czwartek, września 27, 2007

Komentarz do komentarza

W jutrzejszej Rzeczpospolitej będzie można znaleźć kilka ogólnych zdań mojego skromnego autorstwa komentujących aktualne problemy, przed jakimi prawo ochrony danych osobowych. Ponieważ gazeta ma swoje ograniczenia i nie było możliwości szerszego odniesienia się do zadanych pytań postaram się poniżej rozwinąć nieco temat.

Największym problemem dla naszych klientów jest brak wyczerpujących regulacji dotyczących przetwarzania danych w systemach informatycznych. Przepisy ustawy jak i rozporządzeń wydanych na jej podstawie wchodziły w życie w momencie, kiedy rynek informatyczny nie był tak rozwinięty jak obecnie.

Dotyczy to w szczególności międzynarodowych sieci korporacyjnych, danych przetwarzanych przez wiele podmiotów w ramach jednego procesu biznesowego (np. działalność agencyjna) lub działalności podmiotów oferujących profesjonalne zarządzanie danymi (hosting, kolokacja w data – center). Również większość systemów informatycznych w przedsiębiorstwach przetwarzających dane osobowe nie spełnia wymogów rozporządzenia a koszty ich dostosowania do rozporządzenia przewyższają możliwości finansowe MŚP.

Wydaje się również, że niektóre z obowiązków wskazanych rozporządzeniu dotyczącym bezpieczeństwa systemów informatycznych są na obecną chwilę i niewiele wnoszą do realnego zabezpieczenia danych w obecnym stanie techniki .

Dopracowania wymaga instytucja powierzenia przetwarzania danych osobowych. Dotyczy to zarówno przepisów rozporządzenia jak i ustawy. Jeśli chodzi o ustawę to niejasny jest zapis dotyczący ‘zakresu’ powierzanych danych, w szczególności jeśli mamy do czynienia z hostingiem bazy danych. Czy umowa powierzenia profesjonalnej firmie hostingowej rodzi obowiązek wskazywania wszystkich kategorii danych gromadzonych w bazie? Literalnie - tak, praktycznie byłby to absurd.

Kolejna rozbieżność (pomiędzy doktryną a GIODO) to stanowiska dotyczące niedochowania formy pisemnej przy zawarciu umowy o powierzenie danych. Doktryna (słusznie skromym zdaniem) twierdzi, że forma pisemna jest zastrzeżona pod rygorem dowodowym, GIODO upatruje tutaj sankcji nieważności. O skutkach wadliwego powierzenia lepiej nie pisać. Rozwianie tych wątpliwości jest pożądane.

Trzeci przykład związany już z rozporządzeniem – do jakiego stopnia podmiot przetwarzający dane osobowe musi prowadzić dokumentację właściwą dla administratora danych. Firmy informatyczne, które żyją z powierzania im przetwarzanych danych zachodzą w głowę w jaki sposób wyznaczać upoważnienia dla przetwarzających dane jeśli dana osoba ma pod opieką np. 100 serwerów, gdzie cały czas dochodzi do zmiany zbiorów danych , etc.

Reasumując - globalizacja, nowe techniki przetwarzania danych, elektroniczne zawieranie umów, korporacyjne systemy IT, to obszary w których przedsiębiorcy oczekują pomocy, wyjaśnień lub jasnych przepisów. Czytając przepisy trudno pozbyć sie wrażenia , że w kwestii IT ustawa jest mocno przestarzała i nie odpowiada warunkom nowoczesnego obrotu.

Na marginesie - dziś na OUT - LAW ukazał się artykuł, który dopiero teraz zauważyłem. Angielscy prawnicy skarżą się w nim na angielskiego GIODO domagając się jasnych wskazówek dotyczących przetwarzania danych w sieciach IT i internecie. Cytat "This confusion is no surprise if they try to do the right thing and take the advice of the Information Commissioner’s Office (ICO). The office is striking increasingly confident, even bullish, notes on personal privacy, surveillance societies and our informational rights. Yet it cannot even produce coherent guidance about what companies are supposed to do. "

Dziwna to zbieżność....


czwartek, września 13, 2007

Google a własność danych

Notuje bardzo ciekawy link do artykułu o Google w kontekście własności danych zgromadzonych w aplikacjach sieciowych Googla.

poniedziałek, września 10, 2007

Ochrona danych osobowych w agencji pośrednictwa pracy

Na jednym ze szkoleń zadano pytanie : czy agencja pośrednictwa pracy musi spełniać wszystkie wymagania stawiane przez Ustawę o ochronie danych osobowych? Odpowiedź brzmi oczywiście „tak”, jednak warto przyjrzeć się przepisom prawnym dotyczącym tej kwestii.

