Ochrona danych osobowych
Prace nad ustawą o ochronie danych osobowych trwały przeszło sześć lat. Początkowo główny motyw przygotowywania projektu ustawy stanowiła chęć dostosowania naszego ustawodawstwa do systemu prawnego państw Unii Europejskiej. W niektórych państwach Unii podobne ustawodawstwo funkcjonuje już od przełomu lat sześćdziesiątych i siedemdziesiątych. Opracowano wiele aktów prawnych z tej dziedziny o zasięgu międzynarodowym. W Polsce zainteresowanie opinii publicznej i mediów tematyką ochrony danych osobowych było w początkowym okresie prac nad projektem niewielkie, z czasem jednak wzrosło, co pozwala przypuszczać, że ustawa okaże się aktem przydatnym.
Autorzy projektu, wobec braku polskich doświadczeń w tej dziedzinie, opierali się na aktach prawnych państw Europy Zachodniej oraz na aktach międzynarodowych.
Z punktu widzenia ochrony praw i wolności obywatelskich ustawa ta jest aktem prawnym o ogromnym znaczeniu, mającym na celu uregulowanie niejasnej, jak dotąd, sytuacji w zakresie wykorzystywania informacji osobowych.
Ustawa zawiera uregulowania dla dwóch zagadnień. Z jednej strony prezentuje obowiązki podmiotów wykorzystujących dane osobowe, z drugiej natomiast prawa osób, których dane dotyczą.
Poniżej przedstawiam krótką charakterystykę aktu prawnego, a następnie szersze omówienie ustawy.
Obowiązki administratora danych
Ustawa przewiduje wiele obowiązków administratora danych, czyli podmiotu, który wykorzystuje dane osobowe.
Obowiązki te to przede wszystkim:
legalność wykorzystania danych (art. 23),
obowiązek informacyjny, który należy spełnić w trakcie (art. 24) lub tuż po zgromadzeniu danych (art. 25),
obowiązek informacyjny oraz inne wymagania, które należy spełnić na żądanie osoby, której dane dotyczą (art. 32),
zabezpieczenie danych osobowych (art. 36-39 oraz rozporządzenie wykonawcze),
rejestracja zbiorów danych osobowych (art. 40 i następne oraz rozporządzenie wykonawcze).
Prawa osób, których dane dotyczą
Każda osoba, której dane są wykorzystywane, ma (z wyjątkami przewidzianymi w ustawie) następujące prawa:
prawo do informacji (art. 24, 25 i 32) o tym:
kto i w jakim celu wykorzystuje dane osobowe,
skąd ma te dane,
komu je udostępnia,
jakie informacje są wykorzystywane;
prawo do uzupełnienia, uaktualnienia, sprostowania danych (art. 32);
prawo do żądania czasowego lub stałego wstrzymania wykorzystywania danych oraz prawo ich usunięcia, jeśli zostały zebrane niezgodnie z prawem lub są już zbędne dla celu ich zebrania (art.32);
prawo do żądania zaprzestania przetwarzania danych ze względu na szczególną sytuację (w warunkach określonych w art. 32);
prawo sprzeciwu (w warunkach określonych w art. 32);
prawo do informacji o zarejestrowanych zbiorach danych (art. 42).
Ustawa o ochronie danych osobowych została przyjęta w dniu 29 sierpnia 1997, natomiast zgodnie z art. 62 weszła w życie 30 kwietnia 1998 roku, z wyjątkiem przepisów art. 8-11, które weszły w życie po dwóch miesiącach od dnia ogłoszenia ustawy, oraz art. 55-59, które weszły w życie po czternastu dniach od dnia ogłoszenia ustawy.
Na początku należałoby wytłumaczyć najważniejsze pojęcia ustawy. Ilekroć w ustawie jest mowa o:
zbiorze danych osobowych - rozumie się przez to jakiekolwiek operacje wykonywane na danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie,
przetwarzaniu danych - rozumie się przez to jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykorzystuje się w systemach informatycznych,
usuwaniu danych - rozumie się przez to zniszczenie danych osobowych lub taką ich modyfikację, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą,
administratorze danych - rozumie się przez to organ, instytucję, jednostkę organizacyjną, podmiot lub osobę, które decydują o celach i środkach przetwarzania danych osobowych,
zgodzie osoby, której dane dotyczą - rozumie się przez to oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie, zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści.
