Computerworld.pl
 
  1. Strona główna
  2. Wiadomości
  3. Wybierz właściwą ustawę

Wybierz właściwą ustawę

Obowiązków nigdy za wiele

Obie ustawy i wydane do nich rozporządzenia wykonawcze przewidują wiele obowiązków podmiotu (tab. 1). Dane te nie wyczerpują pełnego zakresu obowiązków podmiotu przetwarzającego konkretne informacje, jednakże pozwalają już na stwierdzenie, że zakres obowiązku podmiotu, który przetwarza informację niejawną, jest znacznie szerszy od podmiotu przetwarzającego dane osobowe, co zresztą wydaje się zrozumiałe. Jednakże biorąc pod uwagę opisywaną definicję tajemnicy służbowej, konsekwencje dla podmiotów objętych obowiązywaniem obu ustaw mogą być bardzo poważne. O ile bowiem obowiązki o charakterze formalnoprawnym są obligatoryjne, a obowiązki o charakterze organizacyjnym bardzo do siebie podobne i nie wymagające odrębnych działań, to jednak wypełnienie obowiązków o charakterze personalnym i technicznym może sprawić wiele problemów.

Pierwszym poważnym problemem jest określenie, czy administratorem bezpieczeństwa informacji i pełnomocnikiem ds. ochrony może być ta sama osoba. Biorąc pod uwagę zakres obowiązków tych osób, nie ma ku temu żadnych przeciwwskazań, a nawet byłoby dobrze, gdyby była to jedna osoba. Nic także nie stoi na przeszkodzie, by administrator bezpieczeństwa danych osobowych był odrębnym pracownikiem, pod warunkiem jednak umiejscowienia go w komórce ochrony. Nie ma bowiem potrzeby tworzenia dwóch odrębnych struktur, zwłaszcza w sytuacji, gdy na mocy ustawy dane osobowe stają się informacją niejawną.

Bardzo poważnym praktycznym i prawnym problemem staje się natomiast kwestia postępowania sprawdzającego. W świetle UOIN każdy pracownik mający dostęp do informacji niejawnej, stanowiącej tajemnicę służbową, powinien poddać się postępowaniu sprawdzającemu zwykłemu (art. 36 ust. 1 pkt. 1). Sposób przeprowadzenia takiego postępowania zawiera art. 37, w którym określono, że to do tego pracownika należy wypełnienie ankiety oraz dokonanie stosownej kontroli w odpowiednich ewidencjach, rejestrach i kartotekach. Konsekwencją bardzo szerokiego zdefiniowania tajemnicy służbowej, zapewne nie przewidywane przez twórców ustawy, jest obowiązek poddania się postępowaniu sprawdzającemu olbrzymiej grupy pracowników instytucji, gdzie ustawa ta znajdzie zastosowanie, a przetwarza się informacje będące danymi osobowymi bądź chronionymi innymi przepisami. Rodzi się pytanie, czy każdy pracownik PKO bp, który ma dostęp do informacji o czynnościach bankowych (informacje stanowiące tajemnicę bankową) i danych osobowych, musi przejść procedurę sprawdzającą? A co z pracownikami Poczty Polskiej? I choć w przypadku dostępu do informacji stanowiącej tajemnicę służbową działania sprawdzające może przeprowadzić wyłącznie pełnomocnik w danym zakładzie pracy, to jednak wypełnienie tego obowiązku będzie niemałym problemem.

Kolejna konsekwencja zbyt - moim zdaniem - szerokiego ujęcia tajemnicy służbowej to kwestia przechowywania takich dokumentów. Jeżeli bowiem nadamy im klauzulę "poufne", to niestety zmuszeni będziemy do stworzenia kancelarii tajnych. A to już może stworzyć pewne problemy, gdyż pomieszczenia te muszą spełniać ściśle określone wymagania. Kwestia nadawania klauzul może również wywołać problem. Stara ustawa o ochronie tajemnicy państwowej i służbowej zezwalała szefom poszczególnych resortów na tworzenie katalogu informacji, nowa natomiast pozostawia te kwestie autorowi dokumentu. Czy zbiór danych podatnika (wszystkie PIT-y) w urzędzie skarbowym stanowiący - w świetle ordynacji podatkowej - tajemnicę skarbową stanowi tajemnicę służbową o klauzuli "poufne" czy tylko "zastrzeżone"? Wbrew pozorom problem nie jest banalny, jego rozwiązanie musi bowiem pociągnąć za sobą odpowiednie działania organizacyjno-administracyjne, niekiedy bardzo kosztowne.

