Zabezpieczanie danych osobowych w systemach informatycznych- zagadnienia techniczno-organizacyjne

Black reflective tablet with a padlock on it and reflection.

GIODO w swoich decyzjach, wydanych na podstawie wyników kontroli zgodności przetwarzania danych z przepisami o ochronie danych, wskazywał najczęściej na brak zastosowania lub zastosowanie w niepełnym zakresie przez administratorów danych środków technicznych i organizacyjnych zabezpieczających dane osobowe przetwarzane w systemach informatycznych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz nieuprawnioną lub niezamierzoną zmianą, utratą, uszkodzeniem lub zniszczeniem.

I. Wprowadzenie

GIODO w swoich decyzjach, wydanych na podstawie wyników kontroli zgodności przetwarzania danych z przepisami o ochronie danych, wskazywał najczęściej na brak zastosowania lub zastosowanie w niepełnym zakresie przez administratorów danych środków technicznych i organizacyjnych zabezpieczających dane osobowe przetwarzane w systemach informatycznych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz nieuprawnioną lub niezamierzoną zmianą, utratą, uszkodzeniem lub zniszczeniem2. Przede wszystkim nakazywano opracowanie lub uzupełnienie polityki bezpieczeństwa oraz instrukcji zarządzania systemem informatycznym, służącym do przetwarzania danych osobowych, a także dostosowanie funkcjonalności systemu informatycznego, służącego do przetwarzania danych osobowych, do wymagań prawnych3.

Podstawowymi aktami prawnymi, regulującymi wymagania w zakresie zabezpieczenia danych osobowych, są u.o.d.o. oraz rozporządzenie.

Wymóg wprowadzenia zabezpieczeń wynika nie tylko z przepisów u.o.d.o. oraz ww. rozporządzenia, lecz także z innych aktów prawnych. Należą do nich m.in. u.s.u.d.e. oraz, w pewnym zakresie, u.i.d.p.r.z.p.

W rozumieniu art. 6 u.o.d.o. za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne (ust. 2). Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań (ust. 3). W art. 3 u.o.d.o. ustawodawca określił zakres podmiotowy ustawy. Obowiązane do stosowania jej przepisów są w zasadzie, poza paroma wyjątkami, wszystkie podmioty przetwarzające dane osobowe na terytorium naszego kraju, w tym także instytucje finansowe.

Wbrew temu, co się powszechnie sądzi, ustawa nie wprowadza tylko obowiązku zapewnienia prywatności osób, których dane dotyczą. Stosownie do treści art. 36 ust. 1 u.o.d.o., administrator danych powinien ponadto zabezpieczyć dane przed przetwarzaniem z naruszeniem ustawy oraz przed nieuprawnioną zmianą, utratą, umyślnym lub przypadkowym uszkodzeniem lub zniszczeniem4.

W związku z powyższym u.o.d.o. oraz akty wykonawcze do niej wydane przewidują obowiązek stosowania nie tylko zabezpieczeń, których celem jest zapewnienie poufności5 przetwarzania danych osobowych (np. w pkt V załącznika do rozporządzenia zawarto obowiązek stosowania środków ochrony kryptograficznej wobec przetwarzanych danych osobowych na komputerach przenośnych wynoszonych poza obszar przetwarzania danych osobowych), ale także ich rozliczalności6 (np. w pkt III ust. 2 załącznika do rozporządzenia określono obowiązek zabezpieczenia danych osobowych przed ich utratą spowodowaną awarią zasilania lub zakłóceniami w sieci zasilającej) i integralności7. Przykładem zabezpieczenia, którego celem jest zapewnienie integralności danych osobowych, jest to określone w pkt II ust. 2 załącznika do rozporządzenia – w systemie informatycznym, służącym do przetwarzania danych osobowych, powinien być dla każdego użytkownika rejestrowany odrębny identyfikator, a dostęp do danych możliwy jest wyłącznie po wprowadzeniu identyfikatora i dokonaniu uwierzytelnienia.

