RSS
 

Archiwum - Styczeń, 2017

Przestrzeganie Kodeksu

31 sty

1. Przestrzeganie zasad tego Kodeksu i je popularyzowanie.
2. Traktowanie naruszenia zasad Kodeksu jako sprzeczne z członkostwem ACM.

 
 

Imperatywy wynikające z bycia liderem

30 sty

1. Dobitne artykułowanie społecznej odpowiedzialności członków jednostki organizacyjnej i zachęcanie do pełnego przyjęcia na siebie tej odpowiedzialności.
2. Zarządzanie kadrami i zasobami tak, aby projektować i tworzyć systemy informatyczne poprawiające jakość środowiska pracy.
3. Wspieranie prawidłowego i dozwolonego wykorzystania zasobów komputerowych oraz komunikacyjnych organizacji.
4. Pilnowanie, aby na etapie projektowania i oceny wymagań wobec systemu jego użytkownicy i inne osoby poddane jego oddziaływaniu mogły wyrazić oczekiwania, a następnie, aby system został oceniony pod kątem spełnienia tych oczekiwań.
5. Dobitne artykułowanie polityki wsparcia chroniącej godność użytkowników oraz innych osób, na które oddziałuje system informatyczny.
6. Stworzenie członkom organizacji okazji do poznania zasad i ograniczeń systemów informatycznych.

 
 

Szczegółowy zakres odpowiedzialności zawodowej

29 sty

1. Osiąganie jak najwyższej jakości, wydajności i godności zarówno w procesach, jak i produktach działalności zawodowej.
2. Osiąganie i utrzymanie kompetencji zawodowej.
3. Zapoznanie się z istniejącymi prawami dotyczącymi działalności zawodowej i przestrzeganie ich.
4. Poddanie się krytycznej ocenie i dokonanie oceny innych.
5. Dokonanie kompleksowej i dogłębnej oceny systemów komputerowych i ich wpływu na otoczenie, łącznie z analizą potencjalnego ryzyka.
6. Respektowanie kontraktów, umów oraz wyznaczonych obowiązków.
7. Działanie na rzecz lepszego zrozumienia przez społeczeństwo komputeryzacji i jej skutków.
8. Korzystanie z zasobów komputerowych oraz komunikacyjnych, wyłącznie z upoważnieniem do skorzystania z nich.

 
 

Ogólne zasady etyczne

28 sty

1. Przyczynianie się do tworzenia dobrobytu społeczeństwa i jednostki.
2. Unikanie szkodzenia innym.
3. Uczciwość i godny zaufania.
4. Uczciwość i brak działań dyskryminacyjnych.
5. Szanowanie prawa własności, łącznie z prawami własności intelektualnej oraz patentami.
6. Rzetelnie podawanie źródła własności intelektualnej.
7. Szanowanie prywatności innych.
8. Szanowanie poufności.

 
 

Prawo karne „komputerowe”

27 sty

Przestępstwa pospolite dokonywane za pomocą narzędzi informatycznych
Najczęstszym przestępstwem popełnianym w sieci jest oszustwo, a prawo polskie nie przewiduje specjalnej komputerowej czy internetowej wersji oszustwa. Oszustwa popełniane w sieci regulowane są Kodeksem karnym.

Przestępstwa komputerowe
Za przestępstwo komputerowe należy uznać każde bezprawne, nieetyczne lub nieupoważnione zachowanie odnoszące się do procesu przetwarzania i (lub) przekazywania danych w systemach komputerowych lub sieciach teleinformatycznych. W prawie należy wyraźnie odróżnić zachowania nieetyczne od zachować bezprawnych.

Jeśli uzna się, że przestępstwem jest czyn zakazany przez prawo karne, to przestępstwem komputerowym jest każda zakazana przez normy prawa karnego działalność w zakresie jakichkolwiek technik komputerowych.

Haking – nieuprawniony dostęp do informacji
Na potrzeby dalszych rozważań przyjmijmy, że haker to osoba, która uzyskuje nieuprawniony dostęp do systemu komputerowego lub dokumentu elektronicznego za pomocą narzędzi informatycznych. Tak rozumiani hakerzy obejmują wszystkie grupy „włamywaczy”.

Obecna regulacja Kodeksu karnego dotycząca przestępstw hakerskich w zasadzie sprowadza się do przepisów art. 267, 268 i 268a. Pierwszy z tych przepisów obejmuje ochronę informacji. Przepis art. 268 § 1 dotyczy nieuprawnionego niszczenia, uszkadzania, usuwania lub zmieniania zapisu istotnej informacji albo udaremniania lub znacznego utrudniania w inny sposób osobie uprawnionej zapoznania się z nią. Art. 268a § 1 nakazuje ścigać osobę, która nie będąc do tego uprawniona, niszczy, uszkadza, usuwa, zmienia lub utrudnia dostęp do danych informatycznych albo w istotnym stopniu zakłóca lub uniemożliwia automatyczne przetwarzanie, gromadzenie lub przekazywanie takich danych.

W nowelizacji z dnia 24 października 2008r. wprowadzono nowe przestępstwo nieuprawnionego dostępu do systemu informatycznego poprzez przełamanie albo ominięcie jego zabezpieczenia.

