Anna Szymańska-Teliczek
OCHRONA DANYCH OSOBOWYCH
I INFORMACJI NIEJAWNYCH
Anna Szymańska-Teliczek
OCHRONA DANYCH OSOBOWYCH
I INFORMACJI NIEJAWNYCH
Skrypt opracowany w ramach działalności
Instytutu Europejskiego
i
Studium Prawa Europejskiego
w Warszawie
ul. Prosta 2/14 lok. 204, 00-850 Warszawa
tel./fax. 22/833-38-90; 833-39-90
www.uniaeuropejska.net.pl
e-mail: info@spe.edu.pl
Copyright by
Instytut Europejski
Spis treści
WPROWADZENIE
3
Podstawa
prawna
–
regulacje
krajowe
3
Część
I.
OCHRONA
DANYCH
OSOBOWYCH
8
1. Podstawowe pojęcia
–
terminologia
ustawowa
8
2.
Organ
ochrony
danych
osobowych
17
3. Zasady przetwarzania danych osobowych, zabezpieczenie danych osobowych,
rejestracja
zbiorów
danych
osobowych
22
4. Odpowiedzialność karna
30
5. Ochrona danych osobowych z uwzględnieniem specyfiki przykładowo wskazanych
stanowisk:
31
a) Specjalista do spraw personalnych 33
b) Asystent zarządu 35
c) Menedżer administracji 36
Część
II.
OCHRONA
INFORMACJI
NIEJAWNYCH
37
1. Nowa ustawa o ochronie informacji niejawnych
37
2. Podstawowe pojęcia – terminologia ustawy z 2010 r.
39
4
WPROWADZENIE
Podstawa prawna – regulacje krajowe
Ochrona danych osobowych stanowi jedną z ważniejszych dziedzin z zakresu działalności
przedsiębiorstwa – czy to z punktu widzenia przedsiębiorcy jako pracodawcy, przedsiębiorcy
przetwarzającego dane kontrahentów czy też pracowników zajmujących się przetwarzaniem danych przy
rekrutacji i zatrudnianiu, administrowaniu wszelkimi dokumentami będącymi w obiegu firmy,
korespondencji, dokumentach zarządu itp.
W pierwszym rozdziale niniejszego opracowania znajdzie się przybliżenie istoty ochrony danych
osobowych oraz krótki komentarz do obowiązujących przepisów prawa. Dla wygody osób korzystających
z opracowania przyjęto układ i kolejność omawianych zagadnień tożsame z porządkiem regulacji
ustawowej.
W dalszych rozdziałach przedstawiona zostanie specyfika najistotniejszych stanowisk
w przedsiębiorstwie, które stykają się z przetwarzaniem danych osobowych i z tego względu powinny
dysponować szczególną znajomością zagadnienia ochrony tych danych.
W drugiej części opracowania omówiona zostanie obowiązująca ustawa o ochronie informacji
niejawnych.
Podstawowe akty prawne w zakresie krajowego porządku prawnego dotyczącego ochrony danych
osobowych oraz informacji niejawnych:
¾ Ustawa zasadnicza – Konstytucja Rzeczypospolitej Polskiej z dnia 2 kwietnia 1997 r. (Dz. U.
z 1997 r. Nr 78, poz. 483)
1
.
Konstytucja reguluje ochronę danych osobowych jako prawo każdego człowieka do ochrony
prawnej życia prywatnego, rodzinnego, czci i dobrego imienia oraz do decydowania o swoim życiu
osobistym.
Nadto nikt, a więc nie tylko obywatele polscy, ale również obcokrajowcy i bezpaństwowcy, nie
może być zobowiązany do ujawniania informacji dotyczących jego osoby. Może się to stać wyłącznie
w ściśle określonych prawem sytuacjach, a prawo to musi mieć rangę ustawową. Władze publiczne nie
mogą pozyskiwać, gromadzić i udostępniać innych informacji o obywatelach dowolnie, wolno im to
robić wyłącznie w sytuacjach niezbędnych w demokratycznym państwie prawnym, przy czym każdy ma
prawo dostępu do dotyczących go urzędowych dokumentów i zbiorów danych. Ograniczenie tego prawa
może nastąpić wyłącznie w akcie prawnym rangi ustawowej. Każdy, kogo dane osobowe są
1
Konstytucja reguluje tematykę ochrony danych osobowych w art. 47 i 51.
5
pozyskiwane, gromadzone, przetwarzane, przechowywane czy udostępniane w prawnie dopuszczalnym
celu, ma prawo żądać sprostowania tych danych, a także ich usunięcia, jeśli zawierają informacje
nieprawdziwe, niepełne lub zebrane w sposób sprzeczny z ustawą. Zasady i tryb gromadzenia oraz
udostępniania informacji określa ustawa.
¾ Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz. U. z 2002 r. Nr 101,
poz. 926 ze zm.), dalej zwana ustawą o ochronie danych osobowych lub u.o.d.o.
Ustawa zapewnia prawo każdego do ochrony danych osobowych jego dotyczących. Jednocześnie
określa granice przetwarzania danych osobowych, formułując dyspozycję ustawową pozwalającą na
przetwarzanie danych osobowych wyłącznie w sytuacji, gdy chodzi o dobro publiczne, dobro osoby,
której dane dotyczą, bądź dobro osób trzecich, w zakresie i trybie uregulowanym ustawą u.o.d.o. Ustawa
o ochronie danych osobowych określa zasady postępowania przy przetwarzaniu danych osobowych,
a także prawa osób, których dane są lub mogą być przetwarzane. U.o.d.o. dotyczy wyłącznie osób
fizycznych.
Ustawę stosuje się do przetwarzania danych osobowych znajdujących się w:
- kartotekach, księgach, wykazach, a także w innych zbiorach ewidencyjnych;
- systemach informatycznych.
Zbiory danych sporządzane dorywczo, na potrzeby różnego rodzaju szkoleń czy też ze względów
technicznych, powinny być po ich wykorzystaniu usuwane i poddawane anonimizacji
2
, o czym mówi
u.o.d.o. w rozdziale piątym.
Ustawa o ochronie danych osobowych obowiązuje mające siedzibę lub miejsce zamieszkania
na terytorium Rzeczypospolitej Polskiej, jak również w państwie trzecim, gdy przetwarzają dane
osobowe przy użyciu środków technicznych znajdujących się na terytorium Rzeczypospolitej
Polskiej:
9 organy państwowe, organy samorządowe oraz państwowe i komunalne jednostki organizacyjne;
9 podmioty niepubliczne realizujące zadania publiczne;
9 osoby fizyczne i osoby prawne, a także jednostki organizacyjne nie będące osobami prawnymi
(ułomne osoby prawne), które w ramach prowadzonej działalności zarobkowej, zawodowej
i statutowej oraz w związku z tą działalnością przetwarzają dane osobowe.
2
Anonimizacja jest to proces uniemożliwiający odkrycie tożsamości. W przypadku ochrony danych osobowych oznacza takie
przetwarzanie danych, aby zapewnić prywatność i w pełnym znaczeniu ochronę pozyskanych i przetwarzanych danych
osobowych. Pojęcia to pochodzi prawdopodobnie od słowa anonimowość, anonim.
6
U.o.d.o. nie ma zastosowania w stosunku do:
- osób fizycznych, które dane osobowe przetwarzają wyłącznie w celach osobistych lub domowych;
- podmiotów mających siedzibę lub miejsce zamieszkania w państwie trzecim, lecz
wykorzystujących środki techniczne znajdujące się na terytorium Rzeczypospolitej Polskiej, pod
warunkiem iż służą one jedynie do przekazywania danych;
- oraz gdy umowa międzynarodowa, której stroną jest Rzeczpospolita Polska, stanowi inaczej.
Ponadto nowelizacją z dnia 22 stycznia 2004 r. wprowadzono art. 3a ust. 2, zgodnie z którym
ograniczenie stosowania u.o.d.o. dotyczy:
- działalności prasowej dziennikarskiej, o której mowa w ustawie z dnia 26 stycznia 1984 r. –
Prawo prasowe
3
;
- działalności literackiej i artystycznej, przy założeniu że wolność wyrażania poglądów oraz
rozpowszechniania informacji nie narusza prawa i wolności osoby, której dotyczą;
z wyjątkiem art. 14-19 i 36 ust. 1 u.o.d.o.
Oznacza to, że w przypadku rodzajów działalności wymienionych powyżej podmioty te zostały
zwolnione z większości obciążeń i powinności nałożonych przez u.o.d.o., z wyjątkiem przepisów
dotyczących kontroli sprawowanej przez Generalnego Inspektora Ochrony Danych Osobowych
(art. 14-19 u.o.d.o.) oraz obowiązku zabezpieczenia i ochrony przetwarzanych danych osobowych
(art. 36 ust. 1 u.o.d.o.). Co za tym idzie, podmioty te mają obowiązek stosowania odpowiednich środków
technicznych w celu zapewnienia ochrony przetwarzanych danych osobowych, związanych z prowadzoną
działalnością dziennikarską, artystyczną, literacką. Zabezpieczenie danych osobowych podlega kontroli
Generalnego Inspektora Ochrony Danych Osobowych.
Wybrane akty wykonawcze do ustawy:
¾ Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 11 grudnia 2008 r. w sprawie
wzoru zgłoszenia zbioru do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych
(Dz. U. z 2008 r. Nr 229, poz. 1536);
¾ Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie
dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych,
jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych
osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024);
¾ Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 22 kwietnia 2004 r. w sprawie
wzorów imiennego upoważnienia i legitymacji służbowej inspektora Biura Generalnego Inspektora
Ochrony Danych Osobowych (Dz. U. z 2004 r. Nr 94, poz. 923).
3
Ustawa z dnia 26 stycznia 1984 r. Prawo prasowe (Dz. U. z 1984 r. Nr 5, poz. 24 ze zm.).
7
¾ Ustawa z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych (Dz. U. z 2010 r. Nr 182, poz.
1228), dalej zwana ustawą o ochronie informacji niejawnych lub u.o.i.n. art 190 tejże ustawy
stanowi, że ustawa z dnia 22 stycznia 1999r. traci moc; wg art. 191 tejże ustawy wchodzi ona w życie
po upływie 3 mieś od dnia ogłoszenia tj. od dnia 01.10.2010r. a więc obowiązuje od 2 stycznia 2011r.
Wybrane akty wykonawcze do ustawy:
¾
Rozporządzenie Rady Ministrów z dnia 1 czerwca 2010 r. w sprawie organizacji i funkcjonowania
kancelarii tajnych (Dz. U. z 2010 r. Nr 114, poz. 765) – obowiązuje do dnia 2 stycznia 2012 r.
włącznie; utraci moc z dniem 03.01.2012 r. (art. 189 nowej ustawy o ochronie inf. niejawnych)
[obow. tylko w okresie od 01.01.2011r. do 03.01.2012 r.].
¾ Rozporządzenie Prezesa Rady Ministrów z dnia 13 sierpnia 2010 r. w sprawie sposobu oznaczania
materiałów, umieszczania na nich klauzul tajności, a także zmiany nadanej klauzuli tajności
(Dz. U. z 2010r. Nr 159, poz. 1069); - obowiązuje do dnia 2 stycznia 2012 r. włącznie;- utraci moc
z dniem 03.01.2012 r. (art. 189 nowej ustawy o ochronie inf. niejawnych) [obow. tylko w okresie od
01.01.2011r. do 03.01.2012 r.].
¾ Rozporządzenie Prezesa Rady Ministrów z dnia 29 września 2005 r. w sprawie trybu i sposobu
przyjmowania, przewożenia, wydawania i ochrony materiałów zawierających informacje niejawne
(Dz. U. z 2005 r. Nr 200, poz. 1650 ze zm.) - obowiązuje do dnia 2 stycznia 2012 r. włącznie; - utraci
moc z dniem 03.01.2012 r. (art. 189 nowej ustawy o ochronie inf. niejawnych).
¾ Rozporządzenie Rady Ministrów z dnia 8 września 2005 r. w sprawie wzorów kwestionariusza
bezpieczeństwa przemysłowego, świadectwa bezpieczeństwa przemysłowego, decyzji o odmowie
wydania świadectwa bezpieczeństwa przemysłowego oraz decyzji o cofnięciu świadectwa
bezpieczeństwa przemysłowego (Dz. U. z 2005 r. Nr 181, poz. 1504 ze zm.) - obowiązuje do dnia
2 stycznia 2012 r. włącznie; - utraci moc z dniem 03.01.2012 r. (art. 189 nowej ustawy o ochronie inf.
niejawnych).
