Anna Szymańska-Teliczek

OCHRONA DANYCH OSOBOWYCH

I INFORMACJI NIEJAWNYCH

Skrypt opracowany w ramach działalności

Instytutu Europejskiego

i

Studium Prawa Europejskiego

w Warszawie

ul. Prosta 2/14 lok. 204, 00-850 Warszawa

tel./fax. 22/833-38-90; 833-39-90

www.uniaeuropejska.net.pl

e-mail: info@spe.edu.pl

Copyright by

Instytut Europejski

Spis treści

WPROWADZENIE

3

Podstawa

prawna

–

regulacje

krajowe

3

Część

I.

OCHRONA

DANYCH

OSOBOWYCH

8

1. Podstawowe pojęcia

–

terminologia

ustawowa

8

2.

Organ

ochrony

danych

osobowych

17

3. Zasady przetwarzania danych osobowych, zabezpieczenie danych osobowych,

rejestracja

zbiorów

danych

osobowych

22

4. Odpowiedzialność karna

30

5. Ochrona danych osobowych z uwzględnieniem specyfiki przykładowo wskazanych

stanowisk:

31

a) Specjalista do spraw personalnych 33

b) Asystent zarządu 35

c) Menedżer administracji 36

Część

II.

OCHRONA

INFORMACJI

NIEJAWNYCH

37

1. Nowa ustawa o ochronie informacji niejawnych

37

2. Podstawowe pojęcia – terminologia ustawy z 2010 r.

39

4

WPROWADZENIE

Podstawa prawna – regulacje krajowe

Ochrona danych osobowych stanowi jedną z ważniejszych dziedzin z zakresu działalności

przedsiębiorstwa – czy to z punktu widzenia przedsiębiorcy jako pracodawcy, przedsiębiorcy

przetwarzającego dane kontrahentów czy też pracowników zajmujących się przetwarzaniem danych przy

rekrutacji i zatrudnianiu, administrowaniu wszelkimi dokumentami będącymi w obiegu firmy,

korespondencji, dokumentach zarządu itp.

W pierwszym rozdziale niniejszego opracowania znajdzie się przybliżenie istoty ochrony danych

osobowych oraz krótki komentarz do obowiązujących przepisów prawa. Dla wygody osób korzystających

z opracowania przyjęto układ i kolejność omawianych zagadnień tożsame z porządkiem regulacji

ustawowej.

W dalszych rozdziałach przedstawiona zostanie specyfika najistotniejszych stanowisk

w przedsiębiorstwie, które stykają się z przetwarzaniem danych osobowych i z tego względu powinny

dysponować szczególną znajomością zagadnienia ochrony tych danych.

W drugiej części opracowania omówiona zostanie obowiązująca ustawa o ochronie informacji

niejawnych.

Podstawowe akty prawne w zakresie krajowego porządku prawnego dotyczącego ochrony danych

osobowych oraz informacji niejawnych:

¾ Ustawa zasadnicza – Konstytucja Rzeczypospolitej Polskiej z dnia 2 kwietnia 1997 r. (Dz. U.

z 1997 r. Nr 78, poz. 483)

1

.

Konstytucja reguluje ochronę danych osobowych jako prawo każdego człowieka do ochrony

prawnej życia prywatnego, rodzinnego, czci i dobrego imienia oraz do decydowania o swoim życiu

osobistym.

Nadto nikt, a więc nie tylko obywatele polscy, ale również obcokrajowcy i bezpaństwowcy, nie

może być zobowiązany do ujawniania informacji dotyczących jego osoby. Może się to stać wyłącznie

w ściśle określonych prawem sytuacjach, a prawo to musi mieć rangę ustawową. Władze publiczne nie

mogą pozyskiwać, gromadzić i udostępniać innych informacji o obywatelach dowolnie, wolno im to

robić wyłącznie w sytuacjach niezbędnych w demokratycznym państwie prawnym, przy czym każdy ma

prawo dostępu do dotyczących go urzędowych dokumentów i zbiorów danych. Ograniczenie tego prawa

może nastąpić wyłącznie w akcie prawnym rangi ustawowej. Każdy, kogo dane osobowe są

1

Konstytucja reguluje tematykę ochrony danych osobowych w art. 47 i 51.

5

pozyskiwane, gromadzone, przetwarzane, przechowywane czy udostępniane w prawnie dopuszczalnym

celu, ma prawo żądać sprostowania tych danych, a także ich usunięcia, jeśli zawierają informacje

nieprawdziwe, niepełne lub zebrane w sposób sprzeczny z ustawą. Zasady i tryb gromadzenia oraz

udostępniania informacji określa ustawa.

¾ Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz. U. z 2002 r. Nr 101,

poz. 926 ze zm.), dalej zwana ustawą o ochronie danych osobowych lub u.o.d.o.

Ustawa zapewnia prawo każdego do ochrony danych osobowych jego dotyczących. Jednocześnie

określa granice przetwarzania danych osobowych, formułując dyspozycję ustawową pozwalającą na

przetwarzanie danych osobowych wyłącznie w sytuacji, gdy chodzi o dobro publiczne, dobro osoby,

której dane dotyczą, bądź dobro osób trzecich, w zakresie i trybie uregulowanym ustawą u.o.d.o. Ustawa

o ochronie danych osobowych określa zasady postępowania przy przetwarzaniu danych osobowych,

a także prawa osób, których dane są lub mogą być przetwarzane. U.o.d.o. dotyczy wyłącznie osób

fizycznych.

Ustawę stosuje się do przetwarzania danych osobowych znajdujących się w:

- kartotekach, księgach, wykazach, a także w innych zbiorach ewidencyjnych;

- systemach informatycznych.

Zbiory danych sporządzane dorywczo, na potrzeby różnego rodzaju szkoleń czy też ze względów

technicznych, powinny być po ich wykorzystaniu usuwane i poddawane anonimizacji

2

, o czym mówi

u.o.d.o. w rozdziale piątym.

Ustawa o ochronie danych osobowych obowiązuje mające siedzibę lub miejsce zamieszkania

na terytorium Rzeczypospolitej Polskiej, jak również w państwie trzecim, gdy przetwarzają dane

osobowe przy użyciu środków technicznych znajdujących się na terytorium Rzeczypospolitej

Polskiej:

9 organy państwowe, organy samorządowe oraz państwowe i komunalne jednostki organizacyjne;

9 podmioty niepubliczne realizujące zadania publiczne;

9 osoby fizyczne i osoby prawne, a także jednostki organizacyjne nie będące osobami prawnymi

(ułomne osoby prawne), które w ramach prowadzonej działalności zarobkowej, zawodowej

i statutowej oraz w związku z tą działalnością przetwarzają dane osobowe.

2

Anonimizacja jest to proces uniemożliwiający odkrycie tożsamości. W przypadku ochrony danych osobowych oznacza takie

przetwarzanie danych, aby zapewnić prywatność i w pełnym znaczeniu ochronę pozyskanych i przetwarzanych danych
osobowych. Pojęcia to pochodzi prawdopodobnie od słowa anonimowość, anonim.

6

U.o.d.o. nie ma zastosowania w stosunku do:

- osób fizycznych, które dane osobowe przetwarzają wyłącznie w celach osobistych lub domowych;

- podmiotów mających siedzibę lub miejsce zamieszkania w państwie trzecim, lecz

wykorzystujących środki techniczne znajdujące się na terytorium Rzeczypospolitej Polskiej, pod

warunkiem iż służą one jedynie do przekazywania danych;

- oraz gdy umowa międzynarodowa, której stroną jest Rzeczpospolita Polska, stanowi inaczej.

Ponadto nowelizacją z dnia 22 stycznia 2004 r. wprowadzono art. 3a ust. 2, zgodnie z którym

ograniczenie stosowania u.o.d.o. dotyczy:

- działalności prasowej dziennikarskiej, o której mowa w ustawie z dnia 26 stycznia 1984 r. –

Prawo prasowe

3

;

- działalności literackiej i artystycznej, przy założeniu że wolność wyrażania poglądów oraz

rozpowszechniania informacji nie narusza prawa i wolności osoby, której dotyczą;

z wyjątkiem art. 14-19 i 36 ust. 1 u.o.d.o.

Oznacza to, że w przypadku rodzajów działalności wymienionych powyżej podmioty te zostały

zwolnione z większości obciążeń i powinności nałożonych przez u.o.d.o., z wyjątkiem przepisów

dotyczących kontroli sprawowanej przez Generalnego Inspektora Ochrony Danych Osobowych

(art. 14-19 u.o.d.o.) oraz obowiązku zabezpieczenia i ochrony przetwarzanych danych osobowych

(art. 36 ust. 1 u.o.d.o.). Co za tym idzie, podmioty te mają obowiązek stosowania odpowiednich środków

technicznych w celu zapewnienia ochrony przetwarzanych danych osobowych, związanych z prowadzoną

działalnością dziennikarską, artystyczną, literacką. Zabezpieczenie danych osobowych podlega kontroli

Generalnego Inspektora Ochrony Danych Osobowych.

Wybrane akty wykonawcze do ustawy:

¾ Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 11 grudnia 2008 r. w sprawie

wzoru zgłoszenia zbioru do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych

(Dz. U. z 2008 r. Nr 229, poz. 1536);

¾ Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie

dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych,

jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych

osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024);

¾ Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 22 kwietnia 2004 r. w sprawie

wzorów imiennego upoważnienia i legitymacji służbowej inspektora Biura Generalnego Inspektora

Ochrony Danych Osobowych (Dz. U. z 2004 r. Nr 94, poz. 923).

3

Ustawa z dnia 26 stycznia 1984 r. Prawo prasowe (Dz. U. z 1984 r. Nr 5, poz. 24 ze zm.).

7

¾ Ustawa z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych (Dz. U. z 2010 r. Nr 182, poz.

1228), dalej zwana ustawą o ochronie informacji niejawnych lub u.o.i.n. art 190 tejże ustawy

stanowi, że ustawa z dnia 22 stycznia 1999r. traci moc; wg art. 191 tejże ustawy wchodzi ona w życie

po upływie 3 mieś od dnia ogłoszenia tj. od dnia 01.10.2010r. a więc obowiązuje od 2 stycznia 2011r.

Wybrane akty wykonawcze do ustawy:

¾

Rozporządzenie Rady Ministrów z dnia 1 czerwca 2010 r. w sprawie organizacji i funkcjonowania

kancelarii tajnych (Dz. U. z 2010 r. Nr 114, poz. 765) – obowiązuje do dnia 2 stycznia 2012 r.

włącznie; utraci moc z dniem 03.01.2012 r. (art. 189 nowej ustawy o ochronie inf. niejawnych)

[obow. tylko w okresie od 01.01.2011r. do 03.01.2012 r.].

¾ Rozporządzenie Prezesa Rady Ministrów z dnia 13 sierpnia 2010 r. w sprawie sposobu oznaczania

materiałów, umieszczania na nich klauzul tajności, a także zmiany nadanej klauzuli tajności

(Dz. U. z 2010r. Nr 159, poz. 1069); - obowiązuje do dnia 2 stycznia 2012 r. włącznie;- utraci moc

z dniem 03.01.2012 r. (art. 189 nowej ustawy o ochronie inf. niejawnych) [obow. tylko w okresie od

01.01.2011r. do 03.01.2012 r.].

¾ Rozporządzenie Prezesa Rady Ministrów z dnia 29 września 2005 r. w sprawie trybu i sposobu

przyjmowania, przewożenia, wydawania i ochrony materiałów zawierających informacje niejawne

(Dz. U. z 2005 r. Nr 200, poz. 1650 ze zm.) - obowiązuje do dnia 2 stycznia 2012 r. włącznie; - utraci

moc z dniem 03.01.2012 r. (art. 189 nowej ustawy o ochronie inf. niejawnych).

¾ Rozporządzenie Rady Ministrów z dnia 8 września 2005 r. w sprawie wzorów kwestionariusza

bezpieczeństwa przemysłowego, świadectwa bezpieczeństwa przemysłowego, decyzji o odmowie

wydania świadectwa bezpieczeństwa przemysłowego oraz decyzji o cofnięciu świadectwa

bezpieczeństwa przemysłowego (Dz. U. z 2005 r. Nr 181, poz. 1504 ze zm.) - obowiązuje do dnia

2 stycznia 2012 r. włącznie; - utraci moc z dniem 03.01.2012 r. (art. 189 nowej ustawy o ochronie inf.

niejawnych).

