Anna Szamańska-Teliczek
OCHRONA DANYCH OSOBOWYCH
I INFORMACJI NIEJAWNYCH
Anna Szamańska-Teliczek
OCHRONA DANYCH OSOBOWYCH
I INFORMACJI NIEJAWNYCH
2
Skrypt opracowany w ramach działalności
Instytutu Europejskiego
i
Studium Prawa Europejskiego
w Warszawie
ul. Prosta 2/14 lok. 204, 00-850 Warszawa
tel./fax. 22/833-38-90; 833-39-90
www.uniaeuropejska.net.pl
e-mail: info@spe.edu.pl
Wydawca:
Instytut Europejski
ul. Prosta 2/14, 00-850 Warszawa
Tel./fax. 22/833-38-90; 833-39-90
e-mail: info@spe.edu.pl
Copyright by
Instytut Europejski
3
SPIS TREŚCI:
WPROWADZENIE
4
Podstawa
prawna
–
regulacje
krajowe
4
Część I. OCHRONA DANYCH OSOBOWYCH
8
1. Podstawowe pojęcia
–
terminologia
ustawowa 8
2. Organ
ochrony
danych
osobowych
17
3. Zasady przetwarzania danych osobowych, zabezpieczenie danych
osobowych, rejestracja zbiorów danych
osobowych
22
4. Odpowiedzialność karna
29
5. Ochrona danych osobowych z uwzględnieniem specyfiki przykładowo
wskazanych stanowisk:
30
a.
Specjalista
do
spraw
personalnych
32
b. Asystent zarządu
34
c. Menedżer administracji
35
Część II. OCHRONA INFORMACJI NIEJAWNYCH
37
1. Obowiązująca i nowa ustawa o ochronie informacji niejawnych
37
2. Podstawowe pojęcia – terminologia ustawy 1999 r. oraz ustawy z 2010 r.
28
4
WPROWADZENIE
Podstawa prawna – regulacje krajowe
Ochrona danych osobowych stanowi jedną z ważniejszych dziedzin z zakresu
działalności przedsiębiorstwa – czy to z punktu widzenia przedsiębiorcy jako pracodawcy,
przedsiębiorcy przetwarzającego dane kontrahentów czy też pracowników zajmujących się
przetwarzaniem danych przy rekrutacji i zatrudnianiu, administrowaniu wszelkimi
dokumentami będącymi w obiegu firmy, korespondencji, dokumentach zarządu itp.
W pierwszym rozdziale niniejszego opracowania znajdzie się przybliżenie istoty
ochrony danych osobowych oraz krótki komentarz do obowiązujących przepisów prawa. Dla
wygody osób korzystających z opracowania przyjęto układ i kolejność omawianych
zagadnień tożsame z porządkiem regulacji ustawowej.
W dalszych rozdziałach przedstawiona zostanie specyfika najistotniejszych stanowisk
w przedsiębiorstwie, które stykają się z przetwarzaniem danych osobowych i z tego względu
powinny dysponować szczególną znajomością zagadnienia ochrony tych danych.
W drugiej części opracowania omówiona zostanie obowiązująca ustawa o ochronie
informacji niejawnych, z uwzględnieniem zmian wprowadzonych nową ustawą z 5 sierpnia
2010 r. o ochronie informacji niejawnych.
Podstawowe akty prawne w zakresie krajowego porządku prawnego dotyczącego
ochrony danych osobowych oraz informacji niejawnych:
¾ Ustawa zasadnicza – Konstytucja Rzeczypospolitej Polskiej z dnia 2 kwietnia 1997 r.
(Dz. U. z 1997 r. Nr 78, poz. 483)
1
Konstytucja reguluje ochronę danych osobowych jako prawo każdego człowieka do
ochrony prawnej życia prywatnego, rodzinnego, czci i dobrego imienia oraz do decydowania
o swoim życiu osobistym.
Nadto nikt, a więc nie tylko obywatele polscy, ale również obcokrajowcy
i bezpaństwowcy, nie może być zobowiązany do ujawniania informacji dotyczących jego
osoby. Może się to stać wyłącznie w ściśle określonych prawem sytuacjach, a prawo to musi
mieć rangę ustawową. Władze publiczne nie mogą pozyskiwać, gromadzić i udostępniać
1
Konstytucja reguluje tematykę ochrony danych osobowych w art. 47 i 51.
5
innych informacji o obywatelach dowolnie, wolno im to robić wyłącznie w sytuacjach
niezbędnych w demokratycznym państwie prawnym, przy czym każdy ma prawo dostępu do
dotyczących go urzędowych dokumentów i zbiorów danych. Ograniczenie tego prawa może
nastąpić wyłącznie w akcie prawnym rangi ustawowej. Każdy, kogo dane osobowe są
pozyskiwane, gromadzone, przetwarzane, przechowywane czy udostępniane w prawnie
dopuszczalnym celu, ma prawo żądać sprostowania tych danych, a także ich usunięcia, jeśli
zawierają informacje nieprawdziwe, niepełne lub zebrane w sposób sprzeczny z ustawą.
Zasady i tryb gromadzenia oraz udostępniania informacji określa ustawa.
¾ Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz. U. z 2002 r.
Nr 101, poz. 926 ze zm.), dalej zwana ustawą o ochronie danych osobowych lub
u.o.d.o.
Ustawa zapewnia prawo każdego do ochrony danych osobowych jego dotyczących.
Jednocześnie określa granice przetwarzania danych osobowych, formułując dyspozycję
ustawową pozwalającą na przetwarzanie danych osobowych wyłącznie w sytuacji, gdy chodzi
o dobro publiczne, dobro osoby, której dane dotyczą, bądź dobro osób trzecich, w zakresie
i trybie uregulowanym ustawą u.o.d.o. Ustawa o ochronie danych osobowych określa zasady
postępowania przy przetwarzaniu danych osobowych, a także prawa osób, których dane są
lub mogą być przetwarzane. U.o.d.o. dotyczy wyłącznie osób fizycznych.
Ustawę stosuje się do przetwarzania danych osobowych znajdujących się w:
- kartotekach, księgach, wykazach, a także w innych zbiorach ewidencyjnych;
- systemach informatycznych.
Zbiory danych sporządzane dorywczo, na potrzeby różnego rodzaju szkoleń czy też ze
względów technicznych, powinny być po ich wykorzystaniu usuwane i poddawane
anonimizacji
2
, o czym mówi u.o.d.o. w rozdziale piątym.
Ustawa o ochronie danych osobowych obowiązuje mające siedzibę lub miejsce
zamieszkania na terytorium Rzeczypospolitej Polskiej, jak również w państwie trzecim,
gdy przetwarzają dane osobowe przy użyciu środków technicznych znajdujących się na
terytorium Rzeczypospolitej Polskiej:
9 organy państwowe, organy samorządowe oraz państwowe i komunalne jednostki
organizacyjne;
2
Anonimizacja jest to proces uniemożliwiający odkrycie tożsamości. W przypadku ochrony danych osobowych
oznacza takie przetwarzanie danych, aby zapewnić prywatność i w pełnym znaczeniu ochronę pozyskanych
i przetwarzanych danych osobowych. Pojęcia to pochodzi prawdopodobnie od słowa anonimowość, anonim.
6
9 podmioty niepubliczne realizujące zadania publiczne;
9 osoby fizyczne i osoby prawne, a także jednostki organizacyjne nie będące osobami
prawnymi (ułomne osoby prawne), które w ramach prowadzonej działalności
zarobkowej, zawodowej i statutowej oraz w związku z tą działalnością przetwarzają
dane osobowe.
U.o.d.o. nie ma zastosowania w stosunku do:
- osób fizycznych, które dane osobowe przetwarzają wyłącznie w celach osobistych lub
domowych;
- podmiotów mających siedzibę lub miejsce zamieszkania w państwie trzecim, lecz
wykorzystujących środki techniczne znajdujące się na terytorium Rzeczypospolitej
Polskiej, pod warunkiem iż służą one jedynie do przekazywania danych;
- oraz gdy umowa międzynarodowa, której stroną jest Rzeczpospolita Polska, stanowi
inaczej.
Ponadto nowelizacją z dnia 22 stycznia 2004 r. wprowadzono art. 3a ust. 2,
zgodnie z którym ograniczenie stosowania u.o.d.o. dotyczy:
- działalności prasowej dziennikarskiej, o której mowa w ustawie z dnia 26 stycznia
1984 r. – Prawo prasowe
3
;
- działalności literackiej i artystycznej, przy założeniu że wolność wyrażania poglądów
oraz rozpowszechniania informacji nie narusza prawa i wolności osoby, której dotyczą;
z wyjątkiem art. 14-19 i 36 ust. 1 u.o.d.o.
Oznacza to, że w przypadku rodzajów działalności wymienionych powyżej podmioty
te zostały zwolnione z większości obciążeń i powinności nałożonych przez u.o.d.o.,
z wyjątkiem przepisów dotyczących kontroli sprawowanej przez Generalnego Inspektora
Ochrony Danych Osobowych (art. 14-19 u.o.d.o.) oraz obowiązku zabezpieczenia i ochrony
przetwarzanych danych osobowych (art. 36 ust. 1 u.o.d.o.). Co za tym idzie, podmioty te mają
obowiązek stosowania odpowiednich środków technicznych w celu zapewnienia ochrony
przetwarzanych danych osobowych, związanych z prowadzoną działalnością dziennikarską,
artystyczną, literacką. Zabezpieczenie danych osobowych podlega kontroli Generalnego
Inspektora Ochrony Danych Osobowych.
3
Ustawa z dnia 26 stycznia 1984 r. Prawo prasowe (Dz. U. z 1984 r. Nr 5, poz. 24 ze zm.).
7
Wybrane akty wykonawcze do ustawy:
¾ Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 11 grudnia 2008 r.
w sprawie wzoru zgłoszenia zbioru do rejestracji Generalnemu Inspektorowi Ochrony
Danych Osobowych (Dz. U. z 2008 r. Nr 229, poz. 1536);
¾ Rozporządzenie Prezydenta Rzeczypospolitej Polskiej z dnia 3 listopada 2006 r.
w sprawie nadania statutu Biuru Generalnego Inspektora Ochrony Danych Osobowych
(Dz. U. z 2006 r. Nr 203, poz. 1494);
¾ Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r.
w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych
i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne
służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024);
¾ Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 22 kwietnia 2004 r.
w sprawie wzorów imiennego upoważnienia i legitymacji służbowej inspektora Biura
Generalnego Inspektora Ochrony Danych Osobowych (Dz. U. z 2004 r. Nr 94, poz. 923).
¾ Ustawa z dnia 22 stycznia 1999 r. o ochronie informacji niejawnych (t.j. Dz. U.
z 2005 r. Nr 196, poz. 1631 ze zm.), dalej zwana ustawą o ochronie informacji
niejawnych lub u.o.i.n.
Wybrane akty wykonawcze do ustawy:
¾ Rozporządzenie Rady Ministrów z dnia 1 czerwca 2010 r. w sprawie organizacji
i funkcjonowania kancelarii tajnych (Dz. U. z 2010 r. Nr 114, poz. 765 – obowiązuje od
1 stycznia 2011 r.);
¾ Rozporządzenie Rady Ministrów z dnia 18 października 2005 r. w sprawie organizacji
i funkcjonowania kancelarii tajnych (Dz. U. z 2005 r. Nr 208, poz. 1741);
¾ Rozporządzenie Prezesa Rady Ministrów z dnia 5 października 2005 r. w sprawie sposobu
oznaczania materiałów, umieszczania na nich klauzul tajności, a także zmiany nadanej
klauzuli tajności (Dz. U. z 2005 r. Nr 205, poz. 1696);
¾ Rozporządzenie Prezesa Rady Ministrów z dnia 29 września 2005 r. w sprawie trybu
i sposobu przyjmowania, przewożenia, wydawania i ochrony materiałów zawierających
informacje niejawne (Dz. U. z 2005 r. Nr 200, poz. 1650 ze zm.);
¾ Rozporządzenie Rady Ministrów z dnia 8 września 2005 r. w sprawie wzorów
kwestionariusza bezpieczeństwa przemysłowego,
świadectwa bezpieczeństwa
przemysłowego, decyzji o odmowie wydania świadectwa bezpieczeństwa przemysłowego
8
oraz decyzji o cofnięciu świadectwa bezpieczeństwa przemysłowego (Dz. U. z 2005 r. Nr
181, poz. 1504 ze zm.)
¾ Rozporządzenie Prezesa Rady Ministrów z dnia 25 sierpnia 2005 r. w sprawie
szczegółowego trybu przygotowania i prowadzenia przez służby ochrony państwa kontroli
w zakresie ochrony informacji niejawnych (Dz. U. z 2005 r. Nr 171, poz. 1430);
¾ Rozporządzenie Prezesa Rady Ministrów z dnia 25 sierpnia 2005 r. w sprawie wzorów
zaświadczeń stwierdzających odbycie szkolenia w zakresie ochrony informacji
niejawnych (Dz. U. z 2005 r. Nr 171, poz. 1432 ze zm.);
¾ Rozporządzenie Prezesa Rady Ministrów z dnia 25 sierpnia 2005 r. w sprawie
podstawowych wymagań bezpieczeństwa teleinformatycznego (Dz. U. z 2005 r. Nr 171,
poz. 1433 ze zm.)
