Ochranianie danych

Zapewnieniem bezpieczeństwa przechowywanych danych osobowych musi zająć się dział informatyki. Pracuje on bowiem na rzecz administratora danych. Wymagane warunki techniczne bezpieczeństwa reguluje rozporządzenie Ministra Spraw Wewnętrznych i Administracji, które dopiero ma ukazać się w Dzienniku Ustaw. Zapisany będzie w nim m.in. obowiązek ochrony dostępu do aplikacji hasłem zmienianym nie rzadziej niż raz na miesiąc, tworzenia kopii zapasowych, które muszą być przechowywane w innym miejscu niż system, czy nawet szczegółowe warunki techniczne, takie jak właściwe ustawienie monitorów komputerowych (żeby np. petent nie mógł zajrzeć urzędniczce na ekran "przez ramię"). Dopuszczalne jest przetwarzanie danych osobowych na komputerach przenośnych. Nie wolno ich jednak przekazywać innym osobom ani wykorzystywać w celu dostępu do publicznych sieci teletransmisji danych. W rozporządzeniu regulowana jest kwestia przebywania osób postronnych w pomieszczeniach, w których przetwarzane są dane osobowe, i zapisane zostały minimalne warunki, jakie musi spełniać umowa outsourcingowa, dotycząca przetwarzania danych osobowych czy serwisowania urządzeń, w których przechowywane są dane osobowe. Nie wolno będzie oznaczać danego pomieszczenia, że przetwarzane są w nim dane osobowe, zaś osoby postronne będą mogły w nim przebywać jedynie w towarzystwie uprawnionych. W każdej instytucji, w której przetwarzane są dane osobowe, będzie musiała powstać instrukcja zawierająca opis czynności i zakres obowiązków operatora systemu komputerowego.

W firmie, w której przetwarzaniem danych osobowych zajmuje się więcej niż 10 osób, musi powstać nowa funkcja - administratora bezpieczeństwa informacji (odpowiednik stanowiska security officer). Jego zadaniem będzie monitorowanie stanu bezpieczeństwa zbiorów informacyjnych w firmie (zarówno od strony sprzętowej, jak i programowej) oraz podejmowanie działań zaradczych i interwencyjnych (np. w sytuacji zagrożenia włamaniem do sieci komputerowej). Stanowisko administratora bezpieczeństwa informacji może sprawować informatyk zakładowy.

Zapisanie w rejestrze

Pozostało 18 miesięcy na zgłoszenie i zarejestrowanie w Biurze Generalnego Inspektora Danych Osobowych posiadanych baz, zawierających dane osobowe. Od razu powinno się rejestrować wszystkie nowo powstające bazy - warto więc to robić już na etapie ich projektowania lub nawet jeszcze wcześniej (w przypadku niespełnienia określonych w ustawie warunków, Generalny Inspektor może bowiem odrzucić zgłoszenie, co oznacza automatyczny zakaz przetwarzania danych z tej bazy). Jest to szczególnie istotne w przypadku powstających firm, które dopiero uruchomią swoje bazy.

Zgłoszenia należy dokonać na standardowym kilkustronicowym formularzu (który także dopiero ma się ukazać jako załącznik do rozporządzenia MSWiA). Ma on zasadniczo postać listy, na której "odhacza się" poszczególne pozycje. Istniejące bazy można rejestrować, zanim zostaną spełnione warunki techniczne dotyczące ich ochrony. Warto zwrócić uwagę na wiele wyłączeń zapisanych w ustawie. Z obowiązku rejestracji są zwolnione np. bazy zawierające dane osobowe o pracownikach we własnej firmie.

Tworzenie historii

Osobom, o których dane są gromadzone w systemie, ustawa daje prawo weryfikacji prawdziwości tych danych oraz uzyskania informacji kiedy i komu te dane były przekazywane. Dlatego we wszystkich instytucjach, gdzie prawdopodobne jest, iż zgłaszać się będzie w takich celach większa liczba petentów, warto zawczasu przygotować standardowe druki informacyjne i opracować procedury postępowania, tak aby była to standardowa operacja w systemie. Nie można zapominać o wymogu odnotowania każdorazowego przekazania danych osobowych. Nowoczesne systemy bazodanowe mają wbudowane mechanizmy tworzenia rejestrów wszystkich transakcji. Gdy ich nie ma, trzeba za każdym razem ręcznie odnotowywać fakt przekazania danych. Każdy ma prawo do zgłoszenia sprzeciwu wobec przekazywania dotyczących jego danych. W bazie danych przy opisie każdej osoby przydałoby się więc dodatkowe pole informujące o takim zastrzeżeniu. System powinien zapamiętywać datę pierwszego wprowadzenia danych dotyczących poszczególnych osób oraz identyfikator użytkownika, który dane wprowadził.

<hr size=1 noshade>Dariusz Kupiecki aktywnie współuczestniczył w powstaniu ustawy o ochronie danych osobowych. Obecnie jest doradcą w Ministerstwie Spraw Wewnętrznych i Administracji oraz dyrektorem naczelnym ds. informatyki w TU Allianz BGŻ Polska SA.