Generalny inspektor ochrony danych osobowych sprawozdanie



Pobieranie 1.06 Mb.
Strona1/18
Data08.05.2016
Rozmiar1.06 Mb.
  1   2   3   4   5   6   7   8   9   ...   18
GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

SPRAWOZDANIE

Z DZIAŁALNOŚCI GENERALNEGO INSPEKTORA OCHRONY DANYCH OSOBOWYCH

ZA OKRES
01.01.1999 r. – 31.12.1999 r.

Warszawa, lipiec 2000 r.


WSTĘP 2

WNIOSKI KOŃCOWE 196

Załączniki 208

WSTĘP


Sprawozdanie Generalnego Inspektora Ochrony Danych Osobowych1 obejmuje okres od 1 stycznia do 31 grudnia 1999 r.; jest to drugie sprawozdanie z działalności. W związku z powyższym okres sprawozdawczy objęty drugim sprawozdaniem częściowo pokrywa się z okresem sprawozdawczym pierwszego sprawozdania Generalnego Inspektora, które obejmowało okres od 23 kwietnia 1998 r., tj. od daty wyboru Generalnego Inspektora przez Sejm, do 30 kwietnia 1999 r. Jednakże z uwagi na fakt, iż pierwsze sprawozdanie poświęcone było głównie sprawom organizacyjnym Biura GIODO, w części informacyjnej dotyczącej działalności merytorycznej omówienie tej działalności nie stanowi powtórzenia w sprawozdaniu za 1999 r.

Począwszy od 1999 r., sprawozdania Generalnego Inspektora obejmować będą pełne lata kalendarzowe.

Liczba spraw, jakie wpłynęły do Biura Generalnego Inspektora Ochrony Danych Osobowych w okresie sprawozdawczym wyniosła 72.617, w tym 1902 zapytania prawne dotyczące interpretacji ustawy o ochronie danych osobowych, 479 skarg i 262 wnioski o zaopiniowanie projektów aktów prawnych, a także 69.974 wnioski o rejestrację zbiorów danych osobowych.

Generalny Inspektor wszczął 57 postępowań, wydał 77 decyzji administracyjnych oraz 571 zaświadczeń rejestracyjnych. W 1999 r. przeprowadzonych zostało 71 kontroli, a także skierowano 18 zawiadomień do prokuratury z wnioskiem o wszczęcie postępowania w związku z naruszeniem ustawy o ochronie danych osobowych. W związku ze stwierdzeniem nieprawidłowości w działaniu organów szczebla centralnego lub podmiotów podporządkowanych tym organom oraz sformułowania zastrzeżeń, co do obowiązujących aktów prawnych, Generalny Inspektor skierował 40 wystąpień do organów centralnych.

W Biurze Generalnego Inspektora przyjęto 245 interesantów oraz przeprowadzono ok. 6520 rozmów telefonicznych udzielając wyjaśnień i porad prawnych.

Pracownicy Biura odpowiadali na liczne telefony od osób fizycznych oraz osób dzwoniących w imieniu osób prawnych i instytucji. Dziennie otrzymywali oni od kilkunastu do około 100 telefonów. Pytania obejmowały w szczególności kwestie związane z dopełnieniem obowiązku rejestracji (czy w ogóle ciąży on na zainteresowanym podmiocie, w jaki sposób należy go dopełnić, jak wypełnić wniosek zgłoszeniowy), a także rozlicznych problemów technicznych, związanych ze stosowaniem ustawy, na przykład ustanowienia administratora bezpieczeństwa informacji, sposobem zabezpieczenia zbiorów danych. Po upływie terminu rejestracji, pytania dotyczyły głównie wykonywania obowiązku informacyjnego.

W 1999 r. w szerokim zakresie rozpoczęte zostały działania inspekcyjne. W celu ustalenia zgodności przetwarzania danych osobowych z przepisami ustawy o ochronie danych osobowych, inspektorzy Biura Generalnego Inspektora Ochrony Danych Osobowych przeprowadzili 64 inspekcje oraz dokonali 6 czynności kontrolnych.

Problematyka kontroli dotyczyła: podstawy prawnej przetwarzania danych, źródeł pozyskiwania danych, zakresu, celu i rodzaju przetwarzania danych, sposobu dopełnienia obowiązków administratora danych wynikających z art. 24 i 25 ustawy o ochronie danych osobowych, sposobu zbierania i udostępniania danych, sposobu załatwienia sprzeciwów wynikających z art. 32 ust. l pkt 8 ustawy, zabezpieczania zbiorów danych osobowych oraz sposobu wypełnienia podstawowych warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.

W celu sprawdzenia wykonania decyzji administracyjnych przeprowadzono 4 kontrole, z których 3 zostały dokonane celem ustalenia realizacji zaleceń zawartych we wnioskach pokontrolnych, pozostałe inspekcje dotyczyły zgodności przetwarzania danych z przepisami o ochronie danych osobowych. Z ogólnej liczby 63 dokonanych inspekcji, 18 przeprowadzono w spółkach marketingowych, 10 w towarzystwach emerytalnych i towarzystwach ubezpieczeniowych, 9 w spółkach telefonii komórkowej, 7 w bankach, 4 w organach administracji publicznej oraz 15 w innych podmiotach (np. wydawnictwo, spółdzielnia, szpital, Kasa Chorych, spółki telewizyjne).

W związku z inspekcjami Generalny Inspektor Ochrony Danych Osobowych wydał 17 decyzji nakazujących przywrócenie stanu zgodnego z prawem, skierował 4 zawiadomienia o popełnieniu przestępstwa oraz l wniosek o wszczęcie postępowania dyscyplinarnego.

W 1999 r. przeważająca liczba spraw, jakie wpłynęły do Biura Generalnego Inspektora związana była z wykonaniem obowiązku rejestracyjnego. Szczegółowe informacje dotyczące wykonania obowiązku rejestracyjnego przez podmioty zobowiązane na podstawie art. 40 ustawy o ochronie danych osobowych przedstawione zostały w części II Sprawozdania.

Część .IZAKRES SPRAW ROZPATRYWANYCH PRZEZ GENERALNEGO INSPEKTORA OCHRONY DANYCH OSOBOWYCH

. AZagadnienia ogólne


Zgodnie z art. 7 Konstytucji, organy władzy publicznej mogą działać tylko na podstawie prawa. Zakres działania i kompetencje tych organów powinny być określone w powszechnie obowiązujących przepisach prawa (ustawach, ratyfikowanych umowach międzynarodowych, rozporządzeniach i aktach prawa miejscowego na obszarze działania organów, które je ustanowiły).2

W czasie prac sejmowych nad ustawą podkreślano, że zagrożenie dla ochrony danych osobowych stanowi nie tylko zbyt duża swoboda w gromadzeniu i pozyskiwaniu danych osobowych przez firmy prywatne, niebezpieczeństwa dostrzegano również w działaniach organów administracji. Zwracano wówczas uwagę zwłaszcza na możliwość zbywania przez podmioty administracji publicznej (np. gminy) danych osobowych uzyskiwanych, np. na podstawie obowiązku ustawowego.3 Wydaje się, że mimo pewnych słabości, które ujawniły się w pierwszym okresie funkcjonowania ustawy w praktyce, ustawa o ochronie danych osobowych skutecznie zapobiegła tego typu sytuacjom.

Nie sposób wyobrazić sobie działania jakiegokolwiek urzędu czy organu administracji, który nie przetwarzałby danych osobowych. Bez ograniczenia autonomii informacyjnej jednostki nie byłoby możliwe funkcjonowanie aparatu państwowego. Choć niejednokrotnie jednostka nie ma żadnego wpływu na to, czy i jakie dane jej dotyczące są przetwarzane przez organy administracji, może jednak czuwać nad tym, aby dane zbierane przez organ władzy publicznej były merytorycznie poprawne i adekwatne w stosunku do celu, dla którego zostały zebrane. Obowiązek informacyjny i skorelowane z nim uprawnienia określone w art. 32 są właśnie instrumentem pozwalającym osobom uprawnionym na rzeczywiste sprawowanie kontroli nad zgodnym z prawem przetwarzaniem dotyczących ich danych osobowych. Bez prawnego umocowania tego obowiązku trudno byłoby wyobrazić sobie skuteczne działanie ustawy o ochronie danych osobowych. Z praktyki Generalnego Inspektora Ochrony Danych Osobowych wynika, że znacznie większe zagrożenie ochrony prawa do prywatności, aniżeli przetwarzanie danych przez organy państwa niesie ze sobą działalność, np. prywatnych firm marketingowych.4 Stąd nie wydaje się trafnym rozwiązaniem nałożenie jednakowych obowiązków (w tym w zakresie informowania osób, których dotyczą dane) na organy administracji państwowej i firmy prywatne, które prowadzą bardziej agresywną i trudną do kontrolowania działalność.