Część I. OCHRONA DANYCH OSOBOWYCH
1.
Podstawowe pojęcia – terminologia ustawowa
4
Dane osobowe – ustawa u.o.d.o. definiuje dane osobowe jako wszelkie informacje
dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.
Szczególnym rodzajem danych osobowych są tak zwane dane wrażliwe, określane też
mianem danych sensytywnych. Przetwarzanie tych danych osobowych poddane jest
szczególnym zasadom i ograniczeniom. Za dane wrażliwe ustawodawca uznał takie, które
zawierają informacje o:
− pochodzeniu rasowym lub etnicznym;
− poglądach politycznych;
− przekonaniach religijnych lub filozoficznych;
− przynależności wyznaniowej, partyjnej lub związkowej;
− stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym;
− skazaniach, orzeczeniach o ukaraniu i mandatach karnych, a także innych
orzeczeniach wydanych w postępowaniu sądowym lub administracyjnym.
4
Definicje pojęć pochodzą z art. 6 zawierającego objaśnienie najważniejszych pojęć oraz art. 7 ustawy
o ochronie danych osobowych, zawierającego słowniczek ustawowy.
9
Osoba możliwa do zidentyfikowania – to osoba, której tożsamość można określić
bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny
albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne,
umysłowe, ekonomiczne, kulturowe lub społeczne.
Zbiór danych – jest to każdy posiadający strukturę zestaw danych o charakterze
osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten
jest rozproszony czy podzielony funkcjonalnie. Jest to jedno z podstawowych pojęć u.o.d.o.
Zbiór danych może posiadać różnorodną formę scentralizowaną bądź rozproszoną,
może być ręcznie sporządzaną kartoteką wiejskiej biblioteki lub też może funkcjonować
w postaci akt osobowych, formularzy, kwestionariuszy rekrutacyjnych czy rozbudowanej
bazy kontrahentów dużej spółki czy banku, aż wreszcie baz danych tworzonych przez
profesjonalne systemy zarządzania takimi bazami, indywidualnie tworzonymi dla danego
podmiotu. Jednak bez względu na formę zbiór taki podlega reżimowi u.o.d.o. Ochrona danych
osobowych obejmuje wszelkie zbiory danych, bez względu na technikę ich sporządzania
i prowadzenia. Co istotne, zbiory danych mogą być prowadzone w postaci zbiorów słów,
a nawet dźwięków czy obrazów. Zbiorami danych są zarówno nagrania wypowiedzi
pozwalające zidentyfikować rozmówców, jak i fotografie umożliwiające identyfikację osób.
Zbiorem danych jest także zbiór danych tylko jednej osoby. Cechą charakterystyczną zbioru
jest „zbiorowość danych”. Zbiorem bowiem jest pewne nagromadzenie danych, nie zaś
pojedyncze dane. W ustawie brak jest regulacji określającej wskazówki ilościowe, jednakże
należy pamiętać, że nie każdy katalog danych stanowi zbiór danych chronionych ustawą.
Praktyka pokazuje, że istotną cechą pozwalającą odróżnić zbiór danych w rozumieniu ustawy
od zbioru danych nieistotnego z punktu widzenia u.o.d.o., uwzględniając kryterium
dostępności przetwarzanych danych oraz możliwości identyfikacji osób, których dane
dotyczą.
W jednej z wypowiedzi Generalny Inspektor Ochrony Danych Osobowych
podpowiada, iż „każdy zestaw danych osobowych, który umożliwia dostęp do poszczególnych
danych przez jakiekolwiek kryterium, jest zbiorem danych w rozumieniu art. 7 pkt 1 ustawy.
Alfabetyczne ułożenie danych osobowych według nazwiska lub nazwiska i imienia pozwala na
szybkie odnalezienie informacji o osobie bez potrzeby przeglądania całego zestawu”
5
5
Wystarczy ułożyć alfabetycznie, „Rzeczpospolita” z 20 lipca 2000 r., nr 168, [za:] Barta Janusz, Fajgielski
Paweł, Markiewicz Ryszard, Komentarz do ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych,
Wydawnictwo Zakamycze 2007.
10
Na stronie internetowej Generalnego Inspektora
6
, w dziale „Zapytania i odpowiedzi”
związanym z zagadnieniami prawnymi i interpretacją niektórych wątpliwości prawnych,
Generalny Inspektor Ochrony Danych Osobowych wskazał daleko szersze rozumienie zbioru
danych osobowych: „wszelkie materiały gromadzone w formie akt, w tym sądowe,
prokuratorskie, policyjne i inne zawierające dane osobowe, są zbiorem danych osobowych
w rozumieniu art. 7 pkt 1 ustawy”.
Zatem samo ułożenie alfabetyczne zbioru jest pomocne w jego zdefiniowaniu, ale nie
jest jedynym kryterium rozstrzygającym, o czym należy pamiętać.
Przetwarzanie danych – są to wszelkiego rodzaju operacje wykonywane na danych
osobowych, w szczególności zbieranie, utrwalanie, przechowywanie, opracowywanie,
zmienianie, udostępnianie, a także usuwanie, wykonywane zarówno w ramach systemów
informatycznych, jak i poza wykorzystaniem tych systemów. Jak widać, jest to dość obszerne
pojęcie zawierające wszelkie operacje wykonywane z użyciem danych osobowych, także ich
usuwanie. Jako przetwarzanie rozumie się wykonywanie choćby jednej z wymienionych
operacji; może to być wyłącznie zbieranie danych osobowych lub tylko ich przechowywanie,
jednakże każdorazowo rozumiane jest jako przetwarzanie danych i podlega reżimowi u.o.d.o.
Z pewnością przetwarzaniem danych jest też przekazywanie ich innemu podmiotowi, zależnej
spółce czy podmiotom powiązanym czy też zewnętrznym służbom księgowym. Przetwarzanie
danych jest rozumiane jako proces, na który składają się poszczególne etapy. Jako pierwszy
wymieniany jest etap pozyskiwania, zbierania danych; kolejnym jest udostępnianie danych
osobowych. Istnieje też podział na trzy etapy: pozyskiwanie, przetwarzanie, wykorzystanie.
Są to czynności faktyczne, realne, mające dalsze konsekwencje prawne. Nie ma tu znaczenia,
czy przebiegają one w sposób zautomatyzowany czy inny, ani też jakiego zakresu dotyczy
automatyzacja.
W niektórych systemach prawnych, odmiennie od uregulowania polskiej u.o.d.o.,
osobno wymieniane jest przetwarzanie danych, zbieranie danych oraz wykorzystywanie
danych. Uregulowanie, jakie przyjęto w polskiej ustawie, wynika z regulacji unijnych,
w szczególności dyrektywy 95/46/WE, w której pojęcie „przetwarzanie danych” posiada
również bardzo szerokie znaczenie. Oznacza to, że kierując się wytycznymi dyrektywy
w porządku krajowym przyjęto, iż przepisy dotyczące bezpośrednio przetwarzania, jak
6
http://www.giodo.gov.pl/
11
również zbierania danych czy też innych operacji przetwarzania, należy odczytywać łącznie,
bowiem każdorazowo mamy doczynienia z przetwarzaniem danych osobowych.
System informatyczny – są to zespoły współpracujących ze sobą urządzeń,
programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych
w celu przetwarzania danych. Pojęcie systemu informatycznego zostało wprowadzone do
u.o.d.o. w drodze nowelizacji w 2001 r. Wcześniej pojęcie to pojawiało się wyłącznie
w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 3 czerwca 1998 r.
w sprawie określenia podstawowych warunków technicznych i organizacyjnych, jakim
powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych
osobowych
7
. Definicja zawarta w rozporządzeniu różniła się od tej obecnie uregulowanej
ustawowo. Wcześniejsza określała system informatyczny jako „system przetwarzania
informacji wraz ze związanymi z nim ludźmi oraz zasobami technicznymi i finansowymi,
który dostarcza i rozprowadza informacje”. Aktualnie obowiązująca regulacja pomija czynnik
ludzki i zdecydowanie precyzuje pojęcie systemu przez oznaczenie jego elementów, tj.
urządzeń, programów, procedur i narzędzi programowych.
Zabezpieczenie danych w systemie informatycznym – to wdrożenie i eksploatacja
odpowiednich środków technicznych i organizacyjnych, zapewniających ochronę danych
przed ich nieuprawnionym przetwarzaniem. Podobnie jak pojęcie systemu informatycznego,
definicja ta została wprowadzona do ustawy o ochronie danych osobowych dopiero w wyniku
nowelizacji w 2001 r. Wcześniej pojęcie to nie było wykorzystywane w ustawie ani
w żadnym z aktów wykonawczych do u.o.d.o.
Pojęcie zabezpieczenia danych w systemie informatycznym wiąże się
z rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r.
w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych
i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące
do przetwarzania danych osobowych
8
, które wprowadzono w miejsce rozporządzenia
Ministra Spraw Wewnętrznych i Administracji z dnia 3 czerwca 1998 r. w sprawie określenia
7
Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 3 czerwca 1998 r. w sprawie określenia
podstawowych warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy
informatyczne służące do przetwarzania danych osobowych (Dz. U. z 1998 r. Nr 80, poz. 521).
8
Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie
dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny
odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r.
Nr 100, poz. 1024).
12
podstawowych warunków technicznych i organizacyjnych, jakim powinny odpowiadać
urządzenia i systemy informatyczne służące do przetwarzania danych osobowych
9
.
Zabezpieczenie danych w systemie informatycznym ma szczególne znaczenie przy
rozwiniętej technice informatycznej. Rozumiane jest jako zapewnienie bezpieczeństwa
poprzez wdrażanie i wykorzystywanie odpowiednich środków pozwalających zapewnić
ochronę danych osobowych. Definicja zawiera szereg pojęć nieostrych i ocennych, jednakże
w praktyce polega na każdorazowym rozważaniu konkretnego stanu faktycznego,
z uwzględnieniem istniejących zagrożeń.
Usuwanie danych – to w szczególności zniszczenie danych osobowych bądź też
dokonanie takiej ich trawestacji, która nie pozwoli na ustalenie tożsamości osoby, której dane
dotyczą (anonimizacja). Usuwaniem danych jest ich niszczenie lub przetwarzanie
pozbawiające dane ich „osobowego” charakteru. Skutkiem usuwania danych powinno być
uniemożliwienie dalszego ich przetwarzania, bowiem przestają one być danymi osobowymi
podlegającymi ochronie u.o.d.o.
Administrator danych – jest to osoba, organ, jednostka organizacyjna, wymieniona
w art. 3 u.o.d.o., która podejmuje decyzje w zakresie celu i środków przetwarzania danych
osobowych.
Administratorem danych może być zatem zarówno organ państwowy lub
samorządowy, jak i państwowe i komunalne jednostki organizacyjne, podmioty niepubliczne
wykonujące zadania publiczne, osoby fizyczne, osoby prawne oraz ułomne osoby prawne pod
warunkiem, że podmiot ten decyduje o celach i środkach przetwarzania danych osobowych.
Powoduje to, że każdorazowo, w zależności od formy prowadzonej działalności oraz
schematu organizacyjnego, administratorem danych może być inna osoba. W przypadku
osoby fizycznej prowadzącej działalność gospodarczą administratorem danych będzie zwykle
właściciel przedsiębiorstwa. Jednak w przypadku osób prawnych administratorem danych
może być sama osoba prawna, na przykład spółka, bank, korporacja ubezpieczeniowa. Istotne
jest, iż administratorem danych nie jest osoba lub osoby na stanowiskach kierowniczych,
czyli nie będzie to zarząd spółki ani dyrektor koncernu, ani też upoważniony pracownik, lecz
podmiot wskazany przepisami prawa. Administratorem danych jest kompleksowo podmiot
9
Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 3 czerwca 1998 r. w sprawie określenia
podstawowych warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy
informatyczne służące do przetwarzania danych osobowych (Dz. U. z 1998 r. Nr 80, poz. 521).
13
przetwarzający dane osobowe, jeżeli samodzielnie decyduje o celach i środkach
przetwarzania danych, to jest podejmuje decyzje choćby w zakresie zbierania danych lub ich
udostępniania.
W doktrynie istnieje rozbieżność co do tego, czy administratorem danych konkretnego
zbioru jest jeden czy więcej administratorów. Naczelny Sąd Administracyjny w wyroku
z dnia 30 stycznia 2002 r., sygn. akt II SA 1098/01, publikowanym na stronie www
GIODO
10
, wskazał, iż administratorem danych jest wyłącznie podmiot uprawniony do
decydowania o celach i środkach przetwarzania danych, zaś podmiot, który bezprawnie
przywłaszczył sobie dane osobowe, nie jest administratorem danych, a jedynie
administrującym danymi.
W przypadku podmiotów publicznych wskazanie administratora danych może
nastręczać pewnych trudności. Wynika to ze specyfiki tych podmiotów i sposobu ich
powoływania w drodze ustawy. Można zatem przyjąć, iż o celach i środkach przetwarzania
danych osobowych w przypadku podmiotów publicznych decyduje ustawodawca.
