Dlaczego warto dbać o bezpieczeństwo danych?

Niejednokrotnie spotkałem się z hasłem: polityka bezpieczeństwa danych osobowych. Na co dzień buszuję w internecie, dlatego ta kwestia nie jest mi obca. Postanowiłem przyjrzeć się temu zagadnieniu, ponieważ wydaje mi się wyjątkowo istotne.

Polityka bezpieczeństwa, z którą mamy do czynienia w serwisach internetowych, stanowi zbiór wytycznych i instrukcji, które znajdują zastosowanie w ochronie danych osobowych w danej firmie. 

Każdy tego typu dokument został sporządzony na podstawie przepisów ustawy o ochronie danych osobowych z dnia 29 sierpnia 1997 r. oraz rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. 

Polityka bezpieczeństwa danych osobowych dotyczy między innymi wszelkich działań z wykorzystaniem danych oraz działań związanych z ich usunięciem.

Sprawy związane z polityką bezpieczeństwa nie są wcale błahe. Należy o nie zadbać, żeby zapobiec pozwą sądowym z tytułu prowadzenia działań niezgodnych z prawem. Bez dokumentu polityki danych nie można ubiegać się o rejestracje posiadanej bazy danych.

Ochrona danych klientów e-sklepu

Od trzech lat prowadzę sklep internetowy. Sprzedaję w sieci odzież męską, damską i dziecięcą. Nie wiem do końca, o co chodzi z GIODO. Przyjaciel, który prowadzi podobny biznes, wspomniał o tym dość zdawkowo. Zaniepokoił mnie fakt, że nie jestem w tym temacie. W końcu ochrona danych osobowych to w końcu ważna prawa, bo chodzi o informacje na temat moich klientów.

Aktualnie mój sklep internetowy hostuję na nowych serwerach. W celu jak najwyższego zabezpieczenia danych osobowych moich klientów chciałem podpisać z firmą hostującą umowę powierzenia przetwarzania danych osobowych. Niestety, dowiedziałem się, że nie jest możliwe podpisanie z nimi takiej umowy, przyznam, że trochę mnie to zaniepokoiło. I co teraz? Trochę spanikowałem.

Teraz za bardzo nie wiem, co robić: może zmienić hosta albo wprowadzić nowe formy zabezpieczeń? Wiem, że jeszcze powinienem napisać instrukcję zarządzania systemem informatycznym. Trochę tego wszystkiego za dużo.

Jestem ciekaw, w jaki sposób inni handlowcy zabezpieczają dane osobowe przetwarzane we własnym sklepie internetowym. Może wystarczą certyfikaty SSL?

Podstawą jest rejestracja bazy mailingowej w GIODO. Jestem jej adminstratorem, zatem zajmuję się przetwarzaniem, czyli wszelkimi czynnościami, które wykonuję, korzystając z bazy.

To mój pierwszy własny sklep internetowy i chciałbym zrobić wszystko zgodnie z obowiązującym prawem, przy okazji nie narażając się swoim klientom. Muszę się poradzić kogoś kompetentnego albo znaleźć odpowiedź w globalnej sieci.

Wszystko o GiODO

Na ostatnim wykładzie dotyczącym zagadnień związanych z konstytucją Rzeczpospolitej Polskiej poruszyliśmy temat Generalnego Inspektora Ochrony Danych Osobowych, czyli w skrócie GIODO. Dowiedzieliśmy się , że jest to organ do spraw ochrony danych osobowych działający na podstawie ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych.

O ile obecni na sali wykładowej studenci mieli pojęcie o pozostałych organach konstytucyjnych , ale akurat o Generalnym Inspektorze Ochrony Danych Osobowych nie znaliśmy zbyt wielu szczegółów. 

Dowiedzieliśmy się, że kontroluje on zgodność przetwarzania danych z przepisami ustawy, wydaje decyzje administracyjne oraz rozpatruje skargi w sprawach wykonania przepisów o ochronie danych osobowych. 

Ponadto, prowadzi rejestr zbiorów danych, opiniuje akty prawne dotyczące ochrony danych osobowych, inicjuje i podejmuje przedsięwzięcia w zakresie doskonalenia ochrony danych osobowych, uczestniczy w pracach międzynarodowych organizacji i instytucji zajmujących się problematyką ochrony danych osobowych.

