2009

Wprowadzenie 1. 1.1. 1.2. 1.3. 1.4. 2. 3. 3.1. 3.2. 3.2.1. 3.2.2. 3.2.3. 3.3. 3.3.1. 3.3.2. 3.3.3. 3.3.4. 3.3.5. 4. Podstawowe zasady ochrony danych osobowych w bankach Legalno przetwarzania danych osobowych klientw Aktualno i merytoryczna poprawno przetwarzanych danych Adekwatno zbieranych danych do celu przetwarzania Obowizki informacyjne w stosunku do klientw Rejestracja zbiorw Zapewnienie bezpieczestwa danych osobowych w bankach Analiza ryzyka Dokumentacja procesu przetwarzania wymagana przez ustaw Polityka bezpieczestwa Instrukcja zarzdzania systemem informatycznym Polityka bezpieczestwa i instrukcja zarzdzania systemem informatycznym dla uytkownikw bdcych klientami banku rodki i procedury bezpieczestwa, na ktre banki i instytucje finansowe powinny zwrci szczegln uwag Bezpieczestwo uwierzytelniania Bezpieczestwo transmisji danych Bezpieczestwo usug internetowych Polityka informacyjna banku Outsourcing w banku a ochrona danych osobowych Przekazywanie danych osobowych do pastwa trzeciego

5 6 7 10 10 11 17 22 26 30 32 34 36 36 37 39 43 45 47 48

5. 5.1. 5.2. 5.2.1. 5.2.2. 5.2.3. 5.2.4. 5.2.5. 5.2.6. 5.2.7. 5.2.8. 5.2.9.

Kontrola przetwarzania danych osobowych w sektorze bankowym Uprawnienia inspektorw i przebieg kontroli Zakres kontroli Przesanki i cel przetwarzania danych osobowych szczeglnie chronionych oraz danych biometrycznych Cel przetwarzania danych osobowych Zakres przetwarzanych danych osobowych klientw wedug rodzajw umw Zakres danych osobowych przetwarzanych w celu marketingowym Zakres danych osobowych kandydatw do pracy, pracownikw oraz wsppracownikw Obowizek informacyjny, w tym badanie prawidowoci treci klauzul Zgoszenie zbioru danych osobowych do rejestracji GIODO Przekazywanie danych do pastw trzecich Powierzenie przetwarzania danych osobowych

55 56 57 58 59 60 61 61 62 63 63 63 64 66 67 67 68 70 71 72 74 75

5.2.10. Zabezpieczenie danych przetwarzanych w dokumentacji papierowej oraz w zapisie elektronicznym 5.3. Najczciej popeniane bdy wyniki kontroli 6. 6.1. 6.2. 6.3. 6.4. 6.5. 6.6. 6.7. Obowizki banku jako administratora danych i prawa osb, ktrych dane s przetwarzane pytania i odpowiedzi Przekazanie danych nierzetelnego dunika Przetwarzanie danych osobowych po wyganiciu umowy Postpowanie w przypadku zoenia sprzeciwu wobec przetwarzania danych Wszczcie sprawy sdowej wobec dunika Potwierdzanie prawdziwoci danych u pracodawcw Kopiowanie dokumentw Publikowanie ofert sprzeday wierzytelnoci bankowych zawierajcych dane osobowe

WprowadzenieObowizujca od 30 kwietnia 1998 r. ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2002 r. nr 101, poz. 926 z pn. zm.) naoya na podmioty uczestniczce w procesie przetwarzania danych liczne obowizki. Administratorzy danych, czyli podmioty decydujce o celach i rodkach przetwarzania danych osobowych, zostali zobowizani do wypenienia wielu dodatkowych obowizkw oprcz tych, ktre naoyy na nich tzw. przepisy resortowe. Istotne wyzwanie stano przed bankami, instytucjami zaufania publicznego, ktrym klient powierza wiele swoich danych z ycia prywatnego. Z powodu dysponowania potnymi bazami danych osobowych klientw banki zobowizane zostay do zachowania szczeglnej starannoci w celu zapewnienia bezpieczestwa systemom informatycznym, za pomoc ktrych gromadzone s i wymieniane informacje o posiadaczach rachunkw i kredytobiorcach. Przepisy ustawy z 29 sierpnia 1997 r. Prawo bankowe (Dz.U. z 2002 r. nr 72, poz. 665 z pn. zm.) zobowizuj pracownikw tych instytucji do zachowania w tajemnicy wszelkich informacji dotyczcych czynnoci bankowej, w tym danych osobowych uzyskanych w czasie negocjacji czy podczas zawierania i realizacji umowy, na podstawie ktrej bank czynno wykonuje. Zatem ustanowiona przez Prawo bankowe tajemnica bankowa oraz przepisy ustawy o ochronie danych osobowych to podstawowe akty prawne gwarantujce ochron danych osobowych klientw bankw przed zagroeniami zwizanymi z ich niewaciwym wykorzystywaniem przy prowadzeniu dziaalnoci bankowej. Niemniej to przepisy Prawa bankowego, jako szczeglne w stosunku do przepisw ustawy o ochronie danych osobowych, nakadaj na banki i podmioty zalene istotne obostrzenia w zakresie przetwarzania danych osobowych objtych tajemnic bankow.

5

1. Podstawowe w bankach

zasady

ochrony

danych

osobowych

Podstawowymi aktami prawnymi regulujcymi przetwarzanie danych osobowych klientw bankw s ustawa z 29 sierpnia 1997 r. Prawo bankowe (Dz.U. z 2002 r. nr 72, poz. 665 z pn. zm.) oraz wydane na jej podstawie przepisy wykonawcze. Ustawa okrela m.in. zasady prowadzenia dziaalnoci bankowej, tworzenia i organizacji bankw oraz prowadzenia nadzoru bankowego. Istotne z punktu widzenia ochrony danych osobowych s uregulowania dotyczce tajemnicy bankowej (art. 104 ust. 1 Prawa bankowego). Zobowizuj one banki, osoby w nich zatrudnione oraz osoby, za porednictwem ktrych bank wykonuje czynnoci bankowe, do zachowania tajemnicy bankowej, ktra obejmuje wszystkie informacje dotyczce czynnoci bankowej (a wic take dane osobowe), uzyskane w czasie negocjacji, a take podczas zawierania i realizacji umowy. Wyjtki od zachowania tajemnicy bankowej, a wic sytuacje, w ktrych mona udostpni dane osobowe przetwarzane przez bank, s cile okrelone w Prawie bankowym (art. 104, art. 105). Tytuem przykadu wskaza mona na przypadki: ujawnienia danych objtych tajemnic bankow podmiotom, ktrym powierzono przetwarzanie danych w zwizku z wykonywaniem dziaalnoci bankowej, ujawnienia danych niezbdnych do zawarcia umowy przelewu wierzytelnoci z towarzystwem funduszy inwestycyjnych tworzcym fundusz sekurytyzacyjny albo z funduszem sekurytyzacyjnym, udostpnienia danych radcom prawnym i adwokatom w zwizku ze wiadczeniem przez nich pomocy prawnej na rzecz banku, udostpnienia danych innym bankom i instytucjom w zakresie niezbdnym do wykonywania czynnoci bankowych.

6

1.1.

Legalno przetwarzania danych osobowych klientw

Jedn z podstawowych zasad ochrony danych osobowych jest zasada legalnoci, zgodnie z ktr dane osobowe mog by przetwarzane po spenieniu jednego z warunkw okrelonych w art. 23 ust. 1 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2002 r. nr 101, poz. 926 z pn. zm.), zwanej dalej ustaw. Zgodnie z tym przepisem, przetwarzanie danych jest dopuszczalne, m.in. gdy jest to niezbdne dla zrealizowania uprawnienia lub spenienia obowizku wynikajcego z przepisu prawa (art. 23 ust. 1 pkt 2). Naley przez to rozumie nie tylko zgodno z ustaw o ochronie danych osobowych, ale take ze wszystkimi innymi normami prawa obowizujcymi w krajowym i unijnym porzdku prawnym (ustawy, rozporzdzenia, dyrektywy itd.). Ponadto przetwarzanie danych osobowych jest dopuszczalne wwczas, gdy jest konieczne do realizacji umowy z osob, ktrej dane dotycz, lub niezbdne do podjcia dziaa przed zawarciem umowy na danie osoby, ktrej dane dotycz (art. 23 ust. 1 pkt 3 ustawy). Za zbdne naley zatem uzna pozyskiwanie przez banki zgody na przetwarzanie danych w celu realizacji umowy. W umowie zawartej z klientem bank powinien poinformowa o warunkach przetwarzania danych osobowych, a wic m.in. o wszystkich celach ich zbierania, a zwaszcza o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach bd kategoriach odbiorcw danych (np. Biuro Informacji Kredytowej - BIK S.A. lub Zwizek Bankw Polskich - ZBP). Za odbiorcw danych nie mog by uznawane podmioty, ktrym bank jedynie powierzy (zleci) przetwarzanie danych osobowych (art. 7 pkt 6 ustawy) lub przekaza je w zwizku z toczcymi si postpowaniami (np. policja, sdy, prokuratura). Po rozwizaniu umowy banki s zobowizane do dalszego przetwarzania danych, ale w innych celach, tj. w przypadkach okrelonych w przepisach prawa (np. dla celw archiwalnych, rachunkowych), lub za odrbn zgod byego klienta w celach marketingowych (patrz take wyrok NSA z 4 marca 2002 r., sygn. akt II SA 3144/01). Z kolei zgodnie z art. 23 ust. 1 pkt 5 ustawy, przetwarzanie da7

nych jest dopuszczalne, gdy jest to niezbdne dla prawnie usprawiedliwionych celw realizowanych przez administratorw danych albo odbiorcw danych oraz nie narusza praw i wolnoci osoby, ktrej dane dotycz. Za prawnie usprawiedliwiony cel, o ktrym mowa w wymienionym przepisie, naley uzna przede wszystkim marketing bezporedni wasnych produktw i usug administratora (art. 23 ust. 4 pkt 1 ustawy). Ograniczeniem czasowym dla przetwarzania danych osobowych klienta banku w celach marketingowych jest moment wniesienia przez niego sprzeciwu (art. 32 ust. 1 pkt 8 w zw. z art. 32 ust. 3 ustawy) bd dania zaprzestania przetwarzania danych ze wzgldu na szczegln sytuacj osoby, ktrej dane dotycz (art. 32 ust. 1 pkt 7 w zw. z art. 32 ust. 2 ustawy). Dla przekazywania danych osobowych w celach marketingowych innym podmiotom oraz prowadzenia marketingu cudzych produktw i usug powysza przesanka nie znajduje zastosowania i bank powinien legitymowa si odrbn zgod (patrz take NSA w wyrokach z 19 listopada 2001 r., sygn. akt II SA 2748/00 oraz z 11 kwietnia 2003 r., sygn. akt II SA 3942/02). W tym miejscu warto przytoczy take inne orzeczenia sdw odnoszce si do zasady legalnoci przetwarzania danych osobowych w dziaalnoci bankw. Czytamy w nich m.in.: - Informacje dotyczce czynnoci bankowej, ktre - z mocy art. 104 ust. 1 ustawy - Prawo bankowe (...) - bank, osoby w nim zatrudnione oraz osoby, za ktrych porednictwem bank wykonuje czynnoci bankowe, s obowizane zachowa w dyskrecji jako informacje stanowice tajemnic bankow, obejmuj rwnie informacje co do zabezpieczenia wierzytelnoci banku zwizanej z czynnoci bankow, w tym dane personalne osoby skadajcej takie zabezpieczenie albo majcej je zoy. (...) bank nie moe udzieli Policji informacji stanowicych tajemnic bankow na uytek postpowania w sprawach o wykroczenie (wyrok SN Izba Karna w Warszawie z 23 maja 2006 r., sygn. akt I KZP 4/06). - Udostpnienie danych osobowych przez banki nie narusza zasady legalnoci przetwarzania danych osobowych, o ile nastpuje8

w oparciu o przepisy ustawy z 3 lutego 1993 r. o restrukturyzacji finansowej przedsibiorstw i bankw oraz o zmianie niektrych ustaw (Dz.U. nr 18, poz. 82 z pn. zm.). Uprawniaj one banki do publicznej sprzeday wymagalnych wierzytelnoci bankowych po cenie rynkowej. Wymagalne wierzytelnoci bankowe s zbywane w drodze przetargu, na podstawie publicznego zaproszenia. O zamiarze publicznej sprzeday wymagalnej wierzytelnoci oraz o zamiarze umieszczenia w dzienniku oglnopolskim ogoszenia o tej sprzeday bank zawiadamia dunika w trybie przepisw wymienionej ustawy (patrz take wyrok WSA w Warszawie z 26 maja 2006 r., sygn. akt II SA/Wa 1938/05). Omawiajc zagadnienie legalnoci przetwarzania danych w dziaalnoci bankw, naley zwrci uwag take na regulacje prawne dotyczce wymiany informacji z instytucjami upowanionymi do gromadzenia, przetwarzania i udostpniania informacji stanowicych tajemnic bankow. Zgodnie bowiem z art. 105 ust. 4 Prawa bankowego, banki mog - wsplnie z bankowymi izbami gospodarczymi - tworzy instytucje upowanione do gromadzenia, przetwarzania i udostpniania informacji stanowicych tajemnic bankow. Udostpnianie im przez banki danych osobowych klientw oraz przetwarzanie ich przez nie w zwizku z wykonywaniem czynnoci bankowych (m.in. w zakresie udzielania kredytw, poyczek i porcze) odbywa si na zasadach cile okrelonych w przepisach Prawa bankowego (art. 105a i nast.). Po wyganiciu zobowizania czcego klienta z bankiem instytucje te - w celu oceny zdolnoci kredytowej i analizy ryzyka kredytowego - mog przetwarza dane tzw. rzetelnych klientw (tj. wykonujcych zobowizania umowne z bankiem w terminie) wycznie pod warunkiem uzyskania na to pisemnej zgody. Natomiast dane osobowe klientw niewywizujcych si naleycie z zawartej umowy (tj. dopuszczajcych si zwoki w spenieniu wiadczenia wynikajcego z umowy powyej 60 dni) mog by przetwarzane bez ich zgody, ale z zachowaniem warunkw okrelonych w art. 105a ust. 3 Prawa bankowego. Okres przetwarzania danych w takich przypadkach wynosi 5 lat od dnia wyganicia zobowizania, chyba e dane s przetwarzane w celu stosowania metod statystycznych, dla ktrych9

okres przechowywania wynosi 12 lat (art. 105a ust. 5 Prawa bankowego). 1.2. Aktualno i merytoryczna poprawno przetwarzanych danych

Oprcz zapewnienia przez banki legalnoci przetwarzania danych osobowych (tj. m.in. ich pozyskiwania, udostpniania i przechowywania) na bankach jako administratorach danych spoczywa obowizek zapewnienia merytorycznej poprawnoci przetwarzanych danych i ich staej aktualizacji. W tym celu konieczne jest opracowanie przez bank trybu weryfikowania prawdziwoci danych, a w przypadku ich uaktualnienia czy sprostowania niezwoczne poinformowanie o tym innych administratorw, ktrym dane zostay przekazane (art. 35 ust. 3 ustawy). adne wzgldy natury technicznej (np. konstrukcja programw informatycznych, za pomoc ktrych przetwarzane s dane osobowe) nie mog decydowa o przetwarzaniu danych nieprawdziwych, niekompletnych czy nieaktualnych, o czym przesdzi Wojewdzki Sd Administracyjny w Warszawie w wyroku z 2 kwietnia 2007 r., sygn. akt II SA/Wa 2328/06 (niepublikowany). 1.3. Adekwatno zbieranych danych do celu przetwarzania

Dane zbierane przez banki powinny by adekwatne do celw, w jakich s pozyskiwane. Adekwatno zakresu danych osobowych do celu ich przetwarzania ocenia trzeba kadorazowo z uwzgldnieniem konkretnego stosunku prawnego, w zwizku z ktrym administrator danych (w tym przypadku bank) przetwarza dane osobowe (patrz take wyrok NSA z 27 listopada 2003 r., sygn. akt II SA 209/2003). W odniesieniu do stosunkw umownych uwzgldni naley charakter i znaczenie umowy (patrz take wyrok NSA z 19 grudnia 2001 r., sygn. akt II SA 2869/2000, opubl. ONSA z 2003 r. nr 1, poz. 29) oraz oceni tre obowizujcych w tym zakresie przepisw prawa (np. art. 112b ustawy Prawo bankowe, zgodnie z ktrym banki mog przetwarza w celach prowadzonej dziaalnoci bankowej informacje zawarte w dokumentach tosamoci osb fizycznych).

10

Naley zwrci uwag, e: posuenie si okrelon technik zbierania danych (np. kopiowanie dokumentw) nie przesdza o naruszeniu zasady adekwatnoci (patrz take wyrok NSA z 19 grudnia 2001 r., sygn. akt II SA 2869/2000, opubl. ONSA z 2003 r. nr 1, poz. 29), dane osobowe nie mog by zbierane na zapas, na wszelki wypadek, tj. bez wykazania celowoci ich pozyskania i niezbdnoci dla realizacji zada administratora danych, narusza zasad adekwatnoci zbieranie przez bank danych osobowych klientw w zakresie poprzednich adresw zameldowania, kategorii i daty nadania uprawnienia do kierowania pojazdem silnikowym oraz danych zawartych w wiadectwie pracy dotyczcych przebiegu zatrudnienia (wyrok WSA w Warszawie z 24 listopada 2005 r., sygn. akt II SA/Wa 1335/05). 1.4. Obowizki informacyjne w stosunku do klientw

Realizacja uprawnie osb, ktrych dotycz dane przetwarzane przez banki, w znacznej mierze uzaleniona jest od prawidowego wywizywania si przez nie z obowizku informacyjnego, o ktrym mowa w art. 24 i 25 ustawy. Pierwszy z tych przepisw dotyczy sytuacji, gdy dane zbierane s bezporednio od osoby, ktrej dotycz, drugi za odnosi si do przypadkw gromadzenia danych ze rde porednich. Funkcj tych przepisw jest to, aby na podstawie uzyskanych informacji zainteresowany mia moliwo waciwego ocenienia sytuacji i podjcia decyzji co do udostpnienia swoich danych, a take, aby mg wykonywa prawa przyznane mu w art. 32 ustawy. Dla spenienia obowizku informacyjnego nie ma znaczenia, w jaki sposb dane s zbierane (drog pisemn, telefonicznie czy w kontaktach bezporednich), w jaki sposb s utrwalane ani jak posta ma zbir, do ktrego s one wprowadzane (czy jest to zbir prowadzony metod tradycyjn, manualnie, czy te dane przetwarzane s w systemie informatycznym). Nie jest take istotny fakt, czy zbir ju istnieje, czy dopiero powstanie na podstawie gromadzonych danych.11

Artyku 24 ust. 1 ustawy stanowi, i w przypadku zbierania danych osobowych od osoby, ktrej one dotycz, administrator danych jest obowizany poinformowa t osob o: 1) adresie swojej siedziby i penej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna - o miejscu swojego zamieszkania oraz imieniu i nazwisku, 2) celu zbierania danych, a w szczeglnoci o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorcw danych, 3) prawie dostpu do treci swoich danych oraz ich poprawiania, 4) dobrowolnoci albo obowizku podania danych, a jeeli taki obowizek istnieje, o jego podstawie prawnej. Informacje te naley przekaza osobie, ktrej dane dotycz. Poinformowanie powinno mie charakter indywidualny w tym znaczeniu, i nie moe by zastpione np. ogoszeniem lub adnotacj umieszczon w regulaminie, jeli osoba nie ma moliwoci bezporedniego zapoznania si z jego treci. W przypadku obowizku informacyjnego, o ktrym mowa w art. 24 ustawy, naley przyj, i powinien by on wykonany w zasadzie przed rozpoczciem zbierania danych. Ustawa nie zawiera bowiem adnych wskazwek w tym zakresie. Nie przesdza rwnie, w jakiej formie obowizek informacyjny powinien by speniony. Skoro za ustawodawca nie narzuca adnej formy, naley uzna, i jest ona w zasadzie dowolna (informacje mog by udzielone np. ustnie). Jednak z punktu widzenia dowodowego wskazane jest posuenie si form pisemn. W razie bowiem ewentualnego sporu co do dopenienia obowizku informacyjnego, ciar udowodnienia, e obowizek ten rzeczywicie zosta wykonany spoczywa bdzie na administratorze danych. Wane jest take, aby informacja przekazana osobie zainteresowanej bya pena i zawieraa wszystkie elementy wskazane w art. 24 ustawy. Konieczne jest te, aby bya ona w dostateczny sposb wyodrbniona spord innych informacji przekazywanych przez administratora danych, a take, by bya wyraona w formie zrozumiaej dla adresata. Dopenienie obowizku informacyjnego, o ktrym mowa w art.12

24 ust. 1 ustawy, powinno nastpi z inicjatywy administratora danych. Nie s tu potrzebne proba lub wniosek ze strony zainteresowanego. Na uwzgldnienie zasuguje rwnie fakt, i osoba zainteresowana nie moe zrzec si prawa do uzyskania informacji, o ktrych przepis ten stanowi. Obowizek informacyjny zgodnie z brzmieniem ust. 2 art. 24 ustawy nie musi by wykonany jedynie wwczas, gdy: 1) przepis innej ustawy zezwala na przetwarzanie danych bez ujawniania faktycznego celu ich zbierania, 2) osoba, ktrej dane dotycz, posiada informacje, o ktrych mowa w ust. 1 (mowa o art. 24 ust. 1). W tym drugim przypadku wyczenia obowizku informacyjnego nie mona oprze na subiektywnym odczuciu administratora danych, e osoba zainteresowana jest wiadoma wszystkich okolicznoci zwizanych ze zbieraniem jej danych osobowych. Musi by to okoliczno stwierdzona w sposb obiektywny i sprawdzona, czy rzeczywicie osobie, ktre dane dotycz, wszystkie informacje wymienione w art. 24 ust. 1 s znane. W art. 25 ustawy ustawodawca odrbnie uregulowa obowizek informacyjny spoczywajcy na administratorze danych gromadzcym informacje o okrelonych osobach z innych rde ni od osb, ktrych dane dotycz. Zgodnie z art. 25 ust. 1 ustawy, w przypadku zbierania danych osobowych nie od osoby, ktrej one dotycz, administrator danych jest obowizany poinformowa osob, ktrej dane dotycz, o: 1) adresie swojej siedziby i penej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna - o miejscu swojego zamieszkania oraz imieniu i nazwisku, 2) celu i zakresie zbierania danych, a zwaszcza o odbiorcach lub kategoriach odbiorcw danych, 3) rdle danych, 4) prawie dostpu do treci swoich danych oraz ich poprawiania, 5) uprawnieniach wynikajcych z art. 32 ust. 1 pkt. 7 i 8. Porwnujc obowizki wynikajce z art. 24 i art. 25 ustawy wskaza mona trzy zasadnicze rnice:13

czasu, w ktrym administrator ma przekaza informacje, zakresu informacji, jakie maj by przez administratora udzielone, okolicznoci zwalniajcych administratora z obowizku dostarczenia informacji. Jeeli chodzi o rnice czasu, w jakim administrator ma przekaza informacje, o ktrym mowa w art. 24 ustawy (czyli w przypadku pozyskiwania danych osobowych bezporednio od osoby), informacje okrelone tym przepisem powinny by przekazane osobie, ktrej dotycz, przed pozyskaniem danych, o tyle w przypadku obowizku informacyjnego, o ktrym mowa w art. 25 ustawy (czyli zbierania danych nie bezporednio od osoby, ktrej dane dotycz), powinien by on wykonany co wynika wprost z brzmienia ust. 1 bezporednio po utrwaleniu zebranych danych. Chodzi przy tym o utrwalenie danych tej osoby, ktrej informacje maj by przekazane, a nie utrwalenie wszystkich danych, ktre administrator danych zbiera dla okrelonego celu. Utrwalenie danych rozumie naley jako zapisanie ich na jakimkolwiek noniku (papierowym, elektronicznym lub innym). Zastrzeenie, e udzielenie informacji nastpi ma bezporednio po utrwaleniu danych wskazuje, e midzy tymi dwoma zdarzeniami, tj. utrwaleniem danych i poinformowaniem, nie moe wystpowa odstp czasowy wikszy ni konieczny z powodw obiektywnych (por. J. Barta, R. Markiewicz, P. Fajgielski, Ochrona danych osobowych. Komentarz, Wolters Kluwer Polska - LEX, Krakw 2007, str. 493-494). W wyroku z 13 lipca 2004 r. (sygn. akt OSK 507/2004) Naczelny Sd Administracyjny orzek, i w sytuacji, gdy jeden podmiot kupi dane osobowe od innego, musi o tym niezwocznie poinformowa osoby, ktrych dotyczy transakcja. Nie wolno wysya jednoczenie ofert marketingowych, gdy dalsze korzystanie z takich danych zaley od zainteresowanych, ktrzy mog zgosi sprzeciw lub skorzysta z innych form kontroli. W innym wyroku (sygn. akt II SA 2665/2002) sd ten stwierdzi, i firma, ktra nabya zbir danych osobowych od innego administratora danych, powinna powiadomi klientw, e posiada ich dane, oraz da im czas, aby mieli szans wnie sprzeciw na ich przetwarzanie w celach marketingowych. Niedotrzymanie tych warunkw amie przepisy o ochronie danych osobowych.14

Jeli chodzi o rnic dotyczc zakresu informacji, jakie maj by przez administratora udzielone, to naley zauway, e informacje, o ktrych stanowi art. 25 ust. 1 ustawy, s w znacznej czci tosame z tymi, o jakich mowa w art. 24 ust. 1 ustawy. Rnica w stosunku do art. 24 ust. 1 ustawy polega na tym, e art. 25 ust. 1 ustawy dodatkowo zobowizuje administratora danych do poinformowania o rdle, z ktrego pozyska dane, oraz o sucych zainteresowanemu uprawnieniach kontrolnych wynikajcych z art. 32 ust. 1 pkt. 7 i 8 ustawy, tj. o prawie do wniesienia pisemnego, umotywowanego dania zaprzestania przetwarzania jego danych ze wzgldu na jego szczegln sytuacj oraz prawie wniesienia sprzeciwu wobec przetwarzania danych, gdy administrator zamierza je przetwarza w celach marketingowych lub przekazywa innemu administratorowi danych. Jeli chodzi o rnic dotyczc okolicznoci zwalniajcych administratora z obowizku dostarczenia informacji, to stwierdzi naley, e art. 25 w ust. 2 ustawy zawiera poszerzony w stosunku do art. 24 ust. 2 ustawy katalog sytuacji, w ktrych administrator danych moe odstpi od przekazania informacji. Nale do nich przypadki, gdy: 1) przepis innej ustawy przewiduje lub dopuszcza zbieranie danych osobowych bez wiedzy osoby, ktrej dane dotycz, 2) dane te s niezbdne do bada naukowych, dydaktycznych, historycznych, statystycznych lub badania opinii publicznej, ich przetwarzanie nie narusza praw lub wolnoci osoby, ktrej dane dotycz, a spenienie wymaga okrelonych w ust. 1 wymagaoby nadmiernych nakadw lub zagraaoby realizacji celu badania, 3) dane s przetwarzane przez administratora, o ktrym mowa w art. 3 ust. 1 i ust. 2 pkt 1, na podstawie przepisw prawa, 4) osoba, ktrej dane dotycz, posiada informacje, o ktrych mowa w ust. 1. Poza obowizkiem informacyjnym, o ktrym mowa w art. 24 i 25 ustawy, realizowanym z inicjatywy administratora danych, istnieje ponadto obowizek informacyjny realizowany na wniosek zainteresowanego, uregulowany w art. 32 i art. 33 ustawy. Artyku 33 w ust. 1 ustawy stanowi, i na wniosek osoby, ktrej15

dane dotycz, administrator danych jest obowizany, w terminie 30 dni, poinformowa o przysugujcych jej prawach oraz udzieli odnonie jej danych osobowych, informacji wymienionych w art. 32 ust. 1 pkt. 1-5a ustawy, a w szczeglnoci poda w formie zrozumiaej: 1) jakie dane osobowe zawiera zbir, 2) w jaki sposb zebrano dane, 3) w jakim celu i zakresie dane s przetwarzane, 4) w jakim zakresie oraz komu dane zostay udostpnione. Na wniosek osoby zainteresowanej wymienionych informacji udziela si rwnie na pimie. Od dopenienia tego obowizku - zgodnie z art. 34 w zwizku z art. 30 ustawy - mona odstpi tylko wwczas, gdy udostpnienie informacji spowodowaoby: 1) ujawnienie wiadomoci stanowicych tajemnic pastwow, 2) zagroenie dla obronnoci lub bezpieczestwa pastwa, ycia i zdrowia ludzi albo bezpieczestwa i porzdku publicznego, 3) zagroenie dla podstawowego interesu gospodarczego lub finansowego pastwa, 4) istotne naruszenie dbr osobistych osb, ktrych dane dotycz, lub innych osb. Wywizywanie si przez banki z obowizkw informacyjnych moe by przedmiotem badania przez Generalnego Inspektora Ochrony Danych Osobowych w ramach postpowania administracyjnego wszcztego z urzdu lub na wniosek osoby, wobec ktrej obowizek ten nie zosta zrealizowany. W kontekcie realizacji obowizkw informacyjnych naley rwnie zwrci uwag na art. 54 ustawy. Przewiduje on odpowiedzialno karn i sankcje w postaci kary grzywny, ograniczenia wolnoci albo pozbawienia wolnoci do roku wobec administratora danych niedopeniajcego obowizku poinformowania osoby, ktrej dane dotycz, o jej prawach lub nieprzekazujcego jej informacji umoliwiajcych korzystanie z tych praw.

16

2. Rejestracja zbiorwUstawa o ochronie danych osobowych w art. 40 naoya na administratorw danych obowizek zgoszenia posiadanych zbiorw do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych. Musz go te wykona banki przetwarzajce dane osobowe w zwizku z prowadzeniem dziaalnoci bankowej. Jednak nie wszystkie zbiory danych bdce w dyspozycji banku podlegaj obowizkowi rejestracji. Dzieje si tak wwczas, gdy: bank, przetwarzajc dane, nie jest ich administratorem, a tym samym nie jest podmiotem zobowizanym do zgoszenia zbioru takich danych do rejestracji GIODO, bank, bdc administratorem przetwarzanych danych, jest zwolniony z obowizku zgoszenia zbioru do rejestracji moc przepisu szczeglnego ustawy o ochronie danych osobowych. Z pierwszym omawianym przypadkiem, tj. brakiem obowizku rejestracji, mamy do czynienia w sytuacji, o ktrej mowa w art. 31 ust. 1 ustawy. Zgodnie z jego treci, administrator danych moe powierzy innemu podmiotowi, w drodze umowy zawartej na pimie, przetwarzanie danych. Zatem gdy bank wystpuje w procesie przetwarzania danych osobowych jako podmiot, ktremu na podstawie art. 31 ustawy powierzono przetwarzanie danych, wwczas obowizek rejestracji nie bdzie spoczywa na nim, lecz na podmiocie, ktry, bdc administratorem danych, powierzy bankowi ich przetwarzanie. Przykadem zbioru, ktry nie musia by zgoszony do rejestracji GIODO jest zbir danych klientw, ktrzy zastrzegli dokumenty zagubione lub utracone w inny sposb. Administratorem danych przetwarzanych w zgoszonym zbiorze jest bowiem Zwizek Bankw Polskich, ktry gromadzi te dane w zarejestrowanym zbiorze o nazwie System Midzybankowej Informacji Gospodarczej (Dokumenty Zastrzeone), natomiast bank przetwarza je i wykorzystuje system informatyczny sucy do ich przetwarzania na podstawie umowy ze Zwizkiem Bankw Polskich. W takiej sytuacji17

kady z bankw, ktry dokona zgoszenia takiego zbioru do rejestracji, zosta poinformowany przez Generalnego Inspektora, i jako podmiot, ktry nie jest administratorem danych przetwarzanych w takim zbiorze, nie podlega obowizkowi rejestracyjnemu. Z drugim przypadkiem braku obowizku rejestracji zbioru przez bank, ktry jest administratorem przetwarzanych danych, mamy do czynienia wwczas, gdy wystpuje jedna z sytuacji, o ktrych mowa w art. 43 ust. 1 ustawy. Zgodnie z tym przepisem, z obowizku rejestracji zbioru danych zwolnieni s administratorzy danych: 1) objtych tajemnic pastwow ze wzgldu na obronno lub bezpieczestwo pastwa, ochron ycia i zdrowia ludzi, mienia lub bezpieczestwa i porzdku publicznego, 1a) ktre zostay uzyskane w wyniku czynnoci operacyjno-rozpoznawczych przez funkcjonariuszy organw uprawnionych do tych czynnoci, 2) przetwarzanych przez waciwe organy dla potrzeb postpowania sdowego oraz na podstawie przepisw o Krajowym Rejestrze Karnym, 2a) przetwarzanych przez Generalnego Inspektora Informacji Finansowej, 2b) przetwarzanych przez waciwe organy na potrzeby udziau Rzeczypospolitej Polskiej w Systemie Informacyjnym Schengen oraz Systemie Informacji Wizowej, 3) dotyczcych osb nalecych do kocioa lub innego zwizku wyznaniowego, o uregulowanej sytuacji prawnej, przetwarzanych na potrzeby tego kocioa lub zwizku wyznaniowego, 4) przetwarzanych w zwizku z zatrudnieniem u nich, wiadczeniem im usug na podstawie umw cywilnoprawnych, a take dotyczcych osb u nich zrzeszonych lub uczcych si, 5) dotyczcych osb korzystajcych z ich usug medycznych, obsugi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegego rewidenta, 6) tworzonych na podstawie przepisw dotyczcych wyborw do Sejmu, Senatu, Parlamentu Europejskiego, rad gmin, rad powiatw18

i sejmikw wojewdztw, wyborw na urzd Prezydenta Rzeczypospolitej Polskiej, na wjta, burmistrza, prezydenta miasta oraz dotyczcych referendum oglnokrajowego i referendum lokalnego, 7) dotyczcych osb pozbawionych wolnoci na podstawie ustawy, w zakresie niezbdnym do wykonania tymczasowego aresztowania lub kary pozbawienia wolnoci, 8) przetwarzanych wycznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczoci finansowej, 9) powszechnie dostpnych, 10) przetwarzanych w celu przygotowania rozprawy wymaganej do uzyskania dyplomu ukoczenia szkoy wyszej lub stopnia naukowego, 11) przetwarzanych w zakresie drobnych biecych spraw ycia codziennego. W celu uatwienia stosowania powyszych przepisw w praktyce, mona wskaza kilka przykadw zbiorw danych osobowych prowadzonych przez banki, ktre nie podlegaj obowizkowi rejestracyjnemu. I tak s to: zbiory danych osobowych przetwarzane przez banki w zwizku z realizacj obowizkw naoonych na nie przepisami ustawy z 16 listopada 2000 r. o przeciwdziaaniu wprowadzaniu do obrotu finansowego wartoci majtkowych pochodzcych z nielegalnych lub nieujawnionych rde oraz o przeciwdziaaniu finansowaniu terroryzmu (Dz. U. z 2003 r. nr 153, poz. 1505 z pn. zm.). W wietle tej ustawy, banki jako instytucje obowizane prowadz dla potrzeb Generalnego Inspektora Informacji Finansowej okrelone t ustaw rejestry transakcji. Mianowicie, stosowne do art. 8 ust. 1 wymienionej ustawy, instytucja przyjmujca dyspozycj lub zlecenie klienta do przeprowadzenia transakcji, ktrej rwnowarto przekracza 15 000 euro, ma obowizek zarejestrowa tak transakcj, rwnie gdy jest ona przeprowadzana w drodze wicej ni jednej operacji, ktrych okolicznoci wskazuj, e s one ze sob powizane. Ponadto w wietle art. 8 ust. 3 tej ustawy, instytucja obowizana przyjmujca dyspozycj lub zlecenie klienta do przeprowadzenia transakcji, kt19

rej okolicznoci wskazuj, e wartoci majtkowe mog pochodzi z nielegalnych lub nieujawnionych rde, ma obowizek zarejestrowa tak transakcj, bez wzgldu na jej warto i charakter. Informacje o transakcjach, o ktrych mowa w wymienionych przepisach, instytucje obowizane, w tym rwnie banki, przekazuj, zgodnie z art. 11 i 12, Generalnemu Inspektorowi Informacji Finansowej - zwolnienie wynika z art. 43 ust. 1 pkt 2a ustawy, zbiory danych osobowych obecnych i byych pracownikw bankw, a take kandydatw do pracy oraz zbiory danych osb wiadczcych administratorowi danych bankowi - usugi na podstawie umw cywilnoprawnych (np. na podstawie umowy zlecenia, umowy o dzieo) zwolnienie wynika z art. 43 ust. 1 pkt 4 ustawy, zbiory danych przetwarzanych wycznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczoci finansowej zwolnienie wynika z art. 43 ust. 1 pkt 8 ustawy. Jeli zgromadzone w zbiorze dane su dodatkowym celom, innym ni wskazane powyej, to bank jako administrator takich danych bdzie musia zgosi zbir do rejestracji. Zatem wykorzystywanie danych osobowych w celach finansowo-ksigowych z jednoczesnym wykorzystywaniem ich do innych celw (np. realizacji umowy, dochodzenia roszcze, marketingu, utrzymywania kontaktu z klientem w celu wysyania ycze urodzinowych czy kartek witecznych rodzi po stronie banku obowizek zgoszenia do rejestracji takiego zbioru danych osobowych, zbiory danych osobowych powszechnie dostpnych, czyli takich, z ktrymi moe si zapozna - bez szczeglnego nakadu si i rodkw - nieograniczony krg podmiotw (np. dane s opublikowane w Internecie, gazecie, ksice). Przy czym powszechnie dostpne musz by wszystkie, a nie tylko niektre dane zawarte w zbiorze zwolnienie wynika z art. 43 ust. 1 pkt 9 ustawy, zbiory danych osobowych przetwarzanych w zakresie drobnych biecych spraw ycia codziennego zwolnienie wynika z art. 43 ust. 1 pkt 11 ustawy. Pojcie drobnych biecych spraw ycia codziennego nie zostao zdefiniowane w ustawie. Nie precyzuje go take Kodeks cywilny, w ktrym to pojcie wystpuje. Dokonujc wykadni

20

tego przepisu, Generalny Inspektor przyj, e drobne biece sprawy ycia codziennego to sprawy drugorzdne, niemajce zasadniczego znaczenia dla administratora danych. Dla przykadu wskaza naley, i informacje, o ktrych mowa w art. 43 ust. 1 pkt 11 ustawy, to dane przetwarzane w zbiorach: - prowadzonych w celu kontroli wstpu na teren okrelonych obiektw (tzw. ksigi wej i wyj), - prowadzonych w celu utrzymywania kontaktu z osob reprezentujc okrelony podmiot (majcych dla administratora charakter pomocniczy, celem ich prowadzenia jest usprawnienie dziaalnoci administratora danych, przetwarzanie danych suy wycznie do utrzymywania kontaktw z okrelonymi podmiotami, dane osoby reprezentujcej podmiot przetwarzane s w zakresie niezbdnym do realizacji kontaktu). Naley jednak zauway, e wikszo zbiorw utworzonych w zwizku z prowadzeniem dziaalnoci bankowej podlega obowizkowi rejestracji. Banki zgaszaj przewanie zbiory takich danych osobowych, ktre dotycz klientw i su realizacji umw zawieranych w zwizku z wykonywaniem czynnoci bankowych. Do rejestracji banki zgaszaj take np. zbiory danych uytkownikw systemw bankowoci internetowej, porczycieli, adresatw ofert specjalnych, uczestnikw konkursw i promocji, a take zbiory danych akcjonariuszy, osb zgaszajcych skargi i wnioski oraz zbiory danych tworzonych w zwizku z prowadzeniem ksig meldunkowych w orodkach wypoczynkowych bankw. Stopie poprawnoci wypenienia zgosze przez podmioty z sektora bankowego naley oceni jako dobry. Incydentalnie konieczne byo przeprowadzenie postpowania wyjaniajcego w przypadku np. braku owiadczenia administratora danych w sprawie opracowania dokumentacji opisujcej sposb przetwarzania danych osobowych oraz rodki powzite dla ich ochrony, a take wwczas, gdy administrator danych nie zastosowa waciwego poziomu bezpieczestwa przetwarzania danych osobowych w systemie informatycznym odpowiedniego do kategorii przetwarzanych danych oraz ewentualnych zagroe. W prawidowym zrealizowaniu obowizku zgoszenia zbioru21

danych osobowych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych niewtpliwie pomocny jest internetowy system sucy do wypenienia takiego zgoszenia (udostpniony na stronie www. giodo.gov.pl). Program ten, wraz z internetow wersj rejestru zbiorw danych osobowych, funkcjonuje jako cz systemu Elektroniczna platforma komunikacji z Generalnym Inspektorem Ochrony Danych Osobowych (w skrcie E-GIODO), ktry powsta dziki dofinansowaniu ze rodkw unijnego programu Sektorowy Program Operacyjny Wzrost Konkurencyjnoci Przedsibiorstw, lata 2004-2006, realizowanego w ramach dziaania 1.5, ktrego celem jest rozwj systemu dostpu przedsibiorcw do informacji i usug publicznych on-line. Program wspomagajcy wypenianie zgoszenia zbioru danych do rejestracji zosta opracowany z uwzgldnieniem dotychczasowych dowiadcze Departamentu Rejestracji Zbiorw Danych Osobowych Biura Generalnego Inspektora Ochrony Danych Osobowych, z ktrych wynika, jakie najczciej bdy popeniaj wnioskodawcy, wypeniajc zgoszenie. Program ma umoliwi ich wyeliminowanie. Jego istot jest to, e wymusza podanie wszystkich informacji, ktre zgodnie z przepisami powinno zawiera zgoszenie. Ogranicza te moliwo podania informacji nieprecyzyjnych lub sprzecznych. Ponadto dziki systemowi podpowiedzi i komunikatw o popenionych bdach eliminuje ewentualne pomyki popeniane podczas wypeniania zgoszenia. Po wypenieniu formularza, wnioskodawca ma moliwo wysania zgoszenia zbioru danych osobowych do rejestracji Generalnemu Inspektorowi drog elektroniczn, jeli dysponuje bezpiecznym podpisem elektronicznym, bd wysania wydrukowanego zgoszenia drog tradycyjn.

3. Zapewnienie bezpieczestwa danych osobowych w bankachPrzepisy ustawy o ochronie danych osobowych maj zastosowanie niemal do wszystkich podmiotw przetwarzajcych dane w celach innych ni osobistych lub domowych. Zakres tej ochrony, a zwaszcza22

wymagane rodki bezpieczestwa stosowane przez poszczeglne podmioty, mog si znacznie rni, stosownie do zakresu i kategorii przetwarzanych danych. Jednym z takich szczeglnych obszarw ochrony danych osobowych jest sektor bankowy, dla ktrego bezpieczestwo i ochrona prywatnoci to nie tylko sprawa ochrony danych osobowych, ale przede wszystkim bezpieczestwo zgromadzonych tam rodkw finansowych i informacji o wykonanych transakcjach. Dzi bowiem gwnym celem atakw grup przestpczych zorientowanych na banki nie s wycznie kasy, sejfy czy konwoje bankowe. Obecnie coraz wiksza liczba atakw kierowana jest na informacje przetwarzane w systemach bankowych. Ich celem jest gwnie zdobycie danych umoliwiajcych podszycie si pod klienta banku i wykonanie w jego imieniu okrelonych operacji. Najczciej operacje te dotycz wypaty zgromadzonych rodkw przy uyciu bankomatu lub polece zapaty za towary bd usugi kupione w sklepach internetowych. Inne, bardziej wyrafinowane metody wyprowadzenia rodkw to wykonywanie operacji przy uyciu specjalnie utworzonych w tym celu na fikcyjne osoby lub podmioty kont bankowych. Metody dziaania przestpcw ukierunkowanych na sektor finansowy, w tym banki i instytucje ubezpieczeniowe, zmieniaj si bardzo dynamicznie, stosownie do nowych rozwiza i technologii wdraanych w tych instytucjach W pierwszym etapie rozwoju systemw informatycznych w bankowoci, kiedy zastosowanie informatyki ograniczao si tylko do zastosowa wewntrz banku, zagroenia te nie byy jeszcze tak due i rnorodne jak obecnie. Dostp do systemw informatycznych mieli wwczas wycznie pracownicy banku. Systemy informatyczne nie posiaday tak rozbudowanych funkcji, a wykonywane transakcje weryfikowane byy czsto manualnie. Gwnym rdem zagroe byy wwczas zagroenia wewntrzne pochodzce od nieuczciwych pracownikw. Stan ten - wraz z ewolucj systemw informatycznych banku - znacznie si zmieni. Rozwj sieci korporacyjnych spowodowa zwikszenie si liczby uytkownikw systemw bankowych i tym samym zwikszenie zagroe wewntrznych jak rwnie powstanie zagroe zewntrznych. Przykadem tych ostatnich s np. ataki typu man in the middle, ktre23

polegaj na podsuchu i modyfikacji wiadomoci przesyanych midzy dwiema stronami bez ich wiedzy. Ponadto zdecydowana wikszo bankw dysponuje systemami informatycznymi, ktre dziki poczeniu z Internetem umoliwiaj klientom banku dysponowanie swoimi rodkami bez wychodzenia z domu. Podstaw prawn wprowadzenia takich rozwiza jest ustawa z 12 wrzenia 2002 r. o elektronicznych instrumentach patniczych (Dz.U. nr 169, poz. 1385 z pn. zm.) Konkurencja na rynku usug bankowych wymusia bowiem konieczno stosowania elektronicznych rodkw komunikacji nie tylko midzy instytucjami bankowymi, ale rwnie midzy bankiem i jego klientami. Dziki temu coraz wicej dyspozycji klientw banku wykonywanych jest przy zastosowaniu elektronicznych kanaw komunikacyjnych. Kanay te (poczenia telefoniczne, SMS-y, systemy internetowe banku) wykorzystuj publiczn sie telekomunikacyjn, w ktrej przesy informacji wymaga zastosowania szczeglnych rodkw bezpieczestwa. rodki te powinny by stosowane po obu stronach kanau komunikacyjnego, tj. zarwno po stronie systemu informatycznego w banku, jak i u klienta. Specyfika dziaalnoci bankw, a przede wszystkim narzdzia wykorzystywane do przetwarzania danych wymagaj, aby instytucje te stosoway, nie tylko minimalne wymagania z zakresu bezpieczestwa ochrony danych wskazane w rozporzdzeniu Ministra Spraw Wewntrznych i Administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunkw technicznych i organizacyjnych, jakim powinny odpowiada urzdzenia i systemy informatyczne suce do przetwarzania danych osobowych (Dz. U. nr 100, poz. 1024), zwanego dalej rozporzdzeniem, ale rwnie wiele innych zabezpiecze odpowiednich do istniejcych zagroe. Administratorzy danych osobowych musz mie wiadomo, e konkretnych procedur czy rodkw, jakie naley zastosowa w celu zapewnienia odpowiedniej ochrony danych, nie znajd wprost w przepisach ustawy o ochronie danych osobowych ani w rozporzdzeniach wykonawczych do niej. Zarwno ustawa, jak i rozporzdzenie ministra spraw wewntrznych i administracji wskazuj jedynie na warunki, jakie24

powinny by spenione, a nie na sposb czy rodki, przy uyciu ktrych powinny by one osignite. Wybr odpowiednich rodkw technicznych i organizacyjnych naley do administratora danych. Przy czym trzeba zaznaczy, e nie jest to zadanie atwe. Administratorzy danych musz waciwie oceni, na ile ogromne zasoby informacji zgromadzone w systemach informatycznych s intratnym kskiem dla konkurencji oraz przestpcw gospodarczych. Niepokojcym zjawiskiem jest to, e proceder atakw zarwno na systemy informatyczne, jak i na stacje uytkownikw w celu kradziey ich tosamoci elektronicznej cigle narasta. Europejska Agencja ds. Bezpieczestwa Sieci i Informacji (ENISA) w raporcie GENERAL Report 2007 oraz na swojej stronie internetowej1 ostrzega, e dziaania cyberprzestpcw mog wkrtce powanie zagrozi gospodarce UE. Agencja ta we wspomnianym raporcie wskazuje, e powanym zagroeniem bezpieczestwa w UE jest sie okoo 6 mln zainfekowanych komputerw, ktre mog suy do przeprowadzenia ataku. ENISA wskazuje rwnie na cigle zbyt nisk wiadomo zagroe wrd uytkownikw Internetu i niewiedz w zakresie podstawowych metod ochrony. Nawet czujni internauci mog pa ofiar tego ataku. W przypadku bankw atak rozpoczyna si od zachcenia uytkownika do aktualizacji aplikacji Flash Playera w trakcie wizyty na zainfekowanej stronie. W istocie plik pobrany jako aktualizacja to trojan, ktry atakuje plik host na komputerze uytkownika, dziki czemu moe przekierowywa uytkownika na dowoln stron www (w tym przypadku stron przestpcw). Uytkownik, chcc dokona operacji na swoim koncie, klikajc w skrt lub wpisujc adres w przegldark, kierowany jest w wyniku dokonanych zmian na stron intruza. Strona ta wyglda niemal identycznie, jak strona serwisu transakcyjnego banku. rdem zagroe mog by rwnie zaniedbania lub niewaciwe procedury zarzdzania bezpieczestwem w odniesieniu do systemw1 ENISA jest agencj powsta na podstawie regulacji UE (EC) Nr 460/2004. Peni ona rol niezalenego centrum gromadzcego wiedz najlepszych ekspertw do spraw bezpieczestwa i informacji z krajw czonkowskich UE. Wicej informacji mona znale na stronie http://www.enisa.europa.eu 25

wewntrznych banku. Wszystkie te fakty dowodz, e problematyk bezpieczestwa danych w bankach i instytucjach finansowych, jak rwnie zarzdzanie tym bezpieczestwem naley traktowa powanie i z du odpowiedzialnoci. Realizacja tych zada ze wzgldu na zoono systemw informatycznych bankw i instytucji finansowych wymaga rzetelnej i profesjonalnej analizy. Dla bezpieczestwa zasobw danej instytucji punktem wyjcia powinna by tzw. analiza ryzyka majca na celu zidentyfikowanie wszystkich potencjalnych zagroe oraz skutkw, jakie mog one powodowa, a take rodkw redukujcych powstae w wyniku ich wystpienia szkody. 3.1. Analiza ryzyka Gwnym celem analizy ryzyka jest identyfikacja wszystkich elementw majcych wpyw na bezpieczestwo zasobw majtkowych, finansowych i informacyjnych instytucji, okrelenie ich podatnoci na zagroenia, oszacowanie prawdopodobiestwa ich wystpienia oraz wielkoci potencjalnych strat. W wyniku przeprowadzonej analizy powinny zosta zaproponowane odpowiednie rodki odstraszajce i naprawcze redukujce skutki istniejcego w danym rodowisku ryzyka do akceptowalnego poziomu. Istniej dwie podstawowe grupy metod przeprowadzania analizy ryzyka: ilociowe (kwantyfikatywne) - opieraj si na matematycznych obliczeniach wpywu zagroenia na bezpieczestwo systemu oraz prawdopodobiestwo jego wystpienia. Operuj wycznie na danych liczbowych, zaczerpnitych z analizy danych statystycznych i historycznych. Najczciej stosowane wartoci w ilociowych metodach analizy ryzyka to: warto monetarna, warto procentowa, liczba wystpie i prawdopodobiestwo. Przykadem ilociowych metod analizy ryzyka s metody: Courtneya, Fishera oraz Parkera. W metodach tych operuje si wartociami liczbowymi przypisywanymi

26

do poszczeglnych czynnikw ryzyka2,3. Metody te oceniane s jako trudniejsze w realizacji, ale za to bardziej obiektywne, jakociowe (kwalifikatywne) - s znacznie bardziej subiektywne, gdy bazuj na wiedzy i ocenie ekspertw. Wykorzystuje si w nich miary opisowe, ktre mog posiada liczbowe odpowiedniki4 (1 - ryzyko mae, 4 - ryzyko maksymalne itd.). Przykadem jakociowych metod analizy ryzyka s metody: CRAMM - (CCTA Analysis and Management Metod) opracowana przez rzdow centraln agencj komputerw i telekomunikacji w Wielkiej Brytanii, STIR - Simple Technique for Illustrating Risk, RMF - Risk Management Framework firmy Microspft, FRAP - Facilitated Risk Analysis Process oraz MEHARI - Metod for Harmonized Risk Analysis. Metody jakociowe bazuj na subiektywnych ocenach administratorw systemw informatycznych. Niektre z nich zorientowane s na okrelone sektory, jak np. MEHARI, ktra wyrosa z sektora bankowego5. Metody jakociowe wspomagane s w wikszoci przez odpowiednie narzdzia informatyczne. Typowy proces szczegowej analizy ryzyka bezpieczestwa informacji dla bankw i instytucji finansowych oparty na metodzie kwalifikatywnej powinien skada si z co najmniej szeciu nastpujcych etapw: identyfikacji i oceny zasobw, identyfikacji zagroe, identyfikacji istniejcych zabezpiecze, identyfikacji podatnoci,2 Dig Tan, Quantitative Risk Analysis Step-By-Step, SANS Institute 2003; wersja internetowa pod adresem: http://www.sans.org/reading_room/whitepapers/auditing/849.php 3 James W. Meritt, CISSP A Method for Quantitative Risk Analysis; Wersja internetowa pod adresem: http://www.sans.org/reading_room/whitepapers/auditing/849.php 4 ZekiYazar, A qualitative risk analysis and management tool CRAMM, SANS Institute 2002; Wersja dostpna w internecine pod adresem: http://www.sans.org/reading_ room/whitepapers/auditing/83.php 5 Grzegorz Pohorecki, Analiza ryzyka w systemach informacyjnych; Bank Wsplnych si nr 9-10, wrzesie-padziernik 2007 27

szacowania ryzyka, opracowania rekomendacji. Analiza ryzyka powinna by wykonana indywidualnie przez kady podmiot z uwzgldnieniem wszystkich uwarunkowa rodowiska, w jakim dany podmiot dziaa. Istnieje, jak ju wspomniano, wiele metodologii analizy ryzyka. Czym si zatem kierowa przy jej wyborze? Jest w tym zakresie wiele kryteriw. Najwaniejsze z nich to, aby zastosowana metoda: bya skuteczna - powinna efektywnie, prawidowo i zgodnie ze stanem faktycznym wyznacza poziomy ryzyk dla poszczeglnych scenariuszy zagroe, dawaa jednorodne i dajce si porwna wyniki (ma to due znaczenie przy porwnywaniu stanu bezpieczestwa rnych systemw informatycznych lub porwnaniu stanu bezpieczestwa tego samego systemu w rnym czasie), bya jawna, tzn. sposoby wyznaczania wszystkich parametrw porednich oraz kocowych powinny by dostpne dla jej uytkownikw. Analiz ryzyka w zakresie dotyczcym systemw informatycznych banku mona rwnie przeprowadzi, posugujc si wytycznymi zawartymi w normach technicznych dotyczcych zarzdzania ryzykiem systemw informatycznych. Najczciej stosowanymi normami do wspomagania analizy ryzyka s normy PN-I-13335-1, PN-ISO/IEC 17799 oraz PN-ISO/IEC 27001. Wedug np. polskiej normy PN-I-13335-1, zarzdzanie ryzykiem jest jednym z kilku elementw procesu zarzdzania bezpieczestwem systemw teleinformatycznych. Jego zasadniczym celem jest udzielenie odpowiedzi na nastpujce pytania: co zego moe si wydarzy, jakie jest prawdopodobiestwo, e wydarzy si co zego, jakie konsekwencje dla systemu informatycznego i organizacji bd miay te wydarzenia, jak i o ile moemy zmniejszy straty, ile bdzie kosztowaa ochrona systemu informatycznego.

28

Wymieniona powyej norma PN-I-13335-1 wskazuje na nastpujce zwizki i zalenoci midzy poszczeglnymi elementami w procesie zarzdzania ryzykiem: zagroenia w postaci podatnoci, tj. saboci czy te zbyt maej odpornoci systemu na okrelone zdarzenia, naraajce zasoby i zwikszajce ryzyko wystpienia strat. Analiza wskazuje, e wprowadzajc zabezpieczenia zgodne z wymaganiami, chronimy te zasoby przed zagroeniami i zmniejszamy ryzyko ich wystpienia lub zmniejszany skutki, ryzyko moemy zmniejsza poprzez zastosowanie odpowiednich rodkw odstraszajcych i/lub zapobiegawczych, ale nigdy go cakowicie nie zlikwidujemy. Ryzyko, ktre pozostanie w zabezpieczanym systemie, mimo zastosowania fizycznych, organizacyjnych i technicznych rodkw ochrony, nazywamy ryzykiem szcztkowym, w zarzdzaniu ryzykiem istotna jest odpowied na pytanie, do jakiego poziomu warto obnia ryzyko. Okazuje si, e na pewnym poziomie dodawanie nowych zabezpiecze jest znacznie kosztowniejsze ni warto bezpieczestwa, ktre przy ich pomocy osigamy. Uniwersalna zasada mwi, e ryzyko naley obnia do poziomu, w ktrym organizacja bdzie zdolna ponie ciar strat spowodowanych przez zrealizowane zagroenia i kontynuowa swoj dziaalno. Ryzyko szcztkowe tego typu nazywamy ryzykiem akceptowalnym. W przypadku bankw i instytucji finansowych powinna by wybrana metodologia, ktra w jak najwikszym stopniu uwzgldnia specyfik tego sektora. Warto w tym zakresie sign po wytyczne krajowych lub midzynarodowych organizacji bankowych. W Polsce instytucj odpowiedzialn za nadzr nad rynkiem finansowym, w szczeglnoci nadzr bankowy, jest Komisja Nadzoru Finansowego (KNF)6. W zakresie dotyczcym systemw informatycznych istotna jest Rekomendacja D (wydana jeszcze przez Generalnego Inspektora Nadzoru Bankowego) dotyczca zarzdzania ryzykami towarzyszcymi systemom informa6 Zastpia ona dziaajcy do koca grudnia 2007 r. Generalny Inspektorat Nadzoru Bankowego (GINB). 29

tycznym i telekomunikacyjnym uywanym przez banki. Aktualna wersja rekomendacji opublikowana zostaa w 2002 r. i zastpia rekomendacj z 20 padziernika 1997 r. GINB wyjania w niej, e profil ryzyka kadego banku jest inny i wymaga dostosowania metody jego redukcji do skali zastosowa systemw informatycznych i operacji bankowoci elektronicznej, istotnoci wystpujcych ryzyk oraz woli i zdolnoci bankw do zarzdzania tymi ryzykami. Rekomendacja zawiera w swojej treci zalecenia Bazylejskiego Komitetu ds. Nadzoru Bankowego dotyczce zasad zarzdzania ryzykiem w bankowoci elektronicznej. Wymaga, by wadze banku ustanowiy kontrol zarzdcz ryzyk zwizanych z systemami informatycznymi, w tym ustanowiy polityki i inne, bardziej szczegowe regulacje suce zarzdzaniu tymi ryzykami. Kierownictwo banku odpowiada za opracowanie i realizacj polityki bezpieczestwa. Wedug zapisw zawartych w rekomendacji, bank powinien stosowa zabezpieczenia systemw informatycznych za porednictwem narzdzi zawartych w systemach operacyjnych, wyspecjalizowanego oprogramowania, zastosowania rozwiza sprztowych, audytu, zarzdzania konfiguracj, a take dziaa organizacyjnych, podejmowanych profilaktycznie na wypadek naruszenia zabezpiecze oraz w stanach awaryjnych. W rekomendacji wyszczeglniono cztery nastpujce zagadnienia: rol kierownictwa banku w zarzdzaniu bezpieczestwem systemw informatycznych, mechanizmy kontroli bezpieczestwa, zarzdzanie ryzykami, audyt informatyczny i nadzr. 3.2. Dokumentacja procesu przetwarzania wymagana przez ustaw

Wszystkie potencjalne elementy ryzyka, ktre mog mie wpyw na bezpieczestwo i poufno danych przetwarzanych w sektorze bankowym i innych instytucjach finansowych, jak rwnie rodki, ktre to ryzyko redukuj, powinny by wzite pod uwag przy tworzeniu30

dokumentacji dotyczcej przetwarzania danych osobowych. Jej opracowanie oraz wdroenie stosownych procedur, narzdzi i zasad naley do podstawowego obowizku kadego administratora danych osobowych. Dokumentacja taka powinna, zgodnie z 3 ust. 1 rozporzdzenia ministra spraw wewntrznych i administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunkw technicznych i organizacyjnych, jakim powinny odpowiada urzdzenia i systemy informatyczne suce do przetwarzania danych osobowych, zawiera polityk bezpieczestwa i instrukcj zarzdzania systemem informatycznym sucym do przetwarzania danych osobowych. Polityka bezpieczestwa powinna, zgodnie z 4 rozporzdzenia, zawiera zwaszcza: 1) wykaz budynkw, pomieszcze lub czci pomieszcze, tworzcych obszar, w ktrym przetwarzane s dane osobowe, 2) wykaz zbiorw danych osobowych wraz ze wskazaniem programw zastosowanych do przetwarzania tych danych, 3) opis struktury zbiorw danych wskazujcy zawarto poszczeglnych pl informacyjnych i powizania midzy nimi, 4) sposb przepywu danych pomidzy poszczeglnymi systemami, 5) okrelenie rodkw technicznych i organizacyjnych niezbdnych dla zapewnienia poufnoci, integralnoci i rozliczalnoci przy przetwarzaniu danych. Natomiast instrukcja zarzdzania systemem informatycznym sucym do przetwarzania danych osobowych, zgodnie z 5 rozporzdzenia, powinna zawiera takie elementy, jak: 1) procedury nadawania uprawnie do przetwarzania danych i rejestrowania tych uprawnie w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynnoci, 2) stosowane metody i rodki uwierzytelnienia oraz procedury zwizane z ich zarzdzaniem i uytkowaniem, 3) procedury rozpoczcia, zawieszenia i zakoczenia pracy przeznaczone dla uytkownikw systemu, 4) procedury tworzenia kopii zapasowych zbiorw danych oraz progra31

mw i narzdzi programowych sucych do ich przetwarzania, 5) sposb, miejsce i okres przechowywania: a) elektronicznych nonikw informacji zawierajcych dane osobowe, b) kopii zapasowych, o ktrych mowa w pkt. 4, 6) sposb zabezpieczenia systemu informatycznego przed dziaalnoci oprogramowania, o ktrym mowa w pkt III ppkt 1 zacznika do rozporzdzenia, 7) sposb realizacji wymogw, o ktrych mowa w 7 ust. 1 pkt 4 rozporzdzenia, 8) procedury wykonywania przegldw i konserwacji systemw oraz nonikw informacji sucych do przetwarzania danych. 3.2.1. Polityka bezpieczestwa Zgodnie z 3 i 4 rozporzdzenia, administrator danych obowizany jest do opracowania w formie pisemnej i wdroenia polityki bezpieczestwa. Pojcie polityka bezpieczestwa uyte w rozporzdzeniu naley rozumie jako zestaw praw, regu i praktycznych dowiadcze dotyczcych sposobu zarzdzania, ochrony i dystrybucji danych osobowych wewntrz okrelonej organizacji. Naley zaznaczy, e zgodnie z art. 36 ust. 2 oraz art. 39a ustawy, polityka bezpieczestwa, o ktrej mowa w rozporzdzeniu, powinna odnosi si caociowo do problemu zabezpieczenia danych osobowych u administratora danych, tj. zarwno do zabezpieczenia danych przetwarzanych tradycyjnie, jak i danych przetwarzanych w systemach informatycznych. Celem polityki bezpieczestwa jest wskazanie dziaa, jakie naley wykona oraz ustanowienie zasad i regu postpowania, ktre naley stosowa, aby waciwie zabezpieczy dane osobowe. Polska Norma PN-ISO/IEC 17799:2005, okrelajca praktyczne zasady zarzdzania bezpieczestwem informacji w obszarze technik informatycznych, jako cel polityki bezpieczestwa wskazuje zapewnienie kierunkw dziaania i wsparcie kierownictwa dla bezpieczestwa informacji. Zaznacza si, e dokument polityki bezpieczestwa powinien32

deklarowa zaangaowanie kierownictwa i wyznacza podejcie instytucji do zarzdzania bezpieczestwem informacji. Jako minimum wskazuje ona, aby dokument okrelajcy polityk bezpieczestwa zawiera: a) okrelenie mechanizmw umoliwiajcych wspuytkowanie informacji (mechanizmw dostpu do danych i specyfikacji zakresu uprawnie do ich przetwarzania); b) owiadczenie o intencjach kierownictwa, potwierdzajce cele i zasady bezpieczestwa informacji w odniesieniu do strategii i wymaga biznesowych; c) struktur wyznaczania celw stosowania zabezpiecze, w tym struktur szacowania i zarzdzania ryzykiem; d) krtkie wyjanienie polityki bezpieczestwa, zasad, norm i wy- maga zgodnoci majcych szczeglne znaczenie dla organizacji, zawierajce: 1) zgodno z prawem, regulacjami wewntrznymi i wymaganiami wynikajcymi z umw; 2) wymagania dotyczce ksztacenia, szkole i uwiadamiania w dziedzinie bezpieczestwa; 3) zarzdzanie cigoci dziaania biznesowego; 4) konsekwencje naruszenia polityki bezpieczestwa; e) definicje oglnych i szczeglnych obowizkw w odniesieniu do zarzdzania bezpieczestwem informacji, w tym zgaszania incydentw zwizanych z bezpieczestwem informacji; f) odsyacze do dokumentacji mogcej uzupenia polityk, np. bardziej szczegowych polityk bezpieczestwa i procedur dotyczcych poszczeglnych systemw informatycznych lub zalecanych do przestrzegania przez uytkownikw zasad bezpieczestwa. Wymienione wyej zalecenia w peni mona stosowa do dokumentacji polityki bezpieczestwa instytucji finansowej lub banku, o ktrej mowa w 4 rozporzdzenia. Dokument okrelajcy polityk bezpieczestwa nie powinien mie charakteru zbyt abstrakcyjnego. Zasady postpowania okrelone w polityce bezpieczestwa powinny zawiera uzasadnienie wyjaniajce przyjte standardy i wymagania. Wyjanienia i uzasadnienia zalecanych metod sprawiaj na og, e rzadziej dochodzi do ich naruszenia.33

Dokument, o ktrym mowa w 4 rozporzdzenia, w zakresie przedmiotowym powinien koncentrowa si na bezpieczestwie przetwarzania danych osobowych, co wynika z art. 36 ustawy. Prawidowe zarzdzanie zasobami, w tym rwnie zasobami informacyjnymi, zwaszcza w aspekcie bezpieczestwa informacji, wymaga waciwej identyfikacji tych zasobw oraz okrelenia miejsca i sposobu ich przechowywania. Wybr za odpowiednich dla poszczeglnych zasobw metod zarzdzania ich ochron i dystrybucj zaleny jest od zastosowanych nonikw informacji, rodzaju urzdze, sprztu komputerowego i oprogramowania. Dlatego w 4 rozporzdzenia ustawodawca wskaza, e polityka bezpieczestwa powinna zawiera w szczeglnoci: 1) wykaz budynkw, pomieszcze lub czci pomieszcze, tworzcych obszar, w ktrym przetwarzane s dane osobowe; 2) wykaz zbiorw danych osobowych wraz ze wskazaniem programw zastosowanych do przetwarzania tych danych; 3) opis struktury zbiorw danych wskazujcy zawarto poszczeglnych pl informacyjnych i powizania midzy nimi; 4) sposb przepywu danych pomidzy poszczeglnymi systemami; 5) okrelenie rodkw technicznych i organizacyjnych niezbdnych dla zapewnienia poufnoci, integralnoci i rozliczalnoci przy przetwarzaniu danych. Wicej informacji dotyczcych zawartoci merytorycznej odpowiadajcej wyej wymienionym punktom polityki bezpieczestwa mona znale w wydanym przez GIODO opracowaniu ABC bezpieczestwa danych osobowych przetwarzanych przy uyciu systemw informatycznych. 3.2.2. Instrukcja zarzdzania systemem informatycznym Instrukcja zarzdzania systemem informatycznym sucym do przetwarzania danych osobowych, o ktrej mowa w 3 i 5 rozporzdzenia, zgodnie z 5 rozporzdzenia, powinna zawiera oglne informacje o systemie informatycznym i zbiorach danych osobowych, ktre s przy ich uyciu przetwarzane, zastosowane rozwizania techniczne, jak rw34

nie procedury eksploatacji i zasady uytkowania, jakie zastosowano w celu zapewnienia bezpieczestwa przetwarzania danych osobowych. W przypadku, gdy administrator danych wykorzystuje nie jeden, lecz kilka systemw informatycznych, wwczas naley opracowa jedn, ogln instrukcj zarzdzania lub oddzieln dla kadego z nich. W pierwszym rozwizaniu instrukcja zarzdzania opisywa ma zarwno wsplne dla wszystkich systemw rozwizania i przyjte procedury, jak i te specyficzne dla kadego z nich. W instrukcji zarzdzania systemem informatycznym naley wskaza systemy informatyczne, ktrych ona dotyczy, ich lokalizacje, stosowane metody dostpu (bezporednio z komputera, na ktrym system jest zainstalowany, w lokalnej sieci komputerowej, czy te poprzez sie telekomunikacyjn np. cze dzierawione, Internet). Instrukcja powinna obejmowa zagadnienia dotyczce zarzdzania bezpieczestwem informacji, a w szczeglnoci elementy wymienione w 5 rozporzdzenia, na ktre skadaj si: 1) procedury nadawania uprawnie do przetwarzania danych i rejestrowania tych uprawnie w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynnoci; 2) stosowane metody i rodki uwierzytelnienia oraz procedury zwizane z ich zarzdzaniem i uytkowaniem; 3) procedury rozpoczcia, zawieszenia i zakoczenia pracy przeznaczone dla uytkownikw systemu; 4) procedury tworzenia kopii zapasowych zbiorw danych oraz programw i narzdzi programowych sucych do ich przetwarzania; 5) sposb, miejsce i okres przechowywania: a) elektronicznych nonikw informacji zawierajcych dane osobowe, b) kopii zapasowych, o ktrych mowa w pkt. 4, 6) sposb zabezpieczenia systemu informatycznego przed dziaalnoci oprogramowania, o ktrym mowa w pkt III ppkt 1 zacznika do rozporzdzenia; 7) sposb realizacji wymogw, o ktrych mowa w 7 ust. 1 pkt 4 rozporzdzenia; 8) procedury wykonywania przegldw i konserwacji systemw oraz35

nonikw informacji sucych do przetwarzania danych. W celu zapewnienia ochrony przetwarzanym danym, w odniesieniu do kadego z wymienionych wyej punktw, w treci instrukcji powinny by wskazane odpowiednie dla stosowanych systemw informatycznych zasady postpowania. Wicej informacji na temat zawartoci merytorycznej poszczeglnych punktw instrukcji zarzdzania mona znale we wspomnianym ju ABC bezpieczestwa danych osobowych przetwarzanych przy uyciu systemw informatycznych. 3.2.3. Polityka bezpieczestwa i instrukcja zarzdzania systemem informatycznym dla uytkownikw bdcych klientami banku Dla instytucji finansowych i bankw, ktre udostpniaj swoim klientom kanay komunikacyjne umoliwiajce skadanie dyspozycji drog elektroniczn, bardzo wane jest przekazanie informacji dotyczcych bezpieczestwa tych kanaw i sposobu korzystania z nich. Informacje te powinny zawiera opis istniejcych dla poszczeglnych kanaw komunikacyjnych zagroe oraz rekomendacje dla klientw minimalizujce prawdopodobiestwo ich wystpienia oraz ewentualne skutki. Kierowana do klientw informacja powinna w szczeglnoci wyjania istniejce zagroenia i informowa o dziaaniach, jakie klient powinien podj w celu skutecznej ochrony. Powinny tam by zawarte midzy innymi wytyczne do przygotowania i skonfigurowania urzdze sucych klientom do komunikowania si z systemem teleinformatycznym lub infolini banku. Zawarte w tej czci dokumentacji informacje i wytyczne powinny by, podobnie jak polityka bezpieczestwa i instrukcja zarzdzania, czsto weryfikowane i modyfikowane. 3.3. rodki i procedury bezpieczestwa, na ktre banki i instytucje finansowe powinny zwrci szczegln uwag

Jak ju wspomniano wczeniej, charakter informacji przetwarzanych w systemach informatycznych bankw powoduje, e systemy te w szczeglny sposb naraone s na ataki, ktrych celem jest wykonanie okrelonych operacji w imieniu zaatakowanej ofiary, ktr moe by36

zarwno pracownik banku, jak i klient. Przy czym gwnym motywem dziaa nie jest pozyskanie danych osobowych, lecz uzyskanie korzyci finansowych. Dlatego zarzdzajcy bezpieczestwem tych systemw szczegln uwag powinni zwraca na takie elementy, jak: autoryzacja i bezpieczestwo procesw uwierzytelniania, bezpieczestwo transmisji danych, bezpieczestwo aplikacji internetowych i nadzr nad podmiotami, ktrym zlecono przetwarzanie. 3.3.1. Bezpieczestwo uwierzytelniania Przestpstwa dotyczce bankowoci internetowej w gwnej mierze, jak ju wspomniano, wi si z nieautoryzowanym dostpem do kont klientw. Dostp ten najczciej uzyskiwany jest na podstawie pozyskanych w nielegalny sposb danych, takich jak hasa czy kody autoryzujce. Wamywacz, uzyskujc taki dostp, przesya zgromadzone rodki lub ich niewielk cz - liczc na nieuwag waciciela - na wasne konta. Przestpstwa te bazuj na danych skradzionych posiadaczowi konta bankowego sucych do uwierzytelniania si w systemie informatycznym banku. Proceder pozyskiwania takich danych poprzez przeamywanie zabezpiecze w systemach informatycznych lub uycie wyrafinowanych metod socjotechnicznych nazywany jest kradzie tosamoci. Znacznie rzadziej wystpuj przypadki przeamania zabezpiecze polegajce na wejciu do systemu z pominiciem wbudowanych w system mechanizmw kontroli dostpu (procesu logowania). Pozyskiwanie kluczowych danych sucych uwierzytelnieniu si uytkownika w systemie informatycznym moe odbywa si na wiele sposobw, poczwszy od prb odgadnicia hasa, poprzez wszelkiego rodzaju prby wyudze, a skoczywszy na podsuchu transmisji internetowej. Rwnie skuteczne dla zdobycia danych sucych uwierzytelnianiu moe by zastosowanie przez intruza specjalnych urzdze nazywanych keyloggerami. Urzdzenia te mog wystpowa w wersji programowej lub sprztowej. W przypadku wersji programowych ich uycie wymaga przez intruza podjcia dziaa skaniajcych potencjaln ofiar (uytkownika systemu informatycznego banku lub klienta37

korzystajcego z usug dostpu przez Internet) do jego zainstalowania. W przypadku wersji sprztowych (w formie przeduki do klawiatury lub klawiatury z wbudowanym wewntrz ukadem keyloggera, intruzowi wystarczy dostp do pomieszcze uytkownika systemu informatycznego i chwila nieuwagi, aby podstpnie urzdzenie wczy i po pewnym czasie zbierania informacji zabra w celu odczytania wszystkich wprowadzanych w tym czasie przez uytkownika danych, w tym identyfikatorw i hase. Stosowanie wyrafinowanych metod zabezpiecze, zarwno podczas przechowywania, jak i przesyu danych, moe okaza si niewystarczajce, jeeli system bankowy nie bdzie gwarantowa odpowiednio bezpiecznych mechanizmw autoryzacji uytkownikw. Dlatego banki i instytucje finansowe, ktre szczeglnie naraone s na prby wama do systemw informatycznych, powinny wprowadza rne dodatkowe zabezpieczenia. Mog to by np. stosowane przez niektre banki mechanizmy hase maskowanych (przy kadej prbie logowania uytkownik podaje tylko cz hasa, wskazan przez system). Innym rozwizaniem moe by wprowadzenie tzw. mechanizmu klawiatury ekranowej, dziki ktrej np. znaki hasa mona wprowadza nie z klawiatury, ale poprzez wskazanie ich wskanikiem myszy na klawiaturze wywietlanej na monitorze. Jeszcze bezpieczniejszym rozwizaniem moe by wprowadzenie wieloczynnikowych mechanizmw uwierzytelniania, tj. jednoczesnej kombinacji dwch lub wicej metod, np. identyfikator i haso oraz karta mikroprocesorowa z wpisanymi danymi okrelajcymi zakres uprawnie, z ktrej odczyt danych moliwy jest po wprowadzeniu kodu PIN. Jeszcze innym rozwizaniem moe by zastosowanie systemu hase jednorazowych, ktry gwarantuje, e uyte przez uytkownika haso w adnej sytuacji nie bdzie mogo by powtrnie wykorzystane do wykonania adnej operacji. Hasa jednorazowe s najczciej udostpniane klientom w formie kart, zwanych potocznie zdrapkami, zawierajcych okrelon liczb kodw. Zdarzaj si rwnie przypadki, w ktrych haso takie moe by przesyane kadorazowo poprzez SMS na telefon klienta banku. System hase jednorazowych moe by rwnie oparty na mechanizmie kalkulatora. Wwczas uytkownik, przy pomocy specjal38

nego generatora, wylicza aktualne haso za pomoc cigu znakw podanych przez system bankowy (tzw. challenge-response handshake). Odmian hase jednorazowych s hasa dynamiczne. Klient musi posiada dodatkowe urzdzenie elektroniczne, tzw. token (miniaturowe urzdzenie dynamicznie generujce hasa), przy pomocy ktrego jest w stanie uzyska informacje dotyczce aktualnego hasa. Czas ycia hasa dynamicznego zazwyczaj nie przekracza kilkudziesiciu sekund. Niezalenie od stosowanych zabezpiecze technologicznych, rwnie istotn kwesti bezpieczestwa moe okaza si dodatkowy poziom weryfikacji operacji bankowych, np. poprzez telefoniczne potwierdzenie transakcji lub zastosowanie predefiniowanych list odbiorcw, do ktrych mona realizowa przelewy bankowe. Jednak dobre zabezpieczenia to nie wszystko. Mimo rozwoju technologicznego, nawet najbardziej zaawansowane rozwizania nie s w stanie zagwarantowa cakowitego bezpieczestwa, jeeli nie zostan odpowiednio zastosowane. Due zagroenie stanowi np. posugiwanie si hasem opartym na specyficznych dla uytkownika, atwych do odgadnicia informacjach. Nie naley rwnie zapomina, e mimo zachowania wysokiego poziomu czujnoci podczas posugiwania si hasem lub innymi urzdzeniami zabezpieczajcymi, poufne dane mog przedosta si w niepowoane rce np. w wyniku dziaania zoliwego oprogramowania zainstalowanego na komputerze uytkownika. W zwizku z tym istotnym elementem bezpieczestwa danych jest dbao bankw o podnoszenie wiadomoci klientw w zakresie istniejcych zagroe poprzez prowadzenie odpowiedniej polityki informacyjnej. 3.3.2. Bezpieczestwo transmisji danych W bankach, sklepach internetowych i innych instytucjach finansowych, jak rwnie wszdzie tam, gdzie przekazywane s dane osobowe lub inne poufne dane, bezpieczestwo przekazywania informacji powinno by jednym z priorytetw polityki bezpieczestwa. Instytucje te powinny zapewni tak organizacj przekazywania danych, ktra zapewni im wszystkie atrybuty bezpieczestwa, tj. poufno, integralno39

i dostpno. W celu minimalizacji ryzyka powinny one dokona odpowiedniego wyboru mediw telekomunikacyjnych, technologii przekazu oraz zapewni fizyczn ochron nonikw danych. Banki, sklepy internetowe oraz inne instytucje finansowe dla zapewnienia rozliczalnoci przekazu powinny rozway zastosowanie podpisu elektronicznego. Wszelkie informacje dotyczce danych osobowych oraz informacje finansowe przesyane poczt elektroniczn powinny by szyfrowane. Pracownicy i klienci tych instytucji korzystajcy z poczty elektronicznej powinni by zabezpieczeni przed nieautoryzowan zmian komunikatw i ryzykiem bdu (np. niewaciwego adresu). Banki, ktre nie stosuj podpisu elektronicznego dla zapewnienia wiarygodnoci przekazu, jak wskazano w Rekomendacji D, powinny liczy si z tym, e ich ochrona prawna przed ryzykiem nieuprawnionego wykorzystania takiego przekazu moe by niewystarczajca. Zapewnienie bezpieczestwa informacji przesyanych elektronicznie midzy klientem a bankiem powinno opiera si na silnych i niezawodnych algorytmach kryptograficznych. Najczciej oferowanym obecnie rozwizaniem jest protok SSL (ang. Secure Socket Layer), ktry wykorzystuje silne algorytmy szyfrowania zapewniajce poufno oraz integralno danych przesyanych za porednictwem publicznych sieci telekomunikacyjnych. Mimo e sam protok szyfrowania moe by uznany za stosunkowo bezpieczny, to jednak rol uytkownika jest zweryfikowanie, czy znajduje si na waciwej witrynie i czy witryna ta ma wany certyfikat. Moe si bowiem zdarzy, e w wyniku celowego dziaania cyberprzestpcy, klient zostanie przekierowany na inny serwer, ktrego gwnym zadaniem moe by kradzie poufnych danych. Metoda ta, w ktrej ofiar kieruje si na odpowiednio spreparowan stron banku, sklepu czy innej instytucji poprzez wysanie e-maila z ostrzeeniem bd prob o np. weryfikacj swoich danych, nazywa si phishingiem. Przestpcy wykorzystuj w niej niewiadomo adresata, do ktrego skierowano wiadomo zachcajc do wykonania wymagajcych uwierzytelnienia operacji na swoim koncie bankowym. Najczciej informacje te zawieraj ostrzeenie o zagroeniach, np. informacje o wykrytych rzekomo40

nieudanych prbach logowania i apel z prob do uytkownika, aby w trosce o swoje bezpieczestwo zmieni haso lub sprawdzi stan swojego konta. W rzeczywistoci jest to informacja pochodzca nie od banku tylko od przestpcw, a wykonanie wskazanych operacji nie chroni uytkownika przed atakiem, lecz wrcz przeciwnie, jest wanie atakiem. Cechami charakterystycznymi dla tego rodzaju wiadomoci s: masowe ich przesyanie poczt elektroniczn lub za porednictwem komunikatorw internetowych, zachcanie uytkownika do kliknicia linku przekierowujcego na okrelon witryn, na ktrej musi wprowadzi poufne dane, aby na przykad dokona ich potwierdzenia lub ponownie aktywowa konto, alarmowy charakter takich wiadomoci, ostrzegajcy przed atakiem (w wiadomoci czsto zawarta jest informacja, e ze wzgldw bezpieczestwa uytkownicy powinni odwiedzi witryn www i potwierdzi swoje dane: nazw uytkownika, haso, numer karty kredytowej, numer PIN, numer PESEL itp.). W podobny sposb dziaaj oszuci, stosujc tzw. pharming. Ich dziaanie rni si od phishingu tylko tym, e zamiast wysyania e-maila od faszywego nadawcy, uytkownicy kierowani s bezporednio na faszywe strony internetowe, nawet gdy wpisali prawidowy adres lub wybrali waciwy adres strony z kategorii ulubione. Dziaanie takie spowodowane moe by atakiem na serwery DNS, dziki czemu oszust przekierowuje internaut wpisujcego poprawny adres np. banku na inn stron lub atakiem na komputer internauty. Ten ostatni polega na zainfekowaniu komputera trojanem, ktry pozwoli przestpcy na dokonanie modyfikacji w lokalnym pliku hosts (efekt bdzie taki sam, jak w przypadku ataku na serwer DNS - wpisanie w przegldarce okrelonego adresu URL spowoduje przekierowanie poczenia na spreparowan stron przestpcy). Jeszcze inny rodzaj phishingu to tzw. spy phishing. Jest to atak wspomagany technik pharmingu. Umoliwia wysyanie poczt elektroniczn trojana (lub link do jego pobrania), ktry po zainstalowaniu w komputerze, zaczyna podsuchiwa transmisj sieciow. Gdy intruz wykryje, e uytkownik wszed na stron okrelonej firmy, prbuje41

przechwyci dane dostpowe (nazw uytkownika, haso) i nastpnie wysya je do napastnika. Pod wzgldem technicznym spy phishing jest duo prostszy od typowego pharmingu. Atak zaczyna si na prawdziwej stronie banku i nie ma adnych widocznych objaww jego obecnoci. eby uchroni klientw przed tego typu atakami, banki czy sklepy internetowe korzystajce z usug bankowoci elektronicznej powinny ostrzega swoich klientw, by w momencie wprowadzania poufnych danych zawsze zachowywa szczegln ostrono. Klienci powinni by informowani, e jeeli na przykad z okna przegldarki nagle znikn symbole bezpiecznego poczenia (np. maa kdka pasku statusu, litera s w https:// przed internetowym adresem banku) lub gdy strona wyglda inaczej ni zwykle, powinni natychmiast przerwa transakcj i zawiadomi bank lub sklep internetowy. Banki powinny informowa swoich klientw, kiedy, to jest na jakim etapie wykonywania transakcji, daj podania jednorazowych hase oraz e nigdy nie bd wysya do swoich klientw wiadomoci e-maili z probami o weryfikacj danych. Klienci powinni rwnie zosta poinformowani o moliwociach sprawdzenia autentycznoci strony poprzez weryfikacj certyfikatu. Bardzo wane jest informowanie klientw o potrzebie posiadania instalacji oprogramowania antywirusowego z aktualn baz wirusw. Programowanie takie znacznie utrudni potencjalnym oszustom wykorzystanie oprogramowania szkodliwego typu wirusy, konie trojaskie itp. do przeprowadzenia ataku na przetwarzane w systemach informatycznych dane osobowe. Klient banku, stosownie do technologicznych moliwoci, powinien by zachcany do uywania na swojej stacji sprawdzonych i bezpiecznych rozwiza. W przypadku gdy klient do systemu bankowego loguje si przy uyciu przegldarki internetowej, powinien by informowany o tym, jakiego rodzaju przegldarki powinien uywa, jak rwnie o tym, jakie powinny by jej ustawienia. W przypadku zastosowania innych przegldarek ni rekomendowane przez bank (administratora danych) system informatyczny banku powinien odmwi wsppracy, informujc klienta o jej przyczynie. O potrzebie takiej weryfikacji wiadcz sygnay o tym, e klienci niektrych bankw, logujc si do systemu bankowoci internetowej przy uyciu42

konkretnych typw przegldarek, nie s bezpieczni. Zagroenie pojawia si w momencie wylogowania. Mimo poprawnego przebiegu tej operacji, nastpny uytkownik komputera np. w kafejce internetowej moe bez podawania numeru klienta i kodu PIN cofn si na stron banku i zobaczy nazwisko klienta, numer i stan konta, saldo karty kredytowej. Wystarczy nacisn wstecz w przegldarce internetowej. 3.3.3. Bezpieczestwo usug internetowych Dynamiczny rozwj Internetu sprawia, i jest on przedmiotem zainteresowania firm z sektora finansowego. Korzyci wynikajce z zastosowania technologii internetowych w bankowoci wydaj si oczywiste, zarwno dla bankw, jak i ich klientw. Banki zyskuj moliwo usprawnienia obsugi swoich klientw bez koniecznoci rozbudowywania sieci placwek, klienci natomiast otrzymuj kana komunikacyjny, dziki ktremu z usug mog korzysta 24 godziny na dob, 7 dni w tygodniu bez wychodzenia z domu. Dziki niszym kosztom prowadzenia kont internetowych ich posiadaczom oferuje si zazwyczaj korzystniejsze warunki finansowe, np. wysze oprocentowanie. Zagadnienie bankowoci internetowej nie moe by jednak postrzegane wycznie w kontekcie wygody, szybkoci obsugi, czy te kosztw. Istotna jest rwnie problematyka bezpieczestwa i poufnoci transakcji dokonywanych drog elektroniczn. Udostpnienie klientom banku elektronicznych kanaw dostpu do swoich kont bankowych, w tym moliwoci elektronicznego skadania wszelkich zlece na wykonanie operacji bankowych, spowodowao pojawienie si nowych zagroe. Wspomniane w punkcie 3.3.2 metody kradziey tosamoci to tylko jedne z wielu zagroe.. Metody dziaania przestpcw, ktrzy zajmuj si kradzie tosamoci w celach jej dalszej odsprzeday lub bezporedniego wykorzystania w systemie bankowym, zmieniaj si w takim samym tempie, w jakim zmienia si cae rodowisko Internetu. Czsto okazuje si, e zagroenie przychodzi z nieoczekiwanej cakowicie strony. Tak np. jednym ze zjawisk, jakie zaobserwowano w 2007 r. byy wspomniane wczeniej ataki typu43

phishing, z t jednak rnic, e nie na strony bankw, lecz na strony portali spoecznociowych. Ich celem byo zdobycie informacji o kontach ich uytkownikw, w tym informacji o adresach poczty elektronicznej ich znajomych. Informacje tam pozyskane nie daj przestpcom natychmiastowych korzyci, ale mog by uyte w celu zwikszenia efektywnoci innych dziaa. Uzyskane dane, takie jak adresy e-mail znajomych zaatakowanego uytkownika, mog by wykorzystane np. do przesania mu w imieniu znajomej osoby informacji z czami do witryn internetowych zawierajcych destrukcyjne kody, w tym np. kody umoliwiajce opisany ju atak typu pharming. Destrukcyjne kody mog by przesyane do atakowanych osb rwnie wprost w postaci zaczonych do e-maili zacznikw. Istnieje due prawdopodobiestwo, e zaatakowana w ten sposb osoba, otwierajc wiadomo pochodzc w jej mniemaniu z zaufanego rda, zainstaluje na swoim komputerze przesany jej w zaczniku program. Dla odwrcenia uwagi uytkownika i tym samym zwikszenia skutecznoci w osiganiu celu swych dziaa, programy takie czsto oferuj pewne poyteczne dla internautw funkcje. Funkcje suce przestpczym dziaaniom, takie jak np. ledzenie aktywnoci uytkownika w sieci Internet, rejestracja wprowadzanych z klawiatury znakw, umoliwienie przestpcy przejcie kontroli nad komputerem itp. s w tych programach ukrywane przed uytkownikiem. Konstrukcja tych programw jest czsto taka, e te szkodliwe dla uytkownika funkcje pozostaj nawet wtedy, gdy gwny program, ktry je wprowadzi do komputera zostanie odinstalowany. W zalenoci od celw jakim suy ukrywany w programach tego typu kod, programy te okrelane s nazw spyware jeeli kod ten suy do szpiegowania uytkownika (zbierania i przekazywania informacje o np. odwiedzanych przez uytkownika stronach internetowych), lub nazw malware jeli kod ten jest kodem destrukcyjnym typu wirus, robak, trojan, rootkit, backdoor itp. Majc powysze na uwadze, banki i instytucje finansowe w trosce o dobro swoich klientw i dbao o wasny wizerunek, powinny tak konstruowa i zabezpiecza swoje systemy informatyczne oraz wprowadzi tak polityk bezpieczestwa, aby zapewni odpowiedni poziom bez44