Obok wymagań prawnych nakazujących administratorom danych, co powinni zrobić, aby wykazać się zgodnością z przepisami o ochronie danych osobowych, zostały opracowane i opublikowane regulacje i zalecenia wskazujące administratorom danych, jak powinni wdrożyć obowiązkowe wymagania. Pomocne mogą być tu przede wszystkim opracowane przez Biuro GIODO następujące źródła:

1. Wskazówki dla administratorów danych8.

2. ABC bezpieczeństwa danych osobowych przetwarzanych przy użyciu systemów informatycznych9.

3. ABC zagrożeń bezpieczeństwa danych osobowych w systemach teleinformatycznych10.

II. Zasady zabezpieczenia danych osobowych

Zgodnie z tym, co zostało już wyżej napisane, celem zabezpieczenia danych osobowych, w szczególności tych przetwarzanych w systemach informatycznych, nie jest tylko zapewnienie ich poufności. Art. 36 ust. 1 u.o.d.o. stanowi m.in., że administrator danych jest obowiązany zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz przed zmianą, utratą, uszkodzeniem lub zniszczeniem. Jak zatem ten cel osiągnąć, czym się kierować? Czy spełnienie wyłącznie wymagań prawnych w zakresie środków technicznych i organizacyjnych, służących ochronie danych przed ich nieuprawnionym przetwarzaniem, pozwoli osiągnąć pożądany efekt? Wydaje się, że znamienna jest tutaj treść § 1 pkt 2 rozporządzenia – rozporządzenie określa (…) podstawowe (podkreślenie Autora) warunki techniczne i organizacyjne, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Zatem, skoro przepisy rozporządzenia określają jedynie podstawowe warunki techniczne i organizacyjne, to czym kierować się, aby w sposób właściwy zabezpieczyć przetwarzanie danych osobowych w systemach informatycznych?

Wydaje się, że warto zwrócić tutaj uwagę na trzy zasady, które należy mieć na względzie przy realizacji postawionego na wstępie celu stosowania zabezpieczeń:

1. Zasada szczególnej staranności (art. 26 ust.1 u.o.d.o.);

2. Zasada adekwatności przy wdrażaniu zabezpieczeń (art. 36 ust. 1 oraz art. 7 pkt 2b u.o.d.o.);

3. Zakres prac związanych z wdrożeniem adekwatnych zabezpieczeń (art. 7 pkt 2a – pojęcie systemu informatycznego).

II.1 Zasada szczególnej staranności

Stosownie do treści art. 26 ust. 1 u.o.d.o. – 1. administrator danych przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą. Jest to zatem staranność wymagana od profesjonalisty11 , który nie może tłumaczyć się w trakcie kontroli inspektorów Biura GIODO, że niewypełnienie przez niego wymagań w zakresie zabezpieczania danych było wynikiem niejasnego sformułowania przepisów, które taki obowiązek na niego nałożyły. Jeśli jakiś przepis był dla niego niezrozumiały, powinien był on podjąć niezbędne w danych okolicznościach kroki, które niejasności te pozwoliłyby wyjaśnić (np. zwrócić się do GIODO z zapytaniem, wystąpić o wydanie opinii prawnej, itp.).

II.2 Zasada odpowiedniego poziomu ochrony danych

Treść tej zasady oddaje art. 36 ust. 1 oraz art. 7b) u.o.d.o. Zgodnie z pierwszym z tych przepisów, administrator danych jest obowiązany zastosować środki techniczne i organizacyjne, zapewniające ochronę przetwarzanych danych osobowych, odpowiednie do zagrożeń oraz kategorii danych objętych ochroną. Art. 7b) wprowadza zaś pojęcie zabezpieczenia danych w systemie informatycznym, które zgodnie z tym przepisem rozumie się jako wdrożenie i eksploatację stosownych (podkreślenie Autora) środków technicznych i organizacyjnych, zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem. Zatem poziom tzw. odpowiedniej ochrony może być różny w zależności od warunków, w jakich następuje przetwarzanie, oraz rodzaju danych, z jakimi mamy do czynienia w związku z prowadzoną przez siebie działalnością. Co za tym idzie – to, czy GIODO uzna za spełnioną dyspozycję art. 36 ust. 1, zależy od konkretnej sytuacji. W praktyce powinno być to tak, upraszczając nieco problem, że w zakresie niezbędnych środków zapewniających ochronę danych osobowych od mniejszych wymagamy mniej, a od większych – więcej. Warto również w tym kontekście przytoczyć przepis art. 17 Dyrektywy 95/46/WE. Stosownie do treści tego przepisu, państwa członkowskie zapewnią, aby administrator danych wprowadził odpowiednie środki techniczne i organizacyjne w celu ochrony danych osobowych przed (…) nielegalnymi formami przetwarzania, uwzględniając (podkreślenie Autora) stan wiedzy w tej dziedzinie oraz koszty realizacji12. Wskazane wyżej zasady mają kluczowe znaczenie nie tylko w kontaktach z GIODO podczas kontroli systemów informatycznych służących do przetwarzania danych osobowych, ale także dla ustalenia ewentualnej odpowiedzialności karnej wynikającej z przepisów rozdziału 8 u.o.d.o. Zwrócić tutaj należy uwagę szczególnie na art. 52 u.o.d.o., w oparciu o który administrujący danymi (chodzi tu o osobę, która ze względu na zajmowane stanowisko lub powierzone jej obowiązki jest upoważniona do decydowania o celach i środkach przetwarzania13) za niedopełnienie obowiązku zabezpieczenia danych – choćby nieumyślne i choćby dane te nie zostały zabrane lub uszkodzone – może zostać ukarany karą grzywny, ograniczenia wolności lub pozbawienia wolności do roku.

