Dane osobowe – wartość czy kłopot
Akty prawne nakładają na przedsiębiorstwa wiele obowiązków związanych z ochroną danych osobowych przechowywanych i przetwarzanych w systemach informatycznych firmy. A zbiory takich wrażliwych danych istnieją w praktycznie każdym przedsiębiorstwie. Są to informacje o pracownikach i członkach ich rodzin, byłych pracownikach, dane zbierane podczas rekrutacji, a także dane o klientach, dane marketingowe itp.
Świadomość konieczności odpowiedniego zabezpieczenia danych jest w firmach coraz większa, ale też wraz ze zmieniającymi się wymaganiami prawnymi rosną koszty obsługi zbiorów danych osobowych oraz monitorowania coraz to nowych zmian w prawie.
Nowelizacja ustawy o ochronie danych osobowych z 2004 r. wprowadziła obowiązek ustanowienia administratora bezpieczeństwa informacji w każdej jednostce przechowującej zbiory danych. Definicja i obowiązki administratora bezpieczeństwa informacji (ABI) zostały określone w art. 36 tej ustawy. Jest to osoba nadzorująca z upoważnienia administratora danych osobowych przestrzeganie stosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych.
W przypadku niepowołania ABI czynności jemu przypisane wykonuje administrator danych osobowych (właściciel firmy). Jednym z kluczowych obowiązków ABI jest odpowiedzialność za przeprowadzenie procesu usuwania skutków naruszenia bezpieczeństwa danych osobowych, z uwzględnieniem wykrycia przyczyn powstania incydentu. Poza tym każda osoba, która zauważy naruszenie bezpieczeństwa danych osobowych, m.in.:
- ujawnienie danych osobowych osobom nieupoważnionym,
- zafałszowanie danych osobowych,
- zniszczenie danych osobowych,
- zablokowanie pracy systemu informatycznego przetwarzającego dane osobowe,
zobowiązana jest natychmiast powiadomić administratora bezpieczeństwa informacji lub osoby przez niego upoważnione.
Tyle definicji. W praktyce o wiele łatwiej śledzić zmiany w przepisach i wytycznych o ochronie danych oraz wdrażać je w dużych organizacjach, z rozbudowaną strukturą i jasnym podziałem kompetencji. Więcej problemów z bieżącą administracją danymi mają małe i średnie przedsiębiorstwa. Wynika to z tego, że zwykle nie posiadają w swoich strukturach organizacyjnych dedykowanego stanowiska administratora bezpieczeństwa informacji. Zazwyczaj w takich firmach zarząd przypisuje zakres obowiązków ABI menedżerowi IT lub osobie odpowiedzialnej z HR jako zadania dodatkowe, obok podstawowego zakresu obowiązków.
To dodatkowe obciążenie, które często koliduje z ich codziennymi czynnościami. W efekcie prace operacyjne związane z utrzymywaniem i ochroną danych osobowych są odsuwane na bok, a działania doraźne nie zastępują bieżącej pracy administratora. Jest to bardzo duże zagrożenie dla właścicieli firmy, ponieważ za łamanie ustawy o ochronie danych osobowych to oni w przypadku kontroli Generalnego Inspektora Ochrony Danych Osobowych będą ponosić kary określone w ustawie.
ABI w outsourcingu
W związku z powyższymi problemami mniejsze firmy często mają nieuregulowany status ABI. Albo w ogóle nie wyznaczone osoby odpowiedzialne za ten obszar, albo jest to funkcja fikcyjna. Zagrożenie jest tym większe, że standardy zarządzania bezpieczeństwem danych osobowych są coraz wyższe, a GIODO coraz większą wagę przykłada do ich przestrzegania, m.in. nasilając kontrole.
W ramach usług związanych z bezpieczeństwem informacji SNP świadczy usługi outsourcingu ABI. Na podstawie ustalonego zakresu umowy konsultant SNP wykonuje na zlecenie klienta obowiązki przypisane administratorowi.
Podczas regularnych wizyt w firmie klienta konsultant może wykonywać następujące prace:
- weryfikacja poprawności i aktualizacja dokumentacji (polityki bezpieczeństwa, instrukcji zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych),
- analiza stanu wydanych upoważnień oraz ewidencji osób upoważnionych do przetwarzania danych osobowych,
- okresowe audyty danych osobowych i sporządzanie raportów wraz z zaleceniami zmian oraz działań korygujących i zapobiegawczych,
- nadzór pracy działu IT w realizacji obowiązków związanych z zabezpieczeniem danych w systemach informatycznych,
- weryfikacja poprawności stosowania procedur dotyczących ochrony danych osobowych przez wszystkie upoważnione osoby,
- prowadzenie w imieniu klienta korespondencji z GIODO w sprawie rejestracji zbiorów i zapytań wnoszonych w związku z przetwarzaniem danych przez klienta,
- szkolenia wstępne dla nowych pracowników oraz szkolenia okresowe dla poszczególnych działów w organizacji.
