Andrzej Kaczmarek Biuro Generalnego Inspektora Ochrony Danych Osobowych

Transkrypt

1 Andrzej Kaczmarek Biuro Generalnego Inspektora Ochrony Danych Osobowych PERSPEKTYWY ZMIAN ROZPORZĄDZENIA W SPRAWIE WARUNKÓW TECHNICZNO-ORGANIZACYJNYCH, JAKIM POWINNY ODPOWIADAĆ URZĄDZENIA I SYSTEMY INFORMATYCZNE SŁUŻĄCE DO PRZETWARZANIA DANYCH OSOBOWYCH. 1 Wstęp Problem zabezpieczenia danych przetwarzanych w systemach informatycznych przed zniekształceniem, utratą lub nieautoryzowanym przetwarzaniem, istnieje praktycznie od czasu, kiedy systemy te użyto do przetwarzania danych o charakterze poufnym, czyli od samego początku ich profesjonalnych zastosowań. Jego charakterystyczną cechą jest to, że wraz z rozwojem technologii informatycznej, systematycznie rośnie zagrożenie związane z bezpieczeństwem przetwarzania danych. Najczęściej wskazywanymi przyczynami takiego stanu rzeczy są: Rosnąca złożoność systemów informatycznych, Wyścig producentów oprogramowania w przekazywaniu na rynek nowych, bardziej funkcjonalnych, ale jednocześnie niewystarczająco przetestowanych pod względem bezpieczeństwa produktów, rozwój technologii internetowej i rosnące dzięki temu możliwości wymiany doświadczeń w przełamywaniu zabezpieczeń systemów komputerowych, migracja informatycznych środowisk przetwarzania danych od wyizolowanych środowisk scentralizowanych typu komputer centralny - terminal w kierunku otwartych, lokalnych środowisk sieciowych oraz Internetu. Aby stawić czoła tym rosnącym zagrożeniom nieustannie prowadzone są prace nad uszczelnianiem zarówno istniejących już systemów zabezpieczenia danych jak i opracowywaniem nowych, bardziej odpornych i skutecznych w swym działaniu systemów bezpieczeństwa. Prace te prowadzone są na wielu różnych płaszczyznach takich jak, bezpieczeństwo systemów operacyjnych, bezpieczeństwo systemów zarządzania bazami danych, bezpieczeństwo teletransmisji i wielu innych. Ich celem jest stworzenie takich warunków przetwarzania danych w systemach informatycznych, aby zagwarantować ich rozliczalność, integralność, autentyczność, poufność i dostępność rozumianą w sensie określonym przez PN-I (1). Wymienione cechy stały się warunkiem dopuszczalności stosowania technologii informatycznych w wielu zastosowaniach. Ich wprowadzenie było naturalną konsekwencją zastosowania technologii komputerowej do przetwarzania danych, których zachowanie w tajemnicy podlegało ochronie prawnej. Do zastosowań takich należy przetwarzanie danych bankowych - tajemnica bankowa, danych rachunkowych - tajemnica skarbowa, danych o stanie zdrowia - tajemnica lekarska, i wielu innych kategorii danych, nazywanych ogólnie jako dane prawnie chronione. Do kategorii tej należą również dane osobowe, które zdefiniowano jako wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby

2 fizycznej. Należy tutaj zaznaczyć, że w niektórych obszarach, jak np. w obszarze przetwarzania danych osobowych, jedną z przyczyn wprowadzenia prawnej ochrony poufności przetwarzania było upowszechnienie zastosowań technologii komputerowych. Technologia ta sprawiła bowiem, że oprócz zwiększenia szybkości wykonywania operacji na danych, pojawiły się również nowe, niespotykane dotąd możliwości w zakresie ich przekazywania i udostępniania. Najbardziej znaczącymi przykładami aktów prawnych, których wprowadzenie uzasadniono między innymi rozwojem technologii systemów informatycznych, są takie akty międzynarodowe jak Konwencja nr 108 Rady Europy o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych podpisana w dniu 28 stycznia 1981 r. oraz Dyrektywa 95/46/EC Parlamentu Europejskiego oraz Rady z 24 października 1995 r. o ochronie osób w związku z przetwarzaniem danych osobowych oraz o swobodnym obiegu tychże danych. W uzasadnieniu tych dokumentów wyraźnie wskazano na zagrożenie prywatności w wyniku zastosowań systemów informatycznych. 