Ochrona danych osobowych
Prace nad ustaw膮 o ochronie danych osobowych trwa艂y przesz艂o sze艣膰 lat. Pocz膮tkowo g艂贸wny motyw przygotowywania projektu ustawy stanowi艂a ch臋膰 dostosowania naszego ustawodawstwa do systemu prawnego pa艅stw Unii Europejskiej. W niekt贸rych pa艅stwach Unii podobne ustawodawstwo funkcjonuje ju偶 od prze艂omu lat sze艣膰dziesi膮tych i siedemdziesi膮tych. Opracowano wiele akt贸w prawnych z tej dziedziny o zasi臋gu mi臋dzynarodowym. W Polsce zainteresowanie opinii publicznej i medi贸w tematyk膮 ochrony danych osobowych by艂o w pocz膮tkowym okresie prac nad projektem niewielkie, z czasem jednak wzros艂o, co pozwala przypuszcza膰, 偶e ustawa oka偶e si臋 aktem przydatnym.
Autorzy projektu, wobec braku polskich do艣wiadcze艅 w tej dziedzinie, opierali si臋 na aktach prawnych pa艅stw Europy Zachodniej oraz na aktach mi臋dzynarodowych.
Z punktu widzenia ochrony praw i wolno艣ci obywatelskich ustawa ta jest aktem prawnym o ogromnym znaczeniu, maj膮cym na celu uregulowanie niejasnej, jak dot膮d, sytuacji w zakresie wykorzystywania informacji osobowych.
Ustawa zawiera uregulowania dla dw贸ch zagadnie艅. Z jednej strony prezentuje obowi膮zki podmiot贸w wykorzystuj膮cych dane osobowe, z drugiej natomiast prawa os贸b, kt贸rych dane dotycz膮.
Poni偶ej przedstawiam kr贸tk膮 charakterystyk臋 aktu prawnego, a nast臋pnie szersze om贸wienie ustawy.
Obowi膮zki administratora danych
Ustawa przewiduje wiele obowi膮zk贸w administratora danych, czyli podmiotu, kt贸ry wykorzystuje dane osobowe.
Obowi膮zki te to przede wszystkim:
legalno艣膰 wykorzystania danych (art. 23),
obowi膮zek informacyjny, kt贸ry nale偶y spe艂ni膰 w trakcie (art. 24) lub tu偶 po zgromadzeniu danych (art. 25),
obowi膮zek informacyjny oraz inne wymagania, kt贸re nale偶y spe艂ni膰 na 偶膮danie osoby, kt贸rej dane dotycz膮 (art. 32),
zabezpieczenie danych osobowych (art. 36-39 oraz rozporz膮dzenie wykonawcze),
rejestracja zbior贸w danych osobowych (art. 40 i nast臋pne oraz rozporz膮dzenie wykonawcze).
Prawa os贸b, kt贸rych dane dotycz膮
Ka偶da osoba, kt贸rej dane s膮 wykorzystywane, ma (z wyj膮tkami przewidzianymi w ustawie) nast臋puj膮ce prawa:
prawo do informacji (art. 24, 25 i 32) o tym:
kto i w jakim celu wykorzystuje dane osobowe,
sk膮d ma te dane,
komu je udost臋pnia,
jakie informacje s膮 wykorzystywane;
prawo do uzupe艂nienia, uaktualnienia, sprostowania danych (art. 32);
prawo do 偶膮dania czasowego lub sta艂ego wstrzymania wykorzystywania danych oraz prawo ich usuni臋cia, je艣li zosta艂y zebrane niezgodnie z prawem lub s膮 ju偶 zb臋dne dla celu ich zebrania (art.32);
prawo do 偶膮dania zaprzestania przetwarzania danych ze wzgl臋du na szczeg贸ln膮 sytuacj臋 (w warunkach okre艣lonych w art. 32);
prawo sprzeciwu (w warunkach okre艣lonych w art. 32);
prawo do informacji o zarejestrowanych zbiorach danych (art. 42).
