Generalny Inspektor Ochrony Danych Osobowych



Pobieranie 1.61 Mb.
Strona1/36
Data03.05.2016
Rozmiar1.61 Mb.
  1   2   3   4   5   6   7   8   9   ...   36

Generalny Inspektor

Ochrony Danych Osobowych




SPRAWOZDANIE

GENERALNEGO INSPEKTORA

OCHRONY DANYCH OSOBOWYCH

Z DZIAŁALNOŚCI ZA ROK 2004


Sprawozdanie stanowi wykonanie art. 20 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity: Dz. U. Nr 101, poz. 926 ze zm.), zgodnie z którym Generalny Inspektor Ochrony Danych Osobowych składa sejmowi, raz w roku, sprawozdanie ze swojej działalności wraz


z wnioskami wynikającymi ze stanu przestrzegania przepisów o ochronie danych osobowych.1
SPIS TREŚCI


Generalny Inspektor 50

Ochrony Danych Osobowych 50

SPRAWOZDANIE 50

GENERALNEGO INSPEKTORA 50



OCHRONY DANYCH OSOBOWYCH 50

Z DZIAŁALNOŚCI ZA ROK 2004 50

Część .I OGÓLNA 6

. A Wprowadzenie 6

. 1 Prawne podstawy działalności Generalnego Inspektora Ochrony Danych Osobowych. 6

. 2 Zmiany w prawie ochrony danych osobowych. 7

. B Biuro Generalnego Inspektora Ochrony Danych Osobowych. 13

. 1 Struktura organizacyjna. 13

. 2 Budżet. 14

. 3 Stan zatrudnienia. 14

. C Działalność Generalnego Inspektora Ochrony Danych Osobowych. 15

. 1 Ogólna charakterystyka. 15

. 2 Skargi. 22

. 3 Pytania o interpretację przepisów. 26

. 4 Opiniowanie projektów aktów normatywnych w zakresie problematyki ochrony danych osobowych. 30

. 5 Czynności kontrolne. 32

. 6 Ogólnokrajowy rejestr zbiorów danych osobowych. 36

. 7 Współpraca międzynarodowa. 40

. 8 26 Międzynarodowa Konferencja Ochrony Prywatności i Danych Osobowych. 47

. 9 Działalność informacyjna. 52



Część .II PRZETWARZANIE DANYCH PRZEZ PODMIOTY ZE SFERY PUBLICZNEJ I PRYWATNEJ. 61

. A Sprawy z zakresu administracji publicznej. 61

. 1 Urzędy Stanu Cywilnego. 62

. 2 Pomoc społeczna. 65

. 3 Oświata. 74

. 4 Urzędy Pracy. 81

. 5 Ubezpieczenia społeczne. 84

. 6 Urzędy Skarbowe. 92

. 7 Straże Miejskie. 96

. 8 Inne sprawy dotyczące problematyki przetwarzania danych w sektorze publicznym. 103

. B Wymiar sprawiedliwości i organy ścigania. 119

. 1 Sądy. 119

. 2 Prokuratura. 129

. 3 Policja. 134

. C Komornicy sądowi. 139

. D Służba zdrowia. 143

. E Transport. 151

. F Zatrudnienie. 160

. G Mieszkalnictwo. 170

. H Telekomunikacja 181

. I Marketing 189

. J Media 196

. K Internet 203

. L Turystyka 209

. M Instytucje finansowe 212

. 1 Banki. 212

. 2 Zakłady ubezpieczeń. 225

. 3 Inne instytucje finansowe. 233

. N Windykacja 240

. O Inne 248



Część .III Podsumowanie i wnioski końcowe. 260

. 1 Załączniki: 268


Część .I OGÓLNA

. AWprowadzenie

. 1Prawne podstawy działalności Generalnego Inspektora Ochrony Danych Osobowych.

Jedną z kluczowych zasad wyrażonych w Konstytucji RP, mających priorytetowe znaczenie w działalności organów władzy publicznej, jest zasada w myśl której działają one na podstawie i w granicach prawa2. Prawną podstawę działalności organu ds. ochrony danych osobowych stanowi ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity: Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.)3 oraz wydane na jej podstawie przepisy wykonawcze, tj. rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych
i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024), rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 22 kwietnia 2004 r. w sprawie wzorów imiennego upoważnienia i legitymacji służbowej inspektora Biura Generalnego Inspektora Ochrony Danych Osobowych (Dz. U. Nr 94, poz. 923) oraz rozporządzenie Ministra Spraw Wewnętrznych
i Administracji z dnia 29 kwietnia 2004 r. w sprawie wzoru zgłoszenia zbioru do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (Dz. U. Nr 100, poz. 1025)4.

