Dwa lata temu Stanisław O., właściciel busów wożących pasażerów na trasie Lublin – Warszawa, uruchomił stronę internetową umożliwiającą rezerwację biletu w sieci. Pasażer przed dokonaniem rezerwacji musiał założyć konto i zaakceptować regulamin przewozu osób i bagażu. Zakładając je, podawał swoje imię i nazwisko, PESEL, adres poczty elektronicznej i numer telefonu komórkowego oraz określał hasło. Hasło i numer PESEL były wykorzystywane podczas logowania się do konta.
[srodtytul]Niezbędne zabezpieczenia[/srodtytul]
Generalny inspektor ochrony danych osobowych uznał, że przedsiębiorca, tworząc taki system rezerwacji biletów, nie dopełnił obowiązków wynikających z [link=http://www.rp.pl/aktyprawne/akty/akt.spr;jsessionid=330D77F116D49BF2B3433238BD866662?id=166335]ustawy o ochronie danych osobowych[/link]. Jako administrator danych zgodnie z art. 36 ustawy powinien zastosować odpowiednie środki techniczne i organizacyjne, by zapewnić ochronę przetwarzanych danych osobowych. Ma je zwłaszcza zabezpieczyć przed udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz przed zmianą, utratą, uszkodzeniem lub zniszczeniem.
Z [link=http://www.rp.pl/aktyprawne/akty/akt.spr?id=173419]rozporządzenia ministra spraw wewnętrznych i administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych[/link] wynika, że gdy przynajmniej jedno urządzenie systemu informatycznego służącego do przetwarzania danych osobowych połączone jest z siecią publiczną, należy zastosować wysoki stopień zabezpieczeń, tzn. wprowadzić szyfrowanie danych przesyłanych w sieci publicznej.
Biegły z zakresu informatyki i techniki komputerowej stwierdził, że takich zabezpieczeń nie było. Prokuratura Rejonowa w Lublinie (wszczęła śledztwo po doniesieniu GIODO) uznała, że przedsiębiorca naruszył tym samym art. 52 ustawy o ochronie danych osobowych.
[srodtytul]Zabrakło zgłoszenia[/srodtytul]
Ponadto nie zgłosił do GIODO, że zbiera dane osób, które za pośrednictwem strony internetowej dokonały rezerwacji biletów. Stanowiło to naruszenie art. 53 ustawy. Nie dopełnił też obowiązku wynikającego z art. 54 ustawy. Nie poinformował pasażerów korzystających z jego strony o adresie swojej siedziby, pełnej nazwie firmy, celu zbierania danych, prawie dostępu do nich oraz ich poprawiania, a także o tym, że podawanie danych jest dobrowolne. Wszystkie zarzucone mu trzy czyny zagrożone są karą grzywny, ograniczenia wolności albo pozbawienia wolności do roku.
Stanisław O. nie przyznał się do zarzutów. Broni się, że serwer umieszczony jest w specjalistycznej firmie informatycznej. Ma wątpliwości, czy działalność, którą prowadzi, podlega obowiązkowi zgłoszenia GIODO, bo – jak tłumaczy – dane wykorzystywane były tylko do wystawiania faktury VAT, i to na zlecenie klienta. Proces rozpocznie się przed Sądem Rejonowym w Lublinie (sygn. IV K 850/10).
[ramka]Kary za niedopełnienie obowiązków
- Art. 52 ustawy o ochronie danych osobowych zawiera sankcję dla tego, kto administrując danymi, narusza choćby nieumyślnie obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem. Art. 53 przewiduje karę dla tego, kto będąc do tego zobowiązany, nie zgłasza zbioru danych do rejestracji. Art. 54 grozi karą temu, kto administrując zbiorem danych, nie dopełnia obowiązku poinformowania osoby, której dane dotyczą, o jej prawach.
- Administratorem danych jest ten, kto decyduje o celach i środkach ich przetwarzania, a administrującym – ten, kto zarządza zbiorem danych. Odpowiedzialność karna administrującego wchodzi w grę, gdy jego zachowanie wynika z powierzonych mu czynności przetwarzania danych ([b]wyrok Sądu Najwyższego, sygn. II KKN 438/00[/b]).[/ramka]