Zakaz posiadania nielegalnego oprogramowania lub danych
Zakaz wynikający z art. 269b § 1 znowelizowanego w 2004 roku Kodeksu karnego, wprowadza zakaz wytwarzania, pozyskiwania, zbywania lub udostępniania innym osobom urządzeń lub programów, a także haseł komputerowych, kodów dostępu lub innych danych umożliwiających bezprawny dostęp do informacji przechowywanych w systemie komputerowym lub sieci teleinformatycznej.

 

Wybrane aspekty elektronicznych czynności prawnych

26 sty

Przy zawieraniu umów za pomocą elektronicznych środków komunikacji stosuje się ogólne zasady prawa cywilnego, szczególne zasady danego rodzaju transakcji, a dopiero w ostatniej kolejności przepisy dotyczące odmienności wynikających ze specyfiki medium wykorzystywanego do porozumienia się.

Zawieranie umów na odległość
W polskim porządku prawnym podstawowymi aktami dotyczącymi obrotu prawnego, dokonywanego za pomocą środków komunikacji elektronicznej, są Kodeks cywilny i ustawa z dnia 2 marca 2000r. o ochronie niektórych praw konsumentów oraz o odpowiedzialności za szkodę wyrządzoną przez produkt niebezpieczny. Konsumentowi, który zawarł umowę na odległość, ustawa ta daje prawo odstąpienia od niej bez podania przyczyn w terminie dziesięciu dni, liczonym od dnia wydania rzeczy, a gdy umowa dotyczy świadczenia usługi – od dnia jej zawarcia. Ustawa ta stanowi również m.in., że umowa nie może nakładać na konsumenta obowiązku zapłaty ceny lub wynagrodzenia przed otrzymaniem świadczenia oraz że powinna ona określać miejsce i sposób składania reklamacji, nie powodując nadmiernych trudności lub kosztów po stronie konsumenta.

Świadczenie usług drogą elektroniczną
Podstawowym aktem jest ustawa z dnia 18 lipca 2002r. o świadczeniu usług drogą elektroniczną.
W ustawie definiuje się świadczenie usługi drogą elektroniczną jako wykonanie usługi, które następuje przez wysyłanie i odbieranie danych za pomocą systemów teleinformatycznych, na indywidualne żądanie usługobiorcy, bez jednoczesnej obecności stron, przy czym dane te są transmitowane za pośrednictwem publicznych sieci telekomunikacyjnych.
Ustawa reguluje jedynie kwestie szczególne dotyczące usług, tj. obowiązki usługodawcy związane ze świadczeniem usług drogą elektroniczną, zasady wyłączania odpowiedzialności usługodawcy z tytułu świadczenia usług drogą elektroniczną oraz zasady ochrony danych osobowych osób fizycznych, korzystających z usług świadczonych drogą elektroniczną.

Szczególną regulację usług świadczonych drogą elektroniczną zawiera ustawa z dnia 5 lipca 2002r. o ochronie niektórych usług świadczonych drogą elektroniczną, opartych lub polegających na dostępie warunkowym. Ustawa ta określa zasady ochrony niektórych usług świadczonych za wynagrodzeniem i opartych na dostępie warunkowym. W przeciwieństwie do ustawy z dnia 18 lipca 2002r. o świadczeniu usług drogą elektroniczną, ustawa ta skupia się na ochronie usługodawców. Ustawa opiera się na założeniu, że wzajemne prawa i obowiązki stron określa umowa. Koncentruje się ona na wprowadzeniu przepisów karnych sankcjonujących wytwarzanie, wprowadzanie do obrotu, posiadanie, używanie urządzeń niedozwolonych oraz świadczenie usług niedozwolonych.

Elektroniczne instrumenty płatnicze
Współczesny obrót prawny opiera się w dużej mierze na elektronicznych instrumentach płatniczych, tj. karty płatnicze i usługi bankowości elektronicznej. Ustawa z dnia 12 września 2002r. o elektronicznych instrumentach płatniczych określa zasady wydawania i używania elektronicznych instrumentów płatniczych, prawa i obowiązki stron umów o elektroniczne instrumenty płatnicze oraz zasady tworzenia, organizacji, działalności oraz nadzoru, a także likwidacji instytucji pieniądza elektronicznego.

 

Podpis elektroniczny

25 sty

Podpis elektroniczny a podpis cyfrowy
Pierwszym z aktów prawnych o podpisie elektronicznym była ustawa przyjęta w amerykańskim stanie Utah w 1996r. Pierwszym europejskim krajem, który stworzył krajowe ramy podpisu elektronicznego były Niemcy (1997r.).

Instytucje wspólnotowe, przygotowały dwa akty prawne, mające być podstawą upowszechnienia się uniwersalnego podpisu elektronicznego na wspólnym rynku. Aktami tymi są: dyrektywa Parlamentu Europejskiego i Rady z dnia 13 grudnia 1999r. w sprawie wspólnotowych ram w zakresie podpisów elektronicznych oraz decyzja Komisji Europejskiej z dnia 6 listopada 2000r. w sprawie minimalnych kryteriów, jakie powinny zostać wzięte pod uwagę przez państwa członkowskie przy wyznaczaniu organów zgodnie z art. 3 ust. 4 dyrektywy 1999/93/WE Parlamentu Europejskiego i Rady w sprawie wspólnotowych ram w zakresie podpisu elektronicznego. Terminologia stworzona w tych aktach, uzupełniona o terminologię zawartą w ustawie modelowej o podpisie elektronicznym z 2001r. stanowi dziś podstawę semantyczną używanych w Polsce pojęć z zakresu podpisu elektronicznego.

W Polsce aktem podstawowym regulującym podpis elektroniczny jest ustawa z dnia 18 września 2001r. o podpisie elektronicznym. Uzupełnieniem tego aktu są przepisy Kodeksu cywilnego dotyczące formy elektronicznej czynności prawnych oraz seria rozporządzeń wykonawczych do ustawy o podpisie elektronicznym, w tym przede wszystkim rozporządzenia w sprawie:
- określenia warunków technicznych i organizacyjnych dla kwalifikowanych podmiotów świadczących usługi certyfikacyjne, polityk certyfikacji dla kwalifikowanych certyfikatów wydawanych przez te podmioty oraz warunków technicznych dla bezpiecznych urządzeń służących do składania i weryfikacji podpisu elektronicznego,
- obowiązkowego ubezpieczenia odpowiedzialności cywilnej kwalifikowanego podmiotu świadczącego usługi certyfikacyjne,
- sposobu prowadzenia rejestru kwalifikowanych podmiotów świadczących usługi certyfikacyjne związane z podpisem elektronicznym, wzoru tego rejestru oraz szczegółowego trybu postępowania w sprawach o wpis do rejestru,
- określenia szczegółowego trybu tworzenia i wydawania zaświadczenia certyfikacyjnego związanego z podpisem elektronicznym.

Pojęcie zaawansowanego podpisu cyfrowego odnosi się do technologii tworzenia podpisu opartego na założeniach kryptografii asymetrycznej, czyli takiej, w której każdy z użytkowników dysponuje parą kluczy:
- kluczem publicznym – przypisanym do osoby, ale dostępnym dla każdego,
- kluczem prywatnym – przypisanym do osoby i dostępny tylko dla niej.

Przy wykorzystaniu pary kluczy idealnie do siebie pasujących użytkownik może potwierdzić autentyczność danych, a każdy inny użytkownik może bez kłopotu i z prawdopodobieństwem graniczącym z pewnością stwierdzić, że podpis został złożony właśnie przez podpisującego.

Gdy jest mowa o podpisie cyfrowym, chodzi o technologię składania podpisu, zaś gdy jest mowa o jego prawnym znaczeniu w warunkach europejskich, używa się raczej pojęcia „podpis elektroniczny”.

Rodzaje podpisu elektronicznego
W Polsce istnieją trzy rodzaje podpisu elektronicznego, którym ustawodawca przyznaje różne znaczenie prawne. Są to:
- podpis elektroniczny,
- bezpieczny podpis elektroniczny,
- bezpieczny podpis elektroniczny opatrzony ważnym kwalifikowanym certyfikatem.

Zgodnie z ustawą, podpis elektroniczny są to dane w postaci elektronicznej, które wraz z innymi danymi, do jakich zostały dołączone lub z jakimi są logicznie powiązane, służą do identyfikacji osoby składającej podpis elektroniczny.

W ustawie bezpiecznym podpisem elektronicznym określa się taki podpis elektroniczny, który jest:
- przyporządkowany wyłącznie do osoby składającej ten podpis,
- sporządzany za pomocą podlegających wyłącznej kontroli osoby składającej podpis elektroniczny bezpiecznych urządzeń służących do składania podpisu elektronicznego i danych służących do składania podpisu elektronicznego,
- powiązany z danymi, do których został dołączony, w taki sposób, że jakakolwiek późniejsza zmiana tych danych jest rozpoznawalna.

Jeśli taki bezpieczny podpis elektroniczny ma być uznany za równoważny z podpisem własnoręcznym, należy opatrzeć go ważnym kwalifikowanym certyfikatem, czyli elektronicznym zaświadczeniem, za pomocą którego dane służące do weryfikacji podpisu elektronicznego są przyporządkowane do osoby składającej podpis elektroniczny i umożliwiają identyfikację tej osoby.

Skutki prawne podpisu elektronicznego
Kluczowa norma prawna dotycząca znaczenia podpisu elektronicznego w stosunkach prawnych w Polsce wynika z art. 5 ust. 2 ustawy o podpisie elektronicznym, który stanowi, że dane w postaci elektronicznej, opatrzone bezpiecznym podpisem elektronicznym weryfikowanym za pomocą ważnego kwalifikowanego certyfikatu, są równoważne pod względem skutków prawnych dokumentom opatrzonym podpisami własnoręcznymi, chyba że przepisy odrębne stanowią inaczej. Cecha ta spełniona jest jedynie przez najbardziej kwalifikowany rodzaj podpisu elektronicznego, tj. przez bezpieczny podpis elektroniczny opatrzony ważnym kwalifikowanym certyfikatem.

