Ostatni dzwonek

Lepiej późno niż wcale... Skrócony poradnik może przydać się tym, którzy spóźnili się z przygotowaniem swojej firmy czy instytucji do spełnienia wymogów ustawy o ochronie danych osobowych.

Lepiej późno niż wcale... Skrócony poradnik może przydać się tym, którzy spóźnili się z przygotowaniem swojej firmy czy instytucji do spełnienia wymogów ustawy o ochronie danych osobowych.

Przygotowania trzeba rozpocząć od inwentaryzacji zasobów informacyjnych w firmie. Celem tego działania jest stworzenie listy wszystkich wykorzystywanych baz zawierających dane osobowe. Trzeba je sklasyfikować, określając cel, dla którego gromadzone są dane w poszczególnych bazach. Cel musi być konkretny - nie wystarczy stwierdzenie, że jest nim interes gospodarczy firmy. Ponadto cel powinien być zgodny z rodzajem prowadzonej działalności. Firma czy instytucja może przetwarzać dane osobowe, jeśli jest to niezbędne do wypełnienia jej usprawiedliwionych, zgodnych z prawem celów.

Niezbędne jest zapoznanie się z ustawą o ochronie danych osobowych, która zawiera wiele wyłączeń, tzn. określa, których baz rejestrować nie trzeba (Biuro GIODO sugeruje, że w przypadku wątpliwości można i tak takie bazy zgłosić, najwyżej zapadnie decyzja o ich zwolnieniu z obowiązku rejestracji). Przykładowo, obowiązkowi rejestracji nie podlegają najpospolitsze bazy, zawierające spis klientów, niezbędne do wystawienia faktur - bazy kadrowo-płacowe. Trzeba jednak mieć na uwadze, że wykorzystanie takiej bazy do innego celu zobowiązuje do rejestracji.

Niezgodny z ustawą może okazać się cel gromadzenia danych. Przepisy zabraniają gromadzenia niektórych danych, np. dotyczących poglądów politycznych czy pochodzenia etnicznego. Takie bazy lub przynajmniej ich fragmenty muszą być usunięte. Ważne jest także to, że nawet bazy, których nie trzeba rejestrować, podlegają wymogom ustawy (szczególnie w zakresie zapewnienia bezpieczeństwa).

Zadania dla działu informatyki

Konieczne jest wyznaczenie administratora danych osobowych, czyli osoby odpowiedzialnej za zawartość gromadzonych danych i ewidencjonowanie osób uprawnionych do przetwarzania tych danych. Bynajmniej nie musi to być tylko jedna osoba - nawet względy efektywności czy bezpieczeństwa nakazywałyby, aby obarczyć nią kilku pracowników. Administratorami mogą być pracownicy poszczególnych działów, np. główna księgowa dla systemu kadrowo-płacowego, dyrektor handlowy dla baz danych o klientach itd.

Dział informatyki musi natomiast zająć się zapewnieniem bezpieczeństwa przechowywanych danych osobowych. Wymagane warunki techniczne bezpieczeństwa szczegółowo reguluje rozporządzenie MSWiA z dnia 3 czerwca 1998 r. (to lektura obowiązkowa!).

Rozporządzenie dotyczy także warunków outsourcingu, serwisowania urządzeń oraz przetwarzania danych osobowych na komputerach. W każdej instytucji, w której przetwarzane są dane osobowe, musi powstać instrukcja zawierająca opis czynności i zakres obowiązków operatora systemu komputerowego, w którym znajdują się dane osobowe (plus instrukcja postępowania w sytuacjach naruszenia bezpieczeństwa). Z rozporządzenia wreszcie wynikają zasady poprawnej konstrukcji baz danych zawierających informacje osobowe.

W firmie, w której przetwarzaniem danych osobowych zajmuje się więcej niż 10 osób, musi powstać nowa funkcja - administratora bezpieczeństwa danych (odpowiednik stanowiska security officer). Jego zadaniem będzie monitorowanie stanu bezpieczeństwa zbiorów informacyjnych w firmie (zarówno od strony sprzętowej, jak i programowej) oraz podejmowanie działań zaradczych i interwencyjnych (np. w sytuacji zagrożenia włamaniem do sieci komputerowej). Stanowisko administratora bezpieczeństwa informacji może sprawować informatyk zakładowy.

Zadania administratora danych

Termin rejestracji baz zawierających dane osobowe upływa 30 października. Dlatego jak najszybciej należy wypełnić wniosek rejestracyjny (stanowiący część wspomnianego rozporządzenia) i wysłać go pod adres Biura Generalnego Inspektora Danych Osobowych.

Inspektorzy Biura GIODO mają prawo weryfikacji (włącznie z audytem na miejscu), czy dane podane we wniosku są prawdziwe. Odrzucenie zgłoszenia i odmowa rejestracji bazy mają daleko idące konsekwencje - oznacza to bowiem automatyczny zakaz przetwarzania danych z tej bazy. To decyzja mająca moc z urzędu - nie wstrzymują jej wykonywalności żadne odwołania!

Bazy na śmietnik

Osobom, których dane są gromadzone w systemie, ustawa daje prawo weryfikacji prawdziwości tych danych oraz uzyskania informacji, kiedy i komu te dane były przekazywane. Dlatego każda operacja na danych osobowych musi być w systemie odnotowywana (pozwalając na jednoznaczną identyfikację, kto dokładnie i kiedy wprowadził, zmodyfikował bądź udostępniał dane - z systemu nie mogą korzystać anonimowi użytkownicy). W wielu starszych bazach nie ma takiej możliwości - wówczas powstałą lukę muszą wypełnić "odpowiednie środki zabezpieczenia organizacyjnego i fizycznego" (jak to określono w oficjalnych dokumentach GIODO). W praktyce może to być trudne do realizacji, toteż większość baz starszego typu właściwie nie nadaje się do przechowywania danych osobowych.

I jeszcze jedno: powinny być zmienione druki i formularze będące źródłami informacji osobowych uzyskiwanych od klientów i petentów. Trzeba będzie dodać informacje, określające po co są zbierane te dane oraz czy i komu będą potem udostępniane. Musi być podany adres, pod którym można zażądać dostępu do swoich danych.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200