Zaznacz stronę

Przedsiębiorcy, którzy dowiadują się o konieczności wdrożenia wymagań stawianych administratorom danych osobowych przez Ustawę z dnia 29 sierpnia 1997 o ochronie danych osobowych (tekst jednolity Dz. U. 2002 r. Nr 101 poz. 926 z późniejszymi zmianami), nie mogą wyjść ze zdumienia jak dalece Ustawa ingeruje w funkcjonowanie firmy i wybór stosownych zabezpieczeń.  Niestety dość powszechnym błędem jest czerpanie informacji nie bezpośrednio z treści aktu prawnego, ale z różnego rodzaju niesprawdzonych źródeł  znalezionych w zasobach Internetu, w tym z materiałów marketingowych firm „żerujących” na ludzkiej niewiedzy. Taki scenariusz zrealizował się w wielu przypadkach zarówno, kiedy firmy straszyły karami za brak rejestracji zbiorów w GIODO, jak też ostatnio – kiedy straszą donosem i kontrolą w przypadku braku SSL na stronie www. Proszę jednak zachować spokój i zapoznać się z faktami poniżej.

Gdzie to jest napisane..?

Kwestie zabezpieczeń systemu informatycznego – w całości zostały określone, w niezbyt długim rozporządzeniu do Ustawy, o bardzo długim tytule: Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r., w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (dalej zwanym: Rozporządzeniem), dopełnionym treścią Załącznika nr 1.

Przedstawione wymagania, z punktu widzenia bezpieczeństwa informacji są podstawowe, choć nie znajdą uznania wśród użytkowników ceniących wygodę.  Należy zwrócić uwagę, że treść Rozporządzenia wskazuje przede wszystkim  jakie obszary systemu zabezpieczać i przed czym ale nie określa dokładnie narzędzi jakie ma wykorzystać administrator danych osobowych.  Jest to podejście znane, chociażby z konstrukcji norm – w tym także normy zarządzania bezpieczeństwem informacji –  ISO27001.

W treści Załącznika nr 1 do Rozporządzenia  (w części C)  oprócz innych, pojawia się wymóg zastosowania zabezpieczenia kryptograficznego. Wymóg został sprecyzowany dla sytuacji przesyłania przez Internet danych służących do uwierzytelniania: Administrator danych stosuje środki kryptograficznej ochrony wobec danych wykorzystywanych do uwierzytelnienia, które są przesyłane w sieci publiczne[1]j. Trzymając się literalnie treści Rozporządzenia – SSL należy zainstalować w na stronach WWW służących logowaniu..  Jednak, nie można zapominać o szerszym kontekście: Ustawa w Art. 36 nakazuje administratorom danych osobowych zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem i dalej w Załączniku nr 1 do Rozporządzenia, w części C, Ust.1 uściśla: System informatyczny służący do przetwarzania danych osobowych chroni się przed zagrożeniami pochodzącymi z sieci publicznej poprzez wdrożenie fizycznych lub logicznych zabezpieczeń chroniących przed nieuprawnionym dostępem.  Umożliwiając użytkownikowi wpisanie swoich danych osobowych w formularz na stronie WWW i przesłanie ich na serwer  powinniśmy mieć świadomość, że dane te są przesyłane w sieci publicznej otwartym tekstem a zatem istnieje duże ryzyko  utraty ich poufności.  Znajomość działania mechanizmu obsługującego formularze na stronach  obliguje administratora danych osobowych do podjęcia dodatkowych środków bezpieczeństwa w postaci zastosowania zabezpieczenia kryptograficznego, czyli instalacji certyfikatu SSL na na serwerze WWW obsługującym stronę[2].

Z powyższego założenia wychodzą także inspektorzy GIODO, prowadzący kontrole zgodności przetwarzania danych osobowych z wymaganiami Ustawy. W publikowanych na stronie Urzędu decyzjach pokontrolnych znajdziemy nakazy zastosowania SSL na stronach WWW z formularzami, za pomocą których są przesyłane dane osobowe w Sieci.[3]  Urząd po stwierdzeniu uchybienia daje administratorowi danych osobowych 30 dni na instalację certyfikatu  –  to całkiem sporo, zważywszy na fakt że przy dobrej woli problem można rozwiązać nawet w ciągu 1. dnia przy wydatku rzędu około 100 PLN/rok.

Nie mam SSL  – będzie kontrola?!

