Urząd Generalnego Inspektora Ochrony Danych Osobowych do tej pory przeprowadził blisko 400 kontroli.

Ponowny wybór Ewy Kuleszy na stanowisko generalnego inspektora ochrony danych osobowych (była jedynym kandydatem) był okazją do przedstawienia przez ten urząd blisko 500-stronicowego sprawozdania z działalności w ostatnich 4 latach. Zadaniem urzędu jest rejestrowanie zbiorów danych osobowych, udzielanie informacji o ochronie tych danych, rozstrzyganie kwestii spornych czy wreszcie dbanie o właściwą ochronę tych danych i przestrzeganie zapisów ustawy. Do zadań GIODO należy także kontrola firm i instytucji posiadających zbiory danych osobowych oraz przekazywanie prokuraturze spraw dotyczących naruszeń przepisów.

Do tej pory do rejestracji zgłoszono ponad 75 tys. zbiorów danych osobowych, z których zdołano zarejestrować ponad 50 tys.

Podstawowe błędy

Systematycznie wzrasta liczba kontroli w urzędach państwowych i firmach prywatnych przez pracowników GIODO. W 2001 r. przeprowadzono ich prawie 200. Są one najczęściej skutkiem zgłaszanych skarg, z których większość dotyczy zaniedbania obowiązku informowania przy zbieraniu danych osobowych czy niewłaściwego wykorzystania takich danych.

Kontrole wykazują luki w rozwiązaniach technicznych i organizacyjnych, np. typowym zaniedbaniem jest brak aktualnej ewidencji osób odpowiedzialnych za wprowadzanie i przetwarzanie danych osobowych, brak rejestracji zbiorów, słaby poziom zabezpieczeń (szczególnie w urzędach administracji państwowej), w tym niefrasobliwość w kwestii kontrolowania dostępu do zbiorów danych osobowych. Każda transakcja w systemie bazodanowym, w której wykorzystuje się rekordy z danymi osobowymi, powinna być zapamiętywana, wraz z informacją o użytkowniku, który jej dokonał.

Większość współczesnych systemów bazodanowych ma wbudowane rozwiązania wymagane przez ustawę o ochronie danych osobowych, aczkolwiek osobną sprawą jest stworzenie właściwych procedur organizacyjnych. Co ciekawe, wymogów ustawy nie spełnia Program Płatnika, wykorzystywany powszechnie do elektronicznego transferu danych o ubez- pieczonych do ZUS. Oznacza to, że wiele systemów, które korzystają z PP jako interfejsu do transmisji danych do ZUS, również nie spełnia tych wymogów.

Szkodliwa niefrasobliwość

Autorzy sprawozdania podkreślają, że zwodnicze może być przekonanie, iż przygotowanie aplikacji przez poważną firmę informatyczną gwarantuje, że będzie ona spełniać wymogi przepisów o ochronie danych osobo- wych. Generalnie jednak coraz mniej istotna jest technologia. Choć wzros- ła świadomość dotycząca potrzeby ochrony danych osobowych, to nadal najważniejszą przyczyną naruszeń ustawy jest niefrasobliwość osób odpowiedzialnych w firmach i instytucjach za zbiory takich danych.

Istotne problemy w kon- trolowanych dużych podmiotach były związane z integracją systemów informatycznych i idącą za nią dostępnością bazy z danymi osobowymi z poziomu różnych aplikacji. Taka sytuacja miała miejsce np. w jednym z dużych polskich banków, gdzie użytkownicy - niezależnie od zakresu funkcjonalnego, jaki powinna posiadać wykorzystywana przez nich aplikacja - mogli uzyskać dostęp do danych osobowych, choć nie było to uzasadnione obowiązkami na danym stanowisku pracy.

Skontrolowano już także pierwsze firmy internetowe pod kątem przestrzegania zasad przechowywania danych osobowych, uzyskiwanych dzięki korzystaniu przez użytkow- ników z serwisów internetowych. W przypadku strony e-zdrowie.com stwierdzono uchybienia, m.in. w zakresie niezastosowania środków technicznych i organizacyjnych, zapewniających ochronę przetwarzanych danych osobowych.

Niewystarczająca karalność

W sprawozdaniu można przeczytać wiele gorzkich słów dotyczących kwestii penalizacji czynów zabronionych ustawą o ochronie danych osobowych. "Organy wymiaru sprawiedliwości tematykę ochrony danych osobowych traktują w sposób powierzchowny, czasami ją bagatelizując" - twierdzą przedstawiciele Generalnego Inspektora Ochrony Danych Osobowych. O tym zresztą świadczą liczby. Na 53 zawiadomienia skierowane przez ten urząd do prokuratury przed sąd trafiły pojedyncze sprawy i to pomimo uporczywego łamania prawa, np. przez duże firmy marketingu bezpośredniego.