Anna Szamańska-Teliczek

OCHRONA DANYCH OSOBOWYCH

I INFORMACJI NIEJAWNYCH

2

Skrypt opracowany w ramach działalności

Instytutu Europejskiego

i

Studium Prawa Europejskiego

w Warszawie

ul. Prosta 2/14 lok. 204, 00-850 Warszawa

tel./fax. 22/833-38-90; 833-39-90

www.uniaeuropejska.net.pl

e-mail: info@spe.edu.pl

Wydawca:

Instytut Europejski

ul. Prosta 2/14, 00-850 Warszawa

Tel./fax. 22/833-38-90; 833-39-90

e-mail: info@spe.edu.pl

Copyright by

Instytut Europejski

3

SPIS TREŚCI:

WPROWADZENIE

4

Podstawa

prawna

–

regulacje

krajowe

4

Część I. OCHRONA DANYCH OSOBOWYCH

8

1. Podstawowe pojęcia

–

terminologia

ustawowa 8

2. Organ

ochrony

danych

osobowych

17

3. Zasady przetwarzania danych osobowych, zabezpieczenie danych

osobowych, rejestracja zbiorów danych

osobowych

22

4. Odpowiedzialność karna

29

5. Ochrona danych osobowych z uwzględnieniem specyfiki przykładowo

wskazanych stanowisk:

30

a.

Specjalista

do

spraw

personalnych

32

b. Asystent zarządu

34

c. Menedżer administracji

35

Część II. OCHRONA INFORMACJI NIEJAWNYCH

37

1. Obowiązująca i nowa ustawa o ochronie informacji niejawnych

37

2. Podstawowe pojęcia – terminologia ustawy 1999 r. oraz ustawy z 2010 r.

28

4

WPROWADZENIE

Podstawa prawna – regulacje krajowe

Ochrona danych osobowych stanowi jedną z ważniejszych dziedzin z zakresu

działalności przedsiębiorstwa – czy to z punktu widzenia przedsiębiorcy jako pracodawcy,

przedsiębiorcy przetwarzającego dane kontrahentów czy też pracowników zajmujących się

przetwarzaniem danych przy rekrutacji i zatrudnianiu, administrowaniu wszelkimi

dokumentami będącymi w obiegu firmy, korespondencji, dokumentach zarządu itp.

W pierwszym rozdziale niniejszego opracowania znajdzie się przybliżenie istoty

ochrony danych osobowych oraz krótki komentarz do obowiązujących przepisów prawa. Dla

wygody osób korzystających z opracowania przyjęto układ i kolejność omawianych

zagadnień tożsame z porządkiem regulacji ustawowej.

W dalszych rozdziałach przedstawiona zostanie specyfika najistotniejszych stanowisk

w przedsiębiorstwie, które stykają się z przetwarzaniem danych osobowych i z tego względu

powinny dysponować szczególną znajomością zagadnienia ochrony tych danych.

W drugiej części opracowania omówiona zostanie obowiązująca ustawa o ochronie

informacji niejawnych, z uwzględnieniem zmian wprowadzonych nową ustawą z 5 sierpnia

2010 r. o ochronie informacji niejawnych.

Podstawowe akty prawne w zakresie krajowego porządku prawnego dotyczącego

ochrony danych osobowych oraz informacji niejawnych:

¾ Ustawa zasadnicza – Konstytucja Rzeczypospolitej Polskiej z dnia 2 kwietnia 1997 r.

(Dz. U. z 1997 r. Nr 78, poz. 483)

1

Konstytucja reguluje ochronę danych osobowych jako prawo każdego człowieka do

ochrony prawnej życia prywatnego, rodzinnego, czci i dobrego imienia oraz do decydowania

o swoim życiu osobistym.

Nadto nikt, a więc nie tylko obywatele polscy, ale również obcokrajowcy

i bezpaństwowcy, nie może być zobowiązany do ujawniania informacji dotyczących jego

osoby. Może się to stać wyłącznie w ściśle określonych prawem sytuacjach, a prawo to musi

mieć rangę ustawową. Władze publiczne nie mogą pozyskiwać, gromadzić i udostępniać

1

Konstytucja reguluje tematykę ochrony danych osobowych w art. 47 i 51.

5

innych informacji o obywatelach dowolnie, wolno im to robić wyłącznie w sytuacjach

niezbędnych w demokratycznym państwie prawnym, przy czym każdy ma prawo dostępu do

dotyczących go urzędowych dokumentów i zbiorów danych. Ograniczenie tego prawa może

nastąpić wyłącznie w akcie prawnym rangi ustawowej. Każdy, kogo dane osobowe są

pozyskiwane, gromadzone, przetwarzane, przechowywane czy udostępniane w prawnie

dopuszczalnym celu, ma prawo żądać sprostowania tych danych, a także ich usunięcia, jeśli

zawierają informacje nieprawdziwe, niepełne lub zebrane w sposób sprzeczny z ustawą.

Zasady i tryb gromadzenia oraz udostępniania informacji określa ustawa.

¾ Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz. U. z 2002 r.

Nr 101, poz. 926 ze zm.), dalej zwana ustawą o ochronie danych osobowych lub

u.o.d.o.

Ustawa zapewnia prawo każdego do ochrony danych osobowych jego dotyczących.

Jednocześnie określa granice przetwarzania danych osobowych, formułując dyspozycję

ustawową pozwalającą na przetwarzanie danych osobowych wyłącznie w sytuacji, gdy chodzi

o dobro publiczne, dobro osoby, której dane dotyczą, bądź dobro osób trzecich, w zakresie

i trybie uregulowanym ustawą u.o.d.o. Ustawa o ochronie danych osobowych określa zasady

postępowania przy przetwarzaniu danych osobowych, a także prawa osób, których dane są

lub mogą być przetwarzane. U.o.d.o. dotyczy wyłącznie osób fizycznych.

Ustawę stosuje się do przetwarzania danych osobowych znajdujących się w:

- kartotekach, księgach, wykazach, a także w innych zbiorach ewidencyjnych;

- systemach informatycznych.

Zbiory danych sporządzane dorywczo, na potrzeby różnego rodzaju szkoleń czy też ze

względów technicznych, powinny być po ich wykorzystaniu usuwane i poddawane

anonimizacji

2

, o czym mówi u.o.d.o. w rozdziale piątym.

Ustawa o ochronie danych osobowych obowiązuje mające siedzibę lub miejsce

zamieszkania na terytorium Rzeczypospolitej Polskiej, jak również w państwie trzecim,

gdy przetwarzają dane osobowe przy użyciu środków technicznych znajdujących się na

terytorium Rzeczypospolitej Polskiej:

9 organy państwowe, organy samorządowe oraz państwowe i komunalne jednostki

organizacyjne;

2

Anonimizacja jest to proces uniemożliwiający odkrycie tożsamości. W przypadku ochrony danych osobowych

oznacza takie przetwarzanie danych, aby zapewnić prywatność i w pełnym znaczeniu ochronę pozyskanych
i przetwarzanych danych osobowych. Pojęcia to pochodzi prawdopodobnie od słowa anonimowość, anonim.

6

9 podmioty niepubliczne realizujące zadania publiczne;

9 osoby fizyczne i osoby prawne, a także jednostki organizacyjne nie będące osobami

prawnymi (ułomne osoby prawne), które w ramach prowadzonej działalności

zarobkowej, zawodowej i statutowej oraz w związku z tą działalnością przetwarzają

dane osobowe.

U.o.d.o. nie ma zastosowania w stosunku do:

- osób fizycznych, które dane osobowe przetwarzają wyłącznie w celach osobistych lub

domowych;

- podmiotów mających siedzibę lub miejsce zamieszkania w państwie trzecim, lecz

wykorzystujących środki techniczne znajdujące się na terytorium Rzeczypospolitej

Polskiej, pod warunkiem iż służą one jedynie do przekazywania danych;

- oraz gdy umowa międzynarodowa, której stroną jest Rzeczpospolita Polska, stanowi

inaczej.

Ponadto nowelizacją z dnia 22 stycznia 2004 r. wprowadzono art. 3a ust. 2,

zgodnie z którym ograniczenie stosowania u.o.d.o. dotyczy:

- działalności prasowej dziennikarskiej, o której mowa w ustawie z dnia 26 stycznia

1984 r. – Prawo prasowe

3

;

- działalności literackiej i artystycznej, przy założeniu że wolność wyrażania poglądów

oraz rozpowszechniania informacji nie narusza prawa i wolności osoby, której dotyczą;

z wyjątkiem art. 14-19 i 36 ust. 1 u.o.d.o.

Oznacza to, że w przypadku rodzajów działalności wymienionych powyżej podmioty

te zostały zwolnione z większości obciążeń i powinności nałożonych przez u.o.d.o.,

z wyjątkiem przepisów dotyczących kontroli sprawowanej przez Generalnego Inspektora

Ochrony Danych Osobowych (art. 14-19 u.o.d.o.) oraz obowiązku zabezpieczenia i ochrony

przetwarzanych danych osobowych (art. 36 ust. 1 u.o.d.o.). Co za tym idzie, podmioty te mają

obowiązek stosowania odpowiednich środków technicznych w celu zapewnienia ochrony

przetwarzanych danych osobowych, związanych z prowadzoną działalnością dziennikarską,

artystyczną, literacką. Zabezpieczenie danych osobowych podlega kontroli Generalnego

Inspektora Ochrony Danych Osobowych.

3

Ustawa z dnia 26 stycznia 1984 r. Prawo prasowe (Dz. U. z 1984 r. Nr 5, poz. 24 ze zm.).

7

Wybrane akty wykonawcze do ustawy:

¾ Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 11 grudnia 2008 r.

w sprawie wzoru zgłoszenia zbioru do rejestracji Generalnemu Inspektorowi Ochrony

Danych Osobowych (Dz. U. z 2008 r. Nr 229, poz. 1536);

¾ Rozporządzenie Prezydenta Rzeczypospolitej Polskiej z dnia 3 listopada 2006 r.

w sprawie nadania statutu Biuru Generalnego Inspektora Ochrony Danych Osobowych

(Dz. U. z 2006 r. Nr 203, poz. 1494);

¾ Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r.

w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych

i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne

służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024);

¾ Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 22 kwietnia 2004 r.

w sprawie wzorów imiennego upoważnienia i legitymacji służbowej inspektora Biura

Generalnego Inspektora Ochrony Danych Osobowych (Dz. U. z 2004 r. Nr 94, poz. 923).

¾ Ustawa z dnia 22 stycznia 1999 r. o ochronie informacji niejawnych (t.j. Dz. U.

z 2005 r. Nr 196, poz. 1631 ze zm.), dalej zwana ustawą o ochronie informacji

niejawnych lub u.o.i.n.

Wybrane akty wykonawcze do ustawy:

¾ Rozporządzenie Rady Ministrów z dnia 1 czerwca 2010 r. w sprawie organizacji

i funkcjonowania kancelarii tajnych (Dz. U. z 2010 r. Nr 114, poz. 765 – obowiązuje od

1 stycznia 2011 r.);

¾ Rozporządzenie Rady Ministrów z dnia 18 października 2005 r. w sprawie organizacji

i funkcjonowania kancelarii tajnych (Dz. U. z 2005 r. Nr 208, poz. 1741);

¾ Rozporządzenie Prezesa Rady Ministrów z dnia 5 października 2005 r. w sprawie sposobu

oznaczania materiałów, umieszczania na nich klauzul tajności, a także zmiany nadanej

klauzuli tajności (Dz. U. z 2005 r. Nr 205, poz. 1696);

¾ Rozporządzenie Prezesa Rady Ministrów z dnia 29 września 2005 r. w sprawie trybu

i sposobu przyjmowania, przewożenia, wydawania i ochrony materiałów zawierających

informacje niejawne (Dz. U. z 2005 r. Nr 200, poz. 1650 ze zm.);

¾ Rozporządzenie Rady Ministrów z dnia 8 września 2005 r. w sprawie wzorów

kwestionariusza bezpieczeństwa przemysłowego,

świadectwa bezpieczeństwa

przemysłowego, decyzji o odmowie wydania świadectwa bezpieczeństwa przemysłowego

8

oraz decyzji o cofnięciu świadectwa bezpieczeństwa przemysłowego (Dz. U. z 2005 r. Nr

181, poz. 1504 ze zm.)

¾ Rozporządzenie Prezesa Rady Ministrów z dnia 25 sierpnia 2005 r. w sprawie

szczegółowego trybu przygotowania i prowadzenia przez służby ochrony państwa kontroli

w zakresie ochrony informacji niejawnych (Dz. U. z 2005 r. Nr 171, poz. 1430);

¾ Rozporządzenie Prezesa Rady Ministrów z dnia 25 sierpnia 2005 r. w sprawie wzorów

zaświadczeń stwierdzających odbycie szkolenia w zakresie ochrony informacji

niejawnych (Dz. U. z 2005 r. Nr 171, poz. 1432 ze zm.);

¾ Rozporządzenie Prezesa Rady Ministrów z dnia 25 sierpnia 2005 r. w sprawie

podstawowych wymagań bezpieczeństwa teleinformatycznego (Dz. U. z 2005 r. Nr 171,

poz. 1433 ze zm.)