pieczestwa dla siebie i swoich klientw. Jak poinformowano bowiem we wspomnianej ju Rekomendacji D dotyczcej zarzdzania ryzykiem towarzyszcym systemom informatycznym i telekomunikacyjnym uywanym przez banki, podejmowane przez banki dziaania powinny by odpowiednie do profilu ryzyka w danym banku. W kadym banku profil ryzyka jest inny i wymaga dostosowania metody jego redukcji do skali zastosowa systemw informatycznych i operacji bankowoci elektronicznej. Oznacza to, e metoda jednego rozmiaru dla wszystkich w zagadnieniach zarzdzania ryzykiem w systemach informatycznych i bankowoci elektronicznej moe nie by odpowiednia. 3.3.4. Polityka informacyjna banku W punkcie 3.2.3 wspomniano, e banki udostpniajce swoim klientom tzw. elektroniczne kanay komunikacyjne powinny zadba o przekazanie im odpowiednich informacji. Potrzeba zapewnienia tych informacji wynika z opisanych wczeniej licznych zagroe, na jakie klient banku jest naraony. Informacje te, nazwane w punkcie 3.2.3 polityk bezpieczestwa i instrukcj zarzdzania systemem informatycznym dla uytkownikw bdcych klientami banku, powinny zawiera cz instruktaow, ktra wyjania sposb korzystania z danego systemu oraz cz edukacyjn informujc uytkownika o istniejcych zagroeniach i sposobach ochrony. W ramach polityki informacyjnej banki powinny przekazywa swoim uytkownikom podstawowe informacje o zagroeniach dla poszczeglnych kanaw komunikacyjnych. W przypadku systemw bankowoci elektronicznej udostpnianych uytkownikom przy uyciu przegldarki internetowej, klienci powinni by poinformowani o niezbdnych rodkach ochrony, jakie powinni zainstalowa na swoich komputerach oraz o pewnych oglnych zasadach bezpieczestwa. Banki powinny m.in. informowa swoich klientw o tym, by: nie przechowywali danych dotyczcych swojego konta w jawnej postaci w miejscu, z ktrego mog by w prosty sposb skradzione bd ujawnione osobom postronnym,45

nie przesyali danych wykorzystywanych do obsugi kont bankowych przez e-mail, gdy banki nigdy nie prosz o podanie danych poufnych poczt elektroniczn, a nadawca takich wiadomoci, podszywajc si zwykle pod zaufan firm lub osob, ma na celu wyudzenie poufnych informacji (numery kart kredytowych, hasa do systemw bankowych, hasa portali aukcji internetowych), korzystali z nowoczesnych narzdzi ostrzegajcych przed wejciem na strony stworzone w celu wyudzenia poufnych danych, gdy w nowych wersjach popularnych przegldarek dostpne s filtry antyphishingowe (specjalne narzdzia sprawdzajce, czy wywietlona strona internetowa nie ma na celu wyudzenia poufnych informacji). Programy te nie daj, co prawda, penej gwarancji, e dana strona jest bezpieczna, pozwalaj jednak znacznie ograniczy ryzyko utraty danych sucych uwierzytelnianiu, korzystali z usug bankowoci elektronicznej wycznie przy uyciu znanego sobie sprztu, gdy podstawowym zagroeniem wystpujcym w oglnodostpnych systemach jest moliwo instalacji zoliwego oprogramowania przez osoby uprzednio korzystajce z danego stanowiska, kadorazowo podczas logowania zwracali uwag na dat ostatniego logowania do systemu, nie otwierali i nie uruchamiali plikw oraz programw nieznanego pochodzenia, ze szczegln ostronoci traktowali programy pobierane z Internetu. Wiele bowiem darmowych programw dostpnych w sieci zawiera moduy szpiegujce (ang. spyware), ktre dostarczaj ich autorom cennych informacji o uytkowniku - gwnie adres IP, uywany system operacyjny, przegldark, a niekiedy strony, z ktrymi si czy uytkownik. Aplikacje typu spyware mog umoliwi osobom niepowoanym ledzenie danych wpisywanych przez uytkownika w przegldarce internetowej, w tym rwnie numer klienta, PIN, numery kart patniczych itd., zwracali uwag na symptomy zainfekowania komputera, takie jak: spowolnienie dziaania systemu, spowolnienie transferu, zwikszona46

liczba reklam, zmiany w dziaaniu przegldarki internetowej, problemy z dziaaniem niektrych programw, nie klikali na podejrzane odnoniki podawane w e-mailu, po kadym wykryciu i usuniciu wirusa lub konia trojaskiego zmieniali PIN do usugi oraz wszelkie hasa dostpu, nie uruchamiali programw nieznanego pochodzenia przesyanych poczt elektroniczn, w przypadku programw otrzymywanych od znajomych naley dodatkowo upewni si, czy to rzeczywicie te osoby wysay nam ten program.

W polityce informacyjnej banku powinny by rwnie zawarte przeznaczone dla klientw wskazwki dotyczce sposobu zabezpieczenia ich komputerw, czyli tzw. cz instruktaowa. Wane jest, aby przekazywana przez banki tego typu instrukcja wskazywaa nie tylko obowizki i dziaania, jakie klient powinien przedsiwzi, ale rwnie wyjaniaa potrzeb ich wprowadzenia. W czci instruktaowej powinny si znale m.in. wyjanienia i rekomendacje dotyczce np.: instalacji najnowszych uaktualnie systemu operacyjnego, instalacji oprogramowania antywirusowego oraz biecego aktualizowannia baz wirusw, stosowania hasa dostpu o odpowiedniej zoonoci, instalacji i konfiguracji tzw. zapory ogniowej (ang. firewall), majcej na celu stae monitorowanie i rejestrowanie informacji napywajcych z zewntrz. 3.3.5. Outsourcing w banku a ochrona danych osobowych Outsourcing, czyli zlecanie realizacji usug podmiotom zewntrznym, w bankach i innych instytucjach finansowych moe mie bardzo rny zakres stosowania. Jego znaczenie wzrasta wraz z rosncymi wymaganiami w zakresie specjalistycznej obsugi inynierskiej wspczesnych systemw informatycznych. Niezalenie od zakresu, w jakim obsug danego systemu informatycznego zlecono na zewntrz, zakres47

przekazanych zada i obowizkw powinien by przedmiotem tzw. umowy powierzenia przetwarzania danych osobowych. Umowa taka powinna precyzowa zakres i cel przetwarzania danych. Podmiot bdcy administratorem danych w umowie powierzenia powinien zawrze klauzule dotyczce zachowania w tajemnicy przetwarzanych danych osobowych oraz przetwarzania tylko w zakresie wyznaczonym w umowie. Kady administrator danych osobowych, w tym rwnie banki i inne instytucje finansowe, ktre zleciy przetwarzanie danych osobowych na zewntrz, powinny okresowo przeprowadza kontrol tego przetwarzania. Przedmiotem kontroli powinny by zarwno zakres przetwarzania, jak i zastosowane zabezpieczenia. Bardzo wanym elementem kontroli i nadzoru podmiotu, ktremu powierzono przetwarzanie danych osobowych, jest zapewnienie rozliczalnoci wykonywanych zada. W przypadku jeeli przedmiotem powierzenia nie jest przetwarzanie danych, lecz jedynie opracowanie lub modyfikacja systemu informatycznego, ktry ma suy do takiego przetwarzania, szczeglna uwaga powinna by zwrcona na przekazywanie systemu midzy stronami. Przekazaniu takiemu powinna towarzyszy operacja przejcia danych sucych uwierzytelnianiu si uytkownikw systemu sprawujcych role administracyjne. Dane te po przejciu systemu przez administratora danych powinny by zmienione w celu uniemoliwienia wykonawcy dalszego ingerowania w system bez wiedzy osoby, ktra przeja odpowiedzialno za jego bezpieczestwo po stronie administratora danych.

4. Przekazywanie danych osobowych do pastwa trzeciegoPostpujca globalizacja gospodarki wpywa na wzrost transgranicznej wymiany danych osobowych przetwarzanych w sektorze finansowym. Midzynarodowe transfery danych czsto obejmuj pastwa trzecie, tj. pastwa, ktre nie nale do Europejskiego Obszaru Gospodarczego. Ze wzgldu na wice si z takimi transferami ryzyko naruszenia praw i wolnoci osb, ktrych dane dotycz, ustawa o ochro48

nie danych osobowych zawiera szczeglne warunki przekazywania danych do takich pastw (art. 47 i art. 48 ustawy). Natomiast przepyw danych w obrbie Europejskiego Obszaru Gospodarczego jest traktowany tak samo, jak transfer danych na terytorium Polski. Co do zasady przekazanie danych osobowych do pastwa trzeciego moe nastpi, zgodnie z art. 47 ust. 1 ustawy, jeeli pastwo docelowe daje gwarancje ochrony danych osobowych na swoim terytorium przynajmniej takie, jakie obowizuj na terytorium Rzeczypospolitej Polskiej. W przypadku przekazywania danych osobowych do pastw trzecich niedajcych takich gwarancji ochrony danych osobowych - oprcz koniecznoci spenienia oglnych wymogw przewidzianych w ustawie, naley rwnie dodatkowo wypeni jedn z przesanek legalizujcych przekazanie danych okrelonych w art. 47 ust. 2 lub 3 albo art. 48 ustawy. Obowizek oceny, czy pastwo docelowe zapewnia odpowiednie gwarancje ochrony, ley po stronie administratora danych, ktry rozstrzyga, czy spenione s przesanki z art. 47 ust. 1 ustawy. Generalny Inspektor nie wydaje w tym zakresie adnych zawiadcze. Jednak na mocy art. 25 ust. 6 dyrektywy 95/46/WE Parlamentu Europejskiego oraz Rady z 24 padziernika 1995 r. o ochronie osb fizycznych w zwizku z przetwarzaniem danych osobowych oraz swobodnego przepywu tych danych, Komisja Europejska jest uprawniona do stwierdzenia w drodze decyzji, e dane pastwo trzecie zapewnia odpowiedni stopie ochrony, co wynika z jego prawa krajowego lub midzynarodowych zobowiza, jakie pastwo to przyjo, szczeglnie po zakoczeniu negocjacji z Komisj Europejsk, w zakresie ochrony ycia prywatnego i podstawowych praw i wolnoci osb fizycznych. W przypadku, gdy Komisja Europejska uzna dane pastwo trzecie za zapewniajce odpowiedni ochron, jest to rwnoznaczne z tym, i gwarantuje ono taki sam poziom ochrony danych osobowych, jaki wymagany jest na terytorium Rzeczypospolitej Polskiej. Komisja dotychczas wydaa kilka takich decyzji o zrnicowanym charakterze i zakresie zastosowania. Decyzje dotyczyy przekazywania danych osobowych m.in. do Argentyny, Guernsey, Kanady, Szwajcarii, Stanw Zjednoczonych49

Ameryki w odniesieniu do systemu tzw. bezpiecznej przystani (ang. safe harbour)7 i na Wysp Man. Naley zwrci uwag, e w razie wtpliwoci co do odpowiedniego stopnia ochrony w pastwie trzecim administrator danych zamierzajcy przekazywa dane do takiego pastwa, powinien legitymowa si jedn z przesanek okrelonych w art. 47 ust. 2 lub 3, albo w art. 48 ustawy. Transfer danych osobowych do pastwa trzeciego, ktre nie zapewnia odpowiedniej ochrony danych osobowych, jest dopuszczalny, gdy wynika z obowizku naoonego na administratora danych przepisami prawa lub postanowieniami ratyfikowanej umowy midzynarodowej (art. 47 ust. 2). Podkrelenia wymaga, i powoana norma swym zakresem obejmuje jedynie przepisy prawa obowizujce na terytorium Rzeczypospolitej Polskiej bd ratyfikowane umowy midzynarodowe. Artyku 47 ust. 3 ustawy zawiera kolejne przesanki upowaniajce do przekazywania danych osobowych do pastwa trzeciego, ktre nie zapewnia odpowiednich gwarancji ochrony. Zgodnie z tym przepisem, administrator danych moe przekaza dane osobo