Niewiele podmiotów, które gromadzą dane osobowe ma wiedzę o sposobach ich zabezpieczenia lub szyfrowania. Generalny Inspektorat Ochrony Danych Osobowych z niepokojem czeka na wprowadzenie elektronicznego systemu informacji medycznej.
 – Podmioty w zakresie danych osobowych muszą wypełniać podstawowe obowiązki. To znaczy, że np. piekarz, który będzie prowadzić zbiór klientów lojalnościowych, musi wiedzieć, że to jest zbiór danych osobowych, że musi go zabezpieczyć, że nie można korzystać z internetu nie mając zabezpieczenia. Już nie mówię o szyfrowaniu czy innych formach zabezpieczenia. Ludzi stać na internet, na komputer, a na zabezpieczeniu już oszczędzają – ocenia w rozmowie z agencją informacyjną Newseria Biznes Andrzej Lewiński, zastępca Generalnego Inspektora Ochrony Danych Osobowych.
Lewiński podkreśla, że rozwój technologii pogłębia problemy związane z ochroną danych osobowych. Rosną możliwości ich przetwarzania, ale przedsiębiorcy nie nadążają z zabezpieczeniami. Powoduje to duże wycieki, takie jak niedawne wypłynięcie danych 400 tys. klientów jednej z firm telekomunikacyjnych. Ujawnione zostały imiona, nazwiska, adresy, numery dowodów i PESEL, a także adresy e-mailowe.
Zgodnie z prawem w takiej sytuacji operatorzy nie tylko muszą zgłosić wyciek do GIODO w ciągu trzech dni, ale również powiadomić osoby, których dane wypłynęły. To może prowadzić do procesu odszkodowawczego. Lewiński podkreśla, że w takiej sytuacji niezbędne jest ustalenie, czy doszło do celowego ujawnienia danych np. przez pracownika firmy, czy też do włamania hakerskiego.
GIODO z niepokojem patrzy też na proces wprowadzania elektronicznej informacji medycznej. System zacznie działać od sierpnia przyszłego roku.
 – Chciałbym zapytać, który lekarz prowadzący dzisiaj praktykę prywatną szyfruje dane w swoim laptopie czy pendrivie. Jeżeli takie dane wypłyną, a są one szczególnie wrażliwe, będą potężne konsekwencje dla posiadającego takie dane. Więc prowadzimy bardzo intensywne próby szkolenia, ale my nie przeszkolimy jako GIODO 80 tysięcy lekarzy prowadzących działalność, muszą to robić izby lekarskie, ich ustawowy samorząd – zaznacza Lewiński.
Podobnie jest w przypadku rzemieślników. Większość zrzeszonych w Związku Rzemiosła Polskiego osób, z których większość zarządza danymi osobowymi swoich klientów. Lewiński ocenia jednak, że większość z nich nie wie nawet o tym, że są takimi administratorami. Nie mają także świadomości obowiązków i grożących im konsekwencji.
 – Trzeba zwiększać świadomość wśród polskich przedsiębiorców. Świadomość o odpowiedzialności i o obowiązkach z tytułu przetwarzania danych osobowych jest mocno niewystarczająca. Po pierwsze, każdy musi wiedzieć, że jest administratorem danych osobowych – mówi Lewiński. – A druga podstawowa rzecz to zabezpieczenia. Nie do przyjęcia jest sytuacja, gdy urzędnik gubi np. pendrive'a służbowego, z wrażliwymi danymi, które nie zostały zaszyfrowane.
Dodaje, że prawo stoi po stronie ochrony danych osobowych. Za niezapewnienie ich bezpieczeństwa grozi według Ustawy o ochronie danych osobowych do roku więzienia.
Ochronę danych osobowych może wzmocnić Unia Europejska. Nad nowym rozporządzeniem w tym zakresie toczy się dyskusja w Parlamencie Europejskim. O przyjęcie prawa jeszcze w tej kadencji, która kończy się w maju przyszłego roku, apelują także polskie władze. Pod koniec października za rozporządzeniem zagłosowali europosłowie Komisji Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych. Rozporządzenie przewiduje m.in. wyższe kary za złe zarządzanie danymi osobowymi oraz wprowadza tzw. "prawo do usunięcia".