Dz.U. 2004 nr 100 poz. 1024

1024 ROZPORZÑDZENIE MINISTRA SPRAW WEWN¢TRZNYCH I ADMINISTRACJI1) z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych Na podstawie art. 39a ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 i Nr 153, poz. 1271 oraz z 2004 r. Nr 25, poz. 219 i Nr 33, poz. 28

5) zarządza się, co na stępuje:

§1. Rozporządzenie określa:

1) sposób prowadzenia i zakres dokumentacji opisu jącej sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniają ce ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną;

2) podstawowe warunki techniczne i organizacyjne, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych;

3) wymagania w zakresie odnotowywania udostęp niania danych osobowych i bezpieczeństwa prze twarzania danych osobowych.

§2. Ilekroć w rozporządzeniu jest mowa o:

1) ustawie — rozumie się przez to ustawę z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, zwaną dalej „ustawą”;

2) identyfikatorze użytkownika — rozumie się przez to ciąg znaków literowych, cyfrowych lub innych jed noznacznie identyfikujący osobę upoważnioną do przetwarzania danych osobowych w systemie in formatycznym;

3) haśle — rozumie się przez to ciąg znaków litero wych, cyfrowych lub innych, znany jedynie osobie uprawnionej do pracy w systemie informatycz nym;

4) sieci telekomunikacyjnej — rozumie się przez to sieć telekomunikacyjną w rozumieniu art. 2 pkt 23 ustawy z dnia 21 lipca 2000 r. — Prawo telekomu nikacyjne (Dz. U. Nr 73, poz. 852, z późn. zm.2))

5) sieci publicznej — rozumie się przez to sieć pu bliczną w rozumieniu art. 2 pkt 22 ustawy z dnia 21 lipca 2000 r. — Prawo telekomunikacyjne;

6) teletransmisji — rozumie się przez to przesyłanie informacji za pośrednictwem sieci telekomunika cyjnej;

7) rozliczalności — rozumie się przez to właściwość zapewniającą, że działania podmiotu mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi;

8) integralności danych — rozumie się przez to wła ściwość zapewniającą, że dane osobowe nie zo stały zmienione lub zniszczone w sposób nieauto ryzowany;

9) raporcie — rozumie się przez to przygotowane przez system informatyczny zestawienia zakresu i treści przetwarzanych danych;

10) poufności danych — rozumie się przez to właści wość zapewniającą, że dane nie są udostępniane nieupoważnionym podmiotom;———————

1) Minister Spraw Wewnętrznych i Administracji kieruje działem administracji rządowej — administracja publicz na, na podstawie § 1 ust. 2 pkt 1 rozporządzenia Prezesa Rady Ministrów z dnia 14 marca 2002 r. w sprawie szcze gółowego zakresu działania Ministra Spraw Wewnętrz nych i Administracji (Dz. U. Nr 35, poz. 325 i Nr 58, poz. 533). ———————

2) Zmiany wymienionej ustawy zostały ogłoszone w Dz. U. z 2001 r. Nr 122, poz. 1321 i Nr 154, poz. 1800 i 1802, z 2002 r. Nr 25, poz. 253, Nr 74, poz. 676 i Nr 166, poz. 1360 oraz z 2003 r. Nr 50, poz. 424, Nr 113, poz. 1070, Nr 130, poz. 1188 i Nr 170, poz. 1652. 1

1) uwierzytelnianiu — rozumie się przez to działanie, którego celem jest weryfikacja deklarowanej toż samości podmiotu.

§3.

1. Na dokumentację, o której mowa w § 1 pkt 1, składa się polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, zwana dalej „in strukcją”.