2 Prawne wymagania dotyczące poufności przetwarzania danych w Polsce W Polsce obowiązuje szereg ustaw, w których wyraźnie zapisano obowiązek zachowania poufności danych, pozyskanych w związku ze świadczeniem określonych usług. Niektóre z nich, jak np. ustawa o zawodzie lekarza, w której mówi się o obowiązku zachowania w tajemnicy informacji o stanie zdrowia pacjenta, mają swoją głęboką tradycję. Nakładany w nich obowiązek zachowania w tajemnicy pozyskanych informacji odnosi się zazwyczaj do osób świadczących określone usługi w sensie zakazu przekazywania tych informacji osobom postronnym, a nie w sensie zapewnienia techniczno-organizacyjnych warunków, które uniemożliwiały by ich nieuprawnione przetwarzanie. Istnieją również ustawy, jak np. ustawa o ochronie danych osobowych (2), czy ustawa o ochronie informacji niejawnych (3), które obowiązek zachowania w tajemnicy przetwarzanych danych nakładają nie tylko na osoby będące w ich posiadaniu, ale na całą infrastrukturę techniczno-organizacyjną, służącą do ich przetwarzania. Cechą charakterystyczną tych ostatnich jest to, że odnoszą się one nie tylko do ochrony poufności informacji, ale również do sposobu ich przetwarzania. Elementy te zależne są w znacznym stopniu od infrastruktury informatycznej, na którą składają się komputery, oprogramowanie systemów operacyjnych komputerów, urządzenia sieciowe, oprogramowanie zarządzania siecią, systemy zarządzania bazami danych oraz aplikacje dostarczające szereg określonych procedur i funkcji dla automatycznej obróbki danych i ich prezentacji. Zarówno w ustawie o ochronie danych osobowych, jak i w ustawie o ochronie informacji niejawnych, sformułowano szereg wymagań dotyczących autoryzacji przetwarzanych informacji, ich integralności oraz zapewnienia informacji na temat źródła jej pozyskania oraz podmiotów, którym została przekazana. Wiadomo, że w przypadku stosowania systemów informatycznych sposób przetwarzania informacji jak i sposób realizacji wymagań w zakresie realizacji niektórych wymogów silnie uzależniony jest od dostępnej w danym czasie technologii. Technologia ta bardzo szybko się zmienia co jest źródłem zarówno nowych możliwości jak i zagrożeń. Czynniki te w znacznym stopniu utrudniają możliwość prawnych uregulowań w zakresie warunków jakim powinny odpowiadać systemy informatyczne do przetwarzania danych, których obowiązek zachowania w poufności wynika z przepisów prawa. Jedną z przyczyn tych trudności jest po pierwsze brak odpowiednich standardów w zakresie kwalifikacji bezpieczeństwa systemów informatycznych, a po drugie, jeśli w niektórych zakresach standardy odpowiednie istnieją, brak stosowania w polskim systemie prawnym praktyk, polegających na odwoływaniu się do nich. Stąd też w większości aktów prawnych, zarówno rangi ustawowej jak i przepisów wykonawczych warunki, jakim powinny odpowiadać systemy informatyczne, używane do przetwarzania prawnie chronionych informacji, nie są określane w ogóle lub są mało precyzyjne. W wielu przepisach mówi się jedynie o konieczności zapewnienia odpowiedniego poziomu

3 bezpieczeństwa przetwarzanej informacji bez bliższej specyfikacji co konkretnie należy pod tym pojęciem rozumieć. Tak na przykład, w rozporządzeniu Ministra Zdrowia z dnia 10 sierpnia 2001 r. w sprawie rodzajów dokumentacji medycznej w zakładach opieki zdrowotnej, sposobu jej prowadzenia oraz szczegółowych warunków jej udostępniania zapis dotyczący obowiązku zabezpieczenia danych w przypadku gdy dane te przetwarzane są za pomocą systemu informatycznego zawarty w 3 ograniczony jest do zapisu: Zbiory informacji objętych dokumentacją mogą być sporządzane i utrwalane także na komputerowych nośnikach informacji pod warunkiem: 1) Zachowania selektywności dostępu do zbioru informacji, 2) Zabezpieczenia zbioru informacji przed dostępem osób nieuprawnionych, 3) Zabezpieczenia zbioru informacji przed zniszczeniem. Nieco szerzej, ale nadal bardzo ogólnie, wymóg dotyczący zabezpieczenia danych przetwarzanych w systemach informatycznych zawarto w ustawie o