Głównym przesłaniem rozdziału I ustawy jest to, że każdy ma prawo do ochrony dotyczących go danych osobowych. Oznacza to, że każdy z nas ma prawo pozostać anonimowym, jeśli tego sobie życzymy, oraz że sami możemy decydować o tym, jakie informacje o nas można udostępnić osobom trzecim.
Prawo do prywatności, jak i samo prawo do ochrony danych osobowych zostały w Polsce podniesione do rangi praw konstytucyjnych.
Konstytucja z dnia 2 kwietnia 1997 roku zawiera kilka przepisów dotyczących ochrony prywatności oraz niektórych jej aspektów tradycyjnie podlegających ochronie prawnej, takich jak nienaruszalność mieszkania i tajemnica komunikowania się.
Kolejny istotny punkt rozdziału to kwestia przetwarzania danych osobowych. Jest ono możliwe, gdy uzasadnia to:
dobro publiczne,
dobro osoby, której dane dotyczą,
dobro osoby trzeciej,
a dane przetwarza się w zakresie i trybie określonym niniejszą ustawą. Szczegółowe podstawy prawne przetwarzania informacji osobowych są wymienione w art. 23 ustawy.
Artykuł 2 wskazuje zakres przedmiotowy ustawy. Jednakże z zapisu w ust. 1 i 2 nie wynika jasno, czy ochroną objęta jest każda informacja osobowa, czy tylko taka, która występuje w zbiorze danych. Ma zastosowanie do danych, które są lub mogą być przetwarzane w zbiorach danych. Ustęp 2 jest uszczegółowieniem tej zasady, czyli listą zawierającą sposoby przechowywania danych.
Ochroną objęte są także informacje osobowe już na etapie gromadzenia, a więc, gdy zbiór jeszcze nie istnieje, ale wiadomo, że na bazie tych informacji ma być stworzony.
W stosunku do niektórych zbiorów stosuje się wyłącznie przepisy o zabezpieczeniu zbiorów danych osobowych. Dotyczy to zbiorów utworzonych doraźnie, a więc dla chwilowej potrzeby (np. dla celów szkoleniowych, dydaktycznych), a po wykorzystaniu dane osobowe w nim zawarte zostają poddane anonimizacji lub usunięciu.
Ustawa jasno określa jej zakres podmiotowy. Wymienia, jakie podmioty przetwarzające dane osobowe są administratorami danych w jej rozumieniu. Ustawodawca wymienił dwie ogólne kategorie podmiotów: podmioty publiczne i podmioty prywatne. Pierwsze mogą robić tylko to, co ustawa lub oparty na niej przepis wykonawczy wyraźnie przewidują. Prawa podmiotów w sferze prywatnej ukształtowane są nieco inaczej: dozwolone jest każde działanie, którego nie zabrania prawo.
Administratorem danych w rozumieniu ustawy, nie będzie każdy organ dysponujący danymi osobowymi. Będzie nim tylko ten organ, który decyduje o celach i środkach przetwarzania danych.
Ustawie nie podlegają osoby fizyczne przetwarzające dane wyłącznie dla celów osobistych lub domowych. Chodzi tu przede wszystkim o cel niezarobkowy.
Centralnym sformułowaniem ustawy jest pojęcie danych o charakterze osobowym, a więc informacje dotyczące osoby. Będą nimi wszystkie informacje dotyczące konkretnej osoby lub takiej osoby, którą można zidentyfikować. Cechą wyróżniającą dane osobowe od innych informacji dotyczących osób jest brak anonimowości, co oznacza możliwość ustalenia tożsamości danej osoby (mogą to być: imię i nazwisko, wizerunek, zdjęcia, filmy, zarejestrowane głosy).
Ustawa dotyczy danych o osobach fizycznych, nie chroni więc informacji o osobach prawnych lub innych jednostkach organizacyjnych. Nie zostały jednak wyłączone spod ochrony dane o osobach fizycznych prowadzących działalność gospodarczą lub wspólnikach spółki cywilnej. Takie informacje podlegają ustawie, o ile identyfikują konkretne osoby.
