Temat: Dostęp osób niepowołanych...

Witam,

mam oststnio taki problem.Jest firma dla której "kiedyś" "ktoś" napisał program-formularz kadrowo-płacowy. Za pomocą tego "programu" firma gromadzi wszelkie niezbędne informacje na temat pracowników i zdarzeń finansowo-kadrowo-prawnych w firmie.
Program ten to właściwie stworzony w Accesie formularz bazy danych (z resztą przygotowany przez kompletnego laika) bez żadnego zabezpieczenia odnośnie dostępu do informacji i jej modyfikacji. Równie prosto można "wynieść" te informacje poza firmę (jeden plik - komputer zabezpieczony jedynie hasłem użytkownika, zasoby udostępnione w sieci lokalnej) Tworzone było to dobre kilka lat temu gdy firma zatrudniała kilkanaście osób, teraz baza zawiera dane o ponad 1000osób.
Moje pytanie brzmi: jakie konsekwencje grożą i komu za "wyniesienie" (udostępnienie-sprzdanie itp) tych danych poza firmę.
Jak można się zabezpieczyć przed odpowiedzialnością za coś takiego (W przypadku gdy pracodawca twierdzi że dobrze jest jak jest...)
I gdzie mogę na ten temat znaleźć jakieś dokładniejsze informacje?

z góry dzięki

Temat: Dostęp osób niepowołanych...

Jeśli chodzi o odpowiedzialność za dane osobowe (w rozumieniu ustawowym), to odpowiedzialność ponosi administrator danych:

"Art. 51. 1. Kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.
2. Jeżeli sprawca działa nieumyślnie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.

Art. 52. Kto administrując danymi narusza choćby nieumyślnie obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.
"

Źródło: Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych Dz. U. z 2002 r. nr 101 Poz. 926

http://www.lex.pl/serwis/du/2002/0926.htmTadeusz Calanca edytował(a) ten post dnia 08.01.08 o godzinie 08:00

Temat: Dostęp osób niepowołanych...

Maciej "Merlin" Cybulski:
Witam,

mam oststnio taki problem.Jest firma dla której "kiedyś" "ktoś" napisał program-formularz kadrowo-płacowy. Za pomocą tego "programu" firma gromadzi wszelkie niezbędne informacje na temat pracowników i zdarzeń finansowo-kadrowo-prawnych w firmie.
Program ten to właściwie stworzony w Accesie formularz bazy danych (z resztą przygotowany przez kompletnego laika) bez żadnego zabezpieczenia odnośnie dostępu do informacji i jej modyfikacji. Równie prosto można "wynieść" te informacje poza firmę (jeden plik - komputer zabezpieczony jedynie hasłem użytkownika, zasoby udostępnione w sieci lokalnej) Tworzone było to dobre kilka lat temu gdy firma zatrudniała kilkanaście osób, teraz baza zawiera dane o ponad 1000osób.
Moje pytanie brzmi: jakie konsekwencje grożą i komu za "wyniesienie" (udostępnienie-sprzdanie itp) tych danych poza firmę.
Jak można się zabezpieczyć przed odpowiedzialnością za coś takiego (W przypadku gdy pracodawca twierdzi że dobrze jest jak jest...)
I gdzie mogę na ten temat znaleźć jakieś dokładniejsze informacje?

z góry dzięki

Zaryzykuję, ze - poza wspomnianą poniżej ustawą o ochronie danych osobowych - być może Art. 266. KK
§ 1. Kto, wbrew przepisom ustawy lub przyjętemu na siebie zobowiązaniu, ujawnia lub wykorzystuje informację, z którą zapoznał się w związku z pełnioną funkcją, wykonywaną pracą, działalnością publiczną, społeczną, gospodarczą lub naukową, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności
do lat 2

Co do zabezpieczenia (siebie), to przede wszystkim mieć na piśmie, że pracodawca wie i akceptuje taki stan rzeczy (i być przekonanym, że w moim zakresie obowiązków nie wpisano ochrony danych osobowych ;)) a co do zabezpieczenia danych to (jeśli mówimy o Windows) przynajmniej zaszyfrować ten plik w EFSie, ustalić kto ma do niego uprawnienia i włączyć audyt zdarzeń, żeby widzieć kto co z nim robił i kiedy.
MS

Temat: Dostęp osób niepowołanych...

zgadzam sie z przedmowca co do art i moze nawet dorzucilbym tu 49 Ustawy o Ochronie Danych Osobowych dla tego ktory podbiera te dane

"Kto przetwarza w zbiorze dane osobowe, choć ich przetwarzanie nie jest
dopuszczalne albo do których przetwarzania nie jest uprawniony, podlega grzywnie, karze
ograniczenia wolności albo pozbawienia wolności do lat 2"Soter Flawiusz edytował(a) ten post dnia 16.02.08 o godzinie 20:26