Nie taki GIODO straszny

Administratorem danych jest każdy, kto dla celów zawodowych, zarobkowych, ustawowych czy statutowych posiada u siebie dane osobowe: klientów, kontrahentów, pacjentów itp. Może nim być instytucja, organizacja reprezentowana przez dyrektora, prezesa, właściciela, a nawet osoba fizyczna prowadząca działalność gospodarczą. Nie ma znaczenia czy jest to duża międzynarodowa spółka, mała wiejska szkoła, czy właściciel sklepu internetowego. Tam gdzie dane osobowe, tam administrator danych. Aktualne przepisy nie rozróżniają i nie dzielą administratorów na małych, średnich czy dużych.

Oficjalna definicja danych osobowych jest dość ogólna – są to wszelkie informacje identyfikujące konkretną osobę fizyczną. Niestety w obecnych czasach bardzo różne informacje i w różnych warunkach mogą być potraktowane jako dane osobowe. Już sam numer PESEL, a czasami nawet adres IP komputera są traktowane jako dane osobowe. Co istotne, w styczniu 2012 r. zmieniło się Prawo działalności gospodarczej i dane osobowe przedsiębiorców są traktowane tak jak inne dane osobowe i podlegają przepisom ustawy o ochronie danych osobowych. Jeśli więc w swoich bazach mamy nawet tylko minimalny zakres danych typu imię, nazwisko, adres email, telefon i tylko je przechowujemy, to już przetwarzamy dane osobowe.

Przetwarzaniem są wszelkie operacje wykonywane na danych osobowych takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie. Niezależnie więc od tego czy jest się podmiotem publicznym czy prywatnym, a przetwarza się dane osobowe, to jest się administratorem danych i z kilku ustawowych obowiązków należy się wywiązać.

Jednym z podstawowych jest zastosowanie środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.

Teoretycznie wskazuje się trzy poziomy bezpieczeństwa i wynikające z nich odpowiednie środki. Są to jednak dość archaiczne zalecenia i w praktyce trzeba brać pod uwagę poziom wysoki chociażby ze względu na praktycznie powszechny dostęp do Internetu. Te podstawowe środki bezpieczeństwa wynikające z poziomu wysokiego opisanego w załączniku do Rozporządzenia MSWiA w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych to:

1) Obszar przetwarzania (pomieszczenia, w których są przetwarzane dane), zabezpiecza się przed dostępem osób nieuprawnionych na czas nieobecności w nim osób upoważnionych do przetwarzania danych osobowych, np. pomieszczenia zabezpieczone drzwiami (zwykłymi, ze zwykłym zamkiem i kluczem).

2) Przebywanie osób nieuprawnionych w obszarze przetwarzania jest dopuszczalne w obecności osoby upoważnionej do przetwarzania danych osobowych.

3) W systemie informatycznym służącym do przetwarzania danych osobowych stosuje się mechanizmy kontroli dostępu do tych danych i proces uwierzytelnienia (konta użytkowników, loginy, hasła).

4) System informatyczny służący do przetwarzania danych osobowych zabezpiecza się, w szczególności przed:

a) działaniem oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego (aktualny antywirus, włączona zapora sieciowa)

b) utratą danych spowodowaną awarią zasilania lub zakłóceniami w sieci zasilającej (UPS)

5) Identyfikator użytkownika, który utracił uprawnienia do przetwarzania danych, nie może być przydzielony innej osobie.

6) W przypadku gdy do uwierzytelniania użytkowników używa się hasła, składa się ono co najmniej z 8 znaków, zawiera małe i wielkie litery oraz cyfry lub znaki specjalne.

7) Dane osobowe przetwarzane w systemie informatycznym zabezpiecza się przez wykonywanie kopii zapasowych zbiorów danych oraz programów służących do przetwarzania danych.

8) Kopie zapasowe:

a) przechowuje się w miejscach zabezpieczających je przed nieuprawnionym przejęciem, modyfikacją, uszkodzeniem lub zniszczeniem i w pomieszczeniu innym niż to, w którym były utworzone;

b) usuwa się niezwłocznie po ustaniu ich użyteczności.

9) Osoba użytkująca komputer przenośny zawierający dane osobowe zachowuje szczególną ostrożność podczas jego transportu, przechowywania i użytkowania poza obszarem przetwarzania, w tym stosuje środki ochrony kryptograficznej wobec przetwarzanych danych osobowych (programy szyfrujące);

10) Urządzenia, dyski lub inne elektroniczne nośniki informacji, zawierające dane osobowe, przeznaczone do:

a) likwidacji — pozbawia się wcześniej zapisu tych danych, a w przypadku gdy nie jest to możliwe, uszkadza się w sposób uniemożliwiający ich odczytanie;

b) przekazania podmiotowi nieuprawnionemu do przetwarzania danych — pozbawia się wcześniej zapisu tych danych, w sposób uniemożliwiający ich odzyskanie;

c) naprawy — pozbawia się wcześniej zapisu tych danych w sposób uniemożliwiający ich odzyskanie albo naprawia się je pod nadzorem osoby upoważnionej przez administratora danych.