¾ Rozporządzenie Prezesa Rady Ministrów z dnia 25 sierpnia 2005 r. w sprawie szczegółowego trybu
przygotowania i prowadzenia przez służby ochrony państwa kontroli w zakresie ochrony informacji
niejawnych (Dz. U. z 2005 r. Nr 171, poz. 1430) obowiązuje do dnia 2 stycznia 2012 r. włącznie; -
utraci moc z dniem 03.01.2012 r. (art. 189 nowej ustawy o ochronie inf. niejawnych).
¾ Rozporządzenie Prezesa Rady Ministrów z dnia 25 sierpnia 2005 r. w sprawie podstawowych
wymagań bezpieczeństwa teleinformatycznego (Dz. U. z 2005 r. Nr 171, poz. 1433 ze zm.)
obowiązuje do dnia 2 stycznia 2012 r. włącznie; - utraci moc z dniem 03.01.2012 r. (art. 189 nowej
ustawy o ochronie inf. niejawnych).
8
Część I. OCHRONA DANYCH OSOBOWYCH
1. Podstawowe pojęcia – terminologia ustawowa
4
Dane osobowe – ustawa u.o.d.o. definiuje dane osobowe jako wszelkie informacje dotyczące
zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.
Szczególnym rodzajem danych osobowych są tak zwane dane wrażliwe, określane też mianem
danych sensytywnych. Przetwarzanie tych danych osobowych poddane jest szczególnym zasadom
i ograniczeniom. Za dane wrażliwe ustawodawca uznał takie, które zawierają informacje o:
− pochodzeniu rasowym lub etnicznym;
− poglądach politycznych;
− przekonaniach religijnych lub filozoficznych;
− przynależności wyznaniowej, partyjnej lub związkowej;
− stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym;
− skazaniach, orzeczeniach o ukaraniu i mandatach karnych, a także innych orzeczeniach wydanych
w postępowaniu sądowym lub administracyjnym.
Osoba możliwa do zidentyfikowania – to osoba, której tożsamość można określić bezpośrednio
lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka
specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne,
kulturowe lub społeczne.
Zbiór danych – jest to każdy posiadający strukturę zestaw danych o charakterze osobowym,
dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony czy
podzielony funkcjonalnie. Jest to jedno z podstawowych pojęć u.o.d.o.
Zbiór danych może posiadać różnorodną formę scentralizowaną bądź rozproszoną, może być
ręcznie sporządzaną kartoteką wiejskiej biblioteki lub też może funkcjonować w postaci akt osobowych,
formularzy, kwestionariuszy rekrutacyjnych czy rozbudowanej bazy kontrahentów dużej spółki czy
banku, aż wreszcie baz danych tworzonych przez profesjonalne systemy zarządzania takimi bazami,
indywidualnie tworzonymi dla danego podmiotu. Jednak bez względu na formę zbiór taki podlega
reżimowi u.o.d.o. Ochrona danych osobowych obejmuje wszelkie zbiory danych, bez względu na
technikę ich sporządzania i prowadzenia. Co istotne, zbiory danych mogą być prowadzone w postaci
zbiorów słów, a nawet dźwięków czy obrazów. Zbiorami danych są zarówno nagrania wypowiedzi
4
Definicje pojęć pochodzą z art. 6 zawierającego objaśnienie najważniejszych pojęć oraz art. 7 ustawy o ochronie danych
osobowych, zawierającego słowniczek ustawowy.
9
pozwalające zidentyfikować rozmówców, jak i fotografie umożliwiające identyfikację osób. Zbiorem
danych jest także zbiór danych tylko jednej osoby. Cechą charakterystyczną zbioru jest „zbiorowość
danych”. Zbiorem bowiem jest pewne nagromadzenie danych, nie zaś pojedyncze dane. W ustawie brak
jest regulacji określającej wskazówki ilościowe, jednakże należy pamiętać, że nie każdy katalog danych
stanowi zbiór danych chronionych ustawą.
W jednej z wypowiedzi Generalny Inspektor Ochrony Danych Osobowych podpowiada, iż „każdy
zestaw danych osobowych, który umożliwia dostęp do poszczególnych danych przez jakiekolwiek
kryterium, jest zbiorem danych w rozumieniu art. 7 pkt 1 ustawy. Alfabetyczne ułożenie danych
osobowych według nazwiska lub nazwiska i imienia pozwala na szybkie odnalezienie informacji o osobie
bez potrzeby przeglądania całego zestawu”
5
.
Na stronie internetowej Generalnego Inspektora
6
, w dziale „Zapytania i odpowiedzi” związanym
z zagadnieniami prawnymi i interpretacją niektórych wątpliwości prawnych, Generalny Inspektor
Ochrony Danych Osobowych wskazał daleko szersze rozumienie zbioru danych osobowych: „wszelkie
materiały gromadzone w formie akt, w tym sądowe, prokuratorskie, policyjne i inne zawierające dane
osobowe, są zbiorem danych osobowych w rozumieniu art. 7 pkt 1 ustawy”.
Zatem samo ułożenie alfabetyczne zbioru jest pomocne w jego zdefiniowaniu, ale nie jest
jedynym kryterium rozstrzygającym, o czym należy pamiętać.
Przetwarzanie danych – są to wszelkiego rodzaju operacje wykonywane na danych osobowych,
w szczególności zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie,
a także usuwanie, wykonywane zarówno w ramach systemów informatycznych, jak i poza
wykorzystaniem tych systemów. Jak widać, jest to dość obszerne pojęcie zawierające wszelkie operacje
wykonywane z użyciem danych osobowych, także ich usuwanie. Jako przetwarzanie rozumie się
wykonywanie choćby jednej z wymienionych operacji; może to być wyłącznie zbieranie danych
osobowych lub tylko ich przechowywanie, jednakże każdorazowo rozumiane jest jako przetwarzanie
danych i podlega reżimowi u.o.d.o. Z pewnością przetwarzaniem danych jest też przekazywanie ich
innemu podmiotowi, zależnej spółce czy podmiotom powiązanym czy też zewnętrznym służbom
księgowym. Przetwarzanie danych jest rozumiane jako proces, na który składają się poszczególne etapy.
Jako pierwszy wymieniany jest etap pozyskiwania, zbierania danych; kolejnym jest udostępnianie danych
osobowych. Istnieje też podział na trzy etapy: pozyskiwanie, przetwarzanie, wykorzystanie. Są to
czynności faktyczne, realne, mające dalsze konsekwencje prawne. Nie ma tu znaczenia, czy przebiegają
one w sposób zautomatyzowany czy inny, ani też jakiego zakresu dotyczy automatyzacja.
W niektórych systemach prawnych, odmiennie od uregulowania polskiej u.o.d.o., osobno
wymieniane jest przetwarzanie danych, zbieranie danych oraz wykorzystywanie danych. Uregulowanie,
5
Wystarczy ułożyć alfabetycznie, „Rzeczpospolita” z 20 lipca 2000 r., nr 168, [za:] Barta Janusz, Fajgielski Paweł, Markiewicz
Ryszard, Komentarz do ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, Wydawnictwo Zakamycze 2007.
6
http://www.giodo.gov.pl/
10
jakie przyjęto w polskiej ustawie, wynika z regulacji unijnych, w szczególności dyrektywy 95/46/WE,
w której pojęcie „przetwarzanie danych” posiada również bardzo szerokie znaczenie. Oznacza to, że
kierując się wytycznymi dyrektywy w porządku krajowym przyjęto, iż przepisy dotyczące bezpośrednio
przetwarzania, jak również zbierania danych czy też innych operacji przetwarzania, należy odczytywać
łącznie, bowiem każdorazowo mamy doczynienia z przetwarzaniem danych osobowych.
System informatyczny – są to zespoły współpracujących ze sobą urządzeń, programów, procedur
przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych. Pojęcie
systemu informatycznego zostało wprowadzone do u.o.d.o. w drodze nowelizacji w 2001 r. Wcześniej
pojęcie to pojawiało się wyłącznie w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji
z dnia 3 czerwca 1998 r. w sprawie określenia podstawowych warunków technicznych i organizacyjnych,
jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych
osobowych
7
. Definicja zawarta w rozporządzeniu różniła się od tej obecnie uregulowanej ustawowo.
Wcześniejsza określała system informatyczny jako „system przetwarzania informacji wraz ze
związanymi z nim ludźmi oraz zasobami technicznymi i finansowymi, który dostarcza i rozprowadza
informacje”. Aktualnie obowiązująca regulacja pomija czynnik ludzki i zdecydowanie precyzuje pojęcie
systemu przez oznaczenie jego elementów, tj. urządzeń, programów, procedur i narzędzi programowych.
Zabezpieczenie danych w systemie informatycznym – to wdrożenie i eksploatacja
odpowiednich środków technicznych i organizacyjnych, zapewniających ochronę danych przed ich
nieuprawnionym przetwarzaniem. Podobnie jak pojęcie systemu informatycznego, definicja ta została
wprowadzona do ustawy o ochronie danych osobowych dopiero w wyniku nowelizacji w 2001 r.
Wcześniej pojęcie to nie było wykorzystywane w ustawie ani w żadnym z aktów wykonawczych do
u.o.d.o.
Pojęcie zabezpieczenia danych w systemie informatycznym wiąże się z rozporządzeniem Ministra
Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania
danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać
urządzenia i systemy informatyczne służące do przetwarzania danych osobowych
8
, które wprowadzono
w miejsce rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 3 czerwca 1998 r.
7
Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 3 czerwca 1998 r. w sprawie określenia podstawowych
warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do
przetwarzania danych osobowych (Dz. U. z 1998 r. Nr 80, poz. 521).
8
Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji
przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia
i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024).
11
w sprawie określenia podstawowych warunków technicznych i organizacyjnych, jakim powinny
odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych
9
.
Zabezpieczenie danych w systemie informatycznym ma szczególne znaczenie przy rozwiniętej
technice informatycznej. Rozumiane jest jako zapewnienie bezpieczeństwa poprzez wdrażanie
i wykorzystywanie odpowiednich środków pozwalających zapewnić ochronę danych osobowych.
Definicja zawiera szereg pojęć nieostrych i ocennych, jednakże w praktyce polega na każdorazowym
rozważaniu konkretnego stanu faktycznego, z uwzględnieniem istniejących zagrożeń.
Usuwanie danych – to w szczególności zniszczenie danych osobowych bądź też dokonanie takiej
ich trawestacji, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą (anonimizacja).
Usuwaniem danych jest ich niszczenie lub przetwarzanie pozbawiające dane ich „osobowego”
charakteru. Skutkiem usuwania danych powinno być uniemożliwienie dalszego ich przetwarzania,
bowiem przestają one być danymi osobowymi podlegającymi ochronie u.o.d.o.
Administrator danych – jest to osoba, organ, jednostka organizacyjna, wymieniona
w art. 3 u.o.d.o., która podejmuje decyzje w zakresie celu i środków przetwarzania danych osobowych.
Administratorem danych może być zatem zarówno organ państwowy lub samorządowy, jak
i państwowe i komunalne jednostki organizacyjne, podmioty niepubliczne wykonujące zadania publiczne,
osoby fizyczne, osoby prawne oraz ułomne osoby prawne pod warunkiem, że podmiot ten decyduje
o celach i środkach przetwarzania danych osobowych. Powoduje to, że każdorazowo, w zależności od
formy prowadzonej działalności oraz schematu organizacyjnego, administratorem danych może być inna
osoba. W przypadku osoby fizycznej prowadzącej działalność gospodarczą administratorem danych
będzie zwykle właściciel przedsiębiorstwa. Jednak w przypadku osób prawnych administratorem danych
może być sama osoba prawna, na przykład spółka, bank, korporacja ubezpieczeniowa. Istotne jest, iż
administratorem danych nie jest osoba lub osoby na stanowiskach kierowniczych, czyli nie będzie to
zarząd spółki ani dyrektor koncernu, ani też upoważniony pracownik, lecz podmiot wskazany przepisami
prawa. Administratorem danych jest kompleksowo podmiot przetwarzający dane osobowe, jeżeli
samodzielnie decyduje o celach i środkach przetwarzania danych, to jest podejmuje decyzje choćby
w zakresie zbierania danych lub ich udostępniania.
W doktrynie istnieje rozbieżność co do tego, czy administratorem danych konkretnego zbioru jest
jeden czy więcej administratorów. Naczelny Sąd Administracyjny w wyroku z dnia 30 stycznia 2002 r.,
sygn. akt II SA 1098/01, publikowanym na stronie www GIODO
10
, wskazał, iż administratorem danych
jest wyłącznie podmiot uprawniony do decydowania o celach i środkach przetwarzania danych, zaś
9
Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 3 czerwca 1998 r. w sprawie określenia podstawowych
warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do
przetwarzania danych osobowych (Dz. U. z 1998 r. Nr 80, poz. 521).