¾ Rozporządzenie Prezesa Rady Ministrów z dnia 25 sierpnia 2005 r. w sprawie szczegółowego trybu

przygotowania i prowadzenia przez służby ochrony państwa kontroli w zakresie ochrony informacji

niejawnych (Dz. U. z 2005 r. Nr 171, poz. 1430) obowiązuje do dnia 2 stycznia 2012 r. włącznie; -

utraci moc z dniem 03.01.2012 r. (art. 189 nowej ustawy o ochronie inf. niejawnych).

¾ Rozporządzenie Prezesa Rady Ministrów z dnia 25 sierpnia 2005 r. w sprawie podstawowych

wymagań bezpieczeństwa teleinformatycznego (Dz. U. z 2005 r. Nr 171, poz. 1433 ze zm.)

obowiązuje do dnia 2 stycznia 2012 r. włącznie; - utraci moc z dniem 03.01.2012 r. (art. 189 nowej

ustawy o ochronie inf. niejawnych).

8

Część I. OCHRONA DANYCH OSOBOWYCH

1. Podstawowe pojęcia – terminologia ustawowa

4

Dane osobowe – ustawa u.o.d.o. definiuje dane osobowe jako wszelkie informacje dotyczące

zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.

Szczególnym rodzajem danych osobowych są tak zwane dane wrażliwe, określane też mianem

danych sensytywnych. Przetwarzanie tych danych osobowych poddane jest szczególnym zasadom

i ograniczeniom. Za dane wrażliwe ustawodawca uznał takie, które zawierają informacje o:

− pochodzeniu rasowym lub etnicznym;
− poglądach politycznych;
− przekonaniach religijnych lub filozoficznych;
− przynależności wyznaniowej, partyjnej lub związkowej;
− stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym;
− skazaniach, orzeczeniach o ukaraniu i mandatach karnych, a także innych orzeczeniach wydanych

w postępowaniu sądowym lub administracyjnym.

Osoba możliwa do zidentyfikowania – to osoba, której tożsamość można określić bezpośrednio

lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka

specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne,

kulturowe lub społeczne.

Zbiór danych – jest to każdy posiadający strukturę zestaw danych o charakterze osobowym,

dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony czy

podzielony funkcjonalnie. Jest to jedno z podstawowych pojęć u.o.d.o.

Zbiór danych może posiadać różnorodną formę scentralizowaną bądź rozproszoną, może być

ręcznie sporządzaną kartoteką wiejskiej biblioteki lub też może funkcjonować w postaci akt osobowych,

formularzy, kwestionariuszy rekrutacyjnych czy rozbudowanej bazy kontrahentów dużej spółki czy

banku, aż wreszcie baz danych tworzonych przez profesjonalne systemy zarządzania takimi bazami,

indywidualnie tworzonymi dla danego podmiotu. Jednak bez względu na formę zbiór taki podlega

reżimowi u.o.d.o. Ochrona danych osobowych obejmuje wszelkie zbiory danych, bez względu na

technikę ich sporządzania i prowadzenia. Co istotne, zbiory danych mogą być prowadzone w postaci

zbiorów słów, a nawet dźwięków czy obrazów. Zbiorami danych są zarówno nagrania wypowiedzi

4

Definicje pojęć pochodzą z art. 6 zawierającego objaśnienie najważniejszych pojęć oraz art. 7 ustawy o ochronie danych

osobowych, zawierającego słowniczek ustawowy.

9

pozwalające zidentyfikować rozmówców, jak i fotografie umożliwiające identyfikację osób. Zbiorem

danych jest także zbiór danych tylko jednej osoby. Cechą charakterystyczną zbioru jest „zbiorowość

danych”. Zbiorem bowiem jest pewne nagromadzenie danych, nie zaś pojedyncze dane. W ustawie brak

jest regulacji określającej wskazówki ilościowe, jednakże należy pamiętać, że nie każdy katalog danych

stanowi zbiór danych chronionych ustawą.

W jednej z wypowiedzi Generalny Inspektor Ochrony Danych Osobowych podpowiada, iż „każdy

zestaw danych osobowych, który umożliwia dostęp do poszczególnych danych przez jakiekolwiek

kryterium, jest zbiorem danych w rozumieniu art. 7 pkt 1 ustawy. Alfabetyczne ułożenie danych

osobowych według nazwiska lub nazwiska i imienia pozwala na szybkie odnalezienie informacji o osobie

bez potrzeby przeglądania całego zestawu”

5

.

Na stronie internetowej Generalnego Inspektora

6

, w dziale „Zapytania i odpowiedzi” związanym

z zagadnieniami prawnymi i interpretacją niektórych wątpliwości prawnych, Generalny Inspektor

Ochrony Danych Osobowych wskazał daleko szersze rozumienie zbioru danych osobowych: „wszelkie

materiały gromadzone w formie akt, w tym sądowe, prokuratorskie, policyjne i inne zawierające dane

osobowe, są zbiorem danych osobowych w rozumieniu art. 7 pkt 1 ustawy”.

Zatem samo ułożenie alfabetyczne zbioru jest pomocne w jego zdefiniowaniu, ale nie jest

jedynym kryterium rozstrzygającym, o czym należy pamiętać.

Przetwarzanie danych – są to wszelkiego rodzaju operacje wykonywane na danych osobowych,

w szczególności zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie,

a także usuwanie, wykonywane zarówno w ramach systemów informatycznych, jak i poza

wykorzystaniem tych systemów. Jak widać, jest to dość obszerne pojęcie zawierające wszelkie operacje

wykonywane z użyciem danych osobowych, także ich usuwanie. Jako przetwarzanie rozumie się

wykonywanie choćby jednej z wymienionych operacji; może to być wyłącznie zbieranie danych

osobowych lub tylko ich przechowywanie, jednakże każdorazowo rozumiane jest jako przetwarzanie

danych i podlega reżimowi u.o.d.o. Z pewnością przetwarzaniem danych jest też przekazywanie ich

innemu podmiotowi, zależnej spółce czy podmiotom powiązanym czy też zewnętrznym służbom

księgowym. Przetwarzanie danych jest rozumiane jako proces, na który składają się poszczególne etapy.

Jako pierwszy wymieniany jest etap pozyskiwania, zbierania danych; kolejnym jest udostępnianie danych

osobowych. Istnieje też podział na trzy etapy: pozyskiwanie, przetwarzanie, wykorzystanie. Są to

czynności faktyczne, realne, mające dalsze konsekwencje prawne. Nie ma tu znaczenia, czy przebiegają

one w sposób zautomatyzowany czy inny, ani też jakiego zakresu dotyczy automatyzacja.

W niektórych systemach prawnych, odmiennie od uregulowania polskiej u.o.d.o., osobno

wymieniane jest przetwarzanie danych, zbieranie danych oraz wykorzystywanie danych. Uregulowanie,

5

Wystarczy ułożyć alfabetycznie, „Rzeczpospolita” z 20 lipca 2000 r., nr 168, [za:] Barta Janusz, Fajgielski Paweł, Markiewicz

Ryszard, Komentarz do ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, Wydawnictwo Zakamycze 2007.

6

http://www.giodo.gov.pl/

10

jakie przyjęto w polskiej ustawie, wynika z regulacji unijnych, w szczególności dyrektywy 95/46/WE,

w której pojęcie „przetwarzanie danych” posiada również bardzo szerokie znaczenie. Oznacza to, że

kierując się wytycznymi dyrektywy w porządku krajowym przyjęto, iż przepisy dotyczące bezpośrednio

przetwarzania, jak również zbierania danych czy też innych operacji przetwarzania, należy odczytywać

łącznie, bowiem każdorazowo mamy doczynienia z przetwarzaniem danych osobowych.

System informatyczny – są to zespoły współpracujących ze sobą urządzeń, programów, procedur

przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych. Pojęcie

systemu informatycznego zostało wprowadzone do u.o.d.o. w drodze nowelizacji w 2001 r. Wcześniej

pojęcie to pojawiało się wyłącznie w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji

z dnia 3 czerwca 1998 r. w sprawie określenia podstawowych warunków technicznych i organizacyjnych,

jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych

osobowych

7

. Definicja zawarta w rozporządzeniu różniła się od tej obecnie uregulowanej ustawowo.

Wcześniejsza określała system informatyczny jako „system przetwarzania informacji wraz ze

związanymi z nim ludźmi oraz zasobami technicznymi i finansowymi, który dostarcza i rozprowadza

informacje”. Aktualnie obowiązująca regulacja pomija czynnik ludzki i zdecydowanie precyzuje pojęcie

systemu przez oznaczenie jego elementów, tj. urządzeń, programów, procedur i narzędzi programowych.

Zabezpieczenie danych w systemie informatycznym – to wdrożenie i eksploatacja

odpowiednich środków technicznych i organizacyjnych, zapewniających ochronę danych przed ich

nieuprawnionym przetwarzaniem. Podobnie jak pojęcie systemu informatycznego, definicja ta została

wprowadzona do ustawy o ochronie danych osobowych dopiero w wyniku nowelizacji w 2001 r.

Wcześniej pojęcie to nie było wykorzystywane w ustawie ani w żadnym z aktów wykonawczych do

u.o.d.o.

Pojęcie zabezpieczenia danych w systemie informatycznym wiąże się z rozporządzeniem Ministra

Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania

danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać

urządzenia i systemy informatyczne służące do przetwarzania danych osobowych

8

, które wprowadzono

w miejsce rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 3 czerwca 1998 r.

7

Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 3 czerwca 1998 r. w sprawie określenia podstawowych

warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do
przetwarzania danych osobowych (Dz. U. z 1998 r. Nr 80, poz. 521).

8

Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji

przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia
i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024).

11

w sprawie określenia podstawowych warunków technicznych i organizacyjnych, jakim powinny

odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych

9

.

Zabezpieczenie danych w systemie informatycznym ma szczególne znaczenie przy rozwiniętej

technice informatycznej. Rozumiane jest jako zapewnienie bezpieczeństwa poprzez wdrażanie

i wykorzystywanie odpowiednich środków pozwalających zapewnić ochronę danych osobowych.

Definicja zawiera szereg pojęć nieostrych i ocennych, jednakże w praktyce polega na każdorazowym

rozważaniu konkretnego stanu faktycznego, z uwzględnieniem istniejących zagrożeń.

Usuwanie danych – to w szczególności zniszczenie danych osobowych bądź też dokonanie takiej

ich trawestacji, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą (anonimizacja).

Usuwaniem danych jest ich niszczenie lub przetwarzanie pozbawiające dane ich „osobowego”

charakteru. Skutkiem usuwania danych powinno być uniemożliwienie dalszego ich przetwarzania,

bowiem przestają one być danymi osobowymi podlegającymi ochronie u.o.d.o.

Administrator danych – jest to osoba, organ, jednostka organizacyjna, wymieniona

w art. 3 u.o.d.o., która podejmuje decyzje w zakresie celu i środków przetwarzania danych osobowych.

Administratorem danych może być zatem zarówno organ państwowy lub samorządowy, jak

i państwowe i komunalne jednostki organizacyjne, podmioty niepubliczne wykonujące zadania publiczne,

osoby fizyczne, osoby prawne oraz ułomne osoby prawne pod warunkiem, że podmiot ten decyduje

o celach i środkach przetwarzania danych osobowych. Powoduje to, że każdorazowo, w zależności od

formy prowadzonej działalności oraz schematu organizacyjnego, administratorem danych może być inna

osoba. W przypadku osoby fizycznej prowadzącej działalność gospodarczą administratorem danych

będzie zwykle właściciel przedsiębiorstwa. Jednak w przypadku osób prawnych administratorem danych

może być sama osoba prawna, na przykład spółka, bank, korporacja ubezpieczeniowa. Istotne jest, iż

administratorem danych nie jest osoba lub osoby na stanowiskach kierowniczych, czyli nie będzie to

zarząd spółki ani dyrektor koncernu, ani też upoważniony pracownik, lecz podmiot wskazany przepisami

prawa. Administratorem danych jest kompleksowo podmiot przetwarzający dane osobowe, jeżeli

samodzielnie decyduje o celach i środkach przetwarzania danych, to jest podejmuje decyzje choćby

w zakresie zbierania danych lub ich udostępniania.

W doktrynie istnieje rozbieżność co do tego, czy administratorem danych konkretnego zbioru jest

jeden czy więcej administratorów. Naczelny Sąd Administracyjny w wyroku z dnia 30 stycznia 2002 r.,

sygn. akt II SA 1098/01, publikowanym na stronie www GIODO

10

, wskazał, iż administratorem danych

jest wyłącznie podmiot uprawniony do decydowania o celach i środkach przetwarzania danych, zaś

9

Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 3 czerwca 1998 r. w sprawie określenia podstawowych

warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do
przetwarzania danych osobowych (Dz. U. z 1998 r. Nr 80, poz. 521).