Część I. OCHRONA DANYCH OSOBOWYCH

1.

Podstawowe pojęcia – terminologia ustawowa

4

Dane osobowe – ustawa u.o.d.o. definiuje dane osobowe jako wszelkie informacje

dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.

Szczególnym rodzajem danych osobowych są tak zwane dane wrażliwe, określane też

mianem danych sensytywnych. Przetwarzanie tych danych osobowych poddane jest

szczególnym zasadom i ograniczeniom. Za dane wrażliwe ustawodawca uznał takie, które

zawierają informacje o:

− pochodzeniu rasowym lub etnicznym;
− poglądach politycznych;
− przekonaniach religijnych lub filozoficznych;
− przynależności wyznaniowej, partyjnej lub związkowej;
− stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym;
− skazaniach, orzeczeniach o ukaraniu i mandatach karnych, a także innych

orzeczeniach wydanych w postępowaniu sądowym lub administracyjnym.

4

Definicje pojęć pochodzą z art. 6 zawierającego objaśnienie najważniejszych pojęć oraz art. 7 ustawy

o ochronie danych osobowych, zawierającego słowniczek ustawowy.

9

Osoba możliwa do zidentyfikowania – to osoba, której tożsamość można określić

bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny

albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne,

umysłowe, ekonomiczne, kulturowe lub społeczne.

Zbiór danych – jest to każdy posiadający strukturę zestaw danych o charakterze

osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten

jest rozproszony czy podzielony funkcjonalnie. Jest to jedno z podstawowych pojęć u.o.d.o.

Zbiór danych może posiadać różnorodną formę scentralizowaną bądź rozproszoną,

może być ręcznie sporządzaną kartoteką wiejskiej biblioteki lub też może funkcjonować

w postaci akt osobowych, formularzy, kwestionariuszy rekrutacyjnych czy rozbudowanej

bazy kontrahentów dużej spółki czy banku, aż wreszcie baz danych tworzonych przez

profesjonalne systemy zarządzania takimi bazami, indywidualnie tworzonymi dla danego

podmiotu. Jednak bez względu na formę zbiór taki podlega reżimowi u.o.d.o. Ochrona danych

osobowych obejmuje wszelkie zbiory danych, bez względu na technikę ich sporządzania

i prowadzenia. Co istotne, zbiory danych mogą być prowadzone w postaci zbiorów słów,

a nawet dźwięków czy obrazów. Zbiorami danych są zarówno nagrania wypowiedzi

pozwalające zidentyfikować rozmówców, jak i fotografie umożliwiające identyfikację osób.

Zbiorem danych jest także zbiór danych tylko jednej osoby. Cechą charakterystyczną zbioru

jest „zbiorowość danych”. Zbiorem bowiem jest pewne nagromadzenie danych, nie zaś

pojedyncze dane. W ustawie brak jest regulacji określającej wskazówki ilościowe, jednakże

należy pamiętać, że nie każdy katalog danych stanowi zbiór danych chronionych ustawą.

Praktyka pokazuje, że istotną cechą pozwalającą odróżnić zbiór danych w rozumieniu ustawy

od zbioru danych nieistotnego z punktu widzenia u.o.d.o., uwzględniając kryterium

dostępności przetwarzanych danych oraz możliwości identyfikacji osób, których dane

dotyczą.

W jednej z wypowiedzi Generalny Inspektor Ochrony Danych Osobowych

podpowiada, iż „każdy zestaw danych osobowych, który umożliwia dostęp do poszczególnych

danych przez jakiekolwiek kryterium, jest zbiorem danych w rozumieniu art. 7 pkt 1 ustawy.

Alfabetyczne ułożenie danych osobowych według nazwiska lub nazwiska i imienia pozwala na

szybkie odnalezienie informacji o osobie bez potrzeby przeglądania całego zestawu”

5

5

Wystarczy ułożyć alfabetycznie, „Rzeczpospolita” z 20 lipca 2000 r., nr 168, [za:] Barta Janusz, Fajgielski

Paweł, Markiewicz Ryszard, Komentarz do ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych,
Wydawnictwo Zakamycze 2007.

10

Na stronie internetowej Generalnego Inspektora

6

, w dziale „Zapytania i odpowiedzi”

związanym z zagadnieniami prawnymi i interpretacją niektórych wątpliwości prawnych,

Generalny Inspektor Ochrony Danych Osobowych wskazał daleko szersze rozumienie zbioru

danych osobowych: „wszelkie materiały gromadzone w formie akt, w tym sądowe,

prokuratorskie, policyjne i inne zawierające dane osobowe, są zbiorem danych osobowych

w rozumieniu art. 7 pkt 1 ustawy”.

Zatem samo ułożenie alfabetyczne zbioru jest pomocne w jego zdefiniowaniu, ale nie

jest jedynym kryterium rozstrzygającym, o czym należy pamiętać.

Przetwarzanie danych – są to wszelkiego rodzaju operacje wykonywane na danych

osobowych, w szczególności zbieranie, utrwalanie, przechowywanie, opracowywanie,

zmienianie, udostępnianie, a także usuwanie, wykonywane zarówno w ramach systemów

informatycznych, jak i poza wykorzystaniem tych systemów. Jak widać, jest to dość obszerne

pojęcie zawierające wszelkie operacje wykonywane z użyciem danych osobowych, także ich

usuwanie. Jako przetwarzanie rozumie się wykonywanie choćby jednej z wymienionych

operacji; może to być wyłącznie zbieranie danych osobowych lub tylko ich przechowywanie,

jednakże każdorazowo rozumiane jest jako przetwarzanie danych i podlega reżimowi u.o.d.o.

Z pewnością przetwarzaniem danych jest też przekazywanie ich innemu podmiotowi, zależnej

spółce czy podmiotom powiązanym czy też zewnętrznym służbom księgowym. Przetwarzanie

danych jest rozumiane jako proces, na który składają się poszczególne etapy. Jako pierwszy

wymieniany jest etap pozyskiwania, zbierania danych; kolejnym jest udostępnianie danych

osobowych. Istnieje też podział na trzy etapy: pozyskiwanie, przetwarzanie, wykorzystanie.

Są to czynności faktyczne, realne, mające dalsze konsekwencje prawne. Nie ma tu znaczenia,

czy przebiegają one w sposób zautomatyzowany czy inny, ani też jakiego zakresu dotyczy

automatyzacja.

W niektórych systemach prawnych, odmiennie od uregulowania polskiej u.o.d.o.,

osobno wymieniane jest przetwarzanie danych, zbieranie danych oraz wykorzystywanie

danych. Uregulowanie, jakie przyjęto w polskiej ustawie, wynika z regulacji unijnych,

w szczególności dyrektywy 95/46/WE, w której pojęcie „przetwarzanie danych” posiada

również bardzo szerokie znaczenie. Oznacza to, że kierując się wytycznymi dyrektywy

w porządku krajowym przyjęto, iż przepisy dotyczące bezpośrednio przetwarzania, jak

6

http://www.giodo.gov.pl/

11

również zbierania danych czy też innych operacji przetwarzania, należy odczytywać łącznie,

bowiem każdorazowo mamy doczynienia z przetwarzaniem danych osobowych.

System informatyczny – są to zespoły współpracujących ze sobą urządzeń,

programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych

w celu przetwarzania danych. Pojęcie systemu informatycznego zostało wprowadzone do

u.o.d.o. w drodze nowelizacji w 2001 r. Wcześniej pojęcie to pojawiało się wyłącznie

w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 3 czerwca 1998 r.

w sprawie określenia podstawowych warunków technicznych i organizacyjnych, jakim

powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych

osobowych

7

. Definicja zawarta w rozporządzeniu różniła się od tej obecnie uregulowanej

ustawowo. Wcześniejsza określała system informatyczny jako „system przetwarzania

informacji wraz ze związanymi z nim ludźmi oraz zasobami technicznymi i finansowymi,

który dostarcza i rozprowadza informacje”. Aktualnie obowiązująca regulacja pomija czynnik

ludzki i zdecydowanie precyzuje pojęcie systemu przez oznaczenie jego elementów, tj.

urządzeń, programów, procedur i narzędzi programowych.

Zabezpieczenie danych w systemie informatycznym – to wdrożenie i eksploatacja

odpowiednich środków technicznych i organizacyjnych, zapewniających ochronę danych

przed ich nieuprawnionym przetwarzaniem. Podobnie jak pojęcie systemu informatycznego,

definicja ta została wprowadzona do ustawy o ochronie danych osobowych dopiero w wyniku

nowelizacji w 2001 r. Wcześniej pojęcie to nie było wykorzystywane w ustawie ani

w żadnym z aktów wykonawczych do u.o.d.o.

Pojęcie zabezpieczenia danych w systemie informatycznym wiąże się

z rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r.

w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych

i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące

do przetwarzania danych osobowych

8

, które wprowadzono w miejsce rozporządzenia

Ministra Spraw Wewnętrznych i Administracji z dnia 3 czerwca 1998 r. w sprawie określenia

7

Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 3 czerwca 1998 r. w sprawie określenia

podstawowych warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy
informatyczne służące do przetwarzania danych osobowych (Dz. U. z 1998 r. Nr 80, poz. 521).

8

Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie

dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny
odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r.
Nr 100, poz. 1024).

12

podstawowych warunków technicznych i organizacyjnych, jakim powinny odpowiadać

urządzenia i systemy informatyczne służące do przetwarzania danych osobowych

9

.

Zabezpieczenie danych w systemie informatycznym ma szczególne znaczenie przy

rozwiniętej technice informatycznej. Rozumiane jest jako zapewnienie bezpieczeństwa

poprzez wdrażanie i wykorzystywanie odpowiednich środków pozwalających zapewnić

ochronę danych osobowych. Definicja zawiera szereg pojęć nieostrych i ocennych, jednakże

w praktyce polega na każdorazowym rozważaniu konkretnego stanu faktycznego,

z uwzględnieniem istniejących zagrożeń.

Usuwanie danych – to w szczególności zniszczenie danych osobowych bądź też

dokonanie takiej ich trawestacji, która nie pozwoli na ustalenie tożsamości osoby, której dane

dotyczą (anonimizacja). Usuwaniem danych jest ich niszczenie lub przetwarzanie

pozbawiające dane ich „osobowego” charakteru. Skutkiem usuwania danych powinno być

uniemożliwienie dalszego ich przetwarzania, bowiem przestają one być danymi osobowymi

podlegającymi ochronie u.o.d.o.

Administrator danych – jest to osoba, organ, jednostka organizacyjna, wymieniona

w art. 3 u.o.d.o., która podejmuje decyzje w zakresie celu i środków przetwarzania danych

osobowych.

Administratorem danych może być zatem zarówno organ państwowy lub

samorządowy, jak i państwowe i komunalne jednostki organizacyjne, podmioty niepubliczne

wykonujące zadania publiczne, osoby fizyczne, osoby prawne oraz ułomne osoby prawne pod

warunkiem, że podmiot ten decyduje o celach i środkach przetwarzania danych osobowych.

Powoduje to, że każdorazowo, w zależności od formy prowadzonej działalności oraz

schematu organizacyjnego, administratorem danych może być inna osoba. W przypadku

osoby fizycznej prowadzącej działalność gospodarczą administratorem danych będzie zwykle

właściciel przedsiębiorstwa. Jednak w przypadku osób prawnych administratorem danych

może być sama osoba prawna, na przykład spółka, bank, korporacja ubezpieczeniowa. Istotne

jest, iż administratorem danych nie jest osoba lub osoby na stanowiskach kierowniczych,

czyli nie będzie to zarząd spółki ani dyrektor koncernu, ani też upoważniony pracownik, lecz

podmiot wskazany przepisami prawa. Administratorem danych jest kompleksowo podmiot

9

Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 3 czerwca 1998 r. w sprawie określenia

podstawowych warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy
informatyczne służące do przetwarzania danych osobowych (Dz. U. z 1998 r. Nr 80, poz. 521).

13

przetwarzający dane osobowe, jeżeli samodzielnie decyduje o celach i środkach

przetwarzania danych, to jest podejmuje decyzje choćby w zakresie zbierania danych lub ich

udostępniania.

W doktrynie istnieje rozbieżność co do tego, czy administratorem danych konkretnego

zbioru jest jeden czy więcej administratorów. Naczelny Sąd Administracyjny w wyroku

z dnia 30 stycznia 2002 r., sygn. akt II SA 1098/01, publikowanym na stronie www

GIODO

10

, wskazał, iż administratorem danych jest wyłącznie podmiot uprawniony do

decydowania o celach i środkach przetwarzania danych, zaś podmiot, który bezprawnie

przywłaszczył sobie dane osobowe, nie jest administratorem danych, a jedynie

administrującym danymi.

W przypadku podmiotów publicznych wskazanie administratora danych może

nastręczać pewnych trudności. Wynika to ze specyfiki tych podmiotów i sposobu ich

powoływania w drodze ustawy. Można zatem przyjąć, iż o celach i środkach przetwarzania

danych osobowych w przypadku podmiotów publicznych decyduje ustawodawca.

