serwerów, innych elementów infrastruktury sieci.
56.
Czy instrukcja zawiera w szczególności
procedury nadawania uprawnień do
przetwarzania danych i rejestrowania
tych uprawnień w systemie
informatycznym?
57.
Czy instrukcja zawiera stosowane
metody i środki uwierzytelniania oraz
procedury związane z ich zarządzaniem i
użytkowaniem?
58.
Czy w każdym z programów stosuje się
zasadę ROZLICZALNOŚC?
59.
Czy instrukcja zawiera procedury
rozpoczęcia, zawieszenia i zakończenia
pracy przeznaczone dla użytkowników
systemu?
60.
Czy instrukcja zawiera procedury
tworzenia kopii zapasowych zbiorów
danych oraz programów i narzędzi
programowych służących do ich
przetwarzania?
Czy instrukcja zawiera procedurę „
Sposób, miejsce i okres przechowywania
elektronicznych nośników informacji
zawierających dane osobowe”?
Sprawdzić, czy Procedura nadawania uprawnień w systemach informatycznych,
zawiera:
 Opis, kto wnioskuje o nadanie, zmianę, wycofanie uprawnień
 Opis, kto wykonuje powyższe czynności
 Zasadę, że identyfikatory nie mogą się powtarzać
 Zasadę rozliczalności (każdy użytkownik/administrator pracuje na własnym
koncie)
 Opis, jak ABI jest informowany o nadaniu identyfikatora użytkownikowi
Sprawdzić, czy procedura opisuje takie elementy, jak:
 zasady zachowania poufności haseł
 hasło 8 znakowe, duże litery, małe litery, cyfry-znaki specjalne
 zmiana hasła przez użytkownika lub wymuszana przez system
 zmiana hasła co 30 dni
 przydzielanie haseł dla użytkowników oraz administratora
 opis zarządzania hasłami do stacji roboczych / serwera / aplikacji
Sprawdzić, czy każdy użytkownik posiada swój własny identyfikator (login). W
przypadku kont administracyjnych preferowane jest istnienie indywidualnych
kont administracyjnych. Obowiązuje zasada, że każdy pracuje na własnym
koncie.
Sprawdzić, czy procedura opisuje
 logowanie i wylogowywanie się z systemu informatycznego
 identyfikację i uwierzytelnienie użytkownika
 stosowanie wygaszacza ekranu, podczas nieobecności użytkownika
UWAGA: Jeśli nie ma wygaszaczy, programy powinny być zaopatrzone w funkcję
automatycznego wylogowywania się po określonym czasie bezczynności
Sprawdzić, czy procedura obejmuje wszystkie programy przetwarzające dane
osobowe
61.
62.
Czy instrukcja zawiera procedurę
zabezpieczania systemu informatycznego
przed działalnością oprogramowania,
Sprawdzić, czy procedura zawiera wymóg:
 szyfrowania pendrive/HD wynoszonych na zewnątrz
 istnienia niszczarki
 czyszczenia nośników dla darowizn lub sprzedaży sprzętu
 niszczenia nośników przed utylizacją
 stosowania polityki czystego biurka
Sprawdzić, czy opisano zasady ochrony antywirusowej (serwerowa lub
stanowiskowa, funkcje antywira, licencje, aktualizacje)
63.
64.
którego celem jest uzyskanie
nieuprawnionego dostępu do systemu
informatycznego?
Czy instrukcja zawiera w szczególności
Zasady i sposób odnotowywania w
systemie informacji o udostępnieniu
danych osobowych?
Czy instrukcja zawiera w szczególności
procedury wykonywania przeglądów i
konserwacji systemów oraz nośników
informacji służących do przetwarzania
danych?
Sprawdzić, czy opisano zasady ochrony przed nieautoryzowanym dostępem do
sieci lokalnej (rodzaj firewall, IDS/IPS, NAT, proxy, itp)
Sprawdzić, czy w tej procedurze opisany jest sposób realizacji wymogów
dotyczących odnotowania informacji o odbiorcach, którym dane osobowe zostały
udostępnione, dacie i zakresie tego udostępnienia
Sprawdzić, czy procedura obejmuje
 przeglądy i konserwacje systemu informatycznego
 aktualizacje oprogramowania
 bezpieczeństwo danych osobowych podczas napraw
serwis zewnętrzny (na miejscu i poza siedzibą ADO)
i konserwacji przez
Zabezpieczenia fizyczne
L.p.
65.
Pytanie
Wskazówka
Czy dane osobowe zabezpieczone są w
sposób fizyczny?