Ustawa o ochronie danych osobowych zosta艂a przyj臋ta w dniu 29 sierpnia 1997, natomiast zgodnie z art. 62 wesz艂a w 偶ycie 30 kwietnia 1998 roku, z wyj膮tkiem przepis贸w art. 8-11, kt贸re wesz艂y w 偶ycie po dw贸ch miesi膮cach od dnia og艂oszenia ustawy, oraz art. 55-59, kt贸re wesz艂y w 偶ycie po czternastu dniach od dnia og艂oszenia ustawy.
Na pocz膮tku nale偶a艂oby wyt艂umaczy膰 najwa偶niejsze poj臋cia ustawy. Ilekro膰 w ustawie jest mowa o:
zbiorze danych osobowych - rozumie si臋 przez to jakiekolwiek operacje wykonywane na danych o charakterze osobowym, dost臋pnych wed艂ug okre艣lonych kryteri贸w, niezale偶nie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie,
przetwarzaniu danych - rozumie si臋 przez to jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udost臋pnianie i usuwanie, a zw艂aszcza te, kt贸re wykorzystuje si臋 w systemach informatycznych,
usuwaniu danych - rozumie si臋 przez to zniszczenie danych osobowych lub tak膮 ich modyfikacj臋, kt贸ra nie pozwoli na ustalenie to偶samo艣ci osoby, kt贸rej dane dotycz膮,
administratorze danych - rozumie si臋 przez to organ, instytucj臋, jednostk臋 organizacyjn膮, podmiot lub osob臋, kt贸re decyduj膮 o celach i 艣rodkach przetwarzania danych osobowych,
zgodzie osoby, kt贸rej dane dotycz膮 - rozumie si臋 przez to o艣wiadczenie woli, kt贸rego tre艣ci膮 jest zgoda na przetwarzanie danych osobowych tego, kto sk艂ada o艣wiadczenie, zgoda nie mo偶e by膰 domniemana lub dorozumiana z o艣wiadczenia woli o innej tre艣ci.
G艂贸wnym przes艂aniem rozdzia艂u I ustawy jest to, 偶e ka偶dy ma prawo do ochrony dotycz膮cych go danych osobowych. Oznacza to, 偶e ka偶dy z nas ma prawo pozosta膰 anonimowym, je艣li tego sobie 偶yczymy, oraz 偶e sami mo偶emy decydowa膰 o tym, jakie informacje o nas mo偶na udost臋pni膰 osobom trzecim.
Prawo do prywatno艣ci, jak i samo prawo do ochrony danych osobowych zosta艂y w Polsce podniesione do rangi praw konstytucyjnych.
Konstytucja z dnia 2 kwietnia 1997 roku zawiera kilka przepis贸w dotycz膮cych ochrony prywatno艣ci oraz niekt贸rych jej aspekt贸w tradycyjnie podlegaj膮cych ochronie prawnej, takich jak nienaruszalno艣膰 mieszkania i tajemnica komunikowania si臋.
Kolejny istotny punkt rozdzia艂u to kwestia przetwarzania danych osobowych. Jest ono mo偶liwe, gdy uzasadnia to:
dobro publiczne,
dobro osoby, kt贸rej dane dotycz膮,
dobro osoby trzeciej,
a dane przetwarza si臋 w zakresie i trybie okre艣lonym niniejsz膮 ustaw膮. Szczeg贸艂owe podstawy prawne przetwarzania informacji osobowych s膮 wymienione w art. 23 ustawy.
Artyku艂 2 wskazuje zakres przedmiotowy ustawy. Jednak偶e z zapisu w ust. 1 i 2 nie wynika jasno, czy ochron膮 obj臋ta jest ka偶da informacja osobowa, czy tylko taka, kt贸ra wyst臋puje w zbiorze danych. Ma zastosowanie do danych, kt贸re s膮 lub mog膮 by膰 przetwarzane w zbiorach danych. Ust臋p 2 jest uszczeg贸艂owieniem tej zasady, czyli list膮 zawieraj膮c膮 sposoby przechowywania danych.
