Rozmowa z Januszem Malinowskim, właścicielem firmy Bajan, zajmującą się ochroną danych osobowych i podpisem elektronicznym.
Co to są dane osobowe?
Janusz Malinowski: – Dane osobowe to informacje mogące pośrednio lub bezpośrednio zidentyfikować daną osobę. Samo imię i nazwisko nie wystarczy. Ale gdy dodamy PESEL, nazwę firmy lub inne dane, mamy już do czynienia z danymi osobowymi. Specyficznym rodzajem danych osobowych są dane wrażliwe. Dane takie zawierają dodatkowo informację o stanie zdrowia, nałogach, wyznaniu itd. Te dane podlegają szczególnej ochronie prawnej.
Jakie przepisy regulują problematykę danych osobowych?
– Głównym aktem prawnym jest Ustawa o ochronie danych osobowych z 1997 roku. W 2014 roku dokonano poważnej modyfikacji ustawy, pojawiły się też liczne akty wykonawcze, a 14 kwietnia 2016 r. Parlament Europejski zatwierdził ogólne rozporządzenie o ochronie danych osobowych. Teraz mamy dwa lata na wdrożenie tego rozporządzenia.
Czy i kto może kontrolować firmy w zakresie ochrony danych osobowych?
– Głównie GIODO, czyli Generalny Inspektor Ochrony Danych Osobowych, może wejść do firmy od godz. 6.00 do 22.00. GIODO podpisał też umowę z Państwową Inspekcją Pracy.
Jakie warunki powinny spełniać firmy, aby być w zgodzie z Ustawą o ochronie danych osobowych?
– Ustawa o ochronie danych osobowych nakazuje wszystkim firmom przetwarzającym dane osobowe (zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie) posiadanie dokumentacji, czyli Polityki Bezpieczeństwa Informacji oraz Instrukcji Zarządzania Systemem Informatycznym. Nowością, która pojawiła się w 2015 roku jest ABI – Administrator Bezpieczeństwa Informacji. ABI może być, ale nie musi. Jeśli zdecydujemy się na ABI, to musi mieć on odpowiednie kompetencje do wykonywania czynności i należy go zgłosić do GIODO. ABI podlega bezpośrednio szefowi firmy. W przypadku, kiedy w firmie jest powołany ABI, firma nie musi zgłaszać zbiorów danych osobowych do GIODO (poza danymi wrażliwymi). Jeśli nie powołamy ABI, to zgłaszamy wszystkie zbiory danych do GIODO (część zbiorów jest wyłączona zgodnie z ustawą i innymi przepisami), a szef firmy wykonuje czynności ABI. W nowych przygotowywanych przepisach Inspektor Danych Osobowych (obecny ABI) będzie obowiązkowy w niektórych przypadkach – mówi się tu o liczbie pracowników oraz o ilości przetwarzanych danych.
Firma BAJAN zajmuje się audytem, opracowaniem dokumentacji oraz szkoleniem w zakresie ochrony danych osobowych. Jakie macie spostrzeżenia związane z tym zakresem prac?
– Możemy wydzielić 3 rodzaje firm: te, które przestrzegają przepisów ustawy; te, którym wydaje się, że przestrzegają i te, które nie mają nic. W tym drugim przypadku firma ma jakieś dokumenty, ale są niezgodne z aktualnym stanem prawnym. Najczęściej skopiowane z internetu i nieprzystające do specyfiki i organizacji firmy. W firmie takiej jest ABI, nawet zgłoszony do GIODO, ale jest to osoba niekompetentna i nierealizująca zadań określonych przepisami. W tym ostatnim przypadku firma nie posiada nic, a powinna od 1997 roku.
Czy firmy mogą być ukarane za nieprzestrzeganie przepisów o ochronie danych osobowych?
– Tak. Za nieprzestrzeganie ustawy grożą sankcje karne – nawet do 3 lat pozbawienia wolności. W nowych zapisach mają pojawić się dotkliwe sankcje finansowe. Ale główną karą dla firmy jest utrata zaufania w środowisku. W mediach dość często pojawiają się informacje o znalezionych dokumentach z danymi osobowymi – bo ktoś wyniósł do spalenia, zgubił lub wykradli mu z komputera.
Jakie błędy popełniają firmy w zakresie ochrony danych osobowych?
– Najczęstsze błędy w respektowaniu zapisów ustawy to: brak dokumentacji, brak należytego zabezpieczenia danych, nadmierne zbieranie danych, udostępnianie danych innym podmiotom, przesyłanie danych osobowych pocztą elektroniczną prywatną bez szyfrowania, udostępnianie nagrań z monitoringu oraz brak zabezpieczeń teleinformatycznych.
Dziękuję za rozmowę
Przydatne strony: www.giodo.gov.pl oraz www.bajan.com.pl
