Problematykę ochrony danych osobowych reguluje ustawa z dnia 29 sierpnia 1997 r. (dalej: ustawa). Weszła ona w życie w dniu 30 kwietnia 1998 r. Jest to więc nowa dziedzina prawa. Warto zauważyć, że do dnia wejścia w życie ustawy nie było aktu prawnego, który kompleksowo regulowałby zasady przetwarzania danych osobowych.
Podstawy ochrony danych osobowych zostały określone w Konstytucji Rzeczypospolitej Polskiej . Artykuł 51 Konstytucji stanowi bowiem, że:
1. Nikt nie może być obowiązany inaczej niż na podstawie ustawy do ujawniania informacji dotyczących jego osoby.
2. Władze publiczne nie mogą pozyskiwać, gromadzić i udostępniać innych informacji o obywatelach niż niezbędne w demokratycznym państwie prawnym.
3. Każdy ma prawo dostępu do dotyczących go urzędowych dokumentów i zbiorów danych. Ograniczenie tego prawa może określić ustawa.
4. Każdy ma prawo do żądania sprostowania oraz usunięcia informacji nieprawdziwych, niepełnych lub zebranych w sposób sprzeczny z ustawą.
5. Zasady i tryb gromadzenia oraz udostępniania informacji określa ustawa.
Warto podkreślić, że Konstytucja w bardzo ogólny sposób odnosi się do ochrony praw i wolności obywatelskich. Zgodnie z art. 51 ust. 5 Konstytucji szczegółowe zasady gromadzenia i udostępniania informacji powinny być uregulowane w akcie prawnym rangi ustawowej. Z powyższych względów niezbędne było wprowadzenie ustawy, która unormowała w sposób całościowy kwestię przetwarzania danych osobowych.
Duży wpływ na treść polskiej ustawy o ochronie danych osobowych miały regulacje międzynarodowe. W szczególności należy tutaj wskazać konwencję nr 108 Rady Europy oraz dyrektywę 95/46/WE Parlamentu Europejskiego i Rady Unii Europejskiej .
Ustawa o ochronie danych osobowych reguluje takie kwestie, jak:
a. organy ochrony danych osobowych;
b. zasady przetwarzania danych osobowych;
c. prawa osób, których dane osobowe dotyczą;
d. zabezpieczanie danych osobowych;
e. rejestracja zbiorów danych osobowych;
f. przekazywanie danych osobowych do państw trzecich;
g. ustawa zawiera także przepisy karne.
Ustawa ma ogromne znaczenie dla przedsiębiorców. Prowadzenie działalności gospodarczej bowiem niejako „zmusza” przedsiębiorców do zbierania jak największej ilości danych osobowych potencjalnych klientów. Związane jest to z koniecznością dotarcia z ofertą do dużej grupy odbiorców, odpowiedniego dostosowania oferty do potrzeb klientów, prowadzenia działań marketingowych. Niewątpliwie w wielu przypadkach posiadanie dużej bazy danych osobowych może ułatwić osiągnięcie sukcesu gospodarczego. Z drugiej strony, ustawa ma zapobiegać nadużyciom, w szczególności nieuprawnionemu przetwarzaniu danych osobowych.
Ustawa w art. 1 ust. 1 normuje fundamentalną zasadę, zgodnie z którą każdy ma prawo do ochrony dotyczących go danych osobowych. Oznacza to, że każda osoba fizyczna może domagać się ochrony swoich danych osobowych. Należy przy tym zgodzić się ze stanowiskiem prezentowanym w doktrynie, że w kwestii ochrony danych osobowych nie mają znaczenia takie okoliczności, jak:
a. narodowość;
b. obywatelstwo;
c. zdolność do czynności prawnych;
d. wiek;
e. stan psychiczny;
f. karalność .
Ustawa określa zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane osobowe są lub mogą być przetwarzane w zbiorach danych.
