Szyfrowanie danych osobowych

szyfrowanieCzy często zdarzyło się Wam wysyłać jakieś informacje za pomocą poczty elektronicznej, które nie są w żaden sposób zabezpieczone, czy to hasłem, czy za pomocą jakiegokolwiek innego sposobu szyfrowania danych osobowych. W sytuacji kiedy wysyłamy takie informacje w naszych prywatnych celach to o tyle nie jest to problemem, gdyż ustawa o ochronie danych osobowych nie ma zastosowania do tzw. przetwarzania danych w celach osobistych lub domowych, a w takim przypadku możemy jedynie narazić się na utratę informacji o naszej prywatności. Jako przykład można wskazać korzystanie gwiazd telewizji czy filmowych. Swojego czasu było głośno o tym jak to aktorka Scarlett Johansson wysłała mailem swoje zdjęcia w negliżu i potem one wyciekły do sieci. Gdyby się taka sytuacja zdarzyła w Polsce to Scarlett mogłaby dochodzić swoich roszczeń na drodze cywilnej w oparciu o przepisy dotyczące dóbr osobistych (prawa do prywatności). Jeżeli jednak szyfrowanie danych osobowych jest dla nas problematyczne w pracy to możemy narazić się na negatywne konsekwencje z tym związane.

Inaczej natomiast wygląda sytuacja gdyby te same zdjęcia zrobiła agencja reklamowa i np. w związku z ich procesowaniem pracownicy tej agencji przesyłaliby je między sobą i doszło do ich udostępnienia osobom nieupoważnionym. Wizerunek w oparciu o przepisy ustawy stanowi dane osobowe i Scarlett mogłaby np. powiadomić Prokuratora o możliwości popełnienia przestępstwa z art. 52 ustawy o ochronie danych osobowych. Jednakże mało prawdopodobne jest abyśmy kiedyś dostali do procesowania zdjęcia Scarlett, proponuję więc zająć się w tym momencie bardziej przyziemnymi sprawami.  Przyjmijmy, że w naszej codziennej pracy przesyłamy, czy to między pracownikami, czy do naszych kontrahentów umowy, kwestionariusze lub inne dokumenty zawierające dane osobowe. Z punktu widzenia ustawy o ochronie danych osobowych przetwarzany w ten sposób dane osobowe, bowiem stosownie do definicji przetwarzania danych osobowych stanowią ją jakiekolwiek operacje wykonywane na danych osobowych, a więc i przesyłanie. Administrator danych jest zobowiązany, stosownie do przepisów ustawy o ochronie danych osobowych i Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych odpowiednio do zagrożeń zabezpieczyć dane przed ich utratą. Przepisy prawa nie wskazują jakie sposób zabezpieczenia danych osobowych jest odpowiedni. Administrator danych musi sam ocenić, jakie w jego przypadku zabezpieczenia będą najodpowiedniejsze.

Jeżeli chodzi o odpowiedzialność to przez nieodpowiednie zabezpieczenie danych osobowych możemy ponieść odpowiedzialność karną z art. 51 lub 52 ustawy o ochronie danych osobowych. Administrator danych powinien zadbać z kolei o stosowanie odpowiedniego rodzaju zabezpieczeń poprzez opisanie go w dokumentacji dotyczącej ochrony danych osobowych i rozpropagowanie poprzez szkolenia oraz zebranie od pracowników oświadczeń o zachowaniu danych w poufności i zapoznania się z dokumentacją. Warto również wspomnieć o stracie wizerunkowej wyciegu takich informacji. Jako kilka przykładów można wskazać bazę filmweb.pl, bazę CV PKO BP, bazę użytkowników wrocławskiej karty miejskiej.

Przechodząc na grunt praktyczny minimalnym, a jednocześnie zgodnym z przepisami prawa poziomem takiej ochrony będzie hasłowanie dokumentów. Co do zasad dotyczących haseł można by napisać osobny artykuł, tutaj tylko wspomnę, że w naszym przypadku powinniśmy używać hasła składającego się z co najmniej 8 znaków, zawierającego małe i wielkie litery oraz cyfry lub znaki specjalne i zmieniane co 30 dni. Dodatkowo warto wspomnieć, żeby hasła nie przekazywać tą samą drogą (np. dokument zahasłowany wysłany mailem, a następnym mailem hasło). Przykładami takiej alternatywnej drogi jest wysyłanie hasła smsem. W odniesieniu do innych formy przykładami szyfrowania może być stosowanie firewalla, czy stosowanie połączenia NTFS z systemem szyfrowania plików. Na rynku jest wiele programów dedykowanych dla mniejszych lub większych podmiotów. Poziom ich zabezpieczeń jest różny – dużą rolę pełni tu cena produktu.

Reasumując należy dbać o to, żeby w jakikolwiek sposób zabezpieczać służbową pocztę elektroniczną (osobistą oczywiście też można). Jeżeli tego nie zrobimy i dojdzie do wycieku danych to możemy narazić się przede wszystkim na stratę wizerunkową, ale i ponieść odpowiedzialność karną. Wybór sposobów do osiągnięcia tego celu należy już do nas, ważne aby takie zabezpieczenie było skuteczne i dostosowane odpowiednio do zagrożeń.

Dodaj komentarz

Administratorem Twoich dobrowolnie podanych danych osobowych jest Auraco sp. z o.o. z siedzibą przy ul. Solec 81B/73A, 00-382 Warszawa. Twoje dane osobowe będą przetwarzane w celu dodania i opublikowania komentarza na zasadach określonych w regulaminie. Auraco sp. z o.o. nie będzie udostępniać Twoich danych osobowych, chyba że będzie to konieczne z uwagi na obowiązujące przepisy prawa. Przysługuje Ci prawo dostępu oraz poprawienia danych osobowych.