Nowe przepisy dotyczące ochrony danych osobowych i roli administratora bezpieczeństwa informacji, tzw. ABI, wprowadziła nowela ustawy o ułatwieniu wykonywania działalności gospodarczej z 7 listopada 2014 r. i rozporządzenia do niej. Choć instytucja ABI istniała w Polsce już wcześniej, to zmieniła się jej rola.

"Musicie powiedzieć swoim szefom, że jeżeli nie powoła (administratora bezpieczeństwa informacji - PAP), to sam tę funkcję pełni i sam ponosi pełną odpowiedzialność (za ochronę danych osobowych w firmie)" - mówił zastępca Generalnego Inspektora Ochrony Danych Osobowych Andrzej Lewiński podczas poniedziałkowego szkolenia dla przedsiębiorców z zakresu ochrony danych osobowych, zorganizowanego przez GIODO i Expo XXI.

Opisując zagrożenia związane z wypływem danych z instytucji, przypomniał incydent, który miał miejsce podczas szczytu przywódców G20 w Australii w listopadzie 2014 r. Pracownik urzędu imigracyjnego przez nieuwagę wysłał wówczas numery paszportów, szczegóły wizowe i inne dane osobowe wszystkich przywódców uczestniczących w spotkaniu, w tym prezydenta USA Baracka Obamy, przywódcy Rosji Władimira Putina, kanclerz Niemiec Angeli Merkel czy prezydenta Chin Xi Jinpinga do organizatorów mistrzostw Azji w piłce nożnej, jakie miały odbyć się w Australii.

Jak zauważył Lewiński, w takiej sytuacji "do kradzieży tożsamości jest tuż tuż", a sprawny haker, mając takie informacje, nie będzie miał trudności z ustaleniem numeru konta bankowego.

O skali problemu może świadczyć, że jak zaznaczył Lewiński, np. w USA w 2013 r. było 250 tys. udokumentowanych zgłoszeń kradzieży tożsamości.

"W Polsce jest nieco mniej. Średnio Polak dowiaduje się o tym po roku. (...) Kradzież tożsamości może dotyczyć was, wystarczy, że przez brak należytego zabezpieczenia, nieumiejętność albo celowe działanie dane wypłyną lub zostaną przejęte przez osoby nieuprawnione" - przestrzegał przedsiębiorców.

Gdyby taka sytuacja, jak w australijskim urzędzie imigracyjnym miała miejsce w Polsce, to w obecnym stanie prawnym za takie naruszenie bezpieczeństwa danych - jak mówił Lewiński - groziłaby odpowiedzialność karna. Jak jednak tłumaczył, w polskich warunkach egzekwowanie tej odpowiedzialności jest w dużej mierze iluzoryczne. Podał przykład znalezienia na śmietniku w Lublinie historii chorób ze szpitali, a "odpowiednie służby uważają, że to jest mała szkodliwość czynu".

"Ale czekają nas zmiany" - podkreślił zastępca GIODO. Powiedział, że kończą się dyskusje nad rozporządzeniem unijnym w tej sprawie, które wg. projektu, będzie przewidywało bardzo wysokie kary finansowe za naruszenie bezpieczeństwa danych osobowych.