Wymaga podkreślenia, że ustawę należy stosować do przetwarzania danych osobowych w:
a. kartotekach;
b. skorowidzach;
c. księgach;
d. wykazach;
e. innych zbiorach ewidencyjnych;
f. systemach informatycznych – także w przypadku przetwarzania danych poza zbiorem danych.
Przepisy ustawy stosuje się do:
a. organów państwowych;
b. organów samorządu terytorialnego;
c. państwowych i komunalnych jednostek organizacyjnych.
Ponadto przepisy ustawy należy stosować także do:
a. podmiotów niepublicznych, które realizują zadania publiczne;
b. osób fizycznych, osób prawnych oraz jednostek organizacyjnych niebędących osobami prawnymi, jeżeli podmioty te przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych.
W powyższym przypadku ustawa znajdzie zastosowanie, jeżeli owe podmioty będą miały siedzibę albo miejsce zamieszkania na terytorium Polski, albo w państwie trzecim, o ile przetwarzają dane osobowe przy wykorzystaniu środków technicznych znajdujących się na terytorium Polski.
Warto wskazać także przypadki, w których nie będą miały zastosowania przepisy ustawy. Zgodnie z art. 3a ustawy nie stosuje się do:
a. osób fizycznych, które przetwarzają dane wyłącznie w celach osobistych lub domowych;
b. podmiotów mających siedzibę lub miejsce zamieszkania w państwie trzecim, wykorzystujących środki techniczne znajdujące się na terytorium Polski wyłącznie do przekazywania danych.
Co do zasady ustawy nie stosuje się także do prasowej działalności dziennikarskiej w rozumieniu ustawy – Prawo prasowe oraz do działalności literackiej lub artystycznej, chyba że wolność wyrażania swoich poglądów i rozpowszechniania informacji istotnie narusza prawa i wolności osoby, której dane dotyczą.
Brzmienie art. 2 ust. 1 ustawy jednoznacznie wskazuje, że działaniem ustawy objęte są tylko przypadki przetwarzania danych osób fizycznych i nie ma podstaw do jej stosowania nawet per analogiam do osób prawnych lub jednostek organizacyjnych nieposiadających osobowości prawnej .
Wymaga również podkreślenia, że – zgodnie z normą kolizyjną określoną w art. 5 ustawy – jeżeli odrębna ustawa przewiduje większą ochronę danych osobowych, należy stosować jej przepisy.
Do właściwego zrozumienia przepisów ustawy niezbędne jest zapoznanie się ze stosowaną terminologią. Za „dane osobowe” uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Ustawodawca jednocześnie wyjaśnił, że osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.
W literaturze przedmiotu wyróżnia się trzy elementy, które składają się na „dane osobowe”, mianowicie:
a. informacja;
b. dotycząca osoby fizycznej;
c. zidentyfikowanej lub możliwej do zidentyfikowania .
Na pojęcie „informacji” składają się wszelkie komunikaty (wiadomości, wypowiedzi, prezentacje), które są wyrażone i zapisane w dowolny sposób, np. znakami graficznymi, symbolami, w języku komputerowym, na fotografii, na płycie CD lub DVD. Ponadto do danych osobowych zalicza się informacje, które zostały opublikowane, jak również te, które nie zostały jeszcze ujawnione .
Zgodnie z art. 6 ustawy dane osobowe powinny dotyczyć osoby fizycznej. Oznacza to, że przepisów ustawy nie stosuje się do osób prawnych, innych jednostek organizacyjnych nieposiadających osobowości prawnej, organów administracji państwowej, organów administracji samorządowej. Jednak od dnia 1 stycznia 2012 r. przepisy ustawy o ochronie danych osobowych, przy spełnieniu wszystkich przesłanek określonych w art. 6 ustawy, mogą mieć zastosowanie także do informacji identyfikujących przedsiębiorców w obrocie gospodarczym. Powyższe stanowisko potwierdził Generalny Inspektor Ochrony Danych Osobowych (GIODO), który wskazał, że od dnia 1 stycznia 2012 r. administratorzy danych osobowych powinni wypełniać wszystkie obowiązki określone w ustawie także w stosunku do przedsiębiorców .
