http://www.suwalki.info

:: Dane osobowe to kłopoty firmowe
Artykuł dodany przez: iva (2011-01-27 14:32:21)

Pierwsze wątpliwości nasuwają się już przy określaniu danych, które mogą być nazywane „osobowymi”. Definiuje się je, jako wszelkie informacje dotyczące osoby fizycznej, które mogą posłużyć do określenia jej tożsamości. Tak więc za dane osobowe uznaje się przypisane człowiekowi numery identyfikacyjne (PESEL, NIP), bądź specyficzne czynniki, charakteryzujące jego cechy fizyczne czy społeczne. Co więcej, za taki rodzaj informacji może być uznawany także adres IP, który może zostać użyty np. przez dostawcę Internetu w celu ustalenia tożsamości klienta. Ochronie danych osobowych podlegają również fotografie, czy filmy przedstawiające określoną osobę i w związku z tym nie mogą być przetwarzane bez jej zgody. O wadze tego przepisu przekonali się w 2009 r. właściciele serwisu społecznościowego Nasza-Klasa, na którym zamieszczono grupowe zdjęcie i podpisano na nim poszczególnych uczniów. Jedna z osób oznaczonych na fotografii, niebędąca użytkownikiem portalu uznała, że bezprawnie wykorzystano jej wizerunek. Zarzut ten poparł Naczelny Sąd Administracyjny, który mimo wcześniejszego odrzucenia wniosku przez GIODO uznał, że osoba na zdjęciu z widniejącym przy niej podpisem jest rozpoznawalna i doszło do naruszenia jej danych osobowych. Kto jest odpowiedzialny za przechowywanie? O ochronę danych osobowych musi zadbać każdy podmiot, który w swojej działalności wykorzystuje, bądź jedynie gromadzi zbiory takich informacji. Osobą odpowiedzialną za prowadzenie odpowiedniej polityki w tym zakresie jest administrator danych. Aby usprawnić swoje działanie może on dodatkowo powołać administratora bezpieczeństwa informacji. Ustawa nie określa jednak, jakie kompetencje powinna posiadać osoba zatrudniona na tym stanowisku, czy też jaką pozycję ma zajmować ona w strukturze organizacyjnej firmy. – Przedsiębiorca musi koniecznie zapewnić administratorowi bezpieczeństwa informacji niezależność i możliwość starannego wywiązywania się ze swojej odpowiedzialności. W tym celu najlepiej zatrudnić go na odrębnym stanowisku, podległym wyłącznie kierownictwu – wyjaśnia Jarosław Krauz z firmy PIN Consulting, zajmującej się doradztwem w zakresie bezpieczeństwa danych osobowych. Niejednokrotnie zleca się to zadanie firmom zewnętrznym, które oferują pomoc nie tylko w kwestiach prawnych, ale co ważne i w informatycznych. Dzisiaj, kiedy większość działań przedsiębiorstw opiera się na elektronicznych metodach przechowywania danych, istotną kwestią jest posiadanie przez ABI niezbędnej wiedzy o zabezpieczaniu zdigitalizowanych informacji. Jak długo przechowywać i skutecznie usuwać? Następnym, niewystarczająco sprecyzowanym przepisem prawnym jest ten określający długość przechowywania danych osobowych przez przedsiębiorstwo. Zapis jest bardzo ogólny i ogranicza się do obowiązku usunięcia informacji wraz z ustaniem celu ich przetwarzania. Cel ten jednak ustalany jest zazwyczaj przez samego administratora danych i określany zgodnie ze świadczoną przez przedsiębiorstwo konkretną usługą na rzecz osoby, której dane są wykorzystywane. Problem był podejmowany, m. in. przez unijnych ekspertów w sprawie przechowywania danych osobowych przez takie spółki jak Microsoft, Google czy Yahoo!. Producent najpopularniejszej wyszukiwarki internetowej gromadzi informacje na temat wpisywanych w niej fraz wraz z przyporządkowanymi im adresami IP przez okres 9 miesięcy, a pliki cookie nawet przez 18. Według unijnych specjalistów jest to zdecydowanie zbyt długo, pomimo że Google już trzykrotnie skracał czas retencji tych informacji,. Każda firma powinna więc zadbać o usuwanie takich informacji, jeżeli cel, do którego były zgromadzone został spełniony. Za usunięcie uważa się przy tym zniszczenie bądź modyfikację danych, uniemożliwiającą zidentyfikowanie osób, których one dotyczą. Konieczne więc jest zastosowanie skutecznych metod usuwania. Nie dopuszczalne jest np. wyrzucenia kartki czy płyty CD z informacjami osobistymi do kosza. – W przypadku plików elektronicznych, ich