Jednocześnie zgodnie z art. 7 ust. 4 u.o.d.o. administratorem danych może być podmiot
wymieniony w art. 3, czyli organ, jednostka organizacyjna, podmiot lub inna osoba wskazana
w tym przepisie. Pojawia się tu dość szeroki krąg podmiotów pasujących do definicji
administratora danych. W publikacji „Rzeczpospolitej” z 6 kwietnia 1999 r., autorstwa
R. Hausnera pt. Przetwarzanie danych osobowych: cel i środki wskazano, iż „o tym, czy dany
organ, jednostka organizacyjna albo innego rodzaju podmiot jest administratorem danych
osobowych, decyduje przede wszystkim rodzaj i charakter nadanych im przez prawo
kompetencji z obszaru spraw publicznych oraz wyznaczone ustawowo zadania. Do uznania
danego podmiotu za administratora danych potrzebna jest jednak zawsze analiza konkretnych
przepisów mających zastosowanie w określonej sytuacji, dokonywana często wedle
skomplikowanych reguł interpretacji tekstu prawnego”.
W dyrektywie 95/46/WE
11
zapisano, iż w związku z możliwością określenia –
w drodze ustawy lub innych przepisach krajowych lub Wspólnotowych – celów i sposobów
przetwarzania danych, co wywołuje niejednokrotnie trudności w precyzyjnym określeniu
osoby administratora danych, może nim być podmiot lub osoba powoływana lub wskazana
przez ustawodawstwo krajowe lub ustawodawstwo Wspólnoty.
10
http://www.giodo.gov.pl/496/id_art/255/j/pl/
11
Dyrektywa 95/46/WE art. 2 lit. d).
14
Takie rozwiązanie przyjęto jedynie w kilku krajowych ustawach, między innymi w:
9 ustawie z dnia 20 czerwca 1997 r. – Prawo o ruchu drogowym
12
, gdzie administratorem
danych zawartych w centralnej ewidencji pojazdów oraz centralnej ewidencji kierowców
jest minister właściwy do spraw administracji publicznej;
9 ustawie z dnia 24 maja 2000 r. o Krajowym Rejestrze Karnym
13
, gdzie administratorem
danych określa się Biuro Informacyjne Krajowego Rejestru Karnego, a organem tego
Biura jest dyrektor Biura.
W pozostałych przypadkach brak jest wskazań podmiotów publicznych pełniących
funkcję administratora danych, co powoduje, iż w takich przypadkach należy badać konkretne
przepisy oraz okoliczności faktyczne pozwalające na określenie podmiotu lub osoby, w której
zakresie kompetencji znajduje się decydowanie o celach i środkach przetwarzania danych
osobowych.
Istotne jest, iż administrator danych nie jest zobowiązany do przetwarzania danych
bezpośrednio i osobiście. Byłoby to niemożliwe w przypadku, gdy administratorem danych
jest podmiot taki jak bank czy koncern farmaceutyczny. Administrator danych może
wyznaczyć osobę lub podmiot odpowiedzialny za faktyczne przetwarzanie danych. Jak
podniesiono w przytoczonym wyżej wyroku NSA (sygn. akt II SA 1098/01), administrator
danych to nie osoba administrująca tymi danymi, co oznacza, że osoba, w której dyspozycji
znajdują się faktycznie dane osobowe, nie zawsze jest administratorem danych.
Ustawodawca przewidział możliwość powierzenia przez administratora danych ich
przetwarzania. Przy przekazywaniu danych winny być jednak spełnione zawarte w ustawie
przesłanki. Przekazanie powinno odbyć się wyłącznie w zakresie i celu określonym
w umowie, zaś umowa musi być sporządzona pisemnie. Ważne jest, że oba podmioty
odpowiadają za należytą ochronę danych osobowych – administrator danych na zasadach
określonych w ustawie, a administrujący danymi w zakresie określonym w art. 31 ust. 3 i 4
u.o.d.o.
Odróżnienie administratora danych od osoby administrującej stało się przedmiotem
orzeczenia Sądu Najwyższego
14
z dnia 11 grudnia 2000 r., sygn. akt II KKN 438/00,
publikowanego w zbiorze Orzecznictwo Sądu Najwyższego – Izba Karna i Wojskowa z 2001
r., nr 3-4, poz. 33. Teza druga orzeczenia odnosi się bezpośrednio do rozgraniczenia
12
Ustawa z dnia 20 czerwca 1997 r. - Prawo o ruchu drogowym (t.j. Dz. U. z 2003 r., nr 58, poz. 515 ze zm.)
13
Ustawa z dnia 24 maja 2000 r. o Krajowym Rejestrze Karnym (Dz. U. z 2000r., nr 50, poz. 580 ze zm.)
14
Postanowienie Sądu Najwyższego z 11 grudnia 2000 r., sygn. akt II KKN 438/00, publikowane w zbiorze
Orzecznictwo Sądu Najwyższego – Izba Karna i Wojskowa z 2001r., nr 3-4, poz. 33.
15
administratora danych osobowych, czyli podmiotu, który decyduje o celach i środkach
przetwarzania tych danych, o którym mowa w art. 7 pkt 4 u.o.d.o., i osoby administrującej
zbiorem danych, to jest osoby, która zarządza, zawiaduje zbiorem danych w procesie ich
przetwarzania, na podstawie umowy powierzenia w trybie art. 31 u.o.d.o. Odpowiedzialność
karna administrującego nie będącego administratorem danych wynika wyłącznie z takiego
jego zachowania, które ustawa o ochronie danych osobowych uznaje za karalne.
W u.o.d.o. pojawia się ponadto pojęcie administratora bezpieczeństwa informacji, nie
wyjaśnione w słowniczku regulowanym przez art. 7 u.o.d.o. Pojęcie to wprowadza art. 36
ust. 3 ustawy o ochronie danych osobowych
15
na oznaczenie osoby wyznaczonej przez
administratora danych, a której zadaniem jest zapewnienie bezpieczeństwa informacji m.in.
poprzez nadzorowanie przestrzegania zasad ochrony danych osobowych. Ustawa nie wyłącza
możliwości, aby administrator danych był jednocześnie administratorem bezpieczeństwa
informacji.
Zgoda osoby, której dane dotyczą – jest to oświadczenie woli, którego treścią jest
zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda musi być
wyraźna, nie jest dopuszczalne wyrażanie zgody w formie domniemanej lub dorozumianej
z oświadczenia woli o innej treści. Wobec posłużenia się przez ustawodawcę pojęciem
oświadczenia woli należy wskazać na przepisy kodeksu cywilnego (dalej k.c.) regulujące
materię oświadczeń woli, a także uwolnienia się od oświadczenia woli złożonego pod
wpływem błędu czy groźby
16
.
Jednocześnie osoba występująca o wyrażenie zgody na przetwarzanie danych
osobowych, której dane dotyczą, musi sformułować się w sposób wyraźny i jednoznaczny.
Nie można posługiwać się zawoalowaną treścią, zawierającą odesłanie do innych regulacji
czy wzorów ogólnych umów lub regulaminów.
Zwyczajowo stosowana formułka, spełniająca wymagania ustawy o ochronie danych
osobowych, brzmi:
15
Pojęcie administratora bezpieczeństwa informacji w treści art. 36 ust. 3 u.o.d.o. wprowadzone zostało
w drodze nowelizacji z dnia 22 stycznia 2004 r.
16
Art. 60-65 k.c. oświadczenie woli i jego wykładnia oraz art. 82-88 k.c. wady oświadczenia woli.
16
Oświadczenie
Wyrażam zgodę na przetwarzanie moich danych osobowych przez (
tu powinien być
wpisany podmiot, któremu udostępnione zostaną nasze dane osobowe, np. przyszły
pracodawca, uczelnia wyższa, przedsiębiorstwo, z którym nawiązujemy współpracę ect
.)
na zasadach określonych w ustawie z dnia 29 sierpnia 1997 r. o ochronie danych
osobowych (t.j. Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.).
…………………………………
Podpis i data
Dodatkowo może być wpisany cel, w jakim dane osobowe mogą być przetwarzane,
np. do celów rekrutacji, postępowania kwalifikacyjnego i dokumentowania przebiegu prac
Komisji Konkursowej ect.
Osobom wyrażającym zgodę na przetwarzanie ich danych osobowych powinna
być udzielona informacja odnośnie do:
- prawa dostępu do ich danych osobowych, a także możliwości ich poprawiania;
- kontroli przetwarzania danych i sposobu ich zabezpieczenia.
Odbiorca danych – jest to każdy, komu udostępnia się dane osobowe, z wyłączeniem:
a) osoby, której dane dotyczą;
b) osoby upoważnionej do przetwarzania danych;
c) przedstawiciela, o którym mowa w art. 31a;
d) podmiotu, o którym mowa w art. 31;
e) organów państwowych lub organów samorządu terytorialnego, którym dane są
udostępniane w związku z prowadzonym postępowaniem.
Pojęcie odbiorcy danych wprowadzone zostało do u.o.d.o. nowelą z dnia 22 stycznia
2004 r. Definicja zawiera wyłączenie niektórych kategorii osób, w tym osoby, których dane
dotyczą; osoby upoważnione do przetwarzania danych i dopuszczone do przetwarzania
danych na podstawie art. 37; przedstawicieli administratorów danych mających siedzibę na
terytorium państwa trzeciego, a przetwarzających dane przy wykorzystaniu środków
17
technicznych znajdujących się na terytorium Rzeczypospolitej Polskiej, na podstawie art. 31a;
podmioty, które przetwarzają dane na podstawie umowy z administratorem na podstawie art.
31; oraz organy państwowe i organy samorządu terytorialnego, którym dane zostały
udostępnione w związku z prowadzonym przez te organy postępowaniem. Wszystkie
wymienione wyżej podmioty są wyłączone z wypełniania obowiązków określonych
w u.o.d.o., w tym obowiązków związanych z informowaniem osoby, której dane dotyczą,
o podmiotach, którym ich dane osobowe zostały udostępnione, w przypadku gdy nie są
odbiorcami danych. Oznacza to, że w takiej sytuacji administrator danych jest zwolniony
z konieczności informowania osoby, której dane dotyczą, o udostępnieniu jej danych
podmiotom, które nie zostały zaliczone do kategorii odbiorców danych, jak również nie musi
odnotowywać przypadku udostępnienia danych tym podmiotom. Istotne jest, że odbiorca
danych nie oznacza osoby trzeciej.
Państwo trzecie – jest to państwo nienależące do Europejskiego Obszaru
Gospodarczego. Oznacza to, że chodzi o państwa nie będące państwami członkowskimi Unii
Europejskiego ani państwami członkowskimi Europejskiego Obszaru Gospodarczego, które
nie są członkami UE (Norwegia, Islandia i Lichtenstein). Pojęcie państwa trzeciego pojawiło
się w u.o.d.o. w związku z przystąpieniem Rzeczypospolitej Polskiego do Unii Europejskiej.
2.
Organ ochrony danych osobowych
Organem do spraw ochrony danych osobowych jest Generalny Inspektor Ochrony
Danych Osobowych, powoływany przez Sejm Rzeczypospolitej Polskiej, za zgodą Senatu.
Generalny Inspektor Ochrony Danych Osobowych, zwany dalej GIODO, podlega
wyłącznie przepisom ustawy, co daje mu niezawisłość i niezależność względem innych
organów państwowych i samorządowych. GIODO podlega zatem wyłącznie Parlamentowi
RP pod względem zgodności wykonywanych zadań z przepisami u.o.d.o.
Generalny Inspektor pełni swoją kadencję przez cztery lata, które liczone są od daty
złożenia ślubowania. Tekst ślubowania uregulowany jest w art. 9 u.o.d.o.
U.o.d.o. określa bardzo szeroko i zarazem ogólnie kompetencje zadań GIODO
wskazując, iż w zakresie jego kompetencji znajdują się wszelkie sprawy dotyczące ochrony
danych osobowych
17
.
17
Art. 8 ust. 1 u.o.d.o.
18
Maksymalne sprawowanie urzędu może trwać nie dłużej niż przez dwie kadencje.
W u.o.d.o. nie jest określone, czy mają one następować bezpośrednio po sobie.
Innymi niż upływ czasu powodami wygaśnięcia pełnienia obowiązków przez
GIODO może być:
- śmierć osoby pełniącej funkcję Generalnego Inspektora Ochrony Danych Osobowych;
- odwołanie;
- utrata obywatelstwa polskiego.
Pełniąc obowiązki GIODO nie można zajmować innego stanowiska, z wyłączeniem
stanowiska profesora szkoły wyższej, ani też nie można wykonywać innych zajęć
zawodowych. Nadto osoba ta nie może przynależeć do żadnej partii politycznej, związku
zawodowego, jak również nie może prowadzić działalności publicznej, która naruszałaby
godność sprawowanego urzędu.