Jednocześnie zgodnie z art. 7 ust. 4 u.o.d.o. administratorem danych może być podmiot

wymieniony w art. 3, czyli organ, jednostka organizacyjna, podmiot lub inna osoba wskazana

w tym przepisie. Pojawia się tu dość szeroki krąg podmiotów pasujących do definicji

administratora danych. W publikacji „Rzeczpospolitej” z 6 kwietnia 1999 r., autorstwa

R. Hausnera pt. Przetwarzanie danych osobowych: cel i środki wskazano, iż „o tym, czy dany

organ, jednostka organizacyjna albo innego rodzaju podmiot jest administratorem danych

osobowych, decyduje przede wszystkim rodzaj i charakter nadanych im przez prawo

kompetencji z obszaru spraw publicznych oraz wyznaczone ustawowo zadania. Do uznania

danego podmiotu za administratora danych potrzebna jest jednak zawsze analiza konkretnych

przepisów mających zastosowanie w określonej sytuacji, dokonywana często wedle

skomplikowanych reguł interpretacji tekstu prawnego”.

W dyrektywie 95/46/WE

11

zapisano, iż w związku z możliwością określenia –

w drodze ustawy lub innych przepisach krajowych lub Wspólnotowych – celów i sposobów

przetwarzania danych, co wywołuje niejednokrotnie trudności w precyzyjnym określeniu

osoby administratora danych, może nim być podmiot lub osoba powoływana lub wskazana

przez ustawodawstwo krajowe lub ustawodawstwo Wspólnoty.

10

http://www.giodo.gov.pl/496/id_art/255/j/pl/

11

Dyrektywa 95/46/WE art. 2 lit. d).

14

Takie rozwiązanie przyjęto jedynie w kilku krajowych ustawach, między innymi w:

9 ustawie z dnia 20 czerwca 1997 r. – Prawo o ruchu drogowym

12

, gdzie administratorem

danych zawartych w centralnej ewidencji pojazdów oraz centralnej ewidencji kierowców

jest minister właściwy do spraw administracji publicznej;

9 ustawie z dnia 24 maja 2000 r. o Krajowym Rejestrze Karnym

13

, gdzie administratorem

danych określa się Biuro Informacyjne Krajowego Rejestru Karnego, a organem tego

Biura jest dyrektor Biura.

W pozostałych przypadkach brak jest wskazań podmiotów publicznych pełniących

funkcję administratora danych, co powoduje, iż w takich przypadkach należy badać konkretne

przepisy oraz okoliczności faktyczne pozwalające na określenie podmiotu lub osoby, w której

zakresie kompetencji znajduje się decydowanie o celach i środkach przetwarzania danych

osobowych.

Istotne jest, iż administrator danych nie jest zobowiązany do przetwarzania danych

bezpośrednio i osobiście. Byłoby to niemożliwe w przypadku, gdy administratorem danych

jest podmiot taki jak bank czy koncern farmaceutyczny. Administrator danych może

wyznaczyć osobę lub podmiot odpowiedzialny za faktyczne przetwarzanie danych. Jak

podniesiono w przytoczonym wyżej wyroku NSA (sygn. akt II SA 1098/01), administrator

danych to nie osoba administrująca tymi danymi, co oznacza, że osoba, w której dyspozycji

znajdują się faktycznie dane osobowe, nie zawsze jest administratorem danych.

Ustawodawca przewidział możliwość powierzenia przez administratora danych ich

przetwarzania. Przy przekazywaniu danych winny być jednak spełnione zawarte w ustawie

przesłanki. Przekazanie powinno odbyć się wyłącznie w zakresie i celu określonym

w umowie, zaś umowa musi być sporządzona pisemnie. Ważne jest, że oba podmioty

odpowiadają za należytą ochronę danych osobowych – administrator danych na zasadach

określonych w ustawie, a administrujący danymi w zakresie określonym w art. 31 ust. 3 i 4

u.o.d.o.

Odróżnienie administratora danych od osoby administrującej stało się przedmiotem

orzeczenia Sądu Najwyższego

14

z dnia 11 grudnia 2000 r., sygn. akt II KKN 438/00,

publikowanego w zbiorze Orzecznictwo Sądu Najwyższego – Izba Karna i Wojskowa z 2001

r., nr 3-4, poz. 33. Teza druga orzeczenia odnosi się bezpośrednio do rozgraniczenia

12

Ustawa z dnia 20 czerwca 1997 r. - Prawo o ruchu drogowym (t.j. Dz. U. z 2003 r., nr 58, poz. 515 ze zm.)

13

Ustawa z dnia 24 maja 2000 r. o Krajowym Rejestrze Karnym (Dz. U. z 2000r., nr 50, poz. 580 ze zm.)

14

Postanowienie Sądu Najwyższego z 11 grudnia 2000 r., sygn. akt II KKN 438/00, publikowane w zbiorze

Orzecznictwo Sądu Najwyższego – Izba Karna i Wojskowa z 2001r., nr 3-4, poz. 33.

15

administratora danych osobowych, czyli podmiotu, który decyduje o celach i środkach

przetwarzania tych danych, o którym mowa w art. 7 pkt 4 u.o.d.o., i osoby administrującej

zbiorem danych, to jest osoby, która zarządza, zawiaduje zbiorem danych w procesie ich

przetwarzania, na podstawie umowy powierzenia w trybie art. 31 u.o.d.o. Odpowiedzialność

karna administrującego nie będącego administratorem danych wynika wyłącznie z takiego

jego zachowania, które ustawa o ochronie danych osobowych uznaje za karalne.

W u.o.d.o. pojawia się ponadto pojęcie administratora bezpieczeństwa informacji, nie

wyjaśnione w słowniczku regulowanym przez art. 7 u.o.d.o. Pojęcie to wprowadza art. 36

ust. 3 ustawy o ochronie danych osobowych

15

na oznaczenie osoby wyznaczonej przez

administratora danych, a której zadaniem jest zapewnienie bezpieczeństwa informacji m.in.

poprzez nadzorowanie przestrzegania zasad ochrony danych osobowych. Ustawa nie wyłącza

możliwości, aby administrator danych był jednocześnie administratorem bezpieczeństwa

informacji.

Zgoda osoby, której dane dotyczą – jest to oświadczenie woli, którego treścią jest

zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda musi być

wyraźna, nie jest dopuszczalne wyrażanie zgody w formie domniemanej lub dorozumianej

z oświadczenia woli o innej treści. Wobec posłużenia się przez ustawodawcę pojęciem

oświadczenia woli należy wskazać na przepisy kodeksu cywilnego (dalej k.c.) regulujące

materię oświadczeń woli, a także uwolnienia się od oświadczenia woli złożonego pod

wpływem błędu czy groźby

16

.

Jednocześnie osoba występująca o wyrażenie zgody na przetwarzanie danych

osobowych, której dane dotyczą, musi sformułować się w sposób wyraźny i jednoznaczny.

Nie można posługiwać się zawoalowaną treścią, zawierającą odesłanie do innych regulacji

czy wzorów ogólnych umów lub regulaminów.

Zwyczajowo stosowana formułka, spełniająca wymagania ustawy o ochronie danych

osobowych, brzmi:

15

Pojęcie administratora bezpieczeństwa informacji w treści art. 36 ust. 3 u.o.d.o. wprowadzone zostało

w drodze nowelizacji z dnia 22 stycznia 2004 r.

16

Art. 60-65 k.c. oświadczenie woli i jego wykładnia oraz art. 82-88 k.c. wady oświadczenia woli.

16

Oświadczenie

Wyrażam zgodę na przetwarzanie moich danych osobowych przez (

tu powinien być

wpisany podmiot, któremu udostępnione zostaną nasze dane osobowe, np. przyszły

pracodawca, uczelnia wyższa, przedsiębiorstwo, z którym nawiązujemy współpracę ect

.)

na zasadach określonych w ustawie z dnia 29 sierpnia 1997 r. o ochronie danych

osobowych (t.j. Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.).

…………………………………

Podpis i data

Dodatkowo może być wpisany cel, w jakim dane osobowe mogą być przetwarzane,

np. do celów rekrutacji, postępowania kwalifikacyjnego i dokumentowania przebiegu prac

Komisji Konkursowej ect.

Osobom wyrażającym zgodę na przetwarzanie ich danych osobowych powinna

być udzielona informacja odnośnie do:

- prawa dostępu do ich danych osobowych, a także możliwości ich poprawiania;

- kontroli przetwarzania danych i sposobu ich zabezpieczenia.

Odbiorca danych – jest to każdy, komu udostępnia się dane osobowe, z wyłączeniem:

a) osoby, której dane dotyczą;

b) osoby upoważnionej do przetwarzania danych;

c) przedstawiciela, o którym mowa w art. 31a;

d) podmiotu, o którym mowa w art. 31;

e) organów państwowych lub organów samorządu terytorialnego, którym dane są

udostępniane w związku z prowadzonym postępowaniem.

Pojęcie odbiorcy danych wprowadzone zostało do u.o.d.o. nowelą z dnia 22 stycznia

2004 r. Definicja zawiera wyłączenie niektórych kategorii osób, w tym osoby, których dane

dotyczą; osoby upoważnione do przetwarzania danych i dopuszczone do przetwarzania

danych na podstawie art. 37; przedstawicieli administratorów danych mających siedzibę na

terytorium państwa trzeciego, a przetwarzających dane przy wykorzystaniu środków

17

technicznych znajdujących się na terytorium Rzeczypospolitej Polskiej, na podstawie art. 31a;

podmioty, które przetwarzają dane na podstawie umowy z administratorem na podstawie art.

31; oraz organy państwowe i organy samorządu terytorialnego, którym dane zostały

udostępnione w związku z prowadzonym przez te organy postępowaniem. Wszystkie

wymienione wyżej podmioty są wyłączone z wypełniania obowiązków określonych

w u.o.d.o., w tym obowiązków związanych z informowaniem osoby, której dane dotyczą,

o podmiotach, którym ich dane osobowe zostały udostępnione, w przypadku gdy nie są

odbiorcami danych. Oznacza to, że w takiej sytuacji administrator danych jest zwolniony

z konieczności informowania osoby, której dane dotyczą, o udostępnieniu jej danych

podmiotom, które nie zostały zaliczone do kategorii odbiorców danych, jak również nie musi

odnotowywać przypadku udostępnienia danych tym podmiotom. Istotne jest, że odbiorca

danych nie oznacza osoby trzeciej.

Państwo trzecie – jest to państwo nienależące do Europejskiego Obszaru

Gospodarczego. Oznacza to, że chodzi o państwa nie będące państwami członkowskimi Unii

Europejskiego ani państwami członkowskimi Europejskiego Obszaru Gospodarczego, które

nie są członkami UE (Norwegia, Islandia i Lichtenstein). Pojęcie państwa trzeciego pojawiło

się w u.o.d.o. w związku z przystąpieniem Rzeczypospolitej Polskiego do Unii Europejskiej.

2.

Organ ochrony danych osobowych

Organem do spraw ochrony danych osobowych jest Generalny Inspektor Ochrony

Danych Osobowych, powoływany przez Sejm Rzeczypospolitej Polskiej, za zgodą Senatu.

Generalny Inspektor Ochrony Danych Osobowych, zwany dalej GIODO, podlega

wyłącznie przepisom ustawy, co daje mu niezawisłość i niezależność względem innych

organów państwowych i samorządowych. GIODO podlega zatem wyłącznie Parlamentowi

RP pod względem zgodności wykonywanych zadań z przepisami u.o.d.o.

Generalny Inspektor pełni swoją kadencję przez cztery lata, które liczone są od daty

złożenia ślubowania. Tekst ślubowania uregulowany jest w art. 9 u.o.d.o.

U.o.d.o. określa bardzo szeroko i zarazem ogólnie kompetencje zadań GIODO

wskazując, iż w zakresie jego kompetencji znajdują się wszelkie sprawy dotyczące ochrony

danych osobowych

17

.

17

Art. 8 ust. 1 u.o.d.o.

18

Maksymalne sprawowanie urzędu może trwać nie dłużej niż przez dwie kadencje.

W u.o.d.o. nie jest określone, czy mają one następować bezpośrednio po sobie.

Innymi niż upływ czasu powodami wygaśnięcia pełnienia obowiązków przez

GIODO może być:

- śmierć osoby pełniącej funkcję Generalnego Inspektora Ochrony Danych Osobowych;

- odwołanie;

- utrata obywatelstwa polskiego.

Pełniąc obowiązki GIODO nie można zajmować innego stanowiska, z wyłączeniem

stanowiska profesora szkoły wyższej, ani też nie można wykonywać innych zajęć

zawodowych. Nadto osoba ta nie może przynależeć do żadnej partii politycznej, związku

zawodowego, jak również nie może prowadzić działalności publicznej, która naruszałaby

godność sprawowanego urzędu.