10
http://www.giodo.gov.pl/496/id_art/255/j/pl/
12
podmiot, który bezprawnie przywłaszczył sobie dane osobowe, nie jest administratorem danych,
a jedynie administrującym danymi.
W przypadku podmiotów publicznych wskazanie administratora danych może nastręczać
pewnych trudności. Wynika to ze specyfiki tych podmiotów i sposobu ich powoływania w drodze
ustawy. Można zatem przyjąć, iż o celach i środkach przetwarzania danych osobowych w przypadku
podmiotów publicznych decyduje ustawodawca. Jednocześnie zgodnie z art. 7 pkt 4 u.o.d.o.
administratorem danych może być podmiot wymieniony w art. 3, czyli organ, jednostka organizacyjna,
podmiot lub inna osoba wskazana w tym przepisie. Pojawia się tu dość szeroki krąg podmiotów
pasujących do definicji administratora danych. W publikacji „Rzeczpospolitej” z 6 kwietnia 1999 r.,
autorstwa R. Hausnera pt. Przetwarzanie danych osobowych: cel i środki wskazano, iż „o tym, czy dany
organ, jednostka organizacyjna albo innego rodzaju podmiot jest administratorem danych osobowych,
decyduje przede wszystkim rodzaj i charakter nadanych im przez prawo kompetencji z obszaru spraw
publicznych oraz wyznaczone ustawowo zadania. Do uznania danego podmiotu za administratora
danych potrzebna jest jednak zawsze analiza konkretnych przepisów mających zastosowanie w określonej
sytuacji, dokonywana często wedle skomplikowanych reguł interpretacji tekstu prawnego”.
W dyrektywie 95/46/WE
11
zapisano, iż w związku z możliwością określenia – w drodze ustawy
lub innych przepisach krajowych lub Wspólnotowych – celów i sposobów przetwarzania danych, co
wywołuje niejednokrotnie trudności w precyzyjnym określeniu osoby administratora danych, może nim
być podmiot lub osoba powoływana lub wskazana przez ustawodawstwo krajowe lub ustawodawstwo
Wspólnoty.
Takie rozwiązanie przyjęto jedynie w kilku krajowych ustawach, między innymi w:
9 ustawie z dnia 20 czerwca 1997 r. – Prawo o ruchu drogowym
12
, gdzie administratorem danych
zawartych w centralnej ewidencji pojazdów oraz centralnej ewidencji kierowców jest minister
właściwy do spraw wewnętrznych
9 ustawie z dnia 24 maja 2000 r. o Krajowym Rejestrze Karnym
13
, gdzie administratorem danych
określa się Biuro Informacyjne Krajowego Rejestru Karnego, a organem tego Biura jest dyrektor
Biura.
W pozostałych przypadkach brak jest wskazań podmiotów publicznych pełniących funkcję
administratora danych, co powoduje, iż w takich przypadkach należy badać konkretne przepisy oraz
okoliczności faktyczne pozwalające na określenie podmiotu lub osoby, w której zakresie kompetencji
znajduje się decydowanie o celach i środkach przetwarzania danych osobowych.
11
Dyrektywa 95/46/WE art. 2 lit. d).
12
Ustawa z dnia 20 czerwca 1997 r. - Prawo o ruchu drogowym (tj. Dz. U. z 2005 r. Nr 108, poz. 908 ze zm.)
13
Ustawa z dnia 24 maja 2000 r. o Krajowym Rejestrze Karnym (tj. Dz. U. z 2008 r. Nr 50, poz. 292 ze zm.)
13
Istotne jest, iż administrator danych nie jest zobowiązany do przetwarzania danych bezpośrednio
i osobiście. Byłoby to niemożliwe w przypadku, gdy administratorem danych jest podmiot taki jak bank
czy koncern farmaceutyczny. Administrator danych może wyznaczyć osobę lub podmiot odpowiedzialny
za faktyczne przetwarzanie danych. Jak podniesiono w przytoczonym wyżej wyroku NSA (sygn. akt II
SA 1098/01), administrator danych to nie osoba administrująca tymi danymi, co oznacza, że osoba,
w której dyspozycji znajdują się faktycznie dane osobowe, nie zawsze jest administratorem danych.
Ustawodawca przewidział możliwość powierzenia przez administratora danych ich przetwarzania.
Przy przekazywaniu danych winny być jednak spełnione zawarte w ustawie przesłanki. Przekazanie
powinno odbyć się wyłącznie w zakresie i celu określonym w umowie, zaś umowa musi być sporządzona
pisemnie. Ważne jest, że oba podmioty odpowiadają za należytą ochronę danych osobowych –
administrator danych na zasadach określonych w ustawie, a administrujący danymi w zakresie
określonym w art. 31 ust. 3 i 4 u.o.d.o.
Odróżnienie administratora danych od osoby administrującej stało się przedmiotem orzeczenia
Sądu Najwyższego
14
z dnia 11 grudnia 2000 r., sygn. akt II KKN 438/00, publikowanego w zbiorze
Orzecznictwo Sądu Najwyższego – Izba Karna i Wojskowa z 2001 r., nr 3-4, poz. 33. Teza druga
orzeczenia odnosi się bezpośrednio do rozgraniczenia administratora danych osobowych, czyli podmiotu,
który decyduje o celach i środkach przetwarzania tych danych, o którym mowa w art. 7 pkt 4 u.o.d.o.,
i osoby administrującej zbiorem danych, to jest osoby, która zarządza, zawiaduje zbiorem danych
w procesie ich przetwarzania, na podstawie umowy powierzenia w trybie art. 31 u.o.d.o.
Odpowiedzialność karna administrującego nie będącego administratorem danych wynika wyłącznie
z takiego jego zachowania, które ustawa o ochronie danych osobowych uznaje za karalne.
W u.o.d.o. pojawia się ponadto pojęcie administratora bezpieczeństwa informacji, nie wyjaśnione
w słowniczku regulowanym przez art. 7 u.o.d.o. Pojęcie to wprowadza art. 36 ust. 3 ustawy o ochronie
danych osobowych
15
na oznaczenie osoby wyznaczonej przez administratora danych, a której zadaniem
jest zapewnienie bezpieczeństwa informacji m.in. poprzez nadzorowanie przestrzegania zasad ochrony
danych osobowych. Ustawa nie wyłącza możliwości, aby administrator danych był jednocześnie
administratorem bezpieczeństwa informacji.
Zgoda osoby, której dane dotyczą – jest to oświadczenie woli, którego treścią jest zgoda na
przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda musi być wyraźna, nie jest
dopuszczalne wyrażanie zgody w formie domniemanej lub dorozumianej z oświadczenia woli o innej
treści. Zgoda może być odwołana w każdym czasie.
To zdanie wprowadzono do art. 7 pkt 5 ustawą z dnia
29.10.2010r. o zmianie ustawy o ochronie danych osobowych oraz niektórych innych ustaw (Dz. U. z 2010r. Nr
14
Postanowienie Sądu Najwyższego z 11 grudnia 2000 r., sygn. akt II KKN 438/00, publikowane w zbiorze Orzecznictwo
Sądu Najwyższego – Izba Karna i Wojskowa z 2001r., nr 3-4, poz. 33.
15
Pojęcie administratora bezpieczeństwa informacji w treści art. 36 ust. 3 u.o.d.o. wprowadzone zostało w drodze nowelizacji
z dnia 22 stycznia 2004 r.
14
229, poz. 1497). Zmiana weszła w życie 07.03.2011r.
Wobec posłużenia się przez ustawodawcę pojęciem
oświadczenia woli należy wskazać na przepisy kodeksu cywilnego (dalej k.c.) regulujące materię
oświadczeń woli, a także uwolnienia się od oświadczenia woli złożonego pod wpływem błędu czy
groźby
16
.
Jednocześnie osoba występująca o wyrażenie zgody na przetwarzanie danych osobowych, której
dane dotyczą, musi sformułować się w sposób wyraźny i jednoznaczny. Nie można posługiwać się
zawoalowaną treścią, zawierającą odesłanie do innych regulacji czy wzorów ogólnych umów lub
regulaminów.
Zwyczajowo stosowana formułka, spełniająca wymagania ustawy o ochronie danych osobowych,
brzmi:
Oświadczenie
Wyrażam zgodę na przetwarzanie moich danych osobowych przez (tu powinien być wpisany
podmiot, któremu udostępnione zostaną nasze dane osobowe, np. przyszły pracodawca, uczelnia
wyższa, przedsiębiorstwo, z którym nawiązujemy współpracę ect.) na zasadach określonych
w ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz. U. z 2002 r. Nr 101, poz.
926 ze zm.).
…………………………………
Podpis i data
Dodatkowo może być wpisany cel, w jakim dane osobowe mogą być przetwarzane, np. do celów
rekrutacji, postępowania kwalifikacyjnego i dokumentowania przebiegu prac Komisji Konkursowej ect.
Osobom wyrażającym zgodę na przetwarzanie ich danych osobowych powinna być
udzielona informacja odnośnie do:
- prawa dostępu do ich danych osobowych, a także możliwości ich poprawiania;
- kontroli przetwarzania danych i sposobu ich zabezpieczenia.
16
Art. 60-65 k.c. oświadczenie woli i jego wykładnia oraz art. 82-88 k.c. wady oświadczenia woli.
15
Odbiorca danych – jest to każdy, komu udostępnia się dane osobowe, z wyłączeniem:
a. osoby, której dane dotyczą;
b. osoby upoważnionej do przetwarzania danych;
c. przedstawiciela, o którym mowa w art. 31a;
d. podmiotu, o którym mowa w art. 31;
e. organów państwowych lub organów samorządu terytorialnego, którym dane są udostępniane
w związku z prowadzonym postępowaniem.
Pojęcie odbiorcy danych wprowadzone zostało do u.o.d.o. nowelą z dnia 22 stycznia 2004 r.
Definicja zawiera wyłączenie niektórych kategorii osób, w tym osoby, których dane dotyczą; osoby
upoważnione do przetwarzania danych i dopuszczone do przetwarzania danych na podstawie art. 37;
przedstawicieli administratorów danych mających siedzibę na terytorium państwa trzeciego,
a przetwarzających dane przy wykorzystaniu środków technicznych znajdujących się na terytorium
Rzeczypospolitej Polskiej, na podstawie art. 31a; podmioty, które przetwarzają dane na podstawie
umowy z administratorem na podstawie art. 31; oraz organy państwowe i organy samorządu
terytorialnego, którym dane zostały udostępnione w związku z prowadzonym przez te organy
postępowaniem. Wszystkie wymienione wyżej podmioty są wyłączone z wypełniania obowiązków
określonych w u.o.d.o., w tym obowiązków związanych z informowaniem osoby, której dane dotyczą,
o podmiotach, którym ich dane osobowe zostały udostępnione, w przypadku gdy nie są odbiorcami
danych. Oznacza to, że w takiej sytuacji administrator danych jest zwolniony z konieczności
informowania osoby, której dane dotyczą, o udostępnieniu jej danych podmiotom, które nie zostały
zaliczone do kategorii odbiorców danych, jak również nie musi odnotowywać przypadku udostępnienia
danych tym podmiotom. Istotne jest, że odbiorca danych nie oznacza osoby trzeciej.
Państwo trzecie – jest to państwo nienależące do Europejskiego Obszaru Gospodarczego.
Oznacza to, że chodzi o państwa nie będące państwami członkowskimi Unii Europejskiego ani
państwami członkowskimi Europejskiego Obszaru Gospodarczego, które nie są członkami UE
(Norwegia, Islandia i Lichtenstein). Pojęcie państwa trzeciego pojawiło się w u.o.d.o. w związku
z przystąpieniem Rzeczypospolitej Polskiej do Unii Europejskiej.
16
2. Organ ochrony danych osobowych
Organem do spraw ochrony danych osobowych jest Generalny Inspektor Ochrony Danych
Osobowych, powoływany przez Sejm Rzeczypospolitej Polskiej, za zgodą Senatu.
Generalny Inspektor Ochrony Danych Osobowych, zwany dalej GIODO, podlega wyłącznie
przepisom ustawy, co daje mu niezawisłość i niezależność względem innych organów państwowych
i samorządowych. GIODO podlega zatem wyłącznie Parlamentowi RP pod względem zgodności
wykonywanych zadań z przepisami u.o.d.o.
Generalny Inspektor pełni swoją kadencję przez cztery lata, które liczone są od daty złożenia
ślubowania. Tekst ślubowania uregulowany jest w art. 9 u.o.d.o.