10

http://www.giodo.gov.pl/496/id_art/255/j/pl/

12

podmiot, który bezprawnie przywłaszczył sobie dane osobowe, nie jest administratorem danych,

a jedynie administrującym danymi.

W przypadku podmiotów publicznych wskazanie administratora danych może nastręczać

pewnych trudności. Wynika to ze specyfiki tych podmiotów i sposobu ich powoływania w drodze

ustawy. Można zatem przyjąć, iż o celach i środkach przetwarzania danych osobowych w przypadku

podmiotów publicznych decyduje ustawodawca. Jednocześnie zgodnie z art. 7 pkt 4 u.o.d.o.

administratorem danych może być podmiot wymieniony w art. 3, czyli organ, jednostka organizacyjna,

podmiot lub inna osoba wskazana w tym przepisie. Pojawia się tu dość szeroki krąg podmiotów

pasujących do definicji administratora danych. W publikacji „Rzeczpospolitej” z 6 kwietnia 1999 r.,

autorstwa R. Hausnera pt. Przetwarzanie danych osobowych: cel i środki wskazano, iż „o tym, czy dany

organ, jednostka organizacyjna albo innego rodzaju podmiot jest administratorem danych osobowych,

decyduje przede wszystkim rodzaj i charakter nadanych im przez prawo kompetencji z obszaru spraw

publicznych oraz wyznaczone ustawowo zadania. Do uznania danego podmiotu za administratora

danych potrzebna jest jednak zawsze analiza konkretnych przepisów mających zastosowanie w określonej

sytuacji, dokonywana często wedle skomplikowanych reguł interpretacji tekstu prawnego”.

W dyrektywie 95/46/WE

11

zapisano, iż w związku z możliwością określenia – w drodze ustawy

lub innych przepisach krajowych lub Wspólnotowych – celów i sposobów przetwarzania danych, co

wywołuje niejednokrotnie trudności w precyzyjnym określeniu osoby administratora danych, może nim

być podmiot lub osoba powoływana lub wskazana przez ustawodawstwo krajowe lub ustawodawstwo

Wspólnoty.

Takie rozwiązanie przyjęto jedynie w kilku krajowych ustawach, między innymi w:

9 ustawie z dnia 20 czerwca 1997 r. – Prawo o ruchu drogowym

12

, gdzie administratorem danych

zawartych w centralnej ewidencji pojazdów oraz centralnej ewidencji kierowców jest minister

właściwy do spraw wewnętrznych

9 ustawie z dnia 24 maja 2000 r. o Krajowym Rejestrze Karnym

13

, gdzie administratorem danych

określa się Biuro Informacyjne Krajowego Rejestru Karnego, a organem tego Biura jest dyrektor

Biura.

W pozostałych przypadkach brak jest wskazań podmiotów publicznych pełniących funkcję

administratora danych, co powoduje, iż w takich przypadkach należy badać konkretne przepisy oraz

okoliczności faktyczne pozwalające na określenie podmiotu lub osoby, w której zakresie kompetencji

znajduje się decydowanie o celach i środkach przetwarzania danych osobowych.

11

Dyrektywa 95/46/WE art. 2 lit. d).

12

Ustawa z dnia 20 czerwca 1997 r. - Prawo o ruchu drogowym (tj. Dz. U. z 2005 r. Nr 108, poz. 908 ze zm.)

13

Ustawa z dnia 24 maja 2000 r. o Krajowym Rejestrze Karnym (tj. Dz. U. z 2008 r. Nr 50, poz. 292 ze zm.)

13

Istotne jest, iż administrator danych nie jest zobowiązany do przetwarzania danych bezpośrednio

i osobiście. Byłoby to niemożliwe w przypadku, gdy administratorem danych jest podmiot taki jak bank

czy koncern farmaceutyczny. Administrator danych może wyznaczyć osobę lub podmiot odpowiedzialny

za faktyczne przetwarzanie danych. Jak podniesiono w przytoczonym wyżej wyroku NSA (sygn. akt II

SA 1098/01), administrator danych to nie osoba administrująca tymi danymi, co oznacza, że osoba,

w której dyspozycji znajdują się faktycznie dane osobowe, nie zawsze jest administratorem danych.

Ustawodawca przewidział możliwość powierzenia przez administratora danych ich przetwarzania.

Przy przekazywaniu danych winny być jednak spełnione zawarte w ustawie przesłanki. Przekazanie

powinno odbyć się wyłącznie w zakresie i celu określonym w umowie, zaś umowa musi być sporządzona

pisemnie. Ważne jest, że oba podmioty odpowiadają za należytą ochronę danych osobowych –

administrator danych na zasadach określonych w ustawie, a administrujący danymi w zakresie

określonym w art. 31 ust. 3 i 4 u.o.d.o.

Odróżnienie administratora danych od osoby administrującej stało się przedmiotem orzeczenia

Sądu Najwyższego

14

z dnia 11 grudnia 2000 r., sygn. akt II KKN 438/00, publikowanego w zbiorze

Orzecznictwo Sądu Najwyższego – Izba Karna i Wojskowa z 2001 r., nr 3-4, poz. 33. Teza druga

orzeczenia odnosi się bezpośrednio do rozgraniczenia administratora danych osobowych, czyli podmiotu,

który decyduje o celach i środkach przetwarzania tych danych, o którym mowa w art. 7 pkt 4 u.o.d.o.,

i osoby administrującej zbiorem danych, to jest osoby, która zarządza, zawiaduje zbiorem danych

w procesie ich przetwarzania, na podstawie umowy powierzenia w trybie art. 31 u.o.d.o.

Odpowiedzialność karna administrującego nie będącego administratorem danych wynika wyłącznie

z takiego jego zachowania, które ustawa o ochronie danych osobowych uznaje za karalne.

W u.o.d.o. pojawia się ponadto pojęcie administratora bezpieczeństwa informacji, nie wyjaśnione

w słowniczku regulowanym przez art. 7 u.o.d.o. Pojęcie to wprowadza art. 36 ust. 3 ustawy o ochronie

danych osobowych

15

na oznaczenie osoby wyznaczonej przez administratora danych, a której zadaniem

jest zapewnienie bezpieczeństwa informacji m.in. poprzez nadzorowanie przestrzegania zasad ochrony

danych osobowych. Ustawa nie wyłącza możliwości, aby administrator danych był jednocześnie

administratorem bezpieczeństwa informacji.

Zgoda osoby, której dane dotyczą – jest to oświadczenie woli, którego treścią jest zgoda na

przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda musi być wyraźna, nie jest

dopuszczalne wyrażanie zgody w formie domniemanej lub dorozumianej z oświadczenia woli o innej

treści. Zgoda może być odwołana w każdym czasie.

To zdanie wprowadzono do art. 7 pkt 5 ustawą z dnia

29.10.2010r. o zmianie ustawy o ochronie danych osobowych oraz niektórych innych ustaw (Dz. U. z 2010r. Nr

14

Postanowienie Sądu Najwyższego z 11 grudnia 2000 r., sygn. akt II KKN 438/00, publikowane w zbiorze Orzecznictwo

Sądu Najwyższego – Izba Karna i Wojskowa z 2001r., nr 3-4, poz. 33.

15

Pojęcie administratora bezpieczeństwa informacji w treści art. 36 ust. 3 u.o.d.o. wprowadzone zostało w drodze nowelizacji

z dnia 22 stycznia 2004 r.

14

229, poz. 1497). Zmiana weszła w życie 07.03.2011r.

Wobec posłużenia się przez ustawodawcę pojęciem

oświadczenia woli należy wskazać na przepisy kodeksu cywilnego (dalej k.c.) regulujące materię

oświadczeń woli, a także uwolnienia się od oświadczenia woli złożonego pod wpływem błędu czy

groźby

16

.

Jednocześnie osoba występująca o wyrażenie zgody na przetwarzanie danych osobowych, której

dane dotyczą, musi sformułować się w sposób wyraźny i jednoznaczny. Nie można posługiwać się

zawoalowaną treścią, zawierającą odesłanie do innych regulacji czy wzorów ogólnych umów lub

regulaminów.

Zwyczajowo stosowana formułka, spełniająca wymagania ustawy o ochronie danych osobowych,

brzmi:

Oświadczenie

Wyrażam zgodę na przetwarzanie moich danych osobowych przez (tu powinien być wpisany

podmiot, któremu udostępnione zostaną nasze dane osobowe, np. przyszły pracodawca, uczelnia

wyższa, przedsiębiorstwo, z którym nawiązujemy współpracę ect.) na zasadach określonych

w ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz. U. z 2002 r. Nr 101, poz.

926 ze zm.).

…………………………………

Podpis i data

Dodatkowo może być wpisany cel, w jakim dane osobowe mogą być przetwarzane, np. do celów

rekrutacji, postępowania kwalifikacyjnego i dokumentowania przebiegu prac Komisji Konkursowej ect.

Osobom wyrażającym zgodę na przetwarzanie ich danych osobowych powinna być

udzielona informacja odnośnie do:

- prawa dostępu do ich danych osobowych, a także możliwości ich poprawiania;

- kontroli przetwarzania danych i sposobu ich zabezpieczenia.

16

Art. 60-65 k.c. oświadczenie woli i jego wykładnia oraz art. 82-88 k.c. wady oświadczenia woli.

15

Odbiorca danych – jest to każdy, komu udostępnia się dane osobowe, z wyłączeniem:

a. osoby, której dane dotyczą;

b. osoby upoważnionej do przetwarzania danych;

c. przedstawiciela, o którym mowa w art. 31a;

d. podmiotu, o którym mowa w art. 31;

e. organów państwowych lub organów samorządu terytorialnego, którym dane są udostępniane

w związku z prowadzonym postępowaniem.

Pojęcie odbiorcy danych wprowadzone zostało do u.o.d.o. nowelą z dnia 22 stycznia 2004 r.

Definicja zawiera wyłączenie niektórych kategorii osób, w tym osoby, których dane dotyczą; osoby

upoważnione do przetwarzania danych i dopuszczone do przetwarzania danych na podstawie art. 37;

przedstawicieli administratorów danych mających siedzibę na terytorium państwa trzeciego,

a przetwarzających dane przy wykorzystaniu środków technicznych znajdujących się na terytorium

Rzeczypospolitej Polskiej, na podstawie art. 31a; podmioty, które przetwarzają dane na podstawie

umowy z administratorem na podstawie art. 31; oraz organy państwowe i organy samorządu

terytorialnego, którym dane zostały udostępnione w związku z prowadzonym przez te organy

postępowaniem. Wszystkie wymienione wyżej podmioty są wyłączone z wypełniania obowiązków

określonych w u.o.d.o., w tym obowiązków związanych z informowaniem osoby, której dane dotyczą,

o podmiotach, którym ich dane osobowe zostały udostępnione, w przypadku gdy nie są odbiorcami

danych. Oznacza to, że w takiej sytuacji administrator danych jest zwolniony z konieczności

informowania osoby, której dane dotyczą, o udostępnieniu jej danych podmiotom, które nie zostały

zaliczone do kategorii odbiorców danych, jak również nie musi odnotowywać przypadku udostępnienia

danych tym podmiotom. Istotne jest, że odbiorca danych nie oznacza osoby trzeciej.

Państwo trzecie – jest to państwo nienależące do Europejskiego Obszaru Gospodarczego.

Oznacza to, że chodzi o państwa nie będące państwami członkowskimi Unii Europejskiego ani

państwami członkowskimi Europejskiego Obszaru Gospodarczego, które nie są członkami UE

(Norwegia, Islandia i Lichtenstein). Pojęcie państwa trzeciego pojawiło się w u.o.d.o. w związku

z przystąpieniem Rzeczypospolitej Polskiej do Unii Europejskiej.

16

2. Organ ochrony danych osobowych

Organem do spraw ochrony danych osobowych jest Generalny Inspektor Ochrony Danych

Osobowych, powoływany przez Sejm Rzeczypospolitej Polskiej, za zgodą Senatu.

Generalny Inspektor Ochrony Danych Osobowych, zwany dalej GIODO, podlega wyłącznie

przepisom ustawy, co daje mu niezawisłość i niezależność względem innych organów państwowych

i samorządowych. GIODO podlega zatem wyłącznie Parlamentowi RP pod względem zgodności

wykonywanych zadań z przepisami u.o.d.o.

Generalny Inspektor pełni swoją kadencję przez cztery lata, które liczone są od daty złożenia

ślubowania. Tekst ślubowania uregulowany jest w art. 9 u.o.d.o.