Ochron膮 obj臋te s膮 tak偶e informacje osobowe ju偶 na etapie gromadzenia, a wi臋c, gdy zbi贸r jeszcze nie istnieje, ale wiadomo, 偶e na bazie tych informacji ma by膰 stworzony.
W stosunku do niekt贸rych zbior贸w stosuje si臋 wy艂膮cznie przepisy o zabezpieczeniu zbior贸w danych osobowych. Dotyczy to zbior贸w utworzonych dora藕nie, a wi臋c dla chwilowej potrzeby (np. dla cel贸w szkoleniowych, dydaktycznych), a po wykorzystaniu dane osobowe w nim zawarte zostaj膮 poddane anonimizacji lub usuni臋ciu.
Ustawa jasno okre艣la jej zakres podmiotowy. Wymienia, jakie podmioty przetwarzaj膮ce dane osobowe s膮 administratorami danych w jej rozumieniu. Ustawodawca wymieni艂 dwie og贸lne kategorie podmiot贸w: podmioty publiczne i podmioty prywatne. Pierwsze mog膮 robi膰 tylko to, co ustawa lub oparty na niej przepis wykonawczy wyra藕nie przewiduj膮. Prawa podmiot贸w w sferze prywatnej ukszta艂towane s膮 nieco inaczej: dozwolone jest ka偶de dzia艂anie, kt贸rego nie zabrania prawo.
Administratorem danych w rozumieniu ustawy, nie b臋dzie ka偶dy organ dysponuj膮cy danymi osobowymi. B臋dzie nim tylko ten organ, kt贸ry decyduje o celach i 艣rodkach przetwarzania danych.
Ustawie nie podlegaj膮 osoby fizyczne przetwarzaj膮ce dane wy艂膮cznie dla cel贸w osobistych lub domowych. Chodzi tu przede wszystkim o cel niezarobkowy.
Centralnym sformu艂owaniem ustawy jest poj臋cie danych o charakterze osobowym, a wi臋c informacje dotycz膮ce osoby. B臋d膮 nimi wszystkie informacje dotycz膮ce konkretnej osoby lub takiej osoby, kt贸r膮 mo偶na zidentyfikowa膰. Cech膮 wyr贸偶niaj膮c膮 dane osobowe od innych informacji dotycz膮cych os贸b jest brak anonimowo艣ci, co oznacza mo偶liwo艣膰 ustalenia to偶samo艣ci danej osoby (mog膮 to by膰: imi臋 i nazwisko, wizerunek, zdj臋cia, filmy, zarejestrowane g艂osy).
Ustawa dotyczy danych o osobach fizycznych, nie chroni wi臋c informacji o osobach prawnych lub innych jednostkach organizacyjnych. Nie zosta艂y jednak wy艂膮czone spod ochrony dane o osobach fizycznych prowadz膮cych dzia艂alno艣膰 gospodarcz膮 lub wsp贸lnikach sp贸艂ki cywilnej. Takie informacje podlegaj膮 ustawie, o ile identyfikuj膮 konkretne osoby.
Rozdzia艂 II ustawy okre艣la, kto jest organem do spraw ochrony danych osobowych.
W Polsce funkcj臋 t臋 spe艂nia Generalny Inspektor Ochrony Danych Osobowych, kt贸rego powo艂uje i odwo艂uje Sejm RP za zgod膮 Senatu.
Do jego zada艅 w szczeg贸lno艣ci nale偶y:
kontrola zgodno艣ci przetwarzania danych z przepisami o ochronie danych osobowych,
wydawanie decyzji administracyjnych i rozpatrywanie skarg w sprawach wykonania przepis贸w o ochronie danych osobowych,
prowadzenie rejestru zbior贸w danych oraz udzielanie informacji o zarejestrowanych zbiorach,
opiniowanie projekt贸w ustaw i rozporz膮dze艅 dotycz膮cych ochrony danych osobowych,
inicjowanie i podejmowanie przedsi臋wzi臋膰 w zakresie doskonalenia ochrony danych osobowych,
uczestniczenie w pracach mi臋dzynarodowych organizacji i instytucji zajmuj膮cych si臋 problematyk膮 ochrony danych osobowych.
