Ustawa o ochronie danych osobowych
omówienie
Przygotowali: Grzegorz Gryciuk, Ryszard Sowiński
Kancelaria Prawna K. Ziemski i Partnerzy, spółka komandytowa
wszelkie prawa zastrzeżone
1 luty 1999
Ochrona danych osobowych jest bardzo młodą dziedziną prawa i to nie tylko w Polsce. Źródło jej wprowadzenia tkwi w koncepcji prawa do prywatności, którą w skrócie można by określić jako: ochronę możliwości decydowania przez daną osobę fizyczną o tym, jakie informacje o niej mogą być pozyskiwane i udostępniane innym osobom. Wyraźną przesłanką dla wprowadzenia w Polsce tej regulacji jest art. 51 KONSTYTUCJI RZECZYPOSPOLITEJ POLSKIEJ z dnia 2 kwietnia 1997 r.(Dz. U. 97.78.483), który stanowi, iż:
"1. Nikt nie może być obowiązany inaczej niż na podstawie ustawy do ujawniania informacji dotyczących jego osoby.2. Władze publiczne nie mogą pozyskiwać, gromadzić i udostępniać innych informacji o obywatelach niż niezbędne w demokratycznym państwie prawnym.3. Każdy ma prawo dostępu do dotyczących go urzędowych dokumentów i zbiorów danych. Ograniczenie tego prawa może określić ustawa.4. Każdy ma prawo do żądania sprostowania oraz usunięcia informacji nieprawdziwych, niepełnych lub zebranych w sposób sprzeczny z ustawą.5. Zasady i tryb gromadzenia oraz udostępniania informacji określa ustawa."
Ustawą, do której odsyła ust. 5 art. 51 konstytucji jest ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (dalej: ustawa), (Dz. U. 97.133.883), której większość postanowień obowiązuje już od 30 kwietnia 1998r.
Podstawową myślą zawartą w tej ustawie jest "ucywilizowanie" posługiwania się danymi osobowymi (tj. w rozumieniu ustawy - wszelkimi danymi, które dotyczą osoby fizycznej i pozwalają na określenie jej tożsamości), a nie wprowadzenie zakazu ich wykorzystywania. Stąd też w ustawie przewidziano szereg środków mających chronić informacje o osobach, ale z uwzględnieniem przy tym ochrony wartości, takich jak uzasadniony interes gospodarczy podmiotów i instytucji wykorzystujących dane.
W praktyce regulacje ustawy i przepisów wykonawczych nakładają na przedsiębiorców szereg ograniczeń i obowiązków w zakresie przetwarzania danych osobowych. Gromadzenie informacji o klientach, sposób przechowywania danych osobowych, gromadzenie i udostępnianie informacji o pracownikach, to tylko niektóre czynności objęte nowymi obowiązkami, których nieprzestrzeganie wiąże się z zastosowaniem sankcji karnych. Przykładem obowiązków nałożonych na administratorów danych jest:
obowiązek zabezpieczenia hasłem zbiorów danych osobowych
obowiązek zmiany hasła co najmniej raz na miesiąc
obowiązek szkolenia pracowników mających dostęp do danych osobowych
ograniczenia w dostępie do pomieszczeń, w których przechowywane są dane osobowe.
Ustawa określa zasady postępowania przy przetwarzaniu danych osobowych, tj. w rozumieniu ustawy - wykonywaniu jakichkolwiek operacji na danych osobowych, takich jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie. Ustawa ma być stosowana zwłaszcza do przetwarzania danych w systemach informatycznych, a także wszelkiego rodzaju kartotekach, skorowidzach, księgach, wykazach i innych zbiorach ewidencyjnych. Zbiorem danych - w rozumieniu ustawy - jest każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie. Spod działania przepisów ustawy wyłączono natomiast zbiory danych sporządzonych doraźnie wyłącznie ze względów technicznych, szkoleniowych lub w związku z działalnością dydaktyczną w szkołach wyższych, jednakże pod warunkiem iż zostaną one po wykorzystaniu niezwłocznie usunięte lub poddane anonimizacji. W tych przypadkach ustawa wymaga jedynie odpowiedniego zabezpieczenia zbiorów.
