(nieautoryzowany, elektroniczny zapis prelekcji)
Pani Grażyna Pałyska
Witam Państwa. Bardzo mi miło, że mogę z Państwem rozmawiać i bardzo dziękuję za zaproszenie. Zdaję sobie sprawę, że spotkanie jest co najmniej bardzo rodzinne mimo, że rodzinę Państwo macie dość sporą, ale wszyscy się świetnie znacie i wszyscy znacie jakby swój zakres zagadnień.
Ja, jako biegły rewident, zajmujący się oprócz audytytu finansowego także zagadnieniami audytytu informatycznego, reprezentuję tutaj organizację, która się nazywa Stowarzyszeniem Kontroli Audytu Systemów Informatycznych ISACA. To jest organizacja amerykańska, ogólnoświatowa, jesteśmy oddziałem polskim.
Proszę Państwa, z naszych badań wynika, że procedury ochrony informacji, praktycznie każdej, a informacji osobowych w szczególności, oraz informacji finansowych, nie stoją w Polsce na zbyt wysokim poziomie. Owszem, prawo to my mamy zupełnie dobre, odpowiadające już standardom Unii Europejskiej, ponieważ od 1 maja weszła w życie znowelizowana ustawa o ochronie danych osobowych i zupełnie nowe rozporządzenie Ministra Spraw Wewnętrznych i Administracji.
Natomiast ze stosowaniem w praktyce tych przepisów jest troszkę gorzej. Państwo, jako firmy, jako osoby będące pośrednikami różnego typu, pośredniczącymi między klientem a ubezpieczycielami, z jednej strony sami prowadzicie działalność i sami jesteście podmiotami, które muszą stosować wszystkie przepisy ustawy, także ustawę o ochronie danych osobowych, ale z drugiej strony, pamiętajcie o tym, że idąc do klienta, rozmawiając z nim, nie tylko szacujecie ryzyka związane z kradzieżą, ogniem, czy np. zaprzestaniem produkcji, ale także powinniście w jakiś sposób zainteresować go ryzykiem przecieku posiadanych informacji. Jest to jakby zupełnie nowe pole. Wy jesteście menedżerami ryzyka, wszystkich ryzyk, które funkcjonują u klienta. Nie tylko, że mu ukradną, że zaleje, że coś, nie wiem co wybuchnie, ale także ryzyka utraty informacji, ryzyka wejścia w zainteresowanie BIODO, czyli Generalnego Inspektowa Ochrony Danych Osobowych.
Pamiętajcie, że wy, jako specyficzne jednostki, podlegacie nadzorowi Komisji Nadzoru, która bardzo dokładnie czyta wszystkie przepisy, jest bardzo restrykcyjna i nakazuje wam, jako jednostkom gospodarczym, przestrzeganie tych wszystkich przepisów, także przepisów ustawy o ochronie danych osobowych.
O czym ona mówi? To jest ustawa niesłychanie szeroka. Ma zastosowanie, tak naprawdę, do wszystkich. Mówi o danych osobowych. Te dane osobowe to właśnie jest podstawa prawna, te dane osobowe funkcjonują we wszystkich jednostkach. Ustawa zobowiązuje organy państwowe, organy samorządu terytorialnego, jednostki państwowe, komunalne, ale także osoby fizyczne i osoby prawne. Praktycznie mało jest osób funkcjonujących w życiu gospodarczym, które nie podlegają tej ustawie.
Ustawie nie podlegają, tak naprawdę, osoby fizyczne posiadające kalendarzyk z nazwiskami swoich znajomych do celów prywatnych, domowych. Żebym znała, nie zapomniała telefonu do przyjaciółki. To jest poza zakresem zainteresowania ustawy o ochronie danych osobowych. Tak naprawdę, wszystko inne mieści się w zakresie ustawy.