Do Generalnego Inspektora napływały sygnały o trudnościach finansowych gmin zobowiązanych do wypełnienia obowiązku informacyjnego.5 W obecnym stanie prawnym, administratorzy danych będący organami samorządu terytorialnego nie są zwolnieni z obowiązku informacyjnego, choć ze względów praktycznych, de lege ferenda zwolnienie takie uznać należałoby za wskazane.6


. IDefinicja danych osobowych

Wejście w życie nowej w polskim porządku prawnym ustawy o ochronie danych osobowych zrodziło wiele pytań co do rozumienia niektórych pojęć oraz prawidłowej ich interpretacji. Na gruncie ustawy o ochronie danych osobowych zasadnicze znaczenie ma definicja danych osobowych. Zgodnie z art. 6 ustawy, za dane osobowe uważa się każdą informację dotyczącą osoby fizycznej, pozwalającą na określenie tożsamości tej osoby.7

Ta klarowna wydawałoby się definicja sprawia jednak w praktyce trudności, o czym świadczą pytania kierowane do Biura Generalnego Inspektora Danych Osobowych.

Wątpliwości budziła, np. kwestia, czy dane dotyczące sposobu obliczania ilości ryczałtowego zużycia wody na jednego mieszkańca w poszczególnych budynkach są danymi osobowymi. Generalny Inspektor odpowiadając poinformował, że parametry techniczne określające poziom zużycia wody i związany z tym sposób obliczania opłat nie mogą stanowić danych osobowych w rozumieniu ustawy. Nie dotyczą bowiem konkretnych osób i nie jest możliwe ustalenie na ich podstawie tożsamości określonej osoby.8 Przetwarzaniem danych jest już jednak udzielanie informacji o osobach, które nie uiściły opłat za pobraną wodę.9 Do danych osobowych nie można zaliczyć także informacji o tym, czy i na jakiej podstawie zbierane są czynsze, oraz który z urzędów wydał decyzję w sprawie wymiaru podatku i jaka była podstawa prawna tej decyzji.10

Pewne informacje można zakwalifikować jako dane osobowe tylko w określonym kontekście sytuacyjnym lub w zestawieniu z innymi danymi. Niejednokrotnie nawet imię i nazwisko nie umożliwia określenia tożsamości konkretnej osoby. Dane osobowe nie muszą mieć charakteru ściśle osobowego, tzn. nie muszą odnosić się bezpośrednio do osoby. Jeżeli w pewnych okolicznościach, np. informacje o marce samochodu pozwalają zidentyfikować jego właściciela, to stanowią one dane osobowe.11

W praktyce powstał również problem, czy numer ewidencyjny PESEL jest daną osobową.

Numer ewidencyjny PESEL występując samodzielnie, w świetle definicji danych zawartej w ustawie o ochronie danych osobowych, nie jest informacją umożliwiającą identyfikację określonej osoby, mimo, że zawiera dane o urodzeniu tej osoby, jej numer porządkowy i liczbę kontrolną. Gdyby jednak numer ten występował wraz z imieniem i nazwiskiem, wówczas, przy spełnieniu również innych wymogów, znalazłyby zastosowanie przepisy ustawy o ochronie danych osobowych. Z tych powodów, odpowiadając na pytanie, czy pozostaje w zgodzie z ustawą wykorzystywanie numeru PESEL do znakowania przedmiotów (np. rowerów, telewizorów), Generalny Inspektor uznał, że umieszczanie wyłącznie numeru ewidencyjnego na tych przedmiotach nie podlega rygorom ustawy.12

Także z powołaniem się na ustawę o ochronie danych osobowych organy gminy odmawiały udzielania informacji dotyczącej gospodarki finansowej. W odpowiedzi na pismo, w którym poproszono o opinię, jaki jest stosunek art. 61 ustawy o samorządzie terytorialnym do przepisów ustawy o ochronie danych osobowych Generalny Inspektor wskazał, że ani uchwała budżetowa, ani sprawozdanie z jej wykonania nie zawierają danych osobowych. Zatem ustawa o ochronie danych osobowych w omawianej sytuacji nie znajduje zastosowania i nie ma potrzeby rozważania wzajemnego stosunku tych przepisów.13 Na podstawie art. 61 ustawy z dnia 8 marca 1990 r. o samorządzie gminnym (Dz. U. 1996 r. Nr 13, poz. 74 z późn. zm.) wójt, burmistrz lub prezydent niezwłocznie ogłasza uchwałę budżetową i sprawozdanie z jej wykonania. Zarząd natomiast, jest zobowiązany do poinformowania mieszkańców gminy o założeniach projektu, kierunkach polityki społecznej i gospodarczej oraz wykorzystywaniu środków budżetowych.