Kolejny - III rozdzia艂 reguluje zasady przetwarzania danych osobowych.
Z punktu widzenia administratora danych artyku艂 23 ustawy (zawarty w tym偶e rozdziale) ma zasadnicze znaczenie. W ust. 1 artyku艂u 23 wymieniono pi臋膰 przes艂anek legalno艣ci przetwarzania danych osobowych. Podmiot przetwarzaj膮cy dane powinien wykaza膰 si臋 co najmniej jedn膮 z nich, aby jego dzia艂anie mog艂o by膰 uznane za zgodne z prawem.
Przes艂anki te s膮 nast臋puj膮ce:
zgoda osoby, kt贸rej dane dotycz膮,
przepis szczeg贸lny zezwalaj膮cy okre艣lonemu podmiotowi lub kategorii podmiot贸w na przetwarzanie danych,
konieczno艣膰 wywi膮zania si臋 z umowy lub podj臋cia czynno艣ci przedumownych zwi膮zanych ze zobowi膮zaniem, kt贸rego stron膮 jest osoba (to jej dotycz膮 dane),
przetwarzanie danych ze wzgl臋du na realizacj臋 zada艅 publicznych,
przetwarzanie danych przez podmiot prywatny jest niezb臋dne do jego usprawiedliwionych cel贸w i nie narusza praw i wolno艣ci osoby, kt贸rej dane dotycz膮.
Ustawa nak艂ad na administratora danych obowi膮zek udzielenia informacji osobom, kt贸rych dane przetwarza. Tre艣膰 informacji oraz moment ich udzielenia zosta艂 zr贸偶nicowany w zale偶no艣ci od tego, czy chodzi o tzw. Pierwotne gromadzenie danych (od osoby, kt贸rej dane dotycz膮), czy te偶 o gromadzenie wt贸rne (dane pochodz膮 od inne osoby lub podmiotu).
W przypadku pierwotnego gromadzenia danych poinformowanie osoby powinno nast膮pi膰 w chwili zbierania danych, przy czym podmiot zbieraj膮cy je ma obowi膮zek poda膰 sw膮 pe艂n膮 nazw臋 i adres siedziby.
W niekt贸rych sytuacjach podanie informacji osobowych mo偶e by膰 obowi膮zkowe (np. podczas spisu powszechnego). Podmiot zbieraj膮cy dane powinien poinformowa膰 o tym, czy podanie informacji jest obowi膮zkowe, czy dobrowolne.
Z obowi膮zku poinformowania os贸b, kt贸rych dane podlegaj膮 przetwarzaniu, zostali zwolnieni administratorzy, wobec kt贸rych przepis szczeg贸lny zezwala na przetwarzanie danych bez ujawnienia faktycznego celu ich zbierania (np. policja).
W przypadku wt贸rnego gromadzenia danych osobowych, a wi臋c nie od osoby, kt贸rej one dotycz膮, administrator danych jest obowi膮zany poinformowa膰 t臋 osob臋 bezpo艣rednio po utrwaleniu zebranych danych o:
- adresie swojej siedziby i pe艂nej nazwie,
- celu i zakresie zbierania danych,
- odbiorcach lub kategoriach odbiorc贸w danych,
- prawie wgl膮du do swoich danych oraz ich poprawianiu,
- prawie 偶膮dania zaprzestania przetwarzania danych oraz prawie sprzeciwu.
Ochrona danych osobowych nie sprowadza si臋 jedynie do tajemnicy tych danych (mowa o tym w art. 26). Jest to r贸wnie偶 ochrona integralno艣ci i poprawno艣ci informacji. Ma to szczeg贸lne znaczenie w sytuacji, gdy administrator danych jest uprawniony na podstawie przepisu prawa do zbierania i wykorzystywania informacji osobowych, a wi臋c jednostka nie mo偶e domaga膰 si臋, aby zaprzesta艂 zbierania danych. Powinna mie膰 natomiast mo偶liwo艣膰 kontrolowania, czy s膮 one aktualne i poprawne.
