+48 607 60 38 90 / +48 784 624 171 | biuro@4itsecurity.pl

Bezpieczeństwo IT - oficjalny blog 4 IT SECURITY

25 sierpnia 2016

Handel danymi osobowymi

Bazy danych są strategicznym zasobem każdej organizacji. Równocześnie, gromadzone i przetwarzane informacje są cennym łupem dla różnego rodzaju przestępców. Praktycznie nie ma tygodnia, w którym nie pojawia się informacja o sprzedażydanych osobowych osóbposzkodowanych w wypadkach, klientów bankówlub szpitali. O wartości danych przechowywanych przez te instytucje nie trzeba chyba nikogo przekonywać. Firmy marketingowe handlują naszymi danymi osobowymi. Każdy kontakt do potencjalnego klienta jest towarem, który można sprzedać po cenie odkilkudziesięciugroszy do ponad 100 zł. Rynek danych osobowych to towar. Obecnie nie ma w internecie usług, które oferowane są za darmo. Handel danymi osobowymi jest legalny pod warunkiem, że firma pozyskująca dane powiadomi ich właściciela o ich nabyciu i celu, w jakim będzie danych używać. 

Instytucje pozyskują dane o nas

Coraz częściej zdarza się, że różnego rodzaju instytucje z różnych źródeł pozyskują dane osobowe, które były zebrane zgodnie z prawem dla określonego celu, i dołączają je do innych danych o swoich klientach, tworząc tzw. profil osobowościowy, na podstawie którego wyciągają określone wnioski. Przykładem mogą być banki, które gromadzą informacje o wszystkich naszych transakcjach finansowych, dysponując ogromną ilością danych na nasz temat. Nie są to tylko dane o wysokości zarobków, ale także informacje o miejscach, w których najczęściej kupujemy, firmach, z usług których korzystamy. Dzięki tym informacjom bank posiada możliwość dopasowania oferty do profilu klienta na podstawie historii jego rachunku i transakcji. Łącząc dane z konta na Facebooku oraz profil zakupów online, można natychmiast uzyskać wgląd w preferencje i potrzeby klienta. Natomiast po uzupełnieniu tych danych informacjami z innych źródeł, dotyczącymi np. najczęściej odwiedzanych miejsc według aktywności w mediach społecznościowych lub historii lokalizacji – szybko stworzyć dokładny, wielowymiarowy profil, który ma dużą wartość w przypadku nowych rodzajów usług. Profilowanie tego typu jest dużą korzyścią, gdyż dzięki temu można wyeliminować nietrafione akcje marketingowe.

Bardzo często handel danymi osobowymi odbywa się dzięki nam samym. Cokolwiek chcemy zrobić, zarejestrować się na forum, założyć konto w portalu społecznościowym, zagrać w internetową grę musimy wyrazić zgodę na przetwarzanie naszych danych osobowych na zasadach określonych w regulaminie. Niestety bardzo często nie zapoznajemy się z treścią tych regulaminów. Dlatego też warto czytać dokładnie dokumenty, które podpisujemy, w tym zamieszczone na nich klauzule zgody na przetwarzanie danych osobowych, aby mieć świadomość, na co się godzimy. Zdarza się bowiem, że niektóre podmioty, by pozyskać nasze dane osobowe, stosują praktyki nie tyle sprzeczne z prawem, co nieetyczne.

Analizując dane można ustalić nasz profil: wiek, zawód, zarobki. Poznać historię zakupów w internecie, a może nawet wszystkich zakupów przy użyciu karty płatniczej. Sklepy są zainteresowane pozyskaniem tych, którzy kupują u konkurencji. Baza danych osobowych klientów jednego sklepu internetowego jest skarbem dla takiego samego konkurencyjnego sklepu.

Serwisy społecznościowe dają nam możliwość budowania kontaktów z innymi, ale ponieważ muszą przynosić zyski, to również pozyskują w zamian jak najwięcej naszych danych. Publikując w serwisie treści dzielimy się naszymi przekonaniami, zainteresowaniami czy upodobaniami, a jak się okazuje wszystko to można przekuć na zyski. Organizacje chcą wiedzieć coraz więcej o klientach, głównie jak potwierdzają, aby minimalizować ryzyko gospodarcze. Z drugiej strony, obywateli chronią ustawowe standardy przetwarzania danych, wynikające z konstytucyjnie zagwarantowanego prawa do prywatności. Tworzenie profili osobowościowych jest dopuszczalne, lecz powinno się odbywać po spełnieniu określonych warunków, na określonej podstawie prawnej. Z jednej strony dobrze przygotowane oferty dla konkretnych klientów mogą ułatwić pracę instytucjom i ułatwić życie klientom, z drugiej strony otwiera się pole do inwigilacji każdego i możliwość manipulowania danymi.

Wszystkie organizacje zobowiązane są też poprzez odpowiednie przepisy prawne, do ochrony danych dotyczących własnego personelu oraz klientów. Niezależnie od profilu działalności jednostki powinny zostać zastosowane możliwie maksymalne zabezpieczenia oraz dołożona należyta staranność przy obchodzeniu się z gromadzonymi informacjami.

