Dokumenty zawierające dane osobowe często są przesyłane drogą elektroniczną. Trzeba wówczas pamiętać o odpowiednich środkach zabezpieczeń, żeby dane nie dostały się w niepowołane ręce. Przede wszystkim, co podkreśla GIODO, nie można przesyłać służbowych dokumentów z danymi na prywatną skrzynkę e-mail. Sprawdź, jakie zabezpieczenia powinieneś zastosować.
Zgodnie z ustawą o ochronie danych osobowych przetwarzanie danych osobowych to jakiekolwiek operacje wykonywane na danych. Przetwarzaniem będzie zatem także przesyłanie dokumentów zawierających dane osobowe drogą elektroniczną. Jako administrator danych jesteś odpowiedzialny za ochronę przetwarzanych danych osobowych. Dlatego musisz odpowiednio zabezpieczyć pocztę elektroniczną. Sam musisz wybrać, jakie zabezpieczenia zastosować. Najważniejsze jest, żeby były one skuteczne i dostosowane do zagrożeń.
Jeżeli przesyłasz dane osobowe e-mailem w celach osobistych lub domowych, nie musisz stosować przepisów ustawy o ochronie danych osobowych, w tym stosować środków bezpieczeństwa. Pamiętaj jednak, że nie możesz wykorzystywać prywatnej skrzynki e-mail do wysyłania służbowych dokumentów z danymi osobowymi. Podczas jednej z kontroli GIODO zwrócił uwagę na ten problem.
Jeżeli dane osobowe są przetwarzane w systemie informatycznym, przepisy ustawy o ochronie danych osobowych trzeba stosować nawet w wypadku, gdy dane są przetwarzane poza zbiorem. Nawet jeśli w e-mailu umieścisz informacje dotyczące jednej osoby fizycznej (jeżeli tylko osoba ta jest zidentyfikowana lub możliwa do zidentyfikowania), będziesz przetwarzać dane osobowe.
Przepisy zobowiązują administratora danych do zastosowania odpowiednich środków zabezpieczających dane osobowe przy przesyłaniu ich drogą elektroniczną. Wynika to z ustawy o ochronie danych osobowych i rozporządzenia ministra spraw wewnętrznych i administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.
Jednym z podstawowych obowiązków ADO jest obowiązek zastosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych (art. 36 ust. 1 ustawy o ochronie danych osobowych). W szczególności chodzi o zabezpieczenie danych przed ich udostępnieniem osobom nieupoważnionym. Dotyczy to przetwarzania danych osobowych zarówno w sposób tradycyjny, jak i z wykorzystaniem systemów informatycznych.
Jeżeli administrator nie zabezpieczy odpowiednio danych osobowych, może ponieść odpowiedzialność karną. „Kto administrując danymi, narusza choćby nieumyślnie obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku” (art. 51 lub 52 ustawy o ochronie danych osobowych).
Jeśli osoba, której dane dotyczą, stwierdzi, że doszło do naruszenia zasad ochrony jej danych osobowych, może wystąpić do administratora danych z wnioskiem o usunięcie uchybień. Może zwrócić się również z pisemną skargą do GIODO, który po przeprowadzeniu indywidualnego postępowania administracyjnego stwierdzi, czy w konkretnym przypadku doszło do naruszenia prawa do ochrony danych osobowych. Jeśli GIODO stwierdzi naruszenie prawa, wyda decyzję administracyjną nakazującą przywrócenie stanu zgodnego z prawem, m.in. zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe.
Zastosowane środki bezpieczeństwa danych osobowych należy opisać w dokumentacji ochrony danych – polityce bezpieczeństwa i instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych i zapoznać z nimi pracowników podczas szkolenia.
Administrator danych musi odpowiednio do zagrożeń, zabezpieczyć dane przed ich utratą. Przepisy prawa nie wskazują, jaki sposób zabezpieczenia jest odpowiedni. Administrator powinien sam zadbać o stosowanie odpowiedniego rodzaju zabezpieczeń. Musi opisać go w dokumentacji dotyczącej ochrony danych osobowych i zapoznać z nim pracowników poprzez szkolenia. Powinien również zebrać od nich oświadczenia o zachowaniu danych w poufności i zapoznaniu się z dokumentacją.
Zasady korzystania z poczty elektronicznej w celu przesyłania dokumentów zawierających dane osobowe, trzeba określić w polityce bezpieczeństwa i instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych.
Przy przekazywaniu danych osobowych drogą elektroniczną, zawsze istnieje możliwość przejęcia przesyłanych danych przez osobę nieuprawnioną. Istnieje również niebezpieczeństwo ich nieuprawnionej zmiany, uszkodzenia lub zniszczenia. Administrator danych musi więc zastosować odpowiednie zabezpieczenia, które ochronią przesyłane dane osobowe przed dostępem osób nieuprawnionych.
Zgodnie z § 6 ust. 4 rozporządzenia ministra spraw wewnętrznych i administracji z 29 kwietnia 2004 r. administrator danych przy przekazywaniu danych drogą elektroniczną, musi zastosować środki bezpieczeństwa na poziomie wysokim. Typ C, czyli wysoki poziom zabezpieczeń przewidziany jest dla danych przesyłanych w ramach sieci publicznej, a więc między innymi przesyłanych e-mailem na zewnętrzny serwer, nienależący do sieci lokalnej podmiotu.
Wysoki poziom zabezpieczeń, poza koniecznością przestrzegania procedur przewidzianych dla poziomów A i B, dodatkowo charakteryzuje się koniecznością wdrożenia fizycznych lub logicznych zabezpieczeń chroniących przed nieuprawnionym dostępem osób nieuprawnionych.
Sposób zabezpieczeń logicznych określony jest ogólnie. Sprowadza się do sprawowania kontroli nad przepływem informacji pomiędzy systemem informatycznym administratora danych a siecią publiczną oraz kontroli nad działaniami inicjowanymi z sieci publicznej i systemu informatycznego administratora danych.
Administrator danych musi stosować środki kryptograficznej ochrony wobec danych osobowych wykorzystywanych do uwierzytelnienia, które są przesyłane w sieci publicznej. Decyzję o wyborze sposobu zabezpieczeń każdorazowo podejmuje sam administrator danych.
W ramach stosowania środków kryptograficznej ochrony danych osobowych można np. korzystać z połączenia szyfrowanego protokołem SSL przy przesyłaniu wiadomości lub też z szyfrowania poczty elektronicznej i klucza publicznego odbiorcy.
Szyfrowanie wiadomości jest dość skomplikowane technicznie, dlatego jest mało popularne. W korporacjach, tam, gdzie regularnie wymienia się poufne dane z określonymi partnerami, stosuje się do tego celu np. programy szyfrujące. Natomiast jeśli przesyła się pojedyncze pliki, dokumenty lub korespondencja jest niezbyt częsta, stosuje się:
Należy używać hasła składającego się z co najmniej 8 znaków, zawierającego małe i wielkie litery oraz cyfry lub znaki specjalne i zmieniać je co 30 dni. Trzeba zwrócić uwagę, aby hasło zostało dostarczone innym kanałem niż plik (może być to SMS, e-mail – ale inny adres e-mail niż ten, na który został wysłany plik, podanie hasła przez telefon).
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl
