Outsourcing danych medycznych

Przy okazji lektury artykułu w Rzeczpospolitej dotyczącego sporu o przetwarzanie danych medycznych pacjenta zwróciłem uwagę na wypowiedź dr Sibigi o następującej treści : "Ustawa o prawach pacjenta i rzeczniku praw pacjenta w żaden sposób nie reguluje powierzenia innym podmiotom usług związanych z dostępem do danych medycznych, np. serwisującym sprzęt z utrwalonymi danymi czy zarządzającym systemami informatycznymi z danymi osobowymi. A ponieważ chodzi o dane objęte tajemnicą zawodową, nie można powoływać się na ogólne zasady powierzenia przetwarzania danych określone w ustawie o ochronie danych osobowych." 

Wypowiedź nie dotyczy wprawdzie bezpośrednio sprawy poruszanej w artykule, niemniej bardzo cieszy mnie, że ktoś publicznie zwrócił uwagę powyższą okoliczność. Wspomniana ustawa o prawach i o Rzeczniku Praw Pacjenta faktycznie w żaden sposób nie odnosi się do kwestii dopuszczalności outsourcingu w działalności zakładów opieki zdrowotnej - nie ma w niej żadnych zapisów poświęconych outsourcingowi, takich jak np. w ustawie o działalności ubezpieczeniowej czy też prawie bankowym, które regulują tą formę działalności. Mamy więc do czynienia z pytaniem czy ustawodawca umyślnie zdecydował, że outsourcing jest zakazany i nie poświęcił mu choćby jednego zdania w przepisach czy też brak regulacji w tym względzie jest po prostu przeoczeniem, luką ustawową, wobec czego należy szukać rozwiązań problemu na gruncie zasad ogólnych wyznaczanych przez ustawę o ochronie danych osobowych.

Jednocześnie ustawa o ochronie danych osobowych wyznacza bardzo wąskie przesłanki do przetwarzania tzw."danych wrażliwych", ograniczając krąg podmiotów uprawnionych do przetwarzania takich danych do "osób trudniących się zawodowo leczeniem lub świadczeniem innych usług medycznych, zarządzania udzielaniem usług medycznych". Przy takim brzmieniu ustawy ciężko znaleźć jednoznaczne przyzwolenie do powierzenia przetwarzania danych medycznych na rzecz podmiotów trzecich.  

Niektórzy komentatorzy upatrują przyzwolenia dla outsourcingu w niedawnej zmianie rozporządzenia dotyczącego przechowywania dokumentacji medycznej, niektórzy "podciągają" outsourcing pod pojęcie 'zarządzania udzielaniem usług medycznych", niemniej sytuacja prawna pozostaje takiej działalności pozostaje w mojej opinii niejasna i przydałoby się podjąć rzeczową dyskusję na temat jej uregulowania, jeżeli myślimy poważnie o unowocześnieniu przetwarzania dokumentacji medycznej.
 

Uważam, że tak samo jak w przypadku ustaw dla bankowców i ubezpieczycieli outsourcing powinien być uregulowany instytucjonalnie, w postaci odpowiednich przepisów rangi ustawowej.Gdyby w międzyczasie pojawiły się jakieś wskazówki ze strony  GIODO jak poruszać się na tym polu minowym, byłoby niezmiernie miło.

Opinia Grupy Roboczej 8/2010 o prawie właściwym (ochrona danych osobowych)

Opinia Grupy Roboczej 8-2010 o prawie właściwym. -

Rozporządzenie Ministra Zdrowia w sprawie rodzajów i zakresu dokumentacji medycznej oraz sposobu jej przetwarzania 2010-2011

Dobrym ministerialnym zwyczajem jest wprowadzenie rozporządzeń na ostatnią chwilę. Ministerstwo Zdrowia podążając wytrwale tą utartą ścieżką ujawniło na swojej stronie w dniu 28 grudnia 2010 r. Rozporządzenie Ministra Zdrowia w sprawie rodzajów i zakresu dokumentacji medycznej oraz sposobu jej przetwarzania datowane na dzień 21 grudnia 2010 a wchodzące w życie w dniu 1 stycznia 2011 r. 