WYMAGANIA DOTYCZĄCE OCHRONY BAZ DANYCH OSOBOWYCH

Najważniejsze wymagania dotyczące ochrony baz danych osobowych wynikające z ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych to:

  • Określenie aspektów identyfikacji czy w administrowanej bazie danych znajdują się dane osobowe.
  • Określenie zakresu przetwarzania administrowanych danych, identyfikacja czy jest wymagana i dostępna zgoda osób, których dane dotyczą, weryfikacja kompletności danych i poprawności ich przetwarzania ze zgłoszonym celem i zakresem.
  • Określenie mechanizmów udostępniania danych i weryfikacja rejestracji udostępniania danych. Baza danych osobowych powinna umożliwiać wyświetlenie i wydrukowanie dla danej osoby raportu, w którym będą uwzględnione: dane osoby, źródło pochodzenia danych, kto dopisał dane do bazy, data i czas utworzenia wpisu, informacje o modyfikacjach, informacje komu, kiedy i w jakim zakresie dane były udostępniane.
  • Określenie formatu przekazywania danych, zakresu i rejestrowania przekazywania danych.
  • Określenie poziomu bezpieczeństwa dla każdego ze zbiorów, nadawanie i zarządzanie upoważnieniami do przetwarzania danych osobowych oraz stosowania mechanizmów rozliczalności.
  • Sporządzenie dokumentacji dotyczącej sposobu przetwarzania i zabezpieczania danych osobowych.
  • Określenie zasad kontroli i dostępu do obszarów przetwarzania danych osobowych.
  • Określenie fizycznych zabezpieczeń instalacji informatycznych, baz danych i nośników zawierających dane osobowe.
  • Wyznaczenie osób odpowiedzialnych za fizyczne bezpieczeństwo instalacji informatycznych, baz danych i nośników zawierających dane osobowe.
  • Określenie sposobu weryfikowania nadanych uprawnień dostępu do systemów.

 

WYMAGANIA DOTYCZĄCE SYSTEMÓW INFORMATYCZNYCH

Najważniejsze wymagania określone w rozporządzeniu MSWiA z dnia 29 kwietnia 2004 r dotyczące urządzeń i systemów informatycznych służących do przetwarzania danych osobowych:

  • Konieczność stosowania mechanizmów kontroli dostępu, przy czym jeśli do systemu ma dostęp wielu użytkowników muszą mieć oni odrębne identyfikatory. Identyfikator użytkownika, który utracił uprawnienia do przetwarzania danych, nie może być przydzielony innej osobie.
  • Zabezpieczenie przed „działaniem oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego” oraz „utratą danych spowodowaną awarią zasilania lub zakłóceniami w sieci zasilającej”.
  • Konieczność sporządzania kopii zapasowych danych i programów je przetwarzających, przy czym kopie zapasowe należy przechowywać w miejscach zabezpieczających je przed nieuprawnionym przejęciem, modyfikacją, uszkodzeniem lub zniszczeniem oraz usuwać niezwłocznie po ustaniu ich użyteczności;
  • Konieczność szyfrowania danych przetwarzanych na komputerze przenośnym.
  • Obowiązek usunięcia zapisanych danych w sposób uniemożliwiający ich odzyskanie z dysków lub innych nośników elektronicznych zawierających dane osobowe, przeznaczonych do likwidacji, naprawy lub przekazania podmiotowi nieuprawnionemu do przetwarzania danych osobowych
  • Konieczność stosowania na poziomie wysokim zabezpieczeń logicznych, które obejmują kontrolę przepływu informacji pomiędzy systemem informatycznym administratora danych a siecią publiczną oraz kontrolę działań z sieci publicznej i systemu informatycznego administratora danych.
  • Konieczność zapewnienia na poziomie wysokim ochrony kryptograficznej danych wykorzystywanych do uwierzytelniania, które są przesyłane w sieci publicznej.

Hasło powinno składać się z co najmniej z sześciu znaków na poziomie podstawowym, a na poziomie podwyższonym i wysokim z ośmiu znaków, i zawierać małe i duże litery oraz cyfry lub znaki specjalne. Hasła powinny być zmieniane nie rzadziej niż 30 dni.

Mimo szeregu zabezpieczeń wiele osób nadal, często słusznie obawia się o bezpieczeństwo swoich danych. Oczywiste jest, że dane osobowe zgromadzone w bazach danych osobowych są obiektem zainteresowań. Dlatego też poza zasobami technicznymi i zabezpieczeniem danych od strony systemu informatycznego istotne jest również przestrzeganie przepisów i procedur przez osoby upoważnione do dostępu do tych danych. Obrót bazami danych osobowych nie jest zabroniony, ale musi się odbywać w sposób zgodny z prawem. Podmiot, który gromadzi dane osobowe musi dochować należytej staranności zarówno na etapie gromadzenia, przechowywania jak również udostępniania tych danych innym podmiotom.

Użytkownik często nie zdaje sobie sprawy z ilości danych, które zostawia w sieci, ale też jednocześnie nie wyraża zgody na ich przetwarzanie. Aby częściowo zapobiec temu drugiemu, każdy użytkownik jest w stanie ustawić odpowiadający mu poziom prywatności w swoich profilach w serwisach społecznościowych, może też selekcjonować informacje umieszczane przez siebie w sieci. Pamiętajmy, że to, co wrzucimy do sieci, pozostaje w niej praktycznie na zawsze - dane raz wprowadzone do sieci często nie mogą być z niej usunięte w sposób definitywny. Potencjał ogromnych baz danych jest oczywisty i każdy chciałby na tym skorzystać. Problem w tym, że bazy te kryją szereg informacji na nasz temat, które nieraz wolelibyśmy, żeby pozostały prywatne.

Komentarze (0)

Dodaj

Popularne wpisy