Artyku艂 27 dotyczy pewnych szczeg贸lnych kategorii danych osobowych. Ustawodawca wyodr臋bni艂 pewne kategorie informacji, szczeg贸lnie wa偶ne dla ochrony prywatno艣ci ka偶dego cz艂owieka. Informacje te zosta艂y obj臋te wr臋cz zakazem przetwarzania.
Zabroniono wykorzystywania danych ujawniaj膮cych pochodzenie rasowe lub przynale偶no艣膰 do okre艣lonej grupy etnicznej. Wprawdzie nie obj臋to zakazem przetwarzania danych dotycz膮cych narodowo艣ci os贸b, jednak cz臋sto narodowo艣膰 b臋dzie jednocze艣nie okre艣la艂a przynale偶no艣膰 do pewnej grupy etnicznej.
Zakazane jest r贸wnie偶 wykorzystywanie danych ujawniaj膮cych pogl膮dy polityczne, przekonania religijne lub filozoficzne, a tak偶e przynale偶no艣膰 wyznaniow膮, do partii politycznej b膮d藕 te偶 przynale偶no艣膰 do zwi膮zku zawodowego. Jednak偶e organizacje o celach naukowych, filozoficznych, ko艣cio艂y, partie polityczne, zwi膮zki zawodowe i inne mog膮 zbiera膰 informacje o swoich cz艂onkach lub osobach utrzymuj膮cych z nimi sta艂e kontakty. B臋dzie to oznacza艂o wykorzystanie informacji nie tylko o przynale偶no艣ci, ale tak偶e o pogl膮dach politycznych, przekonaniach religijnych i filozoficznych..
Z punktu widzenia ochrony prywatno艣ci bardzo wa偶ny jest r贸wnie偶 zakaz przetwarzania danych zwi膮zanych ze stanem zdrowia, na艂ogami, kodem genetycznym oraz 偶yciem seksualnym.
Lekarz ma obowi膮zek zachowania w tajemnicy informacji zwi膮zanych z pacjentem, a uzyskanych w zwi膮zku z wykonywaniem zawodu. Lekarz jest zwi膮zany tajemnic膮 r贸wnie偶 po 艣mierci pacjenta. Tajemnica lekarska nie obowi膮zuje w nast臋puj膮cych przypadkach:
gdy wynika to z ustawy (choroby zaka藕ne i weneryczne);
gdy badanie lekarskie zosta艂o przeprowadzone na 偶膮danie uprawnionych, na podstawie odr臋bnych ustaw, organ贸w i instytucji; w贸wczas lekarz jest obowi膮zany poinformowa膰 o stanie zdrowia pacjenta wy艂膮cznie te organy i instytucje,
gdy zachowanie tajemnicy mo偶e stanowi膰 niebezpiecze艅stwo dla 偶ycia i zdrowia pacjenta lub innych os贸b (AIDS),
gdy pacjent lub jego przedstawiciel ustawowy wyra偶a zgod臋 na ujawnienie tajemnicy, po uprzednim poinformowaniu o niekorzystnych dla pacjenta skutkach jej ujawnienia,
gdy zachodzi potrzeba przekazania niezb臋dnych informacji o pacjencie zwi膮zanych z udzielaniem 艣wiadcze艅 zdrowotnych innemu lekarzowi lub uprawnionym osobom uczestnicz膮cym w udzielaniu tych 艣wiadcze艅,
gdy jest to niezb臋dne do praktycznej nauki zawod贸w medycznych,
gdy jest to niezb臋dne dla cel贸w naukowych.
Inn膮 kategori臋 danych obj臋tych zakazem stanowi膮 dane dotycz膮ce skaza艅 i orzecze艅 karnych.
