Haracze i luki

Wszystkie te wątpliwości dotyczą propozycji zmian w uregulowaniu tzw. dozwolonego użytku chronionych utworów. Zgodnie z proponowanymi zapisami miałoby to dotyczyć także programów komputerowych. Tymczasem pozostaje to w sprzeczności z inną dyrektywą unijną o ochronie prawnej programów komputerowych (91/250/WE). Źródeł tych paradoksów trzeba szukać w braku zapisu wyłączającego explicite programy komputerowe spod nowych zasad (co stanowi wzorcowa dyrektywa 2001/29/WE). Według nieoficjalnych informacji uzyskanych w Urzędzie Komitetu Integracji Europejskiej ta kwestia zostanie uwzględniona w trakcie opiniowania zgodności projektu ustawy z prawodawstwem unijnym.

Źródeł tych pomysłów legislacyjnych należy zapewne szukać w skupieniu się urzędników Ministerstwa Kultury na obszarze należącym do domeny kultury, czyli utworów audiowizualnych i książek. Ministerstwo dało jednak przedstawicielom środowiska firm informatycznych bardzo mało czasu na konsultację proponowanych rozwiązań.

Implementacja dyrektywy w krajach unijnych również stwarza ogromne problemy. Mimo obowiązku wprowadzenia lokalnych praw do końca 2002 r., do tej pory zrobiło to jedynie sześć państw członkowskich. Polski projekt znajduje się w końcowej fazie uzgodnień i do końca 2003 r. powinien trafić do Sejmu. Można mieć jedynie nadzieję, że kontrowersyjne zapisy do tego czasu zostaną zmienione.

Dane osobowe do poprawki

W pracach legislacyjnych znajduje się obecnie kilka ustaw istotnych dla branży IT. Szczególnie interesująca - nie tyle dla samej branży, ile instytucjonalnych użytkowników IT - jest kolejna nowelizacja Ustawy o ochronie danych osobowych. Ma ona już ostatecznie dostosować polskie prawo do wymogów dyrektywy unijnej w zakresie ochrony danych osobowych. Przy nowelizacji starano się także jednoznacznie wyjaśnić liczne wątpliwości interpretacyjne związane z obowiązującymi dzisiaj zapisami ustawowymi, również doprecyzowując niejasne sformułowania (np. w zakresie uprawnień osób do dostępu do danych, które tych osób dotyczą).

W projekcie ustawy wzmocniono uprawnienia kontrolerów Głównego Inspektora Ochrony Danych Osobowych. Rocznie jest przeprowadzanych ok. 200 kontroli w zakresie wypełniania obowiązków ustawowych przez konkretne firmy i instytucje. Zaostrzono wymogi dotyczące obowiązku rejestracji zbiorów danych osobowych. Nie będzie już z niego zwalniać tworzenie bazy danych powszechnie dostępnych czy też wykorzystywanych jednorazowo. W praktyce oznacza to, że radykalnie ograniczono zakres wyłączeń spod obowiązku rejestracji. Nie będzie też obowiązku rejestracji bazy zawierającej standardowe informacje o pracownikach zatrudnionych w firmie, ale pod warunkiem że taka baza nie zawiera tzw. informacji wrażliwych, czyli o stanie zdrowia, przekonaniach politycznych czy wyznaniu.

Zmianom w ustawie towarzyszy projekt rozporządzenia Ministra Spraw Wewnętrznych i Administracji, które miałoby zastąpić obowiązujące już od ponad pięciu lat rozporządzenie dotyczące warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Obecnie rozszerzono zakres tych obowiązków, m.in. uszczegóławiając obligatoryjną zawartość dokumentacji opisującej system bezpieczeństwa, jak również dostosowano wymogi do zmian technologii. Dokumentacja taka powinna zawierać m.in. opis metody i częstotliwości tworzenia kopii awaryjnych czy opis metody sprawdzania obecności wirusów komputerowych oraz procedurę aktualizacji bazy antywirusowej (nie rzadziej niż raz na miesiąc).

W rozporządzeniu nie ma już mowy o korzystaniu z systemu haseł i identyfikatorów. Mają je zastąpić różnorodne formy uwierzytelnienia. W przypadku teletransmisji danych osobowych trzeba stosować rozwiązania zapewniające ich poufność i integralność, a do przetwarzania takich danych na komputerze przenośnym muszą być one zabezpieczone za pomocą narzędzi kryptograficznych.

Jest również planowane wprowadzenie dodatkowego obowiązku dla każdego administratora danych osobowych w postaci prowadzenia szczegółowej dokumentacji opisującej sposób przetwarzania danych, w tym funkcjonowanie systemu informatycznego, zastosowane środki i politykę bezpieczeństwa.

Wymóg ten miałby obejmować wszystkie podmioty objęte ustawą, a nie tylko firmy przetwarzające ogromne zbiory danych osobowych. Zdaniem przedstawicieli Polskiej Izby Informatyki i Telekomunikacji, opiniującej projekt od strony branży IT, "absurdem jest jednakowe traktowanie w tym względzie wszystkich podmiotów, bez rozróżnienia względem wielkości posiadanych baz". Na dostosowanie się do nowych wymogów wszystkie podmioty przetwarzające bazy danych osobowych miałyby rok od chwili wejścia rozporządzenia w życie. Prawdopodobnie nastąpi to z dniem ogłoszenia nowelizacji ustawy, a więc najpóźniej do 1 maja 2004 r., przystąpienia Polski do Unii Europejskiej.

Do tej pory GIODO zarejestrował ok. 60 tys. zbiorów danych osobowych. Ze względu na planowane rozszerzenie zakresu baz, które podlegają rejestracji, liczba ta mogłaby wzrosnąć nawet kilkakrotnie. Oznacza to, iż zakładany 3-miesięczny okres na rejestrację zbiorów, począwszy od dnia wejścia w życie nowelizacji ustawy, jest stanowczo zbyt krótki. Te zapisy mogą się jednak zmienić w trakcie prac sejmowej podkomisji specjalnej do spraw rozpatrzenia nowelizacji ustawy. Firmy są tam reprezentowane przez Polską Izbę Informatyki i Telekomunikacji oraz Stowarzyszenie Marketingu Bezpośredniego.

O zastrzeżeniach, jakie do projektowanych zmian Prawa autorskiego mają bibliotekarze, pisaliśmy w CW 32 z 8 września 2003 r. ("Prawo do ochrony i dostępu").


TOP 200