No i teraz najważniejsza sprawa. Co to są dane osobowe? Ta definicja jest definicją tyle ogólną, co powszechną. Danymi osobowymi są wszelkie informacje, dotyczące zidentyfikowanej, lub możliwej do zidentyfikowania osoby fizycznej. W rozsądnym znaczeniu oczywiście, jak dalej ustawa mówi. Jeżeli ktoś powie, albo przetwarza, trzyma w swojej bazie danych informacje: Grażyna Pałyska, członek Zarządu ISACA, to takich osób jest na świecie tylko jedna i można bez zbędnego nakładu środków ustalić, że chodzi o mnie. A jeżeli Państwo, albo wasi klienci, macie w swoich bazach danych np. nazwiska dostawców, nazwiska odbiorców, to są już wszystko dane osobowe. Pan Kowalski, szef działu zaopatrzenia w firmie X, więc można bardzo łatwo ustalić, o kogo chodzi. To są właśnie dane osobowe. Jeżeli to jest trzymane w jakimkolwiek zestawieniu logicznie uszeregowanym, to już jest to baza danych, która to baza właśnie podlega tej ustawie.
A co to jest przetwarzanie danych? Wbrew takiemu intuicyjnemu myśleniu, przetwarzanie danych to nie jest tylko porządkowanie tych danych, układanie ich. Jest to także, jak mówi definicja, zbieranie, utrwalanie i przechowywanie, czyli, jeżeli ja mam zbiór nazwisk, choćby na Exelu, to już jest to właśnie przetwarzanie danych, bo te dane po prostu są.
Proszę zwrócić uwagę jak szeroki wachlarz czynności obejmuje to pojęcie - przetwarzanie danych. To jest właśnie zbiór danych, czyli każdy posiadający strukturę zestaw danych. Jeżeli to jest według alfabetu, to już ma strukturę. Jeżeli to jest według nazw firm - też ma strukturę. Ludzie w swoim działaniu przeważnie, albo przede wszystkim, posługują się jakąś logiką, bo jeżeli ja mam dziesięć, dwadzieścia kontaktów, to już staram się układać je według jakiegoś logicznego porządku. I to już jest zbiór danych.
Ale, proszę Państwa, są takie dane, które są wyjątkowo ważne, według ustawodawcy. Jako brokerzy macie do czynienia bardzo często z takimi danymi, uzyskiwanymi przy sporządzaniu polis. Bardzo często zadajecie swoim klientom osobiste pytania na temat pochodzenia rasowego, poglądów politycznych, no, to może rzadziej, ale stanu zdrowia, nałogów, życia seksualnego, karalności, to wszystko przecież wchodzi w skład wywiadu, gdy ustalacie ryzyka, prawda? To wszystko właśnie funkcjonuje w tym momencie. Te wyjątkowo wrażliwe dane. Wyliczone w artykule 27 ustawy są, tak naprawdę z mocy prawa zastrzeżone.
Na samym początku jest napisane: zabrania się przetwarzania danych typu..., dopiero potem, w następnych ustępach tego przepisu mówi się, pod jakimi warunkami można te dane przetwarzać, czyli także przechowywać, lub przekazywać dalej, do ubezpieczyciela.
Można to robić kiedy osoba, której te dane dotyczą, czyli klient, złoży pisemne oświadczenie, że się zgadza na takie przetwarzanie. To jest po prostu przepis, ale tutaj chodzi o to, żeby klient miał pełną świadomość, że taka procedura jest wymagana i że on się zgadza na takie przetwarzanie.
