Tutaj jesteś
Prawo budowlane

Ryzyko wycieku danych osobowych? Raz na dwa lata

&lt![CDATA[

W ciągu ubiegłego roku zgłoszono do Urzędu Ochrony Danych Osobowych 6039 naruszeń ochrony danych osobowych. Chodzi zarówno o poważne wycieki, jak i o przypadkowe rozesłanie e-maila z odkrytymi adresami innych odbiorców. Ta liczba może wydawać się duża, ale perspektywa zmienia się, gdy porównamy ją do danych z rekordowej pod tym względem Holandii. W ciągu roku, w dużo jednak mniejszym kraju, zgłoszono prawie 41 tys. naruszeń.

Liczby te niewiele jednak mówią o ryzyku wystąpienia incydentów związanych z danymi. Pewien obraz daje natomiast raport przygotowany przez Związek Firm Ochrony Danych Osobowych. To organizacja zrzeszająca profesjonalne firmy doradcze, które działają zgodnie z wypracowanymi standardami. Przez rok analizowała ona dane z 277 firm prywatnych i jednostek administracji publicznej obsługiwanych przez swoich członków. W tym czasie odnotowała 127 incydentów związanych z danymi. Oznacza to, że średnio na jednego administratora przypadało 0,46 incydentu. Zdaniem ekspertów realne zagrożenie jest jednak większe.

– Statystyka pokazuje, że w przybliżeniu powinniśmy być gotowi na jeden incydent w ciągu dwóch lat. To niewiele. Dane te mogą być mylące z dwóch powodów. Po pierwsze, w branżach B2B jest stosunkowo mało incydentów, co znacząco zaniża statystyki. Po drugie, poziom raportowania w organizacjach wciąż pozostawia wiele do życzenia. Wszyscy uczymy się skutecznie odróżniać sprawy błahe, niewymagające raportowania, niewyrządzające nikomu szkody, od tych naprawdę poważnych i generujących ryzyka – ocenia Przemysław Zegarek, szef ZFODO i prezes zarządu kancelarii Lex Artis.

Błąd ludzki

Z raportu ZFODO wynika, że zdecydowana większość incydentów, bo aż 89 proc., wynikała z błędu ludzkiego. Jego przykładem może być głośna kradzież laptopa, na którym przechowywano szczegółowe dane osobowe kandydatów na studia w Szkole Głównej Gospodarstwa Wiejskiego. Pracownik nie powinien ich kopiować na komputer, który wynosił z uczelni, ale to zrobił. Tylko 11 proc. incydentów wynikało z przyczyn nieosobowych, takich jak awaria systemu. Te same proporcje występowały w podziale na przyczyny nieumyślne czy umyślne. Aż 89 proc. naruszeń było skutkiem błędu (np. źle zaadresowane e-maile, niekorzystanie z opcji kopii ukrytej, wysyłka korespondencji tradycyjnej z danymi innej osoby). Tylko 11 proc. incydentów wynikało z celowego działania (kradzieże laptopów czy innych nośników danych lub wyłudzenia informacji).

– Przeważająca większość incydentów nie stanowiła wyniku umyślnego działania osób odpowiedzialnych za ich wystąpienie. Incydenty były spowodowane przede wszystkim konsekwencją niedbalstwa lub lekkomyślności, które wynikały z nadmiaru obowiązków służbowych bądź niedoskonałości procedur – zwraca uwagę adwokat Konrad Wysocki z JDS Consulting.

Dane z raportu ZFODO potwierdzają spostrzeżenia UODO wynikające z analizy zgłoszeń dotyczących naruszeń.

– Najczęściej występujące to ujawnienie danych niewłaściwej osobie, w wyniku błędu ludzkiego, np. zgubienie dokumentacji, błędne wpisanie adresu korespondencyjnego bądź adresu e-mail – mówi Adam Sanocki, rzecznik prasowy UODO.

Największe zainteresowanie mediów wzbudzają spektakularne kradzieże danych, takie jak np. ze sklepu internetowego Morele.net (prezes UODO nałożył w związku z tym wyciekiem karę 2,8 mln zł). Z raportu wynika jednak, że należą one do rzadkości. Tylko 9 proc. naruszeń związanych było z działalnością podmiotów zewnętrznych (hakerów czy byłych pracowników), 71 proc. miało źródło wewnętrzne, a w 20 proc. winien był procesor danych.

Co wycieka?

Z raportu wynika, że najgorzej chronione są imię i nazwisko (44 proc. naruszeń) oraz adres e-mail (20 proc.).

