Jacek Rembikowski, e-QSM Informatyczne Systemy Zarządzania, Poznań 2013

Niestety jakoś tak dziwnie się wszystko na świecie układa, że każdy kij ma dwa końce. Coś, co często bywa dobrodziejstwem, z innego punktu widzenia bywa przekleństwem. 

Ot, zwyczajnie – nie ma wolności absolutnej, a perpetuum mobile to jedynie marzenie.

W tej samej kategorii można, a wręcz należy postrzegać wszelkiego rodzaju zabezpieczenia – nie ma takich, które by były idealne i nie ma takich, które z jakiegoś punktu widzenia nie utrudniałyby nam życia. Jak ktoś nie wierzy, proszę poczekać na zdarzenie: „o rany, zaspałem” - wówczas denerwuje nie tylko konieczność zamknięcia drzwi na klucz, ale nawet plączący się w nieskończoność pęk kluczy.

Jednym z nieodzownych zabezpieczeń oraz narzędzi wykorzystywanych w obszarze polityki bezpieczeństwa są systemy do nadzorowania sieci. Z jednej strony dają sporo – jeżeli spojrzymy na to od strony bezpieczeństwa, z drugiej sporo zabierają, jeżeli spojrzymy od strony ergonomii. Tym razem jednak nie chodzi o rozważanie za i przeciw, a o coś zupełnie innego.

Monitorowanie infrastruktury IT, w tym zachowań użytkowników, to praktycznie wymóg prawny, gdyż wiele zadań nakładanych przez Ustawodawcę bez wsparcia narzędziowego
w ogóle nie jest możliwe do wykonania. Wystarczy dobrze przyjrzeć się znaczeniu słowa „monitoring” – niestety nie jest to jedynie ocena, która najczęściej ma charakter dorywczy.

Jednym z elementów wskazujących na to, że powinniśmy korzystać z tego typu narzędzi, jest prawo pracy – a nie wygląda, prawda? Oczywiście nie wprost.

Artykuły 22, 94, 100, 120 i 128 kodeksu pracy mówią m.in. o konieczności zapewnienia możliwości pełnego wykorzystania czasu pracy i braku uciążliwości pracy, o obowiązku wykonywania pracy w zadanym czasie i obowiązku przestrzegania regulaminów. Ponadto pracownik ma obowiązek zachowania w tajemnicy informacji związanej z wykonywaną pracą, a w dobie epoki elektronicznej bez odpowiednich narzędzi nie da się udowodnić, co i kiedy pracownik czytał, a więc miał dostęp do informacji i być może był źródłem wycieku. O przykładzie takich praktyk, jak gromadzenie informacji w celu otworzenia konkurencyjnej firmy, pisaliśmy już dość dawno, więc tu nie będę ponownie opisywał przypadku. W każdym bądź razie to jedna z dwóch stron medalu.

Dlaczego? Otóż może się okazać, iż dokładając wszelkich starań w zakresie bezpieczeństwa naruszymy prawo w innym miejscu, narażając firmę na kłopoty

Ustawa o Ochronie Danych Osobowych wskazuje na zadania, które nierozerwalnie wiążą się z monitoringiem, a więc i z narzędziami, które do tego wykorzystamy. Podobnie  Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych
i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne – w szczególności w zakresie definiowanym jako podwyższony (punkt XII.2 załącznika do Rozporządzenia).

Problem zaczyna się wtedy, gdy nie sprawdzimy lub co gorsza nie jesteśmy świadomi zakresu danych jakie przechowuje nasz system do monitorowania sieci. Dlaczego? Dane zgromadzone poprzez system do monitorowania pracy użytkowników mogą być danymi osobowymi pracowników.

I jeżeli spełniony jest warunek gromadzenia informacji stanowiących dane osobowe, wówczas dane te mogą być przechowywane prze określony czas i muszą być zabezpieczone zgodnie z zasadami, o których mówi w/w Ustawa i Rozporządzenie, co więcej należy zarejestrować w GIODO zbiór danych z określeniem wszystkich parametrów, jakie w tym zakresie są wymagane.

Kiedy nie mamy takiego problemu? Wtedy, gdy dane nie są gromadzone z przypisaniem do użytkownika, a jedynie do stanowiska i nie będzie możliwy do spełnienia warunek, że określenie personalne osoby będzie wymagało niskiego nakładu kosztów.

To jednak niewielki problem. Jeżeli bowiem monitorujemy ruch na styku sieci – publicznej i wewnętrznej, w której przetwarza się dane osobowe i będziemy zbyt gorliwi w rejestrowaniu danych, może się okazać, że zaczniemy przetwarzać dane wrażliwe. I tu najlepszym przykładem są tzw. brzydkie strony. Jeżeli rejestrujemy tylko adresy główne – to pół biedy, ale jeżeli rejestrujemy co na tych witrynach było oglądane, to mamy niestety zbiór danych określający preferencje seksualne. Brzmi śmiesznie, prawda, ale jak się dobrze temu przyjrzeć, to problem jest poważny. Wystarczy sobie tylko wyobrazić, że taka baza „wyjeżdża” nam z zasobów na zewnątrz – konsekwencje mogą być opłakane. Zatem albo zweryfikujemy to, co gromadzimy i poprzestaniemy na tym, co jest nam potrzebne albo rejestrujemy zbiór – przy czym tu musimy się liczyć z tym, że GIODO go nie zarejestruje, bo nie uzna naszego uzasadnienia, po co nam wiedza na temat brunetki czy blondynki. Warto też zawsze rozważyć ograniczenie ruchu do obszarów Internetu związanych z pracą, to ułatwi nam życie. A i tak nie zmieni to faktu, że Ustawa o Ochronie Danych Osobowych to jak Kuchnia Pełna Niespodzianek i jeżeli nie potraktujemy tematu poważnie, nigdy nie będziemy pewni co nam jutro przyniesie.