Chwila na identyfikację aktorów biorących udział w sztuce pt. "Ochrona danych osobowych" :)
Zaczniemy od
ADO, czyli
Administratora Danych Osobowych.
Aktor ten pojawia się już w art. 7, gdzie jest opisany jako organ/podmiot/osoba prywatna, która decyduj o celach i środkach przetwarzania danych osobowych. Ha..., czyli jest to biedak, na którym ciąży cała odpowiedzialność za przetwarzane dane. ;) Według art. 36 ADO "jest zobowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę danych osobowych odpowiednią do zagrożeń oraz kategorii danych" oraz "prowadzi dokumentację opisującą sposób przetwarzania danych".
Żeby się biedny ADO nie namęczył za bardzo, powinien mieć swoją "prawą rękę", czyli
ABI -
Administratora Bezpieczeństwa Informacji. Aktor ten pojawia się w art. 36 ust. 3 scenariusza (ustawy) jako osoba nadzorująca przestrzeganie zasad ochrony danych ;). Tu pojawia się problem interpretacji obowiązków i odpowiedzialności. Z ustawy wynika, że cała odpowiedzialność spoczywa na ADO. Nie ma jasno napisane, że w przypadku powołania ABI, to on przejmuje odpowiedzialność za uchybienia. Ale tak po ludzku, ABI jest odpowiedzialny za całokształ działań mających na celu zabezpieczenie procesu przetwarzania informacji w jednostce organizacyjnej. I to bez różnicy, czy przetwarzania dokonywane jest w systemach informatycznych czy w formie papierowej.
Skoro pojawia się system informatyczny (komputery, serwery, programy i sieć komputerowa), to pojawić się musi
ASI, czyli
Administrator Systemu Informatycznego. Jest to dość nietypowy aktor, ponieważ nie ma o nim mowy w scenariuszu, ale w momencie, kiedy dane są przetważane przy użyciu komputerów, zawsze pojawia się na drugim planie. Techniczny, często zamkniety w swoim pokoju, wsłuchany w szum wentylatorów i odpowiedzialny za bezpieczeństwo danych. ;) ASI jest nadzorowany przez ABI i podlega karom wynikającym ze stosunku pracy. No i oczywistość oczywista - ASI nie powinien być jednocześnie ABI. Bo jak tu kontrolować samego siebie?
A skoro dane są przetwarzane, to muszą być osoby
przetwarzające dane osobowe. Zgodnie z art. 37, są to osoby dopuszczone do przetwarzania danych na podstawie upoważnienia wydanego przez ADO, który dodatkowo musi prowadzić rejestr tych osób (art. 39). W ustawie zapisanyc jest wymóg, że "osoby, które zostały upoważnione do przetwarzania danych obowiązane są zachować w tajemnicy te dane osobowe oraz sposoby ich zabezpieczenia". Niby krótki wpis, a jaki uciążliwy. Bo jak tu pracować i wpisywać z pamięci te długie hasła. I w dodatku nie można mieć ich zapisanych na kolorowych karteczkach na monitorze lub pod klawiaturą. ;) I zupełnie nie można poplotkować z koleżanką o tym, że Kowalski zmienił mieszkanie, albo że znowu firma musiała zmienić zamki, bo Krysia zgubiła klucze. ;) Może trochę przesadziłem z sarkazmem, ale jak tu wytłumaczyć, że nie należy zapisywać haseł na monitorze i w dodatku długiego hasła i to takiego, co się zmienia co 30 dni. :)
W ustawie pojawia się jeszcze
odbiorca danych. Art. 7 opisuje tegoż aktora, poprzez negację. Odbiorcą danych na pewno nie jest:
- osoba, której te dane dotyczą (a wiec osoba, której dane są przetwarzane)
- osoba, która jest upoważniona do przetwarzania danych (a więc upoważniona przez ADO)
- przedstawiciel opisany w art. 31a, a więc osoba upoważniona przez ADO w przypadku przetwarzania danych poza granicami RP
- podmiot z art. 31, czyli podmiot przetwarzający dane na podstawie umowy (outsor)
- organ państwa lub samorządu, które otrzymały dane w związku z prowadzonym postępowaniem.
A więc kim jest odbiorca danych? Grom go wie ;)
No i mamy jeszcze
szarego człowieczka, którego to dane są przetwarzane w systemach danych, czyli właściciel tych danych. To dla ochrony jego danych i wolności została napisana ustawa. To on jest winien tego całego zamieszania. Sam aktor nie pojawia się w scenariuszu, ale pojawiają się jego dane. W sumie jest to temat na oddzielny tekst. :)
A nad wszystki czuwa...
GIODO, czyli
Generalny Inspektor Ochrony Danych Osobowych. Jest to dość ważna persona w tej sztuce i poświęcony jej został cały rozdział 2 ustawy. Aktor ten powoływany jest przez Sejm za zgodą Senatu (art. 8) na 4 lata i musi być "czysty", "wyróżniać się wysokim autorytetem moralnym" i na stałe mieszkać na terenie RP, jako jej obywatel. To w skrócie. ;) Dalej rozdział 2 dokładnie opisuje sprawy związane z wymogami, przywilejami i zadaniami spoczywającymi na GIODO. Jest też mowa o jego zastępcy. Najwżniejsze (dla ADO i ABI) jest to, że GIODO lub jego namiestnik ma prawo kontrolować przetwarzających dane według ściśle okreslonego wzorca oraz nałożyć kary (art. 14 - 19). GooD ;)
Mam nadzieję, że trochę przybliżyłem role i obowiązki poszczególnych postaci. ;)