Ustawa o ochronie danych osobowych realizuje zagwarantowane w art. 51 Konstytucji RP prawo do ochrony prywatności, w tym również ochrony danych osobowych. Powołana norma konstytucyjna zawiera bowiem wymóg istnienia ustawowej podstawy dla powstania obowiązku ujawniania informacji dotyczących własnej osoby5. Ustawa o ochronie danych osobowych określa ogólne zasady ich przetwarzania i ochrony, zaś skonkretyzowanie tychże zasad ma miejsce


w szczególnych wobec jej regulacji, przepisach prawa, które normują przetwarzanie danych
w określonych dziedzinach.
. 2Zmiany w prawie ochrony danych osobowych.
.I.I.A.2.1 Nowelizacja ustawy o ochronie danych osobowych.

W dniu 1 maja 2004 r. weszły w życie przepisy – największej dotychczas – nowelizacji ustawy o ochronie danych osobowych6. Jej celem było przede wszystkim dostosowanie przepisów prawa normujących kwestie przetwarzania danych osobowych do wymogów Dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych (Dziennik Urzędowy WE Nr 281, poz. 31 ze zm.), zwanej dalej Dyrektywą, a także zmodyfikowanie tych przepisów, co do których praktyka wskazywała na potrzebę ich zmiany. Wprawdzie prace nad znowelizowaniem przepisów ustawy rozpoczęły się w roku 2003 r., niemniej proces legislacyjny został zakończony w 2004 r., dlatego też zasadne wydaje się poruszenie tej tematyki w niniejszym Sprawozdaniu.

Wśród zmienionych przepisów można wyróżnić dwie grupy. Pierwszą z nich stanowią te, których celem było dostosowanie ustawy o ochronie danych osobowych do wymogów prawa europejskiego. Wzorcem dla wprowadzonych zmian była Dyrektywa, która wyznacza ramy


w dziedzinie prawa ochrony danych osobowych, stanowiąc tym samym sygnał dla poszczególnych członków Unii Europejskiej oraz państw kandydujących, w jakim kierunku powinny zmierzać zmiany prawa krajowego. Klasyfikacja wprowadzonych zmian dokonywana z punktu widzenia dostosowywania ustawy do wymogów prawa europejskiego objęła przepisy dotyczące:

  1. zakresu przedmiotowego ustawy – ustawa znajduje zastosowanie do przetwarzania danych w zbiorach danych osobowych, jeżeli są one przetwarzane przy zastosowaniu metod tradycyjnych, tj. w kartotekach, skorowidzach, księgach, wykazach i innych zbiorach ewidencyjnych oraz w systemie informatycznym, z tym zastrzeżeniem, że
    w przypadku przetwarzania danych w systemie informatycznym ustawa znajduje zastosowanie także wówczas, gdy dane są przetwarzane poza zbiorem danych;

  2. zakresu podmiotowego ustawy – zmiana ta miała fundamentalne znaczenie z punktu widzenia zasady jednolitej ochrony danych osobowych w ramach wspólnego rynku europejskiego, którą statuuje art. 4 ust. 1 Dyrektywy. Zgodnie z tą zasadą właściwe,
    w kwestiach ochrony danych osobowych, jest prawo kraju, w którym administrator danych przetwarza dane w związku z prowadzoną działalnością. Dokonana zmiana spowodowała, iż podmioty należące do Europejskiego Obszaru Gospodarczego są obowiązane stosować przepisy ustawy o ochronie danych osobowych jedynie wtedy, gdy podejmują na terytorium Rzeczypospolitej Polskiej działalność, której nadają – przewidziane w polskim prawie – ramy. Ograniczono ponadto katalog podmiotów podlegających rygorom ustawy poprzez: a) wyłączenie jej stosowania do podmiotów, które wprawdzie mają siedzibę w państwie trzecim, a więc nienależącym do Europejskiego Obszaru Gospodarczego, niemniej wykorzystują środki techniczne znajdujące się na terytorium Rzeczypospolitej Polskiej wyłącznie do przekazywania danych, b) zawężenie stosowania jej przepisów do prasowej działalności dziennikarskiej w rozumieniu ustawy z dnia 26 stycznia 1984 r. Prawo prasowe (Dz. U. Nr 5 poz. 24 ze zm.) oraz do działalności literackiej lub artystycznej,
    z wyjątkiem sytuacji, w których wolność wyrażania poglądów i rozpowszechniania informacji istotnie narusza prawa i wolności osoby, której dane dotyczą;

  3. odbiorcy danych i państwa trzeciego7;

  4. przesłanek legalności przetwarzania danych – zmodyfikowano brzmienie przepisów dostosowując je do brzmienia przepisów Dyrektywy;

  5. obowiązków informacyjnych realizowanych przez administratorów danych w stosunku do osób, których one dotyczą – administratorzy danych zostali zobowiązani do informowania podmiotów danych o prawie dostępu do treści danych, w miejsce dotychczasowego prawa wglądu do danych; ponadto uchylone zostały przepisy zwalniające administratorów, gromadzących dane od innych osób, niż te, których one dotyczą, z obowiązku informacyjnego, w przypadku zbierania danych ogólnie dostępnych oraz danych przetwarzanych w celu jednorazowego wykorzystania;

  6. obowiązku wyznaczenia przedstawiciela na terytorium Rzeczypospolitej Polskiej przez administratora danych mającego siedzibę albo miejsce zamieszkania w państwie trzecim;

  7. praw osób, których dane dotyczą – rozszerzono ich uprawnienia poprzez przyznanie
    im prawa do uzyskania informacji o przesłankach podejmowania rozstrzygnięć automatycznych;

  8. zabezpieczenia danych osobowych – wprowadzone zmiany pozostawiają w znacznym stopniu swobodę w doborze odpowiednich środków technicznych i organizacyjnych administratorowi danych;

  9. rejestracji zbiorów danych osobowych – a) rozszerzeniu uległ zakres informacji zawartych we wniosku zgłoszenia zbioru danych do rejestracji poprzez wprowadzenie wymogu podania informacji o przedstawicielu administratora danych oraz podania opisu kategorii osób, których dane dotyczą, b) wprowadzona została instytucja wstępnej kontroli prawidłowości przetwarzania danych poddanych szczególnej ochronie przez ustawodawcę – ich przetwarzanie może rozpocząć się po zarejestrowaniu zbioru, chyba że ustawa zwalnia administratora danych z tego obowiązku;

  10. transgranicznego przepływu danych osobowych – zmiana przepisów ustawy w tym zakresie jest konsekwencją swobodnego przepływu danych na obszarze państw należących do Europejskiego Obszaru Gospodarczego. Konieczność spełnienia warunków, określonych w rozdziale 7 ustawy, dotyczy tylko podmiotów przekazujących dane do państw trzecich. Zmiany dotyczą również przepisu normującego udzielanie przez Generalnego Inspektora zgody na przekazanie danych do państwa trzeciego. W obecnym jego brzmieniu warunkiem koniecznym do uzyskania takiej zgody jest zapewnienie przez administratora danych odpowiedniego zabezpieczenia w zakresie ochrony prywatności oraz praw i wolności osoby, której dane dotyczą.

W wyniku wprowadzenia powyższych zmian, przepisy ustawy o ochronie danych osobowych zostały w pełni dostosowane do wymogów prawa europejskiego.

Do drugiej grupy znowelizowanych przepisów zaliczają się te, których konieczność zmiany podyktowana była doświadczeniami Generalnego Inspektora zdobytymi w trakcie stosowania ustawy o ochronie danych osobowych. Do tej kategorii zaliczają się przepisy:



  • wyznaczające kompetencje kontrolne i decyzyjne Generalnego Inspektora – w wyniku zmian: a) rozszerzono zakres uprawnień inspektorów w trakcie kontroli poprzez przyznanie im prawa do sporządzania kopii dokumentów i wszelkich danych mających bezpośredni związek z przedmiotem kontroli; b) uprawniono Generalnego Inspektora do wydawania decyzji nakazujących przywrócenie stanu zgodnego z prawem nie tylko wobec podmiotu będącego administratorem danych, ale wobec wszystkich podmiotów przetwarzających dane osobowe, c) poddano kontroli sprawowanej przez Generalnego Inspektora podmioty, którym administratorzy danych powierzyli przetwarzanie danych; d) rozszerzono kompetencje władcze Generalnego Inspektora w sprawach związanych z rejestracją zbioru danych przyznając organowi ds. ochrony danych osobowych prawo wydawania decyzji o wykreśleniu zbioru danych z rejestru;

  • modyfikujące udostępnianie danych w innym, niż włączenie do zbioru danych, celu – zrezygnowano: a) z ograniczenia możliwości udostępnienia danych na podstawie art. 29 ustawy tylko przez administratorów ze sfery publicznej, b) ze sformalizowanej dotychczas formy (wniosek o udostępnienie danych osobowych) wystąpienia
    o udostępnienie danych na tej podstawie;

  • modyfikujące kwestie związane z rejestracją zbiorów danych: a) ograniczony został zakres informacji dostępnych w jawnym rejestrze zbiorów danych osobowych – nie podlegają ujawnieniu informacje o technicznych i organizacyjnych aspektach zabezpieczenia danych, b) zawężono katalog podmiotów, którym wydawane jest zaświadczenie o zarejestrowaniu zbioru danych jedynie do administratorów danych.
    W przypadku przetwarzania danych tzw. zwykłych8, jest ono wydawane na żądanie administratora danych, natomiast w przypadku przetwarzania danych poddanych przez ustawodawcę szczególnej ochronie9, jest ono wydawane przez Generalnego Inspektora z urzędu, niezwłocznie po dokonaniu rejestracji zbioru danych, c) rozszerzono zastosowanie przepisów o rejestracji zbiorów danych do obowiązku aktualizacyjnego.

Nowela ustawy o ochronie danych osobowych stworzyła również prawną możliwość do powołania Zastępcy Generalnego Inspektora10. Idea zmiany ustawy w powyższym zakresie spowodowana była zarówno znaczącym wzrostem liczby spraw rozpatrywanych przez Generalnego Inspektora, jak również koniecznością udziału odpowiedniego rangą przedstawiciela organu ds. ochrony danych osobowych w przedsięwzięciach międzynarodowych oraz krajowych.
.I.I.A.2.2 Zmiana aktów wykonawczych do ustawy o ochronie danych osobowych.

Wprowadzone w okresie objętym Sprawozdaniem zmiany w prawie regulującym ochronę danych osobowych dotyczyły również aktów wykonawczych do ustawy o ochronie danych osobowych11, które w wyniku uchylenia przestały obowiązywać z dniem wejścia w życie przepisów ustawy o zmianie ustawy o ochronie danych osobowych oraz ustawy o wynagradzaniu osób zajmujących kierownicze stanowiska państwowe, tj. z dniem uzyskania przez Rzeczpospolitą Polską członkostwa w Unii Europejskiej. W znowelizowanej ustawie zostały zawarte nowe delegacje zobowiązujące Ministra Spraw Wewnętrznych i Administracji do wydania stosownych przepisów wykonawczych. Na tej podstawie Minister Spraw Wewnętrznych i Administracji wydał trzy rozporządzenia:

  1. z dnia 22 kwietnia 2004 r. w sprawie wzorów imiennego upoważnienia i legitymacji służbowej inspektora Biura Generalnego Inspektora Ochrony Danych Osobowych
    (Dz. U. Nr 94, poz. 923),

  2. z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych
    (Dz. U. Nr 100, poz.1024),

  3. z dnia 29 kwietnia 2004 r. w sprawie wzoru zgłoszenia zbioru do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (Dz. U. Nr 100, poz.1025).

Znacząca z punktu widzenia administratorów danych, zmiana przepisów rozporządzenia
w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych
i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych podyktowana była rozwojem nowych technologii i organizacji systemów informatycznych12. Ponadto pojawiły się również nowe rozwiązania prawne. Niewątpliwie duży wpływ na konieczność nowego ukształtowania szeregu pojęć oraz regulacji w zakresie funkcjonalności oraz bezpieczeństwa systemów informatycznych miało uchwalenie takich aktów prawnych, jak m.in.: ustawa z dnia 22 stycznia 1999 r. o ochronie informacji niejawnych (Dz. U. Nr 11, poz. 95 ze zm.), ustawa z dnia 18 września 2001 r. o podpisie elektronicznym (Dz. U. Nr 130, poz.1450 ze zm.) oraz ustawa z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz. U. Nr 144, poz. 1204 ze zm.), w których sprecyzowane zostały pojęcia istotne dla materii, będącej przedmiotem rozporządzenia określającego warunki, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Obserwacja zmian zachodzących w tej dziedzinie spowodowała konieczność dostosowania omawianego rozporządzenia do stosowanych aktualnie technologii i metodologii zabezpieczeń.