2. Dokumentację, o której mowa w § 1 pkt 1, pro wadzi się w formie pisemnej.

3. Dokumentację, o której mowa w § 1 pkt 1, wdra ża administrator danych.

§4. Polityka bezpieczeństwa, o której mowa w § 3 ust. 1, zawiera w szczególności:

1) wykaz budynków, pomieszczeń lub części po mieszczeń, tworzących obszar, w którym przetwa rzane są dane osobowe;

2) wykaz zbiorów danych osobowych wraz ze wska zaniem programów zastosowanych do przetwa rzania tych danych;

3) opis struktury zbiorów danych wskazujący zawar tość poszczególnych pól informacyjnych i powią zania między nimi;

4) sposób przepływu danych pomiędzy poszczegól nymi systemami;

5) określenie środków technicznych i organizacyj nych niezbędnych dla zapewnienia poufności, in tegralności i rozliczalności przetwarzanych da nych.

§5. Instrukcja, o której mowa w § 3 ust. 1, zawiera w szczególności:

1) procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w syste mie informatycznym oraz wskazanie osoby odpo wiedzialnej za te czynności;

2) stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytko waniem;

3) procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu;

4) procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania;

5) sposób, miejsce i okres przechowywania: a) elektronicznych nośników informacji zawierają cych dane osobowe, b) kopii zapasowych, o których mowa w pkt 4,

6) sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania,októrymmowa w pkt III ppkt 1 załącznika do rozporządzenia;

7) sposób realizacji wymogów, o których mowa w § 7 ust. 1 pkt 4;

8) procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.

§6.

1. Uwzględniając kategorie przetwarzanych danych oraz zagrożenia wprowadza się poziomy bez pieczeństwa przetwarzania danych osobowych w sys temie informatycznym:

1) podstawowy;

2) podwyższony;

3) wysoki.

2. Poziom co najmniej podstawowy stosuje się, gdy:

1) w systemie informatycznym nie są przetwarzane dane, o których mowa w art. 27 ustawy, oraz

2) żadne z urządzeń systemu informatycznego, służą cego do przetwarzania danych osobowych nie jest połączone z siecią publiczną.

3. Poziom co najmniej podwyższony stosuje się, gdy:

1) w systemie informatycznym przetwarzane są dane osobowe, o których mowa w art. 27 ustawy, oraz

2) żadne z urządzeń systemu informatycznego, służą cego do przetwarzania danych osobowych nie jest połączone z siecią publiczną.

4. Poziom wysoki stosuje się, gdy przynajmniej jedno urządzenie systemu informatycznego, służące go do przetwarzania danych osobowych, połączone jest z siecią publiczną.

5. Opis środków bezpieczeństwa stosowany na po ziomach, o których mowa w ust. 1, określa załącznik do rozporządzenia.

§7.

1. Dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym — z wyjąt kiem systemów służących do przetwarzania danych osobowych ograniczonych wyłącznie do edycji tekstu w celu udostępnienia go na piśmie — system ten za pewnia odnotowanie:

1) daty pierwszego wprowadzenia danych do syste mu;

2) identyfikatora użytkownika wprowadzającego da ne osobowe do systemu, chyba że dostęp do sys temu informatycznego i przetwarzanych w nim danych posiada wyłącznie jedna osoba;

3) źródła danych, w przypadku zbierania danych, nie od osoby, której one dotyczą; Dziennik Ustaw Nr 100 — 7021 — Poz. 1024

4) informacji o odbiorcach, w rozumieniu art. 7 pkt 6 ustawy, którym dane osobowe zostały udo stępnione, dacie i zakresie tego udostępnienia, chyba że system informatyczny używany jest do przetwarzania danych zawartych w zbiorach jaw nych;

5) sprzeciwu, o którym mowa w art. 32 ust. 1 pkt 8 ustawy.

2. Odnotowanie informacji, o których mowa w ust. 1 pkt 1 i 2, następuje automatycznie po zatwier dzeniu przez użytkownika operacji wprowadzenia da nych.

3. Dla każdej osoby, której dane osobowe są prze twarzane w systemie informatycznym, system zapew nia sporządzenie i wydrukowanie raportu zawierające go w powszechnie zrozumiałej formie informacje, o których mowa w ust. 1.

4. W przypadku przetwarzania danych osobo wych, w co najmniej dwóch systemach informatycz nych, wymagania, o których mowa w ust. 1 pkt 4, mogą być realizowane w jednym z nich lub w odręb nym systemie informatycznym przeznaczonym do te go celu.

