ПРАВИЛНИК за техничките и организациските мерки за обезбедување тајност и заштита на обработката на личните податоци
Врз основа на член 23 став 4 од Законот за заштита на личните податоци („Службен весник на Република Македонија” бр. 7/05 и 103/08), Управниот Одбор на ЈП МРТ на продолжението на 9-та седница одржана на 27.12.2011 година, донесе
П Р А В И Л Н И К
за техничките и организациските мерки за обезбедување тајност и
заштита на обработката на личните податоци
Член 1
Со овој правилник се пропишуваат техничките и организациските мерки што ЈП МРТ (во натамошниот текст: “Контролорот“) во својство на Контролор ги применува за обезбедување тајност и заштита на обработката на личните податоци.
Член 2
Одделни изрази употребени во овој правилник го имаат следново значење:
„Администратор на информацискиот систем” е лице овластено за планирање и за применување на технички и организациски мерки, како и за контрола на обезбедувањето тајност и заштита на обработката на личните податоци.
„Авторизиран пристап” е овластување доделено на корисникот за обработка на личните податоци, за користење на одредена информатичко комуникациска опрема или за пристап до одредени работни простории на контролорот.
„Документ” е секој запис кој содржи лични податоци и истиот може да биде во електронска или хартиена форма, да се чува на медиум и во информатичко комуникациска опрема која се користи за обработка на податоците, да се доставува преку пошта или да се пренесува преку телекомуникациска мрежа.
„Корисник” е физичко лице, вработено или ангажирано кај Контролорот кое има авторизиран пристап до документите и до информатичко комуникациската опрема.
Член 3
Техничките и организациските мерки за обезбедување тајност и заштита на обработката на личните податоци кај Контролорот се класифицираат во две нивоа:
- основно ниво и
- средно ниво;
На сите документи кои содржат лични податоци задолжително се применуваат технички и организациски мерки класифицирани на основно ниво.
ОСНОВНО НИВО НА ТЕХНИЧКИ И ОРГАНИЗАЦИСКИ МЕРКИ
Член 4
Контролорот врши електронска обработка на личните податоци од информациски систем, со примена на информатички систем за обработка на лични податоци и тоа на документи во електронска форма (word, excel, pdf или со примена на друг апликативен програм).
Под информатички систем се подразбира збир од персонални компјутери, сервери, печатари и преносни медиуми како и програмски алатки, како подршка на информацискиот систем со што се обезбедува тајност и заштита при обработката на личните податоци.
Начинот и постапките на нивно користење се:
- единствено корисничко име на ниво на оперативен систем
- лозинка креирана од секој Корисник, која е сочинета од комбинација на најмалку 8 алфанумерички карактери (најмалку 1 голема буква) и специјални знаци;
- корисничко име и лозинка која овозможува пристап на корисникот до информацискиот систем во целина, како и до поединечни апликации и / или поединечни збирки на лични податоци потребни за извршување на неговите работни задачи;
- автоматизирана промена на лозинката по изминат утврден временски период што не може да биде подолг од 3 месеци;
- автоматизирано одјавување од информацискиот систем по изминување на определен период на неактивност (не подолго од 15 минути), по што за повторно активирање на системот потребно е одново впишување на корисничкото име и лозинката;
- инсталирана заштитна мрежна бариера (“firewall”) помеѓу информацискиот систем и интернет или било која друга форма на надворешна мрежа, како заштитна мерка против недозволени или злонамерни обиди за влез или пробивање на системот;
- инсталирана антивирусна програма, како ефективна и сигурна анти-вирусна и анти-спајвер заштита на информацискиот систем, која постојано се ажурира заради превентива од непознати и непланирани закани од нови вируси и спајвери;
- ефективна и сигурна анти-спам заштита, која постојано ќе се ажурира заради превентивна заштита од спамови; и
- приклучување на информацискиот систем (сервери) на енергетска мрежа преку уред за непрекинато напојување;
- правење на резервна копија на документите со лични податоци во електронска форма
- резервната копија на документите со лични податоци во електронска форма е криптирана и нечитлива
- забрана за пренос на документи со лични податоци во електронска форма преку електронска пошта
- одобрување од Контролорот за користење на преносен медиум за пренос на документи со лични податоци надвор од работните простории од
Во случаите од став 1 точка 5 од овој член, Администраторот на информацискиот систем ќе го верификува продолжувањето на пристапот до системот.