Dane osobowe powinny umożliwiać ustalenie tożsamości (zidentyfikowanie) konkretnej osoby fizycznej. Należy zatem do nich zaliczyć przede wszystkim:
a. imię i nazwisko;
b. nazwisko panieńskie kobiety;
c. datę i miejsce urodzenia;
d. imiona rodziców;
e. miejsce zamieszkania;
f. numer PESEL;
g. numer NIP;
h. numer dokumentu tożsamości, np. dowodu osobistego lub paszportu;
i. wizerunek (zdjęcie);
j. informacje o zatrudnieniu;
k. stan cywilny.
Do pojęcia „danych osobowych” odnosi się liczne orzecznictwo sądów administracyjnych. W wyroku z dnia 18 listopada 2009 r. Naczelny Sąd Administracyjny (NSA) orzekł, że dane osobowe to zespół wiadomości (komunikatów) o konkretnym człowieku na tyle zintegrowany, że pozwala na jego zindywidualizowanie. Obejmuje co najmniej informacje niezbędne do identyfikacji (imię, nazwisko, miejsce zamieszkania), jednakże się do tego nie ogranicza, ponieważ mieszczą się w nim również dalsze informacje, wzmacniające stopień identyfikacji. Z pewnością należą do nich zdjęcia osoby fizycznej, chociażby wykonane w przeszłości, umożliwiające jej identyfikację. W sytuacji gdy zdjęcie takie jest umieszczone wraz z imieniem i nazwiskiem osoby na nim występującej w miejscu dostępnym dla nieograniczonej liczby podmiotów, należy uznać, iż stanowi ono dane osobowe podlegające ochronie na podstawie ustawy o ochronie danych osobowych. O zakwalifikowaniu danej informacji do kategorii danych osobowych decydują przede wszystkim obiektywne kryteria oceny, przy czym uwzględnić należy wszystkie informacje, w tym także pozajęzykowe (kontekst), do jakich dostęp mają osoby trzecie . W późniejszym wyroku NSA orzekł, że informacje, które bez nadzwyczajnego wysiłku, bez nieproporcjonalnie dużych nakładów dają się „powiązać” z określoną osobą, zwłaszcza przy wykorzystaniu łatwo osiągalnych źródeł powszechnie dostępnych, również zasługują na zaliczenie ich do kategorii danych osobowych .
Za daną osobową może być także uznany adres IP, jeżeli jest na dłuższy czas lub na stałe przypisany do konkretnego urządzenia, a urządzenie to przypisane jest konkretnemu użytkownikowi, gdyż umożliwia identyfikację konkretnej osoby fizycznej .
Do informacji umożliwiającej zidentyfikowanie osoby fizycznej zaliczono także informację o posiadaniu konta bankowego przez zindywidualizowaną osobę. Jak wyjaśnił bowiem Naczelny Sąd Administracyjny, taka informacja pozwala na identyfikację właściciela konta z uwagi na dane osobowe zawarte w umowie o otwarcie konta bankowego. Podobny charakter ma też podanie wysokości zgromadzonych wkładów, gdyż informacja taka identyfikuje cechy ekonomiczne właściciela konta . Do informacji umożliwiającej zidentyfikowanie osoby fizycznej można zaliczyć także numery ksiąg wieczystych, skoro w księgach tych są między innymi ujawnione podmioty będące właścicielami i użytkownikami wieczystymi nieruchomości, dla których księgi te są prowadzone .
Ponadto przetworzone do postaci cyfrowej informacje o charakterystycznych punktach linii papilarnych palców pracowników są ich danymi osobowymi . Nie ulega bowiem wątpliwości, że takie dane jak linie papilarne, wzór siatkówki oka lub struktura kodu genetycznego mogą przyczynić się do identyfikacji osoby fizycznej.
W ustawie fundamentalne znaczenie ma pojęcie „zbioru danych”. Poprzez „zbiór danych” należy rozumieć każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie. Oczywiście zbiór danych powinien odnosić się do danych osobowych, o których mowa w art. 6 ustawy. Na zbiór ten mogą składać się dane wyrażone w różnej formie – słowem, dźwiękiem lub obrazem. Nie ma także znaczenia, czy zbiór danych odnosi się tylko do jednej osoby, czy też dotyczy wielu osób. Przyjmuje się, że nie ma ograniczeń co do ilości danych o osobie. Zbiór może dotyczyć jednej lub większej ilości danych. Niemniej jednak w zbiorze nie może być przetwarzana tylko jedna informacja osobowa .
W zbiorze dane mogą być utrwalone w dowolnej formie. Mogą być wyrażone w formie pisemnej, dźwiękowej, elektronicznej, obrazu itp. Mimo to zbiór danych powinien charakteryzować się określoną strukturą. Powinna ona być zharmonizowana. Przede wszystkim zbiór powinien być sporządzony według określonych kryteriów. Jego cechą powinien być bowiem łatwy dostęp do określonych danych. Zbiór danych spełni powyższe kryterium, jeżeli będzie posiadał indeks alfabetyczny. Nadto zbiór danych może stanowić jedną całość lub być podzielony funkcjonalnie. Obecnie nie ma przeszkód technicznych, aby system informatyczny składał się z większej liczby baz danych. Bazy danych mogą znajdować się w jednym komputerze lub też mogą być zlokalizowane w wielu miejscach (na kilku serwerach w różnych miastach). Niezbędne jest jednak, aby zbiór lokalnych baz stanowił całość. W literaturze tego typu bazę określa się mianem bazy rozproszonej .
Kolejne ważne pojęcie stanowi „przetwarzanie danych”. Zgodnie z ustawą poprzez przetwarzanie danych należy rozumieć jakiekolwiek operacje wykonywane na danych osobowych, takie jak:
a. zbieranie;
b. utrwalanie;
c. przechowywanie;
d. opracowywanie;
e. zmienianie;
f. udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych.
Powyższa definicja jest zatem bardzo szeroka. Spełnienie którejkolwiek z powyższych przesłanek powoduje, iż mamy do czynienia z przetwarzaniem danych osobowych. Wyliczenie to nie ma charakteru enumeratywnego, co oznacza, że także innego rodzaju operacje na danych osobowych mogą być uznane za przetwarzanie danych. W literaturze prezentowany jest pogląd, zgodnie z którym już samo czytanie danych osobowych przez administratora danych lub przez jego pracownika może być zakwalifikowane jako przetwarzanie danych osobowych . Warto także zwrócić uwagę na wyrok Naczelnego Sądu Administracyjnego, który orzekł, że nabycie bazy danych w drodze umowy cywilnoprawnej jest sposobem uzyskiwania czy wydostawania (danych), co prowadzi do konkluzji, iż zakup bazy danych jest tożsamy z procesem ich zbierania i pozyskiwania . Takie działanie może zatem zostać zakwalifikowane jako przetwarzanie danych osobowych.
Poprzez „system informatyczny” należy rozumieć zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych. Jak zauważył Naczelny Sąd Administracyjny, definicja systemu informatycznego w ustawie o ochronie danych osobowych jest bardzo pojemna. Nie można z niej wyeliminować procedur przetwarzania danych w innych formach niż elektroniczna. Procedury te mogą mieć charakter tradycyjny (np. ewidencje, skoroszyty), a nie tylko formę skondensowanego, jednomodułowego zbioru danych, np. w komputerze lub na dyskietce. ZUS i inne podmioty mogą więc – jeśli tak wynika z przyjętych przez nie procedur – gromadzić dane w systemie elektronicznym, a w inny sposób rejestrować informacje o osobach, które miały do nich dostęp, oraz o czasie udostępniania danych .
Ustawodawca wyjaśnił, że „zabezpieczenie danych w systemie informatycznym” oznacza wdrożenie i eksploatację stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem.
Z kolei poprzez „usuwanie danych” należy rozumieć:
a. zniszczenie danych osobowych;
b. taką ich modyfikację, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą.
Usunięcie danych osobowych powinno zatem uniemożliwić administratorowi danych ich dalsze przetwarzanie.
Szczególną uwagę należy zwrócić na pojęcie „administratora danych”, przez którego rozumie się organ, jednostkę organizacyjną, podmiot lub osobę, o których mowa w art. 3, decydujące o celach i środkach przetwarzania danych osobowych.
Administratorem danych osobowych może być:
a. organ państwowy;
b. organ samorządowy;
c. państwowa jednostka organizacyjna;
d. osoba fizyczna, osoba prawna lub jednostka organizacyjna nieposiadająca osobowości prawnej, jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych .
Przyjmuje się, że administratorem danych może być taki podmiot, który decyduje o celach i środkach przetwarzania danych osobowych. Wobec powyższego administratorami danych mogą być podmioty publiczne oraz podmioty prywatne .
R. Hauser zauważył, że: „o tym, czy dany organ, jednostka organizacyjna albo innego rodzaju podmiot jest administratorem danych osobowych, decyduje przede wszystkim rodzaj i charakter nadanych im przez prawo kompetencji z obszaru spraw publicznych oraz wyznaczone ustawowo zadania. Do uznania danego podmiotu za administratora danych potrzebna jest jednak zawsze analiza konkretnych przepisów mających zastosowanie w określonej sytuacji, dokonywana wedle skomplikowanych reguł interpretacji tekstu prawnego” .
Administratorami danych osobowych mogą być też liczne podmioty prywatne. Administratorem może być np. osoba fizyczna prowadząca działalność gospodarczą lub spółka prawa handlowego. W przypadku osoby fizycznej prowadzącej działalność gospodarczą osoba ta będzie administratorem danych. Jednakże w przypadku spółki prawa handlowego, np. spółki z ograniczoną odpowiedzialnością, owej spółce będzie przysługiwał ten status. Administratorem danych nie będzie zatem żaden z członków zarządu ani też zarząd jako ciało kolegialne.
Niezbędne jest, aby administrator danych zajmował się przetwarzaniem danych osobowych oraz podejmował decyzje w zakresie celów i środków przetwarzania tych danych.
Z sektora publicznego administratorami danych osobowych mogą być np.:
a. Kancelaria Sejmu;
b. Kancelaria Senatu;
c. ministerstwa;
d. sądy;
e. prokuratury;
f. urzędy skarbowe;
g. gminy;
h. powiaty;
i. województwa.
Natomiast z sektora prywatnego do administratora danych osobowych można zaliczyć:
a. osoby fizyczne;
b. spółki jawne;
c. spółki partnerskie;
d. spółki komandytowe;
e. spółki komandytowo-akcyjne;
f. spółki z ograniczoną odpowiedzialnością;
g. spółki akcyjne;
h. stowarzyszenia;
i. fundacje;
– o ile przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych.
Przyjmuje się także, że w zakresie ochrony pracowniczych danych osobowych status administratora danych należy przyznać pracodawcy, w rozumieniu artykułu 3 Kodeksu pracy . Zgodnie z tym przepisem pracodawcą jest jednostka organizacyjna, choćby nie posiadała osobowości prawnej, a także osoba fizyczna, jeżeli zatrudniają one pracowników.
W wyroku z dnia 31 stycznia 2012 r. Naczelny Sąd Administracyjny orzekł, że przyjęte w ustawie rozwiązania nie wykluczają przyznania statusu administratora danych dla dwóch podmiotów .
Warto wiedzieć, że administratorem danych osobowych nie jest osoba (podmiot), której administrator powierzył przetwarzanie danych. Zgodnie bowiem z art. 31 ustawy:
1. Administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych.
2. Podmiot, o którym mowa w ust. 1, może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie.
3. Podmiot, o którym mowa w ust. 1, jest obowiązany przed rozpoczęciem przetwarzania danych podjąć środki zabezpieczające zbiór danych, o których mowa w art. 36–39 ustawy, oraz spełnić wymagania określone w przepisach, o których mowa w art. 39a ustawy. W zakresie przestrzegania tych przepisów podmiot ponosi odpowiedzialność jak administrator danych.
