Białe pole

Prerogatywy Generalnego Inspektora Danych Osobowych są bardzo szerokie. Ma prawo wstępu do pomieszczeń, w których przetwarzane są dane osobowe, i do kontroli systemu informatycznego. Może przesłuchiwać osoby, które mają związek z daną bazą. Dopiero jednak praktyczna działalność Biura Generalnego Inspektora określi, jakie obszary w praktyce obejmuje nowa ustawa. Między nie budzącymi żadnych wątpliwości przypadkami, w których utrzymywane są duże bazy danych, jak w firmie sprzedaży wysyłkowej czy liście klientów Zakładów Energetycznych, a wyłączonymi spod działania ustawy prywatnymi zbiorami rozciąga się duże pole niejasności (teoretycznie nawet baza danych stworzona z informacji spisanych z wizytówek, z której korzysta się do celów zawodowych, powinna zostać zarejestrowana). "Mamy do inspektora wiele pytań, dotyczących konkretnych sformułowań zawartych w ustawie" - mówi Adam Aduszkiewicz.

Ustawa daje wszystkim prawo do przeglądania i korekty danych dotyczących swojej osoby (także pracownik w firmie może zażądać wykreślenia z systemu kadrowego wszystkich informacji, które nie są niezbędne pracodawcy). Statystyki światowe pozwalają ocenić, że jest to zjawisko o ograniczonych rozmiarach. Przykładowo w Niemczech z możliwości przeglądania i korekty danych o sobie samym skorzystało do tej pory niecałe 3% obywateli.

Administrator dowartościowany

Nowa ustawa nakłada większe obowiązki i określa zakres odpowiedzialności informatyków w firmach i instytucjach, gdzie znajdują się osobowe bazy danych. Jednocześnie istotnie podnosi rangę informatyków - zwłaszcza administratorów. Mogą oni np. odmówić wykonania służbowego polecenia udostępnienia niektórych danych, jeśli byłoby to niezgodne z ustawą (podobnie jak np. w przypadku pożaru odpowiedzialność ponosi ten, kto nie dopełnił obowiązków - dlatego winny będzie dyrektor firmy, jeśli nie zareagował na monity szefa informatyki o niedostatecznym zabezpieczeniu bazy).

Rozwiązania zawarte w ustawie mają skłaniać wszystkich do dokładania staranności w zabezpieczeniu znajdujących się w ich rękach danych osobowych. Odpowiedzialność jest duża - jeśli np. z systemu komputerowego zostaną wykradzione dane osobowe, to administrator może być pociągnięty do odpowiedzialności karnej. Prawnik czy lekarz, któremu zostanie skradziony komputer przenośny, pozostawiony w samochodzie, może odpowiadać za niedbalstwo, jeśli w tym komputerze zgromadzone były dane pozwalające na identyfikację ich klientów.

Ustawa nakłada obowiązek posługiwania się systemami komputerowymi o odpowiednich parametrach. Bazy starego typu, które nie mają wbudowanej możliwości automatycznego tworzenia dziennika (rejestru, w którym notowane są wszystkie dokonywane transakcje, modyfikacje i korzystanie z danych), właściwie nie powinny służyć do przechowywania danych osobowych (szczególnie tzw. danych wrażliwych, dotyczących np. stanu zdrowia).

Ustawa powinna wymusić certyfikowanie narzędzi do tworzenia baz danych, tak aby wiadomo było, że budowane za ich pomocą rozwiązania są zgodne z nowymi regulacjami. Ustawa nie nakłada obowiązku dokonywania audytu systemów informatycznych, w których przetwarzane są dane osobowe (co proponowano w projekcie rządowym ustawy), składając ocenę ich zabezpieczenia w ręce adminstratora.