LUBELSKA SZKOŁA WYŻSZA IM. KRÓLA WŁADYSŁAWA JAGIEŁŁY
Joanna Jabłońska-Chyła
Kontrola sprawowana przez Generalnego Inspektora Ochrony Danych Osobowych
Praca dyplomowa
napisana pod kierunkiem
dr. Pawła Fajgielskiego
Lublin 2006
Spis treści
Wstęp
Żyjemy w czasach szybkiego rozwoju informatycznego, oznacza to, iż obserwujemy zastępowanie tradycyjnych, manualnych metod gromadzenia i utrwalania informacji, nowoczesnymi, skomputeryzowanymi metodami. Powoduje to, iż tak tworzone dane są łatwiejsze w przetwarzaniu i udostępnianiu. Wzrasta więc ryzyko naruszenia praw osób , których dane są gromadzone w różnych bazach danych. Podkreśla się, iż w obliczu obecnej techniki informatycznej obywatele stają się coraz bardziej „przejrzyści”. Pozostawienie skomputeryzowanych baz danych poza prawną regulacją sprzyjałoby ingerowaniu w wolność osobistą jednostki i jej prywatność. Wraz z rozwojem systemów informatycznych wzrasta liczba kontaktów społecznych, ekonomicznych czy też handlowych dokonywanych przez Internet. Przepływ informacji, w tym baz danych stał się bardzo szybki. Sama informacja stała się towarem, o dużej wartości ekonomicznej. W świetle takiej rzeczywistości niezbędne stało się stworzenie odpowiednich regulacji prawnych, tak aby zagwarantować ochronę praw osobistych, w tym prawa do prywatności i ochrony danych osobowych. Ustawa z dnia 29 sierpnia 1997r. o ochronie danych osobowych wprowadziła do polskiego systemu prawnego regulacje chroniące interesy tych osób fizycznych, których dotyczą gromadzone i przetwarzane informacje. Chodzi tu o poszanowanie prywatności tych podmiotów, która będzie zachowana jeśli zbierane informacje na temat tych podmiotów będą im udostępniane, gdy będą wiedzieć kto i w jakim celu gromadzi informacje na ich temat. Ochrona interesów osób, których dotyczą zbierane dane realizowana jest poprzez kontrolę specjalnie powołanego w tym celu organu państwowego. Jest nim Generalny Inspektor Ochrony Danych Osobowych. Jest to nowa instytucja w polskim systemie organów państwa, posiadająca szczególne uprawnienia i pozycję w tym systemie. Generalny Inspektor, jego urząd i zakres jego kontroli są przedmiotem niniejszej pracy.
Rozdział I
Zagadnienia ogólne
1.1. Pojęcie i zakres kontroli
Przystępując do omawiania zagadnienia kontroli sprawowanej przez Generalnego Inspektora Ochrony Danych Osobowych należy przyjrzeć się w pierwszej kolejności, samemu pojęciu kontroli. Doktryna prawa administracyjnego wypracowała definicję tego pojęcia, jednocześnie wprowadzając dystynkcje między określeniem kontrola oraz nadzór. Pojęcie nadzoru jest rozumiane jako szersze w stosunku do pojęcia kontroli, ponieważ nadzór wiąże się z możliwością władczego ingerowania w działalność podległej jednostki. Organ nadzorujący jest wyposażony w kompetencje oddziaływania na postępowanie jednostki nadzorowanej. „Uprawnienia nadzorcze oznaczają tyle, co prawo do kontroli, wraz z możliwością wiążącego wpływania na organy czy instytucje nadzorowane. W niektórych przypadkach termin ten bywa używany do oznaczenia kierownictwa lub kontroli, co wiąże się z faktem, że nadzorowanie jest jednym z elementów funkcji kierowania”. Zgodnie z poglądami prezentowanymi przez S. Jędrzejewskiego podstawową przesłanką mającą odróżniać nadzór od kontroli jest możliwość posłużenia się środkami wiążącymi podmiot skontrolowany. Kolejna istotna cecha nadzoru dotyczy odpowiedzialności organu nadzorującego za działalność jednostki nadzorowanej. Organ kontroli nie ponosi takiej odpowiedzialności.
Zagadnienie kontroli, będące jednym z aspektów tej pracy, jest z kolei definiowane jako sprawdzenie działalności jednostki, ale bez możliwości stałego wpływania na bieżącą działalność jednostki kontrolowanej, poprzez system nakazów i poleceń. Organ kontrolujący jest wyposażony jedynie w uprawnienie wydawania zaleceń pokontrolnych uwzględniających wyniki przeprowadzanej kontroli.
Rozważania dotyczące pojęcia kontroli można uzupełnić o opinię E. Ochendowskiego, iż celem kontroli jest ustalenie istniejącego stanu rzeczy oraz stanu pożądanego, wyznaczonego odpowiednimi wzorcami i normami postępowania. Kolejnym krokiem jest porównanie i wskazanie różnic tych dwóch stanów i ich przyczyn, oraz wyartykułowanie zaleceń mających przeciwdziałać niepożądanym zjawiskom.
J. Jagielski konkluduje rozważania odnoszące się do zagadnienia kontroli stwierdzając, iż „kategoria kontroli oznacza funkcję, której treść obejmuje:
obserwowanie i rozpoznawanie danej działalności lub stanu, czyli ustalanie ich rzeczywistego obrazu w określonym miejscu i czasie;
dokonywanie oceny tej działalności lub stanu poprzez konfrontację faktycznego (rzeczywistego) ich obrazu z odnoszącymi się do nich - jako całości, jak również do ich poszczególnych fragmentów - założeniami wyjściowymi (znajdującymi wyraz w przyjętych celach, standardach, parametrach itd). Ocena ta prowadzić ma do stwierdzenia prawidłowości bądź nieprawidłowości określonych działań lub stanów;
stawianie diagnozy przyczyn ewentualnych nieprawidłowości, mającej możliwie szeroki zasięg, w tym uwzględniającej przedmiotowe i personalne aspekty przyczyn wystąpienia stwierdzonych nieprawidłowości;
formułowanie wniosków, co do tej działalności lub stanów przyszłości, mających na celu przeciwdziałanie powstawaniu nieprawidłowości”.
Autor formułując takie pojęcie kontroli przedstawia funkcję kontroli w ujęciu dynamicznym; kontrola jako pewien proces, ciąg czynności. Czynności procesu działalności kontrolnej układają się w określone stadia, a mianowicie stadium informacyjno-rozpoznawcze, stadium analityczno-oceniające i diagnostyczne oraz stadium oddziaływania w zakresie naprawczym.
Przy omawianiu pojęcia kontroli jako czynności, ogólnie mówiąc, polegającej na porównywaniu stanu rzeczywistego ze stanem postulowanym, należy zwrócić uwagę na kontrolę administracyjną. Wymaga to uszczegółowienia rodzaju kontroli ze względu na jej usytuowanie w ramach samej administracji lub też poza. Doktryna prawa administracyjnego rozróżnia kontrolę zewnętrzną i wewnętrzną. Aby jednak rozwinąć te pojęcia, nieodzowne wydaje się przedstawienie istotnych cech kontroli administracyjnej. Ma ona za zadanie skupić się na przedmiocie działalności danego organu administracyjnego oraz strukturze organizacyjnej. „Strukturę organizacyjną bada się pod kątem racjonalnej organizacji pracy administracji państwowej, zasad budowania administracji, zgodności z przepisami ustrojowymi itp. Działalność administracji bada się zaś głównie z punktu widzenia zgodności z obowiązującym prawem lub polityką państwa, celowości, rzetelności, zasad sprawiedliwości społecznej itp”. Kontrola zewnętrzna jest wykonywana przez osoby fizyczne i prawne oraz inne jednostki organizacyjne, niepaństwowe i państwowe. Modelowym przykładem jest NIK, którego podstawową działalnością jest kontrola. Również instytucja Generalnego Inspektora Ochrony Danych Osobowych jest określona przez doktrynę prawa administracyjnego jako kontrola zewnętrzna. „Każda kontrola wykonywana względem administracji przez organ czy inną instytucję działająca poza strukturą administracji będzie kontrolą zewnętrzną”. Natomiast kontrola wewnętrzna jest wykonywana przez pracownika, wewnętrzną jednostkę organizacyjną lub inny podmiot działający w ramach danej jednostki organizacyjnej. Kontrola ta może wynikać bezpośrednio z zajmowanego stanowiska (kontrola kierownicza) lub z indywidualnego upoważnienia zawartego w regulaminie czy też wydanego na podstawie przepisu prawnego. Często też kontrola wewnętrzna wykonywana jest przez powołaną, odrębną jednostkę organizacyjną tej instytucji.
Według kryterium zasięgu możemy rozróżnić kontrolę nieograniczoną czyli zupełną i kontrolę ograniczoną zwaną fragmentaryczną. Kontrola nieograniczona dotyczy całości działań danego podmiotu, natomiast ograniczona obejmuje zasięgiem jedynie wyodrębniony fragment działalności kontrolowanego podmiotu.
Inny podział opiera się na kryterium sposobu prowadzenia kontroli. Kontrola wykonywana bezpośrednio, tzw. „na miejscu” polega na tym, że sprawdzana jest działalność podmiotu kontrolowanego i efekty tej działalności. Natomiast kontrola pośrednia, tzw. „siedząca” polega na sprawdzaniu podmiotu kontrolowanego w oparciu o badania i analizy sprawozdań przedstawionych przez jednostkę kontrolowaną.