Dla stosunków regulowanych za pomocą innych rodzajów podpisu elektronicznego należy stworzyć podstawy prawne wynikające z innego reżimu niż podstawowe zasady prawa cywilnego czy administracyjnego. Taki reżim tworzony jest z zasady w drodze umowy pomiędzy zainteresowanymi stronami.

Administracyjnoprawnym odpowiednikiem normy o uniwersalności podpisu elektronicznego w stosunkach cywilnych jest seria norm wynikających z art. 63 Kodeksu postępowania administracyjnego.

Wymaganie, aby dokument wniesiony w formie elektronicznej zawierał dane w ustalonym formacie, zawarte we wzorze podania, występuje bardzo rzadko. Może być ono zastosowane jedynie wówczas, gdy przepisy prawa wyraźnie nakazują wnoszenie podań według określonego wzoru, a są to przypadki rzadkie.

 

Infrastruktura informacyjna państwa

24 sty

Pojęcie infrastruktury informacyjnej państwa
W systemach demokratycznych i otwartych na wolny rynek wykształcił się kompleks instytucji, jednostek organizacyjnych, zasobów i systemów informacyjnych oraz technologii informacyjnych warunkujących funkcjonowanie określonych stosunków społecznych, politycznych i ekonomicznych. Ten kompleks w całości określa się jako infrastrukturę informacyjną państwa, na którą składają się: normy informacyjne, zasoby informacji, systemy informacyjne, instytucje informacyjne oraz struktury organizacyjne i urządzenia techniczne wspierające procesy gromadzenia, przetwarzania i przekazywania informacji.

Normy informacyjne w Polsce nie są zebrane w jednym akcie prawnym, który mógłby stanowić swego rodzaju kodeks informatyczny.

Poza ustawami o podpisie elektronicznym, o świadczeniu usług drogą elektroniczną oraz elektronicznych instrumentach płatniczych do aktów tych należy zaliczyć przede wszystkim ustawę z dnia 17 lutego 2005r. o informatyzacji działalności podmiotów realizujących zadania publiczne.

Uznając szczególną rolę wymienionych aktów prawnych, należy zawsze pamiętać, że stanowią one jedynie wycinek regulacji prawnej z zakresu struktury informacyjnej państwa i regulacji elektronicznej gospodarki.

Neutralność technologiczna państwa
Podmiot publiczny realizujący zadania publiczne przy wykorzystaniu systemu teleinformatycznego albo z użyciem środków komunikacji elektronicznej zapewnił, aby system teleinformatyczny spełniał, poza minimalnymi wymaganiami określonymi w odpowiednich rozporządzeniach, wymóg równego traktowania rozwiązań informatycznych. Co więcej, podmiot taki powinien publikować w „Biuletynie Informacji Publicznej” lub udostępniać w inny sposób zestawienie stosowanych w oprogramowaniu interfejsowym systemu teleinformatycznego, używanego przez ten podmiot do realizacji zadań publicznych, struktur dokumentów elektronicznych, formatów danych oraz protokołów komunikacyjnych i szyfrujących.

Zasada neutralności technologicznej państwa oznacza, że państwo nie może tworzyć prawa oraz nie może konstruować systemów teleinformatycznych mających realizować zadania publiczne w taki sposób, aby preferować konkretne rozwiązania technologiczne pochodzące od konkretnych producentów. Jednocześnie nie może również działać tak aby producentów lub ich grupy a priori wykluczać z udziału w tworzeniu rozwiązań technologicznych na potrzeby władz publicznych.

Standard otwarty w rozumieniu pierwszej wersji Europejskich Ram Interoperacyjności jest standardem, który łącznie spełnia następujące cztery warunki:
- jest przyjęty i zarządzany przez niedochodową organizację, a jego rozwój odbywa się w drodze otwartego procesu podejmowania decyzji, w którym mogą uczestniczyć wszyscy zainteresowani,
- jest opublikowanym, a jego specyfikacja jest dostępna dla wszystkich zainteresowanych bezpłatnie lub po kosztach sporządzenia kopii, wszyscy mogą ją kopiować, dystrybuować i używać jej bezpłatnie lub po kosztach operacyjnych,
- wszelkie związane z nim prawa autorskie, patenty i inna własność przemysłowa są nieodwołalnie udostępnione bez opłat,
- nie ma żadnych ograniczeń e jego wykorzystaniu.

Interoperacyjność systemów teleinformatycznych państwa
Na potrzeby informatyki o interoperacyjności systemów informatycznych mówi się wtedy, kiedy systemów mogą współpracować ze sobą bez dodatkowych inwestycji nakierowanych na przetworzenie informacji wyjściowej jednego systemu w informację wejściową dla drugiego systemu.

Gwarancją prawną interoperacyjności systemów informatycznych oraz rejestrów publicznych powinno być ściśle przestrzeganie wymagań formułowanych w rozporządzeniach Rady Ministrów, uchwalonych na wniosek ministra właściwego do spraw informatyzacji. Uzupełnieniem tych rozporządzeń powinny być Krajowe Ramy Interoperacyjności.

Referencyjne rejestry publiczne prowadzone w formie elektronicznej
Zgodnie z ustawą o informatyzacji, rejestr publiczny to rejestr, ewidencja, wykaz, lista, spis albo inna forma ewidencji, służące do realizacji zadań publicznych, prowadzone przez podmiot publiczny na podstawie odrębnych przepisów ustawowych.