Во случај на инцидент, пристап на информацискиот систем има овластениот сервисер задолжен за одржување и сервисирање на информатичкиот системот (во понатамошниот текст “Овластениот сервисер”) исклучиво во присуство на Администраторот на информацискиот систем.
Документите во хартиена форма се чуваат во ормани физички заштитени и пристап до нив имаат само лица со одобрение од Контролорот.
Корисникот кој ги врши работите за човечки ресурси кај Контролорот ќе го известува Администраторот на информацискиот систем, за вработувањето или ангажирањето по друг основ на секој Корисник со право на пристап до информацискиот систем, заради доделување корисничко име и лозинка, како и во случај на престанок на вработувањето, заради бришење на корисничкото име и лозинката, односно исклучување за натамошен пристап. Соодветно известување ќе се врши и при било кои други промени во работниот или статусот на ангажирањето на Корисникот, доколку таквите промени имаат влијание врз нивото или обемот на дозволениот пристап до збирките на лични податоци преку информацискиот систем.
Член 5
Контролорот обезбедува организациски мерки за тајност и заштита на обработката на личните податоци, во поглед на информирањето на вработените, физичката заштита на работните простории и опремата и заштита на информацискиот систем како целина, вклучувајќи го и преносот на податоците.
За Администратор на информацискиот систем, се определува еден од вработените од страна на Работоводниот орган на МРТ.
Член 6
Контролорот при автоматизираната обработка на личните податоци ги обезбедува пропишаните организациски мерки за заштита на обработката на личните податоци, кои се состојат во:
- ограничен пристап, односно идентификација за пристап до личните податоци, преку целосна доверливост и сигурност на лозинките и на останатите форми на идентификација;
- воспоставување и примена на организациски правила за пристап на Корисниците до интернет кои се однесуваат на симнување и снимање на документи преземени од електронската пошта и други извори;
- уништување на документи кои содржат лични податоци по истекување на рокот на нивно чување, со примена на правила утврдени со документацијата за технички и организациски мерки;
- издавање на посебно овластување и контрола од страна на Администраторот на информацискиот систем при секое изнесување на било кој медиум кој е носител на лични податоци (компакт диск, дискета, пренослив компјутер и други медиуми за пренос на податоци) надвор од работните простории, со цел да не дојде до нивно губење или незаконско користење;
- воспоставување и примена на мерки за физичка сигурност на работните простории и инфоматичко – комуникациската опрема каде што се собираат, чуваат и обработуваат личните податоци;
- почитување на техничките упатства при инсталирање и користење на информатичко – комуникациската опрема на која се обработуваат лични податоци.
Член 7
Лицата кои ќе се вработат кај Контролорот на работи и задачи каде има потреба од заштита на лични податоци, пред нивното отпочнување со работа ќе се запознаваат со прописите за заштита на личните податоци, како и со сите акти, односно документација донесена од страна на Контролорот заради примена на технички и органзациски мерки.
Вработените кај Контролорот и лицата кои се ангажираат кај Контролорот за извршување на работа кај Контролорот, склучуваат договор за вработување, односно ангажирање, кој договор задолжителоно содржи одредби за обврските и одговорностите на овие лица во насока на заштита на личните податоци.
Контролорот пред непосредното започнување со работа на Корисниците поврзана со обработка на личните податоци, дополнително ги информира за непосредните обврски и одговорности за заштита на личните податоци.
Лицата кои се вработуваат или се ангажираат кај Контролорот, пред нивното отпочнување со работа своерачно потпишуваат Изјава за тајност и заштита на обработката на личните податоци. Оваа Изјава особено содржи клаузула дека лицата ќе ги почитуваат начелата за заштита на личните податоци пред нивниот пристап до личните податоци, ќе вршат обработка на личните податоци согласно упатствата добиени од Контролорот, освен ако со закон поинаку не е уредено и ќе ги чуваат како доверливи личните податоци, како и мерките за нивна заштита. Овие Изјави задолжително се чуваат во досијеата на лицата кои се вработуваат или ангажираат кај Контролорот.
Изјавата за тајност предвидена во претходниот став од овој член се потпишува според обрзец пропишан од страна на Контролорот, кој образец претставува составен дел на овој правилник.
Доколку се појави потреба, било кое трето физичко или правно лице, неспоменато во овој правилник, да дојде во контакт со лични податоци, предмет на обработка од страна на Контролорот, таквото лице претходно задолжително ќе потпишува изјава во форма и на начин како е предвидено во претходниот став на овој член.