Rozróżnienie kontroli na wstępną, faktyczną i następną, wiąże się z momentem, w jakim kontrola wkracza w działalność danego podmiotu. O kontroli wstępnej mówimy gdy, jest możliwość sprawdzenia i oceny planowanej działalności. „Jest to więc kontrola zamierzeń, a nie przedsiębranych już czynności. Podmiot kontrolowany jest obarczony obowiązkiem przedstawiania kontrolującemu do wglądu dokumentacji planowanej działalności jeszcze przed jej rozpoczęciem i powiadamiania kontrolera o zamiarze podjęcia działania. Dobrą stroną tej kontroli jest szansa niedopuszczenia do podjęcia działalności, która okazałaby się wadliwa, niecelowa itd. Kontrola wstępnych zamierzeń pozwala zapobiegać powstaniu błędów i nadużyć w przyszłej działalności”. Jak słusznie zauważa S. Jędrzejewski „na tym etapie oddziaływanie kontroli na podmiot kontrolowany jest szczególnie intensywne. Może prowadzić nie tylko do zmiany treści czy formy albo sposobu zamierzonego, ale także do jego zaniechania. Zarówno na samą możliwość podjęcia zamierzonego działania, jak i na jego kierunek organ kontroli wywiera tu wpływ bezpośredni, angażuje się w jakimś stopniu w kontrolowane działanie. Wykonywanie kontroli wstępnej powinno więc być związane z funkcją nadzoru. Do wykonywania kontroli wstępnej może być upoważniony organ kontrolujący nie zobowiązany do sprawowania nadzoru nad podmiotem kontrolowanym tylko w przypadkach szczególnych i tylko na mocy wyraźnego przepisu prawa. Najczęstszą formą kontroli wstępnej jest uzależnienie wydania jakiegoś aktu od zgody organu nadzorującego, czy podjęcia reglamentowanej działalności po uzyskaniu pozwolenia odpowiedniego organu administracji - po dokonaniu oceny treści zamierzenia.” Kontrola faktyczna jest wykonywana w toku trwającej działalności i może wyłowić błędy popełniane w jej trakcie. Daje ona możliwość wykrywania nieprawidłowości oraz ich usuwania w bieżącej działalności podmiotu. „Wykonywanie kontroli faktycznej nosi więc znamiona wywierania wpływu na działalność podmiotu kontrolowanego, choć w stopniu znacznie mniejszym niż kontrola wstępna”. Ostatnia z wymienionych kontroli, kontrola następna, polega na sprawdzaniu i ocenie dokonanych czynności i ich skutków. Dokonywana jest po zakończeniu działania jednostki kontrolowanej. „Pozwala na całościowe, bardziej wszechstronne spojrzenie na funkcjonowanie podmiotu kontrolowanego i dokonanie dokładniejszej i wnikliwszej analizy i oceny. Równocześnie jednak ten rodzaj kontroli nie pozwala już wpłynąć na eliminację błędów i poprawę kontrolowanej działalności, ponieważ odnosi się do działalności już zakończonej. Stwarza on natomiast możliwość - poprzez ustalenia co do błędów i ich przyczyn - skorygowania przyszłej działalności w pożądanym kierunku. Rola kontroli następnej polega więc przede wszystkim na pełnej ocenie tego, co było, oraz na stworzeniu podstaw do wyciągania stosownych wniosków na przyszłość”.
1.2. Kryteria kontroli
Przez kryteria kontroli rozumiemy pewne mierniki, punkty widzenia, według których dokonujemy oceny. Podmiot kontrolujący przy stosowaniu danego kryterium kontroli jest ograniczony przepisami prawa. Najczęściej stosowanymi kryteriami przy wykonywaniu kontroli są kryteria legalności, celowości, gospodarności i rzetelności. Rzadziej wymieniane są kryteria ochrony interesu społecznego i ochrony praw jednostki. „Poprzez wskazanie kryteriów kontroli może ulegać ograniczeniu także zakres kontroli. Jeżeli zostało wyznaczone danemu organowi kryterium, według którego ma dokonywać oceny badanej działalności, to nie jest dopuszczalne stosowanie innych kryteriów.”
Najczęściej występujące w procedurach kontrolnych jest kryterium legalności, definiowane jako zgodność z obowiązującymi przepisami prawa. Przy wykonywaniu funkcji kontrolnych kryterium to oznacza sprawdzenie danej działalności z punktu widzenia zgodności z obowiązującym prawem. Będą tu brane pod uwagę normy o charakterze ustrojowym, jak i normy prawa materialnego i proceduralnego. Kryterium legalności odgrywa w kontroli pierwszoplanową rolę, ponieważ nawiązuje do art. 2 Konstytucji Rzeczpospolitej Polskiej, artykułującego zasadę demokratycznego państwa prawa, zgodnie z którą to zasadą organy władzy publicznej są zobowiązane do przestrzegania obowiązującego prawa. Odwołanie do powyższego kryterium odnaleźć można także w art. 7 Konstytucji, odnoszącym się do organów władzy publicznej, które działają na podstawie i w granicach prawa - w oparciu o legitymację prawną. Jak zauważa J. Jagielski wszystkie kryteria, jakimi posługuje się kontrola, istnieć mogą tylko w ramach obowiązującego prawa. Prowadzi to do stwierdzenia, iż wszystkie kryteria podporządkowane są kryteriom legalności. „Kryterium legalności w relacji z innymi szczegółowymi kryteriami kontroli występuje więc jako kryterium w swoisty sposób nadrzędne. Owa nadrzędność polega na tym, że, dokonując sprawdzenia i oceny przez pryzmat celowości, gospodarności itd., nie można pominąć perspektywy zgodności sprawdzanej i ocenianej działalności (stanu) z prawem i oparcia jej na odpowiednich podstawach prawnych”.
Kryterium celowości prowadzi do oceny działalności podmiotu kontrolowanego z punktu widzenia realizacji celów i zadań nałożonych na ten podmiot. Kryterium to determinowane też jest stwierdzeniem, czy ta działalność jest prowadzona w sposób racjonalny i czy przynosi spodziewane efekty. Kolejne kryterium, określane jako kryterium rzetelności, dotyczy oceny kontrolowanej działalności pod względem należytej staranności przy wykonywaniu powierzonych zadań, a także zgodności z zaleceniami oraz z obowiązującymi regułami czy standardami. Kryterium gospodarności poddaje ocenie sposób dysponowania środkami finansowymi i materialnymi, w jakie została dana jednostka wyposażona. Oznacza ono również, że pod uwagę będzie brany ekonomiczny aspekt działań jednostki, z przesunięciem akcentów oceny na osiągnięte efekty, uwzględniając jednocześnie poniesione koszty.
1.3. Podstawy prawne ochrony danych osobowych
Najstarszym aktem prawnym o zasięgu międzynarodowym, kompleksowo regulującym zagadnienia związane z ochroną danych osobowych jest Konwencja Rady Europy Nr 108 z dnia 28 stycznia 1981 r. o Ochronie Osób w Związku z Automatycznym Przetwarzaniem Danych Osobowych. Konwencja ta nałożyła na kraje członkowskie obowiązek stworzenia ustawodawstwa w zakresie ochrony danych osobowych, wskazując jednocześnie, w jakim kierunku ustawodawstwo to ma zmierzać. Celem Konwencji jest zapewnienie, na obszarze państw członkowskich, każdemu - niezależnie od obywatelstwa i zamieszkania - ochrony jego praw i wolności, a w szczególności prawa do poszanowania sfery osobistej, w związku z automatycznym przetwarzaniem danych osobowych. Konwencja określiła minimalny zakres tych praw i skorelowanych z nimi obowiązków. Konwencja weszła w życie 1 października 1985 r.
Rozbieżności w ustawodawstwach państw Unii spowodowały konieczność ich ujednolicenia. W 1990 r. rozpoczęto prace nad stosowną dyrektywą. Efektem tych prac było wydanie Dyrektywy Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. (95/46/EC) w sprawie ochrony osób w związku z przetwarzaniem danych osobowych oraz swobodnego przepływu tych danych. Zasadniczym zadaniem, jaki taka regulacja miała spełnić było zapewnienie minimalnego, a zarazem jednolitego dla państw członkowskich poziomu ochrony danym osobowym gromadzonym w zbiorach oraz zapewnienie swobodnego przepływu danych osobowych pomiędzy krajami członkowskimi. Zrealizowanie tego drugiego zadania jest koniecznym warunkiem zapewnienia, w dalszej kolejności, swobodnego przepływu towarów, usług i osób pomiędzy krajami Wspólnoty, co każdorazowo łączy się z koniecznością przekazania danych osobowych.
W Polsce pierwsze gwarancje ochrony danym osobowym zapewniła nowa Konstytucja z 1997 r. Jej art. 47 zagwarantował obywatelom prawo do prywatności, a art. 51 - każdej osobie - prawo do ochrony dotyczących jej informacji.
Jednakże z międzynarodowych zobowiązań Polski, związanych z akcesją do Unii Europejskiej, wynikła konieczność zapewnienia ochrony danym osobowym takiej, jaką na swoim terytorium, zapewniały państwa Unii. Wszystkie ustawy europejskie wzorowane były lub dostosowano do Dyrektywy 95/46/WE Parlamentu Europejskiego i Rady.