rachunkowości z dnia 19 listopada 1994 r. Jej nowelizacja z dnia 9 listopada 2000 r. wprowadza zapis dotyczący ochrony danych zawarty w art. 71 ust. 2. ograniczony do następującego sformułowania Przy prowadzeniu ksiąg rachunkowych przy użyciu komputera ochrona danych powinna polegać na stosowaniu odpornych na zagrożenia nośników danych, na doborze stosownych środków ochrony zewnętrznej, na systematycznym tworzeniu rezerwowych kopii zbiorów danych zapisanych na nośnikach komputerowych, pod warunkiem zapewnienia trwałości zapisu informacji systemu rachunkowości, przez czas nie krótszy od wymaganego do przechowywania ksiąg rachunkowych, oraz na zapewnieniu ochrony programów komputerowych i danych systemu informatycznego rachunkowości, poprzez stosowanie odpowiednich rozwiązań programowych i organizacyjnych, chroniących przed nieupoważnionym dostępem lub zniszczeniem. W treści wymienionych dokumentów nie podaje się ani środków ani sposobu, w jaki cele te można osiągnąć. Nie określono również żadnych minimalnych warunków, które gwarantowałyby osiągnięcie odpowiedniej skuteczności zabezpieczeń. Jednym z pierwszych dokumentów, w którym wskazano sposób, w jaki należy zabezpieczać przetwarzane dane jest rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 3 czerwca 1998 r. w sprawie określenia podstawowych warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne, służące do przetwarzania danych osobowych z późniejszymi zmianami zwane dalej rozporządzeniem. Jest ono wykonaniem delegacji zawartej w art. 45 pkt 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. W rozporządzeniu tym wskazano podstawowe standardy niezbędne do uzyskania określonego poziomu bezpieczeństwa oraz wymieniono podstawowe cechy funkcjonalne systemu, które są niezbędne do zrealizowania wskazanych w ustawie o ochronie danych osobowych obowiązków administratora danych. Wspomniane rozporządzenie uznać można za pewnego rodzaju punkt zwrotny w kreowaniu prawa w tej dziedzinie. Wcześniejsze przepisy prawne w tym zakresie nie dawały żadnych możliwości egzekwowania działań zapobiegawczych. Brak miar w zakresie oceny stopnia bezpieczeństwa systemu informatycznego oraz warunków, jakie systemy te powinny spełniać, powodował, że formalna ocena działań administratora podjętych w zakresie zachowania poufności danych nie była możliwa. Okoliczności te powodowały, że praktycznie istniała sytuacja, w której nieprzestrzeganie prawa można było dowieść jedynie wówczas, gdy pojawiły się skutki jego naruszenia.

4 Wprowadzenie rozporządzenia w sprawie określenia podstawowych warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne, służące do przetwarzania danych osobowych spowodował, że pojawiły się realne możliwości prawnego wyegzekwowania określonych działań zapobiegawczych. Te z kolei powodują zmniejszanie się lub całkowite wyeliminowanie niebezpieczeństwa naruszenia ochrony danych. Głównym celem podejmowanych działań legislacyjnych jest bowiem niedopuszczenie do niezgodnego z prawem przetwarzania danych, a nie identyfikacja naruszeń prawa, usuwanie skutków czy też karanie odpowiedzialnych za to osób. O dużym znaczeniu wymienionego wyżej rozporządzenia świadczy również fakt, że w zakresie ochrony poufności przetwarzanych danych, odwołują się do niego inne przepisy. Do rozporządzenia tego odwołują się między innymi Rozporządzenie Ministra Sprawiedliwości z dnia 11 czerwca 2001 r. w sprawie gromadzenia danych osobowych w Krajowym Rejestrze Karnym oraz usuwania tych danych z Rejestru. W 3 tego rozporządzenia zapisano Do zabezpieczenia danych osobowych zgromadzonych w Rejestrze stosuje się przepisy rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 3 czerwca 1998 r. w sprawie określenia podstawowych warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. Nr 80, poz. 521), ze zmianami i uzupełnieniami wynikającymi z niniejszego rozporządzenia. Innym, również bardzo ważnym aktem prawnym, który przyczynił się do