REKLAMA: automatycznie wyświetlimy artykuł za 15 sekund.

Dane osobowe: Jaka powinna być rola administratorów bezpieczeństwa

Należy zastanowić się nad rolą administratorów bezpieczeństwa informacji, których kwalifikacje powinny podlegać choćby minimalnej kontroli

Publikacja: 13.10.2011 04:20

Red

Dlaczego dochodzi do wycieków danych osobowych?

Marcin Lewoszewski prawnik w CMS Camern McKenna

: Wbrew pozorom najczęściej przyczyną jest błąd ludzki, a nie na przykład wyszukane metody włamywaczy.

Często zdarza się bowiem tak, że pomimo przeznaczenia przez przedsiębiorcę wysokich nakładów finansowych na zabezpieczenie systemów informatycznych przed włamaniami dane wyciekają z powodu niedopatrzenia.

Tak dzieje się nawet w bankach czy innych instytucjach finansowych. Pamiętajmy zatem, że to człowiek jest najsłabszym ogniwem w systemie zabezpieczenia danych w przedsiębiorstwie.

Czy przedsiębiorcy mogą się przed tym zabezpieczyć?

Przedsiębiorcy powinni dokładać należytej staranności przy przetwarzaniu danych osobowych, w tym stosować środki zabezpieczeń co najmniej takie, jakie wynikają z przepisów rozporządzenia do ustawy o ochronie danych osobowych. Problem jednak w tym, że przedsiębiorcy często poprzestają na stosowaniu środków tam wskazanych, a te są przestarzałe i przez to mało efektywne.

Drugi ważny aspekt to czynnik ludzki. Przedsiębiorcy stale powinni dbać o właściwy poziom świadomości swoich pracowników co do zagrożeń związanych z przetwarzaniem danych osobowych. W każdym przypadku wycieku danych osobowych wracamy do problemu administratora bezpieczeństwa informacji i jego roli.

Czy potrzebna jest więc zmiana prawa?

Sama zmiana prawa nie wystarczy. Faktem jest, że przepisy rozporządzenia mówiącego o zabezpieczeniu danych powinny zostać zaktualizowane i dostosowane do szybko zmieniającej się rzeczywistości. Szkoda, że nie stało się tak w ramach ostatniej nowelizacji ustawy o ochronie danych osobowych.

Na pewno należy zastanowić się nad rolą administratorów bezpieczeństwa informacji, których kwalifikacje powinny podlegać choćby minimalnej kontroli. Obecnie taka funkcja pełniona jest często przez osoby przypadkowe, co daje przedsiębiorcom pozorne poczucie spełnienia ustawowego obowiązku, ale niewiele pomaga w kwestii bezpieczeństwa.

Moim zdaniem powinno się nieustannie informować o konieczności zabezpieczenia danych osobowych i konsekwencjach ewentualnego wycieku, a także szkolić z podstawowych zasad przetwarzania danych.

Tego typu obowiązkami informacyjnymi nie można jednak obarczać tylko generalnego inspektora danych osobowych, który i tak jest bardzo aktywny na tym polu, część z nich powinni przejąć pracodawcy

Jakie obowiązki, w myśl przepisów, ma obecnie administrator bezpieczeństwa informacji. Kto powinien go kontrolować?

Problem w tym, że obowiązki te nie zostały do tej pory sprecyzowane w przepisach, stąd w praktyce na administratorów bezpieczeństwa informacji spada ciężar całościowego nadzoru nad przetwarzaniem danych osobowych przez przedsiębiorcę.

To oczywiście trudne zadanie, wymaga bowiem zarówno ekspertyzy technicznej związanej z funkcjonowaniem systemów IT, jak i przygotowania prawnego, a to dość rzadkie połączenie.

Człowiek jest najsłabszym ogniwem w systemie zabezpieczenia danych w przedsiębiorstwie – wyjaśnia Marcin Lewoszewski, prawnik w CMS Cameron McKenna

Odpowiedni poziom wiedzy i doświadczenia tych osób powinien badać generalny inspektor ochrony danych osobowych – moim zdaniem – przy udziale czynnika społecznego, np. odpowiednich stowarzyszeń zrzeszających administratorów bezpieczeństwa informacji.

Czy generalny inspektor może mieć jakiś praktyczny wpływ na zabezpieczenie danych?

Sam fakt, że GIODO ma możliwość kontrolowania spełnienia określonych obowiązków związanych z bezpieczeństwem, ma bezpośredni wpływ na podejście przedsiębiorców do kwestii bezpieczeństwa danych.

Co więcej, w projektowanych zmianach prawa telekomunikacyjnego przewiduje się dodatkowe uprawnienia GIODO związane z bezpieczeństwem danych, co należy oceniać pozytywnie.

Kolejny ważny aspekt to standardy branżowe – GIODO może poddawać ocenie tzw. kodeksy dobrych praktyk, które mogą przewidywać stosowanie podwyższonych standardów bezpieczeństwa. Z pewnością na tym polu pożądana byłaby większa aktywność przedsiębiorców.

Jakie mają być zmiany w prawie telekomunikacyjnym, które dadzą GIODO dodatkowe uprawnienia?

Projektowane przepisy dotyczące sektora telekomunikacyjnego będą wskazywały procedurę postępowania w razie wycieku danych osobowych, w szczególności nałożą obowiązek informowania GIODO i osób, których dane wyciekły, o możliwych konsekwencjach tego typu incydentu.

Generalny inspektor natomiast będzie mógł wydawać zalecenia związane z ochroną danych osobowych, w tym z praktycznym aspektem zabezpieczenia danych osobowych. Projekt zakłada ściślejszą współpracę pomiędzy GIODO a przedsiębiorcami telekomunikacyjnymi.