GIODO objęty jest immunitetem, co oznacza, że pociągnięcie go do

odpowiedzialności karnej, jak również pozbawienie wolności może nastąpić wyłącznie za

zgodą Sejmu. Zatrzymanie lub aresztowanie GIODO może nastąpić wyłącznie w sytuacji

ujęcia go na gorącym uczynku przy jednoczesnej konieczności zatrzymania dla zapewnienia

prawidłowego toku postępowania. W takim przypadku osoba dokonująca zatrzymania winna

niezwłocznie powiadomić Marszałka Sejmu, który może nakazać zwolnienie zatrzymanej

osoby pełniącej funkcje GIODO. Określa się to pojęciem immunitetu formalnego.

Do zadań Generalnego Inspektora należy w szczególności:

1) kontrola zgodności przetwarzania danych z przepisami o ochronie danych osobowych;

2) wydawanie decyzji administracyjnych i rozpatrywanie skarg w sprawach wykonania

przepisów o ochronie danych osobowych;

3) prowadzenie rejestru zbiorów danych oraz udzielanie informacji o zarejestrowanych

zbiorach;

4) opiniowanie projektów ustaw i rozporządzeń dotyczących ochrony danych

osobowych;

5) inicjowanie i podejmowanie przedsięwzięć w zakresie doskonalenia ochrony danych

osobowych;

6) uczestniczenie w pracach międzynarodowych organizacji i instytucji zajmujących się

problematyką ochrony danych osobowych.

Z powyższego wyszczególnienia wynika, że GIODO posiada dość szerokie

kompetencje. Poza kompetencjami przyznanymi w u.o.d.o., GIODO w zakresie kontroli

19

zgodności przetwarzania danych zgodnie z przepisami u.o.d.o. winien dbać o interes

powszechny w zakresie objętym ustawą o ochronie danych osobowych. Istotne jest, że

dbałość ta ma się przejawiać nie tylko w obrębie u.o.d.o., ale dokonywać analizy przepisów

innych aktów prawnych, w szczególności w zakresie zgodności ich treści z normami u.o.d.o.

Jednocześnie kontrola zgodności przetwarzania danych osobowych z obowiązującymi

przepisami powinna być prowadzona z inicjatywy należącej do Generalnego Inspektora, a nie

wyłącznie w wyniku złożonego wniosku czy zawiadomienia. Przy wykonywaniu swoich

obowiązków GIODO nie może wykorzystywać informacji pozyskanych w wyniku kontroli

w żadnym innym celu, aniżeli cele wskazane w u.o.d.o.

W wyniku prowadzonej działalności GIODO posiada uprawnienia do wydawania

decyzji administracyjnych i rozważania skarg w sprawach dotyczących wykonywania

przepisów u.o.d.o. i innych ustaw regulujących tematykę ochrony dóbr osobistych. Przepisy

u.o.d.o. nadające te kompetencje GIODO stanowią lex specialis względem przepisów art.

229-230 kodeksu postępowania administracyjnego, dalej k.p.a.

Wyłącznie kompetencji GIODO, w tym zakresie może być związane wyłącznie wtedy,

gdy zbiór danych zawiera dane objęte tajemnicą państwową w zakresie obronności

i bezpieczeństwa kraju lub ochrony życia, zdrowia ludzi, mienia bądź bezpieczeństwa

i porządku publicznego

18

. Dotyczy to również sytuacji, gdy dane zostaną pozyskane

w

wyniku operacji wykonywanych przez funkcjonariuszy Agencji Bezpieczeństwa

Wewnętrznego, Agencji Wywiadu, Służby Wywiadu Wojskowego, Służby Kontrwywiadu

Wojskowego, Centralnego Biura Antykorupcyjnego

19

.

Generalny Inspektor wykonuje swoje zadania przy pomocy Biura Generalnego

Inspektora Ochrony Danych Osobowych, zwanego dalej Biurem. Biuro działa na podstawie

nadanego mu w drodze rozporządzenia Prezydenta Rzeczypospolitej Polskiej statutu oraz

zgodnie z regulaminem organizacyjnym wprowadzonym w drodze zarządzenia Generalnego

Inspektora Ochrony Danych Osobowych w sprawie wprowadzenia Regulaminu

Organizacyjnego Biura GIODO.

Obowiązki, jakie nakłada na GIODO u.o.d.o., wykonywane są przez upoważnione

osoby pełniące funkcje zastępcy Generalnego Inspektora oraz upoważnionych pracowników

Biura, określanych mianem inspektorów.

18

Art. 43 ust. 1 pkt 1 u.o.d.o.

19

Art. 43 ust. 1 pkt 1a u.o.d.o.

20

Ustawa o ochronie danych osobowych przewiduje uprawnienia zastępcy oraz

inspektorów w przedmiocie wykonywania obowiązków kontroli i dbałości o ochronę danych

osobowych. Uprawnienia inspektorów stanowią odpowiednik obowiązków kierowników

kontrolowanych jednostek czy podmiotów, zatem prawo inspektorów do wejścia na teren

jednostki wiąże się z obowiązkiem osoby odpowiedzialnej tej jednostki do wpuszczenia

inspektora na jej teren. Prawo inspektora do wykonywania czynności kontrolnych, żądania

wyjaśnień, przesłuchiwania osób mających związek z przedmiotem i zakresem kontroli,

dokonywania oględzin, sporządzania kopii dokumentów wiąże się z obowiązkiem

kierowników jednostek oraz podmiotów kontrolowanych umożliwienia i udostępnienia tych

działań inspektorowi, do składania wyjaśnień i przedstawienia wszelkich dokumentów

związanych z przedmiotem i zakresem kontroli. Inspektorzy GIODO mają prawo wstępu do

pomieszczeń, w których przetwarzane są zbiory danych osobowych, jednakże prawo to mogą

realizować po okazaniu imiennego upoważnienia i legitymacji służbowej. Wzór

upoważnienia i legitymacji stanowi załącznik do rozporządzenia Ministra Spraw

Wewnętrznych i Administracji z dnia 22 kwietnia 2004 r. w sprawie wzorów imiennego

upoważnienia i legitymacji służbowej inspektora Biura Generalnego Inspektora Ochrony

Danych Osobowych (Dz. U. z 2004 r. Nr 94, poz. 923), które wydane zostało na podstawie

art. 22a u.o.d.o. Tym samym kierownicy jednostki organizacyjnej, jak również osoba

fizyczna, która jest administratorem danych osobowych, mają obowiązek umożliwić

inspektorowi przeprowadzenie kontroli, w tym wszelkich czynności i żądań, o których mowa

wyżej. Kontrola dokumentów polegająca na dostępie do zbioru zawierającego dane osobowe

winna być przeprowadzana za pośrednictwem upoważnionego przedstawiciela kontrolowanej

jednostki organizacyjnej

20

.

Po dokonaniu czynności kontrolnych inspektor ma obowiązek sporządzić protokół,

którego egzemplarz doręcza się jednostce kontrolowanej. Protokół winien być podpisany

przez inspektora dokonującego kontroli oraz administratora danych, u którego kontrola

została przeprowadzona. Administrator danych ma prawo wniesienia uwag i zastrzeżeń do

protokołu dotyczących czynności kontrolnych. W sytuacji, gdy administrator danych

odmawia złożenia podpisu na protokole, inspektor sporządzający protokół wpisuje o tym

fakcie wzmiankę. Osoba, która odmówiła złożenia podpisu ma prawo w terminie 7 dni wnieść

do GIODO pismo wyjaśniające zdarzenie i uzasadniające swoje stanowisko

21

.

20

Art. 15 ust. 2 u.o.d.o.

21

Art. 16 ust. 3 u.o.d.o.

21

W przypadku stwierdzenia, w wyniku przeprowadzonej kontroli, naruszenia

przepisów o ochronie danych osobowych inspektor występuje do GIODO celem zezwolenia

na zastosowanie środków przewidzianych w ustawie o ochronie danych osobowych. Do

środków takich ustawodawca zaliczył nakazanie przywrócenia stanu zgodnego

z prawem poprzez:

1)

usunięcie uchybień;

2)

uzupełnienie, uaktualnienie, sprostowanie, udostępnienie bądź nieudostępnienie

danych osobowych;

3)

zastosowanie dodatkowych środków zabezpieczających zgromadzone dane

osobowe;

4)

wstrzymywanie przekazywania danych osobowych do państwa trzeciego;

5)

zabezpieczenie danych bądź przekazanie ich innym podmiotom;

6)

usunięcie danych osobowych, w tym anonimizację tych danych.

Zastosowanie wyżej wskazanych środków odbywa się w drodze decyzji

administracyjnej wydawanej przez Generalnego Inspektora. Decyzje GIODO o zastosowaniu

tych środków naprawczych nie mogą ograniczać swobody działania podmiotów zgłaszających

kandydatów lub listy kandydatów w wyborach na urząd Prezydenta Rzeczypospolitej

Polskiej, do Sejmu, do Senatu i do organów samorządu terytorialnego, a także w wyborach do

Parlamentu Europejskiego, pomiędzy dniem zarządzenia wyborów a dniem głosowania.

Również w odniesieniu do danych zebranych w wyniku czynności operacyjno-

rozpoznawczych, dokonywanych przez funkcjonariuszy organów uprawnionych do

wykonywania tych czynności, decyzje GIODO nie mogą nakazywać usunięcia tych danych

osobowych, przy założeniu że czynności te przeprowadzone były zgodnie z obowiązującymi

przepisami prawa.

Jeżeli w wyniku przeprowadzonej kontroli inspektorzy GIODO stwierdzą, iż działanie

lub zaniechanie kierownika jednostki organizacyjnej, osoby fizycznej czy innego podmiotu

będącego administratorem danych wyczerpuje znamiona przestępstwa określonego w u.o.d.o.,

Generalny Inspektor Ochrony Danych Osobowych kieruje zawiadomienie o popełnieniu

przestępstwa do organu zajmującego się ich ściganiem. Wraz z zawiadomieniem GIODO

winien dołączyć dokumenty na poparcie podejrzenia.

Po dokonaniu kontroli administrator danych, u którego była przeprowadzana kontrola,

może zwrócić się do GIODO o ponowne rozpatrzenie sprawy. Wniosek o ponowne

rozpoznanie sprawy musi być złożony w terminie 14 dni od daty doręczenia decyzji. Wynika

22

to z przepisów k.p.a.

22

, zaś zgodnie z treścią art. 22 u.o.d.o. postępowanie w sprawach

uregulowanych przez tę ustawę prowadzone jest według przepisów k.p.a., o ile przepisy

ustawy o ochronie danych osobowych nie stanowią inaczej.

W wyniku ponownego rozpoznania sprawy GIODO wydaje kolejną decyzję, w której

utrzymuje w mocy dotychczasową decyzję lub uchyla ją w części bądź w całości i w tym

zakresie orzeka co do istoty sprawy.

Decyzja Generalnego Inspektora wydana w wyniku ponownego rozpatrzenia sprawy

jest ostateczna, czyli nie przysługuje od niej odwołanie. Można wnieść na te decyzję

wyłącznie skargę do sądu administracyjnego. Uprawnienie do wniesienia skargi do sądu

administracyjnego przysługuje tylko po wniesieniu o ponowne rozpatrzenie sprawy. Skargę

wnosi się w terminie 30 dni od daty doręczenia skarżącemu (administratorowi danych lub

innej stronie sprawy), za pośrednictwem GIODO. Generalny Inspektor ma obowiązek

przekazać skargę wraz z aktami sprawy do właściwego sądu administracyjnego, nie dłużej niż

w terminie 30 dni od daty jej wniesienia. GIODO może sporządzić odpowiedź na skargę.

Może też po wniesieniu skargi w terminie przekazania jej do sądu administracyjnego

uwzględnić skargę w całości

23

.

Od wyroku sądu administracyjnego przysługuje skarga kasacyjna do Naczelnego Sądu

Administracyjnego

24

.

3.

Zasady przetwarzania danych osobowych, zabezpieczenie danych

osobowych, rejestracja zbiorów danych osobowych

Zasady przetwarzania danych osobowych

Administrator danych ma obowiązek stosować się do zasad określonych w u.o.d.o.,

która dopuszcza przetwarzanie danych osobowych wyłącznie w wypadkach wskazanych

w ustawie, w szczególności gdy

25

:

1) osoba, której dane dotyczą, wyrazi wyraźną zgodę na przetwarzanie jej danych

osobowych, poza sytuacją gdy chodzi o usunięcie jej danych;

2) wynika to z konieczności realizowania uprawnienia lub obowiązku wynikających

z przepisów prawa;

22

Art. 129 § 2 k.p.a. w związku z art. 127 § 3 k.p.a.

23

Art. 54 § 3 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U.

z 2002 r. Nr 153, poz. 1270 ze zm.), dalej p.p.s.a.

24

Art. 173 p.p.s.a.

25

Art. 23 ust. 1 u.o.d.o.

23

3) jest to potrzebne do realizacji umowy, a osoba, której dane dotyczą, jest stroną tej

umowy albo jest to niezbędne do wszczęcia czynności wynikających z zamiaru zawarcia

umowy i dzieje się to na żądanie osoby, której dane dotyczą;

4) wiąże się to z koniecznością wykonania określonych przepisami prawa zadań

wykonywanych dla dobra publicznego;

5) jest to nieodzowne dla wypełnienia usprawiedliwionych prawem działań i realizacji

wskazanych prawem celów, przy czym przetwarzanie danych osobowych nie narusza

praw ani wolności osoby, której dane dotyczą. Chodzi tu zwłaszcza o działania

o charakterze marketingu bezpośredniego własnych produktów i usług administratora

danych oraz o przypadki dochodzenia roszczeń związanych z prowadzoną działalnością

gospodarczą.