uregulowania minimalnych warunków bezpieczeństwa przetwarzania informacji w systemach informatycznych i teleinformatycznych była wspomniana już ustawa o ochronie informacji niejawnych. W rozdziale 10 tej ustawy, dotyczącym bezpieczeństwa systemów i sieci teleinformatycznych, określono zasady i warunki jakim powinna odpowiadać polityka bezpieczeństwa systemów teleinformatycznych. W wydanym do niej rozporządzeniu Prezesa Rady Ministrów z dnia 25 lutego 1999 r. w sprawie podstawowych wymagań bezpieczeństwa systemów i sieci teleinformatycznych warunki te uściślono, wskazując konkretne wymagania technologiczne odnośnie do dopuszczanych metod i środków ich realizacji. 3 Propozycje zmian warunków jakim powinny odpowiadać systemy informatyczne służące do przetwarzania danych osobowych Rozporządzenie odnoszące się do podstawowych warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych opracowane było około 4 lata temu. W obszarze dotyczącym bezpieczeństwa systemów informatycznych odnosi się ono głównie do systemów scentralizowanych, w których administrator ma z reguły pełną kontrolę nad użytkownikami. W systemach takich użytkownik w celu uzyskania dostępu do przetwarzania danych musi uzyskać stosowne uprawnienia od administratora. Rozporządzenie to, już w chwili, kiedy zostało opracowane posiadało pewne nieaktualne sformułowania. Tak na przykład, w zakresie autoryzacji dostępu do danych zapisano w nim wymóg, aby użytkownik przed rozpoczęciem przetwarzania wprowadził nazwę swojego identyfikatora i hasło. Wymóg ten wprowadzono, pomimo, że już wówczas znane były inne, nie mniej skuteczne metody autoryzacji, w których dla potwierdzenia tożsamości użytkownik mógł użyć karty mikroprocesorowej, żetonu w postaci np. specjalnego kluczyka czy też odcisku palca. Nie trzeba również nikogo przekonywać, że okres czterech lat dla technologii informatycznej to okres, w którym technologia ta ulega znacznym zmianom nie tylko w zakresie mocy obliczeniowych, ale również architektury systemów informatycznych i dostępnych sposobów przetwarzania informacji. Na przeobrażenia w sposobie przetwarzania, szczególny wpływ odegrało w ostatnim okresie opracowanie i rozwój nowych języków programowania zorientowanych głównie na potrzeby w zakresie programowania interaktywnych systemów internetowych. Stąd też przygotowywany projekt

5 zmiany rozporządzenia należy uznać jako naturalne jego uaktualnienie wynikające z potrzeby uwzględnienia nowych rozwiązań. Podobne prace prowadzone są w wielu różnych krajach oraz różnych grupach i organizacjach na forum międzynarodowym. Wśród tych ostatnich można wymienić między innymi Grupę Koordynacyjną CJ-PD-CJ przy Radzie Europy, Grupę Roboczą Artykułu 29 przy Komisji Europejskiej oraz Międzynarodową Grupę Robocza zajmującą się problematyką ochrony danych osobowych w telekomunikacji (Grupa Berlińska). Do najważniejszych prac wymienionych zespołów w dziedzinie ochrony danych osobowych zaliczyć można różnego rodzaju wyjaśnienia, zalecenia, stanowiska i rekomendacje odnoszące się do ochrony danych osobowych w środowisku nowych technologii informatycznych (4,5,6,7,8). Zastosowanie tych technologii powoduje, że zmiany i uaktualnienia, jakie należy w związku z ich wdrożeniem wprowadzić dotyczą zarówno czynników organizacyjnych, jak i technicznych Propozycje zmian w zakresie wymagań organizacyjnych Jak już wspomniano wcześniej elementy bezpieczeństwa systemów informatycznych zależne są zarówno od czynnika organizacyjnego jak i od stosowanej technologii. Oczywistym jest więc fakt, że wraz ze starzeniem się technologii starzeje się polityka bezpieczeństwa. Stąd też jedną z propozycji zmian w rozporządzeniu jest zmiana odnosząca się do polityki bezpieczeństwa. Z uwagi na nieporównywalną wręcz skalę problemów związanych z zabezpieczeniem dużych, rozproszonych systemów informatycznych w porównaniu z zabezpieczeniem pojedynczych stacji roboczych zaproponowano aby: w przypadku, gdy