§8. System informatyczny służący do przetwarza nia danych, który został dopuszczony przez właściwą służbę ochrony państwa do przetwarzania informacji niejawnych, po uzyskaniu certyfikatu wydanego na podstawie przepisów ustawy z dnia 22 stycznia 1999 r. o ochronie informacji niejawnych (Dz. U. Nr 11, poz. 95, z późn. zm.3)) spełnia wymogi niniejszego roz porządzenia pod względem bezpieczeństwa na pozio mie wysokim.

§9. Administrator przetwarzanych w dniu wejścia w życie niniejszego rozporządzenia danych osobo wych jest obowiązany dostosować systemy informa tyczne służące do przetwarzania tych danych do wy mogów określonych w § 7 oraz w załączniku do rozpo rządzenia w terminie 6 miesięcy od dnia wejścia w ży cie niniejszego rozporządzenia.

§10. Rozporządzenie wchodzi w życie z dniem uzy skania przez Rzeczpospolitą Polską członkostwa w Unii Europejskiej4). Minister Spraw Wewnętrznych i Administracji: w z. T. Matusiak Dziennik Ustaw Nr 100 — 7022 — Poz. 1024 ———————

3) Zmiany wymienionej ustawy zostały ogłoszone w Dz.U. z 2000 r. Nr 12, poz. 136 i Nr 39, poz. 462, z 2001 r. Nr 22, poz. 247, Nr 27, poz. 298, Nr 56, poz. 580, Nr 110, poz. 1189, Nr 123, poz. 1353, Nr 154 poz. 1800, z 2002 r. Nr 74, poz. 676, Nr 89, poz. 804 i Nr 153, poz. 1271, z 2003 r. Nr 17, poz. 155 oraz z 2004 r. Nr 29, poz. 257.

4) Niniejsze rozporządzenie było poprzedzone rozporządze niem Ministra Spraw Wewnętrznych i Administracji z dnia 3 czerwca 1998 r. w sprawie określenia podstawowych warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 80, poz. 521 oraz z 2001 r. Nr 121, poz. 1306), które utraci moc z dniem wejścia w życie ustawy z dnia 22 stycznia 2004 r. o zmianie ustawy o ochronie danych osobowych oraz ustawy o wynagrodzeniu osób zajmujących kierownicze stanowiska państwowe (Dz. U. Nr 33, poz. 285). Załącznik do rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. (poz. 1024) A. Ârodki bezpieczeństwa na poziomie podstawowym I

1. Obszar, o którym mowa w § 4 pkt 1 rozporządze nia, zabezpiecza się przed dostępem osób nieupraw nionych na czas nieobecności w nim osób upoważnio nych do przetwarzania danych osobowych.

2. Przebywanie osób nieuprawnionych w obsza rze, o którym mowa w § 4 pkt 1 rozporządzenia, jest dopuszczalne za zgodą administratora danych lub w obecności osoby upoważnionej do przetwarzania danych osobowych. II

1. W systemie informatycznym służącym do prze twarzania danych osobowych stosuje się mechanizmy kontroli dostępu do tych danych.

2. Jeżeli dostęp do danych przetwarzanych w sys temie informatycznym posiadają co najmniej dwie osoby, wówczas zapewnia się, aby: a) w systemie tym rejestrowany był dla każdego użytkownika odrębny identyfikator; b) dostęp do danych był możliwy wyłącznie po wpro wadzeniu identyfikatora i dokonaniu uwierzytel nienia. III System informatyczny służący do przetwarzania danych osobowych zabezpiecza się, w szczególności przed:

1) działaniem oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego;

2) utratą danych spowodowaną awarią zasilania lub zakłóceniami w sieci zasilającej. IV

1. Identyfikator użytkownika, który utracił upraw nienia do przetwarzania danych, nie może być przy dzielony innej osobie.