Szybkie spojrzenie wewnątrz przekonuje mnie, że  sektor teleinformatyczny będzie zawiedziony. Zniesiono co prawda nieszczęsne wymogi opatrywania dokumentów znacznikami czasu oraz bezpiecznym podpisem elektronicznym, pozostawiono jednak przepis o 'przechowywaniu dokumentacji medycznej"  w paragrafie 72, pomimo tego, iż jednoznaczne przesądzenie o dopuszczalności outsourcingu wydawało mi się konieczne. Zamiast tego mamy niepewność prawną i poszukiwanie mniej lub bardziej uzasadnionych interpretacji. 

Rozporządzenie Ministra Zdrowia w sprawie rodzaj�w i zakresu dokumentacji medycznej oraz sposobu jej przetwarzania

Zapowiedź uporządkowania ustawy o ochronie danych osobowych

Nowy GIODO, Pan dr Wiewiórowski zapowiada uporządkowanie ustawy o ochronie danych osobowych pod kątem przetwarzania danych osobowych w sieci. Będzie to prawdziwe wyzwanie, zważywszy na fakt, że sama ilość zagadnień wymagających nowego spojrzenia od strony ustawowej jest bardzo duża, a dodatkowo należy wspomnieć, że przez lata nie działo się w tej materii zupełnie nic (pomijam ostnią nowelizację, która Internetu nie dotyczy). 

Wśród moich faworytów do zmian jest rozporządzenie o wymogach technicznych jakim powinny spełniać systemy IT przetwarzające dane osobowe. Rozporządzenie uważam za stawiające zbyt wiele obowiązków, które niczemu nie służą a jedynie powodują zwiększenie 'kosztów produkcji'. Często zdarza się także, iż wymogi rozporządzenia są niemożliwe do zrealizowania :)

Mam nadzieję, że będą prowadzone konsultacje publiczne, w trakcie których będzie można wyrazić swoją opinię.

Kupfranki.pl - wyjaśnienia

Poprzedni post (usunięty w tej chwili) poświęcony był ujawnieniu danych abonenta domeny kupfranka.pl oraz kupfranki.pl. Ponieważ abonent, Pan Rafał Łyczek, który stoi za tym serwisem był uprzejmy do mnie zadzwonić i odpowiedzieć na moje pytania oraz poprosić o usunięcie danych, zgodziłem się na to bez większego problemu. Nie jest moją intencją powodować natłok na linii telefonicznej kogoś, kto sobie tego nie życzy.

Z naszej dosyć długiej rozmowy dowiedziałem się dlaczego Pan Rafał nie chce ujawniać swoich danych. Prowadzi działalność gospodarczą nie związaną zupełnie z jegioinicjatywą, jak również pewien zakres jego danych jako przedsiębiorcy równocześnie stanowi jego dane prywatne. OK, rozumiem.

Pan Rafał wyjaśnił również dlaczego korzysta z platformy Mixxt w celu zorganizowania społeczności. Jednym z powodów była ścisła ochrona danych osobowych. W informacjach prawnych serwisu możemy przeczytać, że administratorem danych osobowych jest ta właśnie firma. W techniczny sposób wygląda to tak, że 'administrator' sajta nie ma możliwości zapoznania się z danymi osobowymi podawanymi przez użytkowników a jedynie ma dostęp do ich nicków.

Czy w rzeczywistości jednak MIXXT ma status adminstartora danych ? Jest to ciekawe zagadnienie, gdyż dane są przesyłane do tej firmy (czyli są przez nią przetwarzane) ale z drugiej strony firma ta nie udostępnia ich właścicielowi sajta (tak przynajmniej wynika z uzyskanych infrormacji). Wypada przyznać, że w takim stanie faktycznym, MIXXT jest administratorem danych.

Co jednak z ustawą o świadczeniu usług drogą elektroniczną ? Moim zdaniem operator serwisu, Pan Rafał, jest takim świadczeniodawcą, w związku z tym dotyczy go art 5 ustawy nakazujący podać wszelkie dane osobowe. Nie uzyskaliśmy zgody w tym zakresie ale mam nadzieję, że jednak Pan Rafał przekona się do mojej interpretacji przepisów. Przecież kilka tysięcy osób powierzyło mu już swoje dane a w przyszłości może być ich wielokrotnie więcej. Warto podać swoje dane, aby rozwiać wątplwiości

Życzę powodzenia kupfranki.pl, ale muszę przyznać, że jestem sceptyczny - zarówno co do wykonalności przedsięwzięcia jak i jego celu. Być może wynika to z faktu, że jestem życiowym pesymistą :-) Mam nadzieję, że będzie inaczej.

wpadka PKO

Wyciekło kilka tysięcy CV. Giodo zapowiedział kontrolę u administratora danych (Pekao SA) oraz firmie marketingowej, która akcję przygotowała. Rzecznik banku zagroził postępowaniem karnym wszystkim osobom, które oglądały CV bezprawnie umieszczone w sieci przez bank i jego kooperanta. Więcej stanu faktycznego, linków u niezawodnego VAGLI.

