W jutrzejszej Rzeczpospolitej będzie można znaleźć kilka ogólnych zdań mojego skromnego autorstwa komentujących aktualne problemy, przed jakimi prawo ochrony danych osobowych. Ponieważ gazeta ma swoje ograniczenia i nie było możliwości szerszego odniesienia się do zadanych pytań postaram się poniżej rozwinąć nieco temat.
Największym problemem dla naszych klientów jest brak wyczerpujących regulacji dotyczących przetwarzania danych w systemach informatycznych. Przepisy ustawy jak i rozporządzeń wydanych na jej podstawie wchodziły w życie w momencie, kiedy rynek informatyczny nie był tak rozwinięty jak obecnie.
Dotyczy to w szczególności międzynarodowych sieci korporacyjnych, danych przetwarzanych przez wiele podmiotów w ramach jednego procesu biznesowego (np. działalność agencyjna) lub działalności podmiotów oferujących profesjonalne zarządzanie danymi (hosting, kolokacja w data – center). Również większość systemów informatycznych w przedsiębiorstwach przetwarzających dane osobowe nie spełnia wymogów rozporządzenia a koszty ich dostosowania do rozporządzenia przewyższają możliwości finansowe MŚP.
Wydaje się również, że niektóre z obowiązków wskazanych rozporządzeniu dotyczącym bezpieczeństwa systemów informatycznych są na obecną chwilę i niewiele wnoszą do realnego zabezpieczenia danych w obecnym stanie techniki .
Dopracowania wymaga instytucja powierzenia przetwarzania danych osobowych. Dotyczy to zarówno przepisów rozporządzenia jak i ustawy. Jeśli chodzi o ustawę to niejasny jest zapis dotyczący ‘zakresu’ powierzanych danych, w szczególności jeśli mamy do czynienia z hostingiem bazy danych. Czy umowa powierzenia profesjonalnej firmie hostingowej rodzi obowiązek wskazywania wszystkich kategorii danych gromadzonych w bazie? Literalnie - tak, praktycznie byłby to absurd.
Kolejna rozbieżność (pomiędzy doktryną a GIODO) to stanowiska dotyczące niedochowania formy pisemnej przy zawarciu umowy o powierzenie danych. Doktryna (słusznie skromym zdaniem) twierdzi, że forma pisemna jest zastrzeżona pod rygorem dowodowym, GIODO upatruje tutaj sankcji nieważności. O skutkach wadliwego powierzenia lepiej nie pisać. Rozwianie tych wątpliwości jest pożądane.
Trzeci przykład związany już z rozporządzeniem – do jakiego stopnia podmiot przetwarzający dane osobowe musi prowadzić dokumentację właściwą dla administratora danych. Firmy informatyczne, które żyją z powierzania im przetwarzanych danych zachodzą w głowę w jaki sposób wyznaczać upoważnienia dla przetwarzających dane jeśli dana osoba ma pod opieką np. 100 serwerów, gdzie cały czas dochodzi do zmiany zbiorów danych , etc.
Reasumując - globalizacja, nowe techniki przetwarzania danych, elektroniczne zawieranie umów, korporacyjne systemy IT, to obszary w których przedsiębiorcy oczekują pomocy, wyjaśnień lub jasnych przepisów. Czytając przepisy trudno pozbyć sie wrażenia , że w kwestii IT ustawa jest mocno przestarzała i nie odpowiada warunkom nowoczesnego obrotu.
Na marginesie - dziś na OUT - LAW ukazał się artykuł, który dopiero teraz zauważyłem. Angielscy prawnicy skarżą się w nim na angielskiego GIODO domagając się jasnych wskazówek dotyczących przetwarzania danych w sieciach IT i internecie. Cytat "This confusion is no surprise if they try to do the right thing and take the advice of the Information Commissioner’s Office (ICO). The office is striking increasingly confident, even bullish, notes on personal privacy, surveillance societies and our informational rights. Yet it cannot even produce coherent guidance about what companies are supposed to do. "
Dziwna to zbieżność....
Największym problemem dla naszych klientów jest brak wyczerpujących regulacji dotyczących przetwarzania danych w systemach informatycznych. Przepisy ustawy jak i rozporządzeń wydanych na jej podstawie wchodziły w życie w momencie, kiedy rynek informatyczny nie był tak rozwinięty jak obecnie.
Dotyczy to w szczególności międzynarodowych sieci korporacyjnych, danych przetwarzanych przez wiele podmiotów w ramach jednego procesu biznesowego (np. działalność agencyjna) lub działalności podmiotów oferujących profesjonalne zarządzanie danymi (hosting, kolokacja w data – center). Również większość systemów informatycznych w przedsiębiorstwach przetwarzających dane osobowe nie spełnia wymogów rozporządzenia a koszty ich dostosowania do rozporządzenia przewyższają możliwości finansowe MŚP.
Wydaje się również, że niektóre z obowiązków wskazanych rozporządzeniu dotyczącym bezpieczeństwa systemów informatycznych są na obecną chwilę i niewiele wnoszą do realnego zabezpieczenia danych w obecnym stanie techniki .
Dopracowania wymaga instytucja powierzenia przetwarzania danych osobowych. Dotyczy to zarówno przepisów rozporządzenia jak i ustawy. Jeśli chodzi o ustawę to niejasny jest zapis dotyczący ‘zakresu’ powierzanych danych, w szczególności jeśli mamy do czynienia z hostingiem bazy danych. Czy umowa powierzenia profesjonalnej firmie hostingowej rodzi obowiązek wskazywania wszystkich kategorii danych gromadzonych w bazie? Literalnie - tak, praktycznie byłby to absurd.
Kolejna rozbieżność (pomiędzy doktryną a GIODO) to stanowiska dotyczące niedochowania formy pisemnej przy zawarciu umowy o powierzenie danych. Doktryna (słusznie skromym zdaniem) twierdzi, że forma pisemna jest zastrzeżona pod rygorem dowodowym, GIODO upatruje tutaj sankcji nieważności. O skutkach wadliwego powierzenia lepiej nie pisać. Rozwianie tych wątpliwości jest pożądane.
Trzeci przykład związany już z rozporządzeniem – do jakiego stopnia podmiot przetwarzający dane osobowe musi prowadzić dokumentację właściwą dla administratora danych. Firmy informatyczne, które żyją z powierzania im przetwarzanych danych zachodzą w głowę w jaki sposób wyznaczać upoważnienia dla przetwarzających dane jeśli dana osoba ma pod opieką np. 100 serwerów, gdzie cały czas dochodzi do zmiany zbiorów danych , etc.
Reasumując - globalizacja, nowe techniki przetwarzania danych, elektroniczne zawieranie umów, korporacyjne systemy IT, to obszary w których przedsiębiorcy oczekują pomocy, wyjaśnień lub jasnych przepisów. Czytając przepisy trudno pozbyć sie wrażenia , że w kwestii IT ustawa jest mocno przestarzała i nie odpowiada warunkom nowoczesnego obrotu.
Na marginesie - dziś na OUT - LAW ukazał się artykuł, który dopiero teraz zauważyłem. Angielscy prawnicy skarżą się w nim na angielskiego GIODO domagając się jasnych wskazówek dotyczących przetwarzania danych w sieciach IT i internecie. Cytat "This confusion is no surprise if they try to do the right thing and take the advice of the Information Commissioner’s Office (ICO). The office is striking increasingly confident, even bullish, notes on personal privacy, surveillance societies and our informational rights. Yet it cannot even produce coherent guidance about what companies are supposed to do. "
Dziwna to zbieżność....