system informatyczny, w którym przetwarzane są dane osobowe pracuje w środowisku sieciowym, administrator danych obowiązany był do opracowania polityki bezpieczeństwa w formie odrębnego dokumentu obejmującego politykę bezpieczeństwa w zakresie zarządzania i eksploatacji: 1) systemów informatycznych i sieci teleinformatycznych, 2) poszczególnych systemów informatycznych, w których przetwarzane są dane osobowe, oraz w przypadku, gdy system informatyczny, w którym przetwarzane są dane osobowe, zainstalowany jest na komputerze jednostanowiskowym, nie włączonym do sieci teleinformatycznej, administrator danych obowiązany był jedynie do opracowania instrukcji określającej sposób zarządzania systemem informatycznym, służącym do przetwarzania danych osobowych, ze szczególnym uwzględnieniem wymogów bezpieczeństwa informacji, o której mowa w dalszej części, rozszerzonej o elementy dotyczące polityki bezpieczeństwa. Wyraźnie zaznaczono jednocześnie, że: Polityka bezpieczeństwa, powinna uwzględniać w szczególności zagrożenia mogące mieć wpływ na bezpieczeństwo przetwarzania danych osobowych oraz ilość, zakres i kategorie przetwarzanych danych, Polityka bezpieczeństwa powinna być na bieżąco aktualizowana i dostosowywana do zmieniających się technologicznych warunków przetwarzania danych osobowych oraz pojawiających się nowych zagrożeń, Polityka bezpieczeństwa powinna w szczególności określić potrzeby i nakazywać działania w zakresie:

6 a) Określenia środków technicznych i organizacyjnych stosowanych w celu zabezpieczenia przetwarzanych danych, b) Monitorowania poprawności funkcjonowania wdrożonych zabezpieczeń, c) Przeprowadzania okresowych zmian i uaktualnień procedur organizacyjnych oraz wdrożonych środków technicznych i programowych, d) opracowywania i wdrażania programów szkoleń w zakresie zabezpieczeń systemów informatycznych, e) wykrywania i właściwego reagowania na przypadki naruszenia bezpieczeństwa danych osobowych i systemów informatycznych je przetwarzających. Zaproponowano również, aby niezależnie od bieżącej weryfikacji polityki bezpieczeństwa wykonywanej na skutek wprowadzanych zmian, weryfikację taką wykonywać obligatoryjnie, co najmniej jeden raz w roku, a wynikające z niej wnioski, w formie pisemnej załączać do dokumentów określających politykę bezpieczeństwa. W opracowywanych propozycjach nowelizacji rozporządzenia sugeruje się również doprecyzować zawarte w aktualnie obowiązującym rozporządzeniu wymogi, odnoszące się do upoważnienia do przetwarzania danych osobowych wydawanego przez administratora danych oraz formy prowadzenia ewidencji osób zatrudnionych przy przetwarzaniu danych, do której prowadzenia zobowiązuje art. 39 ustawy. Proponuje się, aby upoważnienie do przetwarzania danych osobowych zawierało imię i nazwisko osoby, której dotyczy oraz aby wskazywało: zakres i kategorie danych osobowych, do przetwarzania których dana osoba ma uprawnienia, oraz wykaz zbiorów danych osobowych i systemów informatycznych, do użytkowania których dana osoba ma uprawnienia. W zakresie dotyczącym sposobu prowadzenia ewidencji proponuje się zapisać wymóg aby ewidencja ta zawierała oprócz imienia, nazwiska i identyfikatora również takie informacje jak: zakres przyznanych uprawnień do przetwarzania danych osobowych w ramach poszczególnych systemów oraz okres ich obowiązywania ważności (od - do). Opracowywany projekt przewiduje także wprowadzenie dwóch kategorii stref, w których przetwarzane są dane osobowe. Dotychczas rozróżnienia takiego nie było, co komplikowało zarządzanie dostępem do obszarów, w których przetwarzane były dane osobowe. W opracowywanej propozycji przewiduje się następujące strefy: Strefa I -pomieszczenia z urządzeniami i nośnikami danych, na których zlokalizowane są zbiory danych osobowych, oraz Strefa II -pomieszczenia z urządzeniami, na których nie są zlokalizowane dane osobowe, ale które umożliwiają dostęp do tych danych poprzez sieć komputerową za pośrednictwem terminali lub stacji roboczych po wykonaniu odpowiedniej procedury autoryzacji. Przebywanie wewnątrz strefy I, osób nieuprawnionych do przetwarzania danych osobowych, powinno być dopuszczalne tylko pod warunkiem uzyskania zgody administratora danych oraz w obecności osób przez niego upoważnionych. Przebywanie wewnątrz strefy II osób nieuprawnionych do przetwarzania danych osobowych, powinno być dopuszczalne pod warunkiem uzyskania zgody administratora danych. Obydwie wymienione strefy, powinny być