Możliwe zabezpieczenia:
 Szafy zamykane na klucz (niemetalowe i metalowe)
 Sejfy zwykłe lub ogniotrwałe, skrytki bankowe
 Drzwi do pomieszczeń zamykane na klucz zwykłe lub -wzmocnione lub
ognioodporne
 Zabezpieczeni okien (kraty, rolety lub folia antywłamaniowa)j
 System alarmowy przeciwwłamaniowy
 System kontroli dostępu, system monitoringu kamer
 Nadzór służby ochrony (pod nieobecność pracowników lub całodobowo)
 System przeciwpożarowy i/lub wolnostojące gaśnice
Sprawdzić, czy istnieje polityka kluczy, która opisuje:
 sposób zarządzania kluczami do budynków, biur, pomieszczeń
 dostęp do pomieszczeń po godzinach i w weekendy
 dostęp do kluczy zapasowych
 obowiązki w zakresie zabezpieczenia pomieszczeń oraz uprawnienia dostępu
66.
Czy istnieje udokumentowana polityka
kluczy?
67.
Czy stosuje się zbiorcze skrzynki na
klucze do zbiorczego zamykania tych
kluczy po godzinach?
Czy kopie zapasowe/archiwalne zbioru
danych osobowych przechowywane są w
odrębnym pomieszczeniu, niż
serwerownia?
Czy dane w archiwum zabezpieczone są
przed pożarem lub zalaniem?
Czy obszar, w którym przetwarzane są
68.
69.
70.
Sprawdzić stan okablowania elektrycznego w pomieszczeniach, stan rur
kanalizacyjnych
Sprawdzić, czy otwarte pomieszczenia z danymi nie są pozostawiane bez opieki.
Czy organizacja spełnia
wymaganie T/N/UWAGI
dane osobowe, zabezpiecza się przed
dostępem osób nieuprawnionych na czas
nieobecności w nim osób upoważnionych
do przetwarzania danych osobowych?
UWAGA: Jeśli po godzinach pracy odbywa się sprzątanie, to dokumenty i nośniki
muszą być zamknięte w szafach na klucz.
Zabezpieczenia informatyczne
L.p.
71.
72.
73.
74.
75.
76.
77.
78.
Pytanie
Wskazówka
Jaki jest poziom bezpieczeństwa
systemów informatycznych
przetwarzających dane osobowe?
Poziom podstawowy = przetwarzane dane osobowe zwykłe i brak dostępu do
Internetu
Poziom podwyższony = przetwarzane dane wrażliwe i brak dostępu do Internetu
Poziom wysoki = dostęp do Internetu
Wymaganie obligatoryjne!
Powyższe wymaganie nie dotyczy systemów służących do przetwarzania danych
osobowych ograniczonych wyłącznie do edycji tekstu w celu udostępnienia go na
piśmie
Czy każdy program przetwarzający dane
osobowe automatycznie odnotowuje:
- datę pierwszego wprowadzenia danych
do systemu
- identyfikator użytkownika
wprowadzającego dane osobowe do
systemu?
Czy w programie możliwe jest
odnotowanie informacji o
udostępnieniach danych?
Czy system umożliwia tworzenie i
drukowanie raportów zawierających
odnotowane informacje w przystępnej
formie, dla każdej osoby, której dane są
przetwarzane?
Czy serwer jest wyposażony w UPS oraz
inne kluczowe elementy (ważne stacje
robocze, routery)?
Czy serwerownia posiada klimatyzację i
jest wyposażona w sygnalizację
przegrzania serwerowni?
Czy system operacyjny lub programy
zapewniają rejestrację dostępu do
danych osobowych?
Czy na poziomie systemu operacyjnego
Sprawdzić, czy w programie można odnotować:
 źródło pochodzenia danych osobowych
 odbiorców danych
 datę i zakres udostępnień
 sprzeciw osoby, dotyczący przetwarzania swoich danych w celach
marketingowych lub udostępniania innym podmiotom
Raport musi być czytelny, nie operować skrótami
Czy organizacja spełnia
wymaganie T/N/UWAGI
79.
80.
zastosowano wymuszanie zmiany haseł?
Czy zablokowano wykonywanie
nieautoryzowanych kopii danych
osobowych przetwarzanych przy użyciu
systemów informatycznych?
Czy hosting serwera lub bazy gwarantuje
rozliczalność operacji i bezpieczeństwo
danych?
81.
Czy administrator danych zapewnia
szyfrowane połączenia przez internet
(SSL, VPN)?
82.
Czy dostęp do środków teletransmisji
zabezpieczono za pomocą mechanizmów
uwierzytelnienia?