Ograniczenie dost臋pu do informacji z rejestru skazanych podyktowane jest tym, 偶e kto艣, kto zosta艂 ju偶 ukarany - nie powinien by膰 ukarany ponownie przez np. odtr膮cenie przez 艣rodowisko, ograniczenie dost臋pu do pracy, nier贸wne traktowanie itp. Aktualne przepisy dotycz膮ce centralnego rejestru skazanych nie zapewniaj膮 w艂a艣ciwego poziomu ochrony przede wszystkim dlatego, 偶e spos贸b prowadzenia rejestru i udzielania na jego podstawie informacji jest regulowany w rozporz膮dzeniu, a nie w ustawie.
Rozdzia艂 4 Ustawy prezentuje prawa osoby, kt贸rej dane dotycz膮. Artyku艂 32 reguluje kompleksowo podstawowe prawa os贸b, kt贸rych dane dotycz膮. Ka偶da osoba ma w stosunku do administratora danych, wykorzystuj膮cego odnosz膮ce si臋 do niej informacje, nast臋puj膮ce prawa:
prawo do informacji o:
fakcie przetwarzania przez danego administratora informacji jej dotycz膮cych,
adresie siedziby lub miejsca zamieszkania administratora danych,
celu przetwarzania danych,
zakresie wykorzystywanych danych (nale偶y poda膰 kategorie przetwarzanych danych),
sposobie przetwarzania danych (r臋czne przetwarzanie, metody informatyczne itp.),
dacie, od kt贸rej dane s膮 wykorzystywane przez administratora,
tre艣ci danych,
藕r贸dle danych (nale偶y poda膰 nazw臋 lub nazwisko podmiotu lub osoby, od kt贸rej dane otrzyma艂, a tak偶e jej adres),
sposobie udost臋pniania danych (tj. metodzie udost臋pniania np. teletransmisji danych) oraz o odbiorcach lub kategoriach odbiorc贸w danych. Dzi臋ki tej informacji osoba mo偶e skorzysta膰 z prawa sprzeciwu wobec udost臋pniania danych konkretnym odbiorcom;
prawo 偶膮dania uzupe艂nienia, uaktualnienia i sprostowania danych;
prawo 偶膮dania czasowego lub sta艂ego wstrzymania przetwarzania danych lub ich usuni臋cia, je偶eli zosta艂y zebrane z naruszeniem ustawy albo s膮 ju偶 zb臋dne do realizacji celu, dla kt贸rego zosta艂y zebrane;
prawo wniesienia pisemnego, umotywowanego 偶膮dania zaprzestania przetwarzania jej danych ze wzgl臋du na jej szczeg贸ln膮 sytuacj臋. Je偶eli administrator nie zamierza uwzgl臋dni膰 wniosku, powinien go przekaza膰 do rozstrzygni臋cia Generalnemu Inspektorowi Ochrony Danych Osobowych;
prawo wniesienia sprzeciwu wobec przetwarzania jej danych, gdy administrator danych zamierza je przetwarza膰 w celach marketingowych lub wobec przekazywania jej danych osobowych innemu administratorowi danych. Sprzeciw nie przys艂uguje w sytuacji, gdy administrator danych posiada zgod臋 osoby na wykorzystanie danych, upowa偶nia go do tego przepis prawa lub gdy przetwarza dane w celu wykonania umowy.
Wniesienie sprzeciwu powoduje konieczno艣膰 zaprzestania przetwarzania danych, przy czym chodzi tu o zaprzestanie przetwarzania tylko w kwestionowanym zakresie.
Osoba mo偶e z艂o偶y膰 wniosek o informacj臋, uzupe艂nienie, uaktualnienie swoich danych itd. Wniosek o informacj臋 mo偶e by膰 przez ni膮 sk艂adany nie cz臋艣ciej ni偶 raz na sze艣膰 miesi臋cy. Nie ma natomiast ograniczenia cz臋stotliwo艣ci wysuwania wniosk贸w o uzupe艂nienie, uaktualnienie, sprostowanie, wstrzymanie przetwarzania oraz usuni臋cie danych.
