Dobrodziejstwo i zagrożenia systemów do monitorowania sieci…czyli seks w ochronie danych osobowych cz.2

Ustawa o Ochronie Danych Osobowych wskazuje na zadania, które nierozerwalnie wiążą się z monitoringiem, a więc i z narzędziami, które do tego wykorzystamy. Podobnie  Rozporządzenie Ministra Spraw Wewnętrznych
i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne – w szczególności w zakresie definiowanym jako podwyższony (punkt XII.2 załącznika do Rozporządzenia). Problem zaczyna się wtedy, gdy nie sprawdzimy lub co gorsza nie jesteśmy świadomi zakresu danych jakie przechowuje nasz system do monitorowania sieci. Dlaczego? Dane zgromadzone poprzez system do monitorowania pracy użytkowników mogą być danymi osobowymi pracowników. I jeżeli spełniony jest warunek gromadzenia informacji stanowiących dane osobowe, wówczas dane te mogą być przechowywane prze określony czas
i muszą być zabezpieczone zgodnie z zasadami, o których mówi ww. Ustawa
i Rozporządzenie, co więcej należy zarejestrować w GIODO zbiór danych z określeniem wszystkich parametrów, jakie w tym zakresie są wymagane.

Kiedy nie mamy takiego problemu? Wtedy, gdy dane nie są gromadzone
z przypisaniem do użytkownika, a jedynie do stanowiska i nie będzie możliwy do spełnienia warunek, że określenie personalnie osoby będzie wymagało niskiego nakładu kosztów.

To jednak niewielki problem. Jeżeli bowiem monitorujemy ruch na styku sieci – publicznej i wewnętrznej, w której przetwarza się dane osobowe i będziemy zbyt gorliwi
w rejestrowaniu danych, może się okazać, że zaczniemy przetwarzać dane wrażliwe.
I tu najlepszym przykładem są tzw. brzydkie strony. Jeżeli rejestrujemy tylko adresy główne – to pół biedy, ale jeżeli rejestrujemy co na tych witrynach było oglądane, to mamy niestety zbiór danych określający preferencje seksualne. Brzmi śmiesznie, prawda, ale jak się dobrze temu przyjrzeć, to problem jest poważny. Wystarczy sobie tylko wyobrazić, że taka baza „wyjeżdża” nam z zasobów na zewnątrz – konsekwencje mogą być opłakane. Zatem albo zweryfikujemy to, co gromadzimy i poprzestaniemy na tym, co jest nam potrzebne albo rejestrujemy zbiór – przy czym tu musimy się liczyć z tym, że GIODO go nie zarejestruje, bo nie uzna naszego uzasadnienia, po co nam wiedza na temat „brunetki czy blondynki”. Warto też zawsze rozważyć ograniczenie ruchu do obszarów Internetu związanych z pracą, to ułatwi nam życie. A i tak nie zmieni to faktu, że Ustawa o Ochronie Danych Osobowych to jak Kuchnia Pełna Niespodzianek i jeżeli nie potraktujemy tematu poważnie, nigdy nie będziemy pewni co nam jutro przyniesie.

A co Wy o tym sądzicie? Jakie są Wasze doświadczenia?

Jacek Rembikowski