Biotechnologia.pl
łączymy wszystkie strony biobiznesu
O nowelizacji ustawy o ochronie danych osobowych - Jacek Zontek prezes zarządu AiMS Management Consultants
01.08.2011

Marta Cipińska: Dlaczego nowelizacja ustawy o ochronie danych osobowych była tak potrzebna?  Jaki był główny cel wprowadzenia zmian w tej ustawie?

Jacek Zontek: Głównym założeniem było formalne wzmocnienie funkcji egzekucyjnych GIODO poprzez warcie go kilkoma narzędziami dyscyplinującymi w stosunku do dotychczasowych. W niektórych obszarach usankcjonowano także zwyczajowe praktyki postępowania GIODO. W stosunku do planowanych nowelizacją zmian, U.O.D.O w obecnym kształcie niewiele się zmieniła. Od 7 marca 2011  obwiązuje jej nowelizacja. Z perspektywy Administratora Danych Osobowych, zmiany mają charakter kosmetyczny. Zasadniczą modyfikacją, która się pojawiła, jest zwiększenie uprawnień osób, których dane są przetwarzane przez Administratorów Danych, kiedy osoby te wyraziły na to zgodę.  Zmiana polega na możliwości odwołania takiej zgody w każdej chwili. Do nowelizacji, teoretycznie zgody takiej nie można było odwołać. Praktyka wskazywała, że jeśli starano się zgłaszać odwołanie zgody, administrator często przychylał się do prośby, czy żądania i zaprzestawał przetwarzania danych takich osób, natomiast nie musiał tego robić.

Obecnie Administrator Danych po odwołaniu zgody zobowiązany jest do zaprzestania przetwarzania danych takich osób. Najczęściej dotyczy to celów marketingowych lub przekazania danych osobowych innym podmiotom.

Czy we wprowadzonych zmianach zmieniły się znacznie uprawnienia Generalnego Inspektora Ochrony Danych Osobowych?

Jacek Zontek: Powstała tzw. kara przymuszenia (dyscyplinująca). Do tej pory GIODO nie mogło nakładać kar, jedynie zgłosić naruszenie ustawy do sądu, który, jako władny, wyznaczał karę. W tym momencie GIODO może wyznaczyć karę.

Kara przymuszenia w stosunku do osoby fizycznej to max.10 000 zł, zaś w stosunku do osoby prawnej oraz jednostki organizacyjnej nieposiadającej osobowości prawnej 50 000 zł. W przypadku wielokrotnego nakładania grzywien w jednym postępowaniu egzekucyjnym, max. łączna kwota wynosi 50 000 zł w odniesieniu do osób fizycznych oraz 200 000 zł w odniesieniu do osób prawnych i jednostek organizacyjnych nieposiadających osobowości prawnej.

Nie jest to jednak bezpośrednia kara, którą nakładają kontrolerzy np. Państwowej Inspekcji Pracy, czy SANEPID-u w postaci mandatu za nieprzestrzeganie standardów. Ma ona charakter dyscyplinujący i nakładana jest na Administratorów w sytuacji, gdy są oni zbyt opieszali w wykonaniu decyzji administracyjnych lub nakazów usunięcia uchybień nałożonych uprzednio przez GIODO w trybie administracyjnym.

Jeżeli administrator kilkukrotnie uchyli się od wykonania decyzji GIDO, może liczyć się z nałożeniem takich kar. Prawdopodobnie, kara ta nie będzie zbyt często stosowana.

Nowelizacja ustawy wytworzyła nową sankcję karną za uniemożliwianie bądź utrudnianie przeprowadzania czynności kontrolnych przez GIODO. Jako przestępstwo, traktowane jest tu zarówno utrudnianie jak i uniemożliwianie dostępu do danych. Do tej pory GIODO nie miał skutecznej formy egzekwowania możliwości przeprowadzenia kontroli. Można się spodziewać, że obecnie inspektorzy będą korzystać z tego uprawnienia w przypadkach ewidentnego oporu ze strony podmiotów kontrolowanych.  Jeżeli np. inspektor nie zostanie wpuszczony na teren podmiotu kontrolowanego lub nawet do jego  pomieszczeń, może sklasyfikować to jako próbę zablokowania kontroli i jako GIODO,  skierować sprawę do sądu. Można się także spodziewać, że np. próba ukrywania faktu istnienia danych osobowych, dokumentów będących w sferze zainteresowania kontroli, czy uniemożliwiania rozmowy z niektórymi osobami, może być traktowana jako przestępstwo.

Kara za uniemożliwianie bądź utrudnianie przeprowadzenie kontroli „Jeśli Administrator Danych udaremnia lub utrudnia wykonanie czynności kontrolnej, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.                                     

Zmian nie wprowadzono wiele, ale na pewno nie jest to ich koniec. Co według Pana jest najsłabszym punktem tej ustawy?

Jacek Zontek: Przede wszystkim w tej chwili największy problem tkwi po stronie realizacji wymagań Rozporządzenia MSWiA z 2004 roku o wymaganiach jakie muszą spełniać systemy komputerowe, w których przetwarzane są dane osobowe.

Powstało ono w czasach, gdy dostęp do internetu był dobrem stosunkowo rzadkim. Stąd jest ono mocno przestarzałe w stosunku do problemów związanych z ochroną danych osobowych w erze portali społecznościowych, przetwarzania w chmurze i internetowych wyszukiwarek.

O anachronizmie rozporządzenia świadczy choćby fakt, że nakazuje ono zmianę hasła z częstotliwością co najmniej co 30 dni. Zapewne było to rozsądne 10 lat temu i chroniło przed jego łatwym odkryciem przez osobę nieupoważnioną, ale obecnie, gdy ludzie korzystający z rozmaitych systemów informatycznych muszą pamiętać 5-15 haseł jednocześnie. Paradoksalnie, zapamiętanie takiej liczby haseł powoduje zwiększenie ryzyka ich ujawnienia, ponieważ właściciele haseł nie są w stanie ich wszystkich zapamiętać, zapisują je i przechowują w łatwo dostępnych miejscach. Jeśli ktoś chce poznać hasła do systemów lub programów, wystarczy zajrzeć pod klawiaturę czy też do szuflad biurek pracowniczych, aby często je odnaleźć.

Innym przykładem niedostosowania rozporządzenia do współczesnych realiów może być wymaganie fizycznego zabezpieczenia danych przetwarzanych w systemach informatycznych. Jeśli dane są umieszczone na konkretnym komputerze lub serwerze, wtedy jesteśmy w stanie taki system zabezpieczyć. Jeśli jednak przetwarzanie odbywa się w tzw. chmurze, co jest obecnie popularnym rodzajem przetwarzania danych a istotą tego przetwarzania jest brak fizycznego miejsca, gdzie są one przetwarzane, jak mówić tu o fizycznych zabezpieczeniach? Jak fizycznie zabezpieczyć „coś wirtualnego”?

Na domiar złego, przetwarzanie w chmurze nie zna granic. Jak zatem zapewnić bezpieczeństwo tych danych w państwach poza Unią Europejską?

Podsumowując, GIODO stoi przed wyzwaniem gruntownej modernizacji Ustawy o Ochronie Danych Osobowych a przede wszystkim Rozporządzenia MSWiA, ponieważ w obecnym kształcie ich stosowanie coraz częściej kłóci się rzeczywistością.

Portal Biotechnologia.pl serdecznie dziękuje za udzielenie wywiadu.

Red. Marta Cipińska

KOMENTARZE
news

<Październik 2027>

pnwtśrczptsbnd
27
28
29
30
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
Newsletter