GIODO objęty jest immunitetem, co oznacza, że pociągnięcie go do
odpowiedzialności karnej, jak również pozbawienie wolności może nastąpić wyłącznie za
zgodą Sejmu. Zatrzymanie lub aresztowanie GIODO może nastąpić wyłącznie w sytuacji
ujęcia go na gorącym uczynku przy jednoczesnej konieczności zatrzymania dla zapewnienia
prawidłowego toku postępowania. W takim przypadku osoba dokonująca zatrzymania winna
niezwłocznie powiadomić Marszałka Sejmu, który może nakazać zwolnienie zatrzymanej
osoby pełniącej funkcje GIODO. Określa się to pojęciem immunitetu formalnego.
Do zadań Generalnego Inspektora należy w szczególności:
1) kontrola zgodności przetwarzania danych z przepisami o ochronie danych osobowych;
2) wydawanie decyzji administracyjnych i rozpatrywanie skarg w sprawach wykonania
przepisów o ochronie danych osobowych;
3) prowadzenie rejestru zbiorów danych oraz udzielanie informacji o zarejestrowanych
zbiorach;
4) opiniowanie projektów ustaw i rozporządzeń dotyczących ochrony danych
osobowych;
5) inicjowanie i podejmowanie przedsięwzięć w zakresie doskonalenia ochrony danych
osobowych;
6) uczestniczenie w pracach międzynarodowych organizacji i instytucji zajmujących się
problematyką ochrony danych osobowych.
Z powyższego wyszczególnienia wynika, że GIODO posiada dość szerokie
kompetencje. Poza kompetencjami przyznanymi w u.o.d.o., GIODO w zakresie kontroli
19
zgodności przetwarzania danych zgodnie z przepisami u.o.d.o. winien dbać o interes
powszechny w zakresie objętym ustawą o ochronie danych osobowych. Istotne jest, że
dbałość ta ma się przejawiać nie tylko w obrębie u.o.d.o., ale dokonywać analizy przepisów
innych aktów prawnych, w szczególności w zakresie zgodności ich treści z normami u.o.d.o.
Jednocześnie kontrola zgodności przetwarzania danych osobowych z obowiązującymi
przepisami powinna być prowadzona z inicjatywy należącej do Generalnego Inspektora, a nie
wyłącznie w wyniku złożonego wniosku czy zawiadomienia. Przy wykonywaniu swoich
obowiązków GIODO nie może wykorzystywać informacji pozyskanych w wyniku kontroli
w żadnym innym celu, aniżeli cele wskazane w u.o.d.o.
W wyniku prowadzonej działalności GIODO posiada uprawnienia do wydawania
decyzji administracyjnych i rozważania skarg w sprawach dotyczących wykonywania
przepisów u.o.d.o. i innych ustaw regulujących tematykę ochrony dóbr osobistych. Przepisy
u.o.d.o. nadające te kompetencje GIODO stanowią lex specialis względem przepisów art.
229-230 kodeksu postępowania administracyjnego, dalej k.p.a.
Wyłącznie kompetencji GIODO, w tym zakresie może być związane wyłącznie wtedy,
gdy zbiór danych zawiera dane objęte tajemnicą państwową w zakresie obronności
i bezpieczeństwa kraju lub ochrony życia, zdrowia ludzi, mienia bądź bezpieczeństwa
i porządku publicznego
18
. Dotyczy to również sytuacji, gdy dane zostaną pozyskane
w
wyniku operacji wykonywanych przez funkcjonariuszy Agencji Bezpieczeństwa
Wewnętrznego, Agencji Wywiadu, Służby Wywiadu Wojskowego, Służby Kontrwywiadu
Wojskowego, Centralnego Biura Antykorupcyjnego
19
.
Generalny Inspektor wykonuje swoje zadania przy pomocy Biura Generalnego
Inspektora Ochrony Danych Osobowych, zwanego dalej Biurem. Biuro działa na podstawie
nadanego mu w drodze rozporządzenia Prezydenta Rzeczypospolitej Polskiej statutu oraz
zgodnie z regulaminem organizacyjnym wprowadzonym w drodze zarządzenia Generalnego
Inspektora Ochrony Danych Osobowych w sprawie wprowadzenia Regulaminu
Organizacyjnego Biura GIODO.
Obowiązki, jakie nakłada na GIODO u.o.d.o., wykonywane są przez upoważnione
osoby pełniące funkcje zastępcy Generalnego Inspektora oraz upoważnionych pracowników
Biura, określanych mianem inspektorów.
18
Art. 43 ust. 1 pkt 1 u.o.d.o.
19
Art. 43 ust. 1 pkt 1a u.o.d.o.
20
Ustawa o ochronie danych osobowych przewiduje uprawnienia zastępcy oraz
inspektorów w przedmiocie wykonywania obowiązków kontroli i dbałości o ochronę danych
osobowych. Uprawnienia inspektorów stanowią odpowiednik obowiązków kierowników
kontrolowanych jednostek czy podmiotów, zatem prawo inspektorów do wejścia na teren
jednostki wiąże się z obowiązkiem osoby odpowiedzialnej tej jednostki do wpuszczenia
inspektora na jej teren. Prawo inspektora do wykonywania czynności kontrolnych, żądania
wyjaśnień, przesłuchiwania osób mających związek z przedmiotem i zakresem kontroli,
dokonywania oględzin, sporządzania kopii dokumentów wiąże się z obowiązkiem
kierowników jednostek oraz podmiotów kontrolowanych umożliwienia i udostępnienia tych
działań inspektorowi, do składania wyjaśnień i przedstawienia wszelkich dokumentów
związanych z przedmiotem i zakresem kontroli. Inspektorzy GIODO mają prawo wstępu do
pomieszczeń, w których przetwarzane są zbiory danych osobowych, jednakże prawo to mogą
realizować po okazaniu imiennego upoważnienia i legitymacji służbowej. Wzór
upoważnienia i legitymacji stanowi załącznik do rozporządzenia Ministra Spraw
Wewnętrznych i Administracji z dnia 22 kwietnia 2004 r. w sprawie wzorów imiennego
upoważnienia i legitymacji służbowej inspektora Biura Generalnego Inspektora Ochrony
Danych Osobowych (Dz. U. z 2004 r. Nr 94, poz. 923), które wydane zostało na podstawie
art. 22a u.o.d.o. Tym samym kierownicy jednostki organizacyjnej, jak również osoba
fizyczna, która jest administratorem danych osobowych, mają obowiązek umożliwić
inspektorowi przeprowadzenie kontroli, w tym wszelkich czynności i żądań, o których mowa
wyżej. Kontrola dokumentów polegająca na dostępie do zbioru zawierającego dane osobowe
winna być przeprowadzana za pośrednictwem upoważnionego przedstawiciela kontrolowanej
jednostki organizacyjnej
20
.
Po dokonaniu czynności kontrolnych inspektor ma obowiązek sporządzić protokół,
którego egzemplarz doręcza się jednostce kontrolowanej. Protokół winien być podpisany
przez inspektora dokonującego kontroli oraz administratora danych, u którego kontrola
została przeprowadzona. Administrator danych ma prawo wniesienia uwag i zastrzeżeń do
protokołu dotyczących czynności kontrolnych. W sytuacji, gdy administrator danych
odmawia złożenia podpisu na protokole, inspektor sporządzający protokół wpisuje o tym
fakcie wzmiankę. Osoba, która odmówiła złożenia podpisu ma prawo w terminie 7 dni wnieść
do GIODO pismo wyjaśniające zdarzenie i uzasadniające swoje stanowisko
21
.
20
Art. 15 ust. 2 u.o.d.o.
21
Art. 16 ust. 3 u.o.d.o.
21
W przypadku stwierdzenia, w wyniku przeprowadzonej kontroli, naruszenia
przepisów o ochronie danych osobowych inspektor występuje do GIODO celem zezwolenia
na zastosowanie środków przewidzianych w ustawie o ochronie danych osobowych. Do
środków takich ustawodawca zaliczył nakazanie przywrócenia stanu zgodnego
z prawem poprzez:
1)
usunięcie uchybień;
2)
uzupełnienie, uaktualnienie, sprostowanie, udostępnienie bądź nieudostępnienie
danych osobowych;
3)
zastosowanie dodatkowych środków zabezpieczających zgromadzone dane
osobowe;
4)
wstrzymywanie przekazywania danych osobowych do państwa trzeciego;
5)
zabezpieczenie danych bądź przekazanie ich innym podmiotom;
6)
usunięcie danych osobowych, w tym anonimizację tych danych.
Zastosowanie wyżej wskazanych środków odbywa się w drodze decyzji
administracyjnej wydawanej przez Generalnego Inspektora. Decyzje GIODO o zastosowaniu
tych środków naprawczych nie mogą ograniczać swobody działania podmiotów zgłaszających
kandydatów lub listy kandydatów w wyborach na urząd Prezydenta Rzeczypospolitej
Polskiej, do Sejmu, do Senatu i do organów samorządu terytorialnego, a także w wyborach do
Parlamentu Europejskiego, pomiędzy dniem zarządzenia wyborów a dniem głosowania.
Również w odniesieniu do danych zebranych w wyniku czynności operacyjno-
rozpoznawczych, dokonywanych przez funkcjonariuszy organów uprawnionych do
wykonywania tych czynności, decyzje GIODO nie mogą nakazywać usunięcia tych danych
osobowych, przy założeniu że czynności te przeprowadzone były zgodnie z obowiązującymi
przepisami prawa.
Jeżeli w wyniku przeprowadzonej kontroli inspektorzy GIODO stwierdzą, iż działanie
lub zaniechanie kierownika jednostki organizacyjnej, osoby fizycznej czy innego podmiotu
będącego administratorem danych wyczerpuje znamiona przestępstwa określonego w u.o.d.o.,
Generalny Inspektor Ochrony Danych Osobowych kieruje zawiadomienie o popełnieniu
przestępstwa do organu zajmującego się ich ściganiem. Wraz z zawiadomieniem GIODO
winien dołączyć dokumenty na poparcie podejrzenia.
Po dokonaniu kontroli administrator danych, u którego była przeprowadzana kontrola,
może zwrócić się do GIODO o ponowne rozpatrzenie sprawy. Wniosek o ponowne
rozpoznanie sprawy musi być złożony w terminie 14 dni od daty doręczenia decyzji. Wynika
22
to z przepisów k.p.a.
22
, zaś zgodnie z treścią art. 22 u.o.d.o. postępowanie w sprawach
uregulowanych przez tę ustawę prowadzone jest według przepisów k.p.a., o ile przepisy
ustawy o ochronie danych osobowych nie stanowią inaczej.
W wyniku ponownego rozpoznania sprawy GIODO wydaje kolejną decyzję, w której
utrzymuje w mocy dotychczasową decyzję lub uchyla ją w części bądź w całości i w tym
zakresie orzeka co do istoty sprawy.
Decyzja Generalnego Inspektora wydana w wyniku ponownego rozpatrzenia sprawy
jest ostateczna, czyli nie przysługuje od niej odwołanie. Można wnieść na te decyzję
wyłącznie skargę do sądu administracyjnego. Uprawnienie do wniesienia skargi do sądu
administracyjnego przysługuje tylko po wniesieniu o ponowne rozpatrzenie sprawy. Skargę
wnosi się w terminie 30 dni od daty doręczenia skarżącemu (administratorowi danych lub
innej stronie sprawy), za pośrednictwem GIODO. Generalny Inspektor ma obowiązek
przekazać skargę wraz z aktami sprawy do właściwego sądu administracyjnego, nie dłużej niż
w terminie 30 dni od daty jej wniesienia. GIODO może sporządzić odpowiedź na skargę.
Może też po wniesieniu skargi w terminie przekazania jej do sądu administracyjnego
uwzględnić skargę w całości
23
.
Od wyroku sądu administracyjnego przysługuje skarga kasacyjna do Naczelnego Sądu
Administracyjnego
24
.
3.
Zasady przetwarzania danych osobowych, zabezpieczenie danych
osobowych, rejestracja zbiorów danych osobowych
Zasady przetwarzania danych osobowych
Administrator danych ma obowiązek stosować się do zasad określonych w u.o.d.o.,
która dopuszcza przetwarzanie danych osobowych wyłącznie w wypadkach wskazanych
w ustawie, w szczególności gdy
25
:
1) osoba, której dane dotyczą, wyrazi wyraźną zgodę na przetwarzanie jej danych
osobowych, poza sytuacją gdy chodzi o usunięcie jej danych;
2) wynika to z konieczności realizowania uprawnienia lub obowiązku wynikających
z przepisów prawa;
22
Art. 129 § 2 k.p.a. w związku z art. 127 § 3 k.p.a.
23
Art. 54 § 3 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U.
z 2002 r. Nr 153, poz. 1270 ze zm.), dalej p.p.s.a.
24
Art. 173 p.p.s.a.
25
Art. 23 ust. 1 u.o.d.o.