Во насока на обезбедување тајност и заштита на обработката на личните податоци, Овластениот сервисер склучува договор со Контролорот во кој договор се регулираат обврските и одговорностите на овластениот сервисер како правно лице, и вработените кај Овластениот сервисер како физички лица, а во поглед на примената на Правилникот за техничките и организациските мерки за обезбедување тајност и заштита на обработката на личните податоци ( “Службен Весник на Република Македонија” бр. 38/09), и документацијата за технички и организациски мерки за обезбедување тајност и заштита на обработката на личните податоци усвоена од Контролорот.
Член 8
Со посебна документација за технички и организациски мерки, што ја донесува Контролорот, се уредуваат:
- правилата за определување на обврските и одговорностите на Корисниците при користење на документите и информатичко – комуникациската опрема;
- правилата за пријавување, реакција и санирање на инциденти;
- правилата за начинот на правење на сигурносна копија, архивирање и чување, како и за повторно враќање на зачуваните лични податоци;
- правилата за начинот на уништување на документите, како и за начинот на уништување, бришење и чистење на медиумите;
која документација, заедно со овој правилник, соодветно се применува од страна на Контролорот, неговите вработени и лицата кои Контролорот повремено или постојано ги ангажира за вршење на работи кај Контролорот.
Документацијата од став 1 од овој член Контролорот ја менува и дополнува веднаш штом ќе настанат промени во организационата поставеност на информацискиот систем.
МЕРКИ ЗА ФИЗИЧКА СИГУРНОСТ
Член 9
Контролорот воспоставува и применува мерки за физичка сигурност на информацискиот систем преку физичко обезбедување на работните простории и инфоматичко – комуникациската опрема каде што се собираат, чуваат и обработуваат личните податоци.
Заради обезбедување на физичка сигурност, физички пристап до просторијата во која се сместени серверите може да имаат само лица кои од страна на Контролорот имаат издадено писмено овластување кое гласи на нивно лично име и во кое од страна на Контролорот е прецизирано својството на лицето на кое му се издава овластување за пристап и во кое се образложени причините, односно потребата за издавањето на овластување за пристап на конкретното лице. Пристап до просториите каде е сместен информацискиот систем може да се допушти само на Корисник кој ги задоволува следните критериуми:
- да е вработен кај Контролорот со работни задачи на Администратор на збирки на лични податоци или на Асистент на Администратор на збирки на лични податоци;
- да има потпишано Изјава за тајност и заштита на обработката на личните поадтоци;
Заради обезбедување на физичка сигурност, доколку е потребен пристап на друго лице до просторијата и личните податоци зачувани на серверите, тогаш тоа лице задолжително ќе биде придружувано и надгледувано од овластено лице како е предвидено во претходниот став од овој член.
Заради обезбедување на физичка сигурност, Контролорот применува мерки и контроли за заштита на просторијата во која се сместени серверите, и тоа заради заштита од ризиците од опкружувањето и намалување на ризикот од потенцијални закани, односно намалување на ризикот од кражба, додека со инсталирање на соодветни апарати и аларми се врши заштита, односно намалување на ризикот од потенцијалните закани како што се: пожар, експлозии, чад, вода, прашина, вибрации, хемиски влијанија, пречки во снабдувањето со електрична енергија и електромагнетско зрачење.
КОНТРОЛА НА АВТОРИЗИРАН ПРИСТАП
Член 10
Заради идентификација и проверка на авторизираниот пристап, Контролорот задолжително води евиденција за корисниците кои имаат авторизиран пристап до документите и информатичкиот систем, како и воспоставува постапки за идентификација и проверка на авторизираниот пристап.
Контролорот врши проверка на авторизираниот пристап преку кој се овозможува:
1. евидентирање на работната станица и корисничкото име за сите Корисници кај Контролорот кога пристапуваат до базите на податоци, заедно со нивото на авторизиран пристап, времето и датумот на пристап, како и снимање на овие податоци;
2. идентификување на компјутерскиот систем од кој се врши надворешен обид за пристап во оперативните функции или податоци без потребното ниво на авторизација и генерирање извештај за секој чекор од неавторизираните пристапи и
3. изготвување на тековни извештаи за сите регистрирани промени (дополнувања, измени и бришења) направени во базите на лични податоци, заедно со корисничкото име, идентификацијата на работната станица од која е извршена промената, како и времето и датумот на промената на лични податоци кон кои е пристапено, запис за авторизација за секое пристапување, запис за секој неавторизиран пристап и запис за автоматизирано отфрлање од информацискиот систем.