Zgoda osoby, której dane mają być lub są przetwarzane, może dotyczyć przetwarzania

danych w przyszłości, pod warunkiem jednak, że cel tego przetwarzania nie ulegnie zmianie.

Wyjątkiem dopuszczonym przez przepisy u.o.d.o. w zakresie możliwości

przetwarzania danych osobowych bez zgody osoby, której dane dotyczą, jest przetwarzanie

danych osobowych związane z koniecznością ochrony żywotnych interesów tej osoby, przy

czym udzielenie przez nią zgody jest nie możliwe. Z chwilą, gdy powstaje taka możliwość,

administrator danych musi tę zgodę uzyskać.

Administrator danych osobowych, pozyskując dane osobowe, jest zobowiązany

informować osoby, od których dane pozyskuje, o:

- swojej siedzibie, adresie, pełnej nazwie (osoba fizyczna będąca administratorem danych

informuje odpowiednio o swoim imieniu i nazwisku oraz miejscu zamieszkania);

- celu, w jakim dane są zbierane, w tym również o przewidywanych odbiorcach danych;

- prawie dostępu do danych osobowych osoby. której dane dotyczą. i możliwości ich

edytowania;

- dobrowolności bądź obowiązku podania danych osobowych, w zależności od treści regulacji

prawnej danego przypadku.

Istotne jest, że administrator danych ma obowiązek chronić merytoryczną poprawność

pozyskiwanych danych osobowych. Oznacza to, iż zobowiązany jest czuwać nad ich

poprawnością, kompletnością i aktualnością. Każdorazowo administrator danych musi ocenić

prawdziwość uzyskanych danych osobowych; dotyczy to w szczególności źródła, z jakiego

dane są pozyskiwane. Musi być ono wiarygodne i nieprzypadkowe.

24

W celu ochrony danych osobowych administrator ma obowiązek ustalić zasady

postępowania przy ich zbieraniu, a także w sytuacji powzięcia wątpliwości lub pewności

o nieprawdziwości danych osobowych. Jeśli zbiór danych osobowych jest udostępniany przez

administratora danych innym administratorom, musi on niezwłocznie przekazywać im

informacje w zakresie aktualizacji czy zmiany danych osobowych. Przy tych wszystkich

czynnościach pomocne są programy komputerowe – tu również administratora danych

obciąża obowiązek odpowiedniego ich stosowania i każdorazowo zapewnienia

bezpieczeństwa przetwarzanych danych.

Na administratorze danych spoczywa obowiązek zachowania szczególnej staranności

w zakresie ochrony danych i interesów osób, których dane są przetwarzane. Dlatego powinien

zadbać o przetwarzanie danych osobowych zgodnie z prawem, zbieranie danych w konkretnie

określonych celach i nieprzekazywanie ich w celu dalszego przetwarzania wykraczającego

poza te cele, sprawdzać poprawność i kompletność danych, przechowywać dane w sposób

umożliwiający korzystanie z nich w celach określonych, przez czas niezbędny do tego celu,

ale nie dłuższy, oraz usunięcie danych osobowych zgodnie z prawem.

Zabezpieczenie danych osobowych

Przetwarzając dane osobowe, administrator tych zbiorów ma obowiązek odpowiednio

je zabezpieczyć. Oznacza to, że ma stosować takie środki techniczne i organizacyjne, które

zapewnią odpowiednią ochronę przetwarzanych danych – dotyczy to w szczególności

zabezpieczenia przez nieuprawnionym dostępem osób niepowołanych czy „wyciekiem”

danych, to jest utratą lub uszkodzeniem, a nawet zniszczeniem danych osobowych

znajdujących się w zbiorach administratora danych.

W tym celu administrator, zgodnie z ustawą:

- prowadzi dokumentację opisującą sposoby przetwarzania danych osobowych oraz ich

zabezpieczenia;

- wyznacza administratora bezpieczeństwa informacji (czasem jest nim sam administrator

danych), którego zadaniem jest nadzór nad przestrzeganiem ustalonych zasad ochrony

zbiorów;

- upoważnia osoby uprawnione do przetwarzania danych będących w jego zbiorach

i prowadzi imienną listę tych osób;

- zapewnia kontrolę przetwarzania danych osobowych, zwłaszcza w zakresie, jakie dane

osobowe, w jakim czasie i przez jaką osobę zostały wprowadzone, zmienione lub usunięte,

a także komu dalej zostały przekazane.

25

Dla usystematyzowania i zapewnienia spójności sposobów ochrony danych

osobowych, środki bezpieczeństwa, sposoby prowadzenia dokumentacji przetwarzania

danych, a także jej zakres, warunki techniczne i organizacyjne, jakimi powinny

charakteryzować się urządzenia i systemy informatyczne zapewniające bezpieczeństwo

zbiorów danych, określa rozporządzenie Ministra Spraw Wewnętrznych i Administracji

z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz

warunków technicznych i organizacyjnych, jakimi powinny odpowiadać urządzenia i systemy

informatyczne służące do przetwarzania danych osobowych.

Rozporządzenie to określa dokładny i prawidłowy:

1) sposób prowadzenia i zakres dokumentacji opisującej sposób przetwarzania danych

osobowych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych

danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną;

2) podstawowe warunki techniczne i organizacyjne, jakim powinny odpowiadać urządzenia

i systemy informatyczne służące do przetwarzania danych osobowych;

3) wymagania w zakresie odnotowywania udostępniania danych osobowych i bezpieczeństwa

przetwarzania danych osobowych.

Ponadto rozporządzenie definiuje szereg pojęć używanych w zabezpieczaniu

danych osobowych, na potrzeby tego aktu wykonawczego, m.in.:

identyfikator użytkownika – jest to ciąg znaków literowych, cyfrowych lub innych, który

w sposób jednoznaczny identyfikuje osobę upoważnioną do przetwarzania danych osobowych

w systemie informatycznym;

hasło – to ciąg znaków literowych, cyfrowych lub innych, jakie powinny być znane

wyłącznie jednej osobie posiadającej uprawnienie do pracy w systemie informatycznym;

oznacza to, że każda osoba uprawniona winna posługiwać się odrębnym, znanym tylko sobie

hasłem;

teletransmisja danych – to operacja przesyłania informacji przy pomocy sieci

telekomunikacyjnej;

sieć telekomunikacyjna – to sieć telekomunikacyjna w rozumieniu art. 2 pkt 35 ustawy

z dnia 16 lipca 2004 r. – Prawo telekomunikacyjne (Dz. U. z 2004 r. Nr 171, poz. 1800 ze

zm.) w brzmieniu: „sieć telekomunikacyjna – systemy transmisyjne oraz urządzenia

komutacyjne lub przekierowujące, a także inne zasoby, które umożliwiają nadawanie, odbiór

lub transmisję sygnałów za pomocą przewodów, fal radiowych, optycznych lub innych

środków wykorzystujących energię elektromagnetyczną, niezależnie od ich rodzaju”.

26

Wracając do wspomnianego rozporządzenia wykonawczego do u.o.d.o., dokumentację

z zakresu ochrony danych osobowych prowadzi się w sposób pisemny z zachowaniem

polityki bezpieczeństwa i zgodnie z instrukcją zarządzania systemem informatycznym służącą

do przetwarzania danych osobowych, zwaną „instrukcją”. Polityka bezpieczeństwa oraz

instrukcja są wdrażane przez administratora danych i to na nim spoczywa obowiązek

sporządzenia ich zgodnie z obowiązującymi przepisami u.o.d.o. oraz jej przepisów

wykonawczych. Szczegóły dotyczące tego, co składa się na te dokumenty, reguluje

rozporządzenie w sprawie dokumentacji przetwarzania danych osobowych oraz warunków

technicznych i organizacyjnych, jakimi powinny odpowiadać urządzenia i systemy

informatyczne służące do przetwarzania danych osobowych.

Wobec różnorodności przetwarzanych danych, a co za tym idzie – różnych zagrożeń,

przewidziane są trzy poziomy bezpieczeństwa przetwarzania danych osobowych

w systemie informatycznym:

1) podstawowy;

2) podwyższony;

3) wysoki.

Poziom podstawowy stosuje się, gdy:

1) w systemie informatycznym nie są przetwarzane dane wrażliwe, o których mowa w art. 27

u.o.d.o., a także gdy

2) żadne z urządzeń systemu informatycznego, służącego do przetwarzania danych

osobowych, nie jest połączone z siecią publiczną.

Poziom podwyższony stosuje się, gdy:

1) w systemie informatycznym przetwarzane są dane osobowe wrażliwe, o których mowa

w art. 27 u.o.d.o., a także gdy

2) żadne z urządzeń systemu informatycznego, służącego do przetwarzania danych

osobowych nie jest połączone z siecią publiczną.

Poziom wysoki stosuje się, gdy przynajmniej jedno urządzenie systemu

informatycznego, służącego do przetwarzania danych osobowych, połączone jest z siecią

publiczną.

27

Rejestracja zbiorów danych osobowych

Administrator danych osobowych ma obowiązek zgłoszenia zbioru danych do

rejestracji GIODO. Zgłoszenie takie powinno obejmować:

1) wniosek o wpisanie zbioru do rejestru zbiorów danych osobowych;

2) oznaczenie podmiotu prowadzącego zbiór i adres jego siedziby lub miejsca zamieszkania,

w tym – jeżeli posiada – numer identyfikacyjny rejestru podmiotów gospodarki narodowej

oraz podstawę prawną upoważniającą do prowadzenia zbioru, a gdy chodzi o podmiot

mający siedzibę lub miejsce zamieszkania w państwie trzecim – oznaczenie jego

przedstawiciela w Rzeczypospolitej Polskiej wraz z adresem jego siedziby lub miejsce

zamieszkania;

3) cel przetwarzania danych osobowych;

4) opis kategorii osób, których dane dotyczą, a także zakres przetwarzanych danych;

5) sposób pozyskiwania i udostępniania danych;

6) informację o odbiorcach lub kategoriach odbiorców, którym dane mogą być

przekazywane;

7) opis środków technicznych i organizacyjnych zastosowanych w celach zabezpieczenia

danych osobowych, o których mowa w art. 36-39 u.o.d.o.;

8) informację o sposobie wypełnienia warunków technicznych i organizacyjnych, o których

mowa w art. 39a u.o.d.o.;

9) informację dotyczącą ewentualnego przekazywania danych do państwa trzeciego.

Każda zmiana informacji w zbiorze danych osobowych powinna być zgłaszana do

GIODO w terminie 30 dni od dnia jej dokonania. Tryb zgłaszania zmian jest analogiczny jak

rejestracja zbioru.

Ustawa o ochronie danych osobowych przewiduje wyjątki od obowiązku rejestracji

zbioru danych. Wynika to ze specyfiki przetwarzania danych osobowych, bowiem zbiorem

danych osobowych jest między innymi kalendarz z telefonami i adresami naszych znajomych.

Byłoby utrudnieniem i niepotrzebną drobiazgowością, gdyby ustawodawca zadecydował

również o obowiązku rejestracji takich danych przez wszystkie osoby posługujące się tego

rodzaju zbiorami danych.

28

Stąd z obowiązku rejestracji zwolnione zostały osoby będące administratorami

danych

26

:

− objętych tajemnicą państwową ze względu na obronność lub bezpieczeństwo państwa,

ochronę życia i zdrowia ludzi, mienia lub bezpieczeństwa i porządku publicznego;

− które zostały uzyskane w wyniku czynności operacyjno-rozpoznawczych przez

funkcjonariuszy organów uprawnionych do tych czynności;

− przetwarzanych przez właściwe organy dla potrzeb postępowania sądowego oraz na

podstawie przepisów o Krajowym Rejestrze Karnym;

− przetwarzanych przez Generalnego Inspektora Informacji Finansowej;
− przetwarzanych przez właściwe organy na potrzeby udziału Rzeczypospolitej Polskiej

w Systemie Informacyjnym Schengen oraz Wizowym Systemie Informacyjnym;

− dotyczących osób należących do kościoła lub innego związku wyznaniowego,

o uregulowanej sytuacji prawnej, przetwarzanych na potrzeby tego kościoła lub związku

wyznaniowego;

− przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie

umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się;

− dotyczących osób korzystających z ich usług medycznych, obsługi notarialnej,

adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego

rewidenta;

− tworzonych na podstawie przepisów dotyczących wyborów do Sejmu, Senatu, Parlamentu

Europejskiego, rad gmin, rad powiatów i sejmików województw, wyborów na urząd

Prezydenta Rzeczypospolitej Polskiej, na wójta, burmistrza, prezydenta miasta oraz

dotyczących referendum ogólnokrajowego i referendum lokalnego;

− dotyczących osób pozbawionych wolności na podstawie ustawy, w zakresie niezbędnym

do wykonania tymczasowego aresztowania lub kary pozbawienia wolności;

− przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia

sprawozdawczości finansowej;

− powszechnie dostępnych;
− przetwarzanych w celu przygotowania rozprawy wymaganej do uzyskania dyplomu

ukończenia szkoły wyższej lub stopnia naukowego;

− przetwarzanych w zakresie drobnych bieżących spraw życia codziennego.