Nadawcy mailingu, który stał się przyczynkiem do powstania niniejszego tekstu starszą złożeniem doniesienia do Urzędu, skutkującym przeprowadzeniem uciążliwej kontroli. Wbrew obiegowej opinii Urząd Generalnego Inspektora Ochrony Danych Osobowych jest urzędem przyjaźnie nastawionym do obywateli – wykazującym się dużym zrozumieniem i cierpliwością. Urząd nie działa na zasadzie tzw. anonimowych donosów, może wszcząć postępowanie administracyjne – wyjaśniające na wniosek osoby zainteresowanej, w przypadku naruszenia przepisów o ochronie danych osobowych – w związku zdanymi osobowym składającego wniosek.  W takiej sytuacji osoba uznająca się za poszkodowaną,  ma obowiązek dokładnie i merytorycznie opisać istotę naruszenia a także wnieść opłatę administracyjną przed złożeniem wniosku.  Oceniając skalę mailingu, dla jego nadawcy składanie doniesień byłoby procesem trudnym organizacyjnie i  dość kosztownym, a zważywszy na potencjalne zyski – mało opłacalnym.

Należy poza tym wiedzieć, że Urząd będzie dążył do wyjaśnienia sprawy za pomocą ekonomicznych metod tradycyjnych, czyli wyśle do administratora zapytanie na piśmie a po uzyskaniu odpowiedzi albo wyda nakaz usunięcia uchybień albo – jeżeli uchybień już nie będzie – oddali sprawę.  GIODO nie jest dużą jednostką  więc w pierwszej kolejności realizuje planowe, sektorowe kontrole zamiast angażować  cenne środki i zasoby do kontroli przedsiębiorstw, które nie mają  zainstalowanego certyfikatu SSL.

Instalujmy SSL na naszych warunkach.

Podsumowując: należy zainstalować certyfikat SSL na stronach sklepu, za pomocą których użytkownik przekazuje swoje dane osobowe i loguje się do swojego konta. Zabezpieczeniu nie musi podlegać cały serwis, wystarczy jeśli SSL’em objęte zostaną podstrony zawierające: formularz kontaktowy, formularz rejestracyjny i formularz logowania.  Certyfikat warto wykupić od sprawdzonego wystawcy (np. Geotrust, Symantec, Certum), nawet w jego najbardziej ekonomicznej wersji z prostą walidacją domeny. Proszę zatem spokojnie, w wolnej chwili, przejrzeć oferty certyfikatów SSL, wybrać najkorzystniejszą z nich  i  nie wpadać w panikę  wywołaną mailingiem firmy, która nie znalazła innej metody na pozyskanie klientów niż ich zastraszenie.

 


[1] Załącznik 1 do Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r., w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, część C, punkt XIII.

[2] Kom. Autora: Zwracam jednak uwagę, że jeżeli  administrator znajdzie alternatywną metodę zabezpieczenia danych, która zapewni im poufność w drodze na serwer – to nie ma przeszkód aby ją zastosował zamiast instalacji certyfikatu.

[3] Decyzja GIODO z dnia: 8 kwietnia 2011, DIS/DEC-291/16553/11;  Decyzja GIODO z dnia 14 maja 2012 DIS/DEC-415/12/29650.

Autorem niniejszego wpisu jest:

Monika Gierada-Sołtysek
Główny specjalista ds. ochrony danych osobowych
DANE-OSOBOWE.info

logoDOI

5.00 avg. rating (98% score) - 2 votes

Czy prowadzisz sklep internetowy?

 

Czy sprzedajesz produkty online lub na Allegro?

Zapisz się na newsletter prawny!

 

Otrzymasz bezpłatnie poradniki, porady prawne

i będziesz na bieżąco ze zmianami w prawie.

Dziękujemy :)

 

Sprawdź teraz swoją skrzynkę email

(również folder - spam)

 

 

Wysłaliśmy Tobie 3 bonusy:

1) voucher na bezpłatną 10 minutową konsultację prawną

2) kupon 100 zł na nasze usługi prawnika

2) profesjonalne wzory pism dla sprzedawcy

Szukasz pomocy

przy zwrocie lub reklamacji?

 

Kliknij i dołącz do naszej grupy wsparcia na Facebooku!

Przeczytaj poprzedni wpis:
opinia rzeczoznawcy
Kto ponosi koszty opinii rzeczoznawcy zleconej przez kupującego

W przypadku kwestionowania przez sprzedawcę istnienia wady (niezgodności towaru z umową) często jedynym rozwiązaniem jest konieczność uzyskania przez klienta opinii...

Zamknij