W pytaniach kierowanych do Generalnego Inspektora pojawiały się wątpliwości, czy ochroną objęte są dane osób zmarłych. Ustawa o ochronie danych osobowych posługuje się pojęciem osoby fizycznej nie określając go jednak. Zgodnie z art. 8 k.c. każdy człowiek od chwili urodzenia posiada zdolność prawną, czyli zdolność do bycia podmiotem praw i obowiązków. Zdolność ta wygasa w chwili śmierci, gdyż, co jest oczywiste na gruncie obowiązującego prawa, zmarły nie może być podmiotem żadnych praw ani obowiązków.14 Wynikają stąd ważkie konsekwencje także dla konstrukcji ochrony danych osobowych, bowiem art. 2 ust. 1 ustawy o ochronie danych osobowych, określa prawa osób fizycznych, których dane osobowe są lub mogą być przetwarzane. W związku z tym na pytanie czy można, w świetle ustawy o ochronie danych osobowych publikować informacje o osobach, które zmarły, Generalny Inspektor odpowiadał, że ustawa ta znajduje zastosowanie wyłącznie do ochrony danych osób żyjących. Słuszność tego stanowiska potwierdza również sama konstrukcja ustawy. Bowiem przewidziano w niej szereg rozwiązań i instytucji, które z natury rzeczy mogą przysługiwać wyłącznie osobom żyjącym (np. prawo wglądu do danych, ich poprawiania czy prawo wniesienia sprzeciwu).15

Często poruszanym problemem jest kwestia prawnej ochrony danych osób prowadzących działalność gospodarczą. Niejednokrotnie informacje o osobie prawnej są tożsame z danymi określonej osoby fizycznej. Zgodnie z art. 2 ust. 1 ustawa o ochronie danych osobowych określa prawa osób fizycznych, których dane są lub mogą być przetwarzane w zbiorach danych. Również z brzmienia art. 6 ustawy wynika, że dane osobowe to dane, które dotyczą osoby fizycznej.

Podjęcie działalności gospodarczej przez osoby fizyczne i jednostki organizacyjne nie posiadające osobowości prawnej, wymaga zgłoszenia do ewidencji działalności gospodarczej. Ewidencja ta, zgodnie z art. 16 ust. 2 ustawy z dnia 23 grudnia 1988 r. o działalności gospodarczej (Dz. U. Nr 41, poz. 324 z późn. zm.) jest jawna, co służy ułatwieniom obrotu gospodarczego i zapewnieniu jego bezpieczeństwa, a także oznacza, że każdy może uzyskać wgląd w ewidencję. W ewidencji znajdują się takie informacje, jak imię i nazwisko osoby (nazwa) prowadzącej działalność gospodarczą i jej adres (siedziba). Wiele skarg dotyczyło udostępniania przez organy administracji samorządowej danych osób prowadzących działalność gospodarczą osobom trzecim. Ewidencja działalności gospodarczej zawiera dane o przedsiębiorcach, a nie o osobach fizycznych.16 Nawet jeśli działalność gospodarcza podejmowana jest przez osobę fizyczną, to w obrocie gospodarczym osoba ta występuje jako przedsiębiorca, zgadzając się tym samym na utratę ochrony, jaką daje ustawa o ochronie danych osobowych osobom fizycznym w zakresie, w jakim dotyczy to jej działalności gospodarczej.17 Uwagi te odnoszą się nie tylko do danych zawartych w ewidencji działalności gospodarczej, ale także w rejestrach zezwoleń na sprzedaż alkoholu, rejestrach działalności polegającej na usuwaniu, wykorzystywaniu i unieszkodliwianiu odpadów komunalnych i innych, o ile zawierają wyłącznie dane dotyczące podmiotów prowadzących działalność gospodarczą.18

Do Generalnego Inspektora Ochrony Danych Osobowych wpłynęła skarga w sprawie udostępnienia przez urząd gminy informacji o zastrzeżeniu przez osobę uprawnioną jej danych osobowych. W odpowiedzi stwierdzono, że ustawa weszła w życie dnia 30 kwietnia 1998 r. i nie znajduje zastosowania do zdarzeń, które nastąpiły przed tą datą.19 W sprawie tej Generalny Inspektor podkreślił również, że przekazanie przez urząd gminy żądanych informacji nie dotyczyło danych osobowych, zatem nie podlegało ocenie legalności z punktu widzenia ustawy o ochronie danych osobowych.