Jakie jest moje zdanie ?

Jeśli udostępnienie danych nie było spowodowane atakiem hakerskim (a takie pojawiły się pogłoski), to administrator danych (bank) powinien ponieść surowe konsekwencje, włącznie z karnymi. Jest to tak poważna wpadka, że jakieś sankcje muszą zostać nałożone, w przeciwnym razie ochrona danych będzie fikcją. W żadnym wypadku rzecznik banku nie powienien nawet wspominać o odpowiedzialności osób zapoznających się z CV, to bank jest największym winowajcą i osoby odpowiedzialne za zabezpieczenie danych powinny zadbać o skuteczne ich zabezpieczenia.

Druga rzecz - urzędniczka GIODO wspomniała o wymogu formy pisemnej dla umowy o powierzenie danych osobowych, choć jest to pogląd wątpliwy w nauce prawa. Utrawalanie stanowiska o konieczności zawierania tego rodzaju umów na piśmie powoduje , że w 90% przypadków w branży internetowego marketingu/e-commerce będziemy mieli bezprawne przetwarzanie danych i narażenie się na odpowiedzialność karną.

Trzeci i ostatni komentarz z mojej strony dotyczy konieczności wprowadzenia cywilnoprawnych roszczeń i sposobu ich dochodzenia w postaci pozwu zbiorowego przez poszkodowanych z tytułu masowego naruszenia bezpieczeństwa danych. Wydaje mi się, że te kilka tysięcy osób powinno mieć możliwość wspólnego dochodzenia roszczeń od banku. Nie podoba mi się model istniejący oraz proponowany, w którym idzie nowelizacja ustawy o ochronie danych osobowych . W noweli proponuje się nałożenie sankcji administracyjno prawnych na podmiot uchylający się od implementacji zaleceń pokontrolnych GIODO. Nikomu to nic nie da w przypadku takich wpadek (tak samo jak nie zmniejszyła się liczba jeżdżących po pijanemu po zaostrzeniu kar) natomiast umożliwi wzbogacanie skarbu państwa w drodze kolejnych kar i grzywien.

Ochrona danych osobowych

W dzisiejszej Rzeczpospolitej można otrzymać taką oto informację "ewidencja przedsiębiorców jest jawna, a dane przedsiębiorcy nie podlegają takiej silnej ochronie jak dane osób fizycznych działalności nie prowadzących." Wow. Pełna zgoda, ale to od dawna wiadomo. Jakiej natomiast ochronie podlegają dane osób kontaktowych w przedsiębiorstwach, dane pracowników lub przedstawicieli danego przedsiębiorstwa ? Na tą mieliznę okręt GIODO nie wpłynie - woli ominąć to zagadnienie bezpiecznym kursem.

O ochronie danych osobowych uwag krytycznych kilka

Czas biegnie coraz szybciej, mniej mogę pisać długich i pogłębionych analiz prawnych, chciałbym jednak zwrócić uwagę na praktykę ochrony danych osobowych w naszym kraju w chwili obecnej. Wydaje mi się, że sprawy idą w złym kierunku, powody ?

• Działanie ustawy w instytucjach publicznych : coraz więcej urzędów odmawia udostępnienia danych zasłaniając się ustawą o ochronie danych osobowych. w niektórych sprawach rodzi to absurdalne konsekwencje. Podobnie w przypadku podmiotów quasi-publicznych np. NASK, odmowa udostępnienia danych uniemożliwia dochodzenie roszczeń.

• Zagrożenie dla tajemnic zawodowych: brakuje uregulowań w zakresie udostępniania informacji podmiotom niezobowiązanym do zachowania tajemnicy zawodowej, Jedyną ustawą jest prawo bankowe, co natomiast z adwokatami, lekarzami... czy oni nie korzystają z hostingu lub systemów on-line ?