4. W przypadkach, o których mowa w ust. 1–3, odpowiedzialność za przestrzeganie przepisów niniejszej ustawy spoczywa na administratorze danych, co nie wyłącza odpowiedzialności podmiotu, który zawarł umowę, za przetwarzanie danych niezgodnie z tą umową.
5. Do kontroli zgodności przetwarzania danych przez podmiot, o którym mowa w ust. 1, z przepisami o ochronie danych osobowych stosuje się odpowiednio przepisy art. 14–19 ustawy.
Na podstawie powyższego przepisu administrator może zlecić przetwarzanie danych innemu podmiotowi. Nie ma przeszkód, aby administrator powierzył kilku podmiotom przetwarzanie danych osobowych w jego imieniu. Wymaga podkreślenia, że do powierzenia przetwarzania danych osobowych nie jest wymagana zgoda osoby, której dane dotyczą.
W działalności gospodarczej duże znaczenie może mieć kwestia powierzenia przetwarzania danych osobowych. Przede wszystkim może to mieć wpływ na obniżenie kosztów. Tego typu rozwiązanie pozwala skorzystać z usług wyspecjalizowanych podmiotów, np. umożliwia skorzystanie z usług podmiotu, który zajmuje się masową wysyłką korespondencji reklamowej lub prowadzącego obsługę spraw kadrowych.
Czasami może pojawić się problem z odróżnieniem administratora danych oraz podmiotu, któremu powierzono przetwarzanie danych. W doktrynie przyjmuje się, że podmiot, któremu powierzono przetwarzanie danych, nie powinien być co do zasady traktowany jako administrator danych . Wobec powyższego w stosunku do podmiotu, któremu powierzono przetwarzanie danych osobowych, nie powinny być stosowane takie obowiązki, jak m.in.:
a. zgłoszenie zbioru danych osobowych do rejestracji;
b. wykonywanie obowiązków informacyjnych, o których mowa w art. 25 i 26 ustawy;
c. realizowanie prawa do kontroli przetwarzania danych osobowych, o której mowa w art. 33 ustawy.
Naczelny Sąd Administracyjny w wyroku z dnia 31 stycznia 2012 r. stwierdził, iż przewidziana w art. 31 ustawy instytucja powierzenia przetwarzania danych osobowych wymaga, by zlecającym był właśnie administrator danych, czyli podmiot aktualnie przetwarzający dane osobowe, a nie podmiot mający przetwarzać dane, gdyż tylko przetwarzający dane osobowe decyduje, jak tego wymaga ustawowa definicja administratora danych, o celach i środkach przetwarzania danych, a więc szeregu składających się na ten proces czynności, które mają miejsce, a nie, które zostaną przyjęte .
Niemniej jednak, aby zapewnić właściwą ochronę danych powierzonych do przetwarzania, podmiot je przetwarzający powinien być zobowiązany do odpowiedniego zabezpieczenia zbiorów danych osobowych. W szczególności podmiot podejmujący się przetwarzania danych na zlecenie powinien zastosować środki techniczne i organizacyjne, które zapewnią ochronę przetwarzanych danych osobowych. Podmiot taki powinien zatem zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, zmianą, utratą, uszkodzeniem lub zniszczeniem. W celu spełnienia powyższych obowiązków podmiot przetwarzający dane na zlecenie powinien zadbać, aby jego pracownicy posiadali stosowne, indywidualne upoważnienia do przetwarzania danych osobowych oraz zobowiązali się do zachowania w tajemnicy owych danych. Ponadto wskazane jest prowadzenie ewidencji osób upoważnionych do przetwarzania danych osobowych.