A kto to wszystko robi? W art. 7 zdefiniowano jakby podstawową osobę, funkcjonującą w tym całym procesie. Jest to właśnie administrator danych. Organ, instytucja, jednostka organizacyjna, podmiot, osoba. Ten, kto decyduje o celach i środkach przetwarzania danych osobowych. W większości przypadków jest to po prostu zarząd danej jednostki. Bo to zarząd decyduje o tym, w jaki sposób są przetwarzane jakieś tam informacje. To zarząd decyduje o środkach, czyli np. jakiej klasy sprzęt jest kupowany, w jaki sposób jest on przechowywany, jakie są procedury przechowywania tych wszystkich danych. Wbrew pozorom okazuje się, że ustawa o ochronie danych osobowych nie jest prywatnym problemem informatyka, administratora systemu informatycznego, tylko jest po prostu problemem właśnie przede wszystkim zarządu. Zarządu czy to firmy brokerskiej, czy waszego klienta, czyli klienta firmy brokerskiej. Ja myślę, że po prostu Państwo, jako osoby, które mają szeroki dostęp do wielu klientów, powinniście zwracać uwagę, także właśnie swoim klientom na te bardzo konkretne ryzyka, że to właśnie osoby zarządzające tymi przedsiębiorstwami są osobiście odpowiedzialni, o czym będzie później, odpowiedzialni także karnie za ochronę tych wszystkich informacji.
Generalnie rzecz biorąc, z art. 40 tej ustawy wynika, że administrator danych osobowych ma obowiązek zgłoszenia swojego zbioru danych do Generalnego Inspektora Ochrony Danych Osobowych.
Dlaczego to mówię? W kolejnym ustępie tego przepisu mówi się, kto nie musi zgłaszać swojego zbioru danych do rejestracji Inspektorowi Nadzoru. W Państwa przypadku, w większości sytuacji, z wyjątkiem właśnie takich danych wrażliwych, nie macie takiego obowiązku. Nie musicie zgłaszać tych danych. Tyle tylko, że jeżeli nie musicie zgłaszać do rejestracji swojego zbioru danych, to wcale nie oznacza, że inne przepisy ustawy o ochronie danych osobowych was nie dotyczą. Bardzo często jest popełniany taki błąd.
Ktoś w dobrej wierze wysyła do Generalnego Inspektora zgłoszenie do rejestracji. Generalny Inspektor odpisuje, że zgodnie właśnie z art. 40 nie ma takiego obowiązku zgłaszania do rejestracji i wtedy cała ustawa idzie do archiwum. Bardzo wiele osób myśli - w porządku, nie mam obowiązku, cześć, szuflada. Tu nie o to chodzi. To, że się nie ma obowiązku zgłaszania do rejestracji zbioru danych nie znaczy, że inne procedury ustawy nie działają. One wszystkie działają, z wyjątkiem tego jednego obowiązku.
Na to proszę zwrócić uwagę, bo to jest bardzo istotne. Często się to po prostu zdarza. No i jakie ma obowiązki ten administrator danych? Ze względu na bardzo ograniczony czas tego wykładu postaram się Państwu pokazać tylko te najważniejsze punkty, takie wybrane rodzynki z tego całego ciasta. Jest ono długie, to ciasto, ma dobre parędziesiąt artykułów, więc uważam, że prędzej czy później i tak Państwo musicie do tego zajrzeć. I musicie to w jakiś sposób prześledzić.
W art. 36 powiedziano, że administrator danych, (czyli zarząd, nie zapominajmy), jest obowiązany do zastosowania środków technicznych i organizacyjnych, zapewniających ochronę przetwarzanych danych osobowych, (to bardzo ważna sprawa, zwracam na to uwagę), odpowiednią do zagrożeń i kategorii danych, objętych ochroną, ponieważ w rozporządzeniu z 29 kwietnia 2004 r. ustalono kategorie, trzy kategorie danych, trzy kategorie zabezpieczenia. W tych kategoriach ustalono przede wszystkim warunki techniczne i organizacyjne, jakie jednostka ma obowiązek zapewnić. W szczególności administrator danych powinien zabezpieczyć dane przed udostępnieniem, czyli nikt nie powinien ich zabrać. Zabraniem, w znaczeniu wzięciem, bo udostępnienie to może być takie, że ktoś ogląda sobie, czyta, spisuje, ma wiadomość o tych danych, ale może je również po prostu sobie wziąć. Administrator danych musi zabezpieczyć też przed przetwarzaniem, czyli musi zapewnić wszystkie warunki, żeby były one zgodne z ustawą o ochronie, przed zmianą, utratą, uszkodzeniem lub zniszczeniem. Te dane niejako występują w roli zupełnie nienaruszalnej. Mówi się w tym momencie o poufności i integralności danych.
