Ogólnie o ochronie danych osobowych

Ochrona i bezpieczeństwa danych osobowych oraz informacji niejawnych

Ustawa o ochronie danych osobowych (UODO) została przyjęta w dniu 29 sierpnia 1997 r. Jednakże zgodnie z art. 62 tej ustawy weszła ona w życie dopiero 30 kwietnia 1998 r. Wyjątek stanowią przepisy art. 8 do 11, które weszły w życie po 2 miesiącach od ogłoszenia ustawy oraz art. 55 do 59, które zaczęły obowiązywać po 14 dniach od dnia ogłoszenia ustawy.

Ustawa zawiera uregulowania dla dwóch zagadnień. Z jednej strony prezentuje obowiązki podmiotów wykorzystujących dane osobowe, z drugiej zaś prawa osób, których dane dotyczą.

Zgodnie z art. 1 pkt 1 ustawy o ochronie danych osobowych jest to, iż każdy ma prawo do ochrony dotyczących go danych osobowych. Oznacza to, że każdy obywatel polski, jeśli tego sobie życzy, ma prawo do anonimowości, oraz sam decyduje jakie dane i komu udostępnia. Art. 1 pkt 2 mówi o kwestii przetwarzania danych, może mieć ono miejsce tylko ze względu na dobro publiczne, dobro osoby, której dane dotyczą, lub dobro osób trzecich w zakresie i trybie określonym ustawą.

[Art. 23] Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:

  • osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych,
  • jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa,
  • jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą,
  • jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego,
  • jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.

Ustawy o ochronie danych osobowych nie stosuje się do:

  • osób fizycznych, które przetwarzają dane wyłącznie w celach osobistych lub domowych,
  • podmiotów mających siedzibę lub miejsce zamieszkania w państwie trzecim, wykorzystujących środki techniczne znajdujące się na terytorium Rzeczypospolitej Polskiej wyłącznie do przekazywania danych,
  • z wyjątkiem przepisów art. 14-19 i art. 36 ust. 1, do prasowej działalności dziennikarskiej w rozumieniu ustawy z dnia 26 stycznia 1984 r. – Prawo prasowe (Dz.U Nr 5, poz. 24, z późn. zm.2),
  • działalności literackiej lub artystycznej, chyba że wolność wyrażania swoich poglądów i rozpowszechniania informacji istotnie narusza prawa i wolności osoby, której dane dotyczą.

W rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.

Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań. [Art. 6 UODO]

Art. 27 ustawy dotyczy szczególnych danych osobowych tzw. danych wrażliwych. Ustawodawca wyodrębnił pewne kategorie informacji, szczególnie ważne dla ochrony prywatności każdego człowieka. Informacje te zostały objęte wręcz zakazem przetwarzania.

Zgodnie z ustawą o ochronie danych osobowych, danymi wrażliwymi są informacje:

  • o pochodzeniu rasowym lub etnicznym,
  • o poglądach politycznych, przekonaniach religijnych lub filozoficznych,
  • o przynależności wyznaniowej, partyjnej lub związkowej,
  • o stanie zdrowia,
  • o kodzie genetycznym,
  • o nałogach,
  • o życiu seksualnym,
  • dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym.

Ustawa szeroko też omawia prawa osoby, której dane są przetwarzane. Art. 32 reguluje kompleksowo podstawowe prawa osób, których dane dotyczą. W myśl ustawy każdej osobie przysługuje prawo do kontroli przetwarzania danych, które jej dotyczą, zawartych w zbiorach danych. Osoba, której dane są przetwarzane ma prawo do:

  • uzyskania wyczerpującej informacji, czy taki zbiór istnieje, oraz do ustalenia administratora danych, adresu jego siedziby i pełnej nazwy, a w przypadku gdy administratorem danych jest osoba fizyczna – jej miejsca zamieszkania oraz imienia i nazwiska,
  • uzyskania informacji o celu, zakresie i sposobie przetwarzania danych zawartych w takim zbiorze,
  • uzyskania informacji, od kiedy przetwarza się w zbiorze dane jej dotyczące, oraz podania w powszechnie zrozumiałej formie treści tych danych,
  • uzyskania informacji o źródle, z którego pochodzą dane jej dotyczące, chyba że administrator danych jest zobowiązany do zachowania w tym zakresie tajemnicy państwowej, służbowej lub zawodowej,
  • uzyskania informacji o sposobie udostępniania danych, a w szczególności informacji o odbiorcach lub kategoriach odbiorców, którym dane te są udostępniane,
  • żądania uzupełnienia, uaktualnienia, sprostowania danych osobowych, czasowego lub stałego wstrzymania ich przetwarzania lub ich usunięcia,

Osoba może złożyć wniosek o informację, uzupełnienie, uaktualnienie swoich danych itd. Wniosek o informację można składać nie częściej niż raz na sześć miesięcy, natomiast w pozostałych sprawach (np. o usunięcie danych) nie jest nałożone ograniczenie czasowe. Administrator danych ma obowiązek udzielić informacji wnioskującemu w terminie 30 dni od otrzymania wniosku.

Ustawa porusza także kwestie bezpieczeństwa zbiorów danych osobowych. Przez pojęcie “zbiór danych” należy rozumieć każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępny według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie.

Administrator danych przetwarzanych w systemie informatycznym ma obowiązek kontrolować, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone a także komu są przekazywane.