Rozdział II ustawy określa, kto jest organem do spraw ochrony danych osobowych.
W Polsce funkcję tę spełnia Generalny Inspektor Ochrony Danych Osobowych, którego powołuje i odwołuje Sejm RP za zgodą Senatu.
Do jego zadań w szczególności należy:
kontrola zgodności przetwarzania danych z przepisami o ochronie danych osobowych,
wydawanie decyzji administracyjnych i rozpatrywanie skarg w sprawach wykonania przepisów o ochronie danych osobowych,
prowadzenie rejestru zbiorów danych oraz udzielanie informacji o zarejestrowanych zbiorach,
opiniowanie projektów ustaw i rozporządzeń dotyczących ochrony danych osobowych,
inicjowanie i podejmowanie przedsięwzięć w zakresie doskonalenia ochrony danych osobowych,
uczestniczenie w pracach międzynarodowych organizacji i instytucji zajmujących się problematyką ochrony danych osobowych.
Kolejny - III rozdział reguluje zasady przetwarzania danych osobowych.
Z punktu widzenia administratora danych artykuł 23 ustawy (zawarty w tymże rozdziale) ma zasadnicze znaczenie. W ust. 1 artykułu 23 wymieniono pięć przesłanek legalności przetwarzania danych osobowych. Podmiot przetwarzający dane powinien wykazać się co najmniej jedną z nich, aby jego działanie mogło być uznane za zgodne z prawem.
Przesłanki te są następujące:
zgoda osoby, której dane dotyczą,
przepis szczególny zezwalający określonemu podmiotowi lub kategorii podmiotów na przetwarzanie danych,
konieczność wywiązania się z umowy lub podjęcia czynności przedumownych związanych ze zobowiązaniem, którego stroną jest osoba (to jej dotyczą dane),
przetwarzanie danych ze względu na realizację zadań publicznych,
przetwarzanie danych przez podmiot prywatny jest niezbędne do jego usprawiedliwionych celów i nie narusza praw i wolności osoby, której dane dotyczą.
Ustawa nakład na administratora danych obowiązek udzielenia informacji osobom, których dane przetwarza. Treść informacji oraz moment ich udzielenia został zróżnicowany w zależności od tego, czy chodzi o tzw. Pierwotne gromadzenie danych (od osoby, której dane dotyczą), czy też o gromadzenie wtórne (dane pochodzą od inne osoby lub podmiotu).
W przypadku pierwotnego gromadzenia danych poinformowanie osoby powinno nastąpić w chwili zbierania danych, przy czym podmiot zbierający je ma obowiązek podać swą pełną nazwę i adres siedziby.
W niektórych sytuacjach podanie informacji osobowych może być obowiązkowe (np. podczas spisu powszechnego). Podmiot zbierający dane powinien poinformować o tym, czy podanie informacji jest obowiązkowe, czy dobrowolne.
Z obowiązku poinformowania osób, których dane podlegają przetwarzaniu, zostali zwolnieni administratorzy, wobec których przepis szczególny zezwala na przetwarzanie danych bez ujawnienia faktycznego celu ich zbierania (np. policja).
W przypadku wtórnego gromadzenia danych osobowych, a więc nie od osoby, której one dotyczą, administrator danych jest obowiązany poinformować tę osobę bezpośrednio po utrwaleniu zebranych danych o:
- adresie swojej siedziby i pełnej nazwie,
- celu i zakresie zbierania danych,
- odbiorcach lub kategoriach odbiorców danych,
- prawie wglądu do swoich danych oraz ich poprawianiu,
- prawie żądania zaprzestania przetwarzania danych oraz prawie sprzeciwu.
Ochrona danych osobowych nie sprowadza się jedynie do tajemnicy tych danych (mowa o tym w art. 26). Jest to również ochrona integralności i poprawności informacji. Ma to szczególne znaczenie w sytuacji, gdy administrator danych jest uprawniony na podstawie przepisu prawa do zbierania i wykorzystywania informacji osobowych, a więc jednostka nie może domagać się, aby zaprzestał zbierania danych. Powinna mieć natomiast możliwość kontrolowania, czy są one aktualne i poprawne.