Doktryna prawa uznaje, że rejestr publiczny powinien być z zasady jawny, chyba że przepisy prawa wyraźnie taką jawność wykluczają lub ograniczają.

W celu prawidłowego skonstruowania szkieletu infrastruktury informacyjnej państwa oraz aby uniknąć zbędnej redundancji danych rejestrowych skonstruowano w ostatnich latach w doktrynie prawa administracyjnego pojęcie rejestrów referencyjnych. Standardy informacyjne, stosowane z systemów referencyjnych, muszą być normami obligatoryjnymi dla całego sektora publicznego. Normy te są publiczne dostępne dla wszystkich zainteresowanych. Rejestry referencyjne przekazują lub udostępniają dane do wszystkich systemów informacyjnych sektora publicznego, w zakresie wynikającym z funkcji tych systemów informacyjnych. Wszystkie pozostałe rejestry resortowe lub branżowe mogą być tworzone wyłącznie jako rejestry wtórne lub pochodne. Zakres informacji udostępnianych z rejestrów referencyjnych jest determinowany przez regulacje dotyczące ochrony poszczególnych rodzajów danych. Dane z rejestrów referencyjnych są przekazywane do innych systemów sektora publicznego lub pobierane przez nie. Dane z rejestrów referencyjnych mogą być udostępniane innym podmiotom spoza sektora publicznego w zakresie i trybie ściśle określonym przez prawo, z przestrzeganiem obowiązujących przepisów o ochronie danych.

Elektroniczna Platforma Usług Administracji Publicznej (ePUAP)
Elektroniczna Platforma Usług Administracji Publicznej
ma za zadanie konsekwentne rozszerzanie zbioru zadań publicznych udostępnianych drogą elektroniczną.

W sensie organizacyjno-technicznym ePUAP to wspólna infrastruktura udostępnienia przez dowolne jednostki administracji publicznej usług publicznych w kanałach elektronicznych w relacjach z obywatelami, przedsiębiorcami i innymi jednostkami administracji publicznej. Platforma zawiera mechanizmy koordynacji usług publicznych świadczonych przez kilka podmiotów publicznych.

 

Prawna regulacja dostępu do informacji

23 sty

Wolność informacji i prawo do informacji publicznej
W polskim prawie wolność pozyskiwania informacji i swobodę wypowiedzi wyraża art.54 ust. 1 Konstytucji RP. Zgodnie z tym przepisem każdemu zapewnia się wolność:
- wyrażania swoich poglądów,
- pozyskiwania informacji,
- rozpowszechniania informacji.

Uzupełnieniem tej wolności jest wolność komunikowania się, gwarantowana przez Konstytucję RP w art. 49.

Konstrukcja tego typu praw, tzw. praw wolnościowych, polega przede wszystkim na tym, że zabraniają one ingerowania w te prawa, nie stwarzając jednocześnie konkretnych obowiązków dla organów władzy państwowej. Obywatel ma prawo domagać się od tych organów jedynie ochrony przed ingerencją, nie ma natomiast prawa do „świadczeń” ze strony tych organów.

Prawo do uzyskania informacji obejmuje dostęp do dokumentów oraz wstęp na posiedzenia kolegialnych organów władzy publicznej pochodzących z powszechnych wyborów, z możliwością rejestracji dźwięku lub obrazu. Jego ograniczenie może nastąpić wyłącznie w ustawie ze względu na ochronę wolności i praw innych osób oraz podmiotów gospodarczych, a także ochronę porządku publicznego, bezpieczeństwa lub ważnego interesu gospodarczego państwa.

Podstawowym aktem prawnym realizującym ten przepis jest ustawa z dnia 6 września 2001 r. o dostępie do informacji publicznej. Zgodnie z tą ustawą każda informacja o sprawach publicznych stanowi informację publiczną i każdemu przysługuje prawo dostępu do tej informacji, zwane prawem do informacji publicznej.

Prawo do informacji publicznej podlega ograniczeniu w zakresie i na zasadach określonych w przepisach o ochronie informacji niejawnych oraz ze względu na prywatność osoby fizycznej lub tajemnicę przedsiębiorcy, chyba że dane informacje dotyczą osób pełniących funkcje publiczne i mają związek z pełnieniem tych funkcji albo gdy osoba fizyczna lub przedsiębiorca zrezygnują z przysługującego im prawa.

Uprawnienie do uzyskania informacji publicznej dotyczy przede wszystkim informacji nieprzetworzonych i w tym zakresie od osoby korzystającej ze swojego prawa nie wolno żądać wykazania interesu prawnego lub faktycznego. Informacje przetworzone są udostępniane w takim zakresie, w jakim jest to szczególnie istotne dla interesu publicznego, a wykazanie tego spoczywa na osobie domagającej się udostępnienia informacji.

Ustawa z dnia 6 kwietnia 2001r. o dostępie do informacji publicznej przewiduje kilka trybów udostępniania informacji publicznych. Podstawowym trybem jest ogłaszanie informacji publicznych, w tym dokumentów urzędowych, w „Biuletynie Informacji Publicznej”.

