Bezpieczeństwo danych w świetle polskiego prawa

Dlaczego kopie zapasowe muszą być wykonywane codziennie? Po co wprowadzać skomplikowane hasła, które w dodatku należy zmieniać co miesiąc? Okazuje się, że „utrudnienia” te wynikają bezpośrednio z norm prawnych obowiązujących w naszym kraju.

Najważniejszą regulacją w polskim prawie, całkowicie poświęconą ochronie informacji jest ustawa o ochronie danych osobowych. Obejmuje niemal wszystkie organizacje, ponieważ dane osobowe pojawiają się wszędzie – nie tylko tam, gdzie przechowuje się informacje o klientach. Jest to jedyna ustawa tak szczegółowo omawiająca kwestie bezpieczeństwa danych w systemach informatycznych. Obejmuje przetwarzanie „wszelkich informacji dotyczących zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej”, przy czym przetwarzanie to: „jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w sys¬temach informatycznych”. Zabezpieczenie danych w systemie informatycznym to „wdrożenie i eksploatacja stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem”. Administrator danych jest zobowiązany zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane.

Pozostałe wymogi bezpieczeństwa dotyczące ochrony danych osobowych zostały określone w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakie powinny spełniać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Wymagania te dotyczą zarówno organizacji, jak i elementów technicznych. Od strony organizacji wymagane jest posiadanie odpowiedniej dokumentacji, na którą składają się: polityka bezpieczeństwa i dokumentacja systemu oraz stosowanych w nim zabezpieczeń. Ustawa definiuje trzy poziomy bezpieczeństwa przetwarzanych danych – podstawowy, podwyższony i wysoki. Ten ostatni, najczęściej spotykany, występuje, gdy przynajmniej jedno urządzenie systemu informatycznego, służącego do przetwarzania danych osobowych, połączone jest z siecią publiczną (np. z Internetem). Dla każdego z poziomów, hasło do uwierzytelniania należy zmieniać co 30 dni. Dla poziomu podwyższonego i wysokiego musi ono mieć minimum 8 znaków, zawierać duże i małe litery oraz cyfry lub znaki specjalne. Konieczne jest również wykonywanie kopii zapasowych i zapewnienie ochrony antywirusowej. Osoba korzystająca z komputera poza budynkiem firmy powinna stosować kryptograficzną ochronę informacji, czyli szyfrowanie. Istotną kwestią jest także permanentne usunięcie danych – w przypadku przekazania sprzętu do likwidacji. Naprawa może się odbyć bez usuwania danych, ale pod nadzorem osoby upoważnionej do ich odczytania.

Mimo, że ustawy dotyczące kwestii bezpieczeństwa danych obowiązują już od pewnego czasu w wielu krajach, organizacje w dalszym ciągu nie podchodzą poważnie do problemu, o czym świadczą niepokojące informacje o wyciekach danych, które zdarzają się coraz częściej, przynosząc straty finansowe, upadek wizerunku oraz konsekwencje prawne.

PRportal.pl – informacje prasowe dla biznesu