Ochrona danych osobowych
W rozumieniu ustawy za dane osobowe uważa się wszystkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Przetwarzanie danych to wszystkie operacje wykonywane na danych osobowych takie jak: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie a zwłaszcza te, które wykonuje się w systemach informatycznych.
Ustawa z 29.08.1997r. o ochronie danych osobowych określa zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane osobowe są lub mogą być przetwarzane w zbiorach danych. Ustawę stosuje się do przetwarzania danych osobowych w zbiorach papierowych oraz w systemach informatycznych. Ustawę stosuje się do organów państwowych, organów samorządu terytorialnego oraz do państwowych i komunalnych jednostek organizacyjnych. Stosuje się ją także do podmiotów niepublicznych realizujących zadania publiczne jak również do osób fizycznych i prawnych oraz innych jednostek organizacyjnych, jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych. Ustawy nie stosuje się do osób fizycznych przetwarzających dane wyłącznie w celach osobistych oraz do podmiotów mających siedzibę poza Polską wykorzystujących środki techniczne znajdujące się w Polsce wyłącznie do przekazywania danych.
Organem ds. ochrony danych osobowych jest Generalny Inspektor Ochrony Danych Osobowych. Jest on powoływany i odwoływany na 4-letnią kadencję przez Sejm za zgodą Senatu. Ta sama osoba nie może być Generalnym Inspektorem więcej niż przez 2 kadencje. Na stanowisko GIODO może być powołany obywatel polski, który:
- stale zamieszkuje na terytorium RP
- wyróżnia się wysokim autorytetem moralnym
- posiada wyższe wykształcenie prawnicze oraz odpowiednie doświadczenie zawodowe
- nie był karany
Do zadań GIODO należy w szczególności:
kontrola zgodności przetwarzania danych z obowiązującym prawem
wydawanie decyzji administracyjnych i rozpatrywanie skarg w sprawach wykonania przepisów o ochronie danych osobowych
zapewnienie wykonywania obowiązków przez podmioty zobowiązane w drodze ww. decyzji administracyjnych
prowadzenie rejestru zbiorów danych oraz udzielanie informacji o zarejestrowanych zbiorach
opiniowanie projektów ustaw i rozporządzeń dotyczących ochrony danych osobowych
inicjowanie i podejmowanie przedsięwzięć w zakresie doskonalenia ochrony danych osobowych
uczestnictwo w pracach międzynarodowych instytucji i organizacji zajmujących się problematyką ochrony danych osobowych
Na wniosek Generalnego Inspektora Marszałek Sejmu może powołać jego zastępcę. Odwołanie zastępcy GIODO następuje w tym samym trybie.
GIODO wykonuje swoje zadania przy pomocy Biura Generalnego Inspektora Ochrony Danych Osobowych. Statut Biuru nadaje, w drodze rozporządzenia, Prezydent RP po zasięgnięciu opinii Inspektora.
W celu wykonania swoich zadań Inspektor, jego zastępcy oraz upoważnieni przez niego pracownicy Biura mają prawo:
wstępu w godz. 6-22 do pomieszczenia, w którym zlokalizowany jest zbiór danych lub w którym dane są przetwarzane i prowadzenia niezbędnych badań oraz czynności kontrolnych w celu oceny zgodności przetwarzania danych z ustawą
żądać złożenia wyjaśnień lub wzywać i przesłuchiwać osoby w zakresie niezbędnym do ustalenia stanu faktycznego
wglądu do wszelkich dokumentów i danych mających bezpośredni związek z przedmiotem kontroli
przeprowadzania oględzin urządzeń, nośników oraz systemów informatycznych służących do przetwarzania danych
zlecać sporządzanie ekspertyz i opinii
Z czynności kontrolnych inspektor sporządza protokół, którego jeden egzemplarz doręcza kontrolowanemu administratorowi danych. Protokół podpisują inspektor i kontrolowany administrator, który może wnieść do protokołu umotywowane zastrzeżenia i uwagi. W razie odmowy podpisania protokołu przez kontrolowanego inspektor czyni o tym wzmiankę w protokole a odmawiający podpisu może, w terminie 7 dni, przedstawić swoje stanowisko na piśmie Generalnemu Inspektorowi.
W przypadku naruszenia przepisów o ochronie danych osobowych GIODO z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej, nakazuje przywrócenie stanu zgodnego z prawem.
Generalny Inspektor Ochrony Danych Osobowych składa Sejmowi raz w roku sprawozdanie ze swojej działalności wraz z wnioskami wynikającymi ze stanu przestrzegania przepisów.
