3e Application Framework a przepisy GIODO

Żyjemy w epoce informacji. Dynamiczny rozwój sieci komputerowych i – ogólniej - informatyki sprawił, że na komputerach przechowywanych jest coraz więcej danych. Z jednej strony to dobrze: dzięki temu na przykład każda wizyta u lekarza nie musi zaczynać się od opowieści na temat historii przebytych chorób. Z drugiej – niekoniecznie: łatwo wyobrazić sobie sytuację, w której dane takie jak numery PESEL czy też dowodu osobistego są wykorzystywane w celu oszustwa. W Polsce prawo do prywatności oraz ochrony danych osobowych gwarantuje Konstytucja RP, odpowiednie zasady przetwarzania danych i prawa osób fizycznych, których dane mogą być przetwarzane w zbiorach danych, określa natomiast ustawa z dnia 29 sierpnia 1997 roku oraz akty wykonawcze przyjęte na jej podstawie. W dalszej części tego artykułu wskazane zostaną: najważniejsze aspekty tej ustawy dotyczące ochrony danych w systemach informatycznych oraz w jaki sposób 3e Application Framework realizuje stawiane przed takimi systemami wymagania.

W odniesieniu do systemów informatycznych ustawa wprowadza szereg przepisów dotyczących funkcjonalności oraz bezpieczeństwa zbieranych danych osobowych. Celem wprowadzenia tych regulacji jest zapewnienie, aby dany system informatyczny posiadał mechanizmy i funkcje, które wspomogą administratora w wywiązywaniu się z nałożonych na niego obowiązków zapewnienia poufności oraz integralności danych osobowych. Najogólniej można te wymagania podzielić na dwie kategorie. Pierwsza, to wymagania mające na celu zapewnienie ścisłej kontroli nad przetwarzanymi danymi; druga natomiast to wymagania wynikające z uprawnień osób, których dane są przetwarzane.

Wymagania wynikające z potrzeb zapewnienia bezpieczeństwa

Podstawowym wymogiem jest, aby system informatyczny stosował mechanizmy kontroli dostępu do zbioru danych osobowych, jeśli dostęp ma do nich więcej niż jedna osoba (zdecydowana większość przypadków). Każdy użytkownik systemu posiadający dostęp do danych wrażliwych musi mieć przypisany jednoznaczny identyfikator oraz dane służące uwierzytelnieniu.

3e Application Framework został zaprojektowany z myślą o spełnianiu wymogów nałożonych przez Generalnego Inspektora Ochrony Danych Osobowych, dlatego system kontroli dostępu do całego panelu zarządzania aplikacją domyślnie wymaga podania danych autoryzacyjnych. Dzięki zaawansowanemu modułowi ról, możliwe jest pełne skonfigurowanie dostępów, na przykład zezwolenie lub nie na dostęp do danych osobowych każdemu użytkownikowi systemu z osobna. Wykorzystując to narzędzie administrator danych osobowych może ustawić dostęp do danych wrażliwych tylko tym pracownikom firmy, którym powierzył przetwarzanie danych (ustawa wymaga sporządzenia odpowiedniej umowy w formie pisemnej).

Samo uwierzytelnienie również może być realizowane na kilka sposobów. Począwszy od najpopularniejszej metody, bazującej na identyfikatorze użytkownika oraz haśle, aż po wyrafinowane metody opierające się o tokeny (z wykorzystaniem na przykład SMS) lub dostęp czasowy – wszystkie te sposoby są w 3e Application Framework dostępne. Co więcej, są one od razu dopasowane do wymogów ustawy. Przykładem może być mechanizm wymuszania okresowej zmiany hasła, który oprócz tego, co reguluje ustawa (minimum 8 znaków długości, zmiana co 30 dni) może zobligować użytkownika do wykorzystania znaków specjalnych i nie dopuścić, aby używane przez niego hasło kiedykolwiek się podczas okresowych zmian powtórzyło.

Wymagania wynikające z obowiązku informacyjnego

Wymagania wynikające z obowiązku informacyjnego sprecyzowane są w artykule 32 ustawy, według którego każdej osobie przysługuje prawo do kontroli przetwarzania danych, które jej dotyczą. W szczególności, każda taka osoba ma prawo do:

  • uzyskania informacji od kiedy przetwarza się dane jej dotyczące,

  • podglądu i modyfikacji treści tych danych,

  • uzyskania informacji o źródle, z którego dane pochodzą , uzyskania informacji o sposobie udostępniania tych danych odbiorcom

3e Application Framework realizuje te wymagania poprzez mechanizm, który automatycznie odnotowuje daty pierwszego wprowadzenia danych do systemu oraz ostatniej ich modyfikacji, identyfikator użytkownika, który dane wprowadza oraz źródło danych (jeśli użytkownik nie wprowadza ich sam), a także parametr wskazujący na dobrowolne i świadome wyrażenie zgody na przetwarzanie danych.

Dodatkowo, każda modyfikacja danych osobowych jest odnotowywana, wraz z datą oraz identyfikatorem osoby wprowadzającej zmiany. Dzięki temu możliwe jest wygenerowanie raportów: bieżącego (obrazującego aktualny stan całego zbioru danych osobowych) oraz historii zmian konkretnego rekordu.

Jak zostało wspomniane wcześniej, system 3e Application Framework został już na etapie projektowania wyposażony w dedykowane mechanizmy wspierające administratorów danych osobowych w wypełnianiu ich ustawowych obowiązków. Pomyślne kontrole Generalnego Inspektora Ochrony Danych Osobowych u naszych klientów tylko utwierdzają nas w przekonaniu, że system w 100% spełnia jego wymogi.

Źródło: 3e internet software house