26

Art. 43 ust. 1 u.o.d.o.

29

Generalny Inspektor Ochrony Danych Osobowych prowadzi ogólnokrajowy rejestr

zbiorów danych osobowych. Rejestr ten jest jawny i dostępny dla każdego. Administrator

danych ma prawo żądać wydania mu zaświadczenia o fakcie zarejestrowania zbioru danych

osobowych. Zaświadczenie takie powinno zostać wydane niezwłocznie po dokonaniu

rejestracji zbioru.

Jeżeli wniosek o rejestrację zbioru nie spełnia wymagań określonych w przepisach

u.o.d.o., w szczególności art. 41 ust 1, lub przetwarzanie danych osobowych naruszałoby

zasady określone w przepisach art. 23-30 u.o.d.o., a także jeżeli urządzania i systemy

informatyczne mające służyć przetwarzaniu danych osobowych nie spełniają wymagań

określonych w ustawie i aktach wykonawczych do niej, GIODO ma prawo odmówić

rejestracji

27

. W sytuacji odmowy rejestracji administrator danych powinien szczegółowo

prześledzić warunki planowanego przetwarzania i ochrony danych osobowych, usunąć

nieprawidłowości i zgłosić wniosek ponownie.

W przypadku prawidłowego zgłoszenia wniosku administrator danych może

rozpocząć działania w zakresie przetwarzania danych po zgłoszeniu lub zarejestrowaniu

zbioru. W sytuacji odmowy rejestracji, przy wniesieniu ponownego wniosku przetwarzanie

danych można rozpocząć od chwili ponownego zgłoszenia wniosku o rejestrację zbioru.

Generalny Inspektor może wykreślić zbiór z rejestru. Odbywa się to w drodze decyzji

administracyjnej Inspektora, w sytuacji gdy zaprzestano przetwarzania danych osobowych lub

rejestracja została dokonana z naruszeniem obowiązujących przepisów prawa.

4.

Odpowiedzialność karna

Ustawa o ochronie danych osobowych zawiera również przepisy dotyczące

odpowiedzialności karnej. Są one uważane za jedne z bardziej restrykcyjnych. Stanowią

występki

28

, co oznacza, że mogą zostać popełnione umyślnie oraz nieumyślnie. Należy

pamiętać, że nieznajomość prawa nie zwalnia od odpowiedzialności. Przestępstwa

uwzględnione w u.o.d.o. nie wyczerpują całego katalogu naruszeń związanych z ochroną

danych osobowych. Zawierają katalog najbardziej charakterystycznych przestępstw ściganych

z urzędu, a wiążących się ze złamaniem przepisów u.o.d.o. Specyfiką przestępstw

wymienionych w u.o.d.o. jest to, że nie tylko osoba, która dopuściła się naruszeń, zostanie

27

Art. 44 u.o.d.o.

28

Art. 7 ustawy z dnia 6 czerwca 1997 r. Kodeks karny (Dz. U. z 1997 r. Nr 88, poz. 553 ze zm.); przepis ten

dzieli przestępstwa na zbrodnie i występki. Występkiem jest czyn zabroniony zagrożony karą grzywny powyżej
30 stawek dziennych, karą ograniczenia wolności albo karą pozbawienia wolności przekraczającą miesiąc.

30

skazana, ale do odpowiedzialności może zostać pociągnięty także podmiot, w którym

pracowała lub na rzecz którego świadczyła usługi. Roszczenia, jakie może skierować

poszkodowany wobec tego podmiotu, to odszkodowanie za dokonane przestępstwo oraz

zadośćuczynienie za doznane krzywdy. Dodatkowym obciążeniem przy przestępstwach

uregulowanych w u.o.d.o. jest fakt otrzymywania korzyści finansowych związanych z owym

naruszeniem.

Zgodnie z przepisami u.o.d.o. przestępstwem jest:

9 przetwarzanie w zbiorze danych osobowych, w sytuacji gdy ich przetwarzanie nie jest

dopuszczalne lub podmiot je przetwarzający nie posiada stosownego upoważnienia (art.

49 u.o.d.o.);

9 administrowanie danymi osobowymi niezgodnie z celem utworzenia zbioru, a także

niezgodne z nim przechowywanie tych danych (art. 50 u.o.d.o.);

9 udostępnienie lub umożliwienie dostępu do danych osobowych przez administratora

danych i osoby przez niego upoważnione do ochrony zbiorów danych osobom

nieupoważnionym (art. 51 u.o.d.o.);

9 umyślnie i nieumyślne naruszenie obowiązku odpowiedniego zabezpieczenia danych

przed ich zabraniem przez osoby nieupoważnione, a także przed uszkodzeniem lub

zniszczeniem (art. 52 u.o.d.o.);

9 zaniechanie obowiązku zgłoszenia do rejestracji zbioru danych (art. 53 u.o.d.o.);

9 zaniechanie obowiązku informacyjnego względem osoby, której dane dotyczą, a także

nieprzekazywanie jej informacji o prawach przyznanych jej przez ustawę o ochronie

danych osobowych (art. 54 u.o.d.o.).

5.

Ochrona danych osobowych z uwzględnieniem specyfiki przykładowo

wskazanych stanowisk:

Przetwarzaniem danych osobowych jest wykonywanie wszelkich operacji na

danych osobowych, w tym między innymi:

- zbieranie;

- utrwalanie;

- przechowywanie;

- edytowanie i opracowywanie;

- udostępnianie;

31

- usuwanie.

Zgodnie z przepisami u.o.d.o., przetwarzanie danych osobowych dopuszczalne

jest w przypadku, gdy:

a) osoba, której dane dotyczą, wyrazi na to zgodę;

b) jest to niezbędne dla realizacji uprawnień lub wykonania obowiązku nałożonego przez

obowiązujące przepisy prawa;

c) jest to niezbędne dla wykonania przedmiotu umowy, przy czym osoba, której dane

dotyczą, jest stroną tej umowy, a także wtedy, gdy jest to konieczne dla zawarcia umowy

na żądanie osoby, której dane dotyczą;

d) jest to potrzebne do realizacji określonych przepisami prawa zadań mających na celu

dobro publiczne;

e) jest to nieodzowne dla spełnienia prawnie usprawiedliwionych celów wykonywanych

przez administratorów danych lub odbiorców danych, co jednocześnie nie narusza ani

praw, ani wolności osoby, której dane dotyczą.

Przedsiębiorca czy pracodawca mogą przetwarzać dane, co do których uzyskali zgodę

osoby, której dane dotyczą, ale też mogą przetwarzać niektóre dane osobowe na podstawie

innych przepisów. Chodzi tu o przepisy prawa pracy nakładające obowiązek sporządzania

określonych dokumentów przez pracodawców (umowa o pracę, akta pracownicze,

świadectwo pracy), do czego niezbędne jest przetwarzanie danych osobowych.

Danymi, które może pracodawca przetwarzać bez wyrażenia woli czy zgody

osoby, której dotyczą, są:

- imię, nazwisko;

- imiona rodziców;

- data urodzenia;

- miejsce zamieszkania lub adres korespondencyjny;

- wykształcenie;

- przebieg dotychczasowego zatrudnienia.

Pracodawca ma także możliwość domagania się podania przez pracownika takich danych jak

numer PESEL, imion i nazwisk dzieci pracownika, stanu zdrowia (nie dotyczy to

32

stwierdzenia ciąży), warunków rodzinnych i mieszkaniowych, w sytuacji gdy dane te

potrzebne są do udostępnienia pracownikowi dodatkowych świadczeń socjalnych.

Ważne jest, iż do przetwarzania danych osobowych, w szczególności służb

kadrowych, personalnych, administracyjnych i innych stanowisk mających dostęp do danych

osobowych i przetwarzających te dane w przedsiębiorstwie, dostęp mają wyłącznie osoby

upoważnione imiennie przez administratora danych. Powinno to znaleźć odzwierciedlenie

w zakresie obowiązków poszczególnych pracowników. Jednocześnie osoby nieupoważnione

do przetwarzania danych osobowych powinny mieć do nich dostęp w stopniu minimalnym

i w zakresie nie naruszającym przepisów u.o.d.o oraz innych regulacji zawierających przepisy

chroniące dane osobowe. Oznacza to, że osoby zajmujące się sprawami personalnymi

powinny mieć to wyraźnie określone w zakresie obowiązków i upoważnienie do

przetwarzania danych osobowych winno obejmować wyłącznie dane konieczne do realizacji

tych obowiązków. Analogicznie pracownicy działu płac powinni mieć odpowiednio

skonstruowany zakres obowiązków, z którego winno wynikać upoważnienie do przetwarzania

danych płacowych pracowników. W różnych przedsiębiorstwach, u różnych pracodawców

będzie to wyglądało inaczej. Każdorazowo trzeba rozważyć strukturę zatrudnienia

i odznaczyć, ile osób może mieć upoważnienie do przetwarzania danych osobowych, jakie

dane będą wchodziły w ten zakres i jak dane osobowe zostaną zabezpieczone przed

nieuprawnionych ich przetwarzaniem.

Warto dodać, że upoważnienie do przetwarzania danych administrator danych musi

udzielić w formie pisemnej; może być to ujęte w regulaminie pracy. Kopię upoważnienia

powinno się umieścić w aktach osobowych pracownika. Upoważnienie może mieć dowolną

formę i treść, ważne, aby zawierało imię, nazwisko upoważnionego pracownika, zakres

upoważnienia, datę nadania mu uprawnień do przetwarzania danych osobowych oraz

zobowiązanie pracownika do zachowania w tajemnicy danych i sposobów ich zabezpieczenia.

Odrębnie pracodawca ma obowiązek posiadać listę pracowników upoważnionych do

przetwarzania danych osobowych, a w sytuacji, gdy ich zakresy są różne, z uwzględnieniem

tych różnic.

a) Specjalista do spraw personalnych

Specjalista do spraw personalnych najczęściej zajmuje się rekrutacją i prowadzeniem

dokumentacji pracowniczej. Rzadziej, w mniejszych zakładach pracy zajmuje się również

sporządzaniem dokumentacji płacowej.

33

W tym zakresie pracodawca – administrator danych winien upoważnić odpowiednich

pracowników zajmujących się sprawami personalnymi, z uwzględnieniem zakresu ich

obowiązków i zakresu przetwarzanych przez nich danych osobowych.

Warto dodać, że dane osobowe pracowników, w tym dane dotyczące ich

wynagrodzenia, stanowią tajemnicę służbową i podlegają ochronie.

Sąd Najwyższy w uchwale z dnia 16 lipca 1993 r., sygn. akt I PZP 28/93,

publikowanej w zbiorach Orzecznictwa Sądu Najwyższego Izba Pracy z 1994 r., z. 1, poz. 2,

wskazał, iż ujawnienie przez pracodawcę wysokości wynagrodzenia pracownika, bez jego

zgody może stanowić naruszenie dóbr osobistych tego pracownika. Pracodawca może bez

zgody pracownika przekazywać jedynie informacje dotyczących ogólnych zasad

wynagradzania, bez wskazywania cech indywidualnych tego wynagrodzenia. Wysokość

indywidualnych poborów stanowi sferę prywatności. Ujawnienie wysokości zarobków

stanowi naruszenie dóbr osobistych, nie zaś danych osobowych.

Oznacza to, że administrator danych, a także osoba przez niego upoważniona nie ma

prawa podawać do ogólnej wiadomości pracowników kwot indywidualnie przyznanych

premii, nagród czy innych składników wynagrodzenia, jak również zindywidualizowanych

wysokości poszczególnych wynagrodzeń pracowników. Ogólnie znane powinny być

wyłącznie zasady naliczania wynagrodzeń.

W odniesieniu do danych osobowych przetwarzanych przez pracodawców należy wskazać, iż

osoby upoważnione do ich przetwarzania, w szczególności specjalista do spraw

personalnych, powinny mieć świadomość, że:

1. dane osobowe objęte są tajemnicą służbową i muszą być odpowiednio zabezpieczone;

2. dostęp do danych osobowych mają wyłącznie osoby upoważnione przez pracodawcę;

niedopuszczalne jest pozostawianie akt pracowniczych czy innej dokumentacji

zawierającej dane osobowe bez nadzoru, czy to w postaci dokumentów pozostawionych

swobodnie na biurku, czy też dokumentacji niezabezpieczonej w komputerze;

3. pracownicy mają obowiązek podania danych osobowych wymienionych przez przepisy

kodeksu pracy, a pracodawca i pracownik przez niego upoważniony zajmujący się

sprawami personalnymi może dane te przetwarzać nawet bez zgody pracownika;

4. ujawnianie, nienależyte zabezpieczanie danych osobowych stanowi przestępstwo

w rozumieniu u.o.d.o. i podlega ściganiu.