W celu powierzenia przetwarzania danych osobowych niezbędne jest zawarcie umowy na piśmie. Umowa powinna określać zakres i cel przetwarzania danych osobowych. Ponadto podmiot (zleceniobiorca) może przetwarzać dane osobowe wyłącznie w takim zakresie, jaki został wskazany w umowie. Przetwarzanie danych może być także realizowane jedynie w ściśle określonym celu. Naruszenie postanowień umownych, tj. naruszenie zakresu i celu przetwarzania danych, może skutkować nie tylko odpowiedzialnością względem administratora danych, ale także może spowodować podjęcie kroków prawnych przez Generalnego Inspektora Ochrony Danych Osobowych.
Pomimo powierzenia przetwarzania danych osobowych administrator danych może ponieść odpowiedzialność, jeżeli podmiot przetwarzający dane dopuści się naruszenia przepisów ustawy. W szczególności chodzi o sytuację, gdy dane będą przetwarzane niezgodnie z celem, dla którego były zbierane, bądź gdy dojdzie do naruszenia praw osób, których one dotyczą.
W tym miejscu warto wyjaśnić, że zgodnie z ustawą poprzez „zgodę osoby, której dane dotyczą” należy rozumieć oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie. Zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści. Osoba zainteresowana może w każdym czasie odwołać swoją zgodę. Powyższe potwierdził Wojewódzki Sąd Administracyjny w Warszawie w wyroku z dnia 21 października 2009 r., w którym stwierdził, że podmiot danych osobowych ma prawo kształtować swoją sytuację prawną w sferze własnych danych osobowych, a zatem również wycofać zgodę na przetwarzanie danych. Nie można więc podzielić poglądu, że zgoda jest oświadczeniem woli nieodwoływalnym. Ponadto, gdy oświadczenie woli ma dotyczyć różnych celów przetwarzania danych osobowych, zgoda na przetwarzanie danych osobowych winna być wyrażona wyraźnie pod każdym z tych celów. Zgoda musi być sformułowana w sposób wyraźny, jednoznaczny i wyróżniać się spośród innych pochodzących od tej osoby informacji i oświadczeń. Nie może mieć ona charakteru abstrakcyjnego, lecz winna odnosić się do skonkretyzowanego stanu faktycznego, obejmując tylko określone dane oraz sprecyzowany sposób i cel ich przetwarzania . Ważne jest także, aby wyrażający zgodę na przetwarzanie swoich danych osobowych w chwili składania takiego oświadczenia posiadał świadomość konsekwencji swojej decyzji. Zgoda musi mieć charakter wyraźny, zaś jej wszystkie aspekty powinny być jasne dla osoby zainteresowanej w momencie jej wyrażania .
Kolejnym pojęciem występującym w ustawie jest „odbiorca danych”. Poprzez odbiorcę danych rozumie się każdego, komu udostępnia się dane osobowe, z wyłączeniem:
a. osoby, której dane dotyczą;
b. osoby upoważnionej do przetwarzania danych;
c. przedstawiciela, o którym mowa w art. 31a ustawy;
d. podmiotu, o którym mowa w art. 31 ustawy;
e. organów państwowych lub organów samorządu terytorialnego, którym dane są udostępniane w związku z prowadzonym postępowaniem.
Warto zauważyć, że ustawodawca nie zdefiniował pojęcia udostępniania danych. Dlatego należy uznać, że udostępnianie danych zalicza się do szerokiego zakresu przetwarzania danych osobowych .
Ustrój organów ochrony danych osobowych
W Polsce organem do spraw ochrony danych osobowych jest Generalny Inspektor Ochrony Danych Osobowych (GIODO). Jest powoływany i odwoływany przez Sejm Rzeczypospolitej Polskiej za zgodą Senatu.