Ważną rzeczą jest to, że te dane mogą być przetwarzane tylko i wyłącznie przez osoby do tego upoważnione. One powinny mieć w swoich zakresach obowiązków napisane dokładnie, że są upoważnione do przetwarzania danych osobowych. To jest bardzo ważne. Niektóre szczegóły znajdują się w rozporządzeniu, a niektóre w ustawie. Te, które się znajdują w ustawie zostały potraktowane przez ustawodawcę jako te najbardziej ważne. Więc znaczenie osób, przetwarzających dane, jest potraktowane przez ustawodawcę jako wyjątkowo ważne zdarzenie w procedurze ochrony danych.
Jeżeli Państwo uczestniczycie w jakimkolwiek przesyłaniu danych, np. e-mailem to te dane muszą być zabezpieczone od strony wysyłającego, ale też odbierającego, bo odbierający ze swej strony także jest administratorem danych. Bo tutaj uczestniczy dwóch administratorów danych, w myśl ustawy to każdy z nich musi zapewnić kontrolę nad tym jakie dane, kiedy i przez kogo zostały do zbioru wprowadzone, albo komu zostały przekazane. Poczta e-mailowa jest o tyle wygodna, co niebezpieczna. Nikomu do głowy nie przychodzi wysyłanie pocztą listów, albo informacji tajnych bez koperty. W przypadku poczty e-mailowej wszyscy wysyłają po prostu kartki pocztowe. Przy obecnych możliwościach technologii internetowych to przechwycenie takich otwartych wiadomości jest zadaniem dla nastolatka, który na pewno nie ma jeszcze studiów informatycznych.
Myślę, że szpiegostwo przemysłowe, nawet zupełnie się nie wysilając, może mieć bardzo dużo informacji właśnie z powodu podsłuchiwania tylko, albo przechwytywania poczty e-mailowej, to naprawdę niesłychanie prosta sprawa. Wystarczy na odpowiednim węźle przesyłowym po prostu dostawić swój malutki programik, który będzie wszystko kopiował i wysyłał na określony adres. Bardzo łatwa rzecz. Ustawa o ochronie danych osobowych nakłada na administratora danych obowiązek kontroli tego, gdzie dane, wysyłane przez niego trafiają, czyli ma obowiązek chronienia tych danych, żeby nie wpadły w niepowołane ręce.
W celu właściwego zarządzania tymi danymi należy opracować odpowiednią dokumentację. Należy przedsięwziąć odpowiednie kroki, bo z ochroną danych, proszę Państwa jest tak, jak z bankami. Wiadomo, że następują włamania, wiadomo, że są napady na banki, wiadomo, że takie rzeczy się po prostu zdarzają. I tak za bardzo nie ma do tych banków pretensji, że są napady, ale mamy pretensje, kiedy bank się nie broni przed tymi napadami, czyli nie ma odpowiedniego systemu zabezpieczenia, nie ma alarmu, nie ma sejfu, nie ma strażników.
W tej sytuacji, tu w przypadku danych osobowych, jest dokładnie tak samo.
Wiadomo, że są włamania, przecieki informacji, bo się nie da inaczej. Natomiast chodzi o to, żeby administrator mógł się wylegitymować i pokazać całemu światu, że on te dane chroni, chroni w sposób odpowiedni do swoich możliwości. Tu nie chodzi o to, żeby jednoosobowa firma, która prowadzi kiosk, albo w waszym przypadku np. jednoosobowy broker zatrudniał oficerów bezpieczeństwa, miał jakieś strasznie drogie urządzenia, programy. Tu chodzi o to, żeby w zależności od swoich możliwości finansowych, organizacyjnych, zapewnić bezpieczeństwo tym strukturom, tym danym. To ustawa właśnie bardzo dokładnie definiuje : w zależności od swojego poziomu finansowego i organizacyjnego. Więc jeżeli mamy do czynienia z bogatą, dużą strukturą, to my od niej wymagamy praktycznie pełnego serwisu, wszystkiego co najlepsze, ale jednoosobowy broker, który prowadzi swoją działalność w oparciu o kilku klientów, powinien właśnie zapewnić jakby ten podstawowy poziom bezpieczeństwa. To jest bardzo ważne.
