Urzędy i przedsiębiorstwa nie radzą sobie z ochroną danych osobowych

Raporty Głównego Inspektora Ochrony Danych Osobowych (GIODO) nie pozostawiają wątpliwości: zarówno administracja publiczna, jak i sektor przedsiębiorstw prywatnych nie radzą sobie z przestrzeganiem ustawy o ochronie danych osobowych. W 2008 r. do GIODO wpłynęło aż 986 skarg na instytucje (w tym firmy) łamiące prawo. Inspektorzy GIODO, którzy przeprowadzili kontrole i postępowania wyjaśniające, wydali 338 decyzji, w tym 23 nakazujące przywrócenie stanu zgodnego z prawem przez podmioty prawa handlowego. 31 spraw trafiło do prokuratury.

- Osiem spraw zostało już zakończonych, a pozostałe są jeszcze w toku. Siedem z nich dotyczyło naruszeń prawa w firmach prywatnych - informuje Małgorzata Kałużyńska-Jasak, rzecznik prasowy GIODO.

Najczęstsze zastrzeżenia inspektorów podczas kontroli budziło niewłaściwe zabezpieczenie danych osobowych. Firmy nie dysponowały ani odpowiednim wyposażeniem technicznym, ani kadrą przeszkoloną i uprawnioną do przetwarzania chronionych informacji. Brak zabezpieczeń GIODO zarzuciło zarówno jednostkom samorządowym, jak i bankom, szpitalom i prywatnym firmom - w tym kilku dużym, ubezpieczeniowym. Większość z kontrolowanych nie miała wyznaczonych administratorów bezpieczeństwa informacji (ABI), a osoby zajmujące się przetwarzaniem danych nie miały do tego wymaganych upoważnień - czytamy w jednym z raportów GIODO.

Obowiązki firm

Tymczasem obowiązek wyznaczenia takich administratorów dotyczy zarówno administratorów przetwarzających dane osobowe w systemach informatycznych, jak i przetwarzających dane osobowe w kartotekach, skorowidzach, księgach, wykazy i innych zbiorach ewidencyjnych. Mówi o tym wyraźnie art. 2 ust. 2 ustawy o ochronie danych osobowych.

- Obowiązkiem administratora bezpieczeństwa informacji jest nadzorowanie przestrzegania zasad ochrony danych osobowych, tj. tego, aby zastosował on środki techniczne i organizacyjne zapewniające właściwą ochronę przetwarzanych danych osobowych - mówi Małgorzata Kałużyńska-Jasak.

Tłumaczy, że ochrona ta musi być odpowiednia do zagrożeń oraz kategorii przetwarzanych danych, a także taka, aby dane te nie były udostępniane osobom nieupoważnionym, zabrane przez osobę nieuprawnioną lub przetwarzane z naruszeniem ustawy. Ponadto muszą być one też zabezpieczone przed zmianą, utratą, uszkodzeniem lub zniszczeniem.