Dane osobowe trzeba chronić

Komputery często służą do przetwarzania danych osób fizycznych. Takie operacje podlegają dodatkowym wymogom

Publikacja: 10.06.2008 08:50

Ogólnie reguluje je ustawa o ochronie danych osobowych (DzU z 2002 r. nr 101, poz. 926 ze zm.). Natomiast szczegółowe warunki, w jakich przedsiębiorcom wolno przetwarzać dane osobowe, reguluje rozporządzenie ministra spraw wewnętrznych i administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (DzU z 2004 r. nr 100, poz. 1024).

Przypomnijmy, że co do zasady obowiązuje zakaz przetwarzania danych osobowych. Przepisy wyliczają bowiem dokładnie sytuacje, w których takie przetwarzanie jest dopuszczalne. Z tego można wnioskować, że w pozostałych przypadkach jest zabronione. Przykładowo, przetwarzanie jest możliwe m.in. wówczas, gdy osoba, której dane dotyczą, wyrazi na to zgodę albo jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną (art. 23 uodo). Jeśli operacje na danych dokonywane są za pomocą komputera, w grę wchodzi wiele norm określających zasady takiego postępowania.

Troska o bezpieczeństwo danych osobowych zaczyna się od przygotowania odpowiedniej dokumentacji. Każdy przedsiębiorca, który te dane przetwarza, musi opracować przynajmniej jeden dokument z tym związany. Jest nim tzw. polityka bezpieczeństwa. Mówiąc w uproszczeniu, jej celem jest opisanie warunków przetwarzania danych. Dodatkowo – tam, gdzie w grę wchodzi wykorzystanie systemów informatycznych – firma musi przygotować również instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. Potem trzeba zadbać o realizację tego, co w dokumentach napisano. Przedsiębiorca musi na przykład tak zabezpieczyć budynki i pomieszczenia, w których przetwarza dane osobowe, by nie miały do nich dostępu osoby nieuprawnione do przetwarzania danych.

W każdej firmie, gdzie komputery służą do przetwarzania danych osobowych, powinien funkcjonować mechanizm kontroli dostępu do tych danych. Powinien przynajmniej umożliwiać odtworzenie, kto i kiedy miał z danymi kontakt. To nie wszystko. Jeśli z danymi styka się więcej niż jedna osoba, każda z nich musi mieć swój identyfikator i mechanizm uwierzytelniający (np. hasło), bez których obejrzenie danych powinno być niemożliwe. Hasło musi mieć przynajmniej sześć znaków i to do administratora danych należy troska o to, by zmieniać je przynajmniej raz na miesiąc.

Właściwie nieuniknione jest zaopatrzenie się w tzw. firewall, czyli program komputerowy, który broni nieuprawnionym użytkownikom dostępu do komputera lub sieci komputerowej. Wszystko dlatego, że rozporządzenie wymaga zabezpieczenia danych przed „działaniem oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego”. Administrator musi dbać również o wykonywanie kopii zapasowych przetwarzanych informacji.

Dodatkowe wymogi ostrożności obciążają tych, którzy przy przetwarzaniu danych osobowych poza siedzibą firmy korzystają z komputerów przenośnych. Prawo wymaga bowiem w takiej sytuacji „stosowania środków ochrony kryptograficznej wobec przetwarzania danych osobowych”. Firma musi więc zaopatrzyć swoje laptopy w programy szyfrujące.

Jeśli z danymi styka się więcej niż jedna osoba, każda z nich musi mieć swój identyfikator i mechanizm uwierzytelniający np. hasło

To tylko niektóre z zabezpieczeń. Oprócz podstawowego poziomu ochrony rozporządzenie zna jeszcze poziom podwyższony i wysoki. I wcale nie dotyczą one jedynie instalacji wojskowych. Wystarczy, że przedsiębiorca podłączy urządzenia, w których przetwarzane są dane osobowe, do Internetu. W takiej sytuacji firma musi zastosować jeszcze bardziej skomplikowane hasła, a także zatroszczyć się o ochronę pomieszczeń, w których przetwarzane są dane.

Jednym z elementów systemu zarządzania licencjami na programy komputerowe jest audyt oprogramowania, czyli zbadanie jego legalności, funkcjonalności i wydajności. Audyt nie jest jakimś cudownym antidotum, lecz pierwszym i stałym elementem takiego systemu. Koszt audytu zależy przede wszystkim od liczby sprawdzanych komputerów. Im ich więcej, tym koszt zbadania zawartości jednej stacji roboczej niższy. Przykładowo, przy 20 komputerach audytor raczej nie zażąda więcej niż 150 – 200 zł netto od komputera. Warto dodać, że obecnie audyty są przeprowadzane za pomocą zautomatyzowanych narzędzi, które nie zakłócają pracy firmy.

BSA w żaden sposób nie ma dostępu do danych dotyczących audytów przeprowadzanych w Polsce. To do zarządu danej firmy należy zatem decyzja, jak postąpić w sytuacji, kiedy audyt wykaże posiadanie i korzystanie z nielicencjonowanego oprogramowania. I to na zarządzie będzie spoczywać odpowiedzialność w wypadku ujawnienia takiego oprogramowania przez organy ścigania.