W przypadku zbierania danych osobowych od osoby, której one dotyczą, administrator danych jest obowiązany poinformować tę osobę o:
- swojej nazwie i adresie,
- celu zbierania danych i odbiorcach danych
- prawie dostępu do treści danych oraz ich poprawienia
- dobrowolności albo obowiązku podania danych oraz o jego podstawie prawnej
Zabronione jest przetwarzanie danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym (dane wrażliwe). Przetwarzanie tych danych jest dopuszczalne jedynie w sytuacji, gdy:
osoba, której dotyczą wyrazi na to zgodę, chyba że chodzi o usunięcie tych danych
przepis szczególny zezwala na przetwarzanie takich danych bez zgody osoby, której dotyczą, i stwarza pełne gwarancje ich ochrony
przetwarzanie tych danych jest niezbędne do ochrony żywotnych interesów osoby, której one dotyczą lub innej osoby, gdy osoba ta nie jest fizycznie lub prawnie zdolna do wyrażenia zgody (tylko do czasu ustanowienia opiekuna prawnego lub kuratora)
jest to niezbędne do wykonywania statutowych zadań kościołów, stowarzyszeń i fundacji, pod warunkiem, że przetwarzanie danych dotyczy wyłącznie członków tej organizacji i zapewnione są pełne gwarancje ochrony
przetwarzanie dotyczy danych, które są niezbędne do dochodzenia praw przed sądem
przetwarzanie jest prowadzone w celu ochrony stanu zdrowia lub leczenia pacjentów
przetwarzanie dotyczy danych, które zostały wcześniej podane do wiadomości publicznej
jest to niezbędne do prowadzenia badań naukowych (publikowanie badań nie może umożliwiać identyfikacji osób)
Numery porządkowe stosowane w ewidencji ludności mogą zawierać tylko oznaczenie płci, datę urodzenia, numer nadania oraz liczbę kontrolną. Zabronione jest nadawanie ukrytych znaczeń elementom tych numerów.
Każdej osobie przysługuje prawo do kontroli przetwarzania danych, które jej dotyczą, a zwłaszcza prawo do:
ustalenia administratora zbioru danych
informacji o celu, zakresie i sposobie przetwarzania danych
informacji od kiedy dane są przetwarzane oraz podania treści tych danych
informacji o źródle, z którego pochodzą dane
informacji o sposobie udostępniania danych i odbiorcach tych danych
żądania uzupełnienia, uaktualnienia, sprostowania danych, czasowego lub stałego wstrzymania ich przetwarzania lub ich usunięcia, jeżeli są niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem prawa, albo są już zbędne dla realizacji celu w którym zostały zebrane
W razie wykazania przez osobę, której dane dotyczą, że są one niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem prawa albo są już zbędne do realizacji celu administrator danych jest obowiązany bez zbędnej zwłoki do naprawy tej sytuacji.
Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych odpowiednią do zagrożeń oraz kategorii danych, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zebraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem prawa oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.
Do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych.
Administrator danych jest obowiązany zgłosić zbiór danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych, który prowadzi ogólnokrajowy jawny rejestr zbiorów danych osobowych. Zgłoszenie powinno zawierać m.in. cel przetwarzania danych, kategorie osób, których dane dotyczą oraz kategorie odbiorców danych, zakres przetwarzanych danych, sposób ich zbierania, informację dotyczącą ewentualnego przekazywania danych do państwa trzeciego.
Z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych m.in.:
- zawierających informacje niejawne
- przetwarzanych dla potrzeb postępowania sądowego
- przetwarzanych przez Generalnego Inspektora Informacji Finansowej
- dotyczących osób należących do kościoła lub związku wyznaniowego
- przetwarzanych w związku z zatrudnieniem lub nauką u nich
- dotyczących osób korzystających z usług medycznych, prawnych, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta
- dotyczących wyborów powszechnych
- przetwarzanych wyłącznie w celu wystawienia faktury lub rachunku
- danych powszechnie dostępnych
- przetwarzanych w celu przygotowania pracy naukowej
- przetwarzanych w zakresie drobnych, bieżących spraw życia codziennego
GIODO wydaje decyzję o odmowie rejestracji zbioru danych, jeżeli: nie zostały spełnione ustawowe wymogi zgłoszenia zbioru danych, przetwarzanie danych naruszyłoby zasady określone w ustawie lub jeżeli urządzenia i systemy informatyczne nie spełniają określonych warunków.
Przekazanie danych osobowych do państwa trzeciego może nastąpić, jeżeli państwo docelowe daje gwarancje ochrony danych na swoim terytorium przynajmniej takie, jakie obowiązują w Polsce. Administrator może jednak przekazać dane osobowe do państwa trzeciego, jeżeli:
- osoba, której dane dotyczą wyraziła na to zgodę
- przekazanie jest niezbędne do wykonania umowy zawartej między administratorem a osobą, której dane dotyczą lub umowy zawartej w interesie osoby, której dane dotyczą
- przekazanie jest niezbędne ze względu na dobro publiczne lub do ochrony żywotnych interesów osoby, której dane dotyczą
- dane są ogólnie dostępne.
1