Koniec okresu ochronnego

Szacuje się, że polskie firmy i urzędy mają nawet kilkaset tysięcy baz danych osobowych. Do tej pory złożono zaledwie 7 tys. wniosków o ich rejestrację. Ostateczny termin wyznaczony w przepisach o ochronie danych osobowych mija 30 października.

Szacuje się, że polskie firmy i urzędy mają nawet kilkaset tysięcy baz danych osobowych. Do tej pory złożono zaledwie 7 tys. wniosków o ich rejestrację. Ostateczny termin wyznaczony w przepisach o ochronie danych osobowych mija 30 października.

"Wiele firm zachowuje się tak, jakby ustawa dopiero teraz weszła w życie" - mówi Grzegorz Sibiga, dyrektor Departamentu Rejestracji Zbiorów Danych Osobowych w Biurze Generalnego Inspektora Ochrony Danych Osobowych (GIODO). Firmy te "przespały" ponad dwuletni okres swoistego vacatio legis po uchwaleniu ustawy o ochronie danych osobowych. Do GIODO wciąż nie zgłosiło się wiele znanych banków i firm ubezpieczeniowych. "Zainteresowanie jest niewspółmiernie małe w stosunku do szacowanych przez nas potencjalnych potrzeb rynku. W wielu firmach temat ochrony danych osobowych wciąż jest traktowany w sposób beztroski" - ocenia Robert Więcławski, wiceprezes CGK SA, oferującej usługi związane z przygotowaniem firmy do spełnienia wymogów ustawy.

Gorący miesiąc

Październik jest okresem gwałtownego wzrostu liczby zgłoszeń rejestracyjnych. Tylko w drugim tygodniu tego miesiąca napłynęło prawie tysiąc nowych wniosków - ponad dziesięć procent wszystkich otrzymanych w ciągu poprzednich kilkunastu miesięcy. Wnioski przesyłane są głównie przez jednostki administracji samorządowej. Nie są to wyłącznie bazy komputerowe. "To zdumiewające jak wiele zbiorów danych, nawet tak ważnych, jak rejestry podatkowe, prowadzonych jest ręcznie, bez wykorzystania komputerów" - mówi Grzegorz Sibiga.

Według szacunków ekspertów, w administracji trzeba zarejestrować ok. 30 tys. zbiorów. W innych organizacjach i firmach komercyjnych istnieje od kilkudziesięciu do kilkuset tysięcy baz danych. Tymczasem do końca pierwszej dekady października przyjęto nieco ponad 7 tys. zgłoszeń, z czego jedynie 2596 baz zostało już zarejestrowanych.

Procedury rejestracyjne, a w szczególności towarzyszące im wyjaśnienia, mogą trwać dość długo. Liczy się jednak samo zgłoszenie. Bez naruszenia prawa można przetwarzać dane osobowe w bazie zgłoszonej, ale jeszcze nie zarejestrowanej. "Weryfikacji zgłoszeń dokonujemy na podstawie zawartych w nich wyjaśnień. Bazujemy tutaj na oświadczeniach woli" - mówi Grzegorz Sibiga. W szczególności dotyczy to domniemanej zgody na przetwarzanie informacji o osobach, których dane dotyczą. Firma zgłaszająca bazę musi się jednak liczyć z kontrolą prowadzoną przez inspektorów Biura. "W przypadku wątpliwości dotyczących informacji podanych w zgłoszeniu zawsze wyjaśniamy je" - twierdzi Grzegorz Sibiga.

Co będzie z tymi, którzy spóźnią się z rejestracją, przekraczając ostateczny październikowy termin? Nic nie wskazuje na to, by mogli liczyć na ulgowe traktowanie. "Do tej pory mogliśmy interweniować jedynie w ewidentnych, udowodnionych przypadkach naruszenia postanowień ustawy. Po 30 października nie będzie budziło już żadnych wątpliwości, że korzystanie bądź tylko przechowywanie zbioru danych osobowych, który nie został zgłoszony do rejestracji, a nie jest wyłączony z tego obowiązku, stanowią naruszenie prawa" - twierdzi Grzegorz Sibiga. Przed tym terminem bowiem można było korzystać z nie zarejestrowanych baz, jeśli tylko powstały odpowiednio wcześnie.

Krytyka i krytykanctwo

Najwięcej wątpliwości i zarzutów pod adresem ustawy mają firmy, dla których dane osobowe są elementem prowadzonej działalności marketingowej czy nawet handlowej. Jeśli firma chce wymieniać posiadane dane osobowe z innymi firmami, wykorzystywać je do reklamowania swoich usług czy towarów poprzez bezpośrednie docieranie z informacjami do wybranych potencjalnych klientów, to nie może liczyć na pobłażanie ze strony urzędników Biura GIODO.

Jeśli dane osobowe są istotnym elementem prowadzonej działalności handlowej, są traktowane jako towar, to firma musi liczyć się z koniecznością przeprowadzenia analizy pod kątem zgodności z obowiązującymi przepisami chroniącymi dane osobowe. To oznacza konieczność skorzystania z usług prawników bądź samodzielnego pozyskania wiedzy, do czego lektura samej ustawy niewątpliwie nie wystarczy.

Firmy narzekają na ustawę, a nie ulega wątpliwości, że większość podjęła działania dopiero w ostatniej chwili. "Mimo krytyki, nikt z sektora prywatnego do tej pory nie przedstawił konkretnej propozycji alternatywnych rozwiązań prawnych" - mówi Grzegorz Sibiga. Dlatego trudno oczekiwać szybkiej nowelizacji ustawy. Obecna ustawa jest kompromisem osiągniętym po scaleniu projektów ustaw przygotowanych przez Ministerstwo Spraw Wewnętrznych i Administracji oraz grupę posłów (głównie z Klubu Parlamentarnego Unii Wolności).

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200