Dużą korzyścią outsourcingu funkcji ABI jest znaczna redukcja kosztów (optymalizacja kosztów podnoszenia kompetencji/kwalifikacji pracownika na etacie) oraz ich przewidywalność (stały koszt świadczenia usługi, zapisany w umowie). Jednak oprócz tego równie ważne jest bezpieczeństwo prawne. BCC zapewnia kompleksową obsługę w zakresie ochrony danych osobowych i gwarantuje wdrożenie i utrzymanie systemu ochrony danych zgodnego z obowiązującymi przepisami prawnymi. Firma zyskuje stały dostęp do specjalistycznej wiedzy w tym zakresie. Przejęcie obowiązków ABI przez firmę zewnętrzną oznacza także ograniczenie ryzyka wystąpienia błędów i zagrożeń, a w rezultacie odpowiedzialności karnej w przypadku kontroli GIODO.
Wybrane akty prawne obowiązujące w Unii Europejskiej:
– Konwencja nr 108 Rady Europy o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych z 28 stycznia 1981 r.
– Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych z 24 października 1995 r.
Wybrane akty w prawie polskim:
– Konstytucja Rzeczpospolitej Polskiej:
– Art. 47. Każdy ma prawo do ochrony prawnej życia prywatnego, rodzinnego, czci i dobrego imienia oraz decydowania o swoim życiu osobistym
– Art. 51. ust. 5. Zasady i tryb gromadzenia oraz udostępniania informacji określa ustawa
– Kodeks cywilny:
– Art. 23. Dobra człowieka, jak w szczególności (..) nazwisko lub pseudonim (..) pozostają pod ochroną prawa
– Ustawa o ochronie danych osobowych z 29 sierpnia 1997 r. wraz z Rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U z 2004 r. Nr 100, poz. 1024).
Co robi administrator danych
Poniżej przedstawiono podstawowe obszary odpowiedzialności, jakie może przejąć administrator bezpieczeństwa informacji w ramach usługi outsourcingu tej roli, oraz podział obowiązków i odpowiedzialności pomiędzy firmę klienta i SNP. Szczegółowy zakres zadań zostanie określony w umowie.
- Aktualizacja oraz nadzór bieżącej dokumentacji z zakresu ochrony danych osobowych. Aktualizacja polityki bezpieczeństwa oraz dokumentów wymaganych ustawą o ochronie danych osobowych i wydanych na jej podstawie rozporządzeń, audytowanie przestrzegania polityki bezpieczeństwa. Klient na bieżąco prowadzi rejestr dokumentów objętych ustawą. SNP: wizyty w organizacji, przegląd każdego dokumentu wymaganego ustawą lub aktami podrzędnymi min. raz w roku, ponadto dodatkowe wizyty ad hoc (w uzgodnionym terminie); definiowanie i aktualizacja wytycznych i wymagań w zakresie procedur wewnętrznych, a także szablonów upoważnień i formularzy, rejestrów i umów, które powinny być wypełniane w przypadku udostępniania danych zarówno podmiotom wewnętrznym, jak i zewnętrznym na podstawie powierzenia; opiniowanie umów z dostawcami i klientami co do standardów bezpieczeństwa.
- Nadzorowanie (wydawanie zaleceń w tym zakresie) przeciwdziałania dostępowi osób niepowołanych do systemu, w którym przetwarzane są dane osobowe. Audytowanie przestrzegania polityki bezpieczeństwa. Definiowanie zaleceń dla administratorów systemów. Kontrola i audytowanie przestrzegania zdefiniowanych i przyjętych w polityce bezpieczeństwa i innych dokumentach związanych z bezpieczeństwem informacji w systemach informatycznych standardów ochrony systemów. Klient: raz w miesiącu przygotowanie zestawienia logów oraz rejestrów dostępu do systemów, w których przetwarzane są dane osobowe. SNP: analiza przygotowanych rejestrów. Wydanie zaleceń oraz wytycznych.
