Sprawozdanie z I Forum Administratorów Danych Osobowych
24 października 2006 r. odbyło się I Forum Administratorów Danych Osobowych. Organizator, Centrum Promocji Informatyki, zainicjował tym samym cykl spotkań skupiających teoretyków i praktyków problematyki ochrony danych osobowych w kontekście ich przetwarzania na gruncie systemów IT; spotkań, które w przyszłości będą mogły posłużyć za platformę do żywotnej dyskusji na temat istotnych aspektów administracji danymi w ujęciu prawnym, technicznym i dokumentacyjnym.
W obszar tematyczny Forum uczestników wprowadził wykład prof. dr Ewy Kuleszy, która podsumowała osiem lat obowiązywania w Polsce ustawy o ochronie danych osobowych. Ustawy, która w 1997 roku, pomimo istniejących od lat w Europie Zachodniej aktów o podobnym charakterze, w Polsce była całkowitą nowością. Stała się tym samym istotnym narzędziem do „ucywilizowania wykorzystywania danych osobowych", do zakorzenienia w świadomości Polaków podstaw prawnych administrowania danymi, do uregulowania nieporozumień generowanych przez niejasne i nieprecyzyjne przepisy. Dzisiaj, po ośmiu latach, zrozumienie dla założeń ustawy jest już zdecydowanie odczuwalne. Wciąż jednak brakuje pewnego rodzaju odpowiedzialności w postępowaniu urzędów i spółek – nadal zapomina się o rejestracji zbiorów danych w GIODO, nadal nie ma odruchu niszczenia dokumentów zawierających omawiane informacje. Powody? Słaba prewencja, brak wysokich kar pieniężnych, niska kultura prawna polskiego społeczeństwa. Ostatnia dekada to dla propagowania ochrony danych osobowych krok milowy. Prof. Kulesza zaapelowała jednak, byśmy nie zapominali, jak wiele zostało jeszcze do zrobienia.
Kolejne wystąpienie należało do Igora Margasińskiego z Politechniki Warszawskiej. Poruszając kwestię przetwarzania danych w systemach informatycznych, omówione zostały określone wymogi prawne, środki bezpieczeństwa z punktu widzenia użytkowników i pracowników, wspomagające systemy IT bazy danych, komunikacja z innymi aplikacjami oraz zagadnienia polityki bezpieczeństwa i instrukcji zarządzania w ramach tworzenia konkretnych dokumentacji.
Następnie głos zabrał dr Andrzej Kaczmarek z Departamentu Informatyki GIODO, który przedstawił założenia oraz funkcjonowanie platformy e-GIODO. Platformy, która na celu miała nie tylko ułatwić administrację danymi, ale również spełnić wymagania przewidywane przez projekt ustawy o podpisie elektronicznym. Platforma przyniosła wiele ułatwień, m.in. skrócenie procesu rejestracji zbiorów, dbałość o prawidłowe wypełnianie wniosków, gwarancję otrzymania i odczytania wniosku przez odpowiednie komórki.
Problemy ochrony danych osobowych w praktycznej ocenie ADO i ABI stały się przedmiotem wykładu z elementami dyskusji poprowadzonej przez Witolda Rygla, który dużo uwagi poświęcił pozycji administratora bezpieczeństwa informacji w polskiej rzeczywistości. Podkreślił problem zdefiniowania jego zadań w obecnej infrastrukturze firm i urzędów, w których ABI zbyt często spełnia dwie wykluczające się role – wykonawcy i nadzorcy. Silnie zaakcentowano również konieczność ujawniania tylko ogólnych założeń polityki bezpieczeństwa danych osobowych oraz potrzebę zapisu w ustawie wymagającego od pracodawców stosownego szkolenia personelu.
Grzegorz Sibiga z WSPiZ im. L. Koźmińskiego w Warszawie oraz mec. Xawery Konarski z Kancelarii Prawnej Traple, Konarski, Podrecki przedstawili kwestię ochrony i bezpieczeństwa danych osobowych od strony prawnej ze szczególnym naciskiem na problem przetwarzania danych oraz status prawny funkcjom ABI. Aspekt prawny zagadnienia poszerzyła prezentacja Mirosława Błaszczaka z CISA, który omówił audyt zgodności systemu ochrony danych osobowych z obowiązującymi przepisami. Kolejnym punktem programu był wykład Artura Piechockiego, przedstawiciela Naukowej i Akademickiej Sieci Komputerowej. Problem udostępniania danych osobowych w Internecie pokazany został na przykładzie abonentów nazw domen. Poruszona została kwestia przyczyn tego zjawiska i jego konsekwencji prawnych, stanowisko Unii Europejskiej i organizacji międzynarodowych (OECD i ICANN), porównane zostały również dwa modele udostępniania nazw domen: polski i europejski. Forum zakończył wykład i dyskusja panelowa poprowadzona przez Annę Kobylańską z CMS Cameron McKenna na temat prawnych zobowiązań stosowania zabezpieczeń danych, ze wskazaniem zarówno na środki organizacyjne i techniczne, a także odpowiedzialności prawnej administratora danych osobowych.
Już dzisiaj prawdziwą przyjemnością zapraszamy na II Forum Administratorów Danych Osobowych 13 czerwca 2007 roku. Wszelkie uwagi i sugestie dotyczące cyklu prosimy kierować na adres cpi@cpi.com.pl.