Zasady ochrony danych ustanowione Dyrektywą 95/46/EC wprowadzone zostały do polskiego porządku prawnego ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity: Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.). Ustawa o ochronie danych osobowych wprowadziła szczegółowe normy służące ochronie danych osobowych w Polsce, a do dnia 1 maja 2004 r., czyli wstąpienia Polski do Unii Europejskiej, przeniosła do polskiego porządku prawnego wszystkie zasady określone w Dyrektywie 95/46/WE Parlamentu Europejskiego i Rady. Przepisy ustawy obowiązują od dnia 30 kwietnia 1998r.
Wprowadzenie przepisów dotyczących ochrony danych osobowych do polskiego systemu prawnego, pozwoliło na podpisanie przez Polskę w kwietniu 1999 r. i ratyfikowanie w maju 2002 r. Konwencji Nr 108 Rady Europy. Działania te stanowiły przejaw postępującej demokratyzacji życia publicznego w Polsce i troski o ochronę prywatności każdego jej obywatela.
Ustawa o ochronie danych osobowych określiła prawne ramy obrotu danymi osobowymi, a także zasady, jakie należy stosować przy przetwarzaniu danych osobowych, sprecyzowała też prawa i obowiązki organów, instytucji i osób prowadzących zbiory danych osobowych oraz prawa osób, których dane dotyczą, w taki sposób, aby zagwarantować maksymalną ochronę praw i wolności każdej osobie fizycznej oraz poszanowania jej życia prywatnego.
Ustawa o ochronie danych osobowych, realizując wymagania stawiane przez Wspólnotę, skonkretyzowała konstytucyjnie zagwarantowane prawo do decydowania o tym komu, w jakim zakresie i w jakim celu przekazujemy nasze dane osobowe, dając ustawowe gwarancje przestrzegania tego prawa, poprzez wyposażenie osób, których dane dotyczą w środki służące realizacji tego prawa, a odpowiednie organy i służby w środki prawne, gwarantujące jego przestrzeganie. Podstawowym jej założeniem jest przyznanie każdej jednostce prawa do ochrony dotyczących jej danych.
Dyrektywa 95/46/WE przewidziała powołanie Krajowych Organów Nadzorczych, których zadaniem byłoby monitorowanie jej przestrzegania.
Polska ustawa o ochronie danych osobowych wprowadziła instytucję Generalnego Inspektora Ochrony Danych Osobowych, jako właściwego w sprawach ochrony danych osobowych.
W dniu 1 maja 2004 r., z chwilą uzyskania przez Polskę członkostwa w Unii Europejskiej, weszły w życie przepisy ustawy z dnia 22 stycznia 2004 r. o zmianie ustawy o ochronie danych osobowych oraz ustawy o wynagrodzeniu osób zajmujących kierownicze stanowiska państwowe (Dz. U. Nr 33, poz. 285). Ustawa ta wprowadziła liczne zmiany w przepisach ustawy o ochronie danych osobowych. Jej uchwalenie miało na celu pełne wdrożenie do polskiego porządku prawnego postanowień Dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych. Znowelizowane przepisy uwzględniły jednocześnie uwagi Komisji Europejskiej dotyczące poprawności wdrożenia do polskiego systemu prawnego, ustawą o ochronie danych osobowych, Dyrektywy 95/46/WE.
Celem nowelizacji była przede wszystkim konieczność dostosowania przepisów ustawy do wymogów stawianych przez Wspólnotę, związanych z akcesją do Unii Europejskiej.
1.4. Podstawowe pojęcia w ochronie danych osobowych
Wyjaśnienie znaczenia podstawowych pojęć z zakresu ochrony danych osobowych odnajdujemy w art. 6 i 7 ustawy z dnia 29 sierpnia 1997 o ochronie danych osobowych.
Na tej podstawie za dane osobowe uznajemy wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.
Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań. Oznacza to, że za dane osobowe będzie uważany taki zestaw informacji, który pozwoli na wskazanie, o jakiej konkretnej osobie jest mowa. Nie istnieje zatem ustalone minimum ilości informacji, poniżej którego informacje te nie są już danymi osobowymi. Należy przyjąć, że każda informacja o osobie fizycznej może w określonych sytuacjach zostać uznana za dane osobowe i tym samym może zostać objęta ustawą.
Należy pamiętać, iż nie są danymi osobowymi informacje o przedsiębiorstwach, organizacjach, partiach politycznych i innych jednostkach organizacyjnych. Sytuacja zmienia się, jeżeli równocześnie z informacjami o przedsiębiorstwie będą przetwarzane informacje o osobach fizycznych, np. członkach jego zarządu czy innych pracownikach.
Zbiór danych to każdy, posiadający strukturę, zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie. Zbiorem danych będzie na pewno każda kartoteka, skorowidz, rejestr - wszystkie informacje w jakiś sposób ułożone. Nie będzie zbiorem danych np. sterta korespondencji przychodzącej, nie podzielona według żadnego kryterium.
Usuwanie danych to zniszczenie danych osobowych lub taka ich modyfikacja, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą.
Systemem informatycznym nazywamy zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych.
Zabezpieczenie danych w systemie informatycznym to wdrożenie i eksploatacja stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem
Przetwarzanie danych osobowych oznacza jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te operacje, które wykonuje się w systemach informatycznych. Przetwarzanie danych to nie tylko ich zmienianie. W rozumieniu ustawy przetwarzamy dane osobowe również wtedy, gdy nie zmieniamy ich postaci i nie używamy ich (np. przechowujemy je w kartotece, do której nikt nie zagląda).
Administrator danych to każdy organ, instytucja, jednostka organizacyjna lub osoba, decydujące o celach i środkach przetwarzania danych osobowych. W przypadku osoby prawnej (fundacja, stowarzyszenie) lub jednostki organizacyjnej w kwestiach związanych z ochroną danych osobowych będzie ją reprezentował zarząd lub inny organ powołany do reprezentowania. Jeżeli zbiór danych jest prowadzony przez organizację, to administratorem danych jest ta organizacja, a nie jej pracownik czy wolontariusz. Nie będzie administratorem danych podmiot, który przetwarza dane osobowe dla innego podmiotu, np. na zasadzie umowy zlecenia czy umowy o dzieło (art. 31 ustawy przewiduje taką możliwość i wymienia warunki powierzenia przetwarzania danych).
Odbiorcą danych jest każda osoba, której udostępnia się dane osobowe z wyjątkiem:
- osoby, której dotyczą,
- osoby je przetwarzającej,
- organów państwowych lud samorządu terytorialnego otrzymujących dane w związku z prowadzonym przez nie postępowaniem,
- przedstawiciela administratora z państwa trzeciego,
- osoby, której administrator powierzył przetwarzanie danych na podstawie pisemnej umowy.
Zgoda osoby, której dotyczą dane to oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści. Nie będzie zatem wystarczające np. poinformowanie osoby, że jakaś czynność z jej strony będzie uważana za zgodę na przetwarzanie jej danych osobowych. Zgoda musi mieć formę odrębnego oświadczenia - ze względów dowodowych najlepiej byłoby, gdyby była wyrażona na piśmie. Z jej treści musi wynikać w jakim celu (np. dla potrzeb marketingowych) oraz jakie kategorie danych (imię, nazwisko, adres, telefon) objęte zostały zgodą na przetwarzanie. Jeśli zgoda nie spełnia tych wymogów nie można jej wtedy uznać za prawidłowo złożoną, a tym samym Administrator nie ma prawa realizować przetwarzania danych objętych taką wadliwą zgodą.
Art. 2 ust. 2 ustawy o ochronie danych osobowych stanowi, że ustawę tę stosuje się do przetwarzania danych osobowych w systemach informatycznych oraz w kartotekach, skorowidzach, księgach, wykazach i w innych zbiorach ewidencyjnych. Będą zatem podlegały jej wszystkie dane osobowe (w rozumieniu art.6 ust.1 ustawy), na których dokonywane są jakiekolwiek operacje (takie jak zbieranie, przechowywanie, utrwalanie), niezależnie od tego czy ostatecznie znalazły się w zbiorze danych.
Ustawa nie ma zastosowania do osób fizycznych, które przetwarzają dane wyłącznie w celach osobistych lub domowych (art. 3 ust. 4 ustawy). Nie podlegają jej zatem prywatne notatniki, bazy danych itp. Przepisów ustawy nie stosuje się też do podmiotów mających siedzibę lub miejsce zamieszkania w państwie trzecim (tj. nie należące do Europejskiego Obszaru Gospodarczego), wykorzystujących środki techniczne znajdujące się na terytorium RP wyłącznie do przekazywania danych oraz do prasowej działalności dziennikarskiej.
Art. 2 ust. 3 ustawy stanowi, że w odniesieniu do zbiorów danych osobowych sporządzanych doraźnie, wyłącznie ze względów technicznych, szkoleniowych lub w związku z dydaktyką w szkołach wyższych, a po ich wykorzystaniu niezwłocznie usuwanych albo poddanych anonimizacji, mają zastosowanie jedynie przepisy rozdziału 5 ustawy (tzn. obowiązek zabezpieczenia zbioru danych).