U.o.d.o. określa bardzo szeroko i zarazem ogólnie kompetencje zadań GIODO wskazując, iż

w zakresie jego kompetencji znajdują się wszelkie sprawy dotyczące ochrony danych osobowych

17

.

Maksymalne sprawowanie urzędu może trwać nie dłużej niż przez dwie kadencje. W u.o.d.o. nie

jest określone, czy mają one następować bezpośrednio po sobie.

Innymi niż upływ czasu powodami wygaśnięcia pełnienia obowiązków przez GIODO może

być:

- śmierć osoby pełniącej funkcję Generalnego Inspektora Ochrony Danych Osobowych;

- odwołanie;

- utrata obywatelstwa polskiego.

Pełniąc obowiązki GIODO nie można zajmować innego stanowiska, z wyłączeniem stanowiska

profesora szkoły wyższej, ani też nie można wykonywać innych zajęć zawodowych. Nadto osoba ta nie

może przynależeć do żadnej partii politycznej, związku zawodowego, jak również nie może prowadzić

działalności publicznej, która naruszałaby godność sprawowanego urzędu.

GIODO objęty jest immunitetem, co oznacza, że pociągnięcie go do odpowiedzialności karnej, jak

również pozbawienie wolności może nastąpić wyłącznie za zgodą Sejmu. Zatrzymanie lub aresztowanie

GIODO może nastąpić wyłącznie w sytuacji ujęcia go na gorącym uczynku przy jednoczesnej

konieczności zatrzymania dla zapewnienia prawidłowego toku postępowania. W takim przypadku osoba

dokonująca zatrzymania winna niezwłocznie powiadomić Marszałka Sejmu, który może nakazać

zwolnienie zatrzymanej osoby pełniącej funkcje GIODO. Określa się to pojęciem immunitetu

formalnego.

17

Art. 8 ust. 1 u.o.d.o.

17

Do zadań Generalnego Inspektora należy w szczególności:

1. kontrola zgodności przetwarzania danych z przepisami o ochronie danych osobowych,

2. wydawanie decyzji administracyjnych i rozpatrywanie skarg w sprawach wykonania przepisów

o ochronie danych osobowych,

3. zapewnienie wykonania przez zobowiązanych obowiązków o charakterze niepieniężnym

wynikających z decyzji, o których mowa w pkt 2, przez stosowanie środków egzekucyjnych

przewidzianych w ustawie z dnia 17 czerwca 1966 r. o postępowaniu egzekucyjnym w administracji

(Dz. U. z 2005 r. Nr 229, poz. 1954, z późn. zm.),

4. prowadzenie rejestru zbiorów danych oraz udzielanie informacji o zarejestrowanych zbiorach,

5. opiniowanie projektów ustaw i rozporządzeń dotyczących ochrony danych osobowych,

6. inicjowanie i podejmowanie przedsięwzięć w zakresie doskonalenia ochrony danych osobowych,

7. uczestniczenie w pracach międzynarodowych organizacji i instytucji zajmujących się problematyką

ochrony danych osobowych.

Z powyższego wyszczególnienia wynika, że GIODO posiada dość szerokie kompetencje. Poza

kompetencjami przyznanymi w u.o.d.o., GIODO w zakresie kontroli zgodności przetwarzania danych

zgodnie z przepisami u.o.d.o. winien dbać o interes powszechny w zakresie objętym ustawą o ochronie

danych osobowych. Istotne jest, że dbałość ta ma się przejawiać nie tylko w obrębie u.o.d.o., ale

dokonywać analizy przepisów innych aktów prawnych, w szczególności w zakresie zgodności ich treści

z normami u.o.d.o.

Jednocześnie kontrola zgodności przetwarzania danych osobowych z obowiązującymi przepisami

powinna być prowadzona z inicjatywy należącej do Generalnego Inspektora, a nie wyłącznie w wyniku

złożonego wniosku czy zawiadomienia. Przy wykonywaniu swoich obowiązków GIODO nie może

wykorzystywać informacji pozyskanych w wyniku kontroli w żadnym innym celu, aniżeli cele wskazane

w u.o.d.o.

W wyniku prowadzonej działalności GIODO posiada uprawnienia do wydawania decyzji

administracyjnych i rozważania skarg w sprawach dotyczących wykonywania przepisów u.o.d.o. i innych

ustaw regulujących tematykę ochrony dóbr osobistych. Przepisy u.o.d.o. nadające te kompetencje

GIODO stanowią lex specialis względem przepisów art. 229-230 kodeksu postępowania

administracyjnego, dalej k.p.a.

Wyłącznie kompetencji GIODO, w tym zakresie może być związane wyłącznie wtedy, gdy zbiór

danych zawiera dane objęte tajemnicą państwową w zakresie obronności i bezpieczeństwa kraju lub

ochrony życia, zdrowia ludzi, mienia bądź bezpieczeństwa i porządku publicznego

18

. Dotyczy to również

sytuacji, gdy dane zostaną pozyskane w wyniku operacji wykonywanych przez funkcjonariuszy Agencji

18

Art. 43 ust. 1 pkt 1 u.o.d.o.

18

Bezpieczeństwa Wewnętrznego, Agencji Wywiadu, Służby Wywiadu Wojskowego, Służby

Kontrwywiadu Wojskowego, Centralnego Biura Antykorupcyjnego

19

.

Generalny Inspektor wykonuje swoje zadania przy pomocy Biura Generalnego Inspektora

Ochrony Danych Osobowych, zwanego dalej Biurem. Biuro działa na podstawie nadanego mu w drodze

rozporządzenia Prezydenta Rzeczypospolitej Polskiej statutu oraz zgodnie z regulaminem

organizacyjnym wprowadzonym w drodze zarządzenia Generalnego Inspektora Ochrony Danych

Osobowych w sprawie wprowadzenia Regulaminu Organizacyjnego Biura GIODO.

Obowiązki, jakie nakłada na GIODO u.o.d.o., wykonywane są przez upoważnione osoby pełniące

funkcje zastępcy Generalnego Inspektora oraz upoważnionych pracowników Biura, określanych mianem

inspektorów.

Ustawa o ochronie danych osobowych przewiduje uprawnienia zastępcy oraz inspektorów

w przedmiocie wykonywania obowiązków kontroli i dbałości o ochronę danych osobowych. Uprawnienia

inspektorów stanowią odpowiednik obowiązków kierowników kontrolowanych jednostek czy

podmiotów, zatem prawo inspektorów do wejścia na teren jednostki wiąże się z obowiązkiem osoby

odpowiedzialnej tej jednostki do wpuszczenia inspektora na jej teren. Prawo inspektora do wykonywania

czynności kontrolnych, żądania wyjaśnień, przesłuchiwania osób mających związek z przedmiotem

i zakresem kontroli, dokonywania oględzin, sporządzania kopii dokumentów wiąże się z obowiązkiem

kierowników jednostek oraz podmiotów kontrolowanych umożliwienia i udostępnienia tych działań

inspektorowi, do składania wyjaśnień i przedstawienia wszelkich dokumentów związanych

z przedmiotem i zakresem kontroli. Inspektorzy GIODO mają prawo wstępu do pomieszczeń, w których

przetwarzane są zbiory danych osobowych, jednakże prawo to mogą realizować po okazaniu imiennego

upoważnienia i legitymacji służbowej. Wzór upoważnienia i legitymacji stanowi załącznik do

rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 22 kwietnia 2004 r. w sprawie

wzorów imiennego upoważnienia i legitymacji służbowej inspektora Biura Generalnego Inspektora

Ochrony Danych Osobowych (Dz. U. z 2004 r. Nr 94, poz. 923), które wydane zostało na podstawie art.

22a u.o.d.o. Tym samym kierownicy jednostki organizacyjnej, jak również osoba fizyczna, która jest

administratorem danych osobowych, mają obowiązek umożliwić inspektorowi przeprowadzenie kontroli,

w tym wszelkich czynności i żądań, o których mowa wyżej. Kontrola dokumentów polegająca na

dostępie do zbioru zawierającego dane osobowe winna być przeprowadzana za pośrednictwem

upoważnionego przedstawiciela kontrolowanej jednostki organizacyjnej

20

.

Po dokonaniu czynności kontrolnych inspektor ma obowiązek sporządzić protokół, którego

egzemplarz doręcza się jednostce kontrolowanej. Treść protokołu określa art. 16 ust. 1a ustawy. Ustęp 1a

dodano art. 1 pkt 5 ustawy

z dnia 29.10.2010r. o zmianie ustawy o ochronie danych osobowych oraz niektórych

19

Art. 43 ust. 1 pkt 1a u.o.d.o.

20

Art. 15 ust. 2 u.o.d.o.

19

innych ustaw (Dz. U. z 2010r. Nr 229, poz. 1497). Zmiana weszła w życie 07.03.2011r.

Protokół winien być

podpisany przez inspektora dokonującego kontroli oraz administratora danych, u którego kontrola została

przeprowadzona. Administrator danych ma prawo wniesienia uwag i zastrzeżeń do protokołu

dotyczących czynności kontrolnych. W sytuacji, gdy administrator danych odmawia złożenia podpisu na

protokole, inspektor sporządzający protokół wpisuje o tym fakcie wzmiankę. Osoba, która odmówiła

złożenia podpisu ma prawo w terminie 7 dni wnieść do GIODO pismo wyjaśniające zdarzenie

i uzasadniające swoje stanowisko

21

.

W przypadku stwierdzenia, w wyniku przeprowadzonej kontroli, naruszenia przepisów o ochronie

danych osobowych inspektor występuje do GIODO celem zezwolenia na zastosowanie środków

przewidzianych w ustawie o ochronie danych osobowych. Do środków takich ustawodawca zaliczył

nakazanie przywrócenia stanu zgodnego z prawem poprzez:

1) usunięcie uchybień;

2) uzupełnienie, uaktualnienie, sprostowanie, udostępnienie bądź nieudostępnienie danych osobowych;

3) zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe;

4) wstrzymywanie przekazywania danych osobowych do państwa trzeciego;

5) zabezpieczenie danych bądź przekazanie ich innym podmiotom;

6) usunięcie danych osobowych, w tym anonimizację tych danych.

Zastosowanie wyżej wskazanych środków odbywa się w drodze decyzji administracyjnej

wydawanej przez Generalnego Inspektora. Decyzje GIODO o zastosowaniu tych środków naprawczych

nie mogą ograniczać swobody działania podmiotów zgłaszających kandydatów lub listy kandydatów

w wyborach na urząd Prezydenta Rzeczypospolitej Polskiej, do Sejmu, do Senatu i do organów

samorządu terytorialnego, a także w wyborach do Parlamentu Europejskiego, pomiędzy dniem

zarządzenia wyborów a dniem głosowania. Również w odniesieniu do danych zebranych w wyniku

czynności operacyjno-rozpoznawczych, dokonywanych przez funkcjonariuszy organów uprawnionych do

wykonywania tych czynności, decyzje GIODO nie mogą nakazywać usunięcia tych danych osobowych,

przy założeniu że czynności te przeprowadzone były zgodnie z obowiązującymi przepisami prawa.

Jeżeli w wyniku przeprowadzonej kontroli inspektorzy GIODO stwierdzą, iż działanie lub

zaniechanie kierownika jednostki organizacyjnej, osoby fizycznej czy innego podmiotu będącego

administratorem danych wyczerpuje znamiona przestępstwa określonego w u.o.d.o., Generalny Inspektor

Ochrony Danych Osobowych kieruje zawiadomienie o popełnieniu przestępstwa do organu zajmującego

się ich ściganiem. Wraz z zawiadomieniem GIODO winien dołączyć dokumenty na poparcie podejrzenia.

Po dokonaniu kontroli administrator danych, u którego była przeprowadzana kontrola, może

zwrócić się do GIODO o ponowne rozpatrzenie sprawy. Wniosek o ponowne rozpoznanie sprawy musi

21

Art. 16 ust. 3 u.o.d.o.

20

być złożony w terminie 14 dni od daty doręczenia decyzji. Wynika to z przepisów k.p.a.

22

, zaś zgodnie

z treścią art. 22 u.o.d.o. postępowanie w sprawach uregulowanych przez tę ustawę prowadzone jest

według przepisów k.p.a., o ile przepisy ustawy o ochronie danych osobowych nie stanowią inaczej.

W wyniku ponownego rozpoznania sprawy GIODO wydaje kolejną decyzję, w której utrzymuje

w mocy dotychczasową decyzję lub uchyla ją w części bądź w całości i w tym zakresie orzeka co do

istoty sprawy.