Zapytałem wykładowcę, na jaką kadencję jest powoływany Generalny Inspektor Ochrony Danych Osobowych. Uzyskałem odpowiedź, że wynosi ona cztery lata i jest liczona od pierwszego dnia złożenia przysięgi. Generalny Inspektor Ochrony Danych Osobowych jest powoływany przez Sejm Rzeczpospolitej Polskiej za zgodą Senatu. W zakresie wykonywania swoich zadań podlega tylko ustawie. Podobnie jak posłom,  przysługuje mu immunitet.

Inspektor nie jest pozostawiony sam sobie ze wszystkimi zadaniami celu. Do wykonania swoich zadań ma do pomocy Biuro Generalnego Inspektora Ochrony Danych Osobowych, którego siedziba znajduje się w Warszawie.

Dane osobowe a dane wrażliwe

Jestem studentem prawa. Przygotowując się do egzaminu podczas letniej sesji natknąłem się na zagadnienie, które szczególnie mnie zaintrygowało. Dobrze wiem, czym są dane osobowe, czy polityka bezpieczeństwa informacji, jednak nie mam pojęcia, co kryje się pod pojęciem: dane wrażliwe. Aż wstyd się przyznać!

Musiałem uzupełnić braki, dlatego sięgnąłem do specjalistycznej literatury. Przeczytałem, że dane wrażliwe są czasem potocznie nazywane danymi sensytywnymi. To pojęcie nie występuje w ustawie o ochronie danych osobowych. 

W katalogu danych wrażliwych, zgodnie z ustawą o ochronie danych osobowych, uznaje się: pochodzenie rasowego lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną albo związkową, stan zdrowia, kod genetyczny, nałogi lub życie seksualne oraz skazania, orzeczenia o ukaraniu i mandatach karnych.

Co istotne, przetwarzanie wyżej wymienionych informacji dopuszczalne jest wyłącznie w przypadkach wymienionych w ustawie. Czyli m.in.: gdy osoba, której dane dotyczą, wyrazi na to pisemną zgodę, inna ustawa zezwala na przetwarzanie takich danych bez zgody osoby, której dane dotyczą i stwarza pełne gwarancje ich ochrony. 

Przetwarzanie jest prowadzone w celu ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów, przetwarzanie dotyczy danych, które zostały podane do wiadomości publicznej przez osobę, której dane dotyczą lub gdy jest to konieczne do prowadzenia badań naukowych, pod warunkiem anonimizacji danych.

Dobrze, że zapoznałem się z tym terminem, ponieważ dostałem pytanie z tego obszaru na egzaminie ustnym. Dzięki temu wywalczyłem 4!

Wytłumaczę synowi, czym są dane osobowe

Co prawda z zawodu nie jestem prawnikiem, ale interesują mnie niektóre zagadnienia z tej dziedziny, być może dlatego, że mój ojciec był sędzią i od najmłodszych lat mam styczność z językiem prawniczym. Ostatnio mój dziesięcioletni syn zapytał, co to są dane osobowe.

Żeby wyczerpująco odpowiedzieć na to pytanie, musiałem znaleźć w globalnej sieci materiały na ten temat. Miałem świadomość tego, że powinienem wyłożyć synowi tę wiedzę w przystępny i łatwy do przyswojenia sposób, ponieważ jest dopiero uczniem szkoły podstawowej. Przeczytałem  w sieci definicję i utrwaliłem ją sobie, czytając ustawę o ochronie danych osobowych z 1997 roku. 

Zorientowałem się, że najprościej będzie podać synowi przykłady danych osobowych. Wiedziałem, że składa się na nie imię, nazwisko, wiek oraz obywatelstwo. Doczytałem, że jest to również adres zameldowania i zamieszkania, numer identyfikacyjny, np. PESEL, informacje o cechach fizycznych,  wykształcenie oraz informacja o sytuacji finansowej.

Uświadomiłem obie, że kluczowe jest wyjaśnienie, na czym polega przetwarzane tych informacji, czyli m.in. zbierane, przechowywane i opracowywane w bazach. Tutaj może paść pytanie, kto może je tworzyć. Bazy mogą tworzyć zarówno urzędy czy szkoły, jak i prywatne firmy. 

Przy okazji wytłumaczę synowi, że czasami w sieci możemy natknąć się na prośbę o wyrażenie zgody na przetwarzanie danych osobowych, w szczególności jeśli jakiś serwis internetowy chce wykorzystywać dane w celach marketingowych albo chce przekazać je innej firmie.