Minimalizowanie ryzyk prawnych związanych z elektronicznym obiegiem informacji. Gdzie szukać rozwiązań?
Dodano: 07-04-2014 w kategorii: Powierzenie, Zasady przetwarzania danych osobowych. Dodane przez: Katarzyna Witkowska.

W prawie polskim nie znajdziemy wielu kompleksowych i gotowych do zastosowania modeli ochrony informacji czy danych. Rodzajów informacji, których ochrona przeplata się w przepisach prawa wyróżnić możemy natomiast wiele. Wśród nich wymienić można choćby informacje chronione w ramach tajemnicy zawodowej, tajemnicy telekomunikacyjnej, tajemnicy bankowej, informacje objęte tajemnicą przedsiębiorstwa, informacje poufne w obrocie instrumentami finansowymi.

Ochrona danych osobowych i ochrona informacji niejawnych – gotowe wzory do zastosowania
Poszukując gotowych rozwiązań prawnych w zakresie ochrony informacji, warto jednak zwrócić szczególną uwagę na dwie regulacje: ustawę o ochronie danych osobowych oraz ustawę o ochronie informacji niejawnych. Te dwie ustawy zasługują na szczególną uwagę, ponieważ to właśnie ochrona danych osobowych i ochrona informacji niejawnych uregulowane są przez ustawodawcę kompleksowo. Jedynie w tych dwóch wypadkach znaleźć można nie tylko poszczególne przepisy, statuujące pewne obowiązki w zakresie ochrony informacji, ale również całe systemy ochrony danych.

System ochrony danych osobowych – system kompletny?
Skupiając się na schemacie ochrony danych osobowych, podkreślić należy, że w tym wypadku ustawodawca daje nam system, na który składa się w pierwszej kolejności katalog przesłanek, po spełnieniu których jakiekolwiek operacje na danych mogą być w ogóle wykonywane (o przesłankach przetwarzania pisaliśmy m.in. w artykule Zgoda nie zawsze potrzebna. Przesłanki przetwarzania danych osobowych zwykłych w zarysie). System ochrony danych osobowych jest skonstruowany tak, by gwarantował poszanowanie praw podmiotu danych. Ponadto, przewiduje szereg wymogów w zakresie technicznego, organizacyjnego i prawnego zabezpieczenia danych. Czwarty filar omawianego systemu to kontrola GIODO i wspierający ją obowiązek rejestracyjny (o rejestracji zbiorów pisaliśmy w artykule "Rejestruję”, czyli o zgłaszaniu zbiorów do rejestru GIODO oraz Nie zawsze musimy zgłaszać zbiory! Kilka uwag o zwolnieniu z obowiązku rejestracji).

Biorąc pod uwagę, że w wyżej omawianym przypadku ustawodawca zaprojektował złożone procedury postępowania z danymi szczególnej wagi, warto zastanowić się nad możliwością przeniesienia tych procedur również na inny grunt. Skoro przepisy o ochronie danych osobowych wyznaczają minimalny zakres ochrony informacji o charakterze spersonalizowanym, warto ten minimalny próg ochrony spróbować dostosować do ochrony innego rodzaju informacji, cennych z punktu widzenia przedsiębiorcy.

A może skorzystać z powierzenia?
Przykładem rozwiązania, które może sprawdzić się nie tylko w sferze ochrony danych osobowych jest choćby umowa powierzenia przetwarzania danych i wypracowany na bazie przepisów ustawy schemat jej konstruowania. Nie ma przeszkód, by powierzając podmiotom trzecim pracę na innego rodzaju danych niż dane osobowe, skorzystać z wyżej powołanej konstrukcji. Wydaje się, że bardzo dobrym rozwiązaniem jest choćby wprowadzanie do umowy obowiązków w zakresie zabezpieczenia danych, wdrożenia określonych procedur postępowania z danymi, zapewnienia, by do pracy na danych dopuszczone były wyłącznie osoby kompetentne i zobligowane do zachowania w poufności powierzonych danych, uregulowanie kwestii usuwania danych po zakończeniu ich przetwarzania, czy też określenie w sposób precyzyjny zakresu, w jakim podmiot zewnętrzny może danego rodzaju informacje przetwarzać i w jakim celu może takie działania podejmować.

Model zabezpieczania informacji, również gotowy do stosowania
Ustawa o ochronie danych osobowych zawiera także cały szereg wymogów, związanych z prawidłowym zabezpieczaniem danych. W sferze prawnej wymogi ustawy precyzuje rozporządzenie ministra spraw wewnętrznych i administracji z dnia 29 kwietnia 2004 roku w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Szukając rozwiązań, procedur i schematów ochrony wszelkiego rodzaju informacji, warto zajrzeć do tego gotowego już modelu. Ustawodawca wskazuje w omawianym wypadku, jak wyglądać powinna dokumentacja, która pomaga w usystematyzowaniu pracy z danymi, a także jakie są minimalne środki bezpieczeństwa technicznego i informatycznego, które warto stosować, gdy chce się chronić dane.

A co z kodeksami dobrych praktyk, normami ISO, wytycznymi?
Oczywistym jest, że przepisy prawa to nie wszystko. Systemy bezpieczeństwa informacji są bardzo często wspierane przez dodatkowe wytyczne czy uporządkowane zasady, składające się na kodeksy dobrych praktyk. Szukając rozwiązań zabezpieczających różnego rodzaju informacje inne niż dane osobowe, warto jednak zajrzeć do już gotowych schematów postępowania. Bez wątpienia mechanizmy samoregulacji odgrywają i odgrywać muszą dużą rolę w ustalaniu pewnych standardów bezpieczeństwa. Warto jednak pamiętać, że są rodzaje informacji na tyle wrażliwych czy cennych, że ustawodawca w sferach tych już zabrał głos, dając przy okazji wyraźną podpowiedź, jak minimalizować ryzyko związane również z obiegiem innego rodzaju informacji.

dane osobowe , powierzenie , prywatność , przetwarzanie danych