Врз основа на механизмите наведени во претходните ставови од овој член, Контролорот е во можност да врши идентификација и проверка на авторизираниот пристап, односно контрола на пристапот до личните податоци и информатичко – комуникациската опрема од страна на Корисниците, со обезбеден постојан увид во моменталниот и минатиот пристап и преземени операции во базите на податоци од страна на сите овластени лица.
Врз основа на механизмите предвидени во овој член се овозможува секој од Корисниците да има авторизиран пристап само до личните податоци и информатичко – комуникациската опрема кои се неопходни за извршување на нивните задачи, како и се оневозможува пристап на Корисниците до лични податоци и информатичко – комуникациската опрема со права различни од тие за кои се овластени Корисниците.
При вршење на проверката Контролорот се грижи за примена на воспоставените правила за заштита на доверливоста и интегритетот на лозинките при нивно пријавување, доделување и чување.
Администраторот на информатичкиот систем е овластен да го доделува, менува или да го одзема авторизираниот пристап до личните податоци и информатичко – комуникациската опрема. Притоа, како критериум за авторизиран пристап до личните податоци и информатичко - комуникациската опрема, Администраторот се раководи од работното место на секој од Корисниците, од што зависи и опсегот на пристап на секој од Корисниците до личните податоци што е задолжен да ги обработува.
Член 11
Контролорот задолжително врши тестирање на информатичкиот систем пред неговото имплементирање или по извршените промени, со цел да се провери дали системот обезбедува тајност и заштита на обработката на личните податоци согласно со докуметнацијата за технички и организациски мерки и прописите за заштита на личните податоци. Ваквото тестирање се врши преку обработката на документи кои содржат имагинарни лични податоци од страна на независно трето лице.
СРЕДНО НИВО НА ТЕХНИЧКИ И ОРГАНИЗАЦИСКИ МЕРКИ
Член 12
Контролорот во секое време има овластено едно лице за заштита на личните податоци, кое е одговорно за координација и контрола на постапките и упатствата во документацијата за техничките и организациските мерки кои се применуваат за тајност и заштита на обработката на личните податоци (во понатамошниот текст само “Одговорно лице за заштита на личните податоци„)
Член 13
Информатичкиот систем и информатичката структура на Контролорот задожително подлежат на внатрешна и надворешна контрола, со цел да се провери дали постапките и упатствата содржани во документацијата за техничките и организациските мерки се применуваат и се во согласност со прописите за заштита на личните податоци.
Контролорот врши надворешна контрола на информатичкиот систем и информатичката инфраструктура на секои три години, а внатрешна контрола секоја година.
Надворешната контрола се врши преку обработка на документи од страна независно трето лице.
Во извештајот од извршената контрола задолжително треба да има мислење за тоа во колкава мера постапките и упатствата содржани во документацијата за техничките и организациски мерки се применуваат и се во согласност со прописите за заштита на личните податоци, да се наведени констатираните недостатоци, како и предложените неопходни корективни и дополнителни мерки за нивно отстранување.
Во извештајот треба да се содржани и податоците и фактите врз основа на кои е изготвено мислењето и се предложени мерките за отстранување на констатираните недостатоци.
Извештајот се анализира од страна на одговорното лице за заштита на личните податоци, кој доставува предлози на Контролорот за преземање на потребните корективни или дополнителни мерки за отстранување на констатираните недостатоци.
Извештајот треба да биде достапен за увид на Дирекцијата за заштита на личните податоци.
Член 14
Заради евидентирање на медиуми кои се примаат кај Контролорот од надвор, а со цел да се овозможи директна или индиректна идентификација на видот на медиумот, контролорот води евиденција во електронски систем во кој се внесуваат следните податоци за секој медиум примен однадвор:
Ø датум и време на примање;
Ø испраќач;
Ø тип на медиум и број на примени медиуми;
Ø вид на документот кој е снимен на медиумот;
Ø начин на испраќање на медиумот; и
Ø име и презиме на лицето овластено за прием на медиумот.
Член 15
Овој правилник влегува во сила со денот на донесувањето.
Управен одбор на МРТ
Претседател
М-р Крсто Скубев