• Publiczno prawne – Państwo zbiera o nas mnóstwo danych. Obowiązek archiwizacji billingów, dane medyczne gromadzone przez ZUS, listy z banków w dzień po założeniu działalności gospodarczej – to wszystko mówi mi , że ilość danych w tych systemach trzeba ograniczać a nie zwiększać.

• Działanie ustawy w przedsiębiorstwach: przedsiębiorcy nie realizują podstawowych obowiązków, ponieważ ustawa skupia się nie na tych elementach , które są istotne. Po co komukolwiek rysowanie struktury zbiorów danych osobowych, posiadanie Instrukcji zarządzania systemem informatycznym przetwarzającym dane osobowe, opisywanie przepływów danych pomiędzy system Płatnik a Kadry... ? Przerost formy nad treścią powoduje jedynie zniechęcenie do wprowadzania zasad ochrony danych („i tak do czegoś się przyczepią, więc liczę na szczęście i wolę do rozporządzenia nie zaglądać”)

• Instytucjonalne

o Kontrola GIODO nad przestrzeganiem ustawy jest iluzoryczna. Dowodem na to jest sprawa naszej- klasy, która została skontrolowana w momencie osiągnięcia zawrotnego poziomu liczby użytkowników

o GIODO potrafi analizować wniosek o zarejestrowanie zbioru przez 1,5 roku. Danych wrażliwych, których jeśli się nie zarejestruje nie można przetwarzać.

• Brak sankcji. Moim zdaniem wprowadzanie sankcji w postaci kar grzywny jest chybione. Jedynym skutecznym środkiem byłoby stworzenie poszkodowanym łatwej ścieżki dochodzenia roszczeń cywilnoprawnych powstałych wskutek wycieku danych lub zryczałtoawnego odszkodowania (podobnie jak w prawie autorskim) za udostępnienie danych (np. cena pakietu danych x 10). Jeśli ‘szary człowiek’ otrzymuje spam od firmy telekomunikacyjnej na T , której nazwa kończy się na P, jakie ma szanse w tej chwili aby uzyskać zadośćuczynienie? Raczej żadne, gdyż ścieżka poinformowania urzędu, wytoczenia procesu cywilnego jak tak długa, że chyba nikt jeszcze nią nie poszedł.
  

GIODO o Naszej - Klasie w Parlamencie

Cytat z wypowiedzi Giodo , pana M. Serzyckiego umieszczony na portalu Onet.pl

"Odpowiadając na pytania posłów o przyczyny kontroli portalu, Serzycki zaznaczył, iż nasza-klasa.pl sama złożyła wniosek o zarejestrowanie zbiorów danych osobowych. - Biorąc pod uwagę, że w momencie składania wniosku było podanych sześć milionów uczestników portalu, a obecnie jest o milion więcej, podjęliśmy decyzję o kontroli - wyjaśnił."

Są dwa wytłumaczenia dla takiej wypowiedzi. Albo dziennikarz jest niedouczony albo coś źle usłyszał albo to Pan Serzycki nie ma elementarnej wiedzy o ustawie, do której przestrzegania został powołany.

Każdy kto przetwarza zbiór danych osobowych zobowiązany jest zgłosić go najpóźniej w momencie powstania. W przypadku danych wrażliwych (a jest w naszej klasie takich trochę) przetwarzanie jest możliwe dopiero po rejestracji zbioru.

W kontekście tych prostych przepisów niech ktoś spróbuje wyjaśnić mi jakie znaczenie ma to, że że w chwili złożenia wniosku było 6 milionów użytkowników a jest 7 milionów ?! I tak jest o te 6 milionów za późno. A gdyby liczba się zmniejszyła, to kontroli by nie było ? Co za bzdury. Mam nadzieje , że stenogram potwierdzi moje przekonanie o niekompetencji dziennikarza.

GIODO w Naszej Klasie

Media rozpisują się o kontroli GIODO w portalu Nasza-klasa.pl. Niezależnie od tego czy kontrola jest wynikiem skargi posła Gosiewskiego, czy też informacji od internautów, wiele osób zwraca uwagę na to, że portal nie zabezpiecza danych osobowych użytkowników w należyty sposób. Dlaczego dane nie są należycie zabezpieczone tłumaczy kilku użytkowników portalu Vagla i nie sposób się z tym nie zgodzić.