Artykuł 27 dotyczy pewnych szczególnych kategorii danych osobowych. Ustawodawca wyodrębnił pewne kategorie informacji, szczególnie ważne dla ochrony prywatności każdego człowieka. Informacje te zostały objęte wręcz zakazem przetwarzania.
Zabroniono wykorzystywania danych ujawniających pochodzenie rasowe lub przynależność do określonej grupy etnicznej. Wprawdzie nie objęto zakazem przetwarzania danych dotyczących narodowości osób, jednak często narodowość będzie jednocześnie określała przynależność do pewnej grupy etnicznej.
Zakazane jest również wykorzystywanie danych ujawniających poglądy polityczne, przekonania religijne lub filozoficzne, a także przynależność wyznaniową, do partii politycznej bądź też przynależność do związku zawodowego. Jednakże organizacje o celach naukowych, filozoficznych, kościoły, partie polityczne, związki zawodowe i inne mogą zbierać informacje o swoich członkach lub osobach utrzymujących z nimi stałe kontakty. Będzie to oznaczało wykorzystanie informacji nie tylko o przynależności, ale także o poglądach politycznych, przekonaniach religijnych i filozoficznych..
Z punktu widzenia ochrony prywatności bardzo ważny jest również zakaz przetwarzania danych związanych ze stanem zdrowia, nałogami, kodem genetycznym oraz życiem seksualnym.
Lekarz ma obowiązek zachowania w tajemnicy informacji związanych z pacjentem, a uzyskanych w związku z wykonywaniem zawodu. Lekarz jest związany tajemnicą również po śmierci pacjenta. Tajemnica lekarska nie obowiązuje w następujących przypadkach:
gdy wynika to z ustawy (choroby zakaźne i weneryczne);
gdy badanie lekarskie zostało przeprowadzone na żądanie uprawnionych, na podstawie odrębnych ustaw, organów i instytucji; wówczas lekarz jest obowiązany poinformować o stanie zdrowia pacjenta wyłącznie te organy i instytucje,
gdy zachowanie tajemnicy może stanowić niebezpieczeństwo dla życia i zdrowia pacjenta lub innych osób (AIDS),
gdy pacjent lub jego przedstawiciel ustawowy wyraża zgodę na ujawnienie tajemnicy, po uprzednim poinformowaniu o niekorzystnych dla pacjenta skutkach jej ujawnienia,
gdy zachodzi potrzeba przekazania niezbędnych informacji o pacjencie związanych z udzielaniem świadczeń zdrowotnych innemu lekarzowi lub uprawnionym osobom uczestniczącym w udzielaniu tych świadczeń,
gdy jest to niezbędne do praktycznej nauki zawodów medycznych,
gdy jest to niezbędne dla celów naukowych.
Inną kategorię danych objętych zakazem stanowią dane dotyczące skazań i orzeczeń karnych.
Ograniczenie dostępu do informacji z rejestru skazanych podyktowane jest tym, że ktoś, kto został już ukarany - nie powinien być ukarany ponownie przez np. odtrącenie przez środowisko, ograniczenie dostępu do pracy, nierówne traktowanie itp. Aktualne przepisy dotyczące centralnego rejestru skazanych nie zapewniają właściwego poziomu ochrony przede wszystkim dlatego, że sposób prowadzenia rejestru i udzielania na jego podstawie informacji jest regulowany w rozporządzeniu, a nie w ustawie.