Decyzja Generalnego Inspektora wydana w wyniku ponownego rozpatrzenia sprawy jest

ostateczna, czyli nie przysługuje od niej odwołanie. Można wnieść na te decyzję wyłącznie skargę do

sądu administracyjnego. Uprawnienie do wniesienia skargi do sądu administracyjnego przysługuje tylko

po wniesieniu o ponowne rozpatrzenie sprawy. Skargę wnosi się w terminie 30 dni od daty doręczenia

decyzji skarżącemu (administratorowi danych lub innej stronie sprawy), za pośrednictwem GIODO.

Generalny Inspektor ma obowiązek przekazać skargę wraz z aktami sprawy do właściwego sądu

administracyjnego, nie dłużej niż w terminie 30 dni od daty jej wniesienia. GIODO może sporządzić

odpowiedź na skargę. Może też po wniesieniu skargi do dnia rozpoczęcia rozprawy uwzględnić skargę

w całości

23

.

Od dnia 17 maja w tym przepisie będzie dodane zdanie drugie w brzmieniu: „Uwzględniając skargę, organ

stwierdza jednocześnie, czy działanie, bezczynność lub przewlekłe prowadzenie postępowania miały miejsce bez

podstawy prawnej albo z rażącym naruszeniem prawa.”

Od wyroku sądu administracyjnego przysługuje skarga kasacyjna do Naczelnego Sądu

Administracyjnego

24

.

3.

Zasady przetwarzania danych osobowych, zabezpieczenie danych osobowych,

rejestracja zbiorów danych osobowych

Zasady przetwarzania danych osobowych

Administrator danych ma obowiązek stosować się do zasad określonych w u.o.d.o., która

dopuszcza przetwarzanie danych osobowych wyłącznie w wypadkach wskazanych

w ustawie, w szczególności gdy

25

:

1) osoba, której dane dotyczą, wyrazi wyraźną zgodę na przetwarzanie jej danych osobowych, poza

sytuacją gdy chodzi o usunięcie jej danych;

2) wynika to z konieczności realizowania uprawnienia lub obowiązku wynikających z przepisów

prawa;

22

Art. 129 § 2 k.p.a. w związku z art. 127 § 3 k.p.a.

23

Art. 54 § 3 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2002 r. Nr

153, poz. 1270 ze zm.), dalej p.p.s.a.

24

Art. 173 p.p.s.a.

25

Art. 23 ust. 1 u.o.d.o.

21

3) jest to potrzebne do realizacji umowy, a osoba, której dane dotyczą, jest stroną tej umowy albo jest

to niezbędne do wszczęcia czynności wynikających z zamiaru zawarcia umowy i dzieje się to na

żądanie osoby, której dane dotyczą;

4) wiąże się to z koniecznością wykonania określonych przepisami prawa zadań wykonywanych dla

dobra publicznego;

5) jest to nieodzowne dla wypełnienia usprawiedliwionych prawem działań i realizacji wskazanych

prawem celów, przy czym przetwarzanie danych osobowych nie narusza praw ani wolności osoby,

której dane dotyczą. Chodzi tu zwłaszcza o działania o charakterze marketingu bezpośredniego

własnych produktów i usług administratora danych oraz o przypadki dochodzenia roszczeń

związanych z prowadzoną działalnością gospodarczą.

Zgoda osoby, której dane mają być lub są przetwarzane, może dotyczyć przetwarzania danych

w przyszłości, pod warunkiem jednak, że cel tego przetwarzania nie ulegnie zmianie.

Wyjątkiem dopuszczonym przez przepisy u.o.d.o. w zakresie możliwości przetwarzania danych

osobowych bez zgody osoby, której dane dotyczą, jest przetwarzanie danych osobowych związane

z koniecznością ochrony żywotnych interesów tej osoby, przy czym udzielenie przez nią zgody jest nie

możliwe. Z chwilą, gdy powstaje taka możliwość, administrator danych musi tę zgodę uzyskać.

Administrator danych osobowych, pozyskując dane osobowe, jest zobowiązany informować

osoby, od których dane pozyskuje, o:

• swojej siedzibie, adresie, pełnej nazwie (osoba fizyczna będąca administratorem danych informuje

odpowiednio o swoim imieniu i nazwisku oraz miejscu zamieszkania);

• celu, w jakim dane są zbierane, w tym również o przewidywanych odbiorcach danych;
• prawie dostępu do danych osobowych osoby. której dane dotyczą. i możliwości ich edytowania;
• dobrowolności bądź obowiązku podania danych osobowych, w zależności od treści regulacji

prawnej danego przypadku.

Istotne jest, że administrator danych ma obowiązek chronić merytoryczną poprawność

pozyskiwanych danych osobowych. Oznacza to, iż zobowiązany jest czuwać nad ich poprawnością,

kompletnością i aktualnością. Każdorazowo administrator danych musi ocenić prawdziwość uzyskanych

danych osobowych; dotyczy to w szczególności źródła, z jakiego dane są pozyskiwane. Musi być ono

wiarygodne i nieprzypadkowe.

W celu ochrony danych osobowych administrator ma obowiązek ustalić zasady postępowania

przy ich zbieraniu, a także w sytuacji powzięcia wątpliwości lub pewności o nieprawdziwości danych

osobowych. Jeśli zbiór danych osobowych jest udostępniany przez administratora danych innym

administratorom, musi on niezwłocznie przekazywać im informacje w zakresie aktualizacji czy zmiany

danych osobowych. Przy tych wszystkich czynnościach pomocne są programy komputerowe – tu również

22

administratora danych obciąża obowiązek odpowiedniego ich stosowania i każdorazowo zapewnienia

bezpieczeństwa przetwarzanych danych.

Na administratorze danych spoczywa obowiązek zachowania szczególnej staranności w zakresie

ochrony danych i interesów osób, których dane są przetwarzane. Dlatego powinien zadbać

o przetwarzanie danych osobowych zgodnie z prawem, zbieranie danych w konkretnie określonych

celach i nieprzekazywanie ich w celu dalszego przetwarzania wykraczającego poza te cele, sprawdzać

poprawność i kompletność danych, przechowywać dane w sposób umożliwiający korzystanie z nich

w celach określonych, przez czas niezbędny do tego celu, ale nie dłuższy, oraz usunięcie danych

osobowych zgodnie z prawem.

Zabezpieczenie danych osobowych

Przetwarzając dane osobowe, administrator tych zbiorów ma obowiązek odpowiednio je

zabezpieczyć. Oznacza to, że ma stosować takie środki techniczne i organizacyjne, które zapewnią

odpowiednią ochronę przetwarzanych danych – dotyczy to w szczególności zabezpieczenia przez

nieuprawnionym dostępem osób niepowołanych czy „wyciekiem” danych, to jest utratą lub

uszkodzeniem, a nawet zniszczeniem danych osobowych znajdujących się w zbiorach administratora

danych.

W tym celu administrator, zgodnie z ustawą:

• prowadzi dokumentację opisującą sposoby przetwarzania danych osobowych oraz ich zabezpieczenia;
• wyznacza administratora bezpieczeństwa informacji (czasem jest nim sam administrator danych),

którego zadaniem jest nadzór nad przestrzeganiem ustalonych zasad ochrony zbiorów;

• upoważnia osoby uprawnione do przetwarzania danych będących w jego zbiorach i prowadzi imienną

listę tych osób;

• zapewnia kontrolę przetwarzania danych osobowych, zwłaszcza w zakresie, jakie dane osobowe,

w jakim czasie i przez jaką osobę zostały wprowadzone, zmienione lub usunięte, a także komu dalej

zostały przekazane.

Dla usystematyzowania i zapewnienia spójności sposobów ochrony danych osobowych, środki

bezpieczeństwa, sposoby prowadzenia dokumentacji przetwarzania danych, a także jej zakres, warunki

techniczne i organizacyjne, jakimi powinny charakteryzować się urządzenia i systemy informatyczne

zapewniające bezpieczeństwo zbiorów danych, określa rozporządzenie Ministra Spraw Wewnętrznych

i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych

oraz warunków technicznych i organizacyjnych, jakimi powinny odpowiadać urządzenia i systemy

informatyczne służące do przetwarzania danych osobowych.

23

Rozporządzenie to określa dokładny i prawidłowy:

1) sposób prowadzenia i zakres dokumentacji opisującej sposób przetwarzania danych osobowych

oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych

odpowiednią do zagrożeń oraz kategorii danych objętych ochroną;

2) podstawowe warunki techniczne i organizacyjne, jakim powinny odpowiadać urządzenia i systemy

informatyczne służące do przetwarzania danych osobowych;

3) wymagania w zakresie odnotowywania udostępniania danych osobowych i bezpieczeństwa

przetwarzania danych osobowych.

Ponadto rozporządzenie definiuje szereg pojęć używanych w zabezpieczaniu danych

osobowych, na potrzeby tego aktu wykonawczego, m.in.:

identyfikator użytkownika – jest to ciąg znaków literowych, cyfrowych lub innych, który w sposób

jednoznaczny identyfikuje osobę upoważnioną do przetwarzania danych osobowych w systemie

informatycznym;

hasło – to ciąg znaków literowych, cyfrowych lub innych, jakie powinny być znane wyłącznie jednej

osobie posiadającej uprawnienie do pracy w systemie informatycznym; oznacza to, że każda osoba

uprawniona winna posługiwać się odrębnym, znanym tylko sobie hasłem;

teletransmisja danych – to operacja przesyłania informacji przy pomocy sieci telekomunikacyjnej;

sieć telekomunikacyjna – to sieć telekomunikacyjna w rozumieniu art. 2 pkt 35 ustawy z dnia 16 lipca

2004 r. – Prawo telekomunikacyjne (Dz. U. z 2004 r. Nr 171, poz. 1800 ze zm.) w brzmieniu: „sieć

telekomunikacyjna – systemy transmisyjne oraz urządzenia komutacyjne lub przekierowujące, a także

inne zasoby, które umożliwiają nadawanie, odbiór lub transmisję sygnałów za pomocą przewodów, fal

radiowych, optycznych lub innych środków wykorzystujących energię elektromagnetyczną, niezależnie od

ich rodzaju”.

Wracając do wspomnianego rozporządzenia wykonawczego do u.o.d.o., dokumentację z zakresu

ochrony danych osobowych prowadzi się w sposób pisemny z zachowaniem polityki bezpieczeństwa

i zgodnie z instrukcją zarządzania systemem informatycznym służącą do przetwarzania danych

osobowych, zwaną „instrukcją”. Polityka bezpieczeństwa oraz instrukcja są wdrażane przez

administratora danych i to na nim spoczywa obowiązek sporządzenia ich zgodnie z obowiązującymi

przepisami u.o.d.o. oraz jej przepisów wykonawczych. Szczegóły dotyczące tego, co składa się na te

dokumenty, reguluje rozporządzenie w sprawie dokumentacji przetwarzania danych osobowych oraz

warunków technicznych i organizacyjnych, jakimi powinny odpowiadać urządzenia i systemy

informatyczne służące do przetwarzania danych osobowych.

24

Wobec różnorodności przetwarzanych danych, a co za tym idzie – różnych zagrożeń, przewidziane

są trzy poziomy bezpieczeństwa przetwarzania danych osobowych w systemie informatycznym:

1) podstawowy;

2) podwyższony;

3) wysoki.

Poziom podstawowy stosuje się, gdy:

1) w systemie informatycznym nie są przetwarzane dane wrażliwe, o których mowa w art. 27 u.o.d.o.,

a także gdy

2) żadne z urządzeń systemu informatycznego, służącego do przetwarzania danych osobowych, nie jest

połączone z siecią publiczną.

Poziom podwyższony stosuje się, gdy:

1) w systemie informatycznym przetwarzane są dane osobowe wrażliwe, o których mowa w art. 27

u.o.d.o., a także gdy

2) żadne z urządzeń systemu informatycznego, służącego do przetwarzania danych osobowych nie jest

połączone z siecią publiczną.

Poziom wysoki stosuje się, gdy przynajmniej jedno urządzenie systemu informatycznego,

służącego do przetwarzania danych osobowych, połączone jest z siecią publiczną.