Zgodnie z art. 37 osoby dopuszczone do danych powinny posiadać wydane przez kierownika jednostki w tym celu upoważnienia, osoby te zobowiązane są także do zachowania tajemnicy. Na administratorze spoczywa obowiązek prowadzenia ewidencji osób dopuszczonych do przetwarzania danych osobowych. Administrator musi także zastosować takie środki techniczne i organizacyjne aby zapewnić bezpieczeństwo danych.

[Art. 26 pkt 1] Administrator danych przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były:

  • przetwarzane zgodnie z prawem,
  • zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami, z zastrzeżeniem ust. 2,
  • merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane,
  • przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania.

W art. 40 ustawa przewiduje obowiązek zgłaszania zbioru danych osobowych do rejestracji Generalnemu Inspektorowi Ochrony danych Osobowych.

Generalny Inspektor Ochrony Danych    Osobowych

Zgodnie z art. 8 Organem do spraw ochrony danych osobowych jest Generalny Inspektor Ochrony Danych Osobowych

Generalny Inspektor Ochrony Danych Osobowych kontroluje zgodność przetwarzania danych z przepisami ustawy, wydaje decyzje administracyjne i rozpatruje skargi w sprawach wykonania przepisów o ochronie danych osobowych, prowadzi rejestr zbiorów danych, opiniuje akty prawne dotyczące ochrony danych osobowych, inicjuje i podejmuje przedsięwzięcia w zakresie doskonalenia ochrony danych osobowych, uczestniczy w pracach międzynarodowych organizacji i instytucji zajmujących się problematyką ochrony danych osobowych (np. Grupy roboczej art. 29).

Jest powoływany na 4-letnią kadencję (liczoną od dnia złożenia przysięgi) przez Sejm RP za zgodą Senatu. W zakresie wykonywania swoich zadań podlega tylko ustawie. Przysługuje mu immunitet.

W celu wykonania swoich zadań ma do pomocy Biuro Generalnego Inspektora Ochrony Danych Osobowych, którego siedziba znajduje się w Warszawie.

Zgłoszenie zbioru danych osobowych powinno zawierać:

  • wniosek o wpisanie zbioru do rejestru zbiorów danych osobowych,
  • określenie podmiotu prowadzącego zbiór, adres jego siedziby lub zamieszkania, podstawę prawną upoważniającą do prowadzenia zbioru,
  • zakres i cel przetwarzania danych,
  • sposób zbierania i udostępniania danych,
  • opis środków technicznych i organizacyjnych zastosowanych do ochrony danych,
  • informację o sposobie wypełnienia wymagań technicznych i organizacyjnych w stosunku do urządzeń i systemów informatycznych służących przetwarzaniu danych osobowych.

Rejestr zbiorów danych spełnia kilka funkcji. Przede wszystkim ułatwia Generalnemu Inspektorowi realizację jego zadań polegających na kontroli  w rejestrze pewnych informacji. Każdy obywatel ma prawo przeglądania rejestru oraz otrzymania zaświadczenia o zarejestrowaniu zbioru danych. Niektóre kategorie zbiorów danych zostały zwolnione z obowiązku rejestracji np. wszystkie podmioty świadczące usługi medyczne, dane wykorzystywane wyłącznie w związku z prowadzoną rachunkowością.

Generalny Inspektor może wydać decyzję o odmowie rejestracji zbioru danych w określonych ustawą przypadkach. Odmowa jednoznaczna jest z nakazem wstrzymania dalszego przetwarzania danych.

W ostatnim rozdziale ustawa o ochronie danych osobowych precyzuje przepisy karne.

W razie stwierdzenia, że działanie lub zaniechanie kierownika jednostki organizacyjnej, jej pracownika lub innej osoby fizycznej będącej administratorem danych wyczerpuje znamiona przestępstwa określonego w ustawie, Generalny Inspektor kieruje do organu powołanego do ścigania przestępstw zawiadomienie o popełnieniu przestępstwa, dołączając dowody dokumentujące podejrzenie.

Administrator danych, w zależności od tego, na jakiej podstawie przechowuje dane, podlega karze grzywny, ograniczenia wolności albo pozbawienia wolności.

Za udostępnienie lub umożliwienie dostępu do danych osobom nie upoważnionym grozi kara grzywny, ograniczenia lub pozbawienia wolności do lat dwóch. Jeżeli był to czyn nieumyślny, kara jest analogiczna jak poprzednio, jednakże do roku czasu. Takiej samej karze podlega administrator danych naruszający, choćby nieumyślnie, obowiązek zabezpieczenia danych przed ich zabraniem, uszkodzeniem lub zniszczeniem przez osobę nie upoważnioną.

Nie zgłoszenie do rejestracji zbioru danych oraz nie dopełnienie obowiązku poinformowania osoby, której dane dotyczą, o jej prawach  jest także karane grzywną, ograniczeniem lub pozbawieniem wolności do roku.

Podsumowując chciałbym zaznaczyć, iż jest to tylko mały wycinek informacji na temat ochrony danych osobowych w myśl obowiązujących przepisów. Jest to kropla w morzu pojęć, które należałoby omówić przy poruszeniu tego tematu. W kolejnych wpisach na pewno pojawią się szczegółowe ich wyjaśnienia, a teraz już zapraszam do zapoznania się z treścią ustawy o ochronie danych osobowych.

[1] – USTAWA z dnia 29 sierpnia 1997 r. o ochronie danych osobowych [pobierz]

Zobacz również:

Leave a Comment

*

This site uses Akismet to reduce spam. Learn how your comment data is processed.