Dalej łatwo jest ukraść nasze dane [rozmowa]
Rozmowa z dr Edytą Bielak-Jomaa, Generalnym Inspektorem Ochrony Danych Osobowych (GIODO).
- W tym roku obchodzimy w Polsce 20 – lecie prawa do ochrony danych osobowych. Co się zmieniło przez te lata?
- Ten rok będzie szczególny. Oprócz podsumowania dotychczasowych doświadczeń i dorobku, konieczne bowiem będzie prowadzenie coraz intensywniejszych przygotowań naszego kraju do rozpoczęcia stosowania ogólnego rozporządzenia o ochronie danych osobowych. Te rozwiązania prawne będą wspólne dla wszystkich krajów UE. Wprawdzie harmonizacja prawa nastąpi dopiero 25 maja 2018 r., ale pracy do wykonania jest jeszcze bardzo dużo. Tymczasem pamiętać trzeba, że nowe przepisy zwiększą obowiązki i odpowiedzialność administratorów danych za przetwarzanie danych osobowych. Tym zaś, którzy nie będą przestrzegali nowych zasad, grozić będą wysokie kary finansowe. Stąd wszystkie wydarzenia organizowane lub współorganizowane przez GIODO w związku z obchodami Dnia Ochrony Danych Osobowych nawiązywać będą do czekających nas zmian.
- Jak ważna dla nas jest ochrona danych osobowych?
- Nie każdy „Kowalski” zdaje sobie sprawę ze znaczenia i potrzeby ochrony danych osobowych. Czasem też nie potrafi zachować rozwagi przy ich udostępnianiu lub z pośpiechu bądź niefrasobliwości nie pyta, w jakim celu i na jakiej podstawie ktoś żąda od niego ich podania. Warto więc zaznaczyć, że przepisy regulujące przetwarzanie danych osobowych mają nas chronić przed bezprawnym wykorzystywaniem naszych danych. Zapobiegają na przykład otrzymywaniu niechcianych ofert o charakterze marketingowym, uniemożliwiają pozyskanie naszego adresu zamieszkania, numeru PESEL czy innych istotnych, dotyczących nas informacji, bez naszej wiedzy i spełnienia określonych warunków. Ponadto dają nam prawo do kontroli tego, kto i na jakiej podstawie prawnej przetwarza nasze dane. Z prawem tym skorelowane jest również nasze uprawnienie do żądania od podmiotu będącego tzw. administratorem danych, m.in. uaktualnienia, sprostowania lub usunięcia naszych danych osobowych, jeśli zostały zebrane z naruszeniem prawa, są nieaktualne, nieprawdziwe lub stały się zbędne.
- Jak przedsiębiorcy podchodzą do obowiązujących przepisów?
- Przedsiębiorcy coraz lepiej znają obowiązujące przepisy i w coraz większym stopniu ich przestrzegają. Być może wpływa na to również zbliżający się termin zmiany prawa. W mojej ocenie, świadomość, że można zapłacić bardzo wysoką karę za niewłaściwe przetwarzanie danych będzie mobilizowała do większej dbałości o nie i myślę, że to się dobrze sprawdzi. Niezależnie od tego, w czasach gdy dotyczące nas informacje są cenną walutą, zapewne coraz więcej firm rozumie, że ich utrata oznacza wymierne straty finansowe. Odbudowanie bazy danych może być bowiem bardzo kosztowne. Jeśli zaś w przedsiębiorstwie doszłoby do wycieku danych, to może on skutkować utratą zaufania ze strony klientów, a niekiedy nawet postępowaniami sądowymi. W grę może w chodzić także odpowiedzialność karna z ustawy o ochronie danych osobowych. Za naruszenie obowiązku zabezpieczenia danych osobowych oraz za udostępnianie danych osobowych osobom nieupoważnionym przewiduje ona odpowiedzialność karną w postaci kary grzywny, kary ograniczenia albo pozbawienia wolności.
- Na co należy zwracać uwagę?
- Świadomość Polaków jest wciąż zbyt mała. Nie mamy odpowiedniej wiedzy na temat potrzeby chronienia swoich danych, czasem wręcz nie rozumiemy ich wartości. Informacje takie np. jak imię, nazwisko, adres zamieszkania czy PESEL udostępniamy również z własnej inicjatywy na portalach społecznościowych. Umieszczając je w sieci, tracimy nad nimi kontrolę. Wiele z nich przekazujemy telefonicznie bez weryfikacji, czy dzwoniące osoby są tymi, za które się podają. Naszą czujność usypiają często bardzo wyrafinowane sposoby wyłudzania danych. Jednym z nich jest zamieszczanie w sieci ogłoszeń o rekrutacji, które służą jedynie do pozyskania danych osobowych ubiegających się o pracę osób, a nie ich zatrudnienia. Również obietnica wygrania wysokiej nagrody czy skorzystania z bezpłatnej usługi jest skutecznym sposobem wyłudzania naszych danych. Inną służącą do tego metodą jest tzw. phishing, czyli budowanie strony internetowej łudząco podobnej do strony internetowej instytucji, z usług której korzystamy. Taka forma podszywania się pod jakąś instytucję dotyczy często banków, czego konsekwencją jest nie tylko pozyskanie dokładnych informacji na nasz temat, ale też utrata kontroli nad zarządzaniem zgromadzonymi na naszym koncie pieniędzmi.