23
3) jest to potrzebne do realizacji umowy, a osoba, której dane dotyczą, jest stroną tej
umowy albo jest to niezbędne do wszczęcia czynności wynikających z zamiaru zawarcia
umowy i dzieje się to na żądanie osoby, której dane dotyczą;
4) wiąże się to z koniecznością wykonania określonych przepisami prawa zadań
wykonywanych dla dobra publicznego;
5) jest to nieodzowne dla wypełnienia usprawiedliwionych prawem działań i realizacji
wskazanych prawem celów, przy czym przetwarzanie danych osobowych nie narusza
praw ani wolności osoby, której dane dotyczą. Chodzi tu zwłaszcza o działania
o charakterze marketingu bezpośredniego własnych produktów i usług administratora
danych oraz o przypadki dochodzenia roszczeń związanych z prowadzoną działalnością
gospodarczą.
Zgoda osoby, której dane mają być lub są przetwarzane, może dotyczyć przetwarzania
danych w przyszłości, pod warunkiem jednak, że cel tego przetwarzania nie ulegnie zmianie.
Wyjątkiem dopuszczonym przez przepisy u.o.d.o. w zakresie możliwości
przetwarzania danych osobowych bez zgody osoby, której dane dotyczą, jest przetwarzanie
danych osobowych związane z koniecznością ochrony żywotnych interesów tej osoby, przy
czym udzielenie przez nią zgody jest nie możliwe. Z chwilą, gdy powstaje taka możliwość,
administrator danych musi tę zgodę uzyskać.
Administrator danych osobowych, pozyskując dane osobowe, jest zobowiązany
informować osoby, od których dane pozyskuje, o:
- swojej siedzibie, adresie, pełnej nazwie (osoba fizyczna będąca administratorem danych
informuje odpowiednio o swoim imieniu i nazwisku oraz miejscu zamieszkania);
- celu, w jakim dane są zbierane, w tym również o przewidywanych odbiorcach danych;
- prawie dostępu do danych osobowych osoby. której dane dotyczą. i możliwości ich
edytowania;
- dobrowolności bądź obowiązku podania danych osobowych, w zależności od treści regulacji
prawnej danego przypadku.
Istotne jest, że administrator danych ma obowiązek chronić merytoryczną poprawność
pozyskiwanych danych osobowych. Oznacza to, iż zobowiązany jest czuwać nad ich
poprawnością, kompletnością i aktualnością. Każdorazowo administrator danych musi ocenić
prawdziwość uzyskanych danych osobowych; dotyczy to w szczególności źródła, z jakiego
dane są pozyskiwane. Musi być ono wiarygodne i nieprzypadkowe.
24
W celu ochrony danych osobowych administrator ma obowiązek ustalić zasady
postępowania przy ich zbieraniu, a także w sytuacji powzięcia wątpliwości lub pewności
o nieprawdziwości danych osobowych. Jeśli zbiór danych osobowych jest udostępniany przez
administratora danych innym administratorom, musi on niezwłocznie przekazywać im
informacje w zakresie aktualizacji czy zmiany danych osobowych. Przy tych wszystkich
czynnościach pomocne są programy komputerowe – tu również administratora danych
obciąża obowiązek odpowiedniego ich stosowania i każdorazowo zapewnienia
bezpieczeństwa przetwarzanych danych.
Na administratorze danych spoczywa obowiązek zachowania szczególnej staranności
w zakresie ochrony danych i interesów osób, których dane są przetwarzane. Dlatego powinien
zadbać o przetwarzanie danych osobowych zgodnie z prawem, zbieranie danych w konkretnie
określonych celach i nieprzekazywanie ich w celu dalszego przetwarzania wykraczającego
poza te cele, sprawdzać poprawność i kompletność danych, przechowywać dane w sposób
umożliwiający korzystanie z nich w celach określonych, przez czas niezbędny do tego celu,
ale nie dłuższy, oraz usunięcie danych osobowych zgodnie z prawem.
Zabezpieczenie danych osobowych
Przetwarzając dane osobowe, administrator tych zbiorów ma obowiązek odpowiednio
je zabezpieczyć. Oznacza to, że ma stosować takie środki techniczne i organizacyjne, które
zapewnią odpowiednią ochronę przetwarzanych danych – dotyczy to w szczególności
zabezpieczenia przez nieuprawnionym dostępem osób niepowołanych czy „wyciekiem”
danych, to jest utratą lub uszkodzeniem, a nawet zniszczeniem danych osobowych
znajdujących się w zbiorach administratora danych.
W tym celu administrator, zgodnie z ustawą:
- prowadzi dokumentację opisującą sposoby przetwarzania danych osobowych oraz ich
zabezpieczenia;
- wyznacza administratora bezpieczeństwa informacji (czasem jest nim sam administrator
danych), którego zadaniem jest nadzór nad przestrzeganiem ustalonych zasad ochrony
zbiorów;
- upoważnia osoby uprawnione do przetwarzania danych będących w jego zbiorach
i prowadzi imienną listę tych osób;
- zapewnia kontrolę przetwarzania danych osobowych, zwłaszcza w zakresie, jakie dane
osobowe, w jakim czasie i przez jaką osobę zostały wprowadzone, zmienione lub usunięte,
a także komu dalej zostały przekazane.
25
Dla usystematyzowania i zapewnienia spójności sposobów ochrony danych
osobowych, środki bezpieczeństwa, sposoby prowadzenia dokumentacji przetwarzania
danych, a także jej zakres, warunki techniczne i organizacyjne, jakimi powinny
charakteryzować się urządzenia i systemy informatyczne zapewniające bezpieczeństwo
zbiorów danych, określa rozporządzenie Ministra Spraw Wewnętrznych i Administracji
z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz
warunków technicznych i organizacyjnych, jakimi powinny odpowiadać urządzenia i systemy
informatyczne służące do przetwarzania danych osobowych.
Rozporządzenie to określa dokładny i prawidłowy:
1) sposób prowadzenia i zakres dokumentacji opisującej sposób przetwarzania danych
osobowych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych
danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną;
2) podstawowe warunki techniczne i organizacyjne, jakim powinny odpowiadać urządzenia
i systemy informatyczne służące do przetwarzania danych osobowych;
3) wymagania w zakresie odnotowywania udostępniania danych osobowych i bezpieczeństwa
przetwarzania danych osobowych.
Ponadto rozporządzenie definiuje szereg pojęć używanych w zabezpieczaniu
danych osobowych, na potrzeby tego aktu wykonawczego, m.in.:
identyfikator użytkownika – jest to ciąg znaków literowych, cyfrowych lub innych, który
w sposób jednoznaczny identyfikuje osobę upoważnioną do przetwarzania danych osobowych
w systemie informatycznym;
hasło – to ciąg znaków literowych, cyfrowych lub innych, jakie powinny być znane
wyłącznie jednej osobie posiadającej uprawnienie do pracy w systemie informatycznym;
oznacza to, że każda osoba uprawniona winna posługiwać się odrębnym, znanym tylko sobie
hasłem;
teletransmisja danych – to operacja przesyłania informacji przy pomocy sieci
telekomunikacyjnej;
sieć telekomunikacyjna – to sieć telekomunikacyjna w rozumieniu art. 2 pkt 35 ustawy
z dnia 16 lipca 2004 r. – Prawo telekomunikacyjne (Dz. U. z 2004 r. Nr 171, poz. 1800 ze
zm.) w brzmieniu: „sieć telekomunikacyjna – systemy transmisyjne oraz urządzenia
komutacyjne lub przekierowujące, a także inne zasoby, które umożliwiają nadawanie, odbiór
lub transmisję sygnałów za pomocą przewodów, fal radiowych, optycznych lub innych
środków wykorzystujących energię elektromagnetyczną, niezależnie od ich rodzaju”.
26
Wracając do wspomnianego rozporządzenia wykonawczego do u.o.d.o., dokumentację
z zakresu ochrony danych osobowych prowadzi się w sposób pisemny z zachowaniem
polityki bezpieczeństwa i zgodnie z instrukcją zarządzania systemem informatycznym służącą
do przetwarzania danych osobowych, zwaną „instrukcją”. Polityka bezpieczeństwa oraz
instrukcja są wdrażane przez administratora danych i to na nim spoczywa obowiązek
sporządzenia ich zgodnie z obowiązującymi przepisami u.o.d.o. oraz jej przepisów
wykonawczych. Szczegóły dotyczące tego, co składa się na te dokumenty, reguluje
rozporządzenie w sprawie dokumentacji przetwarzania danych osobowych oraz warunków
technicznych i organizacyjnych, jakimi powinny odpowiadać urządzenia i systemy
informatyczne służące do przetwarzania danych osobowych.
Wobec różnorodności przetwarzanych danych, a co za tym idzie – różnych zagrożeń,
przewidziane są trzy poziomy bezpieczeństwa przetwarzania danych osobowych
w systemie informatycznym:
1) podstawowy;
2) podwyższony;
3) wysoki.
Poziom podstawowy stosuje się, gdy:
1) w systemie informatycznym nie są przetwarzane dane wrażliwe, o których mowa w art. 27
u.o.d.o., a także gdy
2) żadne z urządzeń systemu informatycznego, służącego do przetwarzania danych
osobowych, nie jest połączone z siecią publiczną.
Poziom podwyższony stosuje się, gdy:
1) w systemie informatycznym przetwarzane są dane osobowe wrażliwe, o których mowa
w art. 27 u.o.d.o., a także gdy
2) żadne z urządzeń systemu informatycznego, służącego do przetwarzania danych
osobowych nie jest połączone z siecią publiczną.
Poziom wysoki stosuje się, gdy przynajmniej jedno urządzenie systemu
informatycznego, służącego do przetwarzania danych osobowych, połączone jest z siecią
publiczną.
27
Rejestracja zbiorów danych osobowych
Administrator danych osobowych ma obowiązek zgłoszenia zbioru danych do
rejestracji GIODO. Zgłoszenie takie powinno obejmować:
1) wniosek o wpisanie zbioru do rejestru zbiorów danych osobowych;
2) oznaczenie podmiotu prowadzącego zbiór i adres jego siedziby lub miejsca zamieszkania,
w tym – jeżeli posiada – numer identyfikacyjny rejestru podmiotów gospodarki narodowej
oraz podstawę prawną upoważniającą do prowadzenia zbioru, a gdy chodzi o podmiot
mający siedzibę lub miejsce zamieszkania w państwie trzecim – oznaczenie jego
przedstawiciela w Rzeczypospolitej Polskiej wraz z adresem jego siedziby lub miejsce
zamieszkania;
3) cel przetwarzania danych osobowych;
4) opis kategorii osób, których dane dotyczą, a także zakres przetwarzanych danych;
5) sposób pozyskiwania i udostępniania danych;
6) informację o odbiorcach lub kategoriach odbiorców, którym dane mogą być
przekazywane;
7) opis środków technicznych i organizacyjnych zastosowanych w celach zabezpieczenia
danych osobowych, o których mowa w art. 36-39 u.o.d.o.;
8) informację o sposobie wypełnienia warunków technicznych i organizacyjnych, o których
mowa w art. 39a u.o.d.o.;
9) informację dotyczącą ewentualnego przekazywania danych do państwa trzeciego.
Każda zmiana informacji w zbiorze danych osobowych powinna być zgłaszana do
GIODO w terminie 30 dni od dnia jej dokonania. Tryb zgłaszania zmian jest analogiczny jak
rejestracja zbioru.
Ustawa o ochronie danych osobowych przewiduje wyjątki od obowiązku rejestracji
zbioru danych. Wynika to ze specyfiki przetwarzania danych osobowych, bowiem zbiorem
danych osobowych jest między innymi kalendarz z telefonami i adresami naszych znajomych.
Byłoby utrudnieniem i niepotrzebną drobiazgowością, gdyby ustawodawca zadecydował
również o obowiązku rejestracji takich danych przez wszystkie osoby posługujące się tego
rodzaju zbiorami danych.
28
Stąd z obowiązku rejestracji zwolnione zostały osoby będące administratorami
danych
26
:
− objętych tajemnicą państwową ze względu na obronność lub bezpieczeństwo państwa,
ochronę życia i zdrowia ludzi, mienia lub bezpieczeństwa i porządku publicznego;
− które zostały uzyskane w wyniku czynności operacyjno-rozpoznawczych przez
funkcjonariuszy organów uprawnionych do tych czynności;
− przetwarzanych przez właściwe organy dla potrzeb postępowania sądowego oraz na
podstawie przepisów o Krajowym Rejestrze Karnym;
− przetwarzanych przez Generalnego Inspektora Informacji Finansowej;
− przetwarzanych przez właściwe organy na potrzeby udziału Rzeczypospolitej Polskiej
w Systemie Informacyjnym Schengen oraz Wizowym Systemie Informacyjnym;
− dotyczących osób należących do kościoła lub innego związku wyznaniowego,
o uregulowanej sytuacji prawnej, przetwarzanych na potrzeby tego kościoła lub związku
wyznaniowego;
− przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie
umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się;
− dotyczących osób korzystających z ich usług medycznych, obsługi notarialnej,
adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego
rewidenta;
− tworzonych na podstawie przepisów dotyczących wyborów do Sejmu, Senatu, Parlamentu
Europejskiego, rad gmin, rad powiatów i sejmików województw, wyborów na urząd
Prezydenta Rzeczypospolitej Polskiej, na wójta, burmistrza, prezydenta miasta oraz
dotyczących referendum ogólnokrajowego i referendum lokalnego;
− dotyczących osób pozbawionych wolności na podstawie ustawy, w zakresie niezbędnym
do wykonania tymczasowego aresztowania lub kary pozbawienia wolności;
− przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia
sprawozdawczości finansowej;
− powszechnie dostępnych;
− przetwarzanych w celu przygotowania rozprawy wymaganej do uzyskania dyplomu
ukończenia szkoły wyższej lub stopnia naukowego;
− przetwarzanych w zakresie drobnych bieżących spraw życia codziennego.
