System AMOLA, z którego pomocy niektórzy z Państwa już korzystają przy okazji analizy danych w zakresie obowiązków wynikających z ustawy o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu sprostać musi rygorystycznym kryteriom wynikającym ze specyfiki informacji przetwarzanych danych.Na chwilę obecną – większość klientów systemu AMOLA, to pośrednicy finansowi zajmujący się działalnością 'kasową', a więc obsługą płatności powierzanych do realizacji przez klientów. A te zobowiązania bywają bardzo różne… od standardowych abonamentów za usługi telekomunikacyjne, po przez raty polis i kredytów, czynsze, zobowiązania jednorazowe, inne … aż po te 'mniej typowe'. A przez 'mniej typowe' mamy na uwadze zobowiązania finansowe, które uznaje się za tzw. 'wrażliwe' i dotyczą one bardzo osobistych sfer życia. Ustawa o ochronie danych osobowych z dnia 29 sierpnia 1997 r. zawiera artykuł, który w sposób szczególny wskazuje na rygor przetwarzania takich informacji o kliencie.
Art. 27. par 1 brzmi:
Zabrania się przetwarzania danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym.
Wśród rachunków przynoszonych przez klientów niewątpliwie wiele jest takich, które w tytule dyspozycji zwierają słowa wpisujące się w katalog danych zawartych w art. 27 pkt. 1. Mandaty karne – niezależnie od rodzaju zobowiązania… czy to będzie opłata za przejazd bez ważnego biletu w środkach komunikacji miejskiej, przekroczenie prędkości, koszta sądowe, grzywny bądź też inne opłaty wynikające z orzeczeń o ukaraniu – odpowiadają podanej tu definicji. I tu – wydawać się może – pojawia się następny obowiązek, który będzie stanowił kolejne obciążenie dla pośredników finansowych, a mianowicie obsługa procesu selekcji danych osobowych i ich podziału na standardowe, oraz dane wrażliwe, które nie podlegają przetwarzaniu. Ze strony instytucji obowiązanych – trudno sobie taki proces wyobrazić w sposób praktyczny.
Z pomocą przychodzi nam tu jednak Art. 27 par 2 pkt 2, który w ustawie sformułowany jest następująco.
2. Przetwarzanie danych, o których mowa w ust. 1, jest jednak dopuszczalne, jeżeli:
2) przepis szczególny innej ustawy zezwala na przetwarzanie takich danych bez zgody osoby, której dane dotyczą, i stwarza pełne gwarancje ich ochrony,
Przepis szczególny innej ustawy, o którym mowa w tym podpunkcie, to ustawa o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu, która obowiązek analizy danych osobowych – również tych wrażliwych – nakłada na pośredników finansowych. Na uwagę jednak zasługuje tu końcowa część tego podpunktu, która wskazuje na szczególny rygor dla przetwarzania i ochrony danych wrażliwych.
W systemie AMOLA zastosowaliśmy rozwiązania kryptograficzne, które umożliwiają sprostanie kryteriom wynikającym z tej ustawy. Tak więc składane przez Państwa do analizy dane osobowe transmitowane są do systemu AMOLA w oparciu o protokół SSL, popularne i powszechne rozwiązanie stosowane w usługach bankowości internetowej oraz innych usługach wymagających elektronicznej identyfikacji stron. Całość zleceń jest dodatkowo poddawana dwustopniowej obróbce kryptograficznej kluczami GPG (kluczem prywatnym użytkownika, a następnie kluczem publicznym systemu AMOLA), oraz opatrywana podpisem skrótu MD5. Tak przygotowana paczka składanych do analizy zleceń powoduje, że odczytać ją może jedynie osoba lub system, któremu:
- użytkownik udostępnił część publiczną swojego klucza szyfrującego
- posiada część prywatną klucza szyfrującego systemu AMOLA.
W drodze powrotnej, a więc przy okazji udostępniania raportów dokonanych analiz droga kodyfikacji jest analogiczna.
Rozwiązanie uwzględniające proces dwukrotnego szyfrowania przesyłanych danych przy użyciu kluczy GPG z powodzeniem zastosowaliśmy już przed kilku laty w stworzonym przez Accadia Group S.A. we współpracy z Krajową Izbą Rozliczeniową systemie przetwarzania płatności masowych CPM. Okazało się ono sprawne i bezpieczne, skutecznie uniemożliwiając ewentualne próby ingerencji w składane do realizacji przelewy.
Cechą szczególną systemu AMOLA jest jego 'pasywność'. Oznacza to, że nie jest możliwe podłączenie się w trybie 'on-line' do systemu (oraz np. przechwycenie bądź zafałszowanie danych), bo taki tryb z założenia nie istnieje. Składając paczki do analizy program kliencki pozostawia je w określonej lokalizacji (nie składa bezpośrednio do samego systemu), ustawiając odpowiedni dla nich status obsługi (flagę). System AMOLA w zdefiniowanych, regularnych odstępach sprawdza te statusy (flagi) podejmując do analizy nowo dostarczone dane. Następnie ich wynik jest w tej samej lokalizacji udostępniany do pobrania, z wcześniejszym uwzględnieniem zmiany status zlecenia na odpowiadający jego etapowi obsługi.
Jednak – jak to zwykle bywa – każde rozwiązanie działa tak, jak jego najsłabszy element. W całym procesie składania oraz analizy zleceń we współpracy z systemem AMOLA najsłabszym ogniwem jest naturalnie człowiek. I tu jeszcze raz chciałbym powrócić do obowiązku wynikającego z końcowej treści Art. 27. Par 2 pkt 2, który wskazuje na szczególną gwarancję ochrony przetwarzanych danych. Tworzone przez Accadia Group S.A. oprogramowanie kasowe (SEZAM / NOVUM.. itd.) posiada możliwość tworzenia profili użytkowników, które nadawać można wszystkim pracownikom wprowadzającym operacje kasowe do programu. Każdy z tych użytkowników posiadać może również ściśle określone przez administratora uprawnienia do obsługi aplikacji kasowej, w tym także do zakresu udostępnianych i przetwarzanych danych. Jest to szczególnie istotne w kontekście danych wrażliwych, o których mowa w art. 27 ustawy o ochronie danych osobowych.
W następnym odcinku poruszymy zakres obowiązkowych analiz danych wynikających z ustawy o przeciwdziałaniu praniu pieniędzy, oraz jak te normy realizowane są przez system AMOLA.