Przepisy ustawy odnoszą się do szerokiego grona podmiotów lub instytucji odpowiadających ustawowemu pojęciu: administratora danych - podmiotu określonego w art. 3 ustawy, decydującego o celach i środkach przetwarzania danych osobowych. Administratorów danych można podzielić na dwie grupy, zróżnicowane w zakresie ich obowiązków i uprawnień.
Pierwszą grupę podmiotów stanowią organa państwowe oraz samorządu terytorialnego, jak również inne państwowe i komunalne jednostki organizacyjne oraz podmioty niepaństwowe, realizujące zadania publiczne. Wymienionym podmiotom ustawa (art. 23 ust. 1 pkt. 4) zezwala na przetwarzanie danych osobowych, jeżeli jest to niezbędne do wykonania określonych przez prawo zadań, realizowanych dla dobra publicznego. Nie wyłącza to konieczności istnienia szczegółowej normy rangi ustawowej, zezwalającej na prowadzenie konkretnego rejestru, bądź ewidencji. W szczególności chodzi tu o wszelkiego rodzaju rejestry i ewidencje posiadające cechy publicznej jawności i urządzone w celu zapewnienia pewności obrotu prawnego, np. rejestry handlowe, ewidencje działalności gospodarczej, rejestry zastawów, czy księgi wieczyste.
Do drugiej grupy podmiotów objętych wymogami ustawy należą osoby fizyczne i prawne oraz jednostki organizacyjne nie mające osobowości prawnej, które przetwarzają dane w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych. Grupę tę, do której zalicza się przedsiębiorców, objęto dalej idącymi rygorami co do dopuszczalności przetwarzania danych osobowych.
Szczególnym reżimem obwarowano w ustawie zabezpieczenie praw osób, których dane dotyczą przed nadużyciami ze strony administratorów danych, a na samych administratorów nałożono liczne obowiązki.
W pierwszej kolejności na każdym z administratorów spoczywa obowiązek dołożenia szczególnej staranności w celu ochrony interesów osób, których dane dotyczą. Administratora obowiązany jest dbać o to, by znajdujące się w jego dyspozycji dane były przetwarzane zgodnie z prawem, zbierane jedynie dla oznaczonych i zgodnych z prawem celów i nie poddane dalszemu wykorzystaniu po realizacji tych celów. Przetwarzanie danych w celu innym niż ten, dla którego zostały zebrane, jest dopuszczalne jedynie w sytuacjach określonych w ustawie, i tylko pod warunkiem że nie narusza praw i wolności osoby, której dotyczą. Obowiązkiem każdego administratora jest również dbałość, aby zebrane dane były merytorycznie poprawne i przechowywane nie dłużej, niż jest to niezbędne do realizacji celu przetwarzania.
Ustawa nakłada na administratorów szereg szczegółowych obowiązków takich, jak:
obowiązek poinformowania osoby, której dane dotyczą, o adresie siedziby administratora, celu zbierania danych, prawie wglądu do swoich danych oraz dobrowolności lub obowiązku podania ich, a jeżeli taki obowiązek istnieje, to o jego podstawie prawnej. Obowiązek ten jest powiązany z obowiązkiem udostępnienia danych osobom, których one dotyczą, jeżeli osoby te wystąpią z wnioskiem do administratora. Wzór wniosku (w ujęciu szerszym, bo dotyczącym wszelkich podmiotów ubiegających się o dostęp do zbiorów danych) określa rozporządzenie Ministra Spraw Wewnętrznych i Administracji z 3 czerwca 1998 r. (Dz. U. 98.80.522).
wymóg zgłoszenia prowadzonego zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (nie dotyczy niektórych rodzajów zbiorów). Szczegółowy tryb dokonania takiego zgłoszenia oraz wzór formularza zgłoszeniowego określa wskazane wyżej rozporządzenie.