„Biuletyn Informacji Publicznej” to internetowy urzędowy publikator teleinformatyczny, którego stronę główną tworzy minister właściwy do spraw informatyzacji, a poszczególne podmioty zobowiązane do udostępniania informacji tworzą swoje tzw. strony podmiotowe.

Można stwierdzić, że nałożenie obowiązku prowadzenia podmiotowej strony „Biuletynu Informacji Publicznej” o usystematyzowanej strukturze i zawartości było ważnym krokiem w procesie informatyzacji podmiotów realizujących zadania publiczne w Polsce.

Ochrona osób fizycznych
W polskim prawie ochrona prywatności została zapewniona przede wszystkim przez art. 47 Konstytucji RP, zgodnie z którym każdy ma prawo do ochrony prawnej życia prywatnego, rodzinnego, czci i dobrego imienia oraz do decydowania o swoim życiu osobistym. Regulacja konstytucyjna dotycząca ochrony prywatności jest uzupełniona przez ochronę tajemnicy korespondencji oraz ochronę danych osobowych.

Ochrona dóbr osobistych uregulowana jest przede wszystkim w art. 23 i 24 Kodeksu cywilnego. Jedną z ważniejszych grup przepisów szczególnych w stosunku do omówionej regulacji K.C. są przepisy ustawy o prawie autorskim i prawach pokrewnych dotyczące ochrony wizerunku oraz korespondencji osoby fizycznej, Zgodnie z art. 81 tej ustawy rozpowszechnianie wizerunku wymaga zezwolenia osoby na nim przedstawionej. W przypadku braku wyraźnego zastrzeżenia zezwolenie nie jest wymagane, jeżeli osoba ta otrzymała umówioną zapłatę za pozowanie.

Ustawa z dnia 29 sierpnia 1997r. o ochronie danych osobowych mówi, że każdy ma prawo do ochrony dotyczących do danych osobowych, a przetwarzanie danych osobowych może mieć miejsce tylko ze względu na dobro publiczne, dobro osoby, której dane dotyczą, lub dobro osób trzecich w zakresie i trybie określonych ustawą.

Za dane osobowe w ustawie o ochronie danych osobowych uznaje się wszelkie dane dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.

Ustawa określa zasady postępowania przy przetwarzaniu tak zdefiniowanych danych osobowych oraz prawa osób fizycznych, których dane osobowe są lub mogą być przetwarzane w zbiorach danych.

Zgodnie z art. 23 omawianej ustawy, przetwarzanie danych jest dopuszczalne tylko wówczas, gdy osoba, której dane dotyczą, wyraziła na to zgodę albo gdy jest to niezbędne do:
- realizacji uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa,
- realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą,
- wykonania określonych prawem zadań realizowanych dla dobra publicznego,
- wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.

Ustawa zabrania przetwarzania tzw. danych wrażliwych, tzn. danych ujawniających pochodzenia rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym.

Administrator danych osobowych, rozumiany jako organ, jednostka organizacyjna, podmiot lub osoba decydująca o celach i środkach przetwarzania danych osobowych, ma obowiązek dokładania szczególnej staranności w celu ochrony interesów osób, których dane dotyczą.

Każdej osobie, której zbierane dane dotyczą, przysługuje prawo do kontroli przetwarzania danych jej dotyczących, zawartych w zbiorach danych.

Generalny Inspektor Ochrony Danych Osobowych to organ do spraw ochrony danych osobowych. Do jego zadań należą m. in.:
- kontrola zgodności przetwarzania danych z przepisami o ochronie danych osobowych,
- rozpatrywanie skarg dotyczących wykonania przepisów o ochronie danych osobowych,
- prowadzenie ogólnokrajowego, jawnego rejestru zbiorów danych osobowych oraz udzielanie każdemu zainteresowanemu informacji o zarejestrowanych zbiorach.

Przestrzeganie najważniejszych z omawianych wcześniej zasad zabezpieczone jest przez przepisy karne. Przetwarzanie w zbiorze danych osobowych, których przetwarzanie nie jest dopuszczalne albo do których przetwarzania nie jest się uprawnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. Podobnie zagrożone jest udostępnianie danych lub umożliwianie dostępu do nich osobom nieupoważnionym. Przechowywanie w zbiorze danych osobowych niezgodnie z celem utworzenia zbioru podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. Podobnie karane są: brak zgłoszenia do rejestracji zbioru danych oraz niedopełnienie obowiązku poinformowania osoby, której dane dotyczą, o jej prawach lub przekazania tej osobie informacji umożliwiających korzystanie z jej praw.

Ochrona praw autorskich
W Polsce najważniejszym aktem prawnym regulującym prawa autorskie jest ustawa z dnia 4 lutego 1994r. o prawie autorskim i prawach pokrewnych. Ustawa ta uznaje, że przedmiotem prawa autorskiego jest utwór.

Utwór to każdy przejaw działalności twórczej o indywidualnym charakterze, ustalony w jakiejkolwiek postaci, niezależnie od wartości, przeznaczenia i sposobu wyrażenia. Opracowanie cudzego utworu w szczególności tłumaczenia, przeróbka, adaptacja, jest przedmiotem prawa autorskiego bez uszczerbku dla prawa do utworu pierwotnego.

