Kolejne 4 lata GIODO

Ewa Kulesza została ponownie wybrana na stanowisko Generalnego Inspektora Ochrony Danych Osobowych (była jedynym kandydatem). GIODO do tej pory przeprowadził blisko 400 kontroli.

Ponowny wybór Ewy Kuleszy na stanowisko Generalnego Inspektora Ochrony Danych Osobowych (była jedynym kandydatem) był okazją do przedstawienia przez ten urząd blisko 500-stronicowego sprawozdania z działalności w ostatnich 4 latach. Zadaniem urzędu jest rejestrowanie zbiorów danych osobowych, udzielanie informacji o ochronie tych danych, rozstrzyganie kwestii spornych czy wreszcie dbanie o właściwą ochronę tych danych i przestrzeganie zapisów ustawy. W gestii GIODO jest także kontrola firm i instytucji posiadających zbiory danych osobowych oraz możliwość przekazywania spraw prokuraturze dotyczących naruszeń przepisów.

Do tej pory do rejestracji zgłoszono ponad 75 tys. zbiorów danych osobowych, z których zdołano zarejestrować ponad 50 tys.

Zobacz również:

  • Red Hat zmienia logo

<B>Podstawowe błędy</B>

Systematycznie wzrasta liczba kontroli prowadzonych w urzędach państwowych i firmach prywatnych przez pracowników GIODO. W 2001 r. miało ich miejsce prawie 200. Są one najczęściej skutkiem zgłaszanych skarg, z których większość dotyczy zaniedbania obowiązku informowania przy zbieraniu danych osobowych czy niewłaściwego wykorzystania takich danych.

Kontrole wykazują luki w rozwiązaniach technicznych i organizacyjnych, np. typowym zaniedbaniem jest brak aktualnej ewidencji osób odpowiedzialnych za wprowadzanie i przetwarzanie danych osobowych, brak rejestracji zbiorów, słaby poziom zabezpieczeń (szczególnie w urzędach administracji państwowej), w tym niefrasobliwość w kwestii kontrolowania dostępu do zbiorów danych osobowych. Każda transakcja w systemie bazodanowym, w której wykorzystuje się rekordy z danymi osobowymi, powinna być zapamiętywana, wraz z informacją o użytkowniku, który jej dokonał.

Większość współczesnych systemów bazodanowych ma wbudowane rozwiązania wymagane przez ustawę o ochronie danych osobowych, aczkolwiek osobną sprawą jest stworzenie właściwych procedur organizacyjnych. Co ciekawe, rozporządzenia ustawowego nie spełnia Program Płatnika, wykorzystywany powszechnie do elektronicznego transferu danych o ubezpieczonych do ZUS. Oznacza to, że wiele systemów, które korzystają z PP jako interfejsu do transmisji danych do ZUS, również nie spełnia tych wymogów.

<B>Szkodliwa niefrasobliwość</B>

Autorzy sprawozdania podkreślają, że zwodnicze może być przekonanie, iż przygotowanie aplikacji przez poważną firmę informatyczną gwarantuje, że będzie ona spełniać wymogi przepisów o ochronie danych osobowych. Generalnie jednak coraz mniej istotna jest technologia. Choć wzrosła świadomość dotycząca potrzeby ochrony danych osobowych, to nadal najważniejszą przyczyną naruszeń ustawy jest niefrasobliwość osób odpowiedzialnych w firmach i instytucjach za zbiory takich danych.

Istotne problemy w kontrolowanych dużych podmiotach były związane z integracją systemów informatycznych i idącą za nią dostępnością bazy z danymi osobowymi z poziomu różnych aplikacji. Taka sytuacja miała np. miejsce w jednym z dużych polskich banków, gdzie użytkownicy - niezależnie od zakresu funkcjonalnego, jaki powinna posiadać wykorzystywana przez nich aplikacja - mogli uzyskać dostęp do danych osobowych, choć nie było to uzasadnione wymogiem związanym obowiązkami na danym stanowisku pracy.

Skontrolowano już także pierwsze firmy internetowe pod kątem zasad przechowywania danych osobowych, uzyskiwanych dzięki korzystaniu przez użytkowników z serwisów internetowych. W przypadku strony e-zdrowie.com stwierdzono uchybienia, m.in. w zakresie niezastosowania środków technicznych i organizacyjnych, zapewniających ochronę przetwarzanych danych osobowych.

<B>Niewystarczająca karalność</B>

W sprawozdaniu można przeczytać wiele gorzkich słów dotyczących kwestii penalizacji czynów zabronionych ustawą o ochronie danych osobowych. "Organy wymiaru sprawiedliwości tematykę ochrony danych osobowych traktują w sposób powierzchowny, czasami ją bagatelizując" - twierdzą przedstawiciele GIODO. O tym zresztą świadczą liczby. Na 53 zawiadomienia skierowane przez ten urząd do prokuratury, przed sąd trafiły pojedyncze sprawy i to pomimo uporczywego łamania prawa, np. przez duże firmy marketingu bezpośredniego.