1.5. Ogólne warunki przetwarzania danych osobowych
Ustawa stwierdza w art. 23 ust. 1, że przetwarzanie danych osobowych jest dopuszczalne tylko wtedy, gdy:
- osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie danych jej dotyczących,
- zezwalają na to przepisy prawa, w zakresie w jakim jest to niezbędne do zrealizowania uprawnienia lub spełnienia obowiązku z tego przepisu wynikającego (np. na mocy odpowiedniego rozporządzenia szkoła może prowadzić dzienniki lekcyjne z niektórymi danymi osobowymi uczniów i ich rodziców, gmina może przetwarzać dane osób korzystających z pomocy społecznej etc.),
- jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia koniecznych działań przed zawarciem umowy na żądanie osoby, której dane dotyczą (dotyczy to m.in. pracowników organizacji, a także osób wykonujących umowy zlecenia i umowy o dzieło),
-. jest to niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego (np. gdy stowarzyszenie wykonuje zlecone przez gminę zadania z zakresu pomocy społecznej),
- jest to niezbędne do wypełnienia prawnie usprawiedliwionych celów administratorów danych, o których mowa w art. 3 ust. 2, lub odbiorców danych (osób trzecich, którym są przekazywane te dane) - a przetwarzanie danych nie narusza praw i wolności osoby, której dane dotyczą.
Rozdział II
Instytucja Generalnego Inspektora Ochrony Danych Osobowych
Generalny Inspektor Ochrony Danych Osobowych jest centralnym organem administracji publicznej, posiadającym szczególną pozycję w tym systemie. Ta ważna pozycja GIODO wynika z szeroko zakreślonych zadań oraz szczególnych kompetencji nadanych mu w ustawie z 29 sierpnia 1997r. Ustawa nadała mu charakter organu wyspecjalizowanego w zakresie ochrony danych i interpretacji dotyczących jej przepisów. Wyposażyła go równocześnie w odpowiednie uprawnienia i nadała mu obowiązki pozwalające na kompetentne i obiektywne wykonywanie ustawowych zadań. Ewa Kulesza kompetencje generalnego inspektora określa jako połączenie uprawnień rzecznika praw obywatelskich z uprawnieniami kontrolnymi oraz uprawnieniami do podejmowania rozstrzygnięć o charakterze władczym .
2.1. Tryb powoływania i odwoływania Generalnego Inspektora Ochrony Danych Osobowych
Generalny Inspektor Ochrony Danych Osobowych powoływany jest i odwoływany przez Sejm Rzeczpospolitej Polskiej za zgodą Senatu. Gwarantuje to pewną niezależność tego organu od organów administracji publicznej, których to działanie podlega kontroli GIODO.
Należy zauważyć, iż taki tryb powoływania organu zajmującego się ochroną danych osobowych obywateli jest normą przyjętą również w państwach europejskich. W Polsce sprawa powoływania GIODO nie została do tej pory precyzyjnie określona przez ustawodawcę, może to powodować w przyszłości problemy z wyborem tego organu. Według ustawy bowiem generalnego inspektora powołuje i odwołuje Sejm za zgodą Senatu. W przypadku braku takiej zgody, oznacza to, że Sejm nie może samodzielnie powołać ani odwołać generalnego inspektora. Ustawa nie rozstrzyga tej kwestii, brakuje tu przepisu określającego procedurę stosowaną w takim przypadku.
Nowelizacja ustawy dokonana dnia 22 stycznia 2004 r. wprowadziła ponadto możliwość powołania zastępcy Generalnego Inspektora.
Ustawa w art. 8 wyznacza szczegółowo kryteria, które łącznie musi spełniać kandydat na Generalnego Inspektora. Wśród tych kryteriów możemy wyróżnić kryteria sformułowane jednoznacznie, których interpretacja nie ulega żadnym wątpliwościom, jak również kryteria ocenne, mało precyzyjne. Te drugie to wyróżnianie się wysokim autorytetem moralnym i posiadanie odpowiedniego doświadczenia zawodowego. Brakuje jednak odwołań w ustawie czy też w innych rozporządzeniach do kwestii, czym musi wykazać się kandydat aby posiadać odpowiedni autorytet moralny i doświadczenie zawodowe. Warunkami sformułowanymi jednoznacznie są: posiadanie obywatelstwa polskiego i zamieszkiwanie na terytorium RP oraz wykształcenie prawnicze, a także niekaralność za przestępstwo.
Generalnego inspektora powołuje się na 4 lata, a jego kadencja trwa od momentu złożenia ślubowania (art. 9). Ta sama osoba może pełnić funkcję generalnego inspektora najwyżej dwie kadencje. Kadencja generalnego inspektora wygasa z chwila jego śmierci, utraty obywatelstwa lub odwołania przez Senat. Ustawa przewiduje również odwołanie generalnego inspektora w przypadku popełnienia przez niego jakiegokolwiek przestępstwa.
Niezakłócona działalność Generalnego Inspektora Ochrony Danych Osobowych zagwarantowana jest immunitetem. Nie można go pociągnąć do odpowiedzialności karnej ani pozbawić wolności bez zgody Sejmu. Nie może być również zatrzymany lub aresztowany, chyba że zostanie on ujęty na gorącym uczynku popełnienia przestępstwa. O takim zatrzymaniu musi zostać poinformowany marszałek Sejmu, który to może nakazać jego natychmiastowe zwolnienie.
Ustawa narzuca warunki generalnemu inspektorowi, których wypełnienie ma zapewnić mu niezależność zawodową, polityczną i związkową. Andrzej Drozd określa je jako negatywne kryteria kwalifikacyjne. Stanowisko to nie może być łączone z żadnym innym, wyjątkiem jest stanowisko wykładowcy wyższej uczelni. Nie może poza tym należeć do żadnej partii politycznej i związku zawodowego.
Stosownie do art. 8 ust. 4 Generalny Inspektor w zakresie wykonywania swoich zadań podlega tylko ustawie. Mamy tu do czynienia z przyjęciem pełnej niezależności, ponieważ jeżeli chodzi o wykonywanie jego zadań, nikt nie może wydawać Generalnemu Inspektorowi żadnych pleceń czy wskazówek. Pod tym względem niezależność GIODO możemy przyrównywać do niezależności sądu czy sędziego.
2.2. Zakres zadań i kompetencji Generalnego Inspektora Ochrony Danych Osobowych
Przepis art. 8 ust. 1 określa w sposób najbardziej ogólny kompetencje i zakres zadań Generalnego Inspektora Ochrony Danych Osobowych: „sprawy dotyczące ochrony danych osobowych”. Uprawnienia Generalnego Inspektora zostały zarysowane w rozdziale 2 ustawy.
„Do zadań Generalnego Inspektora w szczególności należy:
1) kontrola zgodności przetwarzania danych z przepisami o ochronie danych osobowych,
2) wydawanie decyzji administracyjnych i rozpatrywanie skarg w sprawach wykonania przepisów o ochronie danych osobowych,
3) prowadzenie rejestru zbiorów danych oraz udzielenie informacji o zarejestrowanych zbiorach,
4) opiniowanie projektów ustaw i rozporządzeń dotyczących ochrony danych osobowych,
5) inicjowanie i podejmowanie przedsięwzięć w zakresie doskonalenia ochrony danych osobowych,
6) uczestniczenie w pracach międzynarodowych organizacji i instytucji zajmujących się problematyką ochrony danych osobowych.”
Ten szeroki wachlarz uprawnień nie wykracza w swym zakresie poza ramy określone w dyrektywie 95/46 Parlamentu Europejskiego i Rady Unii Europejskiej. Można powiedzieć, iż ustawodawca nie przyznał Generalnemu Inspektorowi pewnych uprawnień, które powinny mu przysługiwać w świetle tej dyrektywy, takich jak prawo do rozpatrywania skarg dotyczących kontroli legalności przetwarzania danych w przypadku ograniczenia przez państwo zakresu praw i wolności obywatelskich.
Za mankament należy uznać również fakt, iż zadaniom stawianym przed Generalnym Inspektorem nie zawsze towarzyszy przyznanie odpowiednich środków prawnych do ich realizacji. Daje się to łatwo zauważyć, jeżeli chodzi o przestrzeganie prawa i ochronę słusznych interesów w związku z przekazywaniem danych osobowych do państwa trzeciego. Można by tego rodzaje kompetencje wyprowadzić z ogólnego stwierdzenia, iż „do zadań Generalnego Inspektora w szczególności należy kontrola zgodności przetwarzania danych z przepisami o ochronie danych osobowych”. Stwierdzenie to jednak nie jest jednoznaczne i podlega dalszej dyskusji.