U.o.d.o. określa bardzo szeroko i zarazem ogólnie kompetencje zadań GIODO wskazując, iż
w zakresie jego kompetencji znajdują się wszelkie sprawy dotyczące ochrony danych osobowych
17
.
Maksymalne sprawowanie urzędu może trwać nie dłużej niż przez dwie kadencje. W u.o.d.o. nie
jest określone, czy mają one następować bezpośrednio po sobie.
Innymi niż upływ czasu powodami wygaśnięcia pełnienia obowiązków przez GIODO może
być:
- śmierć osoby pełniącej funkcję Generalnego Inspektora Ochrony Danych Osobowych;
- odwołanie;
- utrata obywatelstwa polskiego.
Pełniąc obowiązki GIODO nie można zajmować innego stanowiska, z wyłączeniem stanowiska
profesora szkoły wyższej, ani też nie można wykonywać innych zajęć zawodowych. Nadto osoba ta nie
może przynależeć do żadnej partii politycznej, związku zawodowego, jak również nie może prowadzić
działalności publicznej, która naruszałaby godność sprawowanego urzędu.
GIODO objęty jest immunitetem, co oznacza, że pociągnięcie go do odpowiedzialności karnej, jak
również pozbawienie wolności może nastąpić wyłącznie za zgodą Sejmu. Zatrzymanie lub aresztowanie
GIODO może nastąpić wyłącznie w sytuacji ujęcia go na gorącym uczynku przy jednoczesnej
konieczności zatrzymania dla zapewnienia prawidłowego toku postępowania. W takim przypadku osoba
dokonująca zatrzymania winna niezwłocznie powiadomić Marszałka Sejmu, który może nakazać
zwolnienie zatrzymanej osoby pełniącej funkcje GIODO. Określa się to pojęciem immunitetu
formalnego.
17
Art. 8 ust. 1 u.o.d.o.
17
Do zadań Generalnego Inspektora należy w szczególności:
1. kontrola zgodności przetwarzania danych z przepisami o ochronie danych osobowych,
2. wydawanie decyzji administracyjnych i rozpatrywanie skarg w sprawach wykonania przepisów
o ochronie danych osobowych,
3. zapewnienie wykonania przez zobowiązanych obowiązków o charakterze niepieniężnym
wynikających z decyzji, o których mowa w pkt 2, przez stosowanie środków egzekucyjnych
przewidzianych w ustawie z dnia 17 czerwca 1966 r. o postępowaniu egzekucyjnym w administracji
(Dz. U. z 2005 r. Nr 229, poz. 1954, z późn. zm.),
4. prowadzenie rejestru zbiorów danych oraz udzielanie informacji o zarejestrowanych zbiorach,
5. opiniowanie projektów ustaw i rozporządzeń dotyczących ochrony danych osobowych,
6. inicjowanie i podejmowanie przedsięwzięć w zakresie doskonalenia ochrony danych osobowych,
7. uczestniczenie w pracach międzynarodowych organizacji i instytucji zajmujących się problematyką
ochrony danych osobowych.
Z powyższego wyszczególnienia wynika, że GIODO posiada dość szerokie kompetencje. Poza
kompetencjami przyznanymi w u.o.d.o., GIODO w zakresie kontroli zgodności przetwarzania danych
zgodnie z przepisami u.o.d.o. winien dbać o interes powszechny w zakresie objętym ustawą o ochronie
danych osobowych. Istotne jest, że dbałość ta ma się przejawiać nie tylko w obrębie u.o.d.o., ale
dokonywać analizy przepisów innych aktów prawnych, w szczególności w zakresie zgodności ich treści
z normami u.o.d.o.
Jednocześnie kontrola zgodności przetwarzania danych osobowych z obowiązującymi przepisami
powinna być prowadzona z inicjatywy należącej do Generalnego Inspektora, a nie wyłącznie w wyniku
złożonego wniosku czy zawiadomienia. Przy wykonywaniu swoich obowiązków GIODO nie może
wykorzystywać informacji pozyskanych w wyniku kontroli w żadnym innym celu, aniżeli cele wskazane
w u.o.d.o.
W wyniku prowadzonej działalności GIODO posiada uprawnienia do wydawania decyzji
administracyjnych i rozważania skarg w sprawach dotyczących wykonywania przepisów u.o.d.o. i innych
ustaw regulujących tematykę ochrony dóbr osobistych. Przepisy u.o.d.o. nadające te kompetencje
GIODO stanowią lex specialis względem przepisów art. 229-230 kodeksu postępowania
administracyjnego, dalej k.p.a.
Wyłącznie kompetencji GIODO, w tym zakresie może być związane wyłącznie wtedy, gdy zbiór
danych zawiera dane objęte tajemnicą państwową w zakresie obronności i bezpieczeństwa kraju lub
ochrony życia, zdrowia ludzi, mienia bądź bezpieczeństwa i porządku publicznego
18
. Dotyczy to również
sytuacji, gdy dane zostaną pozyskane w wyniku operacji wykonywanych przez funkcjonariuszy Agencji
18
Art. 43 ust. 1 pkt 1 u.o.d.o.
18
Bezpieczeństwa Wewnętrznego, Agencji Wywiadu, Służby Wywiadu Wojskowego, Służby
Kontrwywiadu Wojskowego, Centralnego Biura Antykorupcyjnego
19
.
Generalny Inspektor wykonuje swoje zadania przy pomocy Biura Generalnego Inspektora
Ochrony Danych Osobowych, zwanego dalej Biurem. Biuro działa na podstawie nadanego mu w drodze
rozporządzenia Prezydenta Rzeczypospolitej Polskiej statutu oraz zgodnie z regulaminem
organizacyjnym wprowadzonym w drodze zarządzenia Generalnego Inspektora Ochrony Danych
Osobowych w sprawie wprowadzenia Regulaminu Organizacyjnego Biura GIODO.
Obowiązki, jakie nakłada na GIODO u.o.d.o., wykonywane są przez upoważnione osoby pełniące
funkcje zastępcy Generalnego Inspektora oraz upoważnionych pracowników Biura, określanych mianem
inspektorów.
Ustawa o ochronie danych osobowych przewiduje uprawnienia zastępcy oraz inspektorów
w przedmiocie wykonywania obowiązków kontroli i dbałości o ochronę danych osobowych. Uprawnienia
inspektorów stanowią odpowiednik obowiązków kierowników kontrolowanych jednostek czy
podmiotów, zatem prawo inspektorów do wejścia na teren jednostki wiąże się z obowiązkiem osoby
odpowiedzialnej tej jednostki do wpuszczenia inspektora na jej teren. Prawo inspektora do wykonywania
czynności kontrolnych, żądania wyjaśnień, przesłuchiwania osób mających związek z przedmiotem
i zakresem kontroli, dokonywania oględzin, sporządzania kopii dokumentów wiąże się z obowiązkiem
kierowników jednostek oraz podmiotów kontrolowanych umożliwienia i udostępnienia tych działań
inspektorowi, do składania wyjaśnień i przedstawienia wszelkich dokumentów związanych
z przedmiotem i zakresem kontroli. Inspektorzy GIODO mają prawo wstępu do pomieszczeń, w których
przetwarzane są zbiory danych osobowych, jednakże prawo to mogą realizować po okazaniu imiennego
upoważnienia i legitymacji służbowej. Wzór upoważnienia i legitymacji stanowi załącznik do
rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 22 kwietnia 2004 r. w sprawie
wzorów imiennego upoważnienia i legitymacji służbowej inspektora Biura Generalnego Inspektora
Ochrony Danych Osobowych (Dz. U. z 2004 r. Nr 94, poz. 923), które wydane zostało na podstawie art.
22a u.o.d.o. Tym samym kierownicy jednostki organizacyjnej, jak również osoba fizyczna, która jest
administratorem danych osobowych, mają obowiązek umożliwić inspektorowi przeprowadzenie kontroli,
w tym wszelkich czynności i żądań, o których mowa wyżej. Kontrola dokumentów polegająca na
dostępie do zbioru zawierającego dane osobowe winna być przeprowadzana za pośrednictwem
upoważnionego przedstawiciela kontrolowanej jednostki organizacyjnej
20
.
Po dokonaniu czynności kontrolnych inspektor ma obowiązek sporządzić protokół, którego
egzemplarz doręcza się jednostce kontrolowanej. Treść protokołu określa art. 16 ust. 1a ustawy. Ustęp 1a
dodano art. 1 pkt 5 ustawy
z dnia 29.10.2010r. o zmianie ustawy o ochronie danych osobowych oraz niektórych
19
Art. 43 ust. 1 pkt 1a u.o.d.o.
20
Art. 15 ust. 2 u.o.d.o.
19
innych ustaw (Dz. U. z 2010r. Nr 229, poz. 1497). Zmiana weszła w życie 07.03.2011r.
Protokół winien być
podpisany przez inspektora dokonującego kontroli oraz administratora danych, u którego kontrola została
przeprowadzona. Administrator danych ma prawo wniesienia uwag i zastrzeżeń do protokołu
dotyczących czynności kontrolnych. W sytuacji, gdy administrator danych odmawia złożenia podpisu na
protokole, inspektor sporządzający protokół wpisuje o tym fakcie wzmiankę. Osoba, która odmówiła
złożenia podpisu ma prawo w terminie 7 dni wnieść do GIODO pismo wyjaśniające zdarzenie
i uzasadniające swoje stanowisko
21
.
W przypadku stwierdzenia, w wyniku przeprowadzonej kontroli, naruszenia przepisów o ochronie
danych osobowych inspektor występuje do GIODO celem zezwolenia na zastosowanie środków
przewidzianych w ustawie o ochronie danych osobowych. Do środków takich ustawodawca zaliczył
nakazanie przywrócenia stanu zgodnego z prawem poprzez:
1) usunięcie uchybień;
2) uzupełnienie, uaktualnienie, sprostowanie, udostępnienie bądź nieudostępnienie danych osobowych;
3) zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe;
4) wstrzymywanie przekazywania danych osobowych do państwa trzeciego;
5) zabezpieczenie danych bądź przekazanie ich innym podmiotom;
6) usunięcie danych osobowych, w tym anonimizację tych danych.
Zastosowanie wyżej wskazanych środków odbywa się w drodze decyzji administracyjnej
wydawanej przez Generalnego Inspektora. Decyzje GIODO o zastosowaniu tych środków naprawczych
nie mogą ograniczać swobody działania podmiotów zgłaszających kandydatów lub listy kandydatów
w wyborach na urząd Prezydenta Rzeczypospolitej Polskiej, do Sejmu, do Senatu i do organów
samorządu terytorialnego, a także w wyborach do Parlamentu Europejskiego, pomiędzy dniem
zarządzenia wyborów a dniem głosowania. Również w odniesieniu do danych zebranych w wyniku
czynności operacyjno-rozpoznawczych, dokonywanych przez funkcjonariuszy organów uprawnionych do
wykonywania tych czynności, decyzje GIODO nie mogą nakazywać usunięcia tych danych osobowych,
przy założeniu że czynności te przeprowadzone były zgodnie z obowiązującymi przepisami prawa.
Jeżeli w wyniku przeprowadzonej kontroli inspektorzy GIODO stwierdzą, iż działanie lub
zaniechanie kierownika jednostki organizacyjnej, osoby fizycznej czy innego podmiotu będącego
administratorem danych wyczerpuje znamiona przestępstwa określonego w u.o.d.o., Generalny Inspektor
Ochrony Danych Osobowych kieruje zawiadomienie o popełnieniu przestępstwa do organu zajmującego
się ich ściganiem. Wraz z zawiadomieniem GIODO winien dołączyć dokumenty na poparcie podejrzenia.
Po dokonaniu kontroli administrator danych, u którego była przeprowadzana kontrola, może
zwrócić się do GIODO o ponowne rozpatrzenie sprawy. Wniosek o ponowne rozpoznanie sprawy musi
21
Art. 16 ust. 3 u.o.d.o.
20
być złożony w terminie 14 dni od daty doręczenia decyzji. Wynika to z przepisów k.p.a.
22
, zaś zgodnie
z treścią art. 22 u.o.d.o. postępowanie w sprawach uregulowanych przez tę ustawę prowadzone jest
według przepisów k.p.a., o ile przepisy ustawy o ochronie danych osobowych nie stanowią inaczej.
W wyniku ponownego rozpoznania sprawy GIODO wydaje kolejną decyzję, w której utrzymuje
w mocy dotychczasową decyzję lub uchyla ją w części bądź w całości i w tym zakresie orzeka co do
istoty sprawy.