7 fizycznie zabezpieczone w sposób uniemożliwiający dostęp do nich osób nieuprawnionych. W odniesieniu natomiast do komputerów przenośnych, używanych do przetwarzania danych osobowych zaproponowano, aby obligatoryjnie wprowadzić obowiązek kryptograficznej ochrony znajdujących się na nich zbiorów danych osobowych. Do warunków organizacyjnych można zaliczyć również wymagania odnoszące się do obowiązku opracowania przez administratora danych instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. W projekcie przewiduje się aby instrukcja taka, oprócz dotychczas wymienionych zagadnień zawierała opis przetwarzanych zbiorów danych osobowych oraz używanych do tego celu narzędzi. Proponuje się, aby opis, o którym mowa wyżej, zawierał w szczególności: 1) Nazwy i lokalizacje zbiorów danych oraz systemów informatycznych i programów (aplikacji) użytych do ich przetwarzania. 2) Kategorie danych osobowych przetwarzanych w tych zbiorach wraz z podziałem na poszczególne aplikacje służące do ich przetwarzania. 3) Wykaz administratorów środowiska systemowego komputerów (systemu operacyjnego, systemów zabezpieczających i/lub bazy danych), w którym zlokalizowane są zbiory danych osobowych i aplikacje używane do ich przetwarzania (identyfikator, zakres uprawnień). 4) Schemat logiczny przepływu i powiązań danych osobowych pomiędzy poszczególnymi bazami (zbiorami danych), jeżeli przepływy lub powiązania takie istnieją Propozycje zmian w zakresie wymagań techniczno funkcjonalnych Cechą charakterystyczną wymagań zawartych w rozporządzeniu, dotyczącym technicznoorganizacyjnych warunków, jakim powinny odpowiadać urządzenia i systemy informatyczne używane do przetwarzania danych osobowych jest to, że poza elementami związanym z bezpieczeństwem poufności przetwarzania określają one również szereg wymagań odnoszących się do ich funkcjonalności. Uzasadnieniem tych potrzeb są ustawowo określone prawa osoby, której dane są przetwarzane, zawarte głównie w art. 32 do 35 ustawy. W aktualnie obowiązującej wersji rozporządzenia, warunki, dotyczące organizacji i funkcjonalności systemu służącego do przetwarzania danych osobowych, odnoszące się do zapewnienia odpowiedniego poziomu bezpieczeństwa przetwarzanych danych, zawarte są w 14. Dotyczą one, jak wspomniano we wstępie, głównie systemów o scentralizowanym zarządzaniu, gdzie administrator jest w stanie kontrolować wszystkich jego użytkowników, i w odniesieniu do których wiadomo na ogół, czyją są własnością, i przez kogo są administrowane. W opracowywanym projekcie zmian, proponuje się jedynie nieznaczne zmiany. Sugeruje się między innymi usunąć istniejący aktualnie zapis bezwzględnego stosowania hasła w procesie autoryzacji sformułowaniami bardziej ogólnymi, pokrywającymi swym zasięgiem znane obecnie, inne technologie autoryzacji, takie jak: technologia autoryzacji biometrycznej czy kryptografia. Niezależnie od wprowadzonych do 14 zmian w opracowywanym projekcie sugeruje się dodanie dodatkowego paragrafu, w którym zawarto by warunki, jakim powinny odpowiadać systemy informatyczne używane do przetwarzania danych osobowych w środowisku internetowym. Warunki te sformułowano w sposób następujący: 1. Podmiot przetwarzający dane osobowe z wykorzystaniem technologii umożliwiających przetwarzanie danych na odległość (np. usług internetowych) zobowiązany jest do stosowania takich systemów informatycznych, które zapewniają odpowiednią funkcjonalność w zakresie:

