Rys. B. Brosz

Obowiązki dotyczące przetwarzania danych osobowych w każdym systemie informatycznym zostały określone w ustawie o ochronie danych osobowych (DzU z 1997 roku nr 133, poz. 883 z późn. zm.) oraz w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (DzU z 2004 roku nr 100, poz. 1024). Regulacji zawartych w tych aktach prawnych należy przestrzegać niezależnie od tego, czy w danym urzędzie wprowadzono elektroniczny obieg dokumentów, czy też nie. W przypadku jednak, gdy prowadzenie dokumentacji zostanie w pełni zinformatyzowane, potrzebne będzie dostosowanie zabezpieczeń danych do nowych warunków.

Kontrola obowiązkowa

Jednym z warunków, który musi być spełniony, jest zapewnienie tzw. rozliczalności przetwarzanych danych. We wspomnianym wyżej rozporządzeniu rozliczalność jest definiowana jako właściwość zapewniająca, że działania podmiotu mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi (1 pkt 7 rozporządzenia). Innymi słowy, chodzi o to, aby w systemie informatycznym rejestrowana była informacja o tym, kto faktycznie dokonał określonej operacji na danych osobowych.

Właśnie w tym celu w art. II załącznika do rozporządzenia wprowadzono obowiązek stosowania w takim systemie mechanizmu kontroli dostępu. Jeżeli dostęp do danych przetwarzanych w systemie informatycznym ma więcej niż jedna osoba, to wówczas administrator danych powinien spełnić dwa warunki. Po pierwsze, w systemie tym musi być rejestrowany odrębny identyfikator dla każdego użytkownika. Po drugie, dostęp do danych powinien być możliwy wyłącznie po wprowadzeniu identyfikatora i dokonaniu uwierzytelnienia. Aby zapewnić rozliczalność, prawodawca wprowadził również w art. IV wspomnianego wyżej załącznika zakaz przydzielania identyfikatora użytkownika, który utracił uprawnienia do przetwarzania danych osobowych, innemu użytkownikowi.

Przepisy nie narzucają administratorom konkretnego rozwiązania w zakresie tworzenia mechanizmu kontroli dostępu. Wprowadzają jednak wymóg stosowania do uwierzytelnienia haseł i określają, jak często powinny być one zmieniane. Trzeba zwrócić uwagę na zdanie 2 art. IV załącznika - "Hasło składa się z co najmniej
6 znaków". Należy podkreślić, że przepis ten znajduje zastosowanie w przypadku systemów informatycznych, w których nie są przetwarzane dane wrażliwe, a żadne z urządzeń systemu nie jest połączone z siecią publiczną. Wdrożenie elektronicznego obiegu dokumentów w urzędzie z założenia powinno służyć umożliwieniu obsługi interesantów przez Internet. Stąd też nie jest możliwe stosowanie w takim przypadku haseł sześcioznakowych. W tej sytuacji należy, zgodnie z art. VIII załącznika, używać haseł składających się z co najmniej ośmiu znaków, którymi będą małe i wielkie litery oraz cyfry lub znaki specjalne. Zgodnie z art. IV załącznika hasło powinno być zmieniane nie rzadziej niż co 30 dni. Jak pokazuje praktyka, przestrzeganie tego przepisu sprawia sporą trudność użytkownikom, którzy zapominają o obowiązku zmiany hasła. Jeżeli konstrukcja aplikacji nie wymusi zmiany hasła, to pracownicy całymi miesiącami, a niekiedy latami używają tych samych haseł. Administratorzy bezpieczeństwa informacji na co dzień muszą zmagać się z tym problemem i, jak można przypuszczać, będą to robić nadal. Wdrożenie elektronicznego obiegu dokumentów nie musi w tej mierze nic zmienić, bo przecież nie każde oprogramowanie będzie wymuszało zmianę haseł w określonych odstępach czasu.

[...]

Mateusz Kamiński jest prawnikiem. Zajmuje się prawnymi aspektami informatyzacji publicznej i ochrony zdrowia. Jest współautorem komentarza do ustawy o podpisie elektronicznym.

Zbigniew Promiński jest informatykiem w jednostce administracji publicznej. Zajmuje się analizą funkcjonalną i techniczną rozwiązań informatycznych.

Jakub Rzymowski jest prawnikiem. Zajmuje się prawnymi aspektami informatyzacji publicznej i ochrony zdrowia. Jest współautorem komentarza do ustawy o podpisie elektronicznym.