Rozporządzanie opracowaniem i korzystanie z niego zależy od zezwolenia twórcy utworu pierwotnego, chyba że autorskie prawa majątkowe do utworu pierwotnego wygasły. Zgodnie z ustawą, prawem autorskim nie są objęte jedynie:
- akty normatywne lub ich urzędowe projekty,
- urzędowe dokumenty, materiały, znaki i symbole,
- opublikowane opisy patentowe lub ochronne,
- proste informacje prasowe.

Prawa autorskie przysługuje twórcy chyba że jakiś przepis szczególny stanowi inaczej.

Prawa osobiste chronią więź twórcy z utworem. Prawa te są objęte ochroną bezterminową i nie podlegają zrzeczeniu się lub zbyciu.

Autorskie prawa majątkowe obejmują prawo do korzystania z utworu i rozporządzania nim na wszystkich polach eksploatacji oraz do wynagrodzenia za korzystanie z utworu. Ochrona autorskich praw majątkowych jest ograniczona w czasie. Zasadą jest, że autorskie prawa majątkowe wygasają po upływie 70 lat od śmierci twórcy, a w przypadku utworów współautorskich – od śmierci współtwórcy, który przeżył pozostałych. W przypadku utworu, którego twórca nie jest znany, termin ten liczy się od daty pierwszego rozpowszechnienia.

Autorskie prawa majątkowe są zbywalne. Mogą one przejść na inne osoby w drodze dziedziczenia lub na podstawie umowy. W ustawie wymieniono dwa rodzaje umów: umowę o przeniesienie autorskich praw majątkowych i umowę o korzystanie z utworu, nazywaną licencją.

Poza sytuacjami, w których dany podmiot nabył autorskie prawa majątkowe do dzieła, jakakolwiek eksploatacja utworu jest dozwolona tylko w sytuacji, gdy zezwala na to przepis szczególny. Najbardziej znane instytucje tego typu to prawo dozwolonego użytku osobistego, prawo do wypożyczeni bibliotecznych oraz prawo dozwolonego cytatu.

Prawo dozwolonego użytku osobistego zezwala na nieodpłatne korzystanie z już rozpowszechnionego utworu w zakresie własnego użytku osobistego.

Biblioteki, archiwa i szkoły mogą udostępniać nieodpłatnie, w zakresie swoich zadań statutowych, egzemplarze utworów rozpowszechnionych, sporządzać lub zlecać sporządzanie egzemplarzy rozpowszechnionych utworów w celu uzupełnienia, zachowania lub ochrony własnych zbiorów oraz udostępniać zbiory dla celów badawczych lub poznawczych za pośrednictwem końcówek systemu informatycznego znajdujących się na terenie tych jednostek.

Prawo dozwolonego cytatu zezwala na przytaczanie w utworach stanowiących samoistną całość urywków rozpowszechnionych utworów lub drobnych utworów w całości, w zakresie uzasadnionym wyjaśnieniem, analizą krytyczną, nauczaniem lub prawem gatunku twórczości.

Zarówno osobiste, jak i majątkowe prawa autorskie chronione są za pomocą środków cywilno-prawnokarnych. Twórca, którego autorskie prawa osobiste zostały zagrożone cudzym działaniem, może także żądać, aby osoba, która dopuściła się naruszenia, dopełniła czynności potrzebnych do usunięcia jego skutków. Jeżeli naruszenie było zawinione, sąd może przyznać twórcy odpowiednią sumę pieniężną tytułem zadośćuczynienia za doznaną krzywdę lub – na żądanie twórcy – zobowiązać sprawcę, aby uiścił odpowiednią sumę pieniężną na wskazany przez twórcę cel społeczny.

Przywłaszczenie sobie autorstwa (tzw. plagiat) albo wprowadzenie w błąd co do autorstwa całości lub części cudzego utworu, albo artystycznego wykonania jest przestępstwem, zagrożonym karą grzywny, ograniczenia wolności albo pozbawienia wolności do lat 3. Tak samo traktowane jest rozpowszechnianie i utrwalanie w celu rozpowszechniania cudzego utworu bez podania nazwiska lub pseudonimu twórcy. Przestępstwem jest też:
- bezprawne rozpowszechnianie cudzego utworu zarówno w wersji oryginalnej, jak i w postaci opracowania, artystycznego wykonania itp.,
- nabywanie, przyjmowanie lub pomaganie w zbywaniu bądź ukrywaniu bądź ukrywaniu przedmiotu będącego nośnikiem utworu, artystycznego wykonania, fonogramu, wideogramu rozpowszechnianego lub zwielokrotnionego bez uprawnienia albo wbrew jego warunkom,
- wytwarzanie, wprowadzanie do obrotu albo reklamowanie w celu sprzedaży lub najmu urządzeń bądź ich komponentów przeznaczonych do niedozwolonego usuwania lub obchodzenia skutecznych technicznych zabezpieczeń przed odtwarzaniem, przegrywaniem lub zwielokrotnianiem utworów lub przedmiotów praw pokrewnych.