8 1) Poinformowania użytkownika w sposób łatwo dostępny i jednoznaczny o nazwie podmiotu świadczącego usługę, adresie jego siedziby, kontakcie telefonicznym, adresie poczty elektronicznej. 2) Poinformowania użytkownika o zamiarze zbierania danych osobowych. 3) Ostrzeżenia użytkownika o zamiarze zapisywania na jego stacji komputerowej jakichkolwiek informacji, które pozostawałyby w jego pamięci po zakończeniu połączenia. np. plików cookies, procedur, agentów programowych itp. 4) Ostrzeżenia użytkownika o zamiarze pobierania z jego stacji komputerowej jakichkolwiek informacji np. plików cookies, chyba, że zgoda na takie czynności zapisana jest w pliku określającym tzw. preferencje użytkownika. 5) Poinformowania użytkownika o tym, jakie kategorie danych i w jakim celu będą przetwarzane. 6) Możliwości rezygnacji użytkownika z oferowanej usługi przed rozpoczęciem przetwarzania danych. 7) Odnotowania daty wykonania operacji pozyskania danych osobowych oraz parametrów identyfikujących końcówkę abonencką (np. numer telefonu, nazwa lub numer IP komputera), z którego dane zostały pozyskane. 8) Odnotowania nazwy lub pseudonimu użytkownika wprowadzającego dane, jeżeli jego identyfikacja jest możliwa poprzez zastosowanie odpowiednich metod autoryzacji. 9) Możliwości wniesienia przez użytkownika sprzeciwu wobec przetwarzania jego danych osobowych, w przypadku, gdy dane te przetwarzane są na podstawie art. 23 ust. 1 pkt 4 i 5 ustawy, gdy dane te przetwarzane są w celach marketingowych lub przekazywane innym administratorom. 10) Poinformowania użytkownika o trybie i formie realizacji wymogów określonych w art. 32 ust.1 pkt. 6-9 ustawy. 2. Funkcjonalność, o której mowa w punkcie 1 w przypadku wykorzystywania witryn internetowych powinna być tak zrealizowana aby: 1) Informacje, o których mowa w punkcie 1.1 były zawarte bezpośrednio na stronie głównej witryny (home page) lub stronie, do której istnieje wyraźnie oznaczone odwołanie ze strony głównej. 2) Ostrzeżenia, o których mowa w punktach 1.4 i 1.5 powinny poprzedzać wykonywanie operacji, o których stanowią i umożliwić użytkownikowi rezygnację z oferowanych usług. 3) Edycja lub usuwanie danych przez osobę, której dotyczą w ramach realizacji wymogu, o którym mowa w punkcie 1.9 było poprzedzone autoryzacją użytkownika. W celu wyjaśnienia zapisów zawartych w wyżej wymienionych punktach 1.9 i 1.10, pragnę dodać, że zapisy art. 23 ust.1 pkt 4 i 5 ustawy odnoszą się do legalności przetwarzania danych osobowych i mówią, że ich przetwarzanie jest dopuszczalne wtedy, gdy: jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego - ust. 1 pkt. 4, oraz gdy: jest niezbędne do wypełnienia prawnie usprawiedliwionych celów administratorów danych, lub osób trzecich, którym są przekazywane te dane - a przetwarzanie danych nie narusza praw i wolności osoby, której dane dotyczą - ust. 1 pkt 5. Zapisy zawarte w art. 32 ust 1 pkt. 6-9 ustawy dotyczą z kolei prawa osoby, której dane są przetwarzane do żądania od administratora

9 ich uzupełnień, korekty czy też usunięcia, w zależności od tego, jaka jest prawna podstawa legalności ich przetwarzania. 4 Wnioski Obserwując dynamikę rozwoju technologii informatycznej i ciągle pojawiające się nowe pomysły w zakresie jej zastosowań, można stwierdzić, że ich usystematyzowanie i znormalizowanie będzie problemem bardzo trudnym. Niepokojące wydają się być zjawiska, występującego w wielu obszarach zastosowań, pewnego rodzaju piractwa komputerowego. W sieciach komputerowych dystrybuowane są różnego rodzaju narzędzia, przed którymi coraz trudniej ochronić podłączone do niej komputery. Oferowane często programy, oprócz swych głównych funkcji zawierają ukryte procedury, o których użytkownik nie jest informowany. Dotyczy to głównie programów darmowych. Przykładem może być tutaj np. działalność firmy Aureate, która w swoim systemie szpiegowskim dołączanym do innych użytkowych programów