Wyznaczenia administratora bezpieczeństwa informacji, jako oddzielnej osoby, dotyczy po prostu dużych struktur. Małe przedsiębiorstwa mogą po prostu stwierdzić, że oni sami, czyli administrator danych jest jednocześnie administratorem bezpieczeństwa informacji. Ten administrator w tych dużych strukturach, administrator bezpieczeństwa informacji, czyli tzw. oficer bezpieczeństwa, jest odpowiedzialny właśnie za przestrzeganie zasad ochrony danych.
Chodzi tutaj o to, i pomysł był taki, zresztą zgodny z dyrektywami unijnymi, że zarząd nie może się znać na wszystkich technicznych sprawach. Ale musi mieć, musi wyznaczyć do tego odpowiedniego człowieka, który się będzie znał. Ten człowiek będzie odpowiadał za techniczną stronę całej procedury, ale zarząd przez cały czas ponosi odpowiedzialność z tytułu nadzoru, z tytułu wdrożenia wszystkich tych procedur.
Administrator bezpieczeństwa informacji odpowiada za przeciwdziałania dostępowi osób nie powołanych do wglądu do systemu, jako takiego, czyli za wszystkie włamania.
Zwracam uwagę na włamania, nie chodzi tu tylko o włamania wyłącznie informatyczne, z sieci informatycznych, czyli tzw. hakerkę. Chodzi tu także o włamanie, zwyczajnie łomem, wyważenie kłódki i zabranie po prostu całego sprzętu. To też jest dostęp osób niepowołanych do systemu. One po prostu biorą sobie cały sprzęt i mają dostęp do systemu. Jak ktoś weźmie serwer pod pachę i pójdzie, to potem może już w ciszy swojego własnego mieszkania to wszystko przetwarzać.
Przeciwdziałanie nie uzasadnionej modyfikacji - czyli jeżeli system nie jest odpowiednio zabezpieczony, to wtedy po prostu ktoś może wejść do systemu i zmienić dane. Zmienić te wszystkie informacje, które są tam zawarte. Do nielegalnego ujawnienia, w dobie obecnego wyścigu zbrojeń gospodarczych, jak ja to nazywam. W sytuacji takiej, gdzie każda informacja ma swoją cenę, jest majątkiem, a w Państwa sytuacji, jako brokerów, ta informacja jest niezwykle cenna, bo ujawnienie tej informacji oznacza po prostu utratę zaufania klienta, co może być równoznaczne z utratą tego klienta. W tym momencie bezpieczeństwo posiadanych informacji zaczyna mieć kapitalne znaczenie.
Ktoś mnie kiedyś zapytał: no dobrze, założenie takich zabezpieczeń, no, kosztuje po prostu, co w zamian? Można odpowiedzieć niekiedy tak: wszystko, po prostu życie jednostki, bo jeżeli nie ma dostępu, zostaną ujawnione wszystkie dane, jednostka zostanie skompromitowana, no i wtedy przestaje istnieć. To jest oczywiście taka sytuacja zupełnie brzegowa, czyli ekstremalna. Bardzo często jest tak, że po prostu klient sam się zastanawia, skąd w internecie są moje dane ? Jeżeli się okaże, a są na to odpowiednie techniki i metody, skąd nastąpił przeciek tych danych, to można po prostu mieć kłopoty, prawdziwe kłopoty typu cywilnego, typu odszkodowawczego na drodze postępowania cywilnego.