Rejestracja zbiorów danych osobowych

Administrator danych osobowych ma obowiązek zgłoszenia zbioru danych do rejestracji

GIODO. Zgłoszenie takie powinno obejmować:

1) wniosek o wpisanie zbioru do rejestru zbiorów danych osobowych;

2) oznaczenie podmiotu prowadzącego zbiór administratora danych i adres jego siedziby lub miejsca

zamieszkania, w tym numer identyfikacyjny rejestru podmiotów gospodarki narodowej, jeżeli został

mu nadany, oraz podstawę prawną upoważniającą do prowadzenia zbioru, a w przypadku podmiotu

powierzenia przetwarzania danych podmiotowi, o którym mowa w art. 31, lub wyznaczenia

podmiotu, o którym mowa w art. 31a, oznaczenie tego podmiotu i adres jego siedziby lub miejsce

miejsca zamieszkania;

3) cel przetwarzania danych osobowych;

4) opis kategorii osób, których dane dotyczą, a także zakres przetwarzanych danych;

5) sposób pozyskiwania i udostępniania danych;

6) informację o odbiorcach lub kategoriach odbiorców, którym dane mogą być przekazywane;

25

7) opis środków technicznych i organizacyjnych zastosowanych w celach zabezpieczenia danych

osobowych, o których mowa w art. 36-39 u.o.d.o.;

8) informację o sposobie wypełnienia warunków technicznych i organizacyjnych, o których mowa w art.

39a u.o.d.o.;

9) informację dotyczącą ewentualnego przekazywania danych do państwa trzeciego.

Każda zmiana informacji w zbiorze danych osobowych powinna być zgłaszana do GIODO

w terminie 30 dni od dnia jej dokonania. Tryb zgłaszania zmian jest analogiczny jak rejestracja zbioru.

Ustawa o ochronie danych osobowych przewiduje wyjątki od obowiązku rejestracji zbioru

danych. Wynika to ze specyfiki przetwarzania danych osobowych, bowiem zbiorem danych osobowych

jest między innymi kalendarz z telefonami i adresami naszych znajomych. Byłoby utrudnieniem

i niepotrzebną drobiazgowością, gdyby ustawodawca zadecydował również o obowiązku rejestracji

takich danych przez wszystkie osoby posługujące się tego rodzaju zbiorami danych.

Stąd z obowiązku rejestracji zwolnione zostały osoby będące administratorami danych

26

:

− objętych tajemnicą państwową ze względu na obronność lub bezpieczeństwo państwa, ochronę życia

i zdrowia ludzi, mienia lub bezpieczeństwa i porządku publicznego;

− które zostały uzyskane w wyniku czynności operacyjno-rozpoznawczych przez funkcjonariuszy

organów uprawnionych do tych czynności;

− przetwarzanych przez właściwe organy dla potrzeb postępowania sądowego oraz na podstawie

przepisów o Krajowym Rejestrze Karnym;

− przetwarzanych przez Generalnego Inspektora Informacji Finansowej;
− przetwarzanych przez właściwe organy na potrzeby udziału Rzeczypospolitej Polskiej w Systemie

Informacyjnym Schengen oraz Wizowym Systemie Informacyjnym;

− dotyczących osób należących do kościoła lub innego związku wyznaniowego, o uregulowanej

sytuacji prawnej, przetwarzanych na potrzeby tego kościoła lub związku wyznaniowego;

− przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów

cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się;

− dotyczących osób korzystających z ich usług medycznych, obsługi notarialnej, adwokackiej, radcy

prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta;

− tworzonych na podstawie przepisów dotyczących wyborów do Sejmu, Senatu, Parlamentu

Europejskiego, rad gmin, rad powiatów i sejmików województw, wyborów na urząd Prezydenta

Rzeczypospolitej Polskiej, na wójta, burmistrza, prezydenta miasta oraz dotyczących referendum

ogólnokrajowego i referendum lokalnego;

26

Art. 43 ust. 1 u.o.d.o.

26

− dotyczących osób pozbawionych wolności na podstawie ustawy, w zakresie niezbędnym do

wykonania tymczasowego aresztowania lub kary pozbawienia wolności;

− przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości

finansowej;

− powszechnie dostępnych;
− przetwarzanych w celu przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia

szkoły wyższej lub stopnia naukowego;

− przetwarzanych w zakresie drobnych bieżących spraw życia codziennego.

Generalny Inspektor Ochrony Danych Osobowych prowadzi ogólnokrajowy rejestr zbiorów

danych osobowych. Rejestr ten jest jawny i dostępny dla każdego. Administrator danych ma prawo żądać

wydania mu zaświadczenia o fakcie zarejestrowania zbioru danych osobowych. Zaświadczenie takie

powinno zostać wydane niezwłocznie po dokonaniu rejestracji zbioru.

Jeżeli wniosek o rejestrację zbioru nie spełnia wymagań określonych w przepisach u.o.d.o.,

w szczególności art. 41 ust 1, lub przetwarzanie danych osobowych naruszałoby zasady określone

w przepisach art. 23 – 28 u.o.d.o., a także jeżeli urządzania i systemy informatyczne mające służyć

przetwarzaniu danych osobowych nie spełniają wymagań określonych w ustawie i aktach wykonawczych

do niej, GIODO ma prawo odmówić rejestracji

27

. W sytuacji odmowy rejestracji administrator danych

powinien szczegółowo prześledzić warunki planowanego przetwarzania i ochrony danych osobowych,

usunąć nieprawidłowości i zgłosić wniosek ponownie.

W przypadku prawidłowego zgłoszenia wniosku administrator danych może rozpocząć działania

w zakresie przetwarzania danych po zgłoszeniu lub zarejestrowaniu zbioru. W sytuacji odmowy

rejestracji, przy wniesieniu ponownego wniosku przetwarzanie danych można rozpocząć od chwili

zarejestrowania zbioru

(art. 44 ust. 5 ustawy).

Generalny Inspektor może wykreślić zbiór z rejestru. Odbywa się to w drodze decyzji

administracyjnej Inspektora, w sytuacji gdy zaprzestano przetwarzania danych osobowych lub rejestracja

została dokonana z naruszeniem obowiązujących przepisów prawa.

27

Art. 44 u.o.d.o.

27

4. Odpowiedzialność karna

Ustawa o ochronie danych osobowych zawiera również przepisy dotyczące odpowiedzialności

karnej. Są one uważane za jedne z bardziej restrykcyjnych. Stanowią występki

28

, co oznacza, że mogą

zostać popełnione umyślnie oraz nieumyślnie. Należy pamiętać, że nieznajomość prawa nie zwalnia od

odpowiedzialności. Przestępstwa uwzględnione w u.o.d.o. nie wyczerpują całego katalogu naruszeń

związanych z ochroną danych osobowych. Zawierają katalog najbardziej charakterystycznych

przestępstw ściganych z urzędu, a wiążących się ze złamaniem przepisów u.o.d.o. Specyfiką przestępstw

wymienionych w u.o.d.o. jest to, że nie tylko osoba, która dopuściła się naruszeń, zostanie skazana, ale do

odpowiedzialności może zostać pociągnięty także podmiot, w którym pracowała lub na rzecz którego

świadczyła usługi. Roszczenia, jakie może skierować poszkodowany wobec tego podmiotu, to

odszkodowanie za dokonane przestępstwo oraz zadośćuczynienie za doznane krzywdy. Dodatkowym

obciążeniem przy przestępstwach uregulowanych w u.o.d.o. jest fakt otrzymywania korzyści finansowych

związanych z owym naruszeniem.

Zgodnie z przepisami u.o.d.o. przestępstwem jest:

9 przetwarzanie w zbiorze danych osobowych, w sytuacji gdy ich przetwarzanie nie jest dopuszczalne

lub podmiot je przetwarzający nie posiada stosownego upoważnienia (art. 49 u.o.d.o.);

9 udostępnienie lub umożliwienie dostępu do danych osobowych przez administratora danych i osoby

przez niego upoważnione do ochrony zbiorów danych osobom nieupoważnionym (art. 51 u.o.d.o.);

9 umyślnie i nieumyślne naruszenie obowiązku odpowiedniego zabezpieczenia danych przed ich

zabraniem przez osoby nieupoważnione, a także przed uszkodzeniem lub zniszczeniem (art. 52

u.o.d.o.);

9 zaniechanie obowiązku zgłoszenia do rejestracji zbioru danych (art. 53 u.o.d.o.);

9 zaniechanie obowiązku informacyjnego względem osoby, której dane dotyczą, a także

nieprzekazywanie jej informacji o prawach przyznanych jej przez ustawę o ochronie danych

osobowych (art. 54 u.o.d.o.);

9 udaremnianie lub utrudnianie inspektorowi wykonania czynności kontrolnej (art. 54a u.o.d.o.).

28

Art. 7 ustawy z dnia 6 czerwca 1997 r. Kodeks karny (Dz. U. z 1997 r. Nr 88, poz. 553 ze zm.); przepis ten dzieli

przestępstwa na zbrodnie i występki. Występkiem jest czyn zabroniony zagrożony karą grzywny powyżej 30 stawek
dziennych, karą ograniczenia wolności albo karą pozbawienia wolności przekraczającą miesiąc.

28

5. Ochrona danych osobowych z uwzględnieniem specyfiki przykładowo

wskazanych stanowisk:

Przetwarzaniem danych osobowych jest wykonywanie wszelkich operacji na danych

osobowych, w tym między innymi:

- zbieranie;

- utrwalanie;

- przechowywanie;

- edytowanie i opracowywanie;

- udostępnianie;

- usuwanie.

Zgodnie z przepisami u.o.d.o., przetwarzanie danych osobowych dopuszczalne jest

w przypadku, gdy:

a) osoba, której dane dotyczą, wyrazi na to zgodę;

b) jest to niezbędne dla realizacji uprawnień lub wykonania obowiązku nałożonego przez obowiązujące

przepisy prawa;

c) jest to niezbędne dla wykonania przedmiotu umowy, przy czym osoba, której dane dotyczą, jest

stroną tej umowy, a także wtedy, gdy jest to konieczne dla zawarcia umowy na żądanie osoby, której

dane dotyczą;

d) jest to potrzebne do realizacji określonych przepisami prawa zadań mających na celu dobro

publiczne;

e) jest to nieodzowne dla spełnienia prawnie usprawiedliwionych celów wykonywanych przez

administratorów danych lub odbiorców danych, co jednocześnie nie narusza ani praw, ani wolności

osoby, której dane dotyczą.

Przedsiębiorca czy pracodawca mogą przetwarzać dane, co do których uzyskali zgodę osoby,

której dane dotyczą, ale też mogą przetwarzać niektóre dane osobowe na podstawie innych przepisów.

Chodzi tu o przepisy prawa pracy nakładające obowiązek sporządzania określonych dokumentów przez

pracodawców (umowa o pracę, akta pracownicze, świadectwo pracy), do czego niezbędne jest

przetwarzanie danych osobowych.

29

Danymi, które może pracodawca przetwarzać bez wyrażenia woli czy zgody osoby, której

dotyczą, są:

- imię, nazwisko;

- imiona rodziców;

- data urodzenia;

- miejsce zamieszkania lub adres korespondencyjny;

- wykształcenie;

- przebieg dotychczasowego zatrudnienia.

Pracodawca ma także możliwość domagania się podania przez pracownika takich danych jak numer

PESEL, imion i nazwisk dzieci pracownika, stanu zdrowia (nie dotyczy to stwierdzenia ciąży), warunków

rodzinnych i mieszkaniowych, w sytuacji gdy dane te potrzebne są do udostępnienia pracownikowi

dodatkowych świadczeń socjalnych.

Ważne jest, iż do przetwarzania danych osobowych, w szczególności służb kadrowych,

personalnych, administracyjnych i innych stanowisk mających dostęp do danych osobowych

i przetwarzających te dane w przedsiębiorstwie, dostęp mają wyłącznie osoby upoważnione imiennie

przez administratora danych. Powinno to znaleźć odzwierciedlenie w zakresie obowiązków

poszczególnych pracowników. Jednocześnie osoby nieupoważnione do przetwarzania danych osobowych

powinny mieć do nich dostęp w stopniu minimalnym i w zakresie nie naruszającym przepisów u.o.d.o

oraz innych regulacji zawierających przepisy chroniące dane osobowe. Oznacza to, że osoby zajmujące

się sprawami personalnymi powinny mieć to wyraźnie określone w zakresie obowiązków i upoważnienie

do przetwarzania danych osobowych winno obejmować wyłącznie dane konieczne do realizacji tych

obowiązków. Analogicznie pracownicy działu płac powinni mieć odpowiednio skonstruowany zakres

obowiązków, z którego winno wynikać upoważnienie do przetwarzania danych płacowych pracowników.

W różnych przedsiębiorstwach, u różnych pracodawców będzie to wyglądało inaczej. Każdorazowo

trzeba rozważyć strukturę zatrudnienia i odznaczyć, ile osób może mieć upoważnienie do przetwarzania

danych osobowych, jakie dane będą wchodziły w ten zakres i jak dane osobowe zostaną zabezpieczone

przed nieuprawnionych ich przetwarzaniem.