W zakresie zagrożeń, na jakie mogą być narażone dane przetwarzane w systemach informatycznych, zwrócono szczególną uwagę na to, czy urządzenia systemu informatycznego, który służy do przetwarzania danych, są połączone z siecią publiczną. Zastosowanie odpowiednich środków bezpieczeństwa uzależniono również od tego, czy przetwarzane informacje należą do katalogu danych poddanych szczególnej ochronie przez ustawodawcę, czy też nie13. Uwzględniając powyższe okoliczności w rozporządzeniu wprowadzono trzy poziomy bezpieczeństwa systemów informatycznych:



  • podstawowy – stosowany w systemach informatycznych, w których nie są przetwarzane dane poddane przez ustawodawcę szczególnej ochronie i żadne
    z urządzeń systemu informatycznego, służącego do przetwarzania danych nie jest połączone z siecią publiczną;

  • podwyższony – stosowany w systemach informatycznych, w których są przetwarzane dane poddane szczególnej ochronie przez ustawodawcę, niemniej żadne z urządzeń systemu informatycznego, służącego do przetwarzania danych nie jest połączone
    z siecią publiczną;

  • wysoki – stosowany w systemach informatycznych, gdy przynajmniej jedno z urządzeń systemu informatycznego, służącego do przetwarzania danych jest połączone z siecią publiczną.

Poza rozróżnieniem poziomów bezpieczeństwa oraz wskazaniem, kiedy należy je stosować, określono również – w sposób nie budzący wątpliwości – minimalne warunki w zakresie wymagań technicznych i organizacyjnych na poszczególnych poziomach.

W nowym, aktualnie obowiązującym rozporządzeniu określającym wzór zgłoszenia zbioru do rejestracji Generalnemu Inspektorowi – w celu dostosowania formularza do przepisów znowelizowanej ustawy (zwłaszcza tych dotyczących obowiązku aktualizacyjnego i tzw. kontroli wstępnej) oraz mając na uwadze dotychczasowe doświadczenia w dziedzinie rejestracji


i ogólnoeuropejską tendencję upraszczania procedur rejestracyjnych, w stosunku do dotychczas obowiązującego wzoru zgłoszenia:

  • znacznie skrócono część F poświęconą opisowi spełnienia wymagań rozporządzenia określającego warunki techniczne i organizacyjne, jakim powinny odpowiadać urządzenia
    i systemy informatyczne służące do przetwarzania danych osobowych;

  • wprowadzono pola pozwalające na szybsze zidentyfikowanie celu skierowania wniosku
    i zastosowanie odpowiedniej procedury przewidzianej dla zgłoszenia nowego zbioru, dopełnienia obowiązku aktualizacyjnego lub wstępnej kontroli prawidłowości przetwarzania danych osobowych poddanych szczególnej ochronie przez ustawodawcę.

Najmniej znaczące zmiany – w porównaniu do uprzednio obowiązującego stanu prawnego - wprowadziło rozporządzenie regulujące wzór upoważnienia i legitymacji służbowej inspektora Biura . Jego treść dostosowano do brzmienia znowelizowanego art. 14 ustawy, który rozszerzył zakres uprawnień inspektorów w trakcie podejmowanych przez nich czynności kontrolnych, poprzez przyznanie im prawa sporządzania kopii dokumentów oraz do brzmienia art. 31 ustawy,

w związku z wprowadzoną do niego zmianą, która umożliwia przeprowadzenie kontroli przetwarzania danych przez podmiot, któremu powierzono ich przetwarzanie. Zmianie nie uległ natomiast wzór legitymacji służbowej inspektora.





  1   2   3   4   5   6   7   8   9   ...   36


©absta.pl 2019
wyślij wiadomość

    Strona główna