26
Art. 43 ust. 1 u.o.d.o.
29
Generalny Inspektor Ochrony Danych Osobowych prowadzi ogólnokrajowy rejestr
zbiorów danych osobowych. Rejestr ten jest jawny i dostępny dla każdego. Administrator
danych ma prawo żądać wydania mu zaświadczenia o fakcie zarejestrowania zbioru danych
osobowych. Zaświadczenie takie powinno zostać wydane niezwłocznie po dokonaniu
rejestracji zbioru.
Jeżeli wniosek o rejestrację zbioru nie spełnia wymagań określonych w przepisach
u.o.d.o., w szczególności art. 41 ust 1, lub przetwarzanie danych osobowych naruszałoby
zasady określone w przepisach art. 23-30 u.o.d.o., a także jeżeli urządzania i systemy
informatyczne mające służyć przetwarzaniu danych osobowych nie spełniają wymagań
określonych w ustawie i aktach wykonawczych do niej, GIODO ma prawo odmówić
rejestracji
27
. W sytuacji odmowy rejestracji administrator danych powinien szczegółowo
prześledzić warunki planowanego przetwarzania i ochrony danych osobowych, usunąć
nieprawidłowości i zgłosić wniosek ponownie.
W przypadku prawidłowego zgłoszenia wniosku administrator danych może
rozpocząć działania w zakresie przetwarzania danych po zgłoszeniu lub zarejestrowaniu
zbioru. W sytuacji odmowy rejestracji, przy wniesieniu ponownego wniosku przetwarzanie
danych można rozpocząć od chwili ponownego zgłoszenia wniosku o rejestrację zbioru.
Generalny Inspektor może wykreślić zbiór z rejestru. Odbywa się to w drodze decyzji
administracyjnej Inspektora, w sytuacji gdy zaprzestano przetwarzania danych osobowych lub
rejestracja została dokonana z naruszeniem obowiązujących przepisów prawa.
4.
Odpowiedzialność karna
Ustawa o ochronie danych osobowych zawiera również przepisy dotyczące
odpowiedzialności karnej. Są one uważane za jedne z bardziej restrykcyjnych. Stanowią
występki
28
, co oznacza, że mogą zostać popełnione umyślnie oraz nieumyślnie. Należy
pamiętać, że nieznajomość prawa nie zwalnia od odpowiedzialności. Przestępstwa
uwzględnione w u.o.d.o. nie wyczerpują całego katalogu naruszeń związanych z ochroną
danych osobowych. Zawierają katalog najbardziej charakterystycznych przestępstw ściganych
z urzędu, a wiążących się ze złamaniem przepisów u.o.d.o. Specyfiką przestępstw
wymienionych w u.o.d.o. jest to, że nie tylko osoba, która dopuściła się naruszeń, zostanie
27
Art. 44 u.o.d.o.
28
Art. 7 ustawy z dnia 6 czerwca 1997 r. Kodeks karny (Dz. U. z 1997 r. Nr 88, poz. 553 ze zm.); przepis ten
dzieli przestępstwa na zbrodnie i występki. Występkiem jest czyn zabroniony zagrożony karą grzywny powyżej
30 stawek dziennych, karą ograniczenia wolności albo karą pozbawienia wolności przekraczającą miesiąc.
30
skazana, ale do odpowiedzialności może zostać pociągnięty także podmiot, w którym
pracowała lub na rzecz którego świadczyła usługi. Roszczenia, jakie może skierować
poszkodowany wobec tego podmiotu, to odszkodowanie za dokonane przestępstwo oraz
zadośćuczynienie za doznane krzywdy. Dodatkowym obciążeniem przy przestępstwach
uregulowanych w u.o.d.o. jest fakt otrzymywania korzyści finansowych związanych z owym
naruszeniem.
Zgodnie z przepisami u.o.d.o. przestępstwem jest:
9 przetwarzanie w zbiorze danych osobowych, w sytuacji gdy ich przetwarzanie nie jest
dopuszczalne lub podmiot je przetwarzający nie posiada stosownego upoważnienia (art.
49 u.o.d.o.);
9 administrowanie danymi osobowymi niezgodnie z celem utworzenia zbioru, a także
niezgodne z nim przechowywanie tych danych (art. 50 u.o.d.o.);
9 udostępnienie lub umożliwienie dostępu do danych osobowych przez administratora
danych i osoby przez niego upoważnione do ochrony zbiorów danych osobom
nieupoważnionym (art. 51 u.o.d.o.);
9 umyślnie i nieumyślne naruszenie obowiązku odpowiedniego zabezpieczenia danych
przed ich zabraniem przez osoby nieupoważnione, a także przed uszkodzeniem lub
zniszczeniem (art. 52 u.o.d.o.);
9 zaniechanie obowiązku zgłoszenia do rejestracji zbioru danych (art. 53 u.o.d.o.);
9 zaniechanie obowiązku informacyjnego względem osoby, której dane dotyczą, a także
nieprzekazywanie jej informacji o prawach przyznanych jej przez ustawę o ochronie
danych osobowych (art. 54 u.o.d.o.).
5.
Ochrona danych osobowych z uwzględnieniem specyfiki przykładowo
wskazanych stanowisk:
Przetwarzaniem danych osobowych jest wykonywanie wszelkich operacji na
danych osobowych, w tym między innymi:
- zbieranie;
- utrwalanie;
- przechowywanie;
- edytowanie i opracowywanie;
- udostępnianie;
31
- usuwanie.
Zgodnie z przepisami u.o.d.o., przetwarzanie danych osobowych dopuszczalne
jest w przypadku, gdy:
a) osoba, której dane dotyczą, wyrazi na to zgodę;
b) jest to niezbędne dla realizacji uprawnień lub wykonania obowiązku nałożonego przez
obowiązujące przepisy prawa;
c) jest to niezbędne dla wykonania przedmiotu umowy, przy czym osoba, której dane
dotyczą, jest stroną tej umowy, a także wtedy, gdy jest to konieczne dla zawarcia umowy
na żądanie osoby, której dane dotyczą;
d) jest to potrzebne do realizacji określonych przepisami prawa zadań mających na celu
dobro publiczne;
e) jest to nieodzowne dla spełnienia prawnie usprawiedliwionych celów wykonywanych
przez administratorów danych lub odbiorców danych, co jednocześnie nie narusza ani
praw, ani wolności osoby, której dane dotyczą.
Przedsiębiorca czy pracodawca mogą przetwarzać dane, co do których uzyskali zgodę
osoby, której dane dotyczą, ale też mogą przetwarzać niektóre dane osobowe na podstawie
innych przepisów. Chodzi tu o przepisy prawa pracy nakładające obowiązek sporządzania
określonych dokumentów przez pracodawców (umowa o pracę, akta pracownicze,
świadectwo pracy), do czego niezbędne jest przetwarzanie danych osobowych.
Danymi, które może pracodawca przetwarzać bez wyrażenia woli czy zgody
osoby, której dotyczą, są:
- imię, nazwisko;
- imiona rodziców;
- data urodzenia;
- miejsce zamieszkania lub adres korespondencyjny;
- wykształcenie;
- przebieg dotychczasowego zatrudnienia.
Pracodawca ma także możliwość domagania się podania przez pracownika takich danych jak
numer PESEL, imion i nazwisk dzieci pracownika, stanu zdrowia (nie dotyczy to
32
stwierdzenia ciąży), warunków rodzinnych i mieszkaniowych, w sytuacji gdy dane te
potrzebne są do udostępnienia pracownikowi dodatkowych świadczeń socjalnych.
Ważne jest, iż do przetwarzania danych osobowych, w szczególności służb
kadrowych, personalnych, administracyjnych i innych stanowisk mających dostęp do danych
osobowych i przetwarzających te dane w przedsiębiorstwie, dostęp mają wyłącznie osoby
upoważnione imiennie przez administratora danych. Powinno to znaleźć odzwierciedlenie
w zakresie obowiązków poszczególnych pracowników. Jednocześnie osoby nieupoważnione
do przetwarzania danych osobowych powinny mieć do nich dostęp w stopniu minimalnym
i w zakresie nie naruszającym przepisów u.o.d.o oraz innych regulacji zawierających przepisy
chroniące dane osobowe. Oznacza to, że osoby zajmujące się sprawami personalnymi
powinny mieć to wyraźnie określone w zakresie obowiązków i upoważnienie do
przetwarzania danych osobowych winno obejmować wyłącznie dane konieczne do realizacji
tych obowiązków. Analogicznie pracownicy działu płac powinni mieć odpowiednio
skonstruowany zakres obowiązków, z którego winno wynikać upoważnienie do przetwarzania
danych płacowych pracowników. W różnych przedsiębiorstwach, u różnych pracodawców
będzie to wyglądało inaczej. Każdorazowo trzeba rozważyć strukturę zatrudnienia
i odznaczyć, ile osób może mieć upoważnienie do przetwarzania danych osobowych, jakie
dane będą wchodziły w ten zakres i jak dane osobowe zostaną zabezpieczone przed
nieuprawnionych ich przetwarzaniem.
Warto dodać, że upoważnienie do przetwarzania danych administrator danych musi
udzielić w formie pisemnej; może być to ujęte w regulaminie pracy. Kopię upoważnienia
powinno się umieścić w aktach osobowych pracownika. Upoważnienie może mieć dowolną
formę i treść, ważne, aby zawierało imię, nazwisko upoważnionego pracownika, zakres
upoważnienia, datę nadania mu uprawnień do przetwarzania danych osobowych oraz
zobowiązanie pracownika do zachowania w tajemnicy danych i sposobów ich zabezpieczenia.
Odrębnie pracodawca ma obowiązek posiadać listę pracowników upoważnionych do
przetwarzania danych osobowych, a w sytuacji, gdy ich zakresy są różne, z uwzględnieniem
tych różnic.
a) Specjalista do spraw personalnych
Specjalista do spraw personalnych najczęściej zajmuje się rekrutacją i prowadzeniem
dokumentacji pracowniczej. Rzadziej, w mniejszych zakładach pracy zajmuje się również
sporządzaniem dokumentacji płacowej.
33
W tym zakresie pracodawca – administrator danych winien upoważnić odpowiednich
pracowników zajmujących się sprawami personalnymi, z uwzględnieniem zakresu ich
obowiązków i zakresu przetwarzanych przez nich danych osobowych.
Warto dodać, że dane osobowe pracowników, w tym dane dotyczące ich
wynagrodzenia, stanowią tajemnicę służbową i podlegają ochronie.
Sąd Najwyższy w uchwale z dnia 16 lipca 1993 r., sygn. akt I PZP 28/93,
publikowanej w zbiorach Orzecznictwa Sądu Najwyższego Izba Pracy z 1994 r., z. 1, poz. 2,
wskazał, iż ujawnienie przez pracodawcę wysokości wynagrodzenia pracownika, bez jego
zgody może stanowić naruszenie dóbr osobistych tego pracownika. Pracodawca może bez
zgody pracownika przekazywać jedynie informacje dotyczących ogólnych zasad
wynagradzania, bez wskazywania cech indywidualnych tego wynagrodzenia. Wysokość
indywidualnych poborów stanowi sferę prywatności. Ujawnienie wysokości zarobków
stanowi naruszenie dóbr osobistych, nie zaś danych osobowych.
Oznacza to, że administrator danych, a także osoba przez niego upoważniona nie ma
prawa podawać do ogólnej wiadomości pracowników kwot indywidualnie przyznanych
premii, nagród czy innych składników wynagrodzenia, jak również zindywidualizowanych
wysokości poszczególnych wynagrodzeń pracowników. Ogólnie znane powinny być
wyłącznie zasady naliczania wynagrodzeń.
W odniesieniu do danych osobowych przetwarzanych przez pracodawców należy wskazać, iż
osoby upoważnione do ich przetwarzania, w szczególności specjalista do spraw
personalnych, powinny mieć świadomość, że:
1. dane osobowe objęte są tajemnicą służbową i muszą być odpowiednio zabezpieczone;
2. dostęp do danych osobowych mają wyłącznie osoby upoważnione przez pracodawcę;
niedopuszczalne jest pozostawianie akt pracowniczych czy innej dokumentacji
zawierającej dane osobowe bez nadzoru, czy to w postaci dokumentów pozostawionych
swobodnie na biurku, czy też dokumentacji niezabezpieczonej w komputerze;
3. pracownicy mają obowiązek podania danych osobowych wymienionych przez przepisy
kodeksu pracy, a pracodawca i pracownik przez niego upoważniony zajmujący się
sprawami personalnymi może dane te przetwarzać nawet bez zgody pracownika;
4. ujawnianie, nienależyte zabezpieczanie danych osobowych stanowi przestępstwo
w rozumieniu u.o.d.o. i podlega ściganiu.
