...według której będziesz chronił system teleinformatyczny. To nie paradoks - ustawa o ochronie danych osobowych pokrywa się w wielu punktach z ustawą o ochronie informacji niejawnych. Przepisy tej drugiej są jednak bardziej rygorystyczne wobec użytkowników i administratorów zbiorów danych.

Której ustawie należy się więc podporządkować, jeśli jesteśmy przedsiębiorcami pracującymi na rzecz administracji publicznej z prawem dostępu do informacji niejawnych, gdy dysponujemy bazami adresowymi kontrahentów? Przed takim dylematem stanęło lub wkrótce stanie większość instytucji i firm w Polsce - kończy się właśnie vacatio legis ustawy o ochronie danych osobowych.

Zarówno systemy informatyczne i sieci komputerowe (zwane systemami teleinformatycznymi), jak i szeroko rozumiane systemy i techniki łączności niewątpliwie ułatwiają wymianę informacji, lecz nie rozwiązują problemu kontrolowanego podziału informacji pomiędzy uprawnionymi użytkownikami. Globalny charakter współczesnych systemów teleinformatycznych zwiększa skalę zagrożenia.

Równocześnie w dobie gospodarki rynkowej, czyli gospodarki konkurencyjnej, wzrasta zagrożenie walki o informacje wraz ze wszystkimi konsekwencjami tego zjawiska. Rośnie znaczenie danych finansowych i osobowych we wszystkich instytucjach. Szpiegostwo i wywiad gospodarczy, w tym także między państwami będącymi - formalnie - sojusznikami, stanowią istotną - niektórzy eksperci utrzymują nawet, że główną - część działalności wywiadowczej, "odsyłając" na drugi plan wywiad polityczny i militarny. Należy także pamiętać, że wywiad gospodarczy prowadzą nie tylko państwowe służby specjalne, ale także wywiadownie komercyjne, w tym również działające metodami legalnymi. W interesach nie ma emocjonalnej przyjaźni, lecz bezwzględna rywalizacja, z której zwycięsko wychodzi ten, kto wyprzedzi lub wykorzysta informacje konkurenta. Stąd też wzrasta rola zabezpieczania informacji, w tym zabezpieczeń prawnych. W państwie demokratycznym niedopuszczalna jest sytuacja nieokreśloności w sferze ochrony informacji należących zarówno do podmiotów państwowych, samorządowych, prywatnych, organizacji społecznych, jak i obywateli.

Powyższe przesłanki w dużym stopniu stały się przyczyną uchwalenia dwóch ustaw - ustawy o ochronie danych osobowych (UODO) i ustawy o ochronie informacji niejawnych (UOIN). I choć wydaje się, że ustawy te dotyczą dwóch bardzo różnych dziedzin życia, to jednak w znacznym stopniu zakres ich obowiązywania będzie wspólny, a w wielu przypadkach bardzo zbliżony. Jednocześnie, jako jedne z pierwszych, obie ustawy w sposób istotny poruszają problematykę zabezpieczenia systemów teleinformatycznych, a wydane do nich rozporządzenia wykonawcze bardziej to podkreślają.

Kiedy stosujemy obie ustawy?

UODO w art. 3 wymienia, jakie podmioty przetwarzające dane osobowe są administratorami danych w rozumieniu ustawy. Na tych podmiotach spoczywają liczne obowiązki, które ustawa nakłada na administratora danych. Ustawodawca wyodrębnił dwie ogólne kategorie podmiotów: podmioty publiczne (ust. 1) i podmioty prywatne (ust. 2). Rozróżnienie to ma znaczenie przede wszystkim ze względu na odmienne sformułowanie niektórych obowiązków obu grup podmiotów (określone w art. 29 UODO). Należy pamiętać, że podmioty publiczne w ramach swych uprawnień działają wyłącznie na podstawie przepisów prawa, ich kompetencje zaś nie mogą być domniemane (stanowi o tym art. 6 kpa). Inaczej ukształtowane są prawa podmiotów w sferze prywatnej, gdzie dozwolone jest każde działanie, którego prawo nie zabrania.

Pojęcie administratora danych, mimo stosunkowo jasnego sformułowania w art. 7 pkt. 4 UODO, niejednokrotnie jest interpretowane różnie. Obowiązki te wielokrotnie usiłuje się powierzyć osobom bezpośrednio zarządzającym systemem komputerowym (administratorom systemu lub aplikacji) albo kierownikom poszczególnych działów instytucji. Czy takie rozwiązania są słuszne i zgodne z obowiązującymi przepisami?

Biorąc pod uwagę szeroki zakres obowiązków i odpowiedzialności administratora danych osobowych, wynikający z art. 24-30 i 35-40, ale także ewentualną odpowiedzialność karną (art. 49-54), należy ustalić, kto ma być administratorem danych osobowych. Polskie prawo karne nie uznaje odpowiedzialności karnej osoby prawnej.