Rozdział 4 Ustawy prezentuje prawa osoby, której dane dotyczą. Artykuł 32 reguluje kompleksowo podstawowe prawa osób, których dane dotyczą. Każda osoba ma w stosunku do administratora danych, wykorzystującego odnoszące się do niej informacje, następujące prawa:
prawo do informacji o:
fakcie przetwarzania przez danego administratora informacji jej dotyczących,
adresie siedziby lub miejsca zamieszkania administratora danych,
celu przetwarzania danych,
zakresie wykorzystywanych danych (należy podać kategorie przetwarzanych danych),
sposobie przetwarzania danych (ręczne przetwarzanie, metody informatyczne itp.),
dacie, od której dane są wykorzystywane przez administratora,
treści danych,
źródle danych (należy podać nazwę lub nazwisko podmiotu lub osoby, od której dane otrzymał, a także jej adres),
sposobie udostępniania danych (tj. metodzie udostępniania np. teletransmisji danych) oraz o odbiorcach lub kategoriach odbiorców danych. Dzięki tej informacji osoba może skorzystać z prawa sprzeciwu wobec udostępniania danych konkretnym odbiorcom;
prawo żądania uzupełnienia, uaktualnienia i sprostowania danych;
prawo żądania czasowego lub stałego wstrzymania przetwarzania danych lub ich usunięcia, jeżeli zostały zebrane z naruszeniem ustawy albo są już zbędne do realizacji celu, dla którego zostały zebrane;
prawo wniesienia pisemnego, umotywowanego żądania zaprzestania przetwarzania jej danych ze względu na jej szczególną sytuację. Jeżeli administrator nie zamierza uwzględnić wniosku, powinien go przekazać do rozstrzygnięcia Generalnemu Inspektorowi Ochrony Danych Osobowych;
prawo wniesienia sprzeciwu wobec przetwarzania jej danych, gdy administrator danych zamierza je przetwarzać w celach marketingowych lub wobec przekazywania jej danych osobowych innemu administratorowi danych. Sprzeciw nie przysługuje w sytuacji, gdy administrator danych posiada zgodę osoby na wykorzystanie danych, upoważnia go do tego przepis prawa lub gdy przetwarza dane w celu wykonania umowy.
Wniesienie sprzeciwu powoduje konieczność zaprzestania przetwarzania danych, przy czym chodzi tu o zaprzestanie przetwarzania tylko w kwestionowanym zakresie.
Osoba może złożyć wniosek o informację, uzupełnienie, uaktualnienie swoich danych itd. Wniosek o informację może być przez nią składany nie częściej niż raz na sześć miesięcy. Nie ma natomiast ograniczenia częstotliwości wysuwania wniosków o uzupełnienie, uaktualnienie, sprostowanie, wstrzymanie przetwarzania oraz usunięcie danych.
Administrator danych jest obowiązany w terminie 30 dni od dnia otrzymania wniosku udzielić informacji zainteresowanemu.
Pisemna forma informacji jest obowiązkowa tylko, gdy wnioskodawca wyraźnie to zaznaczył. Jeśli nie, to forma informacji może być ustana lub metodami informatycznymi. Na administratorze danych spoczywa ciężar udowodnienia faktu poinformowania osoby zainteresowanej.
Administrator ma prawo odmówić informacji lub udostępnienia danych osobie, której one dotyczą, jeśli spowodowałoby to:
ujawnienie wiadomości stanowiących tajemnicę państwową,
zagrożenie dla obronności lub bezpieczeństwa państwa, życia i zdrowia ludzi, mienia lub bezpieczeństwa i porządku publicznego,
zagrożenia dla podstawowego interesu gospodarczego lub finansowego państwa,
istotne naruszenie dóbr osobistych osób, których dane dotyczą.
Następny 5 rozdział omawia zasady zabezpieczania zbiorów danych osobowych.
Ustawa nie określa kwalifikacji osób, które mogą być dopuszczone do danych osobowych. Zgodnie z art. 37 osoby dopuszczone do danych powinny posiadać wydane w tym celu upoważnienia kierownika jednostki, są także zobowiązane do zachowania danych w tajemnicy. Administrator ma obowiązek prowadzić ewidencję osób dopuszczonych do przetwarzania danych osobowych. Spoczywa na nim także obowiązek zastosować takie środki techniczne i organizacyjne zapewniające ochronę danych, aby nie było możliwe udostępnienie ich osobom nie upoważnionym, ich zabranie, uszkodzenie lub zniszczenie.
Administrator danych przetwarzanych w systemie informatycznym ma obowiązek kontrolować, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane.
System informatyczny przetwarzający dane osobowe powinien być wyposażony w mechanizmy uwierzytelniania użytkownika, a także kontroli dostępu do tych danych. Powinien umożliwiać udostępnienie na piśmie, w powszechnie zrozumiałej formie,, treści danych o każdej osobie, której dane są przetwarzane.