2. W przypadku gdy do uwierzytelniania użytkow ników używa się hasła, jego zmiana następuje nie rza dziej niż co 30 dni. Hasło składa się co najmniej z 6 znaków.

3. Dane osobowe przetwarzane w systemie infor matycznym zabezpiecza się przez wykonywanie kopii zapasowych zbiorów danych oraz programów służą cych do przetwarzania danych.

4. Kopie zapasowe: a) przechowuje się w miejscach zabezpieczających je przed nieuprawnionym przejęciem, modyfikacją, uszkodzeniem lub zniszczeniem; b) usuwa się niezwłocznie po ustaniu ich użyteczno ści. V Osoba użytkująca komputer przenośny zawierają cy dane osobowe zachowuje szczególną ostrożność podczas jego transportu, przechowywania i użytkowa nia poza obszarem, o którym mowa w § 4 pkt 1 rozpo rządzenia, w tym stosuje środki ochrony kryptograficz nej wobec przetwarzanych danych osobowych. VI Urządzenia, dyski lub inne elektroniczne nośniki informacji, zawierające dane osobowe, przeznaczone do:

1) likwidacji — pozbawia się wcześniej zapisu tych danych, a w przypadku gdy nie jest to możliwe, uszkadza się w sposób uniemożliwiający ich od czytanie;

2) przekazania podmiotowi nieuprawnionemu do przetwarzania danych — pozbawia się wcześniej zapisu tych danych, w sposób uniemożliwiający ich odzyskanie;

3) naprawy — pozbawia się wcześniej zapisu tych da nych w sposób uniemożliwiający ich odzyskanie albo naprawia się je pod nadzorem osoby upo ważnionej przez administratora danych. VII Administrator danych monitoruje wdrożone za bezpieczenia systemu informatycznego. Dziennik Ustaw Nr 100 — 7023 — Poz. 1024 B. Ârodki bezpieczeństwa na poziomie podwyższonym VIII W przypadku gdy do uwierzytelniania użytkowni ków używa się hasła, składa się ono co najmniej z 8 znaków, zawiera małe i wielkie litery oraz cyfry lub znaki specjalne. IX Urządzenia i nośniki zawierające dane osobowe, o których mowa w art. 27 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, przekazywane poza obszar, o którym mowa w § 4 pkt 1 rozporządzenia, zabezpiecza się w sposób zapewnia jący poufność i integralność tych danych. X Instrukcja zarządzania systemem informatycznym, o której mowa w § 5 rozporządzenia, rozszerza się o sposób stosowania środków, o których mowa w pkt IX załącznika. XI Administrator danych stosuje na poziomie pod wyższonym środki bezpieczeństwa określone w części A załącznika, o ile zasady zawarte w części B nie sta nowią inaczej. C. Ârodki bezpieczeństwa na poziomie wysokim XII

1. System informatyczny służący do przetwarzania danych osobowych chroni się przed zagrożeniami po chodzącymi z sieci publicznej poprzez wdrożenie fi zycznych lub logicznych zabezpieczeń chroniących przed nieuprawnionym dostępem.

2. W przypadku zastosowania logicznych zabezpie czeń, o których mowa w ust. 1, obejmują one: a) kontrolę przepływu informacji pomiędzy syste mem informatycznym administratora danych a siecią publiczną; b) kontrolę działań inicjowanych z sieci publicznej i systemu informatycznego administratora danych. XIII Administrator danych stosuje środki kryptograficz nej ochrony wobec danych wykorzystywanych do uwierzytelnienia, które są przesyłane w sieci publicznej. XIV Administrator danych stosuje na poziomie wyso kim środki bezpieczeństwa, określone w części A i B załącznika, o ile zasady zawarte w części C nie stano wią inaczej.

Status prawny: obowiązujący
Data ogłoszenia: 2004-05-01
Data wydania: 2004-04-29
Data wejścia w życie: 2004-05-01
Data obowiązywania: 2004-05-01
Organ wydający: MIN. SPRAW WEWNĘTRZNYCH I ADMINISTRACJI
Dziennik Ustaw: Dz.U. 2004 nr 100 poz. 1024