- Podejmowanie odpowiednich działań w przypadku wykrycia naruszeń w systemie zabezpieczeń lub podejrzenia naruszenia. Klient na bieżąco prowadzi rejestr incydentów w zakresie bezpieczeństwa. SNP: Podjęcie działań w ciągu jednego dnia od zgłoszenia, w ciągu 10 dni roboczych przygotowanie raportu, m.in. z rekomendacją działań mających na celu zapobieżenie wykrytym lub podobnym incydentom.
- Nadzór nad fizycznym zabezpieczeniem pomieszczeń, w których przetwarzane są dane osobowe, oraz nadzór nad kontrolą przebywających w nich osób. Klient: raz w miesiącu przygotowuje zestawienia logów oraz rejestrów dostępu do pomieszczeń, w których przetwarzane są dane osobowe. SNP: analiza przygotowanych rejestrów, wydanie zaleceń oraz wytycznych.
- Nadzór nad naprawami, konserwacją oraz likwidacją urządzeń komputerowych, na których zapisane są dane osobowe. Analiza obecnego stanu procedur i dokumentacji dotyczących tego obszaru w oparciu o ustawę o ochronie danych osobowych oraz własne doświadczenia. Wydawanie na tej podstawie rozporządzeń oraz, o ile to zasadne, rekomendacji. Kontrola, czy ustalone reguły są przestrzegane. Klient na bieżąco prowadzi rejestr napraw, konserwacji oraz likwidacji urządzeń komputerowych, na których zapisane są dane osobowe. SNP: analiza przygotowanych rejestrów, wydawanie zaleceń oraz wytycznych.
- Zarządzanie hasłami użytkowników, systemami antywirusowymi i ich procedurami. Klient przygotowuje aktualne procedury, rejestry logów. SNP: analiza obecnego stanu procedur i dokumentacji dotyczących tego obszaru w oparciu o ustawę o ochronie danych osobowych oraz własne doświadczenia. Wydawanie na tej podstawie rozporządzeń i rekomendacji. Audytowanie, czy ustalone reguły są przestrzegane.
- Nadzór nad wykonywaniem i przechowywaniem kopii awaryjnych oraz okresowym sprawdzaniem pod kątem ich dalszej przydatności. Klient: na bieżąco prowadzi rejestr wykonywania kopii zapasowych, przygotowuje dokumenty związane z wykonywaniem kopii zapasowych (plan kopii, zapisy z testów, itd.). SNP: analiza przygotowanych rejestrów, wydawanie zaleceń oraz wytycznych.
- Nadzór nad obiegiem oraz przechowywaniem dokumentów zawierających dane osobowe. Klient na bieżąco prowadzi rejestr dokumentów objętych ustawą. SNP: nadzór nad obiegiem oraz przechowywaniem dokumentów zawierających dane osobowe poprzez obserwacje, wizyty u klienta, audyty.
- Nadzór nad prawidłowością archiwizacji oraz usuwania danych osobowych. Klient na bieżąco prowadzi rejestr żądań związanych z archiwizacją oraz usuwaniem danych osobowych. SNP: analiza przygotowanych rejestrów, wydawanie zaleceń oraz wytycznych.
- Monitorowanie funkcjonowania zabezpieczeń wdrożonych w celu ochrony danych osobowych. Klient przygotowuje aktualne procedury. SNP: monitorowanie poprzez obserwacje, wizyty u klienta, audyty.
- Przeprowadzenie przynajmniej raz w roku audytu zakończonego raportem. W ramach usługi outsourcingu administratora bezpieczeństwa informacji SNP zobowiązuje się do przeprowadzenia audytów w każdym obszarze organizacji. SNP jako audytor weryfikuje poprawność działania standardów bezpieczeństwa informacji. W przypadku wykrytych przekroczeń zarząd organizacji zostaje powiadomiony o zaistniałej sytuacji. W gestii zarządu leży podjęcie konkretnych działań mających na celu przeciwdziałanie oraz karanie za wskazane w raporcie audytu odstępstwa i przekroczenia standardów bezpieczeństwa informacji.
- Odpowiedzi na pytania klienta dotyczące zagadnień ochrony danych osobowych. Pytania zadają wyznaczeni do kontaktów z administratorem bezpieczeństwa informacji przedstawiciele klienta. Do tego celu klientowi zostanie udostępniony system zgłoszeń HP Service Manager, w którym dla każdego z przedstawicieli klienta zostanie utworzony tzw. użytkownik. Administrator Bezpieczeństwa Informacji jest zobowiązany w ciągu trzech dni roboczych przyjąć pytanie do analizy, a w ciągu 14 dni roboczych udzielić na nie odpowiedzi (czas 14 dni jest czasem umożliwiającym uzyskanie odpowiedzi z GIODO lub kancelarii prawnej).