Administrator danych jest obowi膮zany w terminie 30 dni od dnia otrzymania wniosku udzieli膰 informacji zainteresowanemu.
Pisemna forma informacji jest obowi膮zkowa tylko, gdy wnioskodawca wyra藕nie to zaznaczy艂. Je艣li nie, to forma informacji mo偶e by膰 ustana lub metodami informatycznymi. Na administratorze danych spoczywa ci臋偶ar udowodnienia faktu poinformowania osoby zainteresowanej.
Administrator ma prawo odm贸wi膰 informacji lub udost臋pnienia danych osobie, kt贸rej one dotycz膮, je艣li spowodowa艂oby to:
ujawnienie wiadomo艣ci stanowi膮cych tajemnic臋 pa艅stwow膮,
zagro偶enie dla obronno艣ci lub bezpiecze艅stwa pa艅stwa, 偶ycia i zdrowia ludzi, mienia lub bezpiecze艅stwa i porz膮dku publicznego,
zagro偶enia dla podstawowego interesu gospodarczego lub finansowego pa艅stwa,
istotne naruszenie d贸br osobistych os贸b, kt贸rych dane dotycz膮.
Nast臋pny 5 rozdzia艂 omawia zasady zabezpieczania zbior贸w danych osobowych.
Ustawa nie okre艣la kwalifikacji os贸b, kt贸re mog膮 by膰 dopuszczone do danych osobowych. Zgodnie z art. 37 osoby dopuszczone do danych powinny posiada膰 wydane w tym celu upowa偶nienia kierownika jednostki, s膮 tak偶e zobowi膮zane do zachowania danych w tajemnicy. Administrator ma obowi膮zek prowadzi膰 ewidencj臋 os贸b dopuszczonych do przetwarzania danych osobowych. Spoczywa na nim tak偶e obowi膮zek zastosowa膰 takie 艣rodki techniczne i organizacyjne zapewniaj膮ce ochron臋 danych, aby nie by艂o mo偶liwe udost臋pnienie ich osobom nie upowa偶nionym, ich zabranie, uszkodzenie lub zniszczenie.
Administrator danych przetwarzanych w systemie informatycznym ma obowi膮zek kontrolowa膰, jakie dane osobowe, kiedy i przez kogo zosta艂y do zbioru wprowadzone oraz komu s膮 przekazywane.
System informatyczny przetwarzaj膮cy dane osobowe powinien by膰 wyposa偶ony w mechanizmy uwierzytelniania u偶ytkownika, a tak偶e kontroli dost臋pu do tych danych. Powinien umo偶liwia膰 udost臋pnienie na pi艣mie, w powszechnie zrozumia艂ej formie,, tre艣ci danych o ka偶dej osobie, kt贸rej dane s膮 przetwarzane.
W rozdziale 6 art. 40 ustawa przewiduje obowi膮zek zg艂aszania zbioru danych osobowych do rejestracji Generalnemu Inspektorowi. Zg艂oszenie takie powinno zawiera膰:
wniosek o wpisanie zbioru do rejestru zbior贸w danych osobowych,
okre艣lenie podmiotu prowadz膮cego zbi贸r, adres jego siedziby lub zamieszkania, podstaw臋 prawn膮 upowa偶niaj膮c膮 do prowadzenia zbioru,
zakres i cel przetwarzania danych,
spos贸b zbierania i udost臋pniania danych,
opis 艣rodk贸w technicznych i organizacyjnych zastosowanych do ochrony danych,
informacj臋 o sposobie wype艂nienia wymaga艅 technicznych i organizacyjnych w stosunku do urz膮dze艅 i system贸w informatycznych s艂u偶膮cych przetwarzaniu danych osobowych.
Sama tre艣膰 zbioru nie podlega rejestracji.