Ochrona programów komputerowych i baz danych
Programy komputerowe podlegają ochronie tak jak utwory literackie.
Autorskie prawa majątkowe do programu komputerowego obejmują prawo do:
- trwałego lub czasowego zwielokrotnienia programu komputerowego w całości lub w części jakimkolwiek środkami i w jakiejkolwiek firmie,
- tłumaczenia programu,
- przystosowywaniu, zmiany układu lub jakichkolwiek innych zmian w programie komputerowym,
- rozpowszechniania, w tym użyczenia lub najmu programu komputerowego lub jego kopii.

Zezwolenia uprawnionego nie wymaga zwielokrotnianie kodu lub jego tłumaczenia, jeżeli jest to niezbędne do uzyskania informacji koniecznych do osiągnięcia współdziałania niezależnie stworzonego programu komputerowego z innych programowi komputerowymi, o ile zostaną spełnione następujące warunki:
- czynności te dokonywane są przez licencjobiorcę lub inną osobę uprawnioną do korzystania z egzemplarza programu komputerowego bądź przez inną osobę działającą na ich rzecz,
- informacje niezbędne do osiągnięcia współdziałania nie były uprzednio łatwo dostępne dla wymienionych powyżej osób,
- czynności te odnoszą się do tych części oryginalnego programu komputerowego, które są niezbędne do osiągnięcia współdziałania.

Do programów komputerowych nie mają zastosowania przepisy dotyczące niektórych przypadków prawnie dozwolonego użytku chronionych utworów. W tym zakresie programy komputerowe są bardziej chronione niż inne utwory.

Prawo autorskie chroni nie tylko programy komputerowe mające cechy utworu, ale również bazy danych o takich cechach. Do baz danych odnoszą się wszystkie omówione wcześniej zasady wynikające z prawa autorskiego, z następującymi zastrzeżeniami.

Do baz danych w większości nie mają zastosowania przepisy dotyczące dozwolonego użytku chronionych utworów.

Producentowi baz danych przyznaje się podobne roszczenia cywilnoprawne jak twórcy utworu oraz wprowadza odpowiedzialność karną za bezprawne pobieranie danych lub wykorzystywanie bazy danych w całości lub w istotnej części. Zgodnie z ustawą czyn taki jest wykroczeniem i podlega karze grzywny.

 

Audyt systemów informatycznych

22 sty

Audyt systemów informatycznych to postępowanie o charakterze poświadczającym, prowadzone przez niezależną jednostkę, którego celem jest weryfikacja zgodności systemów informatycznych z określonymi wymaganiami, standardami lub procedurami.

Można wyróżnić następujące rodzaje audytu informatycznego:
- audyt bezpieczeństwa,
- audyt legalności,
- audyt jakości,
- audyt efektywności.

Audyt bezpieczeństwa polega na analizie odporności systemów informatycznych na czynniki ryzyka, które mogą wystąpić w trakcie jego eksploatacji. Wśród ryzyk należy wyróżnić przede wszystkim:
- ryzyko nieciągłości pracy systemu,
- ryzyko utraty informacji,
- ryzyko nieuprawnionego dostępu do informacji.

Pierwsze z ryzyk polega na zatrzymaniu pracy systemu informatycznego w wyniku działania czynników losowych bądź świadomego działania osób. Audyt powinien odpowiadać na pytania, jak i w jakim stopniu system jest zabezpieczony przez możliwością zatrzymania jego pracy, a także czy występuje i na ile jest skuteczna procedura przywracania systemu, gdy takie zatrzymanie nastąpi.

Ryzyko utraty informacji polega na niedostarczeniu wymaganych informacji ich odbiorcom wskutek awarii systemu bądź jego nieprawidłowej pracy. Audyt powinien przede wszystkim ustalić występowanie procedur przywracania informacji w przypadku ich utraty.

Ryzyko nieuprawnionego dostępu do informacji oznacza możliwość uzyskania dostępu do informacji zawartych w systemie informatycznym przez osoby do tego nieuprawnione. Audyt powinien zawierać ocenę szczelności systemu, a techniki sprawdzenia stanu faktycznego, polegają na pozorowanych atakach na system oraz prowokowaniu jego użytkowników do udostępnienia informacji.

Audyt legalności polega na ocenie zgodności sposobu działania systemu informatycznego z obowiązującym prawem. Zakres analizy jest różny, w zależności od specyfiki badanego systemu.

Audyt jakości może być dokonywany zarówno w trakcie trwania projektu informatycznego, jak i po jego zakończeniu. W pierwszym przypadku polega on na analizie sposobu prowadzenia prac projektowych pod kątem zgodności z harmonogramem, budżetem, specyfikacją wymagań funkcjonalnych oraz metodyką prowadzenia projektu. Audyt prowadzony po zakończeniu projektu polega na ocenie zgodności sposobu działania systemu z jego specyfikacją, zgodności dokumentacji ze stanem faktycznym, prawidłowości przetwarzania danych oraz jakości informacji uzyskiwanych z systemu.

Audyt efektywności, jeśli dokonywany jest ex ante, może być utożsamiony z oceną ekonomiczną projektu. Ocena ex post ogranicza się z reguły do strony kosztowej i polega na optymalizacji infrastruktury.

Audyt jednego z wymienionych aspektów z reguły pociąga za sobą konieczność co najmniej częściowej oceny także pozostałych.