Administrator danych jest, proszę Państwa, obowiązany do wdrożenia dwóch podstawowych dokumentów. I tutaj jest ważne to, co powiedziałam wcześniej. Tu nie chodzi o to, żeby mieć stuprocentową pewność, że nikt się nie włamie, ani u was, ani u waszych klientów, tylko chodzi o to, żeby można było pokazać światu, że się dokonało wszystkich niezbędnych procedur. To takie, że tak powiem alibi, to może brzydko zabrzmi, ale tu trzeba po prostu mieć wszystkie dokumenty, które poświadczą, że faktycznie zrobiłam to, co mogłam zrobić w mojej określonej sytuacji organizacyjnej i finansowej.
Potrzebne są do tego obowiązkowo dwa dokumenty. Pierwszy to jest polityka bezpieczeństwa. I to jest dokument dość mocno skodyfikowany, trzypoziomowy, który mówi, na pierwszym poziomie, że taki dokument jest potrzebny, na drugim mówi, jakie procedury wdrażam, na trzecim, tym najbardziej szczegółowym mówi, jaką wersję programu antywirusowego stosuję. W rozporządzeniu Ministerstwa Gospodarki Wewnętrznej i Administracji właśnie bardzo dokładnie wyliczono wszystkie kolejne punkty, które musi zawierać polityka bezpieczeństwa, łącznie z miejscem, to się nazywa obszar przetwarzania danych, czyli pomieszczenia, w których się te dane znajdują. W takiej sytuacji od razu mówię: proszę nie zapomnieć o kablach, czyli zwrócić uwagę na korytarze, którymi płyną, bo tu, gdzie są położone kable, to jest także miejsce przetwarzania danych, ponieważ to żaden problem, aby się podpiąć pod taki kabel, wcale nie trzeba forsować wszystkich zabezpieczeń do serwerowni, wystarczy się podpiąć pod kable i wynik jest taki sam.
Drugi dokument, to jest to instrukcja zarządzania systemem. Tam się mówi o sposobach serwisowania, tam się mówi o różnych takich rzeczach jak ustalanie hasła, o procedurach zakupu, wszystkich tych rzeczach, które po prostu są związane z obsługą sensu stricte systemu.
A tutaj, proszę Państwa, jest takie maluteńkie odniesienie do danych, które byście chcieli przesyłać, za granicę na przykład. Jest to obwarowane jeszcze mocniej, niż przesyłanie danych i przetwarzanie ich na terenie kraju. Czyli, jeżeli wysyłacie raporty, informacje o swojej działalności, albo o działalności ogólnie, takich jak wykaz klientów z nazwiskami, no to wtedy macie do czynienia właśnie z przesyłem danych za granicę. Przy czym od 1 maja zagranica oznacza zagranicę unijną. Wewnątrz Unii jesteśmy cały czas jakby na swoich śmieciach. Wprowadzono kategorię państwa trzeciego, w znaczeniu - państwo poza Unią. Jeżeli to państwo jest poza Unią i tam są przesyłane te dane, to musicie posiadać procedury co najmniej tak dobrej ochrony danych, jak my w Polsce mamy. To jest jakby jedna rzecz. Trzeba także posiadać pisemną zgodę osoby, której to dotyczy, albo jeżeli nic z tych rzeczy nie posiadamy, a te procedury w tym państwie są gorsze niż w Polsce, to trzeba uzyskać zgodę Generalnego Inspektora Ochrony Danych Osobowych na to, żeby można było to przesłać. Ja mówię to bardzo skrótowo. Ale osoby, które stosują praktykę przesyłania danych za granicę Unii, to jednak powinny przeczytać ustawę o ochronie danych i w jakiś sposób ją zastosować.
Pytanie jest takie: kto to jest ten Generalny Inspektor Ochrony Danych Osobowych? Bo ja tak mówię, mówię, a co to jest? Jest to, po pierwsze osoba, osoba fizyczna. W chwili obecnej jest to nawet osoba fizyczna płci żeńskiej, która jest powoływana przez Sejm na kadencję czteroletnią, chroniona immunitetem.