11) Administrator danych monitoruje wdrożone zabezpieczenia systemu informatycznego (kontrole, audyty);

12) System informatyczny służący do przetwarzania danych osobowych chroni się przed zagrożeniami pochodzącymi z sieci publicznej poprzez wdrożenie fizycznych lub logicznych zabezpieczeń chroniących przed nieuprawnionym dostępem.

13) Administrator danych stosuje środki kryptograficznej ochrony wobec danych wykorzystywanych do uwierzytelnienia, które są przesyłane w sieci publicznej (np. Protokoły SSL).

14) Monitory komputerów, na których przetwarzane są dane osobowe ustawione są w sposób uniemożliwiający wgląd osobom postronnym w przetwarzane dane i są wyposażone w wygaszacze ekranów zabezpieczone hasłem.

Jak widać nie są to zbyt skomplikowane środki bezpieczeństwa. Przepisy prawa będą się zmieniać w tym względzie chcąc sprostać obecnym warunkom technologicznym i skali przetwarzania danych zwłaszcza w sieci. Dlatego też często odsyłają do powszechnie stosowanych i uznanych polskich i międzynarodowych norm. Pamiętajmy w tym wszystkim o zdrowym rozsądku i praktycznym zabezpieczeniu danych przed dostaniem się ich w jakikolwiek sposób w jakiekolwiek nieupoważnione ręce, oczy i miejsca.

Administrator danych ma jeszcze wiele innych formalnych i organizacyjnych obowiązków do spełnienia. Natomiast aby sprawnie z tych obowiązków się wywiązać, bo uciec od nich się nie da, Administrator danych powinien wyznaczyć Administratora Bezpieczeństwa Informacji (ABI) oraz Administratora Systemu Informatycznego (ASI – Informatyka). Oczywiście zależy to od warunków i możliwości kadrowych czy finansowych oraz od stopnia rozbudowania struktury organizacyjnej. Zarówno pod kątem ABI i ASI dopuszczalny jest outsourcing. Przepisy ustawy o ochronie danych osobowych wprawdzie mówią tylko o ABI, gdzie Art. 36 pkt. 3 mówi, że Administrator danych wyznacza administratora bezpieczeństwa informacji, nadzorującego przestrzeganie zasad ochrony, chyba że sam wykonuje te czynności. Warto jednak wyznaczyć Administratora Bezpieczeństwa Informacji, który zadba o Politykę bezpieczeństwa informacji i wynikające z niej kwestie organizacyjne, a także Administratora Systemu Informatycznego – Informatyka, który zajmie się Instrukcją zarządzania systemem informatycznym i sprawami technicznych zabezpieczeń.

Do obowiązków ABI powinno min. należeć określenie jakie zbiory danych funkcjonują w organizacji i które z nich trzeba zgłosić do GIODO. To, co jest zwolnione z rejestracji dokładnie opisuje Art. 43 ustawy o ochronie danych osobowych. Wszystko inne teoretycznie trzeba zgłaszać. Należy jednak rozsądnie podchodzić do identyfikowania zbiorów i nie dzielić włosa na czworo. Przykładowymi, wygodnymi zbiorami, jakie najczęściej powinny być rejestrowane, to zbiory o nazwach: klienci, kontrahenci, archiwum, reklamacje, newsletter, rejestr korespondencji itd. Pamiętajmy jednak, że obowiązek zgłoszenia zbioru, to nie jedyny i nie najważniejszy obowiązek. To ostatni element w całym systemie zabezpieczenia danych. Niebawem zresztą przepisy się zmienią i organizacja, która wyznaczy ABI, odpowiadającego min. za prowadzenie wykazu zbiorów, będzie zwolniona ze zgłaszania zbiorów do GIODO. Obowiązek ten będzie dotyczyć jedynie zbiorów tworzonych w oparciu o dane wrażliwe.

Obowiązki względem GIODO nie są nie do spełnienia. Należy pamiętać, że podstawowym i najważniejszym i to nie tylko wynikającym z ustawowych przepisów, a przede wszystkim ze zdrowego rozsądku jest zapewnienie prawdziwej i odpowiedniej ochrony danym osobowym i wszystkim cennym dla organizacji informacjom.