Decyzja Generalnego Inspektora wydana w wyniku ponownego rozpatrzenia sprawy jest
ostateczna, czyli nie przysługuje od niej odwołanie. Można wnieść na te decyzję wyłącznie skargę do
sądu administracyjnego. Uprawnienie do wniesienia skargi do sądu administracyjnego przysługuje tylko
po wniesieniu o ponowne rozpatrzenie sprawy. Skargę wnosi się w terminie 30 dni od daty doręczenia
decyzji skarżącemu (administratorowi danych lub innej stronie sprawy), za pośrednictwem GIODO.
Generalny Inspektor ma obowiązek przekazać skargę wraz z aktami sprawy do właściwego sądu
administracyjnego, nie dłużej niż w terminie 30 dni od daty jej wniesienia. GIODO może sporządzić
odpowiedź na skargę. Może też po wniesieniu skargi do dnia rozpoczęcia rozprawy uwzględnić skargę
w całości
23
.
Od dnia 17 maja w tym przepisie będzie dodane zdanie drugie w brzmieniu: „Uwzględniając skargę, organ
stwierdza jednocześnie, czy działanie, bezczynność lub przewlekłe prowadzenie postępowania miały miejsce bez
podstawy prawnej albo z rażącym naruszeniem prawa.”
Od wyroku sądu administracyjnego przysługuje skarga kasacyjna do Naczelnego Sądu
Administracyjnego
24
.
3.
Zasady przetwarzania danych osobowych, zabezpieczenie danych osobowych,
rejestracja zbiorów danych osobowych
Zasady przetwarzania danych osobowych
Administrator danych ma obowiązek stosować się do zasad określonych w u.o.d.o., która
dopuszcza przetwarzanie danych osobowych wyłącznie w wypadkach wskazanych
w ustawie, w szczególności gdy
25
:
1) osoba, której dane dotyczą, wyrazi wyraźną zgodę na przetwarzanie jej danych osobowych, poza
sytuacją gdy chodzi o usunięcie jej danych;
2) wynika to z konieczności realizowania uprawnienia lub obowiązku wynikających z przepisów
prawa;
22
Art. 129 § 2 k.p.a. w związku z art. 127 § 3 k.p.a.
23
Art. 54 § 3 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2002 r. Nr
153, poz. 1270 ze zm.), dalej p.p.s.a.
24
Art. 173 p.p.s.a.
25
Art. 23 ust. 1 u.o.d.o.
21
3) jest to potrzebne do realizacji umowy, a osoba, której dane dotyczą, jest stroną tej umowy albo jest
to niezbędne do wszczęcia czynności wynikających z zamiaru zawarcia umowy i dzieje się to na
żądanie osoby, której dane dotyczą;
4) wiąże się to z koniecznością wykonania określonych przepisami prawa zadań wykonywanych dla
dobra publicznego;
5) jest to nieodzowne dla wypełnienia usprawiedliwionych prawem działań i realizacji wskazanych
prawem celów, przy czym przetwarzanie danych osobowych nie narusza praw ani wolności osoby,
której dane dotyczą. Chodzi tu zwłaszcza o działania o charakterze marketingu bezpośredniego
własnych produktów i usług administratora danych oraz o przypadki dochodzenia roszczeń
związanych z prowadzoną działalnością gospodarczą.
Zgoda osoby, której dane mają być lub są przetwarzane, może dotyczyć przetwarzania danych
w przyszłości, pod warunkiem jednak, że cel tego przetwarzania nie ulegnie zmianie.
Wyjątkiem dopuszczonym przez przepisy u.o.d.o. w zakresie możliwości przetwarzania danych
osobowych bez zgody osoby, której dane dotyczą, jest przetwarzanie danych osobowych związane
z koniecznością ochrony żywotnych interesów tej osoby, przy czym udzielenie przez nią zgody jest nie
możliwe. Z chwilą, gdy powstaje taka możliwość, administrator danych musi tę zgodę uzyskać.
Administrator danych osobowych, pozyskując dane osobowe, jest zobowiązany informować
osoby, od których dane pozyskuje, o:
• swojej siedzibie, adresie, pełnej nazwie (osoba fizyczna będąca administratorem danych informuje
odpowiednio o swoim imieniu i nazwisku oraz miejscu zamieszkania);
• celu, w jakim dane są zbierane, w tym również o przewidywanych odbiorcach danych;
• prawie dostępu do danych osobowych osoby. której dane dotyczą. i możliwości ich edytowania;
• dobrowolności bądź obowiązku podania danych osobowych, w zależności od treści regulacji
prawnej danego przypadku.
Istotne jest, że administrator danych ma obowiązek chronić merytoryczną poprawność
pozyskiwanych danych osobowych. Oznacza to, iż zobowiązany jest czuwać nad ich poprawnością,
kompletnością i aktualnością. Każdorazowo administrator danych musi ocenić prawdziwość uzyskanych
danych osobowych; dotyczy to w szczególności źródła, z jakiego dane są pozyskiwane. Musi być ono
wiarygodne i nieprzypadkowe.
W celu ochrony danych osobowych administrator ma obowiązek ustalić zasady postępowania
przy ich zbieraniu, a także w sytuacji powzięcia wątpliwości lub pewności o nieprawdziwości danych
osobowych. Jeśli zbiór danych osobowych jest udostępniany przez administratora danych innym
administratorom, musi on niezwłocznie przekazywać im informacje w zakresie aktualizacji czy zmiany
danych osobowych. Przy tych wszystkich czynnościach pomocne są programy komputerowe – tu również
22
administratora danych obciąża obowiązek odpowiedniego ich stosowania i każdorazowo zapewnienia
bezpieczeństwa przetwarzanych danych.
Na administratorze danych spoczywa obowiązek zachowania szczególnej staranności w zakresie
ochrony danych i interesów osób, których dane są przetwarzane. Dlatego powinien zadbać
o przetwarzanie danych osobowych zgodnie z prawem, zbieranie danych w konkretnie określonych
celach i nieprzekazywanie ich w celu dalszego przetwarzania wykraczającego poza te cele, sprawdzać
poprawność i kompletność danych, przechowywać dane w sposób umożliwiający korzystanie z nich
w celach określonych, przez czas niezbędny do tego celu, ale nie dłuższy, oraz usunięcie danych
osobowych zgodnie z prawem.
Zabezpieczenie danych osobowych
Przetwarzając dane osobowe, administrator tych zbiorów ma obowiązek odpowiednio je
zabezpieczyć. Oznacza to, że ma stosować takie środki techniczne i organizacyjne, które zapewnią
odpowiednią ochronę przetwarzanych danych – dotyczy to w szczególności zabezpieczenia przez
nieuprawnionym dostępem osób niepowołanych czy „wyciekiem” danych, to jest utratą lub
uszkodzeniem, a nawet zniszczeniem danych osobowych znajdujących się w zbiorach administratora
danych.
W tym celu administrator, zgodnie z ustawą:
• prowadzi dokumentację opisującą sposoby przetwarzania danych osobowych oraz ich zabezpieczenia;
• wyznacza administratora bezpieczeństwa informacji (czasem jest nim sam administrator danych),
którego zadaniem jest nadzór nad przestrzeganiem ustalonych zasad ochrony zbiorów;
• upoważnia osoby uprawnione do przetwarzania danych będących w jego zbiorach i prowadzi imienną
listę tych osób;
• zapewnia kontrolę przetwarzania danych osobowych, zwłaszcza w zakresie, jakie dane osobowe,
w jakim czasie i przez jaką osobę zostały wprowadzone, zmienione lub usunięte, a także komu dalej
zostały przekazane.
Dla usystematyzowania i zapewnienia spójności sposobów ochrony danych osobowych, środki
bezpieczeństwa, sposoby prowadzenia dokumentacji przetwarzania danych, a także jej zakres, warunki
techniczne i organizacyjne, jakimi powinny charakteryzować się urządzenia i systemy informatyczne
zapewniające bezpieczeństwo zbiorów danych, określa rozporządzenie Ministra Spraw Wewnętrznych
i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych
oraz warunków technicznych i organizacyjnych, jakimi powinny odpowiadać urządzenia i systemy
informatyczne służące do przetwarzania danych osobowych.
23
Rozporządzenie to określa dokładny i prawidłowy:
1) sposób prowadzenia i zakres dokumentacji opisującej sposób przetwarzania danych osobowych
oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych
odpowiednią do zagrożeń oraz kategorii danych objętych ochroną;
2) podstawowe warunki techniczne i organizacyjne, jakim powinny odpowiadać urządzenia i systemy
informatyczne służące do przetwarzania danych osobowych;
3) wymagania w zakresie odnotowywania udostępniania danych osobowych i bezpieczeństwa
przetwarzania danych osobowych.
Ponadto rozporządzenie definiuje szereg pojęć używanych w zabezpieczaniu danych
osobowych, na potrzeby tego aktu wykonawczego, m.in.:
identyfikator użytkownika – jest to ciąg znaków literowych, cyfrowych lub innych, który w sposób
jednoznaczny identyfikuje osobę upoważnioną do przetwarzania danych osobowych w systemie
informatycznym;
hasło – to ciąg znaków literowych, cyfrowych lub innych, jakie powinny być znane wyłącznie jednej
osobie posiadającej uprawnienie do pracy w systemie informatycznym; oznacza to, że każda osoba
uprawniona winna posługiwać się odrębnym, znanym tylko sobie hasłem;
teletransmisja danych – to operacja przesyłania informacji przy pomocy sieci telekomunikacyjnej;
sieć telekomunikacyjna – to sieć telekomunikacyjna w rozumieniu art. 2 pkt 35 ustawy z dnia 16 lipca
2004 r. – Prawo telekomunikacyjne (Dz. U. z 2004 r. Nr 171, poz. 1800 ze zm.) w brzmieniu: „sieć
telekomunikacyjna – systemy transmisyjne oraz urządzenia komutacyjne lub przekierowujące, a także
inne zasoby, które umożliwiają nadawanie, odbiór lub transmisję sygnałów za pomocą przewodów, fal
radiowych, optycznych lub innych środków wykorzystujących energię elektromagnetyczną, niezależnie od
ich rodzaju”.
Wracając do wspomnianego rozporządzenia wykonawczego do u.o.d.o., dokumentację z zakresu
ochrony danych osobowych prowadzi się w sposób pisemny z zachowaniem polityki bezpieczeństwa
i zgodnie z instrukcją zarządzania systemem informatycznym służącą do przetwarzania danych
osobowych, zwaną „instrukcją”. Polityka bezpieczeństwa oraz instrukcja są wdrażane przez
administratora danych i to na nim spoczywa obowiązek sporządzenia ich zgodnie z obowiązującymi
przepisami u.o.d.o. oraz jej przepisów wykonawczych. Szczegóły dotyczące tego, co składa się na te
dokumenty, reguluje rozporządzenie w sprawie dokumentacji przetwarzania danych osobowych oraz
warunków technicznych i organizacyjnych, jakimi powinny odpowiadać urządzenia i systemy
informatyczne służące do przetwarzania danych osobowych.
24
Wobec różnorodności przetwarzanych danych, a co za tym idzie – różnych zagrożeń, przewidziane
są trzy poziomy bezpieczeństwa przetwarzania danych osobowych w systemie informatycznym:
1) podstawowy;
2) podwyższony;
3) wysoki.
Poziom podstawowy stosuje się, gdy:
1) w systemie informatycznym nie są przetwarzane dane wrażliwe, o których mowa w art. 27 u.o.d.o.,
a także gdy
2) żadne z urządzeń systemu informatycznego, służącego do przetwarzania danych osobowych, nie jest
połączone z siecią publiczną.
Poziom podwyższony stosuje się, gdy:
1) w systemie informatycznym przetwarzane są dane osobowe wrażliwe, o których mowa w art. 27
u.o.d.o., a także gdy
2) żadne z urządzeń systemu informatycznego, służącego do przetwarzania danych osobowych nie jest
połączone z siecią publiczną.
Poziom wysoki stosuje się, gdy przynajmniej jedno urządzenie systemu informatycznego,
służącego do przetwarzania danych osobowych, połączone jest z siecią publiczną.