W rozdziale 6 art. 40 ustawa przewiduje obowiązek zgłaszania zbioru danych osobowych do rejestracji Generalnemu Inspektorowi. Zgłoszenie takie powinno zawierać:
wniosek o wpisanie zbioru do rejestru zbiorów danych osobowych,
określenie podmiotu prowadzącego zbiór, adres jego siedziby lub zamieszkania, podstawę prawną upoważniającą do prowadzenia zbioru,
zakres i cel przetwarzania danych,
sposób zbierania i udostępniania danych,
opis środków technicznych i organizacyjnych zastosowanych do ochrony danych,
informację o sposobie wypełnienia wymagań technicznych i organizacyjnych w stosunku do urządzeń i systemów informatycznych służących przetwarzaniu danych osobowych.
Sama treść zbioru nie podlega rejestracji.
Rejestr zbiorów danych spełnia kilka funkcji. Przede wszystkim ułatwia Generalnemu Inspektorowi realizację jego zadań polegających na kontroli w rejestrze pewnych informacji. Każdy obywatel ma prawo przeglądania rejestru oraz otrzymania zaświadczenia o zarejestrowaniu zbioru danych.
Niektóre kategorie zbiorów danych zostały zwolnione z obowiązku rejestracji np. wszystkie podmioty świadczące usługi medyczne, dane wykorzystywane wyłącznie w związku z prowadzoną rachunkowością.
Generalny Inspektor może wydać decyzję o odmowie rejestracji zbioru danych w określonych ustawą przypadkach. Odmowa jednoznaczna jest z nakazem wstrzymania dalszego przetwarzania danych.
Ważnym zagadnieniem omówionym i uregulowanym przez ustawę jest przekazywanie danych osobowych za granicę. Coraz częściej zachodzi konieczność wysyłania tych danych za granicę, jednakże większość państw przewiduje ograniczenia w takim przekazie. Podstawową zasadą jest to, że przekazanie danych osobowych za granicę może nastąpić jedynie wtedy, gdy kraj docelowy daje gwarancje ochrony danym osobowym na swoim terytorium przynajmniej takie, jak obowiązujące na terytorium Rzeczypospolitej Polskiej.
Ustawa w ostatnim swoim rozdziale jasno precyzuje przepisy karne.
W razie stwierdzenia, że działanie lub zaniechanie kierownika jednostki organizacyjnej, jej pracownika lub innej osoby fizycznej będącej administratorem danych wyczerpuje znamiona przestępstwa określonego w ustawie, Generalny Inspektor kieruje do organu powołanego do ścigania przestępstw zawiadomienie o popełnieniu przestępstwa, dołączając dowody dokumentujące podejrzenie.
Administrator danych, w zależności od tego, na jakiej podstawie przechowuje dane, podlega karze grzywny, ograniczenia wolności albo pozbawienia wolności do roku, jeżeli:
posiada dane, które są nie potrzebne dla jego celów, lub
dane są już dla określonego celu zbędne.
Za udostępnienie lub umożliwienie dostępu do danych osobom nie upoważnionym grozi kara grzywny, ograniczenia lub pozbawienia wolności do lat dwóch. Jeżeli był to czyn nieumyślny, kara jest analogiczna jak poprzednio, jednakże do roku czasu. Takiej samej karze podlega administrator danych naruszający, choćby nieumyślnie, obowiązek zabezpieczenia danych przed ich zabraniem, uszkodzeniem lub zniszczeniem przez osobę nie upoważnioną.
Nie zgłoszenie do rejestracji zbioru danych oraz nie dopełnienie obowiązku poinformowania osoby, której dane dotyczą, o jej prawach jest także karane grzywną, ograniczeniem lub pozbawieniem wolności do roku.
Chcąc podsumować nie boję się stwierdzić, że z punktu widzenia ochrony praw i wolności obywatelskich ustawa jest aktem prawnym o ogromnym znaczeniu, mającym na celu uregulowanie niejasnej do niedawna sytuacji w zakresie wykorzystywania informacji osobowych.
BIBLIOGRAFIA
Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych
A. Mednis, Prawna ochrona danych osobowych, Warszawa 1995
A. Mednis, Ustawa o ochronie danych osobowych, Warszawa 2001