Ochrona i bezpieczeństwo danych osobowych

Wraz z postępem technologii i rozwojem Internetu w tempie astronomicznym wzrastają oczekiwania stawiane przed szefem informatyki. Dziś CIO to osoba odpowiedzialna nie tylko za dział IT czy utrzymanie ciągłości działania środowiska informatycznego.

IO musi zajmować się również kwestią szeroko pojętego bezpieczeństwa systemów informatycznych. Pojęcie to można odnieść do wielu aspektów sfery informatyki. Jednym z nich jest ochrona danych osobowych widziana z perspektywy IT. Zagadnienie to dotyczy firm, które przetwarzają dane osobowe w postaci zbiorów bazodanowych, podlegających na podstawie obowiązujących przepisów prawa obowiązkowi zgłoszenia do Generalnego Inspektoratu Ochrony Danych Osobowych (GIODO). Aby bliżej poznać problem ochrony danych osobowych (ODO), należy dokonać analizy obowiązujących aktów prawnych:

• Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. Nr 133, poz. 883) jest podstawowym aktem prawnym definiującym m.in. pojęcie danych osobowych i zbiorów danych, określa miejsca oraz osoby uprawnione do ich przetwarzania, sposoby zabezpieczenia, obowiązki podmiotu przetwarzającego dane osobowe, uprawnienia osób, których te dane dotyczą, rolę i zadania Generalnego Inspektora Danych Osobowych oraz kary i sankcje nakładane z tytułu nieprzestrzegania wymogów ustawy.

Zobacz również:

• Rozporządzenie ministra spraw wewnętrznych i administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.

• Rozporządzenie ministra spraw wewnętrznych i administracji z dnia 29 kwietnia 2004 r. w sprawie wzoru zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych.

Właściwe decyzje

Pytanie, które należy postawić na początku, brzmi: czy dane osobowe, jakimi dysponuje firma, winny być zgłoszone do GIODO? W przypadku odpowiedzi twierdzącej należy przeprowadzić gruntowny przegląd i analizę istniejących warunków przechowywania danych osobowych oraz podjąć odpowiednie działania mające na celu ich ochronę. Zidentyfikowanie posiadanych zbiorów danych to dopiero początek łańcucha procedur i szeregu decyzji, jakie musi podjąć CIO. W pierwszej kolejności należy powołać administratora bezpieczeństwa informacji (ABI), który pokieruje procesem tworzenia dokumentu systemu ochrony danych osobowych. Zgodnie z rozporządzeniem ministra spraw wewnętrznych i administracji "w sprawie dokumentacji przetwarzania danych osobowych..." firma dysponująca danymi osobowymi jest administratorem danych osobowych (ADO).

Zadania do wykonania dotyczą w szczególności bezpieczeństwa i ryzyka, jakie niosą pracownicy firmy, sposobu i zasad prowadzenia audytu wewnętrznego, jak również przygotowania się na ewentualną kontrolę ze strony GIODO.