Co informatyk zrobić powinien

Wprowadzona ustawa o ochronie danych osobowych powinna stać się obiektem zainteresowania menedżerów informatyki w wielu polskich firmach i instytucjach.

Wprowadzona ustawa o ochronie danych osobowych powinna stać się obiektem zainteresowania menedżerów informatyki w wielu polskich firmach i instytucjach.

Nowe przepisy prawne zmuszą odpowiezialnych za działy informatyczne do podjęcia następujących działań:

Tworzenie metabazy

Należy zacząć od inwentaryzacji zasobów informacyjnych w firmie. Celem tego działania jest utworzenie listy wszystkich wykorzystywanych baz, zawierających dane osobowe. Tę inwentaryzację powinien przeprowadzić informatyk.

Ustalenie, po co są te bazy

Gdy mamy repozytorium informacji o wykorzystywanych bazach danych, można przystąpić do klasyfikacji posiadanych baz. Należy wskazać cel, dla którego dane są gromadzone w poszczególnych bazach. Cel musi być uzasadniony i konkretny. Nie wystarczy stwierdzenie, że jest nim interes gospodarczy firmy. Cel gromadzenia danych powinien też być zgodny z rodzajem prowadzonej działalności. Jeśli firma swoje produkty wysyła wyłącznie hurtownikom, niepotrzebna jej będzie baza klientów indywidualnych. Firma może przetwarzać dane osobowe, jeśli jest to niezbędne do wypełnienia jej usprawiedliwionych, zgodnych z prawem celów.

Wykrycie baz zakazanych

Gdy z każdą bazą już jest związany konkretny cel, trzeba dokonać oceny, czy określony cel jest zgodny z ustawą o ochronie danych osobowych. Na mocy jej paragrafów zabronione jest gromadzenie niektórych danych (np. dotyczących poglądów politycznych czy pochodzenia etnicznego).

Po 30 kwietnia br. gromadzenie i przetwarzanie takich danych jest zabronione pod odpowiedzialnością karną! W przypadku natknięcia się na tego typu bazy osoba dokonująca inwentaryzacji powinna skierować odpowiedni wniosek do zarządu firmy. Może on dotyczyć niekoniecznie całych baz, ale ich fragmentów. Warto więc przyjrzeć się zakresowi poszczególnych pól rekordów, czy gromadzone w nich informacje nie wykraczają poza obszar dozwolony ustawą.

Namaszczenie administratora

Należy wyznaczyć administratora danych, czyli osobę odpowiedzialną za treść gromadzonych danych i prowadzenie ewidencji osób uprawnionych do przetwarzania danych, pochodzących z określonej bazy, zawierającej informacje osobowe (stanowisko administratora danych zostało wprost określone w zapisach ustawowych). Nie musi to być tylko jedna osoba - nawet względy efektywności czy bezpieczeństwa nakazywałyby, aby obarczyć tą funkcją kilku pracowników. Decydującym kryterium klasyfikacji jest ich przynależność merytoryczna. Administratorami powinni być nie informatycy, a pracownicy poszczególnych działów (np. główna księgowa dla systemu kadrowo-płacowego, dyrektor handlowy dla baz danych o klientach itd.).

Dopisanie maczkiem

Powinny zmienić się druki i formularze, będące źródłami informacji osobowych uzyskiwanych od klientów i petentów. Na każdym z takich druków trzeba będzie dodać informację, w której wprost zostanie stwierdzone, po co są zbierane te dane oraz czy i komu będą potem udostępniane. Warto tutaj sprawdzić, czy danej działalności nie dotyczą inne ustawy i rozporządzenia (np. w przypadku działalności bankowej czy ubezpieczeniowej). Często odpowiednie rozwiązania prawne już istniały, ale dopiero ustawa o ochronie danych osobowych wprowadziła stosowne zapisy o odpowiedzialności karnej.


TOP 200