34
Z drugiej strony, pracodawca powinien informować pracowników o konsekwencjach
podawania niekompletnych lub nieprawdziwych danych osobowych.
Pracownik, który zatai prawdziwe dane osobowe, naraża się na odpowiedzialność. Ma
to miejsce zwłaszcza, jeśli zatajenie danych powoduje utrudnienie lub uniemożliwienie
wykonywania przez pracodawcę, w tym służby personalne, obowiązków wynikających
z przepisów prawa. Chodzi tu w szczególności o obowiązki płatnika składek ZUS czy kwestie
podatkowe związane z wynagrodzeniem za pracę; także jeśli zatajenie danych wiąże się
z chęcią pozyskania korzyści majątkowych czy to z funduszu świadczeń socjalnych, czy też
innych świadczeń.
b) Asystent zarządu
Ten zawód nie ma schematu i każdorazowo może oznaczać inne obowiązki i wymagać
innych kompetencji. Asystent zarządu styka się z różnorodnymi dokumentami czy zbiorami
zawierającymi dane osobowe. Każdorazowo wynika to ze specyfiki podmiotu zatrudniającego
asystenta zarządu i powinno mieć odzwierciedlenie w zakresie obowiązków tego pracownika
oraz w upoważnieniu do przetwarzania przez niego danych osobowych w określonym
zakresie. Warto pamiętać, że asystent zarządu może mieć dostęp do dokumentacji kadrowej,
płacowej oraz do zbiorów danych osobowych kontrahentów pracodawcy. To wszystko
powinno być szczegółowo uregulowane na piśmie.
Jednocześnie pracodawca powinien szczególnie wyczulić asystenta zarządu na
konieczność dbałości o ochronę danych osobowych przetwarzanych w firmie oraz
odpowiedniego ich zabezpieczania. Asystent zarządu to zwykle stanowisko wymagające
dużej dynamiki i narażające pracownika niejednokrotnie na silny stres związany
z nieprzewidywalnością niektórych sytuacji. Zawsze jednak asystent zarządu winien dbać
o odpowiednią ochronę danych osobowych i ich zabezpieczenie. Niedopuszczalne jest
pozostawianie zbiorów danych – czy to w postaci kartotek, czy dokumentów przeznaczonych
do podpisu przez zarząd, czy też zbiorów informatycznych – niezabezpieczonych
i narażonych na nieuprawnione ich przetwarzanie.
Przykładem sytuacji wymagającej znajomości przepisów u.o.d.o. jest wysyłka listów
do kontrahentów czy potencjalnych współpracowników, a nawet wspólników czy
akcjonariuszy administratora danych. Często zdarza się, że na kopertach umieszczane jest
logo lub znak charakteryzujący się cechami reklamy nadawcy. GIODO wydał decyzję,
w której uznał przesyłanie kopert zawierających nadruk o charakterze reklamy wyłącznie,
35
jeśli adresat wyraził zgodę na otrzymywanie materiałów reklamowych od tego konkretnego
nadawcy
29
.
Podobnie jest w przypadku wysyłki materiałów informacyjnych i promocyjnych drogą
elektroniczną. Należy pamiętać o obowiązku wyrażenia zgody na otrzymywanie tą drogą
przesyłek. Do czasu zajęcia się przez GIODO tą kwestią panowała samowola i większość
nadawców nie pytała adresatów o zgodę i możliwość wysyłki materiałów. Od kilka lat
sytuacja jest unormowana prawnie i podlega ochronie GIODO.
Kolejnym istotnym zagadnieniem, z którym może zetknąć się asystent zarządu, są
kwestie przetwarzania danych osobowych dłużników administratora danych. Ważne, żeby
wiedzieć, że w przypadku posiadania roszczeń związanych z prowadzoną działalnością
zarobkową nie jest potrzebna zgoda dłużnika na przetwarzanie jego danych osobowych.
c) Menedżer administracji
Menedżer administracji bywa też określany jako zwierzchnik biura, najczęściej jest
odpowiedzialny za sprawną pracę biur, sekretariatów i zapewnienie odpowiedniej współpracy
i organizacji między tymi placówkami. Szczegółowe zakresy obowiązków mogą znacznie od
siebie odbiegać, są bowiem związane ze specyfiką danego podmiotu, który jest
administratorem danych osobowych.
Najczęściej praca menedżera administracji wiąże się z koordynowaniem przepływu
informacji, regulowaniem korespondencji, a także zapewnieniem należytej współpracy
między poszczególnymi oddziałami czy komórkami pracodawcy. Może on też zajmować się
zaopatrzeniem biurowym oraz kontaktami z kontrahentami oraz być odpowiedzialnym za
kontakt z mediami. Tym bardziej osoba zatrudniona na tym stanowisku powinna mieć
świadomość istnienia u.o.d.o. oraz znać jej treść. Od tego może zależeć dobre imię
pracodawcy, ponadto może to uchronić przed kłopotami wynikającymi z naruszenia
przepisów o ochronie danych osobowych.
Kontrola z GIODO bywa często lekceważona, natomiast podobnie jak inne kontrole
może pojawić się w każdej chwili. Skutki takiej kontroli zależą często od osoby zajmującej
właśnie stanowisko menedżera administracji.
Wśród sytuacji, jakie mogą powodować konieczność sięgnięcia do u.o.d.o., można
wskazać osiągnięcia zespołów zatrudnionych u administratora danych czy jego
29
S. Wikariak, Nadruk to jest reklama, „Rzeczpospolita” z 13 lipca 2005 r., dodatek Prawo co dnia.
36
poszczególnych pracowników. Szczególnie dotyczy to przypadku, gdy pracodawcą jest
uczelnia wyższa czy jednostka zajmująca się opracowywaniem nowych technologii, ale
również gdy pracodawca bierze udział w programach Fair play czy podobnych. Może zdarzyć
się tak, że pracownicy zdobędą wyróżnienie dla zatrudniającej ich jednostki. Czy w takim
przypadku menedżer administracji może zorganizować gablotę ze zdjęciami, nazwiskami tych
pracowników? Czy wolno przygotować miejsce, w którym administrator danych będzie
prezentował osiągnięcia swojej firmy, a przy okazji zamieszczał dane osobowe w postaci
nazwisk i wizerunków pracowników? Przyjęto, iż jest to przywilejem pracodawcy i nie może
podlegać restrykcjom u.o.d.o., bowiem pracownicy stanowią część przedsiębiorstwa
i w czynnościach związanych z wykonywaniem swoich obowiązków w takich sytuacjach jak
wyróżnienia czy zdobyte nagrody dane ich nie wymagają uzyskania zgody i mogą być
przedstawiane, co nie stanowi naruszenia przepisów u.o.d.o.
Menedżerowie administracji często odpowiadają za szkolenia wewnętrzne. Warto
wykorzystać te kompetencje i zorganizować szkolenie dla pracowników, w szczególności
upoważnionych do przetwarzania danych osobowych w przedsiębiorstwie, jak również
zadbać o świadomość pracodawcy i zatrudnionych tam osób w zakresie obowiązków
i uprawnień administratora danych regulowanych w u.o.d.o.
UWAGA !
Omówione wyżej charakterystyki oraz wybrane zagadnienia powiązane
z poszczególnymi stanowiskami mogą się przenikać i być wzajemnie powiązane. Są to
zagadnienia, z jakimi mogą się Państwo zetknąć, wykonując swoje obowiązki, chociaż
nie w każdym przypadku. Specyfika każdej firmy jest inna i inaczej też kształtują się
kompetencje osób zajmujących takie stanowiska. Dlatego proszę traktować powyższe
opisy stanowisk jako porady, a nie wyznaczniki wykonywanych przez Państwa
obowiązków.
37
Część II. OCHRONA INFORMACJI NIEJAWNYCH
1.
Obowiązująca i nowa ustawa o ochronie informacji niejawnych
30
¾ Ustawa o ochronie informacji niejawnych
Dotychczas obowiązująca ustawa o ochronie informacji niejawnych z 22 stycznia 1999 r. była
wielokrotnie zmieniana. W 2005 r. otrzymała tekst jednolity. Trudności w stosowaniu
przepisów ustawy w praktyce oraz zachodzące zmiany spowodowały konieczność
opracowania całkowicie nowego aktu prawnego. Celem nadrzędnym nowej ustawy jest
wprowadzenie jednolitych, spójnych rozwiązań, usuwając tym samym narosłe wątpliwości
interpretacyjne. Zmiana przepisów spowodowana jest również wprowadzeniem do systemu
ochrony informacji niejawnych nowych mechanizmów efektywnościowych, w tym między
innymi zarządzania ryzykiem, a także dostosowaniem ochrony informacji niejawnych do
nowoczesnych technologii i nowych regulacji obowiązujących w Unii Europejskiej oraz
NATO.
Nowa ustawa datowana jest na 5 sierpnia 2010 r. i została już podpisana przez prezydenta
Bronisława Komorowskiego
31
.
Ustawę z 2010 r. charakteryzują nowe rozwiązania:
• - odejście od podziału informacji niejawnych na tajemnicą państwową i służbową;
• - uproszczenie formalnych wykazów informacji niejawnych, w miejsce
jednoznacznego zobowiązania twórców informacji do kierowania się nowymi
definicjami poszczególnych klauzul;
• - zastosowanie modelu znanego z wielu państw Unii Europejskiej, to jest ustanowienie
jednej, zamiast dotychczasowych dwóch krajowych władz bezpieczeństwa w zakresie
informacji niejawnych;
• - wprowadzenie zmian w zasadach regulujących postępowania sprawdzające,
w szczególności rozszerzenie zakresu stosowania k.p.a. oraz rezygnacja
z prowadzenia postępowań wobec osób ubiegających się o dostęp do informacji
30
Podczas przygotowania niniejszego materiału ustawa o ochronie informacji niejawnych z dnia 5 sierpnia
2010 r. nie była jeszcze opublikowana w Dzienniku Ustaw. Ustawa ma obowiązywać w terminie 3 miesięcy od
daty jej publikacji.
31
Prezydent RP Bronisław Komorowski podpisał ustawę w dniu 30 sierpnia 2010 r., źródło:
http://www.prezydent.pl/aktualnosci/ustawy/podpisane/art,3,sierpien-2010-r-.html
38
niejawnych o klauzuli „zastrzeżone”, a także wprowadzenie terminu zawitego przy
kontrolnych postępowaniach sprawdzających;
• - wprowadzenie stosowania zarządzania ryzykiem przy formułowaniu wymogów
bezpieczeństwa fizycznego i teleinformatycznego, co stanowi przygotowanie do
prezydencji naszego kraju w Unii Europejskiej;
• - odejście od ścisłej kontroli obiegu dokumentów o niższych klauzulach,
w szczególności klauzuli „zastrzeżone”, co stanowi analogię do rozwiązań panujących
w UE oraz większości państw członkowskich;
• - wprowadzenie okresowego przeglądu dokumentów niejawnych celem ustalenia, czy
informacje te nadal spełniają ustawowe przesłanki, które były podstawą nadania im
klauzuli tajności.
2.
Podstawowe pojęcia – terminologia ustawy z 1999 r. oraz ustawy z
2010 r.
Podstawowe definicje i pojęcia wynikające z przepisów Ustawy z dnia 22 stycznia 1999 r.