Szkoda, że coraz częściej w działaniach polskich legislatorów dostrzega się niedopatrzenia i braki. Niestety, przy tak delikatnej materii, jaką jest ochrona posiadanych informacji, takie legislacyjne niedoróbki mogą powodować powstawanie dziur w systemie zabezpieczeń. A na to może czyhać potencjalny konkurent.

<hr size=1 noshade>1 Do UODO - Rozporządzenie MSWiA z 3 czerwca1998 r. w sprawie określenia podstawowych warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 1998 r. Nr 80, poz. 521) - dalej zwane rozp. UODO. Do UOIN - Rozporządzenie Rady Ministrów z 25 lutego 1999 r. w sprawie podstawowych wymagań bezpieczeństwa systemów i sieci teleinformatycznych (Dz. U. z 1999 r. Nr 18, poz. 162) - dalej zwane rozp. UOIN.

2 Por. Mednis A.: Ustawa o ochronie danych osobowych. Komentarz, Warszawa 1999, s.17

3 Tamże, s. 21

4 Art. 11 ust. 4 ustawy z 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji, Dz. U. Nr 47, poz. 211

5 Przykładowo w ustawie z 4.02.1994 r. - Prawo geologiczne i górnicze (Dz. U. z 1994 r. Nr 27, poz. 96), w art. 45 ust. 3 stwierdza się: "Informacje oraz próbki, o których mowa w ust. 2, podlegają ochronie w zakresie, w jakim wymaga tego interes państwa lub ich właściciela".

Zagrożone informacje

Niektóre przyczyny i obszary zagrożeń ujawnienia informacji Dokumentacja i informacje, które w klasycznym systemie fizycznie znajdowałyby się w różnych miejscach (szafach, segregatorach, kancelariach itp.), są gromadzone w jednym miejscu (pamięci systemu komputerowego), przez co rośnie liczba metod i sposobów umożliwiających znalezienie do nich dostępu

Tworzenie zbiorów informatycznych (zwłaszcza danych osobowych) przetwarzanych elektronicznie umożliwia nieumyślne wyrządzenie szkody przez nieprofesjonalne wprowadzenie i opracowanie danych

Decydenci na ogół nie rozumieją skomplikowanych technologii związanych z systemami teleinformatycznymi, wskutek czego dane są pod kontrolą kilku "zaufanych" pracowników (administratorów systemu), którzy mają niezbędną znajomość systemu (łącznie z hasłami dostępu, umożliwiającymi dokonywanie działań zastrzeżonych wyłącznie dla określonych pracowników - np. zatwierdzenie dokonania transferu pieniędzy)

System bezpieczeństwa jest zaniedbywany na korzyść szybkości i sprawności działania, szczególnie w przypadku dużej konkurencji na rynku

W Internecie można znaleźć tysiące informacji o sposobach nielegalnego "wejścia" w systemy teleinformatyczne oraz pakiety specjalistycznego oprogramowania służącego do przełamywania (nawet wyrafinowanych) zabezpieczeń

Wobec możliwości niemal niezauważalnego nieuprawnionego zdobycia informacji i rosnącego zapotrzebowania na te informacje wzrasta pokusa wzięcia udziału w takim procederze nawet dotychczas uczciwych i zaufanych pracowników

Brak procedur wymiany informacji o sposobach przestępnego działania w obawie przed ujawnieniem tajemnic i słabości własnego systemu oraz obawą utraty zaufania petentów, utrudnienia przygotowania kadr oraz metodyki zapobiegania i ścigania tego rodzaju wykroczeń

Zwalczanie nadużyć w systemach teleinformatycznych wymaga ścisłej współpracy z organami ścigania i to częstokroć jeszcze przed formalnym wszczęciem postępowania karnego, co z kolei nie zawsze jest pożądane z punktu widzenia instytucji

<hr size=1 noshade>Podinspektor Krzysztof Jan Jakubski jest funkcjonariuszem zespołu ds. przestępczości komputerowej Biura Koordynacji Służby Kryminalnej Komendy Głównej Policji.

TOP 200

Computerworld

Computerworld dostarcza najświeższe informacje, opinie, prognozy i analizy z branży IT w Polsce i na świecie.

Tematy

Serwisy IDG

Znajdź nas:   

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

Zamów reklamę

(+48) 662 287 830
Napisz do nas