obowiązki związane z zabezpieczeniem zbiorów danych osobowych. Zakres tych obowiązków określony został szeroko, a z drugiej strony obwarowano sankcją karną nawet nieumyślne uchybienia w tym zakresie (art. 52). Obowiązek zabezpieczenia zbiorów danych administrator powinien wykonywać przez zastosowanie odpowiednich urządzeń technicznych, ograniczenie dostępu osób niepowołanych, a także kontrolę danych napływających do zbioru. W sposób szczegółowy metody dokonania wymaganych zabezpieczeń określa rozporządzenie Ministra Spraw Wewnętrznych i Administracji z 3 czerwca 1998 r. (Dz. U. 98.80.521). Przepisy tego aktu nakładają na administratora obowiązki zastosowania zabezpieczeń przetwarzanych danych, polegające m.in. na określeniu obszaru, na którym dane będą przetwarzane przy użyciu stacjonarnego sprzętu komputerowego, a w razie stosowania komputerów przenośnych - zachowania szczególnych środków ostrożności poza tym obszarem, zabezpieczeniu dysków i urządzeń zarówno przed utratą danych, jak i czynnościami osób niepowołanych, sporządzania kopii zapasowych czy także opracowania szczegółowych instrukcji, w tym określającej sposób zarządzania systemem informatycznym oraz postępowania w sytuacji naruszenia ochrony danych osobowych.
Przewidziany ustawą zakres penalizacji jest rzeczywiście bardzo szeroki. Za przetwarzanie danych w sposób sprzeczny z ustawą grozi do dwóch lat więzienia. Jeżeli dotyczą one danych szczególnie chronionych, np. rasy, poglądów politycznych, kara może sięgać trzech lat. Za nielegalne udostępnianie danych osobom nieupoważnionym przewidziano do dwóch lat więzienia. Karalne są też inne czyny naruszające przepisy ustawy.
Dla prawidłowej ochrony danych osobowych oraz sprawowania kontroli nad ich przetwarzaniem, powołany został Urząd Generalnego Inspektora Ochrony Danych Osobowych z siedzibą w Warszawie ( telefony: 0-22 625-15-72 lub 0-22 826-20-31 wew. 166 i 151).
Generalny Inspektor Ochrony Danych Osobowych jest organem centralnym, wybieranym na czteroletnią kadencję przez Sejm za zgodą Senatu.
Zadania Generalnego Inspektora zostały ujęte szeroko i obejmują: czynności kontroli przetwarzania danych osobowych, wydawanie decyzji administracyjnych, rozpatrywanie skarg w sprawach wykonania ustawy oraz prowadzenie rejestru zbiorów danych.
Uprawnienia Generalnego Inspektora wykonują w pierwszej kolejności upoważnieni pracownicy Biura Generalnego Inspektora - inspektorzy. Mają oni w szczególności prawo wstępu do pomieszczeń, w których znajduje się zbiór danych, prowadzenia tam niezbędnych badań, żądania wyjaśnień, a nawet przesłuchiwania osób w celu ustalenia stanu faktycznego. Jednocześnie na administratora danych ustawa nakłada obowiązek umożliwienia przeprowadzenia kontroli.
W przypadku stwierdzenia w trakcie kontroli naruszenia przepisów o ochronie danych osobowych generalnemu inspektorowi przysługują środki administracyjne: możliwość wydania decyzji nakazujących przywrócenie stanu zgodnego z prawem lub (gdy naruszenie stanowi przestępstwo) obowiązek zawiadomienia organów powołanych do ścigania przestępstw. W zakresie wydawania decyzji administracyjnych ustawa odsyła do przepisów kodeksu postępowania administracyjnego. Stronie postępowania przyznano możliwość wniesienia skargi na decyzję Generalnego Inspektora do Naczelnego Sądu Administracyjnego.
Z uwagi na to, iż ustawodawca przejął w ustawie pewne rozwiązania zawarte m. in. w znowelizowanych normach europejskich, szczególnie Dyrektywie Unii Europejskiej z 24 października 1995 r., które są nowatorskie także w samej Unii - kwestią czasu jest sprawdzenie się ich w praktyce. Być może ze względu na nieprecyzyjność niektórych przepisów ustawy i doświadczenia praktyki ustawa będzie musiała ulec zmianom.