Podkreślić należy jednak, iż tego rodzaju portale zawsze będą budziły zastrzeżenia i podobny problem miał (ma?) niedawno serwis społecznościowy Facebook. Pamiętajmy, że od nas samych zależy ile danych udostępniamy i jakiego rodzaju. Dlaczego twórcy portalu mają ponosić odpowiedzialność za nadmierną chęć podzielenia się prywatnymi danymi przez użytkowników ? Przypadki niewłaściwych zachowań na pewno będą się zdarzać jak i na pewno się zdarzały wcześniej w innych portalach. Są ku temu środki techniczne i prawne aby naruszycieli złapać i osądzić. 99 % z nich nie używa zaawansowanych anonimzerów. Samemu można również bardzo dobrze ograniczyć możliwość wyszukania własnej osoby, wystarczy odrobinę pomyśleć...

Są jednak i pozytywy. Z uwagi na fakt, iż w portalu zarejestrowanych jest ponad 6 użytkowników, z których połowa usłyszy , że istnieje coś takiego jak ochrona danych osobowych,
wzrośnie świadomość prawna społeczeństwa jako ogółu, być może ludzie zaczną zwracać uwagę na to komu udostępniają dane, gdzie są one przetwarzane i w jakim celu.

Na aprobatę zasługuje również podejście GIODO do tematu kontroli. Podkreślenie, iż kontrola nie będzie miała charakteru represyjnego jest w moim odczuciu bardzo ważne i wzmacnia poczucie zaufania do organów państwowych. Przy okazji rozmyślań o zaufaniu do GIODO dobra rada - zgłoszenie zbioru do GIODO przesyłać proszę pocztą za potwierdzeniem odbioru, bo można po półtora roku od wysłania zgłoszenia nie mieć zarejestrowanego zbioru. A jak się zagubi 'na kupce'?

Zbieranie danych medycznych

Dla prawników zainteresowanych ochrona danych osobowych w systemach IT pytanie. Co sądzicie o tym przykładzie zbierania danych medycznych w kontekście uodo. Jestem ciekawy odpowiedzi, ponieważ ja, jak to mówi młodzież, dałbym na to bana. Nie dlatego, że jestem przeciwny idei i sposobie wykonania - sam pomysł jak i stosowane zabezpieczenia wydają się bardzo fajne, natomiast... no właśnie. Czekam na opinie.

Komentarz do komentarza

W jutrzejszej Rzeczpospolitej będzie można znaleźć kilka ogólnych zdań mojego skromnego autorstwa komentujących aktualne problemy, przed jakimi prawo ochrony danych osobowych. Ponieważ gazeta ma swoje ograniczenia i nie było możliwości szerszego odniesienia się do zadanych pytań postaram się poniżej rozwinąć nieco temat.

Największym problemem dla naszych klientów jest brak wyczerpujących regulacji dotyczących przetwarzania danych w systemach informatycznych. Przepisy ustawy jak i rozporządzeń wydanych na jej podstawie wchodziły w życie w momencie, kiedy rynek informatyczny nie był tak rozwinięty jak obecnie.

Dotyczy to w szczególności międzynarodowych sieci korporacyjnych, danych przetwarzanych przez wiele podmiotów w ramach jednego procesu biznesowego (np. działalność agencyjna) lub działalności podmiotów oferujących profesjonalne zarządzanie danymi (hosting, kolokacja w data – center). Również większość systemów informatycznych w przedsiębiorstwach przetwarzających dane osobowe nie spełnia wymogów rozporządzenia a koszty ich dostosowania do rozporządzenia przewyższają możliwości finansowe MŚP.

Wydaje się również, że niektóre z obowiązków wskazanych rozporządzeniu dotyczącym bezpieczeństwa systemów informatycznych są na obecną chwilę i niewiele wnoszą do realnego zabezpieczenia danych w obecnym stanie techniki .

Dopracowania wymaga instytucja powierzenia przetwarzania danych osobowych. Dotyczy to zarówno przepisów rozporządzenia jak i ustawy. Jeśli chodzi o ustawę to niejasny jest zapis dotyczący ‘zakresu’ powierzanych danych, w szczególności jeśli mamy do czynienia z hostingiem bazy danych. Czy umowa powierzenia profesjonalnej firmie hostingowej rodzi obowiązek wskazywania wszystkich kategorii danych gromadzonych w bazie? Literalnie - tak, praktycznie byłby to absurd.