– Widać wyraźnie, że bardziej chronimy twarde dane kadrowe (10 proc. naruszeń) i finansowe (17 proc. naruszeń). Na imię i nazwisko w połączeniu z adresem e-mail musimy zwracać większą uwagę, bo wyciek tych danych także potrafi być bolesny z punktu widzenia osoby, której dane wyciekły – zaznacza radca prawny Tomasz Osiej, wiceprezes ZFODO i prezes zarządu firmy doradczej Omni Modo.

Ciekawe są dane dotyczące informowania o naruszeniach. Okazuje się, że 59 proc. z nich nie zgłoszono prezesowi UODO. Artykuł 33 RODO nakazuje poinformowanie organu ochrony danych o takich incydentach, chyba że „jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych”. Ocena często bywa problematyczna. Co powinno decydować?

– Zgłoszenia raczej będzie trzeba dokonać, jeśli zgubimy niezaszyfrowany pendrive z danymi osobowymi, kiedy staniemy się ofiarą ataku ransomware, nie mając kopii zapasowej danych lub gdy dojdzie do ujawnienia osobie nieuprawnionej danych, które są objęte tajemnicą zawodową – podpowiada Mikołaj Otmianowski, radca prawny i wiceprezes firmy DAPR.

– Myślę natomiast, że odstąpić od zgłoszenia można, gdy utrata kopii danych nie pozwoli na dostęp do nich osobie nieuprawnionej (dlatego tak ważne jest szyfrowanie wszelkich dysków) lub kiedy trafią one do podmiotu nieuprawnionego, ale zaufanego, który wiemy, że je usunie i nie wykorzysta przeciwko osobie. Pamiętajmy jednak, że każdą sytuację trzeba ocenić indywidualnie – dodaje.

Po pierwszym roku stosowania unijnego rozporządzenia UODO miał wątpliwości, czy zgłaszano mu wszystkie istotne naruszenia. Takich zgłoszeń było wówczas 4,5 tys. Teraz jest ich już więcej (ponad 6 tys.).

– Prezes UODO podjął wiele działań, których celem było uświadomienie administratorom, jak istotne jest prowadzenie rejestru naruszeń, ocena ryzyka, zgłoszenie ich do organu nadzorczego oraz poinformowanie osób, których dane dotyczą. Dlatego skalę zgłoszonych naruszeń należy ocenić pozytywnie z uwagi na rosnącą świadomość administratorów – mówi Adam Sanocki, rzecznik prasowy UODO.

Nie tylko w internecie

Z raportu ZFODO wynika, że częściej niż UODO informowani są o incydencie sami zainteresowani, do których danych ktoś mógł mieć dostęp. Tym skończyło się 76 proc. naruszeń. Problemem jest to, że część firm jako jedyny sposób przekazania takich informacji wybiera publikację na swej stronie internetowej. Z oczywistych względów nie wszyscy zainteresowani do nich dotrą.

– Otwartą kwestią pozostaje sposób informowania, czy bezpośrednio (która to droga ma pierwszeństwo), czy na stronach internetowych i ogłoszeniach w mediach. Punktem odniesienia jest zasada rozliczalności, królująca we wszystkich procedurach informacyjnych, czy i jak możemy udowodnić, że dana operacja (skuteczne poinformowanie) miała miejsce – tłumaczy Tomasz Osiej.

– W przypadku niewspółmiernie dużego wysiłku (art. 34 ust. 3 lit. c RODO) mamy przyzwolenie na wydanie publicznego komunikatu, jednak patrząc w kontekście uzasadnienia wyroku w sprawie Bisnode (pierwszej firmy ukaranej finansowo przez UODO), niekoniecznie koszty i wysiłek organizacyjny będą decydowały o tym, co jest takim niewspółmiernie dużym wysiłkiem. Kontekst tego musi być szerszy. Taka forma komunikacji jest więc wyjątkiem od zasady bezpośredniego przekazywania informacji – dodaje. 

]]
Więcej informacji

Prawo budowlane w Polsce

Prawo budowlane – najważniejsza polska ustawa z zakresu projektowania, budowy, nadzoru, utrzymania i rozbiórki obiektów budowlanych oraz zasad działania organów administracji publicznej w tym zakresie.

Ustawa reguluje także sprawy związane z:

  • ochroną środowiska podczas działań związanych z wykonywaniem rozbiórek, wznoszenia nowych obiektów i ich utrzymania
  • miejscem realizacji inwestycji i sposobem uzyskiwania pozwolenia na budowę oraz rozbiórkę, a także określeniem rodzajów robót budowlanych i budów niewymagających pozwolenia na budowę
  • oddawania obiektów budowlanych do użytkowania
  • prowadzeniem działalności zawodowej osób związanych z budownictwem (uprawnień do wykonywania samodzielnych funkcji w budownictwie, tzw. uprawnienia budowlane) i ich odpowiedzialnością karną i zawodową
  • prawami i obowiązkami uczestników procesu budowlanego
  • postępowaniem w wypadku katastrofy budowlanej.

