Czas biegnie coraz szybciej, mniej mogę pisać długich i pogłębionych analiz prawnych, chciałbym jednak zwrócić uwagę na praktykę ochrony danych osobowych w naszym kraju w chwili obecnej. Wydaje mi się, że sprawy idą w złym kierunku, powody ?
- Działanie ustawy w instytucjach publicznych : coraz więcej urzędów odmawia udostępnienia danych zasłaniając się ustawą o ochronie danych osobowych. w niektórych sprawach rodzi to absurdalne konsekwencje. Podobnie w przypadku podmiotów quasi-publicznych np. NASK, odmowa udostępnienia danych uniemożliwia dochodzenie roszczeń.
- Zagrożenie dla tajemnic zawodowych: brakuje uregulowań w zakresie udostępniania informacji podmiotom niezobowiązanym do zachowania tajemnicy zawodowej, Jedyną ustawą jest prawo bankowe, co natomiast z adwokatami, lekarzami... czy oni nie korzystają z hostingu lub systemów on-line ?
- Publiczno prawne – Państwo zbiera o nas mnóstwo danych. Obowiązek archiwizacji billingów, dane medyczne gromadzone przez ZUS, listy z banków w dzień po założeniu działalności gospodarczej – to wszystko mówi mi , że ilość danych w tych systemach trzeba ograniczać a nie zwiększać.
- Działanie ustawy w przedsiębiorstwach: przedsiębiorcy nie realizują podstawowych obowiązków, ponieważ ustawa skupia się nie na tych elementach , które są istotne. Po co komukolwiek rysowanie struktury zbiorów danych osobowych, posiadanie Instrukcji zarządzania systemem informatycznym przetwarzającym dane osobowe, opisywanie przepływów danych pomiędzy system Płatnik a Kadry... ? Przerost formy nad treścią powoduje jedynie zniechęcenie do wprowadzania zasad ochrony danych („i tak do czegoś się przyczepią, więc liczę na szczęście i wolę do rozporządzenia nie zaglądać”)
- Instytucjonalne
o Kontrola GIODO nad przestrzeganiem ustawy jest iluzoryczna. Dowodem na to jest sprawa naszej- klasy, która została skontrolowana w momencie osiągnięcia zawrotnego poziomu liczby użytkowników
o GIODO potrafi analizować wniosek o zarejestrowanie zbioru przez 1,5 roku. Danych wrażliwych, których jeśli się nie zarejestruje nie można przetwarzać.
- Brak sankcji. Moim zdaniem wprowadzanie sankcji w postaci kar grzywny jest chybione. Jedynym skutecznym środkiem byłoby stworzenie poszkodowanym łatwej ścieżki dochodzenia roszczeń cywilnoprawnych powstałych wskutek wycieku danych lub zryczałtoawnego odszkodowania (podobnie jak w prawie autorskim) za udostępnienie danych (np. cena pakietu danych x 10). Jeśli ‘szary człowiek’ otrzymuje spam od firmy telekomunikacyjnej na T , której nazwa kończy się na P, jakie ma szanse w tej chwili aby uzyskać zadośćuczynienie? Raczej żadne, gdyż ścieżka poinformowania urzędu, wytoczenia procesu cywilnego jak tak długa, że chyba nikt jeszcze nią nie poszedł.