Padło podczas bicia pytanie:
Co zrobić ze starymi systemami napisanymi np. w Clipperze i przechowujacymi dane osobowe w niezaszyfrowanych bazach.dbf?
UODO, art. 7, ust. 2a
Ilekroć w ustawie jest mowa o:
[ciach]
2a) systemie informatycznym - rozumie się przez to zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych,
Wiec, skoro system nie ma możliwości automatycznej zmiany haseł co 30 dni, to można opisać w procedurze, że (system informatyczny, to także procedury) np. wyznaczona osoba, raz na 30 dni dokonuje zmiany haseł dla użytkowników. Oj przepraszam - dokladnie opisujemy, że uprawniona osoba "wchodzi" w funkcję zmiany haseł i odwraca głowę, a osoba zainteresowana sama zmienia sobie hasło. Przyznam, że interpretacja jest trochę na siłę, bo nie zazdroszczę takiemu ABI, co wymyśli takie cudo - ale jest to możliwe. ;)
Jakie jest inne wyjście. Dzisiaj mało która firma używa systemy Windows95, Windows98, lub innych systemów opartych na systemach plików, które nie oferują zabezpieczeń. Standardem są odmiany NTFS lub EXTy. Nawet jeżeli gdzieś stoją jeszcze te zabytki, to i tak nie można na nich przetwarzać danych osobowych. Dlaczego: link - szukam linku do orzeczenia.
Skoro system informatyczny, to zespół współpracujących ze sobą programów, to można uznać, że częścią chroniącą dostęp do danych jest system operacyjny (Windows 200, Windows xp, Windows Vista) lub system sieciowy (Windows 200 serwer, Windows 2003, lub Windows 2008) z wdrożonymi, opisanymi przez rozporządzenie i załącznik, zabezpieczeniami (loginy, długość i rotacja haseł, regulacja dostępu do obszarów danych na podstawie uprawnień).Natomiast o odnotowywanie loginów w przypadku wprowadzenia danych osobowych musi zadbać właściwy program, do którego wpisujemy te dane. Tu też potrzebny jest login, ale nie musimy matwić się o długość haseł i ich rotację. Oczywiście hasła muszą też być utrzymywane przez pracowników w tajemnicy.
Takie jajo, w którym skorupka, to system operacyjny lub sieciowy, a żółtko, to program przetwarzający dane. :)
Podobnie sprawa wygląda w przypadku systemów terminalowych, gdzie użytkownik loguje się do systemu operacyjnego, a potem, często innym loginem i hasłem, loguje się właściwego systemu.
Dalej problem z nieszyfrowanymi bazami. Tu trzeba zdać się na kontrolerów z GIODO, którzy w zależności od wielu czynników (zakresu przechowywanych danych, potncjału firmy, rodzaju działalności firmy) uznają czy można używać baz dbf, czy należy zmienić system przechowywania danych na bezpieczniejszy.
Rozporządzenie z załącznikiem określa "podstawowe warunki techniczne i organizacyjne, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych". Inaczej kontrolerzy podejdą do zabezpieczeń stosowanych przez małą firemkę, a inaczej przez wielką korporację. Inna skala, inna ilość, inne możliwe do poniesienia nakłady. ;)
Brak komentarzy:
Prześlij komentarz