Wszyscy jesteśmy przestępcami! Zderzenie GIODO z Biznesem.

19.11.2012r.

Fundacja Veracity postanowiła rozprawić się z mitem, iż samo spełnienie wymagań ustawy o ochronie danych osobowych uchroni przedsiębiorstwa przed wyciekiem danych.

Okazją do dyskusji były odbywające się 24 października w Hali Stulecia we Wrocławiu III Targi eHandlu organizowane przez Fundację Polak 2.0.

 

Prawo w Polsce w obszarze ochrony danych osobowych zatrzymało się w końcu lat 90 ubiegłego wieku. Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych zostało opublikowane co prawda w 2004 roku, jednak jego zapisy merytorycznie są jeszcze z poprzedniej epoki informatyzacji, gdzie bezpieczeństwo zapewniano hasłem i chowaniem komputera w metalowej szafie.

III Targi eHandlu to arena wymiany doświadczeń z zakresu e-commerce. Rynku w którym dane osobowe muszą być chronione skutecznie. Jest to bowiem często "być, albo nie być" wielu innowacyjnych internetowych biznesów.

Wśród uczestników spotkania przeważał jeden podstawowy wniosek – zapisy ustawy o ochronie danych osobowych i przytaczanego wcześniej rozporządzenia, mają średnie przełożenie na bezpieczeństwo tych danych. W skrajnych przypadkach zajmują przedsiębiorcom czas na zbędną biurokracje która niewiele ma wspólnego z zapewnieniem bezpieczeństwa. Wiele cennych innowacyjnych modeli biznesowych opiera się na cienkiej granicy którą stara się wyznaczyć nasze prawodawstwo pomiędzy użytecznością usług e-commerce a prywatnością informacji o odbiorcach usług. Twórcy ustawy i rozporządzenia nawet nie mogli domyślać się jakie narzędzia i sposoby prowadzenia działalności gospodarczej będą dzisiaj używane przez dostawców usług i wymagane przez klientów. Efekt z tego powstał taki, że przedsiębiorcy udają że prawo jest dla nich ważne, a GIODO udaje że wszystko jest w porządku – nie zauważając nieścisłości i niekiedy braku możliwości stosowania prawa. Niemożliwością jest jego stosowanie z kilku przyczyn:

  • archaiczne i biurokratyczne zabezpieczenia opisywane w rozporządzeniu i ustawie,
  • szeroką interpretacja tego co jest daną osobową (Np. numer VIN, e-mail, zdjęcie, dane przedsiębiorców wpisanych do Centralnej Ewidencji Działalności Gospodarczej),
  • stosowanie katalogu sztywnych zabezpieczeń, nie mających odzwierciedlenia w funkcjonalnościach dzisiejszych systemów e-commerce.

Przykładowo – jak opisać fizyczne miejsce przetwarzania danych osobowych, jeżeli wynajmujemy usługę przetwarzania w chmurze nie wiedząc często gdzie stoją serwery zawierające nasze dane?

 

Jak w takim razie podejść do ochrony danych osobowych?

Najważniejszą rzeczą jest spełnienie wymagań prawnych. Od tego nie odejdziemy, bo za brak spełnienia wymagań ustawy grozi odpowiedzialność karna. Jednak pamiętajmy że nie uchroni nas to przed wyciekiem informacji. Aby być pewnym bezpieczeństwa swoich systemów teleinformatycznych należy zrobić więcej korzystając z dobrych praktyk w zarządzaniu bezpieczeństwem informacji.

Najważniejszym dla klientów prawem i jednocześnie obowiązkiem każdego kto przetwarza dane osobowe jest prawo do bycia zapomnianym. Jeżeli klient tego sobie życzy musimy zrobić wszystko aby jego dane osobowe nie były wykorzystywane w przyszłości w naszej działalności. Dodatkowo musimy pamiętać o uzyskaniu zgody osoby na przetwarzanie danych osobowych w naszych systemach.

Dodatkowo każdy przedsiębiorca powinien zarządzać ryzykiem utraty bezpieczeństwa informacji oraz stosować dobre praktyki opisane chociażby w normie ISO/IEC 27001. Ta prozaiczna rzecz jest często pomijana w planach funkcjonowania i rozwoju własnej działalności. Zachęcamy tutaj do lektury kompendiów Fundacji Veracity, które w przystępny sposób opisują sposoby zarządzania ryzykiem czy zarządzania przedsiębiorstwem. Z normy ISO/IEC 27001 wynikają natomiast mechanizmy zarządzania systemami teleinformatycznymi, które po uprzedniej analizie warto wdrożyć do stosowania.

Temat ochrony danych osobowych jest trudny ze względu na obowiązujące prawodawstwo, frywolne interpretacje GIODO i wagę przetwarzanych informacji. Musimy pamiętać iż bezpieczeństwo tych danych możemy zapewnić jedynie korzystając z najnowszych praktyk z zakresu bezpieczeństwa, które odnoszą się do aktualnych zagrożeń. A będziemy w stanie to robić jedynie przy stosowaniu nowoczesnych metod zarządzania, które Fundacja Veracity promuje.

Fundacja Veracity apeluje o stosowanie mądrego prawa, które pozwoli na wykorzystanie najnowszych trendów w zarządzaniu bezpieczeństwem i uzna to za wystarczającą ochronę danych osobowych. Dodatkowo spowoduje to odciążenie przedsiębiorców z branży e-commerce z biurokracji i spowoduje iż nie będą obawiali się startować w Polsce z innowacyjnymi projektami, nie ujętymi dzisiaj w ramy prawne.

 

Fundacja Veracity

 

« wstecz