Технички и организациски мерки за обезбедување тајност и заштита на обработката на личните податоци
Правна анализа Препораки
Сигурноста на информациите се заснова на три столба: - TАЈНОСТ - ПОТПОЛНОСТ И - ДОСТАПНОСТ
Законски основ за донесување и применување на том За да се обезбеди тајност и заштита на обработката на личните податоци на субјектот, контролорот и обработувачот, мора да се применат соодветни технички и организациски мерки за заштита од случајно или незаконско уништување на личните податоци, или нивно случајно губење, преправање, неовластено откривање или пристап, особено кога обработката вклучува пренос на податоци преку мрежа и заштита од какви било незаконски облици на обработка (чл. 23 ст. 1 од ЗЗЛП)
Документација за том ја обезбедува контролорот и тоа (1): План за создавање систем на технички и организациски мерки за обезбедување на тајност и заштита на обработката на личните податоци; Акт за техничките и организациските мерки за обезбедување тајност и заштита на обработката на личните податоци; Правила за определување на обврските и одговорностите на администраторот на информацискиот систем и на овластените лица при користење на документите и информатичко комуникациската опрема;
Документација за том ја обезбедува контролорот и тоа (2): Правила за пријавување, реакција и санирање на инциденти; Правила за начинот на правење на сигурносна копија, архивирање и чување, како и за повторно враќање на зачуваните лични податоци; Правила за начинот на уништување на документите, како и за начинот на уништување, бришење и чистење на медиумите
1. Планот за технички и организациски мерки збирки на лични податоци со категориите на личните податоци (на пр. евиде. на вработени; работно време; плати и придонеси; посетители; клиенти; видео надзор) итн. динамика на донесување на другите акти за обезбедување на тајност и заштита на обработката на личните податоци; периодични контроли од страна на офицерот за заштита на личните податоци
2. Со Актот за техничките и организациските мерки за обезбедување тајност и заштита на обработката на личните податоци се пропишуваат техничките и организациските мерки за обезбедување тајност и заштита на обработката на личните податоци што ги применува контролорот
Oбработка на личните податоци: целосно и делумно автоматизирана и друга рачна обработка на личните податоци
Во зависност од природата на податоците и ризикот при нивната обработка постојат три нивоа (чл. 5 од птом): oсновно средно и високо ниво
За документите кои содржат матичен број на граѓанинот задолжително се применуваат технички и организациски мерки кои се класифицирани на основно и средно ниво (чл.6 ст. 4 од птом) За документите кои се пренесуваат преку електронско комуникациска мрежа, а содржат посебни категории на лични податоци и матичен број на граѓанинот, задолжително се применуваат технички и организациски мерки кои се класифицирани на основно, средно и високо ниво (чл.6 ст. 5 од птом)
Единствено корисничко име Технички мерки (чл. 11 од ПТОМ) Лозинка (најмалку 8 алфанумерички знаци) http://www.youtube.com/watch?v=0qzhkokvknm Корисничко име и лозинка Автоматизирано одјавување од информацискиот систем Автоматизирано отфрлање од информацискиот систем после три неуспешни обиди за најавување Заштитна мрежна бариера (firewall) Анти-вирусна, анти-спајвер и анти-спам заштита Приклучување на информацискиот систем на енергетска мрежа преку уред за непрекинато напојување
Организациски мерки (чл.12 и 13 од ПТОМ) Ограничен пристап или идентификација за пристап до личните податоци; Организациски правила за пристап на корисниците на интернет; Уништување на документи по истекот на рокот за нивно чување; Мерки за физичка сигурност на работните простории и опремата; Почитување на техничките упатства при инсталирање и користење на информатичко комуникациската опрема на која се обработуваат личните податоци
Доделеното корисничко име и лозинка, овластеното лице е должно да ги чува и да не ги споделува со други лица
Лицата кои се вработуваат или ангажираат кај контролорот, пред нивното отпочнување со работа своерачно потпишуваат ИЗЈАВА за тајност и заштита на обработката на личните податоци (чл.14 од птом) Изјавата (потпишана) задолжително се чува во досиејата на лицата кои се вработени или се ангажираат кај контролорот, односно обработувачот
Oвластеното лице при работа со документи кои содржат лични податоци треба да внимава истите да не ги прави непотребно видливи на трети лица Oвластеното лице по престанокот на работното време и за време на паузи и отсуства, документите кои содржат лични податоци треба да ги чува на место на кое што нема да бидат непотребно видливи
Само лицето кое добило овластување од контролорот или обработувачот, вклучувајќи го и самиот обработувач, може да врши обработка на личните податоци Лицето кое добило овластување треба да врши обработка на личните податоци согласно упатствата добиени од контролорот, освен ако поинаку не е уредено и да ги чува како доверливи личните податоци како и мерките за нивна заштита
Контролорот и обработувачот се должни да водат евиденција за лицата кои се овластени да вршат обработка на личните податоци која содржи: име и презиме на овластеното лице датум на издавање, рок на важење, како и обем овластување за пристап до личните податоци и на начин на пристап
Контролорот може да пренесе работи од неговиот делокруг на работа поврзани со обработка на личните податоци на обработувачот, при што нивните меѓусебни права и обврски мора да бидат уредени со договор во писмена форма кој задолжително содржи: обврска за обработувачот да постапува единствено во согласност со упатствата добиени од страна на контролорот и обврска за обработувачот да преземе технички и организациски мерки за да обезбеди тајност и заштита на обработката на личните податоци (чл.26 од ЗЗЛП)
3.Обврските и одговорностите на администраторот на информацискиот систем и на секое овластено лице кое има пристап до личните податоци и до информацискиот систем се дефинирани и утврдени во Правилата за определување на обврските и одговорностите на администраторот на информацискиот систем и на овластените лица при користење на документите и информатичко комуникациската опрема
4. Во Правилата за пријавување, реакција и санација на инциденти, контролорот го определува начинот на евидентирање на секој инцидент, времето кога се појавил, корисникот кој го пријавил, на кого е пријавен и мерките кои се преземени за негово санирање
5. Во Правилата за начинот на правење сигурнoсна копија, архивирање и чување, како и за повторно враќање на зачуваните податоци, задолжително треба да се содржани постапките за реконструирање на личните податоци во состојба во која биле пред да бидат изгубени или уништени
6. Правила за начинот на уништување на документите, како и за начинот на уништување, бришење и чистење на медиумите комисија записник
Резиме
Дирекција за заштита на личните податоци Игор Кузевски тел. 02/3230 635 факс 02/3230 635 e-mail: igor.kuzevski@privacy.mk