Moim zdaniem zmiany idą w dobrym kierunku.

—rozmawiał Jerzy Kowalski

Dane Osobowe Dobra Osobiste Finanse w Firmie

Dlaczego dochodzi do wycieków danych osobowych?

Marcin Lewoszewski prawnik w CMS Camern McKenna

Pozostało jeszcze 98% artykułu

Prawo w firmie

Dostawa leków na innych i racjonalnych zasadach

Zlikwidowany ma być przepis o równym podziale leków deficytowych do dziesięciu największych hurtowni farmaceutycznych w kraju. Taki wymóg okazał się trudny do zrealizowania.

Materiał Promocyjny

Koszty leczenia w przypadku urazów na stoku potrafią poważnie zaskoczyć

Dlatego nie warto liczyć na to, że „na pewno nic się nie stanie” albo „jakoś tam będzie”

Premier Donald Tusk i ministrowie jego rządu

Prawo w firmie

Legislacja gospodarcza w stylu słabej drużyny futbolowej

Mijający rok przyniósł kilka ciekawych ustaw i kilka szkodliwych z punktu widzenia przedsiębiorców. Wciąż brak jest zdecydowanych reform probiznesowych – wynika z raportu firmy Grant Thornton, który „Rzeczpospolita” poznała jako pierwsza.

Prawo w firmie

"Rzeczpospolita" znów liderem w kwestii własności intelektualnej

Autorzy „Rzeczpospolitej” zdominowali podium XII edycji konkursu Urzędu Patentowego na informację medialną o tematyce własności intelektualnej, w tym przemysłowej.

Prawo w firmie

Podwykonawstwo a prawo zamówień publicznych. Co mówi orzecznictwo KIO?

Podwykonawstwo całości zamówienia w prawie zamówień publicznych nie jest dopuszczalne - powierzyć można wykonanie części zamówienia. A co mówi orzecznictwo Krajowej Izby Odwoławczej.

Materiał Promocyjny

Zyskaj 6,7% na koncie oszczędnościowym do 200000 zł. Oferta ważna do 25.02.2025

Prawo w firmie

EUDR nabiera coraz wyraźniejszych kształtów. Co zakłada unijna regulacja?

EUDR obejmuje siedem odnośnych towarów, których produkcja, w ocenie ustawodawcy unijnego, w największym stopniu przyczynia się do wylesiania i degradacji lasów - soję, kawę, kakao, bydło, palmę olejową, drewno i kauczuk.

Materiał Promocyjny

Lexus RX. Odkryj największą przyjemność jazdy. Spektakularny finał wyprzedaży.

Rzecz o prawie

Mikołaj Małecki: „Nie bać Tuska” kontra osiem gwiazdek

Zarówno okrzyk „Nie bać Tuska”, jak i „***** ***” mają charakter wulgarny. Czy oznacza to, że automatycznie zostaje popełnione wykroczenie?

Rzecz o prawie

Arkadiusz Sobczyk: Firma jako administrator, czyli ważkie skutki błędu

Jeśli osoba prowadzi kilka przedsiębiorstw, to mamy do czynienia z kilkoma administratorami. W razie nałożenia kar z RODO ich obroty nie powinny być kumulowane.

Administracja

Czy zarządzający spółką komunalną odpowiada za naruszenie dyscypliny finansów publicznych?

Prawidłowe i efektywne wykonywanie zadań publicznych przez jednostki samorządu terytorialnego związane jest z prawidłowym i efektywnym działaniem spółek komunalnych. Ocena działania tych spółek i osób nimi zarządzających dokonywana jest także w oparciu o przepisy publicznego prawa finansowego, w szczególności w zakresie dyscypliny finansów publicznych.

Dane osobowe

Karmiące matki nie wiedziały o kamerach. Szpital zapłaci ponad 1,1 mln zł kary

Centrum Medyczne Ujastek z Krakowa ma zapłacić ponad 1,1 mln zł kary za zamontowanie urządzeń rejestrujących obraz w dwóch salach oddziału neonatologii - zdecydował prezes Urzędu Ochrony Danych Osobowych, Mirosław Wróblewski.

Biznes

Teresa Siudem: Mały kapitał w spółce z o.o. to spore ryzyko

Wielu przedsiębiorców wybiera spółkę z o.o. jako formę prowadzenia działalności gospodarczej. Na jej uruchomienie wystarczy minimalny kapitał – 5 tys. zł.

Biznes

Pięć tysięcy to za mało by prowadzić spółkę z o.o.

Spółka z ograniczoną odpowiedzialnością z minimalnym kapitałem zakładowym od początku swojej działalności musi osiągać zysk. Jakie działania powinien podjąć zarząd, gdy strata przewyższa wysokość minimalnego kapitału zakładowego spółki?

Biznes

Jak wejść we wspólne przedsięwzięcie (joint venture) z inwestorem?

W poszukiwaniu wyskalowania działalności i zwiększenia zysków, polskie przedsiębiorstwa coraz częściej łączą swoje siły, bardzo często z partnerami z zagranicy, i podejmują się wspólnych przedsięwzięć, zwanych jako joint ventures (JV).

Biznes

Zakup jachtu – jak inwestować w luksusowe środki transportu?

Posiadanie jachtu od lat jest symbolem luksusu i marzeniem wielu odnoszących sukcesy przedsiębiorców. Decyzja o zakupie takiej jednostki pływającej wiąże się jednak z wieloma formalnościami, kosztami i obowiązkami, które warto dobrze zrozumieć.