dołączała biblioteki, które podczas łączenia się użytkownika z Internetem wysyłała jego dane na swój serwer. Jak wynika z badań przeprowadzonych przez Daniela Behrensa i innych (8), biblioteka ta, używając portu 1749 wysyłała na serwer firmy Aureate następujące dane: imię i nazwisko zapisane w Rejestrze Windows, numer IP komputera, adres DNS, spis oprogramowania zainstalowanego na komputerze oraz adresy URL wszystkich stron WWW i FTP, które odwiedzał użytkownik wraz z informacjami o wykonywanych czynnościach. Wśród wykonywanych przez użytkownika czynności rejestrowano: kliknięcia banerów, informacje o pobieraniu plików (nazwa i typ pliku, rozmiar, data i czas utworzenia), konfigurację połączenia Dial-Up, hasło dla Dial-Up, jeżeli było zapisane w systemie. Podobnych przykładów można znaleźć więcej. Czy wprowadzone w projektowanym rozporządzeniu zastrzeżenia w tej kwestii zostaną zaakceptowane i czy okażą się wystarczające, zależeć będzie w dużej mierze od świadomości użytkowników i ich ostrożności. Optymistyczne wydaje się to, że do akcji takich włącza się coraz więcej jednostek. Rośnie również świadomość dostawców usług internetowych w zakresie obowiązków ochrony prywatności swoich klientów. Na stronach internetowych coraz częściej znajdujemy informacje o zasadach ochrony prywatności. Jak wynika z badań CERT POLSKA (10), przeprowadzonych w porozumieniu z Biurem Generalnego Inspektora Ochrony Danych Osobowych w zakresie zabezpieczenia prywatności w usługach internetowych, środki formalno-prawne i techniczne stosowane przez największych w Polsce dostawców usług internetowych nie są wystarczające. Wiele pracy czeka dostawców różnego rodzaju usług internetowych z udoskonalaniem technologii bezpiecznej transmisji, z zapewnieniem systemom internetowym wymaganej funkcjonalności oraz budową i wdrażaniem środków wspomagających stosowanie podpisu elektronicznego. 5 Bibliografia 1. Polska Norma, PN-I Technika Informatyczna - Wytyczne do zarządzania bezpieczeństwem systemów informatycznych - Pojęcia i modele bezpieczeństwa systemów informatycznych. 2. Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, (Dz.U ). 3. Ustawa z dnia 22 stycznia 1999 r. o ochronie informacji niejawnych, (Dz.U ).

10 4. Rekomendacja Rady Europy Nr R (99) 5 z dnia 23 lutego 1999 r. dotycząca ochrony prywatności w Internecie (Recommendation No. R (99) 5 Of the Committee of Ministers to Member States for the Protection of Privacy on the Internet - Guidelines for the protection of individuals with regard to the collection and processing of personal data on information highways). 5. Rekomendacja Nr 1/99 Grupy Roboczej Artykułu 29 z dnia 23 lutego 1999 r. w sprawie ukrytych procedur automatycznego przetwarzania danych w Internecie stosowanych w oprogramowaniu i sprzęcie (Recommendation 1/99 on Invisible and Automatic Processing of Personal Data on the Internet Performed by Software and Hardware, Working Party on the Protection of Idividuals with regard to the Processing of Personal data). 6. G. Buttarelli; Protection of personal data with regard to surveillance ; Reaport opracowany na zlecenie Grupy Projektowej w Zakresie Ochrony Danych (CD-PD) przy Rady Europy; Raport dostępny jest na stronie internetowej Rady Europy pod adresem: 7. K. Neuwirth; Report on the protection of personal data with regard to the using of smart cards ; Reaport opracowany na zlecenie Grupy Projektowej w Zakresie Ochrony Danych (CD-PD) przy Rady Europy; Raport dostpęny jest na stronie internetowej Rady Europy pod adresem: 8. Privacy on the Internet - An integrated EU Approach to On-line Data Protection - Dokument Grupy Roboczej Artykułu 29 przyjęty w listopadzie 2000 r. 9. Daniel Behrens i inni; Szpieg w pececie; PC World Komputer Nr 11/ Andrzej Chrząszcz, Mirosław Maj; Zabezpieczenie prywatności w usługach internetowych na przykładzie dostarczycieli darmowych kont poczty elektronicznej ; Raport CERT POLSKA dostępny na stronie