2.3. Biuro Generalnego Inspektora
Ustawa o ochronie danych osobowych w art. 13 stanowi, iż Generalny Inspektor wykonuje swe zadania przy pomocy Biura Generalnego Inspektora Ochrony Danych Osobowych, którego organizacja i zasady działania są określone w statucie nadanym przez Prezydenta Rzeczypospolitej Polskiej w drodze rozporządzenia. W statucie Prezydent RP wydzielił, jako jednostki organizacyjne, Gabinet Generalnego Inspektora, departamenty merytoryczne: Prawny, Inspekcji, Rejestracji Zbiorów Danych Osobowych i Informatyki oraz Departament Administracyjno-Budżetowy. W zakresie organizacji wewnętrznej i szczegółowego zakresu zadań jednostek organizacyjnych statut odsyła do zarządzenia Generalnego Inspektora. Pracownikami biura są inspektorzy, których podstawowe uprawnienia określone zostały w art. 14 ustawy o ochronie danych osobowych. W tym zakresie działają oni z upoważnienia Generalnego Inspektora, które może być upoważnieniem długoterminowym bądź też dotyczyć tylko określonej czynności. Upoważnienie to dotyczy wydawania decyzji, postanowień i zaświadczeń. Przy wykonywaniu swoich obowiązków inspektorzy podlegają ochronie jako funkcjonariusze publiczni w myśl przepisów Kodeksu karnego. Inspektorzy obowiązani są zapewnić ochronę wszelkim wiadomościom stanowiącym tajemnicę państwową lub służbową, z którymi zetknęli się podczas wykonywania kontroli.
Rozdział III
Procedury kontrolne w zadaniach realizowanych przez Generalnego Inspektora Ochrony Danych Osobowych
Podstawowym zadaniem Generalnego Inspektora jest prowadzenie kontroli zgodności przetwarzania danych z przepisami o ochronie danych osobowych. Jest to związane nie tylko ze sprawdzaniem zgodności działań z przepisami ustawy o ochronie danych osobowych, ale także z przepisami innych aktów prawnych, które dotyczą kwestii ochrony danych osobowych. Kontrola ta może być prowadzona przez GIODO z własnej inicjatywy, ale także może być prowadzona w nawiązaniu do zgłoszonego wniosku, uwag czy zastrzeżeń, może przybierać formę kontroli systematycznej lub sporadycznej. Głównym środkiem w realizacji kontroli jest prawo Generalnego Inspektora do inspekcji, przeprowadzania oględzin urządzeń, nośników i systemów informatycznych, prawo żądania wyjaśnień, przesłuchiwania osób, oraz prawo wglądu do dokumentów i sporządzania ich kopii. Oczywiście uzyskane w trakcie kontroli informacje nie mogą być wykorzystywane przez GIODO dla innych celów.
Ustawa gwarantuje również inspektorowi prawo wstępu w godzinach od 6 do 22 do pomieszczenia, w którym znajduje się zarejestrowany zbiór danych, i przeprowadzenia niezbędnych badań lub innych czynności kontrolnych w celu oceny zgodności przetwarzania danych z ustawą. Z czynności kontrolnych inspektor sporządza protokół, którego jeden egzemplarz doręcza kontrolowanemu administratorowi danych; protokół jest podpisywany przez inspektora i administratora, a w razie odmowy złożenia podpisu przez administratora inspektor czyni o tym wzmiankę w protokole. Administrator odmawiający podpisu może w terminie 7 dni przedstawić swoje stanowisko na piśmie Generalnemu Inspektorowi.
Generalny Inspektor oraz działający w jego imieniu i z jego upoważnienia inspektorzy są chronieni przy wykonywaniu czynności kontrolnych, jako funkcjonariusze publiczni, przepisami kodeksu karnego przed czynną napaścią, przed zmuszaniem przemocą lub groźbą bezprawną do przedsięwzięcia lub zaniechania prawnej czynności służbowej czy przed zniewagą (zob. art. 223, art. 224 i art. 226 kodeksu karnego). Kodeks ten nie przewiduje jednak odpowiedzialności karnej za udaremnianie lub utrudnianie wykonania czynności służbowej przez Generalnego Inspektora lub inspektorów ochrony danych osobowych, mimo iż art. 225 k.k. sankcjonuje takie działania w odniesieniu do niektórych organów, co sprawia, że w pewnych wypadkach przeprowadzenie kontroli u administratora danych jest utrudnione. W związku z tym niezbędne wydaje się być uzupełnienie o sankcje za udaremnianie lub utrudnianie wykonywania kontroli przez inspektorów ochrony danych osobowych.
Kontrola dokonywana przez Generalnego Inspektora nie obejmuje zbiorów objętych tajemnicą państwową ze względu na obronność lub bezpieczeństwo państwa, ochronę życia i zdrowia ludzi, mienia lub bezpieczeństwa i porządku publicznego, a także zbiorów dotyczących członków kościoła lub innego związku wyznaniowego o uregulowanej sytuacji prawnej. W odniesieniu do tych zbiorów danych osobowych Generalny Inspektor nie ma prawa wydawać decyzji administracyjnych i rozpatrywać skarg w sprawach dotyczących wykonywania przepisów o ochronie danych, a ponadto nie przysługują mu uprawnienia określone w art. 14 pkt 1 i 3-5 oraz w art. 15-18. Oznacza to, że w wymienionym zakresie Generalny Inspektor działając w celu skontrolowania zgodności przetwarzania danych z przepisami o ochronie danych osobowych jest pozbawiony większości uprawnień opisanych w kilku poprzednich akapitach (poza żądaniem złożenia pisemnych lub ustnych wyjaśnień oraz wzywaniem i przesłuchiwaniem osób w zakresie niezbędnym do ustalenia stanu faktycznego); nie może również zlecać sporządzania związanych z taką kontrolą ekspertyz i opinii.
Wyłączenie z obowiązku rejestracji oraz z kontroli zbiorów objętych tajemnicą państwową ze względu na obronność lub bezpieczeństwo państwa, ochronę życia i zdrowia ludzi, mienia lub bezpieczeństwa i porządku publicznego było podyktowane koniecznością zachowania tajemnicy państwowej. Zdaniem parlamentarzystów kontrolą zbiorów, w których znajdują się dane osobowe zawierające taką tajemnicę, powinny zajmować się inne wyspecjalizowane organy państwowe, gdyż „obarczenie generalnego inspektora tą funkcją zmieniłoby charakter jego urzędu, wymusiłoby wydzielenie z rejestru zbioru specjalnej części tajnej i spowodowało konieczność zatrudnienia specjalnie wyselekcjonowanych, dobranych według odpowiednich kryteriów pracowników itp. Biuro Generalnego Inspektora byłoby więc kolejnym miejscem, z którego mogłyby wydobywać się tajemnice państwowe.
W tej chwili nie ma jakichkolwiek kompetencji do kontrolowania zgodności przetwarzania danych z prawem w takich np. sytuacjach, jak sygnalizowane przez prasę tworzenie w Ministerstwie Spraw Wewnętrznych i Administracji, bez podstawy prawnej, zbioru danych (w tym dotyczących konkretnych osób) na podstawie operacyjnych materiałów policyjnych. Wyposażenie Generalnego Inspektora w prawo kontrolowania także zbiorów danych osobowych przetwarzanych przez podmioty publiczne, objętych tajemnicą ze względu na ochronę życia i zdrowia ludzi oraz mienia lub bezpieczeństwa i porządku publicznego, wydaje się uzasadnione; w każdym razie możliwość nowelizacji ustawy pod tym kątem zasługuje na rozważenie.
Przejawem władczych kompetencji służących Generalnemu Inspektorowi jest przyznana mu kompetencja do wydawania decyzji administracyjnych i rozpatrywanie skarg w sprawach wykonania przepisów o ochronie danych osobowych (art. 12 pkt 2). Oczywiście kontrola ta dotyczy nie tylko ustawy o ochronie danych osobowych ale obejmuje swym zakresem przepisy innych ustaw regulujących ochronę danych osobowych. Kompetencja ta jest uchylana wówczas, gdy w zbiorze danych znajdują się dane objęte tajemnicą państwową ze względu na obronność lub bezpieczeństwo państwa, ochronę życia i zdrowia ludzi, mienia lub bezpieczeństwa i porządku publicznego. Również dane uzyskane w wyniku czynności operacyjno-rozpoznawczych funkcjonariuszy Agencji Bezpieczeństwa Wewnętrznego, Agencji Wywiadu są wyjęte spod kompetencji GIODO. Analogicznie ustawodawca odnosi się do zbiorów danych dotyczących osób należących do kościoła lub innego związku wyznaniowego, przetwarzanych na potrzeby tego kościoła lub związku wyznaniowego. Jednocześnie w stosunku do tych wszystkich podmiotów, GIODO ma możliwość korzystania z przyznanego mu prawa do kontrolowania zgodności przetwarzania danych z przepisami o ochronie danych osobowych. Wyznaczenie kompetencji Generalnego Inspektora w tym zakresie, może nastręczać trudności i budzić wątpliwości.
W innych przypadkach skargi rozpatrywane są przez GIODO zgodnie z art. 22 ustawy o ochronie danych osobowych i z przepisami Kodeksu postępowania administracyjnego dotyczącymi skargi. Jeżeli na podstawie wyników kontroli wykonywanej z urzędu bądź w efekcie postępowania prowadzonego na skutek skargi złożonej przez obywatela zostanie stwierdzone naruszenie przepisów o ochronie danych osobowych, Generalnemu Inspektorowi przysługuje prawo podjęcia działań określonych w ustawie. Podejmuje on działania również wówczas, gdy osoba, której dane dotyczą, wniesie do administratora danych żądanie zaprzestania przetwarzania jej danych w sytuacjach określonych w art. 23 ust. 1 pkt 4 i 5 ze względu na szczególną sytuację tej osoby, a administrator nie zaprzestanie przetwarzania danych, ale przekaże żądanie generalnemu inspektorowi w celu wydania rozstrzygnięcia. Generalny inspektor jest także obowiązany rozpocząć odpowiednie postępowanie na wniosek osoby, której dane dotyczą, w razie wykazania przez nią, że dane są niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem ustawy albo są zbędne do realizacji celu, w jakim zostały zebrane, a administrator danych nie dopełnił obowiązku ich uzupełnienia, uaktualnienia, sprostowania bądź czasowego lub stałego wstrzymania przetwarzania albo usunięcia danych ze zbioru.