34

Z drugiej strony, pracodawca powinien informować pracowników o konsekwencjach

podawania niekompletnych lub nieprawdziwych danych osobowych.

Pracownik, który zatai prawdziwe dane osobowe, naraża się na odpowiedzialność. Ma

to miejsce zwłaszcza, jeśli zatajenie danych powoduje utrudnienie lub uniemożliwienie

wykonywania przez pracodawcę, w tym służby personalne, obowiązków wynikających

z przepisów prawa. Chodzi tu w szczególności o obowiązki płatnika składek ZUS czy kwestie

podatkowe związane z wynagrodzeniem za pracę; także jeśli zatajenie danych wiąże się

z chęcią pozyskania korzyści majątkowych czy to z funduszu świadczeń socjalnych, czy też

innych świadczeń.

b) Asystent zarządu

Ten zawód nie ma schematu i każdorazowo może oznaczać inne obowiązki i wymagać

innych kompetencji. Asystent zarządu styka się z różnorodnymi dokumentami czy zbiorami

zawierającymi dane osobowe. Każdorazowo wynika to ze specyfiki podmiotu zatrudniającego

asystenta zarządu i powinno mieć odzwierciedlenie w zakresie obowiązków tego pracownika

oraz w upoważnieniu do przetwarzania przez niego danych osobowych w określonym

zakresie. Warto pamiętać, że asystent zarządu może mieć dostęp do dokumentacji kadrowej,

płacowej oraz do zbiorów danych osobowych kontrahentów pracodawcy. To wszystko

powinno być szczegółowo uregulowane na piśmie.

Jednocześnie pracodawca powinien szczególnie wyczulić asystenta zarządu na

konieczność dbałości o ochronę danych osobowych przetwarzanych w firmie oraz

odpowiedniego ich zabezpieczania. Asystent zarządu to zwykle stanowisko wymagające

dużej dynamiki i narażające pracownika niejednokrotnie na silny stres związany

z nieprzewidywalnością niektórych sytuacji. Zawsze jednak asystent zarządu winien dbać

o odpowiednią ochronę danych osobowych i ich zabezpieczenie. Niedopuszczalne jest

pozostawianie zbiorów danych – czy to w postaci kartotek, czy dokumentów przeznaczonych

do podpisu przez zarząd, czy też zbiorów informatycznych – niezabezpieczonych

i narażonych na nieuprawnione ich przetwarzanie.

Przykładem sytuacji wymagającej znajomości przepisów u.o.d.o. jest wysyłka listów

do kontrahentów czy potencjalnych współpracowników, a nawet wspólników czy

akcjonariuszy administratora danych. Często zdarza się, że na kopertach umieszczane jest

logo lub znak charakteryzujący się cechami reklamy nadawcy. GIODO wydał decyzję,

w której uznał przesyłanie kopert zawierających nadruk o charakterze reklamy wyłącznie,

35

jeśli adresat wyraził zgodę na otrzymywanie materiałów reklamowych od tego konkretnego

nadawcy

29

.

Podobnie jest w przypadku wysyłki materiałów informacyjnych i promocyjnych drogą

elektroniczną. Należy pamiętać o obowiązku wyrażenia zgody na otrzymywanie tą drogą

przesyłek. Do czasu zajęcia się przez GIODO tą kwestią panowała samowola i większość

nadawców nie pytała adresatów o zgodę i możliwość wysyłki materiałów. Od kilka lat

sytuacja jest unormowana prawnie i podlega ochronie GIODO.

Kolejnym istotnym zagadnieniem, z którym może zetknąć się asystent zarządu, są

kwestie przetwarzania danych osobowych dłużników administratora danych. Ważne, żeby

wiedzieć, że w przypadku posiadania roszczeń związanych z prowadzoną działalnością

zarobkową nie jest potrzebna zgoda dłużnika na przetwarzanie jego danych osobowych.

c) Menedżer administracji

Menedżer administracji bywa też określany jako zwierzchnik biura, najczęściej jest

odpowiedzialny za sprawną pracę biur, sekretariatów i zapewnienie odpowiedniej współpracy

i organizacji między tymi placówkami. Szczegółowe zakresy obowiązków mogą znacznie od

siebie odbiegać, są bowiem związane ze specyfiką danego podmiotu, który jest

administratorem danych osobowych.

Najczęściej praca menedżera administracji wiąże się z koordynowaniem przepływu

informacji, regulowaniem korespondencji, a także zapewnieniem należytej współpracy

między poszczególnymi oddziałami czy komórkami pracodawcy. Może on też zajmować się

zaopatrzeniem biurowym oraz kontaktami z kontrahentami oraz być odpowiedzialnym za

kontakt z mediami. Tym bardziej osoba zatrudniona na tym stanowisku powinna mieć

świadomość istnienia u.o.d.o. oraz znać jej treść. Od tego może zależeć dobre imię

pracodawcy, ponadto może to uchronić przed kłopotami wynikającymi z naruszenia

przepisów o ochronie danych osobowych.

Kontrola z GIODO bywa często lekceważona, natomiast podobnie jak inne kontrole

może pojawić się w każdej chwili. Skutki takiej kontroli zależą często od osoby zajmującej

właśnie stanowisko menedżera administracji.

Wśród sytuacji, jakie mogą powodować konieczność sięgnięcia do u.o.d.o., można

wskazać osiągnięcia zespołów zatrudnionych u administratora danych czy jego

29

S. Wikariak, Nadruk to jest reklama, „Rzeczpospolita” z 13 lipca 2005 r., dodatek Prawo co dnia.

36

poszczególnych pracowników. Szczególnie dotyczy to przypadku, gdy pracodawcą jest

uczelnia wyższa czy jednostka zajmująca się opracowywaniem nowych technologii, ale

również gdy pracodawca bierze udział w programach Fair play czy podobnych. Może zdarzyć

się tak, że pracownicy zdobędą wyróżnienie dla zatrudniającej ich jednostki. Czy w takim

przypadku menedżer administracji może zorganizować gablotę ze zdjęciami, nazwiskami tych

pracowników? Czy wolno przygotować miejsce, w którym administrator danych będzie

prezentował osiągnięcia swojej firmy, a przy okazji zamieszczał dane osobowe w postaci

nazwisk i wizerunków pracowników? Przyjęto, iż jest to przywilejem pracodawcy i nie może

podlegać restrykcjom u.o.d.o., bowiem pracownicy stanowią część przedsiębiorstwa

i w czynnościach związanych z wykonywaniem swoich obowiązków w takich sytuacjach jak

wyróżnienia czy zdobyte nagrody dane ich nie wymagają uzyskania zgody i mogą być

przedstawiane, co nie stanowi naruszenia przepisów u.o.d.o.

Menedżerowie administracji często odpowiadają za szkolenia wewnętrzne. Warto

wykorzystać te kompetencje i zorganizować szkolenie dla pracowników, w szczególności

upoważnionych do przetwarzania danych osobowych w przedsiębiorstwie, jak również

zadbać o świadomość pracodawcy i zatrudnionych tam osób w zakresie obowiązków

i uprawnień administratora danych regulowanych w u.o.d.o.

UWAGA !

Omówione wyżej charakterystyki oraz wybrane zagadnienia powiązane

z poszczególnymi stanowiskami mogą się przenikać i być wzajemnie powiązane. Są to

zagadnienia, z jakimi mogą się Państwo zetknąć, wykonując swoje obowiązki, chociaż

nie w każdym przypadku. Specyfika każdej firmy jest inna i inaczej też kształtują się

kompetencje osób zajmujących takie stanowiska. Dlatego proszę traktować powyższe

opisy stanowisk jako porady, a nie wyznaczniki wykonywanych przez Państwa

obowiązków.

37

Część II. OCHRONA INFORMACJI NIEJAWNYCH

1.

Obowiązująca i nowa ustawa o ochronie informacji niejawnych

30

¾ Ustawa o ochronie informacji niejawnych

Dotychczas obowiązująca ustawa o ochronie informacji niejawnych z 22 stycznia 1999 r. była

wielokrotnie zmieniana. W 2005 r. otrzymała tekst jednolity. Trudności w stosowaniu

przepisów ustawy w praktyce oraz zachodzące zmiany spowodowały konieczność

opracowania całkowicie nowego aktu prawnego. Celem nadrzędnym nowej ustawy jest

wprowadzenie jednolitych, spójnych rozwiązań, usuwając tym samym narosłe wątpliwości

interpretacyjne. Zmiana przepisów spowodowana jest również wprowadzeniem do systemu

ochrony informacji niejawnych nowych mechanizmów efektywnościowych, w tym między

innymi zarządzania ryzykiem, a także dostosowaniem ochrony informacji niejawnych do

nowoczesnych technologii i nowych regulacji obowiązujących w Unii Europejskiej oraz

NATO.

Nowa ustawa datowana jest na 5 sierpnia 2010 r. i została już podpisana przez prezydenta

Bronisława Komorowskiego

31

.

Ustawę z 2010 r. charakteryzują nowe rozwiązania:

• - odejście od podziału informacji niejawnych na tajemnicą państwową i służbową;
• - uproszczenie formalnych wykazów informacji niejawnych, w miejsce

jednoznacznego zobowiązania twórców informacji do kierowania się nowymi

definicjami poszczególnych klauzul;

• - zastosowanie modelu znanego z wielu państw Unii Europejskiej, to jest ustanowienie

jednej, zamiast dotychczasowych dwóch krajowych władz bezpieczeństwa w zakresie

informacji niejawnych;

• - wprowadzenie zmian w zasadach regulujących postępowania sprawdzające,

w szczególności rozszerzenie zakresu stosowania k.p.a. oraz rezygnacja

z prowadzenia postępowań wobec osób ubiegających się o dostęp do informacji

30

Podczas przygotowania niniejszego materiału ustawa o ochronie informacji niejawnych z dnia 5 sierpnia

2010 r. nie była jeszcze opublikowana w Dzienniku Ustaw. Ustawa ma obowiązywać w terminie 3 miesięcy od
daty jej publikacji.

31

Prezydent RP Bronisław Komorowski podpisał ustawę w dniu 30 sierpnia 2010 r., źródło:

http://www.prezydent.pl/aktualnosci/ustawy/podpisane/art,3,sierpien-2010-r-.html

38

niejawnych o klauzuli „zastrzeżone”, a także wprowadzenie terminu zawitego przy

kontrolnych postępowaniach sprawdzających;

• - wprowadzenie stosowania zarządzania ryzykiem przy formułowaniu wymogów

bezpieczeństwa fizycznego i teleinformatycznego, co stanowi przygotowanie do

prezydencji naszego kraju w Unii Europejskiej;

• - odejście od ścisłej kontroli obiegu dokumentów o niższych klauzulach,

w szczególności klauzuli „zastrzeżone”, co stanowi analogię do rozwiązań panujących

w UE oraz większości państw członkowskich;

• - wprowadzenie okresowego przeglądu dokumentów niejawnych celem ustalenia, czy

informacje te nadal spełniają ustawowe przesłanki, które były podstawą nadania im

klauzuli tajności.

2.

Podstawowe pojęcia – terminologia ustawy z 1999 r. oraz ustawy z

2010 r.

Podstawowe definicje i pojęcia wynikające z przepisów Ustawy z dnia 22 stycznia 1999 r.

o ochronie informacji niejawnych (art. 2 u.o.i.n. z 1999 r. według brzmienia na dzień

31 marca 2010 r.):

1) tajemnicą państwową jest informacja określona w wykazie rodzajów informacji,

stanowiącym załącznik nr 1, której nieuprawnione ujawnienie może spowodować istotne

zagrożenie dla podstawowych interesów Rzeczypospolitej Polskiej dotyczących porządku

publicznego, obronności, bezpieczeństwa, stosunków międzynarodowych lub

gospodarczych państwa;

2) tajemnicą służbową jest informacja niejawna niebędąca tajemnicą państwową, uzyskana

w związku z czynnościami służbowymi albo wykonywaniem prac zleconych, której

nieuprawnione ujawnienie mogłoby narazić na szkodę interes państwa, interes publiczny lub

prawnie chroniony interes obywateli albo jednostki organizacyjnej;

3) służbami ochrony państwa są Agencja Bezpieczeństwa Wewnętrznego i Służba

Kontrwywiadu Wojskowego;

4) rękojmia zachowania tajemnicy oznacza spełnienie ustawowych wymogów dla

zapewnienia ochrony informacji niejawnych przed ich nieuprawnionym ujawnieniem;

5) dokumentem jest każda utrwalona informacja niejawna, w szczególności na piśmie,

mikrofilmach, negatywach i fotografiach, na taśmach elektromagnetycznych, także w formie

39

mapy, wykresu, rysunku, obrazu, grafiki, fotografii, broszury, książki, kopii, odpisu, wypisu,

wyciągu i tłumaczenia dokumentu, zbędnego lub wadliwego wydruku, odbitki, kliszy, matrycy,

kalki, taśmy atramentowej, jak również informacja niejawna utrwalona na informatycznych

nośnikach danych;