o ochronie informacji niejawnych (art. 2 u.o.i.n. z 1999 r. według brzmienia na dzień
31 marca 2010 r.):
1) tajemnicą państwową jest informacja określona w wykazie rodzajów informacji,
stanowiącym załącznik nr 1, której nieuprawnione ujawnienie może spowodować istotne
zagrożenie dla podstawowych interesów Rzeczypospolitej Polskiej dotyczących porządku
publicznego, obronności, bezpieczeństwa, stosunków międzynarodowych lub
gospodarczych państwa;
2) tajemnicą służbową jest informacja niejawna niebędąca tajemnicą państwową, uzyskana
w związku z czynnościami służbowymi albo wykonywaniem prac zleconych, której
nieuprawnione ujawnienie mogłoby narazić na szkodę interes państwa, interes publiczny lub
prawnie chroniony interes obywateli albo jednostki organizacyjnej;
3) służbami ochrony państwa są Agencja Bezpieczeństwa Wewnętrznego i Służba
Kontrwywiadu Wojskowego;
4) rękojmia zachowania tajemnicy oznacza spełnienie ustawowych wymogów dla
zapewnienia ochrony informacji niejawnych przed ich nieuprawnionym ujawnieniem;
5) dokumentem jest każda utrwalona informacja niejawna, w szczególności na piśmie,
mikrofilmach, negatywach i fotografiach, na taśmach elektromagnetycznych, także w formie
39
mapy, wykresu, rysunku, obrazu, grafiki, fotografii, broszury, książki, kopii, odpisu, wypisu,
wyciągu i tłumaczenia dokumentu, zbędnego lub wadliwego wydruku, odbitki, kliszy, matrycy,
kalki, taśmy atramentowej, jak również informacja niejawna utrwalona na informatycznych
nośnikach danych;
6) materiałem jest dokument, jak też chroniony jako informacja niejawna przedmiot lub
dowolna jego część, a zwłaszcza urządzenie, wyposażenie lub broń wyprodukowana albo
będąca w trakcie produkcji, a także składnik użyty do ich wytworzenia;
7) jednostką organizacyjną jest podmiot wymieniony w art. 1 ust. 2. to jest:
1) organy władzy publicznej;
2) Siły Zbrojne Rzeczypospolitej Polskiej i ich jednostek organizacyjnych, a także
inne jednostki organizacyjne podległe Ministrowi Obrony Narodowej lub przez
niego nadzorowane;
3) Narodowy Bank Polski i banki państwowe;
4) państwowe osoby prawne i inne niż wymienione w pkt 1-3 państwowe jednostki
organizacyjne;
5) przedsiębiorcy, jednostki naukowe lub badawczo-rozwojowe, zamierzające
ubiegać się, ubiegające się o zawarcie lub wykonujące umowy związane z
dostępem do informacji niejawnych albo wykonujące na podstawie przepisów
prawa zadania związane z dostępem do informacji niejawnych;
7a) jednostką naukową jest jednostka naukowa w rozumieniu przepisów o zasadach
finansowania nauki;
8) systemem teleinformatycznym jest system, który tworzą urządzenia, narzędzia, metody
postępowania i procedury stosowane przez wyspecjalizowanych pracowników, w sposób
zapewniający wytwarzanie, przechowywanie, przetwarzanie lub przekazywanie informacji;
9) siecią teleinformatyczną jest organizacyjne i techniczne połączenie systemów
teleinformatycznych;
10) akredytacją bezpieczeństwa teleinformatycznego jest dopuszczenie systemu lub sieci
teleinformatycznej do wytwarzania, przetwarzania, przechowywania lub przekazywania
informacji niejawnych, na zasadach określonych w ustawie;
11) dokumentacją bezpieczeństwa systemu lub sieci informatycznej są Szczególne Wymagania
Bezpieczeństwa oraz Procedury Bezpiecznej Eksploatacji danego systemu lub sieci
teleinformatycznej, sporządzone zgodnie z zasadami określonymi w ustawie.
40
Podstawowe definicje i pojęcia wynikające z przepisów Ustawy z dnia 5 sierpnia 2010 r.
Nowa ustawa z 2010 r., jeszcze nieobowiązująca, zawiera inny słownik definicji
pojęć. Jest on znacznie bardziej rozbudowany względem dotychczas obowiązującego.
Art. 2 precyzuje niektóre z pojęć używanych w u.o.i.n., w tym definicje zawarte w
następujących punktach tego przepisu:
Jednostka organizacyjna to:
1) organ władzy publicznej, w szczególności:
• Sejm i Senat Rzeczypospolitej Polskiej;
• Prezydent Rzeczypospolitej Polskiej;
• organy administracji rządowej;
• organy jednostek samorządu terytorialnego, a także inne podległe im jednostki
organizacyjne lub przez nie nadzorowane;
• sądy i trybunały;
• organy kontroli państwowej i ochrony prawa;
2) jednostki organizacyjne podległe Ministrowi Obrony Narodowej lub przez niego
nadzorowane;
3) Narodowy Bank Polski;
4) państwowe osoby prawne i inne niż wymienione wyżej państwowe jednostki
organizacyjne;
5) jednostki organizacyjne podległe organom władzy publicznej lub nadzorowane przez te
organy;
6) przedsiębiorcy zamierzający ubiegać się albo ubiegający się o zawarcie umów związanych
z dostępem do informacji niejawnych lub wykonujący takie umowy albo wykonujący na
podstawie przepisów prawa zadania związane z dostępem do informacji niejawnych.
Rękojmia zachowania tajemnicy to zdolność osoby do spełnienia ustawowych wymogów
dla zapewnienia ochrony informacji niejawnych przed ich nieuprawnionym ujawnieniem,
stwierdzona w wyniku przeprowadzenia postępowania sprawdzającego.
Dokumentem jest każda utrwalona informacja niejawna.
Materiałem jest dokument lub przedmiot albo dowolna ich część, chronione jako informacja
niejawna, a zwłaszcza urządzenie, wyposażenie lub broń wyprodukowane albo będące
w trakcie produkcji, a także składnik użyty do ich wytworzenia.
Przetwarzaniem informacji niejawnych są wszelkie operacje wykonywane w odniesieniu
do informacji niejawnych i na tych informacjach, w szczególności ich wytwarzanie,
41
modyfikowanie, kopiowanie, klasyfikowanie, gromadzenie, przechowywanie, przekazywanie
lub udostępnianie.
Dotychczasowy brak definicji tego pojęcia powodował konieczność częstego wyliczania
w dotychczasowym brzmieniu u.o.i.n. różnych kategorii czynności wykonywanych wobec
informacji niejawnych.
Systemem teleinformatycznym jest system teleinformatyczny w rozumieniu art. 2 pkt
3 ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz. U. z 2002 r. Nr
144, poz. 1204, ze zm.).
Dokumentem szczególnych wymagań bezpieczeństwa jest systematyczny opis sposobu
zarządzania bezpieczeństwem systemu teleinformatycznego.
Dokumentem procedur bezpiecznej eksploatacji systemu teleinformatycznego jest opis
sposobu i trybu postępowania w sprawach związanych z bezpieczeństwem informacji
niejawnych przetwarzanych w systemie teleinformatycznym oraz zakres odpowiedzialności
użytkowników systemu teleinformatycznego i pracowników mających do niego dostęp.
Dokumentacją bezpieczeństwa systemu teleinformatycznego jest dokument szczególnych
wymagań bezpieczeństwa oraz dokument procedur bezpiecznej eksploatacji systemu
teleinformatycznego, opracowane zgodnie z zasadami określonymi w u.o.i.n.
Akredytacją bezpieczeństwa teleinformatycznego jest dopuszczenie systemu
teleinformatycznego do przetwarzania informacji niejawnych.
Certyfikacją jest proces potwierdzania zdolności urządzenia, narzędzia lub innego środka do
ochrony informacji niejawnych.
Audytem bezpieczeństwa systemu teleinformatycznego jest weryfikacja poprawności
realizacji wymagań i procedur, określonych w dokumentacji bezpieczeństwa systemu
teleinformatycznego.
Przedsiębiorcą jest przedsiębiorca w rozumieniu art. 4 ustawy z dnia 2 lipca 2004 r.
o swobodzie działalności gospodarczej (Dz. U. z 2007 r. Nr 155, poz. 1095, z późn. zm.) lub
każda inna jednostka organizacyjna, niezależnie od formy własności, która w ramach
prowadzonej działalności gospodarczej zamierza realizować lub realizuje związane
z dostępem do informacji niejawnych umowy lub zadania wynikające z przepisów prawa.
U.o.i.n. będzie odnosić się nie tylko do przedsiębiorców, jednostek naukowych i badawczo-
rozwojowych, jak dotychczas, ale także do wszelkich innych jednostek organizacyjnych,
które w ramach prowadzonej działalności gospodarczej realizują umowy lub zadania
związane z dostępem do informacji niejawnych; dotychczasowa definicja pomijała
spółdzielnie i inne jednostki działające na podstawie odrębnych ustaw.
42
Kierownikiem przedsiębiorcy jest członek jednoosobowego zarządu lub innego
jednoosobowego organu zarządzającego, a jeżeli organ jest wieloosobowy – cały organ albo
członek lub członkowie tego organu wyznaczeni co najmniej uchwałą zarządu do pełnienia
funkcji kierownika przedsiębiorcy, z wyłączeniem pełnomocników ustanowionych przez ten
organ lub jednostkę. W przypadku spółki jawnej i spółki cywilnej kierownikiem
przedsiębiorcy są wspólnicy prowadzący sprawy spółki, w przypadku spółki partnerskiej –
wspólnicy prowadzący sprawy spółki albo zarząd, a w odniesieniu do spółki komandytowej
i spółki komandytowo-akcyjnej – komplementariusze prowadzący sprawy spółki.
W
przypadku osoby fizycznej prowadzącej działalność gospodarczą kierownikiem
przedsiębiorcy jest ta osoba; za kierownika przedsiębiorcy uważa się również likwidatora,
a także syndyka lub zarządcę ustanowionego w postępowaniu upadłościowym. Kierownik
przedsiębiorcy jest kierownikiem jednostki organizacyjnej w rozumieniu przepisów ustawy.
Brak definicji tego pojęcia powodował liczne wątpliwości i konieczność formułowania przez
służby ochrony państwa doraźnych interpretacji w postępowaniach bezpieczeństwa
przemysłowego, zwłaszcza w przypadku zarządów wieloosobowych, a także spółek
cywilnych, jawnych, partnerskich, komandytowych oraz przedsiębiorców w stanie upadłości.
Ryzykiem jest kombinacja prawdopodobieństwa wystąpienia zdarzenia niepożądanego i jego
konsekwencji.
Szacowaniem ryzyka jest całościowy proces analizy i oceny ryzyka.
Zarządzanie ryzykiem to skoordynowane działania w zakresie zarządzania
bezpieczeństwem informacji, z uwzględnieniem ryzyka.
Zatrudnieniem jest również odpowiednio powołanie, mianowanie lub wyznaczenie.
Nowa ustawa o ochronie informacji niejawnych zawiera zmiany powodujące
ograniczenie zakresu informacji objętych ochroną, co w konsekwencji zwiększa zakres
informacji publicznej. To zaś wpływa na większą jawność życia publicznego i jego
dostępność. Za regulacjami przyjętymi w Unii Europejskiej oraz większości państw
członkowskich powiększa to w Rzeczypospolitej Polskiej sferę wolności i praw jednostek, co
ma bezpośredni związek z nadchodzącym przewodnictwem Polski w UE
32
.
Ochrona informacji niejawnych nie jest przedmiotem regulacji Unii Europejskiej i nie
jest to konieczność narzucona przez porządek prawny Unii. Konieczność dokonania zmian
32
Prezydencja w UE oznacza sprawowanie przez kolejne 6 miesięcy przewodnictwa nad pracami Rady Unii
Europejskiej. Oznacza to odpowiedzialność za organizację spotkań w UE oraz nadawanie kierunku politycznego
UE, a także odpowiedzialność za rozwój i bezpieczeństwo UE. Polska ma objąć prezydencję 1 lipca 2011 r.
43
i dostosowania polskiego systemu ochrony informacji niejawnych do praktyki i reguł
obowiązujących w instytucjach krajów członkowskich Unii i w niej samej wynika z trudności,
jakie nastręczałoby pozostawienie dotychczas obowiązujących przepisów ustawy o ochronie
informacji niejawnych z 1999 r. Ustawa ta, przygotowana ponad 10 lat temu, choć
wielokrotnie zmieniana, nie jest w stanie sprostać współczesnym wymaganiom. Odstaje od
terminologii i systemów wykorzystywanych w UE i jej krajach członkowskich. To wszystko
spowodowało konieczność przyspieszenia prac legislacyjnych i dało efekt w postaci nowej
ustawy uchwalonej przez Sejm w dniu 5 sierpnia bieżącego roku, a podpisanej przez
Prezydenta Rzeczypospolitej Polskiej w dniu 30 sierpnia.
Nadchodząca prezydencja RP w Radzie UE przy dotychczasowym systemie ochrony
informacji niejawnych spowodowałaby szereg utrudnień, co wiąże się w szczególności
z brakiem elastyczności naszego systemu ochrony oraz rygorystyczną ochroną przewidzianą
nawet dla dokumentów o niskim stopniu tajności. Dla sprawnego działania poszczególnych
grup roboczych, szybkiego przekazywania i bieżącego wykorzystywania informacji
konieczne były zmiany. Ponadto prezydencja wymaga spójności i jasności w systemie
ochrony informacji niejawnych dla zapewnia współpracy państw członkowskich i instytucji
UE w tym okresie. Nowa ustawa dokonuje wielu uproszczeń, wpływ na to ma również
planowane zmniejszenie liczby jednostek organizacyjnych przetwarzających informacje
niejawne. Wprowadzona została zasada, iż ochronie według przepisów nowej u.o.i.n. mają
podlegać wyłącznie te informacje, których ujawnienie przyniosłoby szkody interesom
państwa, zaś postępowanie z informacjami dotyczącymi obywateli i jednostek
organizacyjnych, a objętymi tajemnicami różnego rodzaju, pozostaje uregulowane odrębnymi
aktami prawnymi. Co ważne, rozszerzono możliwość stosowania k.p.a. w postępowaniach
sprawdzających. Dotychczas nie było podstawy prawnej dla pełnego stosowania tych
przepisów. Zmiany spowodują zmniejszenie liczby informacji podlegających konieczności
ochrony, co powinno pozytywnie wpłynąć na oszczędności państwa.
Załączniki:
1) Ustawa o ochronie danych osobowych – tekst obowiązujący na dzień 1 kwietnia 2010
r.
2) Ustawa o ochronie informacji niejawnych – tekst obowiązujący na dzień 31 marca
2010 r.
3) Ustawa o ochronie informacji niejawnych – tekst ustawy z dnia 5 sierpnia 2010 r.
źródło
http://www.iniejawna.pl/przyciski/ustawa.html