Nowe obowiązki administratorów

Zgodnie z nowym rozporządzeniem z kwietnia 2004 roku, administratorzy danych osobowych muszą do 1 listopada dostosować służące do ich przetwarzania systemy informatyczne do nowych wymogów bezpieczeństwa.

O kwestiach wynikających z obowiązującej od 1 maja nowelizacji ustawy o ochronie danych osobowych dyskutowali wczoraj uczestnicy seminarium zorganizowanego przez warszawską kancelarię prawniczą Wierzbowski i Wspólnicy.

Chodzi m.in. o środki bezpieczeństwa określone w załączniku do rozporządzenia (.PDF) z kwietnia 2004 roku w sprawie dokumentacji przetwarzania danych osobowych. Przewidziano je – w zależności od tego, czy przetwarzane są tzw. dane wrażliwe (rasa, narodowość, wyznanie itp.) czy nie, oraz od tego, czy system podłączony jest do sieci publicznej – na trzech poziomach: podstawowym, podwyższonym i wysokim. „GIODO ma prawo kontrolować, jak te środki bezpieczeństwa są stosowane” – przypomniał Arwid Mednis z Kancelarii Wierzbowski i Wspólnicy.

Na seminarium mówiono o nowych uregulowaniach dotyczących sytuacji, w której administrator danych powierza ich przetwarzanie wyspecjalizowanej firmie. Na firmy zajmujące się świadczeniem takich usług w ramach tzw. outsourcingu nałożono w znowelizowanej ustawie obowiązek podjęcia środków zabezpieczających dane. Odpowiadają teraz za to tak samo jak administrator. Nie ma już teraz wątpliwości, że GIODO może kontrolować takie firmy. „W umowie o powierzenie trzeba jednak wyraźnie zapisać, jakie czynności wykonuje firma w imieniu administratora, przewidzieć kary umowne za nienależyte jej wykonywanie” – radził mec. Mednis. „Warto zastrzec, by firma, której powierzono te usługi, nie przekazywała dalej komuś tego zadania, ponieważ to nie zwolni jej z odpowiedzialności.”

Joanna Noga-Bogomilska mówiła natomiast, na co zwrócić uwagę, kupując bazę danych, np. od firmy marketingowej. „W takiej transakcji większe ryzyko naruszenia przepisów o ochronie danych ponosi nabywca” – twierdziła. „Powinien więc postarać się o oświadczenie od zbywcy, że ma on prawo przetwarzać dane, które przekazuje, a także udostępniać je innym. Zbywca zaś powinien uzyskać oświadczenie nabywcy, iż ten będzie przetwarzał dane zgodnie z celem, w jakim je zebrano.

Źródło informacji: Rzeczpospolita