Generalny Inspektor Ochrony Danych Osobowych kontroluje, ma prawo do kontroli wszystkich podstawowych aspektów działalności każdej jednostki. W godzinach od godz. 6.00 do 22.00 ma prawo wejścia do wszystkich pomieszczeń danej jednostki, pomieszczeń, gdzie są przetwarzane dane osobowe. Ma dostęp do wszystkich dokumentów, może żądać wszelakich wyjaśnień, może przeglądać wszelkie nośniki danych, a jednostka kontrolowana, co napisano w znowelizowanej wersji ustawy, ma obowiązek spełniać wszystkie żądania. Tak powiedziano, spełniać wszystkie żądania, oczywiście w zakresie proceduralnym. Decyzje wydawane przez Generalnego Inspektora są wydawane w trybie Kodeksu Postępowania Administracyjnego. Kto raz się z tym Kodeksem spotkał, wie, ile to kłopotów i trudu. Jest bardzo dużo terminów, każdy inny, terminy odwoławcze jednego odwołania, drugiego.
To postępowanie jest bardzo specjalistyczne, wymaga na pewno ingerencji prawnika, pomocy prawnika w tym zakresie.
Proszę zwrócić uwagę, że Generalny Inspektor to jest jedna osoba, tyle tylko, że ma prawo zatrudniania inspektorów, czyli pomocników. Tych inspektorów jest już dobrych parę dziesiątków. Oni już mają swoje agendy w każdym większym mieście Polski, w związku z reprymendą, którą ostatnio w Sejmie dostała Pani Inspektor, że te procedury są takie mało widoczne i jakoś tak nie za bardzo widać, ze ta ustawa działa. No, i w tym momencie zatrudniono nowe zastępy inspektorów, z bardzo poważnymi poleceniami kontroli. Wyszli oni już poza portale internetowe, poza TP S.A., poza te najpoważniejsze jednostki, które są do kontroli, które na bieżąco przetwarzają dane osobowe. Teraz zaczynają się interesować innymi sektorami gospodarki.
Proszę Państwa, już jesteśmy na etapie kontroli. Wszystko jest już skontrolowane i co taki inspektor po kontroli może zrobić? Na podstawie art. 18 może poprosić o usunięcie uchybień. O uzupełnienie, uaktualnienie danych. Zastosowanie dodatkowych środków bezpieczeństwa, jeśli uważa, że posiadane są jakby za małe. Może też wstrzymać przekazywanie danych za granicę, mocą decyzji administracyjnej. Może zabezpieczyć dane, jako dowód w postępowaniu, może po prostu zaplombować serwer i zabrać go ze sobą. Może także, w drodze decyzji administracyjnej, zażądać usunięcia danych osobowych.
I tu nie chodzi o to, że zabrał bazę, wrócił do swego biura, a ja wyjmę kopię zapasową, wprowadzę dane do systemu i jestem zadowolona. Nie. To usunięcie jest usunięciem w znaczeniu administracyjnym. Oznacza to, że te dane nie mogą funkcjonować w jednostce.
Znam takie firmy, które z części danych, jak się później okazało nie były potrzebne do zawierania konkretnych umów, otworzyły jakąś tam bazę danych o kliencie, ta część danych musiała być skasowana, ponieważ Inspektor Ochrony Danych stwierdził, że to nie są dane potrzebne do celów gospodarczych. Z tymi podmiotami nie podpisywano żadnych umów, dlatego trzeba to skasować.
Rezultat ? Od strony finansowej - jakby nie stało się nic nadzwyczajnego, ale w sprawie budowy wizerunku klienta, bazy potencjalnych klientów, do których można by się zwrócić z innym produktem, to była kolosalna, niepowetowana strata.
