Ochrona danych osobowych na portalach w Internecie

Przedsiębiorcy prowadzący portale, serwisy lub aukcje internetowe dysponują często znaczną bazą danych osobowych. Jest to niejako wpisane w ich działalność, w ramach której osoby zainteresowane zakładają swoje konta i uzyskują dostęp do pewnych zasobów.

Nie jest niczym nadzwyczajnym i na pewno nie budzi kontrowersji, że firmy te muszą pozyskiwać w tym celu odpowiednie dane.

Jednak wiąże się to dla nich ze szczególnym obowiązkiem przestrzegania odpowiednich przepisów w zakresie ochrony danych osobowych. I nie chodzi tu wyłącznie o podstawowy akt prawny w tym zakresie, jakim jest [link=http://www.rp.pl/aktyprawne/akty/akt.spr;jsessionid=ECA67EA126896D5665CD137DA8FF8A2C?id=166335]ustawa o ochronie danych osobowych (DzU z 2002 r. nr 101, poz. 926 ze zm.)[/link], lecz również [link=http://www.rp.pl/aktyprawne/akty/akt.spr;jsessionid=01D22CC5BD73CFCCD2EDDCED6EC42FAA?id=173419]rozporządzenie ministra spraw wewnętrznych i administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (DzU z 2004 r. nr 100, poz. 1024)[/link].

Niestety, zdarza się, że przedsiębiorcy zapominają o części ciążących na nim w tym względzie obowiązków, o czym świadczą decyzje generalnego inspektora ochrony danych osobowych, nakazujące usunięcie ujawnionych uchybień. Jedna z nich [b](DEC/DIS-247/9383/10)[/b] dotyczyła osoby prowadzącej serwis internetowy.

Naruszenie przepisów polegało w tym wypadku na:

- niedopełnieniu obowiązków informacyjnych wynikających z art. 24 ust. 1 ustawy,

- naruszeniu przepisów art. 36 ust. 1 ustawy,

- naruszeniu przepisów § 7 rozporządzenia.

[srodtytul]Adres trzeba podać[/srodtytul]

W przypadku zbierania danych od osoby, której one dotyczą, administrator danych jest obowiązany poinformować tę osobę o:

- adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem jest osoba fizyczna, o miejscu swojego zamieszkania oraz imieniu i nazwisku,

- celu zbierania danych, w szczególności o znanych mu w czasie udzielania informacji przewidywanych odbiorcach lub kategoriach odbiorców danych,

- prawie dostępu do treści swoich danych oraz ich poprawiania,

- dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej.

W trakcie kontroli, która poprzedziła wydanie wspomnianej decyzji, wykazano, że przedsiębiorca nie dopełnił wobec użytkowników serwisu internetowego obowiązku informacyjnego. Istotne jest to, aby wszystkie wymagane dane były widoczne na stronie internetowej i aby z łatwością dało się z nimi zapoznać.

Ponadto w trakcie tej kontroli ustalono, że system informatyczny nie zapewniał odnotowania daty pierwszego wprowadzenia danych do systemu oraz uniemożliwiał przygotowanie raportu z informacjami dla każdej osoby, której dane zostały w nim zarejestrowane.

[srodtytul]Raport do wglądu użytkownika[/srodtytul]

Na czym polegał błąd przedsiębiorcy? Przede wszystkim należy przypomnieć o treści art. 38 ustawy, który wskazuje, że administrator danych jest obowiązany zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały wprowadzone do zbioru oraz komu są przekazywane.

Dlatego też, zgodnie z § 7 ust. 1 rozporządzenia, dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym, powinien on zapewniać odnotowanie:

- daty pierwszego wprowadzenia danych do systemu,

- identyfikatora użytkownika wprowadzającego dane osobowe do systemu (chyba że dostęp do systemu informatycznego i przetwarzania w nim danych ma wyłącznie jedna osoba),

- źródła danych, w przypadku zbierania ich od innej osoby niż tej, której dotyczą,

- informacji o odbiorcach, którym dane zostały udostępnione, dacie i zakresie tego udostępnienia (chyba że system informatyczny używany jest do przetwarzania danych zawartych w zbiorach jawnych).