6) materiałem jest dokument, jak też chroniony jako informacja niejawna przedmiot lub

dowolna jego część, a zwłaszcza urządzenie, wyposażenie lub broń wyprodukowana albo

będąca w trakcie produkcji, a także składnik użyty do ich wytworzenia;

7) jednostką organizacyjną jest podmiot wymieniony w art. 1 ust. 2. to jest:

1) organy władzy publicznej;

2) Siły Zbrojne Rzeczypospolitej Polskiej i ich jednostek organizacyjnych, a także

inne jednostki organizacyjne podległe Ministrowi Obrony Narodowej lub przez

niego nadzorowane;

3) Narodowy Bank Polski i banki państwowe;

4) państwowe osoby prawne i inne niż wymienione w pkt 1-3 państwowe jednostki

organizacyjne;

5) przedsiębiorcy, jednostki naukowe lub badawczo-rozwojowe, zamierzające

ubiegać się, ubiegające się o zawarcie lub wykonujące umowy związane z

dostępem do informacji niejawnych albo wykonujące na podstawie przepisów

prawa zadania związane z dostępem do informacji niejawnych;

7a) jednostką naukową jest jednostka naukowa w rozumieniu przepisów o zasadach

finansowania nauki;

8) systemem teleinformatycznym jest system, który tworzą urządzenia, narzędzia, metody

postępowania i procedury stosowane przez wyspecjalizowanych pracowników, w sposób

zapewniający wytwarzanie, przechowywanie, przetwarzanie lub przekazywanie informacji;

9) siecią teleinformatyczną jest organizacyjne i techniczne połączenie systemów

teleinformatycznych;

10) akredytacją bezpieczeństwa teleinformatycznego jest dopuszczenie systemu lub sieci

teleinformatycznej do wytwarzania, przetwarzania, przechowywania lub przekazywania

informacji niejawnych, na zasadach określonych w ustawie;

11) dokumentacją bezpieczeństwa systemu lub sieci informatycznej są Szczególne Wymagania

Bezpieczeństwa oraz Procedury Bezpiecznej Eksploatacji danego systemu lub sieci

teleinformatycznej, sporządzone zgodnie z zasadami określonymi w ustawie.

40

Podstawowe definicje i pojęcia wynikające z przepisów Ustawy z dnia 5 sierpnia 2010 r.

Nowa ustawa z 2010 r., jeszcze nieobowiązująca, zawiera inny słownik definicji

pojęć. Jest on znacznie bardziej rozbudowany względem dotychczas obowiązującego.

Art. 2 precyzuje niektóre z pojęć używanych w u.o.i.n., w tym definicje zawarte w

następujących punktach tego przepisu:

Jednostka organizacyjna to:

1) organ władzy publicznej, w szczególności:

• Sejm i Senat Rzeczypospolitej Polskiej;
• Prezydent Rzeczypospolitej Polskiej;
• organy administracji rządowej;
• organy jednostek samorządu terytorialnego, a także inne podległe im jednostki

organizacyjne lub przez nie nadzorowane;

• sądy i trybunały;
• organy kontroli państwowej i ochrony prawa;

2) jednostki organizacyjne podległe Ministrowi Obrony Narodowej lub przez niego

nadzorowane;

3) Narodowy Bank Polski;

4) państwowe osoby prawne i inne niż wymienione wyżej państwowe jednostki

organizacyjne;

5) jednostki organizacyjne podległe organom władzy publicznej lub nadzorowane przez te

organy;

6) przedsiębiorcy zamierzający ubiegać się albo ubiegający się o zawarcie umów związanych

z dostępem do informacji niejawnych lub wykonujący takie umowy albo wykonujący na

podstawie przepisów prawa zadania związane z dostępem do informacji niejawnych.

Rękojmia zachowania tajemnicy to zdolność osoby do spełnienia ustawowych wymogów

dla zapewnienia ochrony informacji niejawnych przed ich nieuprawnionym ujawnieniem,

stwierdzona w wyniku przeprowadzenia postępowania sprawdzającego.

Dokumentem jest każda utrwalona informacja niejawna.

Materiałem jest dokument lub przedmiot albo dowolna ich część, chronione jako informacja

niejawna, a zwłaszcza urządzenie, wyposażenie lub broń wyprodukowane albo będące

w trakcie produkcji, a także składnik użyty do ich wytworzenia.

Przetwarzaniem informacji niejawnych są wszelkie operacje wykonywane w odniesieniu

do informacji niejawnych i na tych informacjach, w szczególności ich wytwarzanie,

41

modyfikowanie, kopiowanie, klasyfikowanie, gromadzenie, przechowywanie, przekazywanie

lub udostępnianie.

Dotychczasowy brak definicji tego pojęcia powodował konieczność częstego wyliczania

w dotychczasowym brzmieniu u.o.i.n. różnych kategorii czynności wykonywanych wobec

informacji niejawnych.

Systemem teleinformatycznym jest system teleinformatyczny w rozumieniu art. 2 pkt

3 ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz. U. z 2002 r. Nr

144, poz. 1204, ze zm.).

Dokumentem szczególnych wymagań bezpieczeństwa jest systematyczny opis sposobu

zarządzania bezpieczeństwem systemu teleinformatycznego.

Dokumentem procedur bezpiecznej eksploatacji systemu teleinformatycznego jest opis

sposobu i trybu postępowania w sprawach związanych z bezpieczeństwem informacji

niejawnych przetwarzanych w systemie teleinformatycznym oraz zakres odpowiedzialności

użytkowników systemu teleinformatycznego i pracowników mających do niego dostęp.

Dokumentacją bezpieczeństwa systemu teleinformatycznego jest dokument szczególnych

wymagań bezpieczeństwa oraz dokument procedur bezpiecznej eksploatacji systemu

teleinformatycznego, opracowane zgodnie z zasadami określonymi w u.o.i.n.

Akredytacją bezpieczeństwa teleinformatycznego jest dopuszczenie systemu

teleinformatycznego do przetwarzania informacji niejawnych.

Certyfikacją jest proces potwierdzania zdolności urządzenia, narzędzia lub innego środka do

ochrony informacji niejawnych.

Audytem bezpieczeństwa systemu teleinformatycznego jest weryfikacja poprawności

realizacji wymagań i procedur, określonych w dokumentacji bezpieczeństwa systemu

teleinformatycznego.

Przedsiębiorcą jest przedsiębiorca w rozumieniu art. 4 ustawy z dnia 2 lipca 2004 r.

o swobodzie działalności gospodarczej (Dz. U. z 2007 r. Nr 155, poz. 1095, z późn. zm.) lub

każda inna jednostka organizacyjna, niezależnie od formy własności, która w ramach

prowadzonej działalności gospodarczej zamierza realizować lub realizuje związane

z dostępem do informacji niejawnych umowy lub zadania wynikające z przepisów prawa.

U.o.i.n. będzie odnosić się nie tylko do przedsiębiorców, jednostek naukowych i badawczo-

rozwojowych, jak dotychczas, ale także do wszelkich innych jednostek organizacyjnych,

które w ramach prowadzonej działalności gospodarczej realizują umowy lub zadania

związane z dostępem do informacji niejawnych; dotychczasowa definicja pomijała

spółdzielnie i inne jednostki działające na podstawie odrębnych ustaw.

42

Kierownikiem przedsiębiorcy jest członek jednoosobowego zarządu lub innego

jednoosobowego organu zarządzającego, a jeżeli organ jest wieloosobowy – cały organ albo

członek lub członkowie tego organu wyznaczeni co najmniej uchwałą zarządu do pełnienia

funkcji kierownika przedsiębiorcy, z wyłączeniem pełnomocników ustanowionych przez ten

organ lub jednostkę. W przypadku spółki jawnej i spółki cywilnej kierownikiem

przedsiębiorcy są wspólnicy prowadzący sprawy spółki, w przypadku spółki partnerskiej –

wspólnicy prowadzący sprawy spółki albo zarząd, a w odniesieniu do spółki komandytowej

i spółki komandytowo-akcyjnej – komplementariusze prowadzący sprawy spółki.

W

przypadku osoby fizycznej prowadzącej działalność gospodarczą kierownikiem

przedsiębiorcy jest ta osoba; za kierownika przedsiębiorcy uważa się również likwidatora,

a także syndyka lub zarządcę ustanowionego w postępowaniu upadłościowym. Kierownik

przedsiębiorcy jest kierownikiem jednostki organizacyjnej w rozumieniu przepisów ustawy.

Brak definicji tego pojęcia powodował liczne wątpliwości i konieczność formułowania przez

służby ochrony państwa doraźnych interpretacji w postępowaniach bezpieczeństwa

przemysłowego, zwłaszcza w przypadku zarządów wieloosobowych, a także spółek

cywilnych, jawnych, partnerskich, komandytowych oraz przedsiębiorców w stanie upadłości.

Ryzykiem jest kombinacja prawdopodobieństwa wystąpienia zdarzenia niepożądanego i jego

konsekwencji.

Szacowaniem ryzyka jest całościowy proces analizy i oceny ryzyka.

Zarządzanie ryzykiem to skoordynowane działania w zakresie zarządzania

bezpieczeństwem informacji, z uwzględnieniem ryzyka.

Zatrudnieniem jest również odpowiednio powołanie, mianowanie lub wyznaczenie.

Nowa ustawa o ochronie informacji niejawnych zawiera zmiany powodujące

ograniczenie zakresu informacji objętych ochroną, co w konsekwencji zwiększa zakres

informacji publicznej. To zaś wpływa na większą jawność życia publicznego i jego

dostępność. Za regulacjami przyjętymi w Unii Europejskiej oraz większości państw

członkowskich powiększa to w Rzeczypospolitej Polskiej sferę wolności i praw jednostek, co

ma bezpośredni związek z nadchodzącym przewodnictwem Polski w UE

32

.

Ochrona informacji niejawnych nie jest przedmiotem regulacji Unii Europejskiej i nie

jest to konieczność narzucona przez porządek prawny Unii. Konieczność dokonania zmian

32

Prezydencja w UE oznacza sprawowanie przez kolejne 6 miesięcy przewodnictwa nad pracami Rady Unii

Europejskiej. Oznacza to odpowiedzialność za organizację spotkań w UE oraz nadawanie kierunku politycznego
UE, a także odpowiedzialność za rozwój i bezpieczeństwo UE. Polska ma objąć prezydencję 1 lipca 2011 r.

43

i dostosowania polskiego systemu ochrony informacji niejawnych do praktyki i reguł

obowiązujących w instytucjach krajów członkowskich Unii i w niej samej wynika z trudności,

jakie nastręczałoby pozostawienie dotychczas obowiązujących przepisów ustawy o ochronie

informacji niejawnych z 1999 r. Ustawa ta, przygotowana ponad 10 lat temu, choć

wielokrotnie zmieniana, nie jest w stanie sprostać współczesnym wymaganiom. Odstaje od

terminologii i systemów wykorzystywanych w UE i jej krajach członkowskich. To wszystko

spowodowało konieczność przyspieszenia prac legislacyjnych i dało efekt w postaci nowej

ustawy uchwalonej przez Sejm w dniu 5 sierpnia bieżącego roku, a podpisanej przez

Prezydenta Rzeczypospolitej Polskiej w dniu 30 sierpnia.

Nadchodząca prezydencja RP w Radzie UE przy dotychczasowym systemie ochrony

informacji niejawnych spowodowałaby szereg utrudnień, co wiąże się w szczególności

z brakiem elastyczności naszego systemu ochrony oraz rygorystyczną ochroną przewidzianą

nawet dla dokumentów o niskim stopniu tajności. Dla sprawnego działania poszczególnych

grup roboczych, szybkiego przekazywania i bieżącego wykorzystywania informacji

konieczne były zmiany. Ponadto prezydencja wymaga spójności i jasności w systemie

ochrony informacji niejawnych dla zapewnia współpracy państw członkowskich i instytucji

UE w tym okresie. Nowa ustawa dokonuje wielu uproszczeń, wpływ na to ma również

planowane zmniejszenie liczby jednostek organizacyjnych przetwarzających informacje

niejawne. Wprowadzona została zasada, iż ochronie według przepisów nowej u.o.i.n. mają

podlegać wyłącznie te informacje, których ujawnienie przyniosłoby szkody interesom

państwa, zaś postępowanie z informacjami dotyczącymi obywateli i jednostek

organizacyjnych, a objętymi tajemnicami różnego rodzaju, pozostaje uregulowane odrębnymi

aktami prawnymi. Co ważne, rozszerzono możliwość stosowania k.p.a. w postępowaniach

sprawdzających. Dotychczas nie było podstawy prawnej dla pełnego stosowania tych

przepisów. Zmiany spowodują zmniejszenie liczby informacji podlegających konieczności

ochrony, co powinno pozytywnie wpłynąć na oszczędności państwa.

Załączniki:

1) Ustawa o ochronie danych osobowych – tekst obowiązujący na dzień 1 kwietnia 2010

r.

2) Ustawa o ochronie informacji niejawnych – tekst obowiązujący na dzień 31 marca

2010 r.

3) Ustawa o ochronie informacji niejawnych – tekst ustawy z dnia 5 sierpnia 2010 r.

źródło

http://www.iniejawna.pl/przyciski/ustawa.html