Na podstawie art. 19 Inspektor Ochrony Danych ma obowiązek powiadomienia organów ścigania o naruszeniu przepisów ustawy, poprzez działanie lub zaniechanie działania. Ten przepis jest napisany bardzo nieprecyzyjnie. Bo naruszeniem ustawy może być bardzo malutkie niedociągnięcie, a może też być nieprzestrzeganie zasad ustawowych. Jest to bardzo szerokie pojęcie. Natomiast dotyczy ono, jeżeli mówimy o organach ścigania, osób fizycznych, czyli dotyczy członków zarządu, dotyczy tak naprawdę osób, których nazywamy administratorami danych. Proszę na to zwrócić uwagę.
Poprzednie przepisy dotyczyły jakby sankcji wobec jednostki gospodarczej, jako osoby prawnej - firma, fundacja, stowarzyszenie. Teraz już rozmawiamy o sankcjach wobec osoby fizycznej. No więc, jak już zostanie złożone doniesienie, organy ścigania zrobią, co jest do zrobienia, bo w ustawie o ochronie danych do dyspozycji mają około dziesięciu karnych przepisów.
Wybrałam taki najbardziej spektakularny przepis. Kto administruje odbiorem danych osobowych, udostępnia je, lub umożliwia dostęp do nich osobom nieupoważnionym, czyli nie zapobiega przeciekom, nie zapobiega kopiowaniu, nie zapobiega wszystkim innym takim działaniom, podlega karze grzywny, ograniczeniu wolności, albo karze pozbawienia wolności do lat dwóch. Przyznam się szczerze, że jeszcze nie widziałam nikogo, kogo by posadzono do więzienia za brak ochrony danych osobowych, ale niestety, widziałam już osoby, które były obłożone grzywnami, czy wobec których toczy się postępowanie.
Muszę Państwu powiedzieć, że do niedawna przepisy ustawy o rachunkowości, w sprawie zakazu prowadzenia klientom ksiąg rachunkowych przez osoby nieupoważnione, też były przepisem martwym i nikt się tym nie przejmował, dopóki się nie okazało, że już parę osób zostało skazanych i właśnie mają w zawieszeniu po dwa lata. Okazało się, że te certyfikaty, te uprawnienia nagle stały się ważne, i wszyscy zaczęli zdawać egzaminy i zdobywać te uprawnienia. Tu może się zdarzyć podobnie.
Już na zakończenie chciałam powiedzieć parę słów o przepisach na temat bezpieczeństwa informacji jako takiej, wynikających z ustawy o rachunkowości, bo ta ustawa aż się roi od przepisów, właśnie zabezpieczających informacje.
To jest rozporządzenie z 29 kwietnia 2004 roku w sprawie dokumentacji przetwarzania danych osobowych, oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne, służące do przetwarzania danych osobowych. Jest po prostu położony duży nacisk właśnie na informatykę. W moim zamyśle nie jest wzbudzanie paniki, tylko raczej prośba o zwrócenie uwagi, u siebie i u swoich klientów, na tego rodzaju ryzyka, że ryzyko kompromitacji danych z jednej strony, czyli po prostu ujawnienia informacji tego jednego z najbardziej takich spektakularnych teraz aktywów, czyli takiego składnika majątku, to jest jakby jedna sprawa. Druga - to bardzo poważne utrudnienie w działalności jednostki, no a trzecia sprawa, czysto osobista, czyli te organy ścigania, przepisy karne. No, nie jest to na pewno rzecz przyjemna.
Ja tylko chciałam, ten to jest jakby najbardziej ulubiony mój przepis, zwrócić państwa uwagę. Przy prowadzeniu ksiąg rachunkowych należy stosować właściwe procedury i środki chroniące przed zniszczeniem, notyfikacją, lub ukryciem zapisu. Za stosowanie ustawy o rachunkowości odpowiada kierownik jednostki, w zakresie przede wszystkim właśnie nadzoru i odpowiada także karnie. Gdy nie ma takich zabezpieczeń informacji finansowych, możecie klientowi zwrócić uwagę, albo sobie samemu, że jesteście także odpowiedzialni, na bardzo podobnych zasadach, jak w ustawie o ochronie danych, właśnie wobec przepisów karnych.
Dziękuję bardzo za uwagę. |
