Jak pokazało badanie TNS OBOP, aż 20% Polaków ma całkowitą pewność, że instytucje przetwarzające ich dane osobowe nie gwarantują ich bezpieczeństwa. Według pracowników mających dostęp do danych osobowych największym zagrożeniem tych danych są ich współpracownicy (49%), co pokazuje jak bardzo potrzebne są szkolenia pracowników i procedury ich kontroli. Badanie to oceniło jednocześnie całkiem przyzwoicie świadomość istnienia GIODO (Generalnego Inspektora Ochrony Danych Osobowych), gdyż ponad 60% badanych wiedziała, że jest taki urząd i czym się zajmuje. Z drugiej strony badanie małych firm pokazało, że aż 24% z nich nie posiada niszczarki. Podobnie jak 22% pracowników, którzy uważają, że ich dane osobowe nie są w wystarczający sposób zabezpieczone przez pracodawcę.

Prawo a świadomość firm i instytucji. Co na to konstytucja?

Ustawa o ochronie danych osobowych z dnia 29 sierpnia 1997r. jest tylko kilka miesięcy młodsza od Konstytucji RP, a jednak niewiele osób zdaje sobie sprawę, że to właśnie z powodu Art. 47 (ochrona prawna życia prywatnego) i Art. 51 (prawo do prywatności) konstytucji mamy dziś ODO. Ustawa o ODO weszła w życie 30 kwietnia 1998 r. czyli prawie 15 lat temu, a jednak wciąż mamy problem z dostosowaniem się do niej.

Ustawa o ODO oraz jej rozporządzenie wykonawcze wymagają od podmiotów przetwarzających dane osobowe, jedynie lub aż 2 dokumentów: polityki bezpieczeństwa i instrukcji zarządzania systemem informatycznym. Jednak prawidłowe przygotowanie tych dokumentów i ich faktyczne wdrożenie (np.: zabezpieczenie sieci informatycznej) to dla większości podmiotów prawdziwe utrapienie. Dodajmy do tego jeszcze zarejestrowanie zbiorów w GIODO oraz szkolenia pracowników i mamy już poważny kłopot. Problematyczne może być już samo stworzenie dokumentacji ODO, gdyż co do zasady są to dokumenty poufne, więc trudno będzie nam skorzystać z cudzych rozwiązań.

– Przedsiębiorcy mają kilka wyjść z tej biurokratycznej „pułapki” – mówi Konrad Gałaj-Emiliańczyk, ekspert ds. ochrony danych osobowych z firmy ODO 24. – Po pierwsze mogą skorzystać z outsourcingu funkcji ABI, czyli przekazać sprawy związane z ochroną danych osobowych firmie zewnętrznej. Drugą opcją jest zatrudnienie doświadczonego specjalisty (prawnika i/lub informatyka), który będzie organizował ODO w jego firmie. Trzecia opcja jest relatywnie najtańsza, polega na przeszkoleniu samego przedsiębiorcy, który zorganizuje ODO w swojej firmie. W przypadku jednoosobowych działalności gospodarczych, np.: sklepów internetowych, polecam szkolenie, ze względu na stosunkowo niewielkie zróżnicowanie danych osobowych. Natomiast podmiotom zatrudniającym pracowników rekomenduję outsourcing funkcji ABI, który pozwala wyeliminować pojawiające się problemy z wdrożeniem dokumentacji i przeszkoleniem pracowników – podkreśla Gałaj-Emiliańczyk.