Firmy posiadające osobowe bazy danych muszą właściwie zabezpieczać chronione informacje. Są z tym jednak poważne problemy, bo m.in. brakuje administratorów bezpieczeństwa informacji.
Raporty Głównego Inspektora Ochrony Danych Osobowych (GIODO) nie pozostawiają wątpliwości: zarówno administracja publiczna, jak i sektor przedsiębiorstw prywatnych nie radzą sobie z przestrzeganiem ustawy o ochronie danych osobowych. W 2008 r. do GIODO wpłynęło aż 986 skarg na instytucje (w tym firmy) łamiące prawo. Inspektorzy GIODO, którzy przeprowadzili kontrole i postępowania wyjaśniające, wydali 338 decyzji, w tym 23 nakazujące przywrócenie stanu zgodnego z prawem przez podmioty prawa handlowego. 31 spraw trafiło do prokuratury.
- Osiem spraw zostało już zakończonych, a pozostałe są jeszcze w toku. Siedem z nich dotyczyło naruszeń prawa w firmach prywatnych - informuje Małgorzata Kałużyńska-Jasak, rzecznik prasowy GIODO.
Najczęstsze zastrzeżenia inspektorów podczas kontroli budziło niewłaściwe zabezpieczenie danych osobowych. Firmy nie dysponowały ani odpowiednim wyposażeniem technicznym, ani kadrą przeszkoloną i uprawnioną do przetwarzania chronionych informacji. Brak zabezpieczeń GIODO zarzuciło zarówno jednostkom samorządowym, jak i bankom, szpitalom i prywatnym firmom - w tym kilku dużym, ubezpieczeniowym. Większość z kontrolowanych nie miała wyznaczonych administratorów bezpieczeństwa informacji (ABI), a osoby zajmujące się przetwarzaniem danych nie miały do tego wymaganych upoważnień - czytamy w jednym z raportów GIODO.

Obowiązki firm

Tymczasem obowiązek wyznaczenia takich administratorów dotyczy zarówno administratorów przetwarzających dane osobowe w systemach informatycznych, jak i przetwarzających dane osobowe w kartotekach, skorowidzach, księgach, wykazy i innych zbiorach ewidencyjnych. Mówi o tym wyraźnie art. 2 ust. 2 ustawy o ochronie danych osobowych.
- Obowiązkiem administratora bezpieczeństwa informacji jest nadzorowanie przestrzegania zasad ochrony danych osobowych, tj. tego, aby zastosował on środki techniczne i organizacyjne zapewniające właściwą ochronę przetwarzanych danych osobowych - mówi Małgorzata Kałużyńska-Jasak.
Tłumaczy, że ochrona ta musi być odpowiednia do zagrożeń oraz kategorii przetwarzanych danych, a także taka, aby dane te nie były udostępniane osobom nieupoważnionym, zabrane przez osobę nieuprawnioną lub przetwarzane z naruszeniem ustawy. Ponadto muszą być one też zabezpieczone przed zmianą, utratą, uszkodzeniem lub zniszczeniem.



Szkolenia za unijne pieniądze

Wielu pracodawców lekceważy obowiązek zatrudniania ABI, rzadko który jednak wie, że może taką osobę przeszkolić za unijne pieniądze. Kurs zawodowy na ABI z unijną dopłatą prowadzi obecnie w kilku największych miastach Polski m.in. firma KSK Bezpieczeństwo z Katowic. Wsparciem finansowym objęte są wszystkie typy przedsiębiorstw, niezależnie od profilu działalności, ich rozmiaru i formy prawnej.
Szkolenia przeznaczone są głównie dla osób zajmujących się zarządzaniem, ochroną i zabezpieczaniem informacji w firmach: kadry zarządzającej, kierowników wyższego i średniego szczebla, specjalistów, pracowników działów informatycznych i administracji, administratorów danych osobowych, administratorów bezpieczeństwa informacji, administratorów systemu informatycznego, audytorów wewnętrznych, ekspertów-konsultantów takich systemów. W projekcie unijnym przewidzianych jest 12 edycji szkoleń dla grup 20-osobowych. Uczestnicy szkoleń mają zapewniony nocleg oraz wyżywienie.
- Kurs obejmuje przede wszystkim zagadnienia prawne i rozwiązania pomocne przy budowie systemów bezpieczeństwa informacji - informuje Przemysław Bańko, prezes zarządu KSK Bezpieczeństwo Sp z o.o.
Poza programami objętymi pomocą unijną, na rynku dostępne są również szkolenia pełnopłatne. W warszawskim Kerberosie za jednodniowe szkolenie z ochrony danych osobowych trzeba zapłacić 690 zł, natomiast czterodniowy kurs dla ABI w podwarszawskim Domu Wiedzy to już wydatek 1750 zł. Nauka tam kończy się egzaminem oraz wydaniem firmowego certyfikatu.
986 skarg wpłynęło na firmy do GIODO w 2008 r.
CENY SZKOLEŃ PO DOFINANSOWANIU Z FUNDUSZY UE
● mikroprzedsiębiorstwo - wkład własny - 371,90 zł
● małe przedsiębiorstwo - wkład własny - 371,90
● średnie przedsiębiorstwo - wkład własny - 557,85 zł
● duże przedsiębiorstwo - wkład własny - 743,80 zł
Podstawa prawna
● Ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. nr 133 poz. 883 z późn. zm.).