Warto dodać, że upoważnienie do przetwarzania danych administrator danych musi udzielić

w formie pisemnej; może być to ujęte w regulaminie pracy. Kopię upoważnienia powinno się umieścić

w aktach osobowych pracownika. Upoważnienie może mieć dowolną formę i treść, ważne, aby zawierało

imię, nazwisko upoważnionego pracownika, zakres upoważnienia, datę nadania mu uprawnień do

przetwarzania danych osobowych oraz zobowiązanie pracownika do zachowania w tajemnicy danych

i sposobów ich zabezpieczenia. Odrębnie pracodawca ma obowiązek posiadać listę pracowników

upoważnionych do przetwarzania danych osobowych, a w sytuacji, gdy ich zakresy są różne,

z uwzględnieniem tych różnic.

30

a) Specjalista do spraw personalnych

Specjalista do spraw personalnych najczęściej zajmuje się rekrutacją i prowadzeniem dokumentacji

pracowniczej. Rzadziej, w mniejszych zakładach pracy zajmuje się również sporządzaniem dokumentacji

płacowej.

W tym zakresie pracodawca – administrator danych winien upoważnić odpowiednich

pracowników zajmujących się sprawami personalnymi, z uwzględnieniem zakresu ich obowiązków

i zakresu przetwarzanych przez nich danych osobowych.

Warto dodać, że dane osobowe pracowników, w tym dane dotyczące ich wynagrodzenia, stanowią

tajemnicę służbową i podlegają ochronie.

Sąd Najwyższy w uchwale z dnia 16 lipca 1993 r., sygn. akt I PZP 28/93, publikowanej

w zbiorach Orzecznictwa Sądu Najwyższego Izba Pracy z 1994 r., z. 1, poz. 2, wskazał, iż ujawnienie

przez pracodawcę wysokości wynagrodzenia pracownika, bez jego zgody może stanowić naruszenie dóbr

osobistych tego pracownika. Pracodawca może bez zgody pracownika przekazywać jedynie informacje

dotyczących ogólnych zasad wynagradzania, bez wskazywania cech indywidualnych tego

wynagrodzenia. Wysokość indywidualnych poborów stanowi sferę prywatności. Ujawnienie wysokości

zarobków stanowi naruszenie dóbr osobistych, nie zaś danych osobowych.

Oznacza to, że administrator danych, a także osoba przez niego upoważniona nie ma prawa

podawać do ogólnej wiadomości pracowników kwot indywidualnie przyznanych premii, nagród czy

innych składników wynagrodzenia, jak również zindywidualizowanych wysokości poszczególnych

wynagrodzeń pracowników. Ogólnie znane powinny być wyłącznie zasady naliczania wynagrodzeń.

W odniesieniu do danych osobowych przetwarzanych przez pracodawców należy wskazać, iż osoby

upoważnione do ich przetwarzania, w szczególności specjalista do spraw personalnych, powinny mieć

świadomość, że:

1. dane osobowe objęte są tajemnicą służbową i muszą być odpowiednio zabezpieczone;

2. dostęp do danych osobowych mają wyłącznie osoby upoważnione przez pracodawcę;

niedopuszczalne jest pozostawianie akt pracowniczych czy innej dokumentacji zawierającej dane

osobowe bez nadzoru, czy to w postaci dokumentów pozostawionych swobodnie na biurku, czy też

dokumentacji niezabezpieczonej w komputerze;

3. pracownicy mają obowiązek podania danych osobowych wymienionych przez przepisy kodeksu

pracy, a pracodawca i pracownik przez niego upoważniony zajmujący się sprawami personalnymi

może dane te przetwarzać nawet bez zgody pracownika;

4. ujawnianie, nienależyte zabezpieczanie danych osobowych stanowi przestępstwo w rozumieniu

u.o.d.o. i podlega ściganiu.

31

Z drugiej strony, pracodawca powinien informować pracowników o konsekwencjach podawania

niekompletnych lub nieprawdziwych danych osobowych.

Pracownik, który zatai prawdziwe dane osobowe, naraża się na odpowiedzialność. Ma to miejsce

zwłaszcza, jeśli zatajenie danych powoduje utrudnienie lub uniemożliwienie wykonywania przez

pracodawcę, w tym służby personalne, obowiązków wynikających z przepisów prawa. Chodzi tu

w szczególności o obowiązki płatnika składek ZUS czy kwestie podatkowe związane z wynagrodzeniem

za pracę; także jeśli zatajenie danych wiąże się z chęcią pozyskania korzyści majątkowych czy to

z funduszu świadczeń socjalnych, czy też innych świadczeń.

b) Asystent zarządu

Ten zawód nie ma schematu i każdorazowo może oznaczać inne obowiązki i wymagać innych

kompetencji. Asystent zarządu styka się z różnorodnymi dokumentami czy zbiorami zawierającymi dane

osobowe. Każdorazowo wynika to ze specyfiki podmiotu zatrudniającego asystenta zarządu i powinno

mieć odzwierciedlenie w zakresie obowiązków tego pracownika oraz w upoważnieniu do przetwarzania

przez niego danych osobowych w określonym zakresie. Warto pamiętać, że asystent zarządu może mieć

dostęp do dokumentacji kadrowej, płacowej oraz do zbiorów danych osobowych kontrahentów

pracodawcy. To wszystko powinno być szczegółowo uregulowane na piśmie.

Jednocześnie pracodawca powinien szczególnie wyczulić asystenta zarządu na konieczność

dbałości o ochronę danych osobowych przetwarzanych w firmie oraz odpowiedniego ich zabezpieczania.

Asystent zarządu to zwykle stanowisko wymagające dużej dynamiki i narażające pracownika

niejednokrotnie na silny stres związany z nieprzewidywalnością niektórych sytuacji. Zawsze jednak

asystent zarządu winien dbać o odpowiednią ochronę danych osobowych i ich zabezpieczenie.

Niedopuszczalne jest pozostawianie zbiorów danych – czy to w postaci kartotek, czy dokumentów

przeznaczonych do podpisu przez zarząd, czy też zbiorów informatycznych – niezabezpieczonych

i narażonych na nieuprawnione ich przetwarzanie.

Przykładem sytuacji wymagającej znajomości przepisów u.o.d.o. jest wysyłka listów do

kontrahentów czy potencjalnych współpracowników, a nawet wspólników czy akcjonariuszy

administratora danych. Często zdarza się, że na kopertach umieszczane jest logo lub znak

charakteryzujący się cechami reklamy nadawcy. GIODO wydał decyzję, w której uznał przesyłanie

kopert zawierających nadruk o charakterze reklamy wyłącznie, jeśli adresat wyraził zgodę na

otrzymywanie materiałów reklamowych od tego konkretnego nadawcy

29

.

Podobnie jest w przypadku wysyłki materiałów informacyjnych i promocyjnych drogą

elektroniczną. Należy pamiętać o obowiązku wyrażenia zgody na otrzymywanie tą drogą przesyłek. Do

29

S. Wikariak, Nadruk to jest reklama, „Rzeczpospolita” z 13 lipca 2005 r., dodatek Prawo co dnia.

32

czasu zajęcia się przez GIODO tą kwestią panowała samowola i większość nadawców nie pytała

adresatów o zgodę i możliwość wysyłki materiałów. Od kilka lat sytuacja jest unormowana prawnie

i podlega ochronie GIODO.

Kolejnym istotnym zagadnieniem, z którym może zetknąć się asystent zarządu, są kwestie

przetwarzania danych osobowych dłużników administratora danych. Ważne, żeby wiedzieć, że

w przypadku posiadania roszczeń związanych z prowadzoną działalnością zarobkową nie jest potrzebna

zgoda dłużnika na przetwarzanie jego danych osobowych.

c) Menedżer administracji

Menedżer administracji bywa też określany jako zwierzchnik biura, najczęściej jest

odpowiedzialny za sprawną pracę biur, sekretariatów i zapewnienie odpowiedniej współpracy

i organizacji między tymi placówkami. Szczegółowe zakresy obowiązków mogą znacznie od siebie

odbiegać, są bowiem związane ze specyfiką danego podmiotu, który jest administratorem danych

osobowych.

Najczęściej praca menedżera administracji wiąże się z koordynowaniem przepływu informacji,

regulowaniem korespondencji, a także zapewnieniem należytej współpracy między poszczególnymi

oddziałami czy komórkami pracodawcy. Może on też zajmować się zaopatrzeniem biurowym oraz

kontaktami z kontrahentami oraz być odpowiedzialnym za kontakt z mediami. Tym bardziej osoba

zatrudniona na tym stanowisku powinna mieć świadomość istnienia u.o.d.o. oraz znać jej treść. Od tego

może zależeć dobre imię pracodawcy, ponadto może to uchronić przed kłopotami wynikającymi

z naruszenia przepisów o ochronie danych osobowych.

Kontrola z GIODO bywa często lekceważona, natomiast podobnie jak inne kontrole może pojawić

się w każdej chwili. Skutki takiej kontroli zależą często od osoby zajmującej właśnie stanowisko

menedżera administracji.

Wśród sytuacji, jakie mogą powodować konieczność sięgnięcia do u.o.d.o., można wskazać

osiągnięcia zespołów zatrudnionych u administratora danych czy jego poszczególnych pracowników.

Szczególnie dotyczy to przypadku, gdy pracodawcą jest uczelnia wyższa czy jednostka zajmująca się

opracowywaniem nowych technologii, ale również gdy pracodawca bierze udział w programach Fair play

czy podobnych. Może zdarzyć się tak, że pracownicy zdobędą wyróżnienie dla zatrudniającej ich

jednostki. Czy w takim przypadku menedżer administracji może zorganizować gablotę ze zdjęciami,

nazwiskami tych pracowników? Czy wolno przygotować miejsce, w którym administrator danych będzie

prezentował osiągnięcia swojej firmy, a przy okazji zamieszczał dane osobowe w postaci nazwisk

i wizerunków pracowników? Przyjęto, iż jest to przywilejem pracodawcy i nie może podlegać

restrykcjom u.o.d.o., bowiem pracownicy stanowią część przedsiębiorstwa i w czynnościach związanych

z wykonywaniem swoich obowiązków w takich sytuacjach jak wyróżnienia czy zdobyte nagrody dane

33

ich nie wymagają uzyskania zgody i mogą być przedstawiane, co nie stanowi naruszenia przepisów

u.o.d.o.

Menedżerowie administracji często odpowiadają za szkolenia wewnętrzne. Warto wykorzystać te

kompetencje i zorganizować szkolenie dla pracowników, w szczególności upoważnionych do

przetwarzania danych osobowych w przedsiębiorstwie, jak również zadbać o świadomość pracodawcy

i zatrudnionych tam osób w zakresie obowiązków i uprawnień administratora danych regulowanych

w u.o.d.o.

UWAGA !

Omówione wyżej charakterystyki oraz wybrane zagadnienia powiązane z poszczególnymi

stanowiskami mogą się przenikać i być wzajemnie powiązane. Są to zagadnienia, z jakimi mogą się

Państwo zetknąć, wykonując swoje obowiązki, chociaż nie w każdym przypadku. Specyfika każdej

firmy jest inna i inaczej też kształtują się kompetencje osób zajmujących takie stanowiska. Dlatego

proszę traktować powyższe opisy stanowisk jako porady, a nie wyznaczniki wykonywanych przez

Państwa obowiązków.

Część II. OCHRONA INFORMACJI NIEJAWNYCH

1. Nowa ustawa o ochronie informacji niejawnych

¾ Ustawa o ochronie informacji niejawnych

Dotychczas obowiązująca ustawa o ochronie informacji niejawnych z 22 stycznia 1999 r. była

wielokrotnie zmieniana. W 2005 r. otrzymała tekst jednolity. Trudności w stosowaniu przepisów ustawy

w praktyce oraz zachodzące zmiany spowodowały konieczność opracowania całkowicie nowego aktu

prawnego. Celem nadrzędnym nowej ustawy jest wprowadzenie jednolitych, spójnych rozwiązań,

usuwając tym samym narosłe wątpliwości interpretacyjne. Zmiana przepisów spowodowana jest również

wprowadzeniem do systemu ochrony informacji niejawnych nowych mechanizmów efektywnościowych,

w tym między innymi zarządzania ryzykiem, a także dostosowaniem ochrony informacji niejawnych do

nowoczesnych technologii i nowych regulacji obowiązujących w Unii Europejskiej oraz NATO.

Nowa ustawa datowana jest na 5 sierpnia 2010 r.