Rejestracja zbiorów danych osobowych
Administrator danych osobowych ma obowiązek zgłoszenia zbioru danych do rejestracji
GIODO. Zgłoszenie takie powinno obejmować:
1) wniosek o wpisanie zbioru do rejestru zbiorów danych osobowych;
2) oznaczenie podmiotu prowadzącego zbiór administratora danych i adres jego siedziby lub miejsca
zamieszkania, w tym numer identyfikacyjny rejestru podmiotów gospodarki narodowej, jeżeli został
mu nadany, oraz podstawę prawną upoważniającą do prowadzenia zbioru, a w przypadku podmiotu
powierzenia przetwarzania danych podmiotowi, o którym mowa w art. 31, lub wyznaczenia
podmiotu, o którym mowa w art. 31a, oznaczenie tego podmiotu i adres jego siedziby lub miejsce
miejsca zamieszkania;
3) cel przetwarzania danych osobowych;
4) opis kategorii osób, których dane dotyczą, a także zakres przetwarzanych danych;
5) sposób pozyskiwania i udostępniania danych;
6) informację o odbiorcach lub kategoriach odbiorców, którym dane mogą być przekazywane;
25
7) opis środków technicznych i organizacyjnych zastosowanych w celach zabezpieczenia danych
osobowych, o których mowa w art. 36-39 u.o.d.o.;
8) informację o sposobie wypełnienia warunków technicznych i organizacyjnych, o których mowa w art.
39a u.o.d.o.;
9) informację dotyczącą ewentualnego przekazywania danych do państwa trzeciego.
Każda zmiana informacji w zbiorze danych osobowych powinna być zgłaszana do GIODO
w terminie 30 dni od dnia jej dokonania. Tryb zgłaszania zmian jest analogiczny jak rejestracja zbioru.
Ustawa o ochronie danych osobowych przewiduje wyjątki od obowiązku rejestracji zbioru
danych. Wynika to ze specyfiki przetwarzania danych osobowych, bowiem zbiorem danych osobowych
jest między innymi kalendarz z telefonami i adresami naszych znajomych. Byłoby utrudnieniem
i niepotrzebną drobiazgowością, gdyby ustawodawca zadecydował również o obowiązku rejestracji
takich danych przez wszystkie osoby posługujące się tego rodzaju zbiorami danych.
Stąd z obowiązku rejestracji zwolnione zostały osoby będące administratorami danych
26
:
− objętych tajemnicą państwową ze względu na obronność lub bezpieczeństwo państwa, ochronę życia
i zdrowia ludzi, mienia lub bezpieczeństwa i porządku publicznego;
− które zostały uzyskane w wyniku czynności operacyjno-rozpoznawczych przez funkcjonariuszy
organów uprawnionych do tych czynności;
− przetwarzanych przez właściwe organy dla potrzeb postępowania sądowego oraz na podstawie
przepisów o Krajowym Rejestrze Karnym;
− przetwarzanych przez Generalnego Inspektora Informacji Finansowej;
− przetwarzanych przez właściwe organy na potrzeby udziału Rzeczypospolitej Polskiej w Systemie
Informacyjnym Schengen oraz Wizowym Systemie Informacyjnym;
− dotyczących osób należących do kościoła lub innego związku wyznaniowego, o uregulowanej
sytuacji prawnej, przetwarzanych na potrzeby tego kościoła lub związku wyznaniowego;
− przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów
cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się;
− dotyczących osób korzystających z ich usług medycznych, obsługi notarialnej, adwokackiej, radcy
prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta;
− tworzonych na podstawie przepisów dotyczących wyborów do Sejmu, Senatu, Parlamentu
Europejskiego, rad gmin, rad powiatów i sejmików województw, wyborów na urząd Prezydenta
Rzeczypospolitej Polskiej, na wójta, burmistrza, prezydenta miasta oraz dotyczących referendum
ogólnokrajowego i referendum lokalnego;
26
Art. 43 ust. 1 u.o.d.o.
26
− dotyczących osób pozbawionych wolności na podstawie ustawy, w zakresie niezbędnym do
wykonania tymczasowego aresztowania lub kary pozbawienia wolności;
− przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości
finansowej;
− powszechnie dostępnych;
− przetwarzanych w celu przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia
szkoły wyższej lub stopnia naukowego;
− przetwarzanych w zakresie drobnych bieżących spraw życia codziennego.
Generalny Inspektor Ochrony Danych Osobowych prowadzi ogólnokrajowy rejestr zbiorów
danych osobowych. Rejestr ten jest jawny i dostępny dla każdego. Administrator danych ma prawo żądać
wydania mu zaświadczenia o fakcie zarejestrowania zbioru danych osobowych. Zaświadczenie takie
powinno zostać wydane niezwłocznie po dokonaniu rejestracji zbioru.
Jeżeli wniosek o rejestrację zbioru nie spełnia wymagań określonych w przepisach u.o.d.o.,
w szczególności art. 41 ust 1, lub przetwarzanie danych osobowych naruszałoby zasady określone
w przepisach art. 23 – 28 u.o.d.o., a także jeżeli urządzania i systemy informatyczne mające służyć
przetwarzaniu danych osobowych nie spełniają wymagań określonych w ustawie i aktach wykonawczych
do niej, GIODO ma prawo odmówić rejestracji
27
. W sytuacji odmowy rejestracji administrator danych
powinien szczegółowo prześledzić warunki planowanego przetwarzania i ochrony danych osobowych,
usunąć nieprawidłowości i zgłosić wniosek ponownie.
W przypadku prawidłowego zgłoszenia wniosku administrator danych może rozpocząć działania
w zakresie przetwarzania danych po zgłoszeniu lub zarejestrowaniu zbioru. W sytuacji odmowy
rejestracji, przy wniesieniu ponownego wniosku przetwarzanie danych można rozpocząć od chwili
zarejestrowania zbioru
(art. 44 ust. 5 ustawy).
Generalny Inspektor może wykreślić zbiór z rejestru. Odbywa się to w drodze decyzji
administracyjnej Inspektora, w sytuacji gdy zaprzestano przetwarzania danych osobowych lub rejestracja
została dokonana z naruszeniem obowiązujących przepisów prawa.
27
Art. 44 u.o.d.o.
27
4. Odpowiedzialność karna
Ustawa o ochronie danych osobowych zawiera również przepisy dotyczące odpowiedzialności
karnej. Są one uważane za jedne z bardziej restrykcyjnych. Stanowią występki
28
, co oznacza, że mogą
zostać popełnione umyślnie oraz nieumyślnie. Należy pamiętać, że nieznajomość prawa nie zwalnia od
odpowiedzialności. Przestępstwa uwzględnione w u.o.d.o. nie wyczerpują całego katalogu naruszeń
związanych z ochroną danych osobowych. Zawierają katalog najbardziej charakterystycznych
przestępstw ściganych z urzędu, a wiążących się ze złamaniem przepisów u.o.d.o. Specyfiką przestępstw
wymienionych w u.o.d.o. jest to, że nie tylko osoba, która dopuściła się naruszeń, zostanie skazana, ale do
odpowiedzialności może zostać pociągnięty także podmiot, w którym pracowała lub na rzecz którego
świadczyła usługi. Roszczenia, jakie może skierować poszkodowany wobec tego podmiotu, to
odszkodowanie za dokonane przestępstwo oraz zadośćuczynienie za doznane krzywdy. Dodatkowym
obciążeniem przy przestępstwach uregulowanych w u.o.d.o. jest fakt otrzymywania korzyści finansowych
związanych z owym naruszeniem.
Zgodnie z przepisami u.o.d.o. przestępstwem jest:
9 przetwarzanie w zbiorze danych osobowych, w sytuacji gdy ich przetwarzanie nie jest dopuszczalne
lub podmiot je przetwarzający nie posiada stosownego upoważnienia (art. 49 u.o.d.o.);
9 udostępnienie lub umożliwienie dostępu do danych osobowych przez administratora danych i osoby
przez niego upoważnione do ochrony zbiorów danych osobom nieupoważnionym (art. 51 u.o.d.o.);
9 umyślnie i nieumyślne naruszenie obowiązku odpowiedniego zabezpieczenia danych przed ich
zabraniem przez osoby nieupoważnione, a także przed uszkodzeniem lub zniszczeniem (art. 52
u.o.d.o.);
9 zaniechanie obowiązku zgłoszenia do rejestracji zbioru danych (art. 53 u.o.d.o.);
9 zaniechanie obowiązku informacyjnego względem osoby, której dane dotyczą, a także
nieprzekazywanie jej informacji o prawach przyznanych jej przez ustawę o ochronie danych
osobowych (art. 54 u.o.d.o.);
9 udaremnianie lub utrudnianie inspektorowi wykonania czynności kontrolnej (art. 54a u.o.d.o.).
28
Art. 7 ustawy z dnia 6 czerwca 1997 r. Kodeks karny (Dz. U. z 1997 r. Nr 88, poz. 553 ze zm.); przepis ten dzieli
przestępstwa na zbrodnie i występki. Występkiem jest czyn zabroniony zagrożony karą grzywny powyżej 30 stawek
dziennych, karą ograniczenia wolności albo karą pozbawienia wolności przekraczającą miesiąc.
28
5. Ochrona danych osobowych z uwzględnieniem specyfiki przykładowo
wskazanych stanowisk:
Przetwarzaniem danych osobowych jest wykonywanie wszelkich operacji na danych
osobowych, w tym między innymi:
- zbieranie;
- utrwalanie;
- przechowywanie;
- edytowanie i opracowywanie;
- udostępnianie;
- usuwanie.
Zgodnie z przepisami u.o.d.o., przetwarzanie danych osobowych dopuszczalne jest
w przypadku, gdy:
a) osoba, której dane dotyczą, wyrazi na to zgodę;
b) jest to niezbędne dla realizacji uprawnień lub wykonania obowiązku nałożonego przez obowiązujące
przepisy prawa;
c) jest to niezbędne dla wykonania przedmiotu umowy, przy czym osoba, której dane dotyczą, jest
stroną tej umowy, a także wtedy, gdy jest to konieczne dla zawarcia umowy na żądanie osoby, której
dane dotyczą;
d) jest to potrzebne do realizacji określonych przepisami prawa zadań mających na celu dobro
publiczne;
e) jest to nieodzowne dla spełnienia prawnie usprawiedliwionych celów wykonywanych przez
administratorów danych lub odbiorców danych, co jednocześnie nie narusza ani praw, ani wolności
osoby, której dane dotyczą.
Przedsiębiorca czy pracodawca mogą przetwarzać dane, co do których uzyskali zgodę osoby,
której dane dotyczą, ale też mogą przetwarzać niektóre dane osobowe na podstawie innych przepisów.
Chodzi tu o przepisy prawa pracy nakładające obowiązek sporządzania określonych dokumentów przez
pracodawców (umowa o pracę, akta pracownicze, świadectwo pracy), do czego niezbędne jest
przetwarzanie danych osobowych.
29
Danymi, które może pracodawca przetwarzać bez wyrażenia woli czy zgody osoby, której
dotyczą, są:
- imię, nazwisko;
- imiona rodziców;
- data urodzenia;
- miejsce zamieszkania lub adres korespondencyjny;
- wykształcenie;
- przebieg dotychczasowego zatrudnienia.
Pracodawca ma także możliwość domagania się podania przez pracownika takich danych jak numer
PESEL, imion i nazwisk dzieci pracownika, stanu zdrowia (nie dotyczy to stwierdzenia ciąży), warunków
rodzinnych i mieszkaniowych, w sytuacji gdy dane te potrzebne są do udostępnienia pracownikowi
dodatkowych świadczeń socjalnych.
Ważne jest, iż do przetwarzania danych osobowych, w szczególności służb kadrowych,
personalnych, administracyjnych i innych stanowisk mających dostęp do danych osobowych
i przetwarzających te dane w przedsiębiorstwie, dostęp mają wyłącznie osoby upoważnione imiennie
przez administratora danych. Powinno to znaleźć odzwierciedlenie w zakresie obowiązków
poszczególnych pracowników. Jednocześnie osoby nieupoważnione do przetwarzania danych osobowych
powinny mieć do nich dostęp w stopniu minimalnym i w zakresie nie naruszającym przepisów u.o.d.o
oraz innych regulacji zawierających przepisy chroniące dane osobowe. Oznacza to, że osoby zajmujące
się sprawami personalnymi powinny mieć to wyraźnie określone w zakresie obowiązków i upoważnienie
do przetwarzania danych osobowych winno obejmować wyłącznie dane konieczne do realizacji tych
obowiązków. Analogicznie pracownicy działu płac powinni mieć odpowiednio skonstruowany zakres
obowiązków, z którego winno wynikać upoważnienie do przetwarzania danych płacowych pracowników.
W różnych przedsiębiorstwach, u różnych pracodawców będzie to wyglądało inaczej. Każdorazowo
trzeba rozważyć strukturę zatrudnienia i odznaczyć, ile osób może mieć upoważnienie do przetwarzania
danych osobowych, jakie dane będą wchodziły w ten zakres i jak dane osobowe zostaną zabezpieczone
przed nieuprawnionych ich przetwarzaniem.
