Kwestia GIODO – jak postępować z danymi osobowymi

W sierpniu, na własne potrzeby, opracowałem wytyczne dotyczące technicznych aspektów postępowania ze zbiorami danych osobowych, przetwarzanymi w serwisach internetowych. Wnioski, którymi się teraz z wami dzielę, zostały wyciągnięte na podstawie analizy ustaw, komentarzy prawników i przedstawicieli GIODO, oraz dostępnych w sieci opinii. Nie prezentuję tam prawniczych dywagacji, ale kwintesencję tego co istotne z mojego punktu widzenia i co może być użyteczne dla innych osób świadczących usługi w internecie.

Pełną wersję dokumentu można pobrać tutaj w formacie PDF. Poniżej prezentuję kilka wybranych zagadnień:

Czy adres email jest daną osobową?
Zgodnie z interpretacją GIODO sprawa jest jasna: adres email może być uznany za daną osobową, gdy pozwala na zidentyfikowanie osoby fizycznej. Przykładem adresu pozwalającego na identyfikację jest adres w formacie imie.nazwisko@nazwafirm.pl.
Internauci cały czas toczą polemikę w tym temacie, jednak stanowisko urzędników jest niezmienne, a co więcej, logicznie umocowane w ustawie.

Czy zbiór adresów email należy zgłaszać jako bazę danych osobowych?
Jak ustaliliśmy, email może być daną osobową. Jeżeli nie jesteśmy w stanie zapewnić, że w tworzonym zbiorze nie pojawi się adres, który spełni taki warunek, to zbiór adresów email powinien być zgłaszany do GIODO i podlegać wymaganiom ustawy. Można wyobrazić sobie, automatyczną i ręczną weryfikację adresów, przed ich dodaniem do bazy, jednak nieżyciowość takiego rozwiązania jest oczywista.

Zabezpieczenie zbioru danych osobowych.
Minister, w rozporządzeniu o bardzo długiej nazwie (Dz.U. 2004 nr 100 poz. 1024) wydzielił trzy poziomy bezpieczeństwa systemów informatycznych, przy czym poziom podstawowy (najniższy) stosuje się tylko w przypadku, gdy w systemie nie są przetwarzane dane osobowe – a więc nie pozostaje on w zakresie naszych rozważań.
Interesuje nas natomiast poziom podwyższony i wysoki. Poziom podwyższony powinien być stosowany w przypadku gdy system informatyczny, nie jest połączony z siecią publiczną – co w przypadku aplikacji www jest rzadko spotykane (często nawet sieci firmowe czy inne wewnętrzne, mają punkty styku z siecią publiczną), a poziom wysoki, gdy system jest połączony z siecią publiczną.

Ochrona danych, a hosting współdzielony
Istnieje powszechna opinia, jakoby w żadnym przypadku nie było możliwości spełnienia wymogów bezpieczeństwa na hostingu współdzielonym – gdzie obok naszej aplikacji, uruchomionych są dziesiątki innych, a na serwer logują się zupełnie nieznane osoby. Ustawa ani rozporządzenie jednak nie stawiają precyzyjnych wymogów w tej materii, mówią natomiast że rozwiązania z zakresu ochrony danych powinny być dostosowane do zagrożeń oraz kategorii tych danych. W szczególności dane muszą być zabezpieczone przed udostępnianiem, zmianą czy ich utratą. Wydaje się, że poprawnie skonfigurowany serwer obsługujący hosting współdzielony, spełnia te wymagania, co więcej serwery utrzymywane w poważnych centrach danych, którymi operują duże firmy hostingowe, mają szansę być lepiej zabezpieczone niż przypadkowy serwer dedykowany, zarządzany przez niewprawnego administratora. Tak więc zakładam osobiście (nie jest to opinia prawnicza, ale techniczna), że dla wielu typowych rozwiązań (sklepik internetowy, forum itp.) w razie kontroli GIODO można skutecznie obronić się z wykorzystania takiego hostingu. Zadbać należy tylko o wybór sprawdzonego hostingodawcy, z jasną polityką bezpieczeństwa i klarownymi
zasadami tworzenia i odzyskiwania kopii zapasowych oraz, opcjonalnie przeprowadzić z zewnątrz test bezpieczeństwa a jego wyniki zachować na wypadek kontroli.

Pobierz pełną wersję dokumentu w formacie PDF.