34

Ustawę z 2010 r. charakteryzują nowe rozwiązania:

• odejście od podziału informacji niejawnych na tajemnicą państwową i służbową;
• uproszczenie formalnych wykazów informacji niejawnych, w miejsce jednoznacznego

zobowiązania twórców informacji do kierowania się nowymi definicjami poszczególnych klauzul;

• zastosowanie modelu znanego z wielu państw Unii Europejskiej, to jest ustanowienie jednej,

zamiast dotychczasowych dwóch krajowych władz bezpieczeństwa w zakresie informacji

niejawnych;

• wprowadzenie zmian w zasadach regulujących postępowania sprawdzające, w szczególności

rozszerzenie zakresu stosowania k.p.a. oraz rezygnacja z prowadzenia postępowań wobec osób

ubiegających się o dostęp do informacji niejawnych o klauzuli „zastrzeżone”, a także

wprowadzenie terminu zawitego przy kontrolnych postępowaniach sprawdzających;

• wprowadzenie stosowania zarządzania ryzykiem przy formułowaniu wymogów bezpieczeństwa

fizycznego i teleinformatycznego, co stanowi przygotowanie do prezydencji naszego kraju w Unii

Europejskiej;

• odejście od ścisłej kontroli obiegu dokumentów o niższych klauzulach, w szczególności klauzuli

„zastrzeżone”, co stanowi analogię do rozwiązań panujących w UE oraz większości państw

członkowskich;

• wprowadzenie okresowego przeglądu dokumentów niejawnych celem ustalenia, czy informacje te

nadal spełniają ustawowe przesłanki, które były podstawą nadania im klauzuli tajności.

2. Podstawowe pojęcia – terminologia ustawy z 2010 r.

Podstawowe definicje i pojęcia wynikające z przepisów Ustawy z dnia 5 sierpnia 2010 r.

Nowa ustawa z 2010 r., zawiera inny słownik definicji pojęć niż obowiązująca do dnia 1 stycznia

2011 r. włącznie ustawa z 22 stycznia 1999 r. o ochronie informacji niejawnych. Jest on znacznie bardziej

rozbudowany względem dotychczas obowiązującego. Art. 2 precyzuje niektóre z pojęć używanych

w u.o.i.n., w tym definicje zawarte w następujących punktach tego przepisu:

Jednostka organizacyjna to:

1) organ władzy publicznej, w szczególności:

• Sejm i Senat Rzeczypospolitej Polskiej;
• Prezydent Rzeczypospolitej Polskiej;
• organy administracji rządowej;
• organy jednostek samorządu terytorialnego, a także inne podległe im jednostki organizacyjne lub

przez nie nadzorowane;

• sądy i trybunały;

35

• organy kontroli państwowej i ochrony prawa;

2) jednostki organizacyjne podległe Ministrowi Obrony Narodowej lub przez niego nadzorowane;

3) Narodowy Bank Polski;

4) państwowe osoby prawne i inne niż wymienione wyżej państwowe jednostki organizacyjne;

5) jednostki organizacyjne podległe organom władzy publicznej lub nadzorowane przez te organy;

6) przedsiębiorcy zamierzający ubiegać się albo ubiegający się o zawarcie umów związanych

z dostępem do informacji niejawnych lub wykonujący takie umowy albo wykonujący na podstawie

przepisów prawa zadania związane z dostępem do informacji niejawnych.

Rękojmia zachowania tajemnicy to zdolność osoby do spełnienia ustawowych wymogów dla

zapewnienia ochrony informacji niejawnych przed ich nieuprawnionym ujawnieniem, stwierdzona

w wyniku przeprowadzenia postępowania sprawdzającego.

Dokumentem jest każda utrwalona informacja niejawna.

Materiałem jest dokument lub przedmiot albo dowolna ich część, chronione jako informacja niejawna,

a zwłaszcza urządzenie, wyposażenie lub broń wyprodukowane albo będące w trakcie produkcji, a także

składnik użyty do ich wytworzenia.

Przetwarzaniem informacji niejawnych są wszelkie operacje wykonywane w odniesieniu do informacji

niejawnych i na tych informacjach, w szczególności ich wytwarzanie, modyfikowanie, kopiowanie,

klasyfikowanie, gromadzenie, przechowywanie, przekazywanie lub udostępnianie.

Dotychczasowy brak definicji tego pojęcia powodował konieczność częstego wyliczania

w dotychczasowym brzmieniu u.o.i.n. różnych kategorii czynności wykonywanych wobec informacji

niejawnych.

Systemem teleinformatycznym jest system teleinformatyczny w rozumieniu art. 2 pkt 3 ustawy z dnia

18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz. U. z 2002 r. Nr 144, poz. 1204, ze zm.).

Dokumentem szczególnych wymagań bezpieczeństwa jest systematyczny opis sposobu zarządzania

bezpieczeństwem systemu teleinformatycznego.

Dokumentem procedur bezpiecznej eksploatacji systemu teleinformatycznego jest opis sposobu

i trybu postępowania w sprawach związanych z bezpieczeństwem informacji niejawnych przetwarzanych

w systemie teleinformatycznym oraz zakres odpowiedzialności użytkowników systemu

teleinformatycznego i pracowników mających do niego dostęp.

Dokumentacją bezpieczeństwa systemu teleinformatycznego jest dokument szczególnych wymagań

bezpieczeństwa oraz dokument procedur bezpiecznej eksploatacji systemu teleinformatycznego,

opracowane zgodnie z zasadami określonymi w u.o.i.n.

Akredytacją bezpieczeństwa teleinformatycznego jest dopuszczenie systemu teleinformatycznego do

przetwarzania informacji niejawnych.

36

Certyfikacją jest proces potwierdzania zdolności urządzenia, narzędzia lub innego środka do ochrony

informacji niejawnych.

Audytem bezpieczeństwa systemu teleinformatycznego jest weryfikacja poprawności realizacji

wymagań i procedur, określonych w dokumentacji bezpieczeństwa systemu teleinformatycznego.

Przedsiębiorcą jest przedsiębiorca w rozumieniu art. 4 ustawy z dnia 2 lipca 2004 r. o swobodzie

działalności gospodarczej (Dz. U. z 2007 r. Nr 155, poz. 1095, z późn. zm.) lub każda inna jednostka

organizacyjna, niezależnie od formy własności, która w ramach prowadzonej działalności gospodarczej

zamierza realizować lub realizuje związane z dostępem do informacji niejawnych umowy lub zadania

wynikające z przepisów prawa. U.o.i.n. będzie odnosić się nie tylko do przedsiębiorców, jednostek

naukowych i badawczo-rozwojowych, jak dotychczas, ale także do wszelkich innych jednostek

organizacyjnych, które w ramach prowadzonej działalności gospodarczej realizują umowy lub zadania

związane z dostępem do informacji niejawnych; dotychczasowa definicja pomijała spółdzielnie i inne

jednostki działające na podstawie odrębnych ustaw.

Kierownikiem przedsiębiorcy jest członek jednoosobowego zarządu lub innego jednoosobowego

organu zarządzającego, a jeżeli organ jest wieloosobowy – cały organ albo członek lub członkowie tego

organu wyznaczeni co najmniej uchwałą zarządu do pełnienia funkcji kierownika przedsiębiorcy,

z wyłączeniem pełnomocników ustanowionych przez ten organ lub jednostkę. W przypadku spółki

jawnej i spółki cywilnej kierownikiem przedsiębiorcy są wspólnicy prowadzący sprawy spółki,

w przypadku spółki partnerskiej – wspólnicy prowadzący sprawy spółki albo zarząd, a w odniesieniu do

spółki komandytowej i spółki komandytowo-akcyjnej – komplementariusze prowadzący sprawy spółki.

W przypadku osoby fizycznej prowadzącej działalność gospodarczą kierownikiem przedsiębiorcy jest ta

osoba; za kierownika przedsiębiorcy uważa się również likwidatora, a także syndyka lub zarządcę

ustanowionego w postępowaniu upadłościowym. Kierownik przedsiębiorcy jest kierownikiem jednostki

organizacyjnej w rozumieniu przepisów ustawy.

Brak definicji tego pojęcia powodował liczne wątpliwości i konieczność formułowania przez służby

ochrony państwa doraźnych interpretacji w postępowaniach bezpieczeństwa przemysłowego, zwłaszcza

w przypadku zarządów wieloosobowych, a także spółek cywilnych, jawnych, partnerskich,

komandytowych oraz przedsiębiorców w stanie upadłości.

Ryzykiem jest kombinacja prawdopodobieństwa wystąpienia zdarzenia niepożądanego i jego

konsekwencji.

Szacowaniem ryzyka jest całościowy proces analizy i oceny ryzyka.

Zarządzanie ryzykiem to skoordynowane działania w zakresie zarządzania bezpieczeństwem informacji,

z uwzględnieniem ryzyka.

Zatrudnieniem jest również odpowiednio powołanie, mianowanie lub wyznaczenie.

37

Nowa ustawa o ochronie informacji niejawnych zawiera zmiany powodujące ograniczenie zakresu

informacji objętych ochroną, co w konsekwencji zwiększa zakres informacji publicznej. To zaś wpływa

na większą jawność życia publicznego i jego dostępność. Za regulacjami przyjętymi w Unii Europejskiej

oraz większości państw członkowskich powiększa to w Rzeczypospolitej Polskiej sferę wolności i praw

jednostek, co ma bezpośredni związek z nadchodzącym przewodnictwem Polski w UE

30

.

Ochrona informacji niejawnych nie jest przedmiotem regulacji Unii Europejskiej i nie jest to

konieczność narzucona przez porządek prawny Unii. Konieczność dokonania zmian i dostosowania

polskiego systemu ochrony informacji niejawnych do praktyki i reguł obowiązujących w instytucjach

krajów członkowskich Unii i w niej samej wynikła z trudności, jakie nastręczałoby pozostawienie

dotychczas obowiązujących przepisów ustawy o ochronie informacji niejawnych z 1999 r. Ustawa ta,

przygotowana ponad 10 lat temu, choć wielokrotnie zmieniana, nie była w stanie sprostać współczesnym

wymaganiom. Odstawała od terminologii i systemów wykorzystywanych w UE i jej krajach

członkowskich. To wszystko spowodowało konieczność przyspieszenia prac legislacyjnych i dało efekt

w postaci nowej ustawy uchwalonej przez Sejm w dniu 5 sierpnia 2010 roku, a podpisanej przez

Prezydenta Rzeczypospolitej Polskiej w dniu 30 sierpnia.

Nadchodząca prezydencja RP w Radzie UE przy dotychczasowym systemie ochrony informacji

niejawnych spowodowałaby szereg utrudnień, co wiąże się w szczególności z brakiem elastyczności

naszego systemu ochrony oraz rygorystyczną ochroną przewidzianą nawet dla dokumentów o niskim

stopniu tajności. Dla sprawnego działania poszczególnych grup roboczych, szybkiego przekazywania

i bieżącego wykorzystywania informacji konieczne były zmiany. Ponadto prezydencja wymaga spójności

i jasności w systemie ochrony informacji niejawnych dla zapewnienia współpracy państw członkowskich

i instytucji UE w tym okresie. Nowa ustawa dokonuje wielu uproszczeń, wpływ na to ma również

planowane zmniejszenie liczby jednostek organizacyjnych przetwarzających informacje niejawne.

Wprowadzona została zasada, iż ochronie według przepisów nowej u.o.i.n. mają podlegać wyłącznie te

informacje, których ujawnienie przyniosłoby szkody interesom państwa, zaś postępowanie

z informacjami dotyczącymi obywateli i jednostek organizacyjnych, a objętymi tajemnicami różnego

rodzaju, pozostaje uregulowane odrębnymi aktami prawnymi. Co ważne, rozszerzono możliwość

stosowania k.p.a. w postępowaniach sprawdzających. Dotychczas nie było podstawy prawnej dla pełnego

stosowania tych przepisów. Zmiany spowodują zmniejszenie liczby informacji podlegających

konieczności ochrony, co powinno pozytywnie wpłynąć na oszczędności państwa.

Załączniki:

1) Ustawa o ochronie danych osobowych – tekst obowiązujący na dzień 15 kwietnia 2011 r.

2) Ustawa o ochronie informacji niejawnych – tekst obowiązujący na dzień 15 kwietnia 2011 r.

30

Prezydencja w UE oznacza sprawowanie przez kolejne 6 miesięcy przewodnictwa nad pracami Rady Unii Europejskiej.

Oznacza to odpowiedzialność za organizację spotkań w UE oraz nadawanie kierunku politycznego UE, a także
odpowiedzialność za rozwój i bezpieczeństwo UE. Polska ma objąć prezydencję 1 lipca 2011 r.