Co więcej w myśl ust. 3 tego paragrafu każda osoba, której to dotyczy, ma prawo zażądać przygotowania raportu zawierającego wymienione wyżej dane. Innymi słowy system ten musi być tak zaprogramowany, aby umożliwiał sporządzenie i wydrukowanie takiego zestawienia. A przedsiębiorca na wniosek użytkownika portalu ma obowiązek mu go udostępnić.

[srodtytul]Kryptografia[/srodtytul]

W trakcie innej kontroli GIODO, dotyczącej portalu społecznościowego, dostrzeżone uchybienia polegały na

- braku opracowania i wdrożenia pisemnych procedur dotyczących sposobu rozpatrywania przez przedsiębiorcę skarg osób na przetwarzanie ich danych na portalu, i

- niezastosowaniu środków kryptograficznej ochrony podczas procesu logowania, wprowadzania danych do formularza rejestracyjnego oraz zmieniania (edytowania) danych w tzw. profilu użytkownika.

Zgodnie z prawem administrator danych ma obowiązek prowadzić dokumentację opisującą sposób przetwarzania danych oraz środki techniczne i organizacyjne zapewniające ich ochronę. Musi być ona odpowiednia do zagrożeń i kategorii uzyskiwanych danych.

W myśl § 3 ust.1 rozporządzenia na wymienioną tu dokumentację składa się polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym. Co istotne musi być ona prowadzona w formie pisemnej i zawierać m.in.

- wykaz budynków, pomieszczeń lub ich części, tworzących obszar, w którym przetwarzane są dane,

- wykaz zbiorów danych wraz ze wskazaniem programów stosowanych do ich przetwarzania,

- opis struktury zbioru danych,

- określenie środków technicznych i organizacyjnych niezbędnych do zapewnienia poufności i integralności danych,

- procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazania osoby odpowiedzialnej za te czynności,

- stosowane metody i środki uwierzytelniania oraz procedury związane z ich zarządzaniem i użytkowaniem,

- procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu,

- procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania.

[srodtytul]Środki bezpieczeństwa[/srodtytul]

Wspomniane rozporządzenie ministra spraw wewnętrznych i administracji zawiera załącznik opisujący, jakie środki bezpieczeństwa musi stosować administrator danych.

Dzieli je na trzy części: środki bezpieczeństwa na poziomie podstawowym, podwyższonym i wysokim. Ta ostatnia część w pkt XIII wskazuje, że administrator danych stosuje środki kryptograficznej ochrony danych wykorzystywanych do uwierzytelniania, które są przesyłane w sieci publicznej. Właśnie na brak tego elementu zwrócił uwagę inspektorów GIODO.

Po wszczęciu postępowania firma szybko usunęła wskazane uchybienia, wprowadzając procedurę kasowania danych (która określała także sposób rozpatrywania skarg), oraz zastosowała środki kryptograficzne. Dzięki temu postępowanie w tej sprawie zostało umorzone [b](decyzja GIODO DIS/ DEC-242/9762)[/b].

[ramka][b]Nieuprawnieni bez dostępu[/b]

Podstawowym obowiązkiem każdego administratora danych jest, zgodnie z art. 36 ust. 1 ustawy, zastosowanie środków technicznych i organizacyjnych zapewniających ochronę przetwarzania danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, w szczególności powinien zabezpieczać dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.

W tym celu powinien prowadzić dokumentację opisującą sposób przetwarzania danych i środki służące do ich ochrony. Zgodnie z § 3 rozporządzenia MSWiA na tę dokumentację składa się polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. Dokumentację prowadzi się w formie pisemnej. [/ramka]

[ramka][b]Na temat danych osobowych pisaliśmy w serwisach:

[link=http://www.rp.pl/temat/68861.html]rp.pl » Prawo dla Ciebie » Twoje prawo » Dane osobowe [/link]

[link=http://www.rp.pl/temat/56636.html] rp.pl » Dobra Firma » Kadry i płace » Dane osobowe i dobra osobiste[/link] [/b][/ramka]