Jak już od dawna wiadomo świadomość przedsiębiorców w zakresie przestrzegania przepisów ustawy o ochronie danych osobowych jest bardzo mała. Zgodnie z art. 36 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (UODO) na każdym Administratorze danych spoczywa obowiązek zastosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych w stopniu odpowiednim do zagrożeń oraz kategorii danych objętych ochroną. W szczególności spełnienie tego obowiązku powinno polegać na zabezpieczeniu danych przed ich udostępnieniem osobom nieupoważnionym oraz zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Kolejnym obowiązkiem wynikającymi z ustawy jest m.in. obowiązek rejestracji zbioru danych osobowych w bazie Generalnego Inspektora Ochrony Danych Osobowych.
Jak wskazuje Gazeta Prawna aż 35 proc. właścicieli e-sklepów błędnie uważa, że nie musi rejestrować zbioru danych osobowych w GIODO. Opinię ta wynika z najnowszego badania przeprowadzonego wśród 8 tys. internetowych placówek przez serwis SafeBuy.pl i Sklepy24.pl. Z doświadczenia wiemy, że znacznie więcej podmiotów prowadzących działalność w formie e-sklepów nie przestrzega stosownych przepisów ustawy o ochronie danych osobowych nie tylko w zakresie rejestracji posiadanych zbiorów danych osobowych.
Problem ten jest dość istotny z tego względu, że wykonując jakiekolwiek czynności w Internecie (np. zakupy w e-sklepie, dopisania się do bazy newsletter’a) podczas dokonania, których administrator potrzebuje naszych danych osobowych, nie mamy pewności czy podane Administratorowi platformy dane są bezpieczne, przetwarzane zgodnie z celem ich gromadzenia i czy przypadkiem osoba trzecia nie ma do nich bezpośredniego dostępu.
Przestrzeganie zasad bezpieczeństwa danych osobowych jest bardziej istotnym zagadnieniem aniżeli sam fakt dokonania zgłoszenia i rejestracji zbioru danych osobowych. Zgłoszenie ma tak naprawdę charakter czynności deklaratoryjnej, a nie konstytutywnej. Administrator zgłaszając posiadany przez siebie zbiór danych osobowych deklaruje istnienie określonych uwarunkowań dotyczących zabezpieczeń, celu, zakresu przetwarzanych danych i in. Oczywiście jeżeli poświadczony stan faktyczny jest niezgodny z rzeczywistością Administrator danych naraża się na wynikającą z tego faktu odpowiedzialność. Zasadniczo należy się skupić na problemie nieprzestrzegania zasad ochrony danych osobowych m.in poprzez przetwarzania ich niezgodnie z prawem, gromadzenia ich bez zgody osoby której dotyczą czy niestosowanie odpowiednich procedur i środków zabezpieczeń. Zastanówmy się jaka część podmiotów np. prowadzących e-sklepy ma wdrożoną dokumentację i procesy dotyczące ochrony danych osobowych zgodnie z ustawą. Dojdziemy do wniosku, że rażąca większość nie stosuje przepisów prawa w odpowiednim zakresie, a nawet część z tych podmiotów nie zdaje sobie sprawy o obowiązku spełniania jakichkolwiek kryteriów ochrony posiadanych danych.
W treści wcześniejszych wpisów poruszaliśmy problem nowelizacji ustawy o ochronie danych osobowych i jej podstawowych założeń. Chcielibyśmy zaznaczyć, że sam fakt powołania Administratora Bezpieczeństwa Informacji (ABI) nie rozwiązuje problemu przestrzegania zasad ochrony danych osobowych. Co więcej taki Administrator będzie przejmował obowiązki Generalnego Inspektora Ochrony Danych Osobowych w zakresie prowadzenia rejestru zbiorów danych osobowych posiadanych przez Administratora Danych. Rejestr ten w naszej ocenie powinien być dostępny publicznie tak, aby każdy mógł mieć do niego stosowny dostęp. W niektórych przypadkach (szczególnie jeśli chodzi o zbiory zawierające szeroki zakres danych dotyczący dużej ilości osób) można dojść do wniosku, że rejestr zbiorów danych prowadzony przez ABI powinien być dostępny na platformie podobnej do platformy www.egiodo.giodo.gov.pl. Na marginesie zaznaczamy, że taki Administrator Bezpieczeństwa Informacji musi być zarejestrowany w rejestrze prowadzonym przez GIODO.
Więcej: Gazeta Prawna