II.3 Zakres prac związanych z wdrożeniem adekwatnych zabezpieczeń

Przy ustalaniu zakresu niezbędnych prac związanych z wdrożeniem adekwatnych zabezpieczeń należy mieć na względzie przede wszystkim pojęcia przetwarzania danych oraz systemu informatycznego, które są pojęciami prawnymi zdefiniowanymi odpowiednio w art. 7 pkt 2 oraz. 7 pkt 2b u.o.d.o. Przetwarzanie danych osobowych należy rozumieć jako jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych. Administrator danych odpowiada więc np. także za zabezpieczenie danych osobowych przechowywanych na elektronicznych nośnikach informacji. Stosownie do definicji drugiego z wymienionych pojęć, przez system informatyczny należy rozumieć zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych. To pojęcie wskazuje nam na konieczność zabezpieczenia nie tylko sprzętu oraz oprogramowania, ale także wdrożenia takich środków organizacyjnych, które zabezpieczą procedury przetwarzania informacji, np. dostarczania danych wejściowych do systemu informatycznego. Przy tak określonej definicji jest dopuszczalne, aby przez system informatyczny rozumieć także grupę programów zastosowanych do przetwarzania danych w określonym celu – np. za system informatyczny w tym znaczeniu można uznać przypadek przetwarzania danych w bazie danych, które są następnie przenoszone do edytora tekstu czy arkusza kalkulacyjnego, by wreszcie wynik pracy na danych w tych programach przekazać pocztą elektroniczną. W konsekwencji, nie trzeba traktować jako osobnych systemów informatycznych poszczególnych programów wchodzących w procedurę przetwarzania danych w założonym celu (np. poczta elektroniczna nie musi w takim wypadku spełniać wymagań określonych w § 7 rozporządzenia).

Omawiając istotne definicje (nie tylko z punktu widzenia bezpieczeństwa danych osobowych), trzeba zwrócić uwagę na pojęcie „zbioru danych osobowych” zdefiniowane w art. 7 pkt 1 u.o.d.o. Odróżnić zatem należy zbiór w sensie rzeczywistym, legalnym, od takiego zestawu, który co prawda odpowiadać może formalnie definicji zbioru, ale w rzeczywistości jest tylko refleksem zbioru podstawowego, pierwotnego, pochodzi on ze zbioru zasadniczego (lub do niego zmierza), a jego wyodrębnienie pełni wyłącznie funkcję techniczną i pomocniczą wobec zbioru zasadniczego. Przy takim rozumieniu pojęcia zbioru danych osobowych oczywiste i w pełni uzasadnione będzie stanowisko, jakie zajął sąd administracyjny w orzeczeniu dotyczącym obowiązku zgłoszenia do rejestracji zbioru danych osobowych klientów, w którym pewien zakres danych osobowych prowadzony był w dokumentacji papierowej, a uzupełniający zakres danych tego zbioru był prowadzony w systemie informatycznym służącym do rejestracji operacji rachunkowych14. W celu uniknięcia nieracjonalnego procesu namnażania się zbiorów uznać należy, że w obecnych warunkach systemy informatyczne oraz kartoteki, skorowidze, wykazy i inne zbiory ewidencyjne, o których mowa w art. 2 ust. 2 u.o.d.o., będą stanowić swego rodzaju nośniki dla danych osobowych przetwarzanych w zbiorach danych osobowych o charakterze mieszanym informatyczno-ręcznym.

Szczególny rodzaj zbioru danych osobowych, który jest jedynie refleksem, pochodną, przynależnością głównego zbioru danych osobowych, stanowi zbiór danych zwany potocznie zbiorem doraźnym. Zgodnie z art. 2 ust 3 u.o.d.o., w odniesieniu do zbiorów danych osobowych sporządzanych doraźnie, wyłącznie ze względów technicznych, szkoleniowych lub w związku z dydaktyką w szkołach wyższych, a po ich wykorzystaniu niezwłocznie usuwanych albo poddanych anonimizacji, mają zastosowanie tylko przepisy rozdziału 5.