Działaniem idącym najdalej w skutkach dla administratora danych osobowych jest wydanie decyzji administracyjnej nakazującej mu przywrócenie stanu zgodnego z prawem poprzez usunięcie uchybień, uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych oraz zabezpieczenie danych lub przekazanie ich innym podmiotom. Generalny Inspektor może również nakazać zastosowanie dodatkowych środków zabezpieczających dane osobowe i wstrzymanie przekazywania tych danych za granicę, a nawet usunięcie ich ze zbioru.
Postępowanie w sprawach uregulowanych w ustawie prowadzi się według przepisów kodeksu postępowania administracyjnego (art. 107 i 109). W przypadku decyzji wydawanych przez Generalnego Inspektora postępowanie jest jednoinstancyjne. Nie można odwołać się od decyzji, istnieje jedynie możliwość złożenia do generalnego inspektora wniosku o ponowne rozpatrzenie sprawy. O prawie złożenia takiego wniosku strona musi być pouczona w decyzji.
Brak tradycyjnego postępowania dwuinstancyjnego, w którym odwołanie jest składane do organu wyższej instancji i rozpatrywane przez ten organ, wynika z usytuowania generalnego inspektora w systemie organów państwa. Tak jak w przypadku innych centralnych organów administracji państwowej nie ma organu, któremu można byłoby powierzyć kompetencje do rozpatrywania odwołań. Do wniosku o ponowne rozpatrzenie sprawy stosuje się odpowiednio przepisy dotyczące odwołań od decyzji.
Na decyzję Generalnego Inspektora dotyczącą wniosku o ponowne rozpatrzenie sprawy przysługuje skarga do Naczelnego Sądu Administracyjnego.
W zakresie rejestrowania zbiorów danych przysługują Generalnemu Inspektorowi daleko idące kompetencje. Zgodnie z rozdziałem 6 ustawy jest on uprawniony do rejestrowania zgłoszonych zbiorów danych oraz do prowadzenia ogólnokrajowego, jawnego rejestru zbiorów danych osobowych zgłoszonych do rejestracji, a także do wydawania - na żądanie osoby zainteresowanej - zaświadczeń o zarejestrowaniu wskazanego zbioru danych. Uprawnieniu generalnego inspektora odpowiada po stronie administratorów danych obowiązek zgłaszania zbiorów do rejestracji. Niewykonanie takiego obowiązku jest zagrożone, zgodnie z art. 53 ustawy, grzywną, ograniczeniem wolności albo pozbawieniem wolności do roku.
Rejestr zbiorów danych spełnia podwójną rolę. Z jednej strony dzięki tej instytucji, poprzez dostęp do jawnego rejestru zbiorów, każdy obywatel może sprawdzić, w jakich zbiorach mogą znajdować się jego dane osobowe oraz jakie podmioty te zbiory prowadzą, z drugiej natomiast strony rejestracja zbiorów jest narzędziem wstępnej kontroli prawidłowości przetwarzania oraz zabezpieczania danych osobowych, dokonywanej przez Generalnego Inspektora. Zgłoszenie zbioru do rejestracji, o czym jest mowa w art. 41 ust. 1, powinno bowiem m.in.: zawierać wszystkie informacje identyfikujące podmiot prowadzący zbiór (w tym oznaczenie podmiotu i adres jego siedziby lub miejsca zamieszkania oraz podstawę prawną upoważniającą do prowadzenia zbioru), określać zakres i cel przetwarzania danych oraz sposób ich zbierania i udostępniania, a także podawać opis środków technicznych i organizacyjnych służących zabezpieczeniu zbioru.
W ustawie szeroko zakreślono krąg podmiotów obowiązanych do zgłaszania zbiorów danych do rejestru. Jako zasadę ustawodawca przyjął, iż wszyscy administratorzy danych mają obowiązek ich rejestracji, z wyłączeniem przypadków, które zostały w sposób wyczerpujący wyliczone w 11 punktach w art. 43 ust. 1. Zgodnie z tym przepisem z obowiązku zgłoszenia do rejestracji zostali zwolnieni administratorzy danych:
„1) objętych tajemnicą państwową ze względu na obronność lub bezpieczeństwo państwa, ochronę życia i zdrowia ludzi, mienia lub bezpieczeństwa i porządku publicznego,
2) przetwarzanych przez właściwe organy dla potrzeb postępowania sądowego,
3) dotyczących członków kościoła lub innego związku wyznaniowego, o uregulowanej sytuacji prawnej,
4) dotyczących osób u nich zatrudnionych, zrzeszonych lub uczących się,
5) dotyczących osób korzystających z ich usług medycznych, obsługi notarialnej, adwokackiej lub radcy prawnego,
6) tworzonych na podstawie ordynacji wyborczych oraz ustaw o referendum,
7) dotyczących osób pozbawionych wolności,
8) przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej,
9) powszechnie dostępnych,
10) przetwarzanych w celu przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego,
11) przetwarzanych w zakresie drobnych bieżących spraw życia codziennego".
Dotychczasowa praktyka wskazuje na to, iż zawarty w art. 43 ust. 1 wykaz wyłączeń z obowiązku rejestracji nie jest wystarczający i niezbędne jest stworzenie możliwości dokonywania dodatkowych wyłączeń. Ustawodawca nie przewidział bowiem wyłączenia z obowiązku rejestracji np. zbiorów danych w postaci książek meldunkowych prowadzonych przez osoby wynajmujące sezonowo pokoje czy zbiorów obejmujących zgłoszenia kandydatów do zatrudnienia u określonego pracodawcy, a przecież takie wyłączenia byłyby racjonalne choćby ze względu na czasowość tworzenia zbioru czy jego ograniczony zakres. Wydaje się zatem zasadne, aby przy nowelizacji ustawy o ochronie danych osobowych uwzględnić możliwości wyłączania - odrębnym aktem prawnym - z obowiązku rejestracji pewnych kategorii zbiorów danych osobowych. Akt taki, jako akt wykonawczy do ustawy, powinien być wydawany przez organ uprawniony do stanowienia przepisów prawa (np. przez ministra spraw wewnętrznych i administracji), wyłącznie na wniosek Generalnego Inspektora Ochrony Danych Osobowych.
Realizując przyznane mu uprawnienia w zakresie rejestracji zbiorów danych Generalny Inspektor albo uznaje, iż zostały spełnione przesłanki przedmiotowe oraz wymogi formalne zgłoszenia zbioru i rejestruje go (czynność materialno-techniczna), albo podejmuje decyzję o odmowie rejestracji zbioru danych. Ustawa określa szczegółowo, kiedy taka decyzja jest wydawana. Zgodnie ze sformułowaniami użytymi przez ustawodawcę w art. 44 Generalny Inspektor jest zobligowany do wydania decyzji o odmowie rejestracji zbiorów, jeśli nie zostały spełnione wymogi określone w art. 41 ust. 1 dotyczące przetwarzania danych, określone we wskazanych przepisach ustawy (art.23-30), lub jeśli urządzenia i systemy informatyczne służące do przetwarzania zbioru danych zgłoszonego do rejestracji nie spełniają podstawowych warunków technicznych i organizacyjnych.
Odmowa rejestracji zbioru danych przez Generalnego Inspektora oznacza wydanie nakazu wstrzymania dalszego przetwarzania danych w tym zbiorze lub ich usunięcia, nadając owemu nakazowi rygor natychmiastowej wykonalności. Po wyeliminowaniu wad, które były powodem odmowy, administrator danych może ponownie zgłosić zbiór danych do rejestracji ( art. 44 ust. 3 i 4).
Przepisy narzucające Generalnemu Inspektorowi określoną treść decyzji w przypadku odmowy rejestracji zbiorów danych sprawiają pewne problemy interpretacyjne. Zgodnie bowiem z ustawową definicją przetwarzania danych, obejmuje ono jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie (art. 7 pkt 2). Ponieważ więc przechowywanie danych jest również przetwarzaniem, to jedynym skutkiem wydania decyzji odmownej w zakresie rejestracji zbioru danych może być tylko usunięcie danych ze zbioru.
Zgodnie z art. 12 pkt 4 ustawy Generalny Inspektor opiniuje jedynie projekty aktów prawnych dotyczących ochrony danych osobowych. Ustaw i rozporządzeń poświęconych niemal wyłącznie tym zagadnieniom jest niewiele, natomiast wiele przepisów stanowiących podstawy przetwarzania danych osobowych jest rozproszonych po różnych aktach normatywnych. Projekty takich właśnie aktów wymagają oceny z punktu widzenia zgodności z ustawą o ochronie danych osobowych. Takie opiniowanie projektów aktów normatywnych z punktu widzenia zgodności z omawianą ustawą jest niezbędne. Wiele przygotowywanych projektów nie uwzględnia bowiem wymogów tej ustawy (np. w projektach ustaw nie ma poprawnie sformułowanej delegacji do wydawania przepisów wykonawczych albo przepisy wykonawcze upoważniają do przetwarzania danych wrażliwych w sytuacji, gdy może na to zezwalać tylko przepis ustawowy).