Kolejna rozbieżność (pomiędzy doktryną a GIODO) to stanowiska dotyczące niedochowania formy pisemnej przy zawarciu umowy o powierzenie danych. Doktryna (słusznie skromym zdaniem) twierdzi, że forma pisemna jest zastrzeżona pod rygorem dowodowym, GIODO upatruje tutaj sankcji nieważności. O skutkach wadliwego powierzenia lepiej nie pisać. Rozwianie tych wątpliwości jest pożądane.

Trzeci przykład związany już z rozporządzeniem – do jakiego stopnia podmiot przetwarzający dane osobowe musi prowadzić dokumentację właściwą dla administratora danych. Firmy informatyczne, które żyją z powierzania im przetwarzanych danych zachodzą w głowę w jaki sposób wyznaczać upoważnienia dla przetwarzających dane jeśli dana osoba ma pod opieką np. 100 serwerów, gdzie cały czas dochodzi do zmiany zbiorów danych , etc.

Reasumując - globalizacja, nowe techniki przetwarzania danych, elektroniczne zawieranie umów, korporacyjne systemy IT, to obszary w których przedsiębiorcy oczekują pomocy, wyjaśnień lub jasnych przepisów. Czytając przepisy trudno pozbyć sie wrażenia , że w kwestii IT ustawa jest mocno przestarzała i nie odpowiada warunkom nowoczesnego obrotu.

Na marginesie - dziś na OUT - LAW ukazał się artykuł, który dopiero teraz zauważyłem. Angielscy prawnicy skarżą się w nim na angielskiego GIODO domagając się jasnych wskazówek dotyczących przetwarzania danych w sieciach IT i internecie. Cytat "This confusion is no surprise if they try to do the right thing and take the advice of the Information Commissioner’s Office (ICO). The office is striking increasingly confident, even bullish, notes on personal privacy, surveillance societies and our informational rights. Yet it cannot even produce coherent guidance about what companies are supposed to do. "

Dziwna to zbieżność....

Ochrona danych osobowych w agencji pośrednictwa pracy

Na jednym ze szkoleń zadano pytanie : czy agencja pośrednictwa pracy musi spełniać wszystkie wymagania stawiane przez Ustawę o ochronie danych osobowych? Odpowiedź brzmi oczywiście „tak”, jednak warto przyjrzeć się przepisom prawnym dotyczącym tej kwestii.

Właściciele każdej agencji pośrednictwa pracy na pewno wiedzą, że do ich działalności przede wszystkim zastosowanie mają zapisy ustawy z dnia 20 kwietnia 2004 r. o promocji zatrudnienia i instytucjach rynku pracy. Art. 18a ust 3 powyższej ustawy stanowi dosyć lakonicznie, że „Przetwarzanie danych przez agencję zatrudnienia odbywa się zgodnie z przepisami o ochronie danych osobowych.”

Ten niepozorny przepis rodzi konieczność dostosowania agencji pośrednictwa pracy do wszystkich wymogów, które stawia ustawa o ochronie danych osobowych przed administratorem danych osobowych. Lektura i wdrożenie zasad wynikających z ustawy jest więc obowiązkowe. Warto o tym pamiętać, gdyż szereg obowiązków obwarowanych jest sankcjami karnymi (np. zabezpieczenie danych przed nieuprawnionym dostępem) a niedługo zapewne ustawa przyzna Generalnemu Inspektorowi Ochrony Danych Osobowych prawo nakładania kar finansowych do 100 000 EUR za rażące wypadki naruszenia przepisów ustawy.

Ustawa o ochronie danych osobowych - zapowiedź nowelizacji

W Rzeczpospolitej pojawił się ciekawy artykuł na temat ochrony danych osobowych. Chodzi o projekt nowelizacji przepisów związanych między innymi z odpowiedzialnością karną za nieprzestrzeganie Ustawy o ochronie danych osobowych. W projekcie przewiduje się również wprowadzenie kary grzywny, nawet do 100 000 Euro, która może zostać nałożona na podmioty, które nie przestrzegają przepisów ustawy.