Rejestr zbior贸w danych spe艂nia kilka funkcji. Przede wszystkim u艂atwia Generalnemu Inspektorowi realizacj臋 jego zada艅 polegaj膮cych na kontroli w rejestrze pewnych informacji. Ka偶dy obywatel ma prawo przegl膮dania rejestru oraz otrzymania za艣wiadczenia o zarejestrowaniu zbioru danych.
Niekt贸re kategorie zbior贸w danych zosta艂y zwolnione z obowi膮zku rejestracji np. wszystkie podmioty 艣wiadcz膮ce us艂ugi medyczne, dane wykorzystywane wy艂膮cznie w zwi膮zku z prowadzon膮 rachunkowo艣ci膮.
Generalny Inspektor mo偶e wyda膰 decyzj臋 o odmowie rejestracji zbioru danych w okre艣lonych ustaw膮 przypadkach. Odmowa jednoznaczna jest z nakazem wstrzymania dalszego przetwarzania danych.
Wa偶nym zagadnieniem om贸wionym i uregulowanym przez ustaw臋 jest przekazywanie danych osobowych za granic臋. Coraz cz臋艣ciej zachodzi konieczno艣膰 wysy艂ania tych danych za granic臋, jednak偶e wi臋kszo艣膰 pa艅stw przewiduje ograniczenia w takim przekazie. Podstawow膮 zasad膮 jest to, 偶e przekazanie danych osobowych za granic臋 mo偶e nast膮pi膰 jedynie wtedy, gdy kraj docelowy daje gwarancje ochrony danym osobowym na swoim terytorium przynajmniej takie, jak obowi膮zuj膮ce na terytorium Rzeczypospolitej Polskiej.
Ustawa w ostatnim swoim rozdziale jasno precyzuje przepisy karne.
W razie stwierdzenia, 偶e dzia艂anie lub zaniechanie kierownika jednostki organizacyjnej, jej pracownika lub innej osoby fizycznej b臋d膮cej administratorem danych wyczerpuje znamiona przest臋pstwa okre艣lonego w ustawie, Generalny Inspektor kieruje do organu powo艂anego do 艣cigania przest臋pstw zawiadomienie o pope艂nieniu przest臋pstwa, do艂膮czaj膮c dowody dokumentuj膮ce podejrzenie.
Administrator danych, w zale偶no艣ci od tego, na jakiej podstawie przechowuje dane, podlega karze grzywny, ograniczenia wolno艣ci albo pozbawienia wolno艣ci do roku, je偶eli:
posiada dane, kt贸re s膮 nie potrzebne dla jego cel贸w, lub
dane s膮 ju偶 dla okre艣lonego celu zb臋dne.
Za udost臋pnienie lub umo偶liwienie dost臋pu do danych osobom nie upowa偶nionym grozi kara grzywny, ograniczenia lub pozbawienia wolno艣ci do lat dw贸ch. Je偶eli by艂 to czyn nieumy艣lny, kara jest analogiczna jak poprzednio, jednak偶e do roku czasu. Takiej samej karze podlega administrator danych naruszaj膮cy, cho膰by nieumy艣lnie, obowi膮zek zabezpieczenia danych przed ich zabraniem, uszkodzeniem lub zniszczeniem przez osob臋 nie upowa偶nion膮.
Nie zg艂oszenie do rejestracji zbioru danych oraz nie dope艂nienie obowi膮zku poinformowania osoby, kt贸rej dane dotycz膮, o jej prawach jest tak偶e karane grzywn膮, ograniczeniem lub pozbawieniem wolno艣ci do roku.
Chc膮c podsumowa膰 nie boj臋 si臋 stwierdzi膰, 偶e z punktu widzenia ochrony praw i wolno艣ci obywatelskich ustawa jest aktem prawnym o ogromnym znaczeniu, maj膮cym na celu uregulowanie niejasnej do niedawna sytuacji w zakresie wykorzystywania informacji osobowych.
BIBLIOGRAFIA
Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych
A. Mednis, Prawna ochrona danych osobowych, Warszawa 1995
A. Mednis, Ustawa o ochronie danych osobowych, Warszawa 2001