Zbudować czy wynająć

Ustawa o Ochronie Danych Osobowych nakazuje zarejestrowanie istniejących baz danych osobowych do października br. Alternatywą dla nowo tworzonych baz może być ich wynajęcie.

Ustawa o Ochronie Danych Osobowych nakazuje zarejestrowanie istniejących baz danych osobowych do października br. Alternatywą dla nowo tworzonych baz może być ich wynajęcie.

Od kwietnia br. obowiązuje Ustawa o Ochronie Danych Osobowych. Nakłada ona na wszystkie podmioty prawne, które są w posiadaniu danych pozwalających na identyfikację danej osoby, obowiązek rejestracji baz do października br.

Wynająć bazę

Zarejestrować bazę danych osobowych nie jest wcale łatwo. Najpierw musi ona spełniać wszystkie wymagania dotyczące bezpieczeństwa, określone w ustawie. Konieczne jest wprowadzenie systemu bezpieczeństwa danych, przeszkolenie wszystkich pracowników mających styczność z danymi osobowymi, zatrudnienie pracownika, który zajmowałby się bezpieczeństwem danych, i powiadomienie wszystkich osób, których dane są przechowywane.

Firmy, które zbierają dane osobowe od dawna, mają czas na dostosowanie i zarejestrowanie swojej bazy danych do października br. Ci, którzy zamierzają gromadzić takie dane w przyszłości, muszą zgłosić ten fakt do Departamentu Rejestracji Generalnego Inspektora Ochrony Danych Osobowych (GIODO). Alternatywą dla nowo powstałych firm, które jeszcze nie rozpoczęły zbierania danych osobowych, jest możliwość wynajęcia takiej bazy. Eliminuje to problemy związane z jej zarządzaniem, obsługą, zabezpieczeniem i rejestracją.

Specyfika niektórych rynków pozwala na zastosowanie tego typu rozwiązania. Na rynku farmaceutycznym od lat działają specjalne agencje, które wynajmują bazy danych osobowych lekarzy firmom farmaceutycznym. Takie rozwiązanie stosuje z powodzeniem firma Medical Data Management (MDM). Wynajmuje ona zarejestrowaną już przez siebie bazę danych dziewięciu klientom, zwalniając ich z konieczności dostosowywania swoich systemów informatycznych do Ustawy o Ochronie Danych Osobowych. W podobny sposób działa firma Polish Medical Mailing, która zajmuje się - przy wykorzystaniu własnej bazy danych - m.in. wykonywaniem wysyłek na zlecenie lekarzy.

Nie wolno usuwać

Od chwili wejścia w życie Ustawy o Ochronie Danych Osobowych nie wolno przetwarzać danych w nie zgłoszonych zbiorach. Jeżeli firma mająca bazę danych chce usunąć wszystkie rekordy, gdyż rezygnuje z jej prowadzenia i dostosowywania się do wymogów ustawy, musi - mimo wszystko - wcześniej zarejestrować bazę. Ustawa precyzuje bowiem pojęcie "przetwarzanie danych" również jako ich usuwanie.

Do połowy czerwca br. Departament Rejestracji Generalnego Inspektora Ochrony Danych Osobowych zarejestrował ok. 230 baz danych osobowych. Ich liczbę szacuje się jednak na kilka tysięcy. Jeżeli firma z pewnych powodów nie zarejestruje swojej bazy do października br., grożą jej sankcje prawne (art. 53 Ustawy o Ochronie Danych Osobowych) - od kary grzywny do jednego roku pozbawienia wolności dla administratora bazy danych.

Z pewnością nie wszyscy zdążą dokonać rejestracji w przewidzianym przez ustawę terminie. Proces zgłoszenia i rejestracji trwa ok. czterech tygodni. Dużo więcej czasu i pieniędzy pochłania przystosowanie istniejącego systemu do wymogów bezpieczeństwa. Być może termin rejestracji baz zostanie przesunięty, takiej możliwości nie wykluczają przedstawiciele Departamentu Rejestracji w GIODO.


TOP 200