Dane osobowe: Jaka powinna być rola administratorów bezpieczeństwa

Dlaczego dochodzi do wycieków danych osobowych?

Marcin Lewoszewski prawnik w CMS Camern McKenna

: Wbrew pozorom najczęściej przyczyną jest błąd ludzki, a nie na przykład wyszukane metody włamywaczy.

Często zdarza się bowiem tak, że pomimo przeznaczenia przez przedsiębiorcę wysokich nakładów finansowych na zabezpieczenie systemów informatycznych przed włamaniami dane wyciekają z powodu niedopatrzenia.

Tak dzieje się nawet w bankach czy innych instytucjach finansowych. Pamiętajmy zatem, że to człowiek jest najsłabszym ogniwem w systemie zabezpieczenia danych w przedsiębiorstwie.

Czy przedsiębiorcy mogą się przed tym zabezpieczyć?

Przedsiębiorcy powinni dokładać należytej staranności przy przetwarzaniu danych osobowych, w tym stosować środki zabezpieczeń co najmniej takie, jakie wynikają z przepisów rozporządzenia do ustawy o ochronie danych osobowych. Problem jednak w tym, że przedsiębiorcy często poprzestają na stosowaniu środków tam wskazanych, a te są przestarzałe i przez to mało efektywne.

Drugi ważny aspekt to czynnik ludzki. Przedsiębiorcy stale powinni dbać o właściwy poziom świadomości swoich pracowników co do zagrożeń związanych z przetwarzaniem danych osobowych. W każdym przypadku wycieku danych osobowych wracamy do problemu administratora bezpieczeństwa informacji i jego roli.

Czy potrzebna jest więc zmiana prawa?

Sama zmiana prawa nie wystarczy. Faktem jest, że przepisy rozporządzenia mówiącego o zabezpieczeniu danych powinny zostać zaktualizowane i dostosowane do szybko zmieniającej się rzeczywistości. Szkoda, że nie stało się tak w ramach ostatniej nowelizacji ustawy o ochronie danych osobowych.

Na pewno należy zastanowić się nad rolą administratorów bezpieczeństwa informacji, których kwalifikacje powinny podlegać choćby minimalnej kontroli. Obecnie taka funkcja pełniona jest często przez osoby przypadkowe, co daje przedsiębiorcom pozorne poczucie spełnienia ustawowego obowiązku, ale niewiele pomaga w kwestii bezpieczeństwa.

Moim zdaniem powinno się nieustannie informować o konieczności zabezpieczenia danych osobowych i konsekwencjach ewentualnego wycieku, a także szkolić z podstawowych zasad przetwarzania danych.

Tego typu obowiązkami informacyjnymi nie można jednak obarczać tylko generalnego inspektora danych osobowych, który i tak jest bardzo aktywny na tym polu, część z nich powinni przejąć pracodawcy

Jakie obowiązki, w myśl przepisów, ma obecnie administrator bezpieczeństwa informacji. Kto powinien go kontrolować?

Problem w tym, że obowiązki te nie zostały do tej pory sprecyzowane w przepisach, stąd w praktyce na administratorów bezpieczeństwa informacji spada ciężar całościowego nadzoru nad przetwarzaniem danych osobowych przez przedsiębiorcę.

To oczywiście trudne zadanie, wymaga bowiem zarówno ekspertyzy technicznej związanej z funkcjonowaniem systemów IT, jak i przygotowania prawnego, a to dość rzadkie połączenie.

Człowiek jest najsłabszym ogniwem w systemie zabezpieczenia danych w przedsiębiorstwie – wyjaśnia Marcin Lewoszewski, prawnik w CMS Cameron McKenna

Odpowiedni poziom wiedzy i doświadczenia tych osób powinien badać generalny inspektor ochrony danych osobowych – moim zdaniem – przy udziale czynnika społecznego, np. odpowiednich stowarzyszeń zrzeszających administratorów bezpieczeństwa informacji.

Czy generalny inspektor może mieć jakiś praktyczny wpływ na zabezpieczenie danych?

Sam fakt, że GIODO ma możliwość kontrolowania spełnienia określonych obowiązków związanych z bezpieczeństwem, ma bezpośredni wpływ na podejście przedsiębiorców do kwestii bezpieczeństwa danych.

Co więcej, w projektowanych zmianach prawa telekomunikacyjnego przewiduje się dodatkowe uprawnienia GIODO związane z bezpieczeństwem danych, co należy oceniać pozytywnie.

Kolejny ważny aspekt to standardy branżowe – GIODO może poddawać ocenie tzw. kodeksy dobrych praktyk, które mogą przewidywać stosowanie podwyższonych standardów bezpieczeństwa. Z pewnością na tym polu pożądana byłaby większa aktywność przedsiębiorców.