Dane pod nadzorem

''Obejmując stanowisko generalnego Inspektora Ochrony Danych Osobowych uroczyście ślubuję dochować wierności postanowieniom Konstytucji Rzeczypospolitej Polskiej, strzec prawa do ochrony danych osobowych, a powierzone mi obowiązki wypełniać sumiennie i bezstronnie '' - tej treści ślubowanie złożyła przed Sejmem RP Ewa Kulesza. Zadaniem Generalnego Inspektora Ochrony Danych Osobowych będzie wcielanie w życie postanowień ustawy o ochronie danych osobowych.

'Obejmując stanowisko generalnego Inspektora Ochrony Danych Osobowych uroczyście ślubuję dochować wierności postanowieniom Konstytucji Rzeczypospolitej Polskiej, strzec prawa do ochrony danych osobowych, a powierzone mi obowiązki wypełniać sumiennie i bezstronnie' - tej treści ślubowanie złożyła przed Sejmem RP Ewa Kulesza. Zadaniem Generalnego Inspektora Ochrony Danych Osobowych będzie wcielanie w życie postanowień ustawy o ochronie danych osobowych.

Za trzy dni wchodzą w życie najważniejsze postanowienia ustawy uchwalonej 29 sierpnia ub.r. Na ich mocy nielegalne będzie przetwarzanie i gromadzenie niektórych danych osobowych, zaś trzeba będzie rejestrować wszystkie nowo powstające komputerowe bazy, zawierające dane osobowe. Termin 30 kwietnia br. jest jednak tylko teoretyczny. Wybór Generalnego Inspektora Ochrony Danych Osobowych był opóźniony o ponad trzy miesiące wobec ostatecznego terminu, zakładanego przez twórców ustawy. Ewa Kulesza, wybrana na początku kwietnia br. na to stanowisko, może mieć duże trudności w uzyskaniu środków finansowych na działalność Biura Generalnego Inspektora Danych Osobowych. Mimo monitów kierowanych ze strony przedstawicieli Ministerstwa Spraw Wewnętrznych i Administracji, w tegorocznym budżecie państwa nie przeznaczono na ten cel osobnej pozycji. Pieniądze pochodzące ze środków rezerwowych mogą okazać się niewystarczające. Opóźnienie w ogłoszeniu rozporządzeń do ustawy, których wciąż nie ma, może postawić pod znakiem zapytania możliwości działania biura. Generalny Inspektor Danych Osobowych nie ma nawet własnej siedziby, korzystając z gościnności jednej z komisji sejmowych. W swojej działalności potrzebuje współpracy specjalistów - informatyków i prawników.

Już nie można było czekać

Ustawa wzbudziła wiele merytorycznych zastrzeżeń, jednak samo jej wprowadzenie jest bardzo ważnym krokiem, stanowiąc element procesu dostosowywania naszego prawodawstwa do wymogów Unii Europejskiej. Pierwsze rozwiązania prawne, dotyczące ochrony danych osobowych, powstawały w Europie Zachodniej już przed 30 laty. Wiele sformułowań zostało przeniesionych do naszej ustawy wprost z unijnych dyrektyw. Dzięki temu ustawa jest dość nowoczesna. Mówi się nawet, że wprowadzone w Polsce rozwiązania ochrony danych osobowych to "ustawodawstwo II generacji". Ostateczny kształt ustawy stanowi odległą mutację dwóch projektów - rządowego i poselskiego, będąc wynikiem wielorakiego kompromisu. Trzeba było wyważyć zupełnie odmienne racje - prawo do prywatności wobec prawa do swobody obrotu gospodarczego, interes społeczny wobec obrony przed zakusami władzy, która w naturalny sposób zawsze będzie dążyć do posiadania jak najpełniejszej wiedzy o obywatelu. Dopiero praktyka wykaże, czy próba ustalenia równowagi między tymi racjami, zawarta w ustawie, okazała się udana. Wiadomo już, że w nieodległej przyszłości potrzebna będzie nowelizacja ustawy.

Zmiany

Sednem wprowadzonej ustawy jest zakaz swobodnej zmiany przeznaczenia danej bazy. Danych zebranych w jednym celu nie będzie wolno wykorzystywać do innego.

Taką zmianą jest także agregacja danych (łączenia kilku baz) i tworzenia profili osobowych. Dane osobowe są własnością tego, kogo dotyczą, i można je przetwarzać jedynie za zgodą zainteresowanego (wyjąwszy poszczególne przypadki opisane w ustawie).

Wbrew obiegowym opiniom, ustawa nie wprowadza zakazu handlu bazami danych. Osoby, o których dane są w nich zgromadzone, muszą tylko wyrazić zgodę na obrót swoimi danymi. Firmy zajmujące się prowadzeniem marketingu bezpośredniego mogą taką zgodę uzyskiwać na różne sposoby (chociażby warunkując od niej udział w atrakcyjnej loterii). Nie będzie można przekazywać danych zebranych na mocy obowiązującego prawa. Zdarzające się dotychczas przypadki sprzedaży czy przekazania osobowych baz danych, znajdujących się w gestii urzędów administracji państwowej, do sektora komercyjnego staną się teraz przestępstwem.

Banki, firmy ubezpieczeniowe czy instytucje finansowe mogą wymuszać na klientach zgodę na obrót danymi osobowymi, dotyczącymi ich. W przypadku osób biorących kredyty (czy nawet korzystających z karty kredytowej) udzielenie takiej zgody będzie obligatoryjne i stopniowo będą jej wymagać wszystkie banki od swoich klientów (choć obszar wykorzystania tych danych będzie ograniczony do wewnątrzbankowej informacji o wiarygodności kredytobiorców).

Znaczna część firm przyjmuje postawę wyczekującą, zwlekając, aż ustawa faktycznie, a nie teoretycznie wejdzie w życie. "Czekamy wciąż na rozporządzenia Ministra Spraw Wewnętrznych i Administracji. Bez nich ustawa jest niepełna i trudno nam się do niej odnieść" - mówi Adam Aduszkiewicz z wydawnictwa Bertelsmann Media, prowadzącej masową sprzedaż wysyłkową za pośrednictwem Świata Książki.

Inni chcą być już gotowi. Firma SMG&KRC Poland, oferując usługi doradztwa personalnego, utrzymuje obszerną bazę zawierającą dane osobowe o potencjalnych kandydatach na różne stanowiska wyższego i średniego szczebla. Obecnie prowadzi ona wysyłkę pism skierowanych do wszystkich osób, których dane są w jej posiadaniu. Pisma te zawierają kilkupunktowy formularz. Trzeba w nim wyrazić zgodę na przechowywanie i przetwarzanie danych przez SMG&KRC, także w zakresie przekazywania danych za granicę czy przetwarzania danych dotyczących stanu zdrowia i nałogów. Formularz zawiera bezpośrednie odniesienia do uchwalonej w sierpniu ub.r. ustawy.


TOP 200