Zbiór doraźny stanowi jedynie etap na drodze do utrwalenia, zebrania, wykorzystania, usunięcia itp. danych osobowych. Dane w takiej strukturze nie tracą jednak związku ze strukturą zasadniczą oraz docelową (lub pierwotną). Ze względu na pomocniczość, wtórność takiego zbioru ustawodawca zdecydował, że do przetwarzania danych zebranych w takim zbiorze mają zastosowanie jedynie przepisy rozdziału 5 u.o.d.o. Nie można jednak tracić z pola widzenia faktu, że pozostałe przepisy u.o.d.o. i tak będą zrealizowane, ponieważ zbiór doraźny zmierza do przetwarzania danych w zbiorze podstawowym15 albo stanowi jego ostatni etap16.

Andrzej Ryrz

Autor jest aplikantem radcowskim, specjalizuje się w zagadnieniach ochrony danych osobowych i informacji niejawnych.

2. Taki wniosek można postawić po analizie sprawozdań z działalności składanych co roku przez GIODO. Obowiązek składania sprawozdań przez GIODO wynika z art. 20 u.o.d.o. Zgodnie z tym przepisem: „Generalny Inspektor składa Sejmowi, raz w roku, sprawozdanie ze swojej działalności wraz z wnioskami wynikającymi ze stanu przestrzegania przepisów o ochronie danych osobowych”. Sprawozdania z lat 1999 – 2006 dostępne są na stronie www Biura GIODO z dnia 10 listopada 2009 r. pod adresem http://www.giodo.gov.pl/541/id_art/2685/j/pl/
3. Wymagania te wynikają z § 3 i 7 rozporządzenia.
4. A. Ryrz, Klasyfikacja informacji prawnie chronionych w instytucjach publicznych [w:] Tutorial I. IX Krajowa Konferencja Zastosowań Kryptografii (mat. konf.), 2005, s. 303.
5. Przez poufność danych rozumie się, zgodnie z § 2 pkt 10 rozporządzenia, właściwość zapewniającą, że dane nie są udostępniane nieupoważnionym podmiotom.
6. Przez rozliczalność danych rozumie się, zgodnie z § 2 pkt 7 rozporządzenia, właściwość zapewniającą, że działania podmiotu mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi.
7. Przez integralność danych rozumie się, zgodnie z § 2 pkt 8 rozporządzenia, właściwość zapewniającą, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany.
8. Strona www Biura GIODO z dnia 10 listopada 2009 r., http://www.giodo.gov.pl/163/
9. Strona www Biura GIODO z dnia 10. listopada.2009 r.,http://www.giodo.gov.pl/data/filemanager_pl/1057.pdf
10. Strona www Biura GIODO z dnia 10. listopada.2009 r., http://www.giodo.gov.pl/plik/id_p/1560/j/pl/
11. Ma to być zatem staranność większa od zwykłej, przeciętnej czy nawet należytej (art. 355 kc).
12. Należy tutaj wskazać, że znaczne koszty wdrożenia zabezpieczeń nie mogą być okolicznością wykluczającą ich zastosowanie, jeśli zabezpieczenia takie należą do grupy zabezpieczeń wymaganych przepisami ustawy lub innymi przepisami prawa powszechnie obowiązującego. Niestety.
13. W komentarzu do ustawy autorstwa J. Barty.,P. Fajgielskiego, R.Markiewicza, Ochrona danych osobowych. Komentarz. Kraków 2004, s. 736 napisano, że „(…) w istocie chodzi o te osoby fizyczne, które z racji obowiązujących przepisów lub statutu danej jednostki organizacyjnej posiadają kompetencje decyzyjne w omawianej sferze, natomiast nie o osoby, które uzyskały takie uprawnienia w inny sposób, na przykład na podstawie polecenia służbowego pracodawcy”.
14. Wyrok WSA w Warszawie z dnia 13 marca 2008 r., sygn. Akt. II SA/Wa 143/08.
15. Klasyczny zbiór doraźny, tworzony na potrzeby zbioru podstawowego, to lista, na którą wpisują się osoby zainteresowane udziałem w szkoleniu, np. w zakresie ochrony danych osobowych. W tym wypadku zbiorem docelowym, głównym jest zbiór potencjalnych uczestników szkoleń.
16. Ostatni etap to np. zbiór danych osobowych utworzony z danych przeznaczonych do usunięcia, np. plik aplikacji do pracy, pochodzących ze zbioru danych osobowych kandydatów do pracy.

About Redakcja 244 Articles
Omni Modo to po łacinie „na każdy sposób”. Nazwa naszej firmy to nie przypadek. Na każdy sposób chcemy bowiem pokazywać klientom nasze doświadczenie, profesjonalizm i sukcesy w dziedzinie ochrony danych osobowych.