Właściciele każdej agencji pośrednictwa pracy na pewno wiedzą, że do ich działalności przede wszystkim zastosowanie mają zapisy ustawy z dnia 20 kwietnia 2004 r. o promocji zatrudnienia i instytucjach rynku pracy. Art. 18a ust 3 powyższej ustawy stanowi dosyć lakonicznie, że „Przetwarzanie danych przez agencję zatrudnienia odbywa się zgodnie z przepisami o ochronie danych osobowych.”

Ten niepozorny przepis rodzi konieczność dostosowania agencji pośrednictwa pracy do wszystkich wymogów, które stawia ustawa o ochronie danych osobowych przed administratorem danych osobowych. Lektura i wdrożenie zasad wynikających z ustawy jest więc obowiązkowe. Warto o tym pamiętać, gdyż szereg obowiązków obwarowanych jest sankcjami karnymi (np. zabezpieczenie danych przed nieuprawnionym dostępem) a niedługo zapewne ustawa przyzna Generalnemu Inspektorowi Ochrony Danych Osobowych prawo nakładania kar finansowych do 100 000 EUR za rażące wypadki naruszenia przepisów ustawy.

poniedziałek, września 03, 2007

Nowe regulacje hazardu w Wielkiej Brytanii

O zmianach w angielskim prawie hazardowym donosi OUT-LAW. W przeciwieństwie do zamiarów polskiego ustawodawcy, ustawodawca brytyjski dopuścił hazard internetowy. W ogóle cała ustawa wygląda sensownie ... no cóż, widać praktyczni brytyjczycy chcą uczynić z tej gałęzi rozrywki interes legalny, korzystnie wpływający na budżet Korony. Polacy wolą dać zaś zarobić Koronie...

Ustawa o ochronie danych osobowych - zapowiedź nowelizacji

W Rzeczpospolitej pojawił się ciekawy artykuł na temat ochrony danych osobowych. Chodzi o projekt nowelizacji przepisów związanych między innymi z odpowiedzialnością karną za nieprzestrzeganie Ustawy o ochronie danych osobowych. W projekcie przewiduje się również wprowadzenie kary grzywny, nawet do 100 000 Euro, która może zostać nałożona na podmioty, które nie przestrzegają przepisów ustawy.

Przypomnijmy, że obecnie Ustawa penalizuje (kara pozbawienia wolności do lat 2 lub grzywny) bezpodstawne przetwarzanie danych osobowych albo ich przetwarzanie niezgodne z celem, dla jakiego zostały zebrane, udostępnienie danych osobowych osobom trzecim lub nieprawidłowe zabezpieczenie danych osobowych. Zagrożone karą jest także nie zgłoszenie zbioru danych osobowych do GIODO oraz niedochowanie obowiązków informacyjnych.

Wprowadzenie wyższych sankcji finansowych ma spowodować większy stopień dbałości przedsiębiorców o ochronę danych osobowych.

Oczywiście spodziewać się także należy większej aktywności Generalnego Inspektora Danych Osobowych w zakresie kontrolowania przedsiębiorców, którzy przetwarzają dane szczególnie intensywnie lub gdy są to dane wrażliwe (np. firmy ubezpieczeniowe, telekomunikacyjne, medyczne, banki).

Szkoda, że wraz z informacją o projektowanych zmianach w zakresie karania przedsiębiorców za nie przestrzeganie ustawy nie idą informacje o publikowaniu kolejnych wytycznych, materiałów informacyjnych rozwiewających wątpliwości co do zakresu obowiązków ciążących na przedsiębiorstwach. Szczególne kroki powinny być na przykład podjęte w celu wyjaśnienia zagadnień związanych z przetwarzaniem danych w nowoczesny sposób, tzn. przy wykorzystaniu systemów informatycznych udostępnianych przez zewnętrznych service providerów, systemów rezerwacyjnych, usług hostingu, świadczenia usług przez wiele podmiotów łącznie, etc. Lakoniczne przepisy ustawy i rozporządzenia wydanego na jej podstawie mogą powodować, że władza w rękach urzędników stać się niebezpieczna dla wielu przedsiębiorców, gdyż nada GIODO niezwykle mocne narzędzie karania przy niejasnych przepisach

Licencja Creative Commons
Ten utwór jest dostępny na licencji Creative Commons Uznanie autorstwa-Na tych samych warunkach 3.0 Polska.