każdorazowe przetwarzanie poprzez, np. kopiowanie czy chociażby przenoszenie pozostawia za sobą ślad. Dlatego niszczone powinny być nie tylko właściwe dokumenty, ale również wszystkie ich wersje, które powstały w wyniku modyfikacji oryginalnego pliku – ostrzega Tomasz Pakulski, Brand Manager marki BitBank, w firmie Totalsafe. Rozmiar tego problemu udowodnili dwaj naukowcy z MIT, którzy po zakupieniu na portalu aukcyjnym eBay 158 używanych twardych dysków, zdołali odtworzyć dane niemal ze wszystkich z nich. Przez niewłaściwe sposoby likwidacji informacji elektronicznych znaleźli się oni w posiadaniu prywatnych listów i zdjęć oraz...numerów i stanów kont, pochodzących z jednego z bankomatów. Jak tworzyć kopie zapasowe? Przy usuwaniu danych osobowych z systemów informatycznych firm należy zwrócić uwagę na wszelkie kopie tych informacji, również zapasowe. Jest to szczególnie uciążliwe ze względu na trudności z wyszukaniem konkretnych plików oraz prawdopodobieństwo wystąpienia błędów w działaniu całego systemu po ich usunięciu. Dlatego niezwykle ważne jest prawidłowe tworzenie, segregowanie i ochrona kopii zapasowych danych osobowych. Mogą być do tego użyte popularne nośniki informatyczne - płyty CD, dyski twarde czy taśmy magnetyczne. Należy przy tym pamiętać, że muszą być one archiwizowane w bezpiecznych miejscach, uniemożliwiających nieuprawnionym osobom ich odczyt, modyfikację, uszkodzenie lub zniszczenie. Dlatego coraz częściej przedsiębiorstwa decydują się na przechowywanie kopii danych osobowych w zewnętrznych, specjalnie chronionych serwerowniach. – W przypadku naszego programu, pliki wysyłane są do Beyond Data Center w Poznaniu. Serwerownia spełnia rygorystyczne standardy bezpieczeństwa odnośnie dostępu do danych, poprzez ograniczenie wejścia na jej teren, stały monitoring pomieszczeń czy zastosowanie wielu środków fizycznej ochrony przed przepięciami elektrycznymi i pożarami - tłumaczy Tomasz Pakulski- Takie rozwiązanie jest szczególnie korzystne ze względu na możliwość łatwego odtworzenia informacji po ich utracie czy konieczności ich usunięcia, kiedy wygasł cel ich przechowywania. Dane mają bowiem strukturę folderów odpowiadającą oryginalnemu układowi w komputerze. Jeżeli firma zdecyduje się na outsourcing takich usług powinna sprawdzić, czy ich dostawca spełnia wymogi stawiane przez GIODO. Co zrobić w przypadku kontroli? Chociaż skuteczne zabezpieczenie danych osobowych w firmie wymaga nierzadko dużych nakładów zarówno pracy, jak i środków finansowych, to jest to niezbędna procedura, której niedotrzymanie może skutkować poważnymi konsekwencjami. W każdej chwili przedsiębiorstwo może zostać skontrolowane przez inspektorów GIODO, którzy mają prawo sprawdzić jego dokumentację w zakresie ochrony danych osobowych, nie tylko podczas rutynowej kontroli, ale również na wniosek osoby poszkodowanej. – Jeden z naszych klientów, poprosił o pomoc tuż przed wizytą inspektorów GIODO. Podczas organizowanego przez klienta konkursu jeden z uczestników zgłosił nieprawidłowości w przetwarzaniu danych osobowych. Gdyby nie szybkie poprawienie błędów i przygotowanie odpowiedniej dokumentacji mogłyby go czekać poważne sankcje, nawet karne w postaci 3 lat pozbawienia wolności - wyjaśnia Jarosław Krauz. Po nowelizacji ustawy o ochronie danych osobowych, która wejdzie w życie wraz z 7 marca 2011 r., do odpowiedzialności karnej może zostać pociągnięta każda osoba, która utrudnia kontrolę GIODO. Dotyczy to więc nie tylko administratorów danych, ale również podmioty zakłócające prawidłowy przebieg wizyty inspektorów poprzez np. sporządzanie fałszywej dokumentacji. Za takie przewinienia grożą kary grzywny, ograniczenia lub pozbawienia wolności do lat 2. Jeżeli dojdzie do wykrycia uchyleń w stosowaniu odpowiednich zabezpieczeń danych osobowych GIODO, w najlepszym przypadku nakaże usunięcie tych błędów i zwiększenie środków ochrony, w najgorszym jednak - może powiadomić odpowiednie organy o popełnieniu przestępstwa. Magdalena Sawicka, [email protected]


adres tego artykułu: http://www.suwalki.info/articles.php?id=213