Czy stosuje się macierz dyskową w celu
ochrony danych osobowych przed
skutkami awarii pamięci dyskowej?
Czy stosuje się środki ochrony przed
szkodliwym oprogramowaniem takim,
jak np. robaki, wirusy, konie trojańskie,
rootkity?
Czy użyto Firewall do ochrony dostępu
do sieci komputerowej?
Czy użyto systemu IDS/IPS do
wykrywania i blokowania ataków do sieci
komputerowej?
Czy stosowany jest NAT?
Czy zastosowano serwer proxy ?
83.
84.
85.
86.
87.
88.
89.
Czy system operacyjny i przeglądarki
mają zainstalowane aktualizacje (Patche,
Service Packi, aktualizacje)?
Dowód: oświadczenie od hostingodawcy a w oświadczeniu powinno się znaleźć:
 zapewnienie o gromadzeniu logów z logowań do serwerów/baz przez
administratorów oraz przez internet
 odnotowywanie adresów IP, które miały dostęp do do serwerów/baz
 zapewnienie o stosowaniu procedury zabraniającej administratorom oraz
wszystkim osobom nieupoważnionym jakiejkolwiek ingerencji w dane na
serwerach/bazach Zleceniodawcy
 deklaracja stosowania procedur zabezpieczeń fizycznych
 deklaracja zapewnienia dostępność usługi hostingu
Sprawdzić, czy administrator danych zapewnia szyfrowane połączenia (wskazać
SSL lub VPN) w następujących przypadkach:
 Praca zdalna z serwerem
 Połączenia użytkowników z serwerem przez www
 Korzystanie ze sklepów internetowych
 Rejestracja danych na stronie www
Sprawdzić pracę zdalną przez Internet pod kątem stosowania logowania
podczas nawiązania połączenia
 Sprawdzić zgodność licencji programu antywirusowego z ilością instalacji
 Sprawdzić datę bazy wirusów (ma być aktualna)
 Sprawdzić, czy baza wirusów aktualizuje się automatycznie
 Sprawdzić, czy antywir jest centralny, czy na stacjach
Opcje: firewall sprzętowy, firewall programowy na serwerze, na stacjach
(ang. Network Address Translation - metoda oddzielenia sieci LAN od Internetu)
 uniemożliwia lub ogranicza dostęp do pewnych stron internetowych albo
filtruje ich treść
 chroni sieć lokalną przed nieautoryzowanymi próbami dostępu
90.
91.
92.
93.
94.
95.
96.
97.
Czy określono odpowiednie prawa
dostępu do zasobów informatycznych, w
tym zbiorów danych osobowych dla
poszczególnych użytkowników systemu
informatycznego?
Czy zapewnia się, aby w systemie
informatycznym rejestrowany był dla
każdego użytkownika odrębny
identyfikator?
Czy identyfikator użytkownika, który
utracił uprawnienia do przetwarzania
danych, nie może być przydzielony innej
osobie?
Czy zapewnia się, aby dostęp do danych
był możliwy wyłącznie po wprowadzeniu
identyfikatora i dokonaniu
uwierzytelnienia?
Czy zainstalowano wygaszacze ekranów
na stanowiskach, na których
przetwarzane są dane osobowe?
Czy zastosowano mechanizm
automatycznej blokady dostępu do
systemu informatycznego służącego do
przetwarzania danych osobowych w
przypadku dłuższej nieaktywności pracy
użytkownika?
Czy wykonywane są kopie
bezpieczeństwa wszystkich ważnych
danych osobowych, które mogą się
znajdować na serwerze lub w
programach lub na komputerach
przenośnych?
Czy urządzenia, dyski lub inne
elektroniczne nośniki informacji,
zawierające dane osobowe,
przeznaczone do likwidacji — pozbawia
się wcześniej zapisu tych danych, a w
przypadku gdy nie jest to możliwe,
uszkadza się w sposób uniemożliwiający
ich odczytanie?
Np: LDAP, Kontrola Dostępu do serwera w systemie Linux, Windows, kontrola
dostępu do bazy danych, panel administracyjny aplikacji, Active directory
Sprawdzić, czy zapewnia się, aby dostęp do danych był możliwy wyłącznie po
wprowadzeniu identyfikatora i dokonaniu uwierzytelnienia. Możliwe opcje:
 Logowanie do stacji roboczej
 Logowanie do serwera
 Logowanie do programu z danymi osobowymi

Sprawdzić, jaka to kopia (kopia serwera , bazy danych, samych danych
osobowych z aplikacji)
 Sprawdzić typ kopii (całościowa / przyrostowa)
 Sprawdzić, czy opis nośników jest czytelny nawet dla laika
 Sprawdzić typ nośnika z kopią (DVD, streamer, wymienny HD, mirror –
online)
 Sprawdzić, gdzie i jak długo przechowywane są kopie bezpieczeństwa
Dowód: Protokół zniszczenia
98.