W ustawie nie ma mowy o wiążącym charakterze opinii wydawanych przez Generalnego Inspektora. W praktyce nie wszystkie projekty aktów normatywnych są mu przedstawiane do zaopiniowania, a treść opinii nie zawsze jest uwzględniana przy przygotowywaniu projektu aktu w ostatecznym kształcie, przedstawianym parlamentowi. W rezultacie, mimo obowiązywania art. 51 konstytucji oraz ustawy o ochronie danych osobowych, zdarza się wydawanie np. niezgodnych z tą ustawą przepisów wykonawczych do ustaw.
Generalny Inspektor nie został wyposażony w prawo skutecznego żądania zmiany aktu niezgodnego z art. 51 konstytucji oraz z omawianą ustawą. Nie przyznano mu również prawa składania do Trybunału Konstytucyjnego wniosku o ustalenie zgodności aktu normatywnego z konstytucją. W przypadku zatem stwierdzenia, iż może istnieć niezgodność aktu prawnego z konstytucją czy ustawą, Generalny Inspektor może jedynie skierować prośbę o rozważenie sprawy zmiany aktu normatywnego do organu, który akt wydał, lub zwrócić uwagę Rzecznika Praw Obywatelskich albo innego podmiotu (np. prezesa Naczelnego Sądu Administracyjnego) uprawnionego do składania wniosków do Trybunału Konstytucyjnego na potrzebę zbadania zgodności aktu z prawem wyższego rzędu.
Niewątpliwie zasadne byłoby postulowanie wyposażenia Generalnego Inspektora Ochrony Danych Osobowych w prawo składania wspomnianych wniosków do Trybunału Konstytucyjnego, wymagałoby to jednakże zmiany konstytucji, która nie wymienia generalnego inspektora wśród podmiotów do tego uprawnionych. Realne wydaje się natomiast i równie celowe nadanie opiniom tego organu mocy wiążącej w stosunku do podmiotu przygotowującego projekt aktu normatywnego.
Generalny inspektor ma obowiązek inicjowania i podejmowania „przedsięwzięć w zakresie doskonalenia ochrony danych osobowych" (art. 12 pkt 5 ustawy). Owe przedsięwzięcia mogą obejmować zarówno doskonalenie przepisów prawa powszechnie obowiązującego, jak i współuczestniczenie w tworzeniu norm w zakresie, organizacyjnych i technicznych zabezpieczeń systemów informatycznych służących do przetwarzania danych osobowych.
Zadania te obejmują m.in. wystąpienia do parlamentu i do centralnych organów administracji państwowej z wnioskami o zmianę prawa w razie stwierdzonej sprzeczności obowiązujących przepisów z art. 51 konstytucji oraz z rozwiązaniami przyjętymi w ustawie o ochronie danych osobowych. Wystąpienia takie stanowią w pewnym zakresie uzupełnienie obowiązku opiniowania projektów aktów normatywnych, wynikającego z art. 12 pkt 4 ustawy (o czym była mowa w poprzednim punkcie opracowania), w obydwu wypadkach bowiem celem jest dostosowanie systemu prawa do wymogów ochrony danych osobowych.
Podobnie jak opinie Generalnego Inspektora na temat projektów aktów normatywnych, również wnioski o zmianę przepisów w celu dostosowana ich do norm z zakresu ochrony danych osobowych nie są wiążące dla podmiotów będących adresatami tych wniosków.
Uprawnienia Generalnego Inspektora obejmują także pewne kompetencje kontrolne w zakresie przekazywania danych osobowych za granicę. W ustawie nie zakazano takiego przekazywania, stawiając jedynie pewne warunki; ich spełnienie ma zagwarantować realizację prawa do ochrony osób, których dane dotyczą.
W kontekście przystąpienia Polski do Unii Europejskiej szczególnego znaczenia nabiera współpraca Generalnego Inspektora z organami ochrony danych osobowych innych państw. Obowiązek dokonania niezbędnego porównania spoczywa na administratorze danych. Administrator jest jednak zwolniony z konieczności porównywania ustawodawstw i ustalania prawnego poziomu ochrony danych osobowych w kraju, do którego dane są przekazywane, gdy przesłanie danych osobowych wynika z obowiązku nałożonego na administratora danych przepisami prawa lub postanowieniami ratyfikowanej umowy międzynarodowej (art. 47 ust. 2).
Uprawnienia Generalnego Inspektora Ochrony Danych Osobowych w zakresie przekazywania danych osobowych za granicę zostały zatem ograniczone do wyrażenia zgody na przekazanie danych tylko w tych sytuacjach, gdy kraj, do którego dane są przekazywane, nie daje gwarancji ochrony danych przynajmniej w takim zakresie, w jakim ta ochrona jest zagwarantowana na terytorium RP, i nie ma podstaw do wykorzystania jakiejkolwiek innej przesłanki umożliwiającej przekazanie danych zgodnie z art. 47 ust. 1 i 2.
Trzeba przyznać, że uprawnienia Generalnego Inspektora odnoszące się do tego zagadnienia nie są wystarczające. Brak kontroli nad przekazywaniem danych osobowych za granicę sprawia, że obywatelskie prawo do ochrony danych nie jest w pełni realizowane, a dane obywateli są wykorzystywane dowolnie przez różnych administratorów danych. Niezbędne jest zatem nałożenie na administratorów, którzy zamierzają przekazać zbiory danych za granicę, obowiązku zgłoszenia tego generalnemu inspektorowi, który powinien być wyposażony w prawo wiążącego sprzeciwu wobec przekazywania danych w razie uzasadnionego podejrzenia, że prawa osób, których dane dotyczą, nie będą dostatecznie zagwarantowane.
W ramach uprawnień wynikających z ustawy Generalny Inspektor może nie tylko podejmować rozstrzygnięcia nakazujące usunięcie niezgodności z prawem, ale również żądać wszczęcia postępowania dyscyplinarnego lub innego przewidzianego przepisami postępowania przeciwko osobom winnym dopuszczenia do uchybień powodujących naruszenie ustawy, ale nie wyczerpujących znamion przestępstw wymienionych w rozdziale 8 ustawy. Ma on także prawo żądać poinformowania go w określonym terminie o wynikach tego postępowania i podjętych działaniach. Uprawnienia takie przysługują również wykonującym kontrolę, upoważnionym inspektorom ochrony danych osobowych.
Gdy wyniki kontroli prowadzonej przez inspektora będą wskazywać na to, iż działanie lub zaniechanie kierownika jednostki organizacyjnej, jej pracownika lub innej osoby fizycznej będącej administratorem danych osobowych wyczerpuje znamiona przestępstwa określonego w rozdziale 8 ustawy, Generalny Inspektor jest obowiązany skierować do organów ścigania zawiadomienie o popełnieniu przestępstwa. W art. 49-54 ustawy przewidziano odpowiedzialność karną m.in. za przetwarzanie danych bez odpowiednich uprawnień, za udostępnienie danych osobom nieupoważnionym, za niezabezpieczenie danych, za niezgłoszenie danych do rejestracji i za niedopełnienie obowiązku poinformowania osoby, której dane dotyczą, o przysługujących jej prawach. Sankcjami są grzywna oraz ograniczenie albo pozbawienie wolności.
Na odmowę wszczęcia postępowania przez prokuratora Generalny Inspektor może złożyć zażalenie. Po wszczęciu postępowania nie przysługują Generalnemu Inspektorowi już żadne środki procesowe pozwalające w tym postępowaniu uczestniczyć.
Zakończenie
Generalny Inspektor Ochrony Danych Osobowych ze względu na zakres swych obowiązków i kompetencji zajmuje w systemie organów państwa znaczącą pozycję. „Łączy on bowiem uprawnienia rzecznika praw obywatelskich z daleko idącymi uprawnieniami kontrolnymi oraz uprawnieniami do podejmowania rozstrzygnięć o charakterze władczym”. Nie ulega wątpliwości, iż kontrola pełniona przez Generalnego Inspektora Ochrony Danych Osobowych jest niezmiernie ważna w państwie demokratycznym. Dotyczy bowiem jednego z podstawowych praw człowieka, jakim jest prawo do prywatności. Gwarancja tego prawa jest jednym z wyznaczników prawidłowego funkcjonowania społeczeństwa demokratycznego.
System ochrony danych powinien być dostosowany do ludzkich potrzeb i zapewniać człowiekowi nieskrępowany rozwój. Dlatego ochrona praw osobistych jednostki, jej prywatności to główny cel funkcjonowania Generalnego Inspektora. Konsekwencją tego stanu rzeczy jest wymóg istnienia systemu regulacji prawnych, który nadaje mu charakter organu wyspecjalizowanego w zakresie ochrony danych i interpretacji dotyczących jej przepisów. Odpowiednie uprawnienia i nadane obowiązki Generalnemu Inspektorowi pozwalają na kompetentne i obiektywne wykonywanie przez niego ustawowych zadań. Ustawa musi bowiem nie tylko określać kompetencje organu, ale i gwarantować środki zapewniające skuteczność jego działania. Właściwa kontrola i skuteczność zastosowanych środków w przypadku wykrytych nieprawidłowości zapewniają prawidłowy i bezpieczny proces tworzenia i przetwarzania danych, co w konsekwencji gwarantuje bezpieczeństwo prywatnego interesu jednostki.