Pierwszy akt prawny, w którym można dopatrywać się odpowiednika obecnej ustawy Prawo budowlane, powstał 16 lutego 1928 roku. Było to rozporządzenie Prezydenta Rzeczypospolitej Polskiej o „prawie budowlanym i zabudowaniu osiedli”. Przepis ten był bardzo obszerny, liczył aż 422 artykuły i jako rozporządzenie wydany został z mocą ustawy (wg przedwojennych uregulowań prawnych zawierał artykuły). Tak duża liczba umieszczonych w nim artykułów absolutnie nie oznacza jednak, że był on bardziej złożony i skomplikowany od obecnych przepisów. Jego objętość wynikała wyłącznie z prostego faktu, że obszar kodyfikacji w nim zawartej był bez porównania szerszy niż w obecnej ustawie Prawo budowlane. Oprócz dzisiejszych kwestii wchodzących w sferę zainteresowania Prawa budowlanego znalazły w nim miejsce liczne zagadnienia z zakresu dzisiejszej ustawy o gospodarce nieruchomościami, ustawy o planowaniu i zagospodarowaniu przestrzennym, ochrony przeciwpożarowej, prawa cywilnego, ustawy o drogach publicznych, prawa lokalowego czy wreszcie dzisiejszych przepisów techniczno -budowlanych dla części obiektów budowlanych.

Ostatni przedwojenny tekst jednolity rozporządzenia z 1928 roku ukazał się w Dzienniku Ustaw nr 34 z 17 kwietnia 1939 roku pod pozycją 216.

Dowodem uniwersalności przedwojennego prawa budowlanego może być fakt, że zostało ono zastąpione przez nowe przepisy dopiero po ponad 33 latach, 13 sierpnia 1961 roku, kiedy to jego miejsce zajęła ustawa Prawo budowlane z 31 stycznia 1961 roku, opublikowana w Dzienniku Ustaw nr 7 z 1961 roku pod pozycją 46.

Ówczesna, pierwsza polska powojenna ustawa budowlana, była już znacznie odchudzona, liczyła zaledwie 96 artykułów i przetrwała jako akt obowiązującego prawa przez kolejnych blisko 14 lat, aż do l marca 1975 roku. O jej precyzji i jednoznaczności oraz adekwatności w opisie procesu budowlanego rzeczywistości lat 60-tych może świadczyć fakt, że w okresie wspomnianych 14 lat dokonano zaledwie dwóch niewielkich nowelizacji jej pierwotnego tekstu.

Od l marca 1975 roku weszła wżycie kolejna, nowa ustawa Prawo budowlane. Jej wprowadzenie związane było z przeżywanym w tym okresie znacznym ożywieniem gospodarczym, związanym z chwytliwym hasłem „budowy drugiej Polski”, w sposób szczególnie duży przekładającym się na skalę rozpoczynanych i prowadzonych wówczas inwestycji budowlanych.

Ustawa ta zawierała tylko 71 artykułów, a ważniejsze zmiany to likwidacja funkcji inspektora nadzoru inwestorskiego (na całe 6 lat, aż do roku 1981, kiedy to w jednej z kolejnych nowelizacji inspektor nadzoru wrócił do tekstu ustawy), zniesienie wymogu zdawania egzaminu przy nabywaniu uprawnień budowlanych, zwanych wówczas „stwierdzeniem posiadania przygotowania zawodowego do pełnienia samodzielnej funkcji technicznej w budownictwie”, itd.

Transformacja ustrojowa początku lat 90-tych wymusiła rozpoczęcie prac nad całkiem nowym prawem budowlanym. Liczne rządowe, resortowe i środowiskowe projekty nowej budowlanej ustawy zasadniczej zostały scalone w 1993 roku w jeden rządowy projekt nowej ustawy i ostatecznie w dniu 7 lipca 1994 roku Sejm przyjął nową ustawę Prawo budowlane, z datą jej wejścia w życie określoną na l stycznia 1995 roku.

Formalnie obowiązuje ona do dnia dzisiejszego, z tym, że ilość nowelizacji, jakim podlegał jej tekst w ciągu 17 lat od momentu wprowadzenia powoduje, że już tylko w bardzo małym stopniu obecne jej zapisy przypominają te, z którymi mieliśmy do czynienia na początku roku 1995.

Share
Facebook Twitter Pinterest Linkedin

Podobne

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Redakcja

biuro24@warsawbuild.pl