Przypomnijmy, że obecnie Ustawa penalizuje (kara pozbawienia wolności do lat 2 lub grzywny) bezpodstawne przetwarzanie danych osobowych albo ich przetwarzanie niezgodne z celem, dla jakiego zostały zebrane, udostępnienie danych osobowych osobom trzecim lub nieprawidłowe zabezpieczenie danych osobowych. Zagrożone karą jest także nie zgłoszenie zbioru danych osobowych do GIODO oraz niedochowanie obowiązków informacyjnych.

Wprowadzenie wyższych sankcji finansowych ma spowodować większy stopień dbałości przedsiębiorców o ochronę danych osobowych.

Oczywiście spodziewać się także należy większej aktywności Generalnego Inspektora Danych Osobowych w zakresie kontrolowania przedsiębiorców, którzy przetwarzają dane szczególnie intensywnie lub gdy są to dane wrażliwe (np. firmy ubezpieczeniowe, telekomunikacyjne, medyczne, banki).

Szkoda, że wraz z informacją o projektowanych zmianach w zakresie karania przedsiębiorców za nie przestrzeganie ustawy nie idą informacje o publikowaniu kolejnych wytycznych, materiałów informacyjnych rozwiewających wątpliwości co do zakresu obowiązków ciążących na przedsiębiorstwach. Szczególne kroki powinny być na przykład podjęte w celu wyjaśnienia zagadnień związanych z przetwarzaniem danych w nowoczesny sposób, tzn. przy wykorzystaniu systemów informatycznych udostępnianych przez zewnętrznych service providerów, systemów rezerwacyjnych, usług hostingu, świadczenia usług przez wiele podmiotów łącznie, etc. Lakoniczne przepisy ustawy i rozporządzenia wydanego na jej podstawie mogą powodować, że władza w rękach urzędników stać się niebezpieczna dla wielu przedsiębiorców, gdyż nada GIODO niezwykle mocne narzędzie karania przy niejasnych przepisach

Polityka prywatności Google będzie przedmiotem badania EU

Jak donosi BBC przedstawiciele Grupy roboczej ds. ochrony osób fizycznych w zakresie przetwarzania danych osobowych EU wysłali do spółki Google list z żądaniem wyjaśnień co do polityki przetwarzania danych osobowych przez Google. Istnieje przekonanie , że polityka ta nie jest zgodna z europejskimi dyrektywami których przedmiot stanowi ochrona danych osobowych. Szczególnym zainteresowaniem objęte zostało zagadnienie przechowywania przez Google wyników wyszukiwania pochodzących z danego IP przez dwa lata ! Przedstawiciele grupy roboczej twierdzą, że jest to zbyt długi okres i wydaje się, że mają pełną rację.

Z moich obserwacji wynika, że międzynarodowy charakter działalności takich gigantów jak Google czy You Tube rodzi niesamowicie dużo problemów prawnych, począwszy od skuteczności regulaminów umieszczonych na ich stronach, przez wątpliwości dotyczące "komercyjnego" ich wykorzystania, po zagadnienia naruszeń i egzekucji praw w obrocie międzynarodowym. Jeśli dołożyć do tego archaiczne i niesharmonizowane przepisy ...

Tak dla rozrywki pytanie - czy Google podlega polskiej ustawie o ochronie danych osobowych?
Znamy odpowiedź na to py

Dane osobowe na śmietniku

Jak poinformowała Gazeta Wyborcza na jednym z wrocławskich śmietników znaleziono pokaźną ilość dokumentów takich jak zaświadczenia o zatrudnieniu, druki z rozliczeniami zarobków. Co więcej wśród dokumentów znalazły się też kserokopie rozliczeń podatkowych! Policja stara się odnaleźć sprawcę przestępstwa.

W takich przypadkach bowiem stosowany będzie art.51 ustawy o ochronie danych osobowych, który przewiduje sankcję w postaci kary grzywny, ograniczenia wolności albo pozbawienia wolności do lat 2. Jeżeli czyn popełniono nieumyślnie, ustawodawca ograniczył zagrożenie ustawowe do jednego roku pozbawienia wolności.

Trzeba pamiętać, że dane tego rodzaju dane jak zeznania podatkowe moga stanowić łakomy kąsek dla przestępców. Na szczęście w Polsce przestepcy nie mają szczęścia (dotychczas przynajmniej) znajdować ich na śmietnikach.