99.
Czy urządzenia, dyski lub inne
elektroniczne nośniki informacji,
zawierające dane osobowe,
przeznaczone do przekazania
podmiotowi nieuprawnionemu do
przetwarzania danych pozbawia się
wcześniej zapisu tych danych w sposób
uniemożliwiający ich odzyskanie?
Czy urządzenia, dyski lub inne
elektroniczne nośniki informacji,
zawierające dane osobowe,
przeznaczone do naprawy — pozbawia
się wcześniej zapisu tych danych w
sposób uniemożliwiający ich odzyskanie
albo naprawia się je pod nadzorem
osoby upoważnionej przez ADO?
Dowód: dokumenty potwierdzające darowiznę, odsprzedaż
Umowa na bezpieczną naprawę
Wymontować HD
Zabezpieczenia osobowe
Pytanie
L.p.
100. Czy kierownictwo / pracownicy są
świadomi odpowiedzialności karnej za
naruszenie Ochrony Danych Osobowych?
101. Czy pracownicy (użytkownicy)
dopuszczeni do przetwarzania danych
osobowych zapoznali się z polityką
bezpieczeństwa / instrukcją / ODO?
102. Czy pracownicy (użytkownicy)
dopuszczeni do przetwarzania danych
osobowych pisemnie zobowiązali się do
zachowania poufności danych
osobowych?
103. Czy pracownicy zachowują ostrożność
udzielając informacji dot. danych
osobowych przez telefon i poza
organizacją?
104. Czy pracownicy zachowują ostrożność
udzielając informacji osobom
nieuprawnionym?
105. Czy pracownicy reagują na obecność
nieznanych osób przebywających w
pobliżu miejsca przetwarzania danych i
Wskazówka
Czy organizacja spełnia
wymaganie T/N/UWAGI
zachowujące się podejrzanie?
106. Czy pracownicy są świadomi
konieczności zgłaszania incydentów
bezpieczeństwa administratorowi
bezpieczeństwa informacji?
107. Czy przestrzegany jest zakaz niepodawania swojego hasła, pod rygorem
naruszenia zasad bezpieczeństwa
informacji?
108. Czy użytkownik wie, jaką długość ma
hasło?
109. Jeśli zmiana hasła następuje ręcznie, to
jak użytkownik potwierdza jego zmianę
nie rzadziej niż co 30 dni?
110. Czy użytkownik nie zapisuje haseł na
kartkach , w pobliżu komputera, w
innych widocznych miejscach?
111. Czy użytkownik jest świadom zakazu
udostępniania swojego hasła innym
użytkownikom?
112. Czy użytkownik sprawdza podczas
logowania się, czy ktoś się nie próbował
włamać do systemu z jego stacji?
113. Czy użytkownik loguje się zawsze na
swój login i hasło?
114. Czy użytkownik blokuje dostęp do
swojego komputera po odejściu od
stanowiska pracy za pomocą wygaszacza
z hasłem?
115. Czy po zakończeniu pracy użytkownik
wylogowuje się a następnie wyłącza
zasilanie komputera?
116. Czy w razie awarii komputera lub sprzętu
przetwarzającego dane osobowe,
użytkownik wie kogo powiadomić?
117. Czy ekrany monitorów ustawiono w taki
sposób, żeby uniemożliwić odczyt
wyświetlanych danych osobowych
osobom nieupoważnionym?
118. Czy użytkownicy po zakończeniu pracy
zamykają na klucz dokumenty w postaci
Np. stażystom
Żądać znajomości kontaktu do informatyka
Tzw. Polityka czystego ekranu
Tzw. Polityka czystego biurka
119.
120.
121.
122.
123.
papierowej zawierające dane osobowe,
aby nie miały do nich dostępu osoby
nieupoważnione (sprzątaczki, ochrona).
Czy użytkownik niszczy dokumenty
papierowe i CD zawierające dane
osobowe w niszczarkach?
Czy użytkownicy używają kart
dostępowych, identyfikatorów zgodnie z
ich przeznaczeniem?
Czy użytkownik ma dostęp do programu
przetwarzającego dane osobowe jedynie
poprzez zalogowanie się do aplikacji?
Czy użytkownik świadomie nie wyłącza
programu antywirusowego?
Czy użytkownik aktualizuje bazę danych
wirusów?