Bezpieczeństwo Informacji- komentarz Audytela na temat sytuacji na rynku (sierpień 2013)
Niedawno minął dziewiąty rok obowiązywania rozporządzenia wykonawczego do Ustawy o ochronie danych osobowych, dotyczącego systemów informatycznych. Nie wszystkie przepisy zawarte w tym rozporządzeniu obowiązywały od dnia wejścia w życie – półroczne vacatio legis miało pozwolić administratorom danych do dostosowania używanych systemów informatycznych do wymogów rozporządzenia. Na myśl od razu nasuwa się pytanie: czy i jak rozporządzenie to działa w praktyce?
Odpowiedź daje analiza Audytela, która objęła swoim zakresem kilkaset systemów informatycznych audytowanych w latach 2006-2013, w których przetwarzane są dane osobowe.
Wśród przebadanych systemów zaledwie 11% spełniało wymogi rozporządzenia, natomiast 43% systemów częściowo spełniało wymogi rozporządzenia. Sytuację pogarsza fakt, że stosuje się coraz więcej systemów, w których przetwarzane są dane osobowe. Pośpiech towarzyszący przygotowywaniu aplikacji, konkurencja na rynku – wszystko to powoduje, że nowo dostarczane aplikacje niejednokrotnie nie są zgodne z wymogami rozporządzenia.
Jakie mogą być konsekwencje przetwarzania danych w systemie, który nie spełnia (lub spełnia tylko w części) wymogi rozporządzenia? W najlepszym wypadku będziemy musieli dostosować aplikację do wymogów rozporządzenia. Może to być proces dosyć kłopotliwy i kosztowny, a co więcej niejednokrotnie niemożliwy do wykonania – np. ze względów technicznych. Jeżeli nie będziemy w stanie dostosować naszego systemu do wymogów rozporządzenia, GIODO nakaże nam zaprzestania przetwarzania w nim danych osobowych oraz będzie mógł nałożyć na nas karę grzywny – nawet do 200 000 zł dla przedsiębiorcy.
A konsumenci, których dane osobowe powinny być chronione? No cóż, pozostaje im mieć nadzieję, że firmy w których kupują towary i usługi korzystają z bezpiecznego oprogramowania, na co szanse nie są zbyt duże, albo – poprosić swojego dostawcę o wynik ostatniego audytu.