Szara strefa

Najliczniejszą grupę baz danych osobowych stanowią małe zbiory, które formalnie podlegają wymogom ustawy, ale zdrowy rozsądek podpowiada, że można sobie darować ich rejestrację. Wiele zależy od interpretacji poszczególnych zapisów ustawy, a w szczególności wyłączeń od ustawowego obowiązku. Ewa Kulesza, generalny inspektor danych osobowych, zaleca rejestrację także w przypadkach wątpliwych. Jednak w dotychczasowej praktyce Biuro podejmowało interwencje jedynie w przypadku pojaienia się sygnałów i skarg (np. zbierania przez banki czy operatorów telefonii komórkowej zbyt wielu danych o swoich klientach) bądź ewidentnego lekceważenia wymogów ustawy (przykład Powszechnych Towarzystw Emerytalnych AIG i Dom).

W kontekście ustawy o ochronie danych osobowych pojawia się zawsze problem odpowiedzialności za bazy znajdujące się w firmie czy instytucji, a konkretnie za ich zawartość. Odpowiedzialność jest wysoka. Przykładowo, jeśli z systemu komputerowego zostaną wykradzione dane osobowe, to administrator może ponieść odpowiedzialność karną (nawet do roku więzienia).

Za działania konkretnej firmy czy instytucji odpowiada ostatecznie jej kierownictwo i to ono jest zobowiązane zatroszczyć się o pozostanie w zgodzie z ustawą. Ostateczne ustalenie odpowiedzialności może wyglądać tak samo, jak w przypadku pożaru - odpowiedzialność ponosi ten, kto nie dopełnił obowiązków. Winny więc będzie dyrektor firmy, jeśli nie zareagował na monity szefa informatyki o konieczności zajęcia się ustawą.

Jednocześnie ustawa istotnie podnosi rangę informatyków - zwłaszcza administratorów. Mogą oni na przykład odmówić wykonania służbowego polecenia udostępnienia niektórych danych, jeśli byłoby to niezgodne z ustawą. Rozwiązania zawarte w ustawie mają skłaniać wszystkich do starannego zabezpieczania znajdujących się w ich gestii danych osobowych.