Nowy rok, nowe projekty… stare problemy z danymi osobowymi

2010-01-05 Skomentuj

Początek roku z jednej strony sprzyja wszelkim podsumowaniom roku ubiegłego, z drugiej zaś nastraja pozytywnie i daje nadzieję, że w sieci pojawi się sporo nowych, interesujących serwisów. Mam nadzieję, że za wieloma z nich będą stać start-upy z Polski. Przy założeniu, że tak będzie, pozycja rynkowa takich serwisów będzie mierzona szeregiem wskaźników, ale komentatorzy polskiego Internetu będą najczęściej odwoływać się analiz liczby unikalnych użytkowników. Wspomniani użytkownicy będą w wielu przypadkach identyfikowalni dla administratorów takich serwisów, a także zalogowanych lub niezalogowanych użytkowników, dlatego zaistnieje konieczność wdrożenia środków służących ochronie danych osobowych użytkowników takich serwisów oraz prowadzenia odpowiedniej dokumentacji.

Aby było łatwiej start-upom uporać się z tymi kwestiami (ochrony danych osobowych przetwarzanych w sieci), poniżej kilka wskazówek i pomocnych linków.

Dlaczego należyte zabezpieczenie przetwarzanych danych osobowych jest tak ważne?

W razie stwierdzenia przez GIODO, że nie zostały wprowadzone wszystkie wymagane przepisami prawa mechanizmy służące ochronie danych, administrator danego serwisu naraża się na ryzyko wydania decyzji przez GIODO, która może na jakiś czas sparaliżować działanie serwisu, co w czasie zaciętej walki o użytkowników (konkurencja nie śpi!) może mieć istotne znaczenie. Poza tym należy pamiętać, że w oparciu o przepisy ustawy o ochronie danych osobowych, na skutek zawiadomienia GIODO może dojść do wszczęcia postępowania karnego przeciwko administratorowi serwisu.

W przypadku bezprawnego przetwarzania danych osobowych w sieci administrator serwisu naraża się na odpowiedzialność odszkodowawczą wobec osoby, której dane osobowe bezprawnie przetwarzał. Takie odszkodowanie może mocno obciążyć budżet danego start-upu przeznaczonego na obsługę serwisu.

I tak można jeszcze bardzo długo wymieniać negatywne skutki nieodpowiedniego podejścia do kwestii ochrony danych osobowych.

Od czego zacząć, żeby uporać się z tym problemem?

W pierwszej kolejności polecam odwiedzenie strony GIODO www.giodo.gov.pl, na której znajduje się zakładka porady i wskazówki. Po wejściu na wybraną podstronę, polecam lekturę ?wskazówek dla administratorów danych’, w tym m.in. wytycznych dotyczących opracowania i wdrożenia polityki bezpieczeństwa oraz wytycznych dotyczących opracowania i wdrożenia polityki bezpieczeństwa. Są to bowiem dwa podstawowe dokumenty, które powinny zostać opracowane i wdrożone przez każdego administratora serwisu, który przetwarza dane jego użytkowników.

Pełna dokumentacja serwisu dotycząca przetwarzanych danych osobowych powinna być oczywiście szersza i zawierać m.in.:

- upoważnienia do przetwarzania danych osobowych,

- ewidencję osób upoważnionych do przetwarzania danych,

- umowę/-y o powierzenie przetwarzania danych,

- inne dokumenty (np. wyznaczenie administratora bezpieczeństwa informacji, szczegółowe polityki bezpieczeństwa, kopie dokumentów wysłanych do GIODO etc.).

Polecam tu lekturę:

- odpowiedzi GIODO na pytania, w szczególności te dotyczące przetwarzania danych osobowych w Internecie,

- treści Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. z 2004 Nr 100, poz. 1024).

Treść rozporządzenia znajdziecie tutaj: http://isap.sejm.gov.pl/.

Jeśli dany administrator zamierza samodzielnie uporać się z problematyką ochrony danych osobowych swojego serwisu, lektura ww. rozporządzenia jest obowiązkowa! Bez zgłębienia poszczególnych przepisów raczej trudno będzie samodzielnie wdrożyć tzw. środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych oraz wymaganą dokumentację.

Skomentuj