Warto dodać, że upoważnienie do przetwarzania danych administrator danych musi udzielić
w formie pisemnej; może być to ujęte w regulaminie pracy. Kopię upoważnienia powinno się umieścić
w aktach osobowych pracownika. Upoważnienie może mieć dowolną formę i treść, ważne, aby zawierało
imię, nazwisko upoważnionego pracownika, zakres upoważnienia, datę nadania mu uprawnień do
przetwarzania danych osobowych oraz zobowiązanie pracownika do zachowania w tajemnicy danych
i sposobów ich zabezpieczenia. Odrębnie pracodawca ma obowiązek posiadać listę pracowników
upoważnionych do przetwarzania danych osobowych, a w sytuacji, gdy ich zakresy są różne,
z uwzględnieniem tych różnic.
30
a) Specjalista do spraw personalnych
Specjalista do spraw personalnych najczęściej zajmuje się rekrutacją i prowadzeniem dokumentacji
pracowniczej. Rzadziej, w mniejszych zakładach pracy zajmuje się również sporządzaniem dokumentacji
płacowej.
W tym zakresie pracodawca – administrator danych winien upoważnić odpowiednich
pracowników zajmujących się sprawami personalnymi, z uwzględnieniem zakresu ich obowiązków
i zakresu przetwarzanych przez nich danych osobowych.
Warto dodać, że dane osobowe pracowników, w tym dane dotyczące ich wynagrodzenia, stanowią
tajemnicę służbową i podlegają ochronie.
Sąd Najwyższy w uchwale z dnia 16 lipca 1993 r., sygn. akt I PZP 28/93, publikowanej
w zbiorach Orzecznictwa Sądu Najwyższego Izba Pracy z 1994 r., z. 1, poz. 2, wskazał, iż ujawnienie
przez pracodawcę wysokości wynagrodzenia pracownika, bez jego zgody może stanowić naruszenie dóbr
osobistych tego pracownika. Pracodawca może bez zgody pracownika przekazywać jedynie informacje
dotyczących ogólnych zasad wynagradzania, bez wskazywania cech indywidualnych tego
wynagrodzenia. Wysokość indywidualnych poborów stanowi sferę prywatności. Ujawnienie wysokości
zarobków stanowi naruszenie dóbr osobistych, nie zaś danych osobowych.
Oznacza to, że administrator danych, a także osoba przez niego upoważniona nie ma prawa
podawać do ogólnej wiadomości pracowników kwot indywidualnie przyznanych premii, nagród czy
innych składników wynagrodzenia, jak również zindywidualizowanych wysokości poszczególnych
wynagrodzeń pracowników. Ogólnie znane powinny być wyłącznie zasady naliczania wynagrodzeń.
W odniesieniu do danych osobowych przetwarzanych przez pracodawców należy wskazać, iż osoby
upoważnione do ich przetwarzania, w szczególności specjalista do spraw personalnych, powinny mieć
świadomość, że:
1. dane osobowe objęte są tajemnicą służbową i muszą być odpowiednio zabezpieczone;
2. dostęp do danych osobowych mają wyłącznie osoby upoważnione przez pracodawcę;
niedopuszczalne jest pozostawianie akt pracowniczych czy innej dokumentacji zawierającej dane
osobowe bez nadzoru, czy to w postaci dokumentów pozostawionych swobodnie na biurku, czy też
dokumentacji niezabezpieczonej w komputerze;
3. pracownicy mają obowiązek podania danych osobowych wymienionych przez przepisy kodeksu
pracy, a pracodawca i pracownik przez niego upoważniony zajmujący się sprawami personalnymi
może dane te przetwarzać nawet bez zgody pracownika;
4. ujawnianie, nienależyte zabezpieczanie danych osobowych stanowi przestępstwo w rozumieniu
u.o.d.o. i podlega ściganiu.
31
Z drugiej strony, pracodawca powinien informować pracowników o konsekwencjach podawania
niekompletnych lub nieprawdziwych danych osobowych.
Pracownik, który zatai prawdziwe dane osobowe, naraża się na odpowiedzialność. Ma to miejsce
zwłaszcza, jeśli zatajenie danych powoduje utrudnienie lub uniemożliwienie wykonywania przez
pracodawcę, w tym służby personalne, obowiązków wynikających z przepisów prawa. Chodzi tu
w szczególności o obowiązki płatnika składek ZUS czy kwestie podatkowe związane z wynagrodzeniem
za pracę; także jeśli zatajenie danych wiąże się z chęcią pozyskania korzyści majątkowych czy to
z funduszu świadczeń socjalnych, czy też innych świadczeń.
b) Asystent zarządu
Ten zawód nie ma schematu i każdorazowo może oznaczać inne obowiązki i wymagać innych
kompetencji. Asystent zarządu styka się z różnorodnymi dokumentami czy zbiorami zawierającymi dane
osobowe. Każdorazowo wynika to ze specyfiki podmiotu zatrudniającego asystenta zarządu i powinno
mieć odzwierciedlenie w zakresie obowiązków tego pracownika oraz w upoważnieniu do przetwarzania
przez niego danych osobowych w określonym zakresie. Warto pamiętać, że asystent zarządu może mieć
dostęp do dokumentacji kadrowej, płacowej oraz do zbiorów danych osobowych kontrahentów
pracodawcy. To wszystko powinno być szczegółowo uregulowane na piśmie.
Jednocześnie pracodawca powinien szczególnie wyczulić asystenta zarządu na konieczność
dbałości o ochronę danych osobowych przetwarzanych w firmie oraz odpowiedniego ich zabezpieczania.
Asystent zarządu to zwykle stanowisko wymagające dużej dynamiki i narażające pracownika
niejednokrotnie na silny stres związany z nieprzewidywalnością niektórych sytuacji. Zawsze jednak
asystent zarządu winien dbać o odpowiednią ochronę danych osobowych i ich zabezpieczenie.
Niedopuszczalne jest pozostawianie zbiorów danych – czy to w postaci kartotek, czy dokumentów
przeznaczonych do podpisu przez zarząd, czy też zbiorów informatycznych – niezabezpieczonych
i narażonych na nieuprawnione ich przetwarzanie.
Przykładem sytuacji wymagającej znajomości przepisów u.o.d.o. jest wysyłka listów do
kontrahentów czy potencjalnych współpracowników, a nawet wspólników czy akcjonariuszy
administratora danych. Często zdarza się, że na kopertach umieszczane jest logo lub znak
charakteryzujący się cechami reklamy nadawcy. GIODO wydał decyzję, w której uznał przesyłanie
kopert zawierających nadruk o charakterze reklamy wyłącznie, jeśli adresat wyraził zgodę na
otrzymywanie materiałów reklamowych od tego konkretnego nadawcy
29
.
Podobnie jest w przypadku wysyłki materiałów informacyjnych i promocyjnych drogą
elektroniczną. Należy pamiętać o obowiązku wyrażenia zgody na otrzymywanie tą drogą przesyłek. Do
29
S. Wikariak, Nadruk to jest reklama, „Rzeczpospolita” z 13 lipca 2005 r., dodatek Prawo co dnia.
32
czasu zajęcia się przez GIODO tą kwestią panowała samowola i większość nadawców nie pytała
adresatów o zgodę i możliwość wysyłki materiałów. Od kilka lat sytuacja jest unormowana prawnie
i podlega ochronie GIODO.
Kolejnym istotnym zagadnieniem, z którym może zetknąć się asystent zarządu, są kwestie
przetwarzania danych osobowych dłużników administratora danych. Ważne, żeby wiedzieć, że
w przypadku posiadania roszczeń związanych z prowadzoną działalnością zarobkową nie jest potrzebna
zgoda dłużnika na przetwarzanie jego danych osobowych.
c) Menedżer administracji
Menedżer administracji bywa też określany jako zwierzchnik biura, najczęściej jest
odpowiedzialny za sprawną pracę biur, sekretariatów i zapewnienie odpowiedniej współpracy
i organizacji między tymi placówkami. Szczegółowe zakresy obowiązków mogą znacznie od siebie
odbiegać, są bowiem związane ze specyfiką danego podmiotu, który jest administratorem danych
osobowych.
Najczęściej praca menedżera administracji wiąże się z koordynowaniem przepływu informacji,
regulowaniem korespondencji, a także zapewnieniem należytej współpracy między poszczególnymi
oddziałami czy komórkami pracodawcy. Może on też zajmować się zaopatrzeniem biurowym oraz
kontaktami z kontrahentami oraz być odpowiedzialnym za kontakt z mediami. Tym bardziej osoba
zatrudniona na tym stanowisku powinna mieć świadomość istnienia u.o.d.o. oraz znać jej treść. Od tego
może zależeć dobre imię pracodawcy, ponadto może to uchronić przed kłopotami wynikającymi
z naruszenia przepisów o ochronie danych osobowych.
Kontrola z GIODO bywa często lekceważona, natomiast podobnie jak inne kontrole może pojawić
się w każdej chwili. Skutki takiej kontroli zależą często od osoby zajmującej właśnie stanowisko
menedżera administracji.
Wśród sytuacji, jakie mogą powodować konieczność sięgnięcia do u.o.d.o., można wskazać
osiągnięcia zespołów zatrudnionych u administratora danych czy jego poszczególnych pracowników.
Szczególnie dotyczy to przypadku, gdy pracodawcą jest uczelnia wyższa czy jednostka zajmująca się
opracowywaniem nowych technologii, ale również gdy pracodawca bierze udział w programach Fair play
czy podobnych. Może zdarzyć się tak, że pracownicy zdobędą wyróżnienie dla zatrudniającej ich
jednostki. Czy w takim przypadku menedżer administracji może zorganizować gablotę ze zdjęciami,
nazwiskami tych pracowników? Czy wolno przygotować miejsce, w którym administrator danych będzie
prezentował osiągnięcia swojej firmy, a przy okazji zamieszczał dane osobowe w postaci nazwisk
i wizerunków pracowników? Przyjęto, iż jest to przywilejem pracodawcy i nie może podlegać
restrykcjom u.o.d.o., bowiem pracownicy stanowią część przedsiębiorstwa i w czynnościach związanych
z wykonywaniem swoich obowiązków w takich sytuacjach jak wyróżnienia czy zdobyte nagrody dane
33
ich nie wymagają uzyskania zgody i mogą być przedstawiane, co nie stanowi naruszenia przepisów
u.o.d.o.
Menedżerowie administracji często odpowiadają za szkolenia wewnętrzne. Warto wykorzystać te
kompetencje i zorganizować szkolenie dla pracowników, w szczególności upoważnionych do
przetwarzania danych osobowych w przedsiębiorstwie, jak również zadbać o świadomość pracodawcy
i zatrudnionych tam osób w zakresie obowiązków i uprawnień administratora danych regulowanych
w u.o.d.o.
UWAGA !
Omówione wyżej charakterystyki oraz wybrane zagadnienia powiązane z poszczególnymi
stanowiskami mogą się przenikać i być wzajemnie powiązane. Są to zagadnienia, z jakimi mogą się
Państwo zetknąć, wykonując swoje obowiązki, chociaż nie w każdym przypadku. Specyfika każdej
firmy jest inna i inaczej też kształtują się kompetencje osób zajmujących takie stanowiska. Dlatego
proszę traktować powyższe opisy stanowisk jako porady, a nie wyznaczniki wykonywanych przez
Państwa obowiązków.
Część II. OCHRONA INFORMACJI NIEJAWNYCH
1. Nowa ustawa o ochronie informacji niejawnych
¾ Ustawa o ochronie informacji niejawnych
Dotychczas obowiązująca ustawa o ochronie informacji niejawnych z 22 stycznia 1999 r. była
wielokrotnie zmieniana. W 2005 r. otrzymała tekst jednolity. Trudności w stosowaniu przepisów ustawy
w praktyce oraz zachodzące zmiany spowodowały konieczność opracowania całkowicie nowego aktu
prawnego. Celem nadrzędnym nowej ustawy jest wprowadzenie jednolitych, spójnych rozwiązań,
usuwając tym samym narosłe wątpliwości interpretacyjne. Zmiana przepisów spowodowana jest również
wprowadzeniem do systemu ochrony informacji niejawnych nowych mechanizmów efektywnościowych,
w tym między innymi zarządzania ryzykiem, a także dostosowaniem ochrony informacji niejawnych do
nowoczesnych technologii i nowych regulacji obowiązujących w Unii Europejskiej oraz NATO.
Nowa ustawa datowana jest na 5 sierpnia 2010 r.