Wykaz źródeł:
Akty prawne:
1. Ustawa z dn. 29 sierpnia 1997r. o ochronie danych osobowych (t.j. Dz.U. z 2002r. Nr 101, poz. 926, ze zm.)
2. Ustawa z dnia 6 czerwca 1997r. - Kodeks postępowania karnego (Dz.U. Nr 89, poz. 555 ze zm)
3. Ustawa z dnia 14 czerwca 1960r. - Kodeks postępowania administracyjnego (Dz.U. z 1980r. Nr 9, poz. 26 ze zm.)
4. Rozporządzenie Prezydenta Rzeczpospolitej Polskiej z dnia 29 maja 1998 r. w sprawie nadania statutu Biuru Generalnego Inspektora Ochrony Danych Osobowych (Dz.U. Nr 73, poz. 464, ze zm.)
Literatura:
5. Barta J., Fajgielski P., Markiewicz R., Ochrona danych osobowych. Komentarz., Zakamycze, Kraków 2004
6. Drozd A., Ustawa o ochronie danych osobowych. Komentarz. Wzory pism i przepisy., Wydawnictwo Prawnicze Lexis Nexis, Warszawa 2004
7. Jagielski J., Kontrola administracji publicznej, Wydawnictwo prawnicze, Warszawa 2006,
8. Jędrzejewski S., Kontrola administracji, Wydawnictwo prawnicze, Poznań 2000
9. Ochendowski E., Prawo administracyjne, TNOiK „Dom Organizatora”, Toruń 1999
10. (red) Wierzbowski M., Prawo administracyjne, Wydawnictwo Prawnicze, Warszawa 2001
11. Kulesza E., Pozycja i uprawnienia Generalnego Inspektora Ochrony Danych Osobowych, Przegląd Sejmowy 6(35)/99
12. Górzyńska T., Kto strzeże prywatności, „Rzeczpospolita” z dnia 26 maja 1997 r
Barta J., Fajgielski P., Markiewicz R., Ochrona danych osobowych. Komentarz., Zakamycze 2004, str. 50-53
Por. (red) Wierzbowski M., Prawo administracyjne, Warszawa 2001, str. 99
Op. cit., str. 99
Por. Jędrzejewski S., Kontrola administracji, Poznań 2000, str. 19
Op. cit., str. 99
Por. Ochendowski E., Prawo administracyjne, Toruń 1999, str. 362
Jagielski J., Kontrola administracji publicznej, Warszawa 2006, str. 15
Op. cit., str. 16
(red) Wierzbowski M., Prawo administracyjne, Warszawa 2001, str. 329
Jędrzejewski S., Kontrola administracji, Poznań 2000, str. 40
Por. (red) Wierzbowski M., Prawo administracyjne, Warszawa 2001, str.330
Jagielski J., Kontrola administracji publicznej, Warszawa 2006, str. 41
Jędrzejewski S., Kontrola administracji, Poznań 2000, str. 38-39
Jędrzejewski S., Kontrola administracji, Poznań 2000, str.39
Jagielski J., Kontrola administracji publicznej, Warszawa 2006, str. 42
Jędrzejewski S., Kontrola administracji, Poznań 2000, str.38
Jagielski J., Kontrola administracji publicznej, Warszawa 2006, str. 49
Ustawa z dn. 29 sierpnia 1997r. o ochronie danych osobowych (t.j. Dz.U. z 2002 r. Nr 101, poz. 926, ze zm.)
Ustawa z dn. 29 sierpnia 1997r. o ochronie danych osobowych (t.j. Dz.U. z 2002 r. Nr 101, poz. 926, z poźń. zm.)
Kulesza E., Pozycja i uprawnienia Generalnego Inspektora Ochrony Danych Osobowych, Przegląd Sejmowy 6(35)/99, str. 24
W wyborze organu zajmującego się ochroną danych osobowych panuje różnorodność. Najczęściej przyjmuje się zasadność utworzenia niezależnej komisji, złożonej z kadencyjnych członków. Są wybierani (desygnowani) przez różne podmioty (prezydenta republiki, sejm, rząd, inne podmioty wskazane w ustawie) lub też według pewnych ustalonych kombinacji, np. desygnowanie, wybór, mianowanie członków podzielone jest między kilka podmiotów lub odbywa się na wniosek bądź po konsultacji z innymi podmiotami. Niezależne komisje istnieją w: Austrii (pracom komisji może towarzyszyć rada ochrony danych, organ o charakterze konsultacyjnym, a niezawisłość członków komisji jest zagwarantowana konstytucyjnie); Belgii, Danii (decyzje komisji mogą być rozpatrywane przed trybunałami); Francji, Holandii, Luksemburga, Portugalii, Szwecji. (Górzyńska T., Kto strzeże prywatności, ”Rzeczpospolita” z dnia 26 maja 1997 r. )
Barta J., Fajgielski P., Markiewicz R., Ochrona danych osobowych. Komentarz., Zakamycze 2004, str. 423
Drozd A., Ustawa o ochronie danych osobowych. Komentarz. Wzory pism i przepisy., Wydawnictwo Prawnicze Lexis Nexis, Warszawa 2004, str.81
Barta J., Fajgielski P., Markiewicz R., Ochrona danych osobowych. Komentarz., Zakamycze 2004, str. 425-426
Kulesza E., Pozycja i uprawnienia Generalnego Inspektora Ochrony Danych Osobowych, Przegląd Sejmowy 6(35)/99, str. 13
Barta J., Fajgielski P., Markiewicz R., Ochrona danych osobowych. Komentarz., Zakamycze 2004, str. 425-431
Ustawa z dn. 29 sierpnia 1997r. o ochronie danych osobowych (t.j. Dz.U. z 2002 r. Nr 101, poz. 926, z poźń. zm.) art.12, ust.1
Rozporządzenie Prezydenta Rzeczpospolitej Polskiej z dnia 29 maja 1998 r. w sprawie nadania statutu Biuru Generalnego Inspektora Ochrony Danych Osobowych (dz.U.Nr 73, poz. 464, ze zm.)
Ustawa z dnia 6 czerwca 1997r. - Kodeks postępowania karnego (Dz.U.Nr 89, poz. 555 ze zm.)
Ustawa z dn. 29 sierpnia 1997r. o ochronie danych osobowych (t.j. Dz.U. z 2002 r. Nr 101, poz. 926, ze zm.) art.14
Kulesza E., Pozycja i uprawnienia Generalnego Inspektora Ochrony Danych Osobowych, Przegląd Sejmowy 6(35)/99, str. 14
Ustawa z dnia 6 czerwca 1997r. - Kodeks postępowania karnego (Dz.U.Nr 89, poz. 555 ze zm.)
Kulesza E., Pozycja i uprawnienia Generalnego Inspektora Ochrony Danych Osobowych, Przegląd Sejmowy 6(35)/99, str. 16
Kulesza E., Pozycja i uprawnienia Generalnego Inspektora Ochrony Danych Osobowych, Przegląd Sejmowy 6(35)/99, str. 15
Barta J., Fajgielski P., Markiewicz R., Ochrona danych osobowych. Komentarz., Zakamycze 2004, str. 433-434
Ustawa z dnia 14 czerwca 1960r. - Kodeks postępowania administracyjnego (Dz.U. z 1980r. Nr 9, poz. 26 ze zm.)
Kulesza E., Pozycja i uprawnienia Generalnego Inspektora Ochrony Danych Osobowych, Przegląd Sejmowy 6(35)/99, str. 15-16
Kulesza E., Pozycja i uprawnienia Generalnego Inspektora Ochrony Danych Osobowych, Przegląd Sejmowy 6(35)/99, str. 18
Drozd A., Ustawa o ochronie danych osobowych. Komentarz. Wzory pism i przepisy., Wydawnictwo Prawnicze Lexis Nexis, Warszawa 2004, str.90
Ustawa z dn. 29 sierpnia 1997r. o ochronie danych osobowych (t.j. Dz.U. z 2002 r. Nr 101, poz. 926, ze zm.)
Oprócz "zwykłych" danych osobowych ustawa objęła pewne rodzaje danych szczególną ochroną (tzw. dane wrażliwe). Są to dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową oraz dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz dane dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym (art. 27 ust. 1).
Kulesza E., Pozycja i uprawnienia Generalnego Inspektora Ochrony Danych Osobowych, Przegląd Sejmowy 6(35)/99, str. 20
Kulesza E., Pozycja i uprawnienia Generalnego Inspektora Ochrony Danych Osobowych, Przegląd Sejmowy 6(35)/99, str. 20
Kulesza E., Pozycja i uprawnienia Generalnego Inspektora Ochrony Danych Osobowych, Przegląd Sejmowy 6(35)/99, str. 22
Barta J., Fajgielski P., Markiewicz R., Ochrona danych osobowych. Komentarz., Zakamycze 2004, str. 462
Kulesza E., Pozycja i uprawnienia Generalnego Inspektora Ochrony Danych Osobowych, Przegląd Sejmowy 6(35)/99, str. 24
32