Furtki w ustawie o ochronie danych osobowych

Bardzo ważną rolę w procesie ochrony danych osobowych odgrywają informatycy, przede wszystkim Administrator Systemu Informatycznego (ASI), formalnie wyznaczany przez Administratora Danych Osobowych (ADO). Administrator Danych to organizacja reprezentowana przez jej kierownika, posiadająca jakiekolwiek dane osobowe. Z kolei ASI to informatyk, którego obowiązkiem jest przede wszystkim dbanie o prawidłowe funkcjonowanie sprzętu i oprogramowania oraz jego konserwację i zabezpieczenie. Odpowiednie zasady, procedury i obowiązki w tym zakresie muszą być opisane w Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych (czasami napisanie takiej instrukcji zleca się właśnie informatykowi).

Administrator Danych powinien wyznaczyć w swojej firmie, oprócz ASI, również drugą osobę, Administratora Bezpieczeństwa Informacji (ABI). Niestety dla informatyków często te role powierza się jednej osobie. Z uwagi na dużą liczbę przepisów i częstotliwość ich zmian, warto przekonać kierownictwo do rozdzielenia funkcji i zadań ABI oraz ASI. ABI powinien zająć się stroną formalną i organizacyjną. Natomiast ASI powinien skupić się na technicznych i praktycznych zabezpieczeniach. Warto zwrócić uwagę, że ABI może zostać osoba z zewnątrz, mająca kompetencje w wymaganym zakresie i świadcząca te usługi na podstawie umowy w ramach outsourcingu.

Informatyk nie jest Administratorem Danych, chyba że jednocześnie jest właścicielem swojej firmy i prowadzi, np. jednoosobowo sklep internetowy. Wtedy będzie pełnił wszystkie trzy funkcje: ADO, ABI i ASI.

Podstawowym obowiązkiem ASI przy przetwarzaniu danych osobowych jest zastosowanie zabezpieczeń technicznych. Przed tym obowiązkiem trudno uciec, ponieważ przetwarzanie to wszelkie operacje wykonywane na danych, już samo przechowywanie jest przetwarzaniem. Poza tym definicja danych osobowych jest na tyle ogólna, że w dzisiejszych czasach bardzo różne informacje, w różnych warunkach są uznawane za dane osobowe. W myśl kilku wyroków NSA nawet adres IP komputera może być za takie dane uznany. Dlatego zbierać tylko takie dane, które są niezbędne do zrealizowania określonego celu (jest to tzw. zasada adekwatności).

Ustawa o ochronie danych osobowych wymaga szczególnej staranność oraz tzw. wysokiego poziomu bezpieczeństwa. Przepisy mówią jeszcze o poziomie podstawowym i średnim. W obecnych czasach mają one bardzo rzadko zastosowanie, ponieważ poziom wysoki stosuje się, gdy przynajmniej jedno urządzenie systemu informatycznego, służącego do przetwarzania danych osobowych, połączone jest z siecią publiczną. Jednak środki bezpieczeństwa wymagane w ramach wysokiego poziomu nie są trudne do wdrożenia. Sprowadzają się generalnie do stosowania procesu uwierzytelnienia w systemie informatycznym (nazwy użytkowników i hasła), zabezpieczenia programem antywirusowym i zaporą sieciową. Bezwzględnie trzeba robić kopie bezpieczeństwa. W przypadku pracy mobilnej z danymi lub na odległość należy je szyfrować. Przed utratą danych w przypadku awarii zasilania niech chroni UPS. Prawdopodobnie często zapominanym wymogiem jest zabezpieczanie monitorów wygaszaczem ekranu. To wystarcza do formalnego wywiązania się z obowiązków ochrony. Chcąc lepiej zabezpieczyć informacje w firmie, trzeba się bardziej postarać. Pomocne w tym są niektóre polskie i międzynarodowe normy zatwierdzone przez Polski Komitet Normalizacyjny (PKN).

Po uporządkowaniu spraw organizacyjnych i technicznych oraz sporządzeniu polityki bezpieczeństwa danych osobowych i instrukcji zarządzania systemem informatycznym, należy zbiory danych zgłosić do rejestracji u GIODO. Wyłonieniem, identyfikacją zbiorów i określeniem, które trzeba zarejestrować, powinien zająć się ABI, a w wypełnieniu wniosku pomóc informatyk. Samego zgłoszenia dokonuje Administrator Danych. Wypełnianie i zgłaszanie wniosku nie jest trudne i odbywa się za pomocą platformy e-giodo (egiodo.giodo.gov.pl).

Trudniejsze jest właściwe zidentyfikowanie zbiorów, zwłaszcza że nie ma zamkniętej listy zbiorów danych, które podlegających rejestracji. Jest natomiast dokładnie opisane w Art. 43 ustawy o ochronie danych osobowych to, czego się nie zgłasza do GIODO. Pamiętajmy jednak, że zwolnienie zbioru z rejestracji nigdy nie zwalnia z obowiązku ochrony przetwarzanych w nim danych. Błędnym też jest przekonanie, że zarejestrowanie zbioru to podstawowy i jedyny obowiązek, a po jego spełnieniu nie trzeba się przejmować GIODO.

Niebawem obowiązek prowadzenia wykazu zbiorów danych osobowych, bez konieczności ich rejestracji (za wyjątkiem zbiorów zawierających dane wrażliwe), będzie zgodnie z nowymi przepisami przeniesiony na ABI. Dlatego raz jeszcze rekomendujemy rozdzielenie funkcji ABI i ASI.

ABI i ASI sprawują kontrolę i nadzór nad pozostałymi użytkownikami. Informatyk nie jest osobą, która wszystko za wszystkich zrobi i będzie jedynym odpowiedzialnym. Informatyk zabezpiecza, przekazuje odpowiednie narzędzia i wiedzę, a za codzienną ochronę danych osobowych odpowiadają użytkownicy.