34
Ustawę z 2010 r. charakteryzują nowe rozwiązania:
• odejście od podziału informacji niejawnych na tajemnicą państwową i służbową;
• uproszczenie formalnych wykazów informacji niejawnych, w miejsce jednoznacznego
zobowiązania twórców informacji do kierowania się nowymi definicjami poszczególnych klauzul;
• zastosowanie modelu znanego z wielu państw Unii Europejskiej, to jest ustanowienie jednej,
zamiast dotychczasowych dwóch krajowych władz bezpieczeństwa w zakresie informacji
niejawnych;
• wprowadzenie zmian w zasadach regulujących postępowania sprawdzające, w szczególności
rozszerzenie zakresu stosowania k.p.a. oraz rezygnacja z prowadzenia postępowań wobec osób
ubiegających się o dostęp do informacji niejawnych o klauzuli „zastrzeżone”, a także
wprowadzenie terminu zawitego przy kontrolnych postępowaniach sprawdzających;
• wprowadzenie stosowania zarządzania ryzykiem przy formułowaniu wymogów bezpieczeństwa
fizycznego i teleinformatycznego, co stanowi przygotowanie do prezydencji naszego kraju w Unii
Europejskiej;
• odejście od ścisłej kontroli obiegu dokumentów o niższych klauzulach, w szczególności klauzuli
„zastrzeżone”, co stanowi analogię do rozwiązań panujących w UE oraz większości państw
członkowskich;
• wprowadzenie okresowego przeglądu dokumentów niejawnych celem ustalenia, czy informacje te
nadal spełniają ustawowe przesłanki, które były podstawą nadania im klauzuli tajności.
2. Podstawowe pojęcia – terminologia ustawy z 2010 r.
Podstawowe definicje i pojęcia wynikające z przepisów Ustawy z dnia 5 sierpnia 2010 r.
Nowa ustawa z 2010 r., zawiera inny słownik definicji pojęć niż obowiązująca do dnia 1 stycznia
2011 r. włącznie ustawa z 22 stycznia 1999 r. o ochronie informacji niejawnych. Jest on znacznie bardziej
rozbudowany względem dotychczas obowiązującego. Art. 2 precyzuje niektóre z pojęć używanych
w u.o.i.n., w tym definicje zawarte w następujących punktach tego przepisu:
Jednostka organizacyjna to:
1) organ władzy publicznej, w szczególności:
• Sejm i Senat Rzeczypospolitej Polskiej;
• Prezydent Rzeczypospolitej Polskiej;
• organy administracji rządowej;
• organy jednostek samorządu terytorialnego, a także inne podległe im jednostki organizacyjne lub
przez nie nadzorowane;
• sądy i trybunały;
35
• organy kontroli państwowej i ochrony prawa;
2) jednostki organizacyjne podległe Ministrowi Obrony Narodowej lub przez niego nadzorowane;
3) Narodowy Bank Polski;
4) państwowe osoby prawne i inne niż wymienione wyżej państwowe jednostki organizacyjne;
5) jednostki organizacyjne podległe organom władzy publicznej lub nadzorowane przez te organy;
6) przedsiębiorcy zamierzający ubiegać się albo ubiegający się o zawarcie umów związanych
z dostępem do informacji niejawnych lub wykonujący takie umowy albo wykonujący na podstawie
przepisów prawa zadania związane z dostępem do informacji niejawnych.
Rękojmia zachowania tajemnicy to zdolność osoby do spełnienia ustawowych wymogów dla
zapewnienia ochrony informacji niejawnych przed ich nieuprawnionym ujawnieniem, stwierdzona
w wyniku przeprowadzenia postępowania sprawdzającego.
Dokumentem jest każda utrwalona informacja niejawna.
Materiałem jest dokument lub przedmiot albo dowolna ich część, chronione jako informacja niejawna,
a zwłaszcza urządzenie, wyposażenie lub broń wyprodukowane albo będące w trakcie produkcji, a także
składnik użyty do ich wytworzenia.
Przetwarzaniem informacji niejawnych są wszelkie operacje wykonywane w odniesieniu do informacji
niejawnych i na tych informacjach, w szczególności ich wytwarzanie, modyfikowanie, kopiowanie,
klasyfikowanie, gromadzenie, przechowywanie, przekazywanie lub udostępnianie.
Dotychczasowy brak definicji tego pojęcia powodował konieczność częstego wyliczania
w dotychczasowym brzmieniu u.o.i.n. różnych kategorii czynności wykonywanych wobec informacji
niejawnych.
Systemem teleinformatycznym jest system teleinformatyczny w rozumieniu art. 2 pkt 3 ustawy z dnia
18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz. U. z 2002 r. Nr 144, poz. 1204, ze zm.).
Dokumentem szczególnych wymagań bezpieczeństwa jest systematyczny opis sposobu zarządzania
bezpieczeństwem systemu teleinformatycznego.
Dokumentem procedur bezpiecznej eksploatacji systemu teleinformatycznego jest opis sposobu
i trybu postępowania w sprawach związanych z bezpieczeństwem informacji niejawnych przetwarzanych
w systemie teleinformatycznym oraz zakres odpowiedzialności użytkowników systemu
teleinformatycznego i pracowników mających do niego dostęp.
Dokumentacją bezpieczeństwa systemu teleinformatycznego jest dokument szczególnych wymagań
bezpieczeństwa oraz dokument procedur bezpiecznej eksploatacji systemu teleinformatycznego,
opracowane zgodnie z zasadami określonymi w u.o.i.n.
Akredytacją bezpieczeństwa teleinformatycznego jest dopuszczenie systemu teleinformatycznego do
przetwarzania informacji niejawnych.
36
Certyfikacją jest proces potwierdzania zdolności urządzenia, narzędzia lub innego środka do ochrony
informacji niejawnych.
Audytem bezpieczeństwa systemu teleinformatycznego jest weryfikacja poprawności realizacji
wymagań i procedur, określonych w dokumentacji bezpieczeństwa systemu teleinformatycznego.
Przedsiębiorcą jest przedsiębiorca w rozumieniu art. 4 ustawy z dnia 2 lipca 2004 r. o swobodzie
działalności gospodarczej (Dz. U. z 2007 r. Nr 155, poz. 1095, z późn. zm.) lub każda inna jednostka
organizacyjna, niezależnie od formy własności, która w ramach prowadzonej działalności gospodarczej
zamierza realizować lub realizuje związane z dostępem do informacji niejawnych umowy lub zadania
wynikające z przepisów prawa. U.o.i.n. będzie odnosić się nie tylko do przedsiębiorców, jednostek
naukowych i badawczo-rozwojowych, jak dotychczas, ale także do wszelkich innych jednostek
organizacyjnych, które w ramach prowadzonej działalności gospodarczej realizują umowy lub zadania
związane z dostępem do informacji niejawnych; dotychczasowa definicja pomijała spółdzielnie i inne
jednostki działające na podstawie odrębnych ustaw.
Kierownikiem przedsiębiorcy jest członek jednoosobowego zarządu lub innego jednoosobowego
organu zarządzającego, a jeżeli organ jest wieloosobowy – cały organ albo członek lub członkowie tego
organu wyznaczeni co najmniej uchwałą zarządu do pełnienia funkcji kierownika przedsiębiorcy,
z wyłączeniem pełnomocników ustanowionych przez ten organ lub jednostkę. W przypadku spółki
jawnej i spółki cywilnej kierownikiem przedsiębiorcy są wspólnicy prowadzący sprawy spółki,
w przypadku spółki partnerskiej – wspólnicy prowadzący sprawy spółki albo zarząd, a w odniesieniu do
spółki komandytowej i spółki komandytowo-akcyjnej – komplementariusze prowadzący sprawy spółki.
W przypadku osoby fizycznej prowadzącej działalność gospodarczą kierownikiem przedsiębiorcy jest ta
osoba; za kierownika przedsiębiorcy uważa się również likwidatora, a także syndyka lub zarządcę
ustanowionego w postępowaniu upadłościowym. Kierownik przedsiębiorcy jest kierownikiem jednostki
organizacyjnej w rozumieniu przepisów ustawy.
Brak definicji tego pojęcia powodował liczne wątpliwości i konieczność formułowania przez służby
ochrony państwa doraźnych interpretacji w postępowaniach bezpieczeństwa przemysłowego, zwłaszcza
w przypadku zarządów wieloosobowych, a także spółek cywilnych, jawnych, partnerskich,
komandytowych oraz przedsiębiorców w stanie upadłości.
Ryzykiem jest kombinacja prawdopodobieństwa wystąpienia zdarzenia niepożądanego i jego
konsekwencji.
Szacowaniem ryzyka jest całościowy proces analizy i oceny ryzyka.
Zarządzanie ryzykiem to skoordynowane działania w zakresie zarządzania bezpieczeństwem informacji,
z uwzględnieniem ryzyka.
Zatrudnieniem jest również odpowiednio powołanie, mianowanie lub wyznaczenie.
37
Nowa ustawa o ochronie informacji niejawnych zawiera zmiany powodujące ograniczenie zakresu
informacji objętych ochroną, co w konsekwencji zwiększa zakres informacji publicznej. To zaś wpływa
na większą jawność życia publicznego i jego dostępność. Za regulacjami przyjętymi w Unii Europejskiej
oraz większości państw członkowskich powiększa to w Rzeczypospolitej Polskiej sferę wolności i praw
jednostek, co ma bezpośredni związek z nadchodzącym przewodnictwem Polski w UE
30
.
Ochrona informacji niejawnych nie jest przedmiotem regulacji Unii Europejskiej i nie jest to
konieczność narzucona przez porządek prawny Unii. Konieczność dokonania zmian i dostosowania
polskiego systemu ochrony informacji niejawnych do praktyki i reguł obowiązujących w instytucjach
krajów członkowskich Unii i w niej samej wynikła z trudności, jakie nastręczałoby pozostawienie
dotychczas obowiązujących przepisów ustawy o ochronie informacji niejawnych z 1999 r. Ustawa ta,
przygotowana ponad 10 lat temu, choć wielokrotnie zmieniana, nie była w stanie sprostać współczesnym
wymaganiom. Odstawała od terminologii i systemów wykorzystywanych w UE i jej krajach
członkowskich. To wszystko spowodowało konieczność przyspieszenia prac legislacyjnych i dało efekt
w postaci nowej ustawy uchwalonej przez Sejm w dniu 5 sierpnia 2010 roku, a podpisanej przez
Prezydenta Rzeczypospolitej Polskiej w dniu 30 sierpnia.
Nadchodząca prezydencja RP w Radzie UE przy dotychczasowym systemie ochrony informacji
niejawnych spowodowałaby szereg utrudnień, co wiąże się w szczególności z brakiem elastyczności
naszego systemu ochrony oraz rygorystyczną ochroną przewidzianą nawet dla dokumentów o niskim
stopniu tajności. Dla sprawnego działania poszczególnych grup roboczych, szybkiego przekazywania
i bieżącego wykorzystywania informacji konieczne były zmiany. Ponadto prezydencja wymaga spójności
i jasności w systemie ochrony informacji niejawnych dla zapewnienia współpracy państw członkowskich
i instytucji UE w tym okresie. Nowa ustawa dokonuje wielu uproszczeń, wpływ na to ma również
planowane zmniejszenie liczby jednostek organizacyjnych przetwarzających informacje niejawne.
Wprowadzona została zasada, iż ochronie według przepisów nowej u.o.i.n. mają podlegać wyłącznie te
informacje, których ujawnienie przyniosłoby szkody interesom państwa, zaś postępowanie
z informacjami dotyczącymi obywateli i jednostek organizacyjnych, a objętymi tajemnicami różnego
rodzaju, pozostaje uregulowane odrębnymi aktami prawnymi. Co ważne, rozszerzono możliwość
stosowania k.p.a. w postępowaniach sprawdzających. Dotychczas nie było podstawy prawnej dla pełnego
stosowania tych przepisów. Zmiany spowodują zmniejszenie liczby informacji podlegających
konieczności ochrony, co powinno pozytywnie wpłynąć na oszczędności państwa.
Załączniki:
1) Ustawa o ochronie danych osobowych – tekst obowiązujący na dzień 15 kwietnia 2011 r.
2) Ustawa o ochronie informacji niejawnych – tekst obowiązujący na dzień 15 kwietnia 2011 r.
30
Prezydencja w UE oznacza sprawowanie przez kolejne 6 miesięcy przewodnictwa nad pracami Rady Unii Europejskiej.
Oznacza to odpowiedzialność za organizację spotkań w UE oraz nadawanie kierunku politycznego UE, a także
odpowiedzialność za rozwój i bezpieczeństwo UE. Polska ma objąć prezydencję 1 lipca 2011 r.