. IIPrzetwarzanie danych osobowych w zbiorach

Możliwość zastosowania ustawy o ochronie danych osobowych zależy nie tylko od stwierdzenia, że określone informacje są danymi osobowymi, ale także od tego, czy zostały spełnione inne jeszcze warunki. Zgodnie z art. 2 ust. 1 ustawa o ochronie danych osobowych określa prawa osób fizycznych, których dane osobowe są lub mogą być przetwarzane w zbiorach danych. Zbiorem, zgodnie z art. 7 pkt 1 ustawy, jest każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony, czy też podzielony funkcjonalnie. Zbiór akt postępowania administracyjnego zawierając dane stron, ich adresy i inne informacje, spełnia te kryteria i wobec tego jest zbiorem danych w rozumieniu ustawy. Na organie administracji (gminie) ciążą zatem takie same obowiązki, jak na innych administratorach danych, w szczególności zaś obowiązek właściwego zabezpieczenia danych.20

Przedmiotem odpowiedzi Generalnego Inspektora Ochrony Danych Osobowych była zgodność z ustawą o ochronie danych osobowych uchwały rady gminy, na podstawie której emeryci i renciści II i III grupy inwalidzkiej mają prawo do bezpłatnych przejazdów autobusami linii miejskich, jednakże pod warunkiem okazania dowodu osobistego i ostatniego odcinka emerytury lub renty. Bezpłatne przejazdy przysługiwały także innym osobom, na podstawie legitymacji wydanej przez Zakład Komunikacji Miejskiej, po okazaniu decyzji emerytalnej lub rentowej, dowodu osobistego i ostatniego odcinka emerytury lub renty. Również i w tej sprawie podkreślono, że ustawa o ochronie danych osobowych chroni prawa osób fizycznych, których dane są lub mogą być przetwarzane w zbiorze. Ponieważ udostępnienie żądanych dokumentów nie jest przetwarzaniem danych osobowych w zbiorze, ustawa w omawianej sytuacji nie znajduje zastosowania.21


. IIIPrzekazywanie danych osobowych za granicę

Ustawodawca polski wzorem innych krajów wprowadził pewne ograniczenia w przekazywaniu danych osobowych za granicę. Podstawowe znaczenie dla omawianej problematyki ma zasada, zgodnie z którą przekazanie danych osobowych może nastąpić jedynie wtedy, gdy kraj docelowy daje gwarancje ochrony danym osobowym na swoim terytorium przynajmniej takie, jak obowiązujące na terytorium Rzeczypospolitej Polskiej. Niezależnie jednak od poziomu ochrony jaką zapewnia inne państwo, dane osobowe można przesyłać za granicę, jeżeli wynika to z obowiązku nałożonego na administratora danych przepisami prawa lub postanowieniami ratyfikowanej umowy międzynarodowej. Ponadto przekazanie danych za granicę jest możliwe w razie spełnienia przesłanek określonych w art. 47 ust. 3 ustawy o ochronie danych osobowych. W związku z tą kwestią Generalny Inspektor zwracał uwagę, że przesłanki przekazywania danych osobowych za granicę określone w art. 47 ust. 3 pkt 1-6 ustawy o ochronie danych osobowych, powinny być traktowane alternatywnie, co oznacza, że spełnienie choćby jednej z nich umożliwia administratorowi danych przekazywanie tych danych za granicę.22

. IVWyłączenia spod zastosowania ustawy

Należy także zwrócić uwagę na postanowienia art. 2 ust. 3 ustawy o ochronie danych osobowych, zgodnie z którym w odniesieniu do zbiorów danych przetwarzanych doraźnie, wyłącznie ze względów technicznych, szkoleniowych lub w związku z dydaktyką w szkołach wyższych, mają zastosowanie jedynie przepisy art. 36 i nast. ustawy o ochronie danych osobowych. W świetle przepisu art. 2 ust. 3 dane wykorzystane przez samorządowe instytucje kultury w celu zorganizowania konkursu i wyłonienia laureatów, niezwłocznie po wykorzystaniu powinny zostać usunięte lub zanonimizowane, tj. zredagowane tak, aby uniemożliwić określenie tożsamości osoby, której dane dotyczą.23
  1   2   3   4   5   6   7   8   9   ...   18


©absta.pl 2016
wyślij wiadomość

    Strona główna