Do zadań GIODO należy w szczególności:
1) kontrola zgodności przetwarzania danych z przepisami o ochronie danych osobowych;
2) wydawanie decyzji administracyjnych i rozpatrywanie skarg w sprawach wykonania przepisów o ochronie danych osobowych;
3) zapewnienie wykonania przez zobowiązanych obowiązków o charakterze niepieniężnym wynikających z decyzji, o których mowa w pkt 2, przez stosowanie środków egzekucyjnych przewidzianych w ustawie z dnia 17 czerwca 1966 r. o postępowaniu egzekucyjnym w administracji;
4) prowadzenie rejestru zbiorów danych oraz udzielanie informacji o zarejestrowanych zbiorach;
5) opiniowanie projektów ustaw i rozporządzeń dotyczących ochrony danych osobowych;
6) inicjowanie i podejmowanie przedsięwzięć w zakresie doskonalenia ochrony danych osobowych;
7) uczestniczenie w pracach międzynarodowych organizacji i instytucji zajmujących się problematyką ochrony danych osobowych.
Kontrola przetwarzania danych osobowych
Ustawa umożliwia GIODO przeprowadzanie kontroli w bardzo szerokim zakresie. Powinna być ona przeprowadzona w taki sposób, aby możliwe było ustalenie, czy podmiot kontrolowany przestrzega przepisów ustawy. Organ kontrolujący zobowiązany jest do udokumentowania dokonanych ustaleń, tj. sporządzenia protokołu pokontrolnego. Przeważnie kontrola będzie przeprowadzana w siedzibie kontrolowanego podmiotu. Nie można jednak wykluczyć przypadku, gdy kontrola zostanie przeprowadzona w innym miejscu (np. oddziale), w którym dokonywane jest faktyczne przetwarzanie danych osobowych. GIODO może kontrolować w takim samym zakresie podmioty publiczne oraz podmioty prywatne. GIODO w szczególności umocowany jest do wydawania decyzji administracyjnych nakazujących przywrócenie stanu zgodnego z prawem.
Trzeba podkreślić, że GIODO może wykonywać uprawnienia kontrolne zarówno w stosunku do tych podmiotów, które zobowiązane są do zgłoszenia zbioru danych do rejestracji, jak również w odniesieniu do podmiotów, które nie są ustawowo zobowiązane do zarejestrowania posiadanego zbioru.
GIODO posiada uprawnienia do kontrolowania administratorów danych osobowych, jak również podmiotów, którym na podstawie umowy cywilnoprawnej zlecono przetwarzanie danych osobowych.
Przeprowadzając kontrolę, GIODO powinien zwrócić szczególną uwagę na:
a. legalność przetwarzania danych osobowych. Kontrolowany powinien zatem udowodnić co najmniej jedną przesłankę legalności przetwarzania danych osobowych, o których mowa w art. 23 ustawy ;
b. legalność przetwarzania danych osobowych szczególnie chronionych . W tym przypadku również na kontrolowanym spoczywa obowiązek wykazania, iż dane pozyskał i przetwarza zgodnie z przepisami ustawy;
c. zakres i cel przetwarzania danych;
d. adekwatność danych osobowych do celu przetwarzania. Na kontrolowanym spoczywa obowiązek wykazania, że dane przetwarzane są w takim celu, do jakiego zostały pozyskane ;
e. obowiązek informacyjny;
f. zgłoszenie zbioru do rejestru. GIODO poddaje szczególnemu badaniu, czy określony zbiór danych podlega rejestracji zgodnie z przepisami ustawy;
g. powierzenie przetwarzania danych osobowych. GIODO sprawdza, czy doszło do zgodnego z ustawą powierzenia przetwarzania danych osobowych. W tym zakresie GIODO w szczególności analizuje treść umowy ;
h. zabezpieczenie danych osobowych. GIODO poddaje ścisłej kontroli, czy administrator danych w sposób odpowiedni zastosował środki techniczne i organizacyjne w celu zapewnienia ochrony danych osobowych.
Zgodnie z ustawą w celu wykonania zadań kontrolnych GIODO jego zastępca lub upoważnieni przez niego inspektorzy mają prawo:
1. wstępu, w godzinach od 6.00 do 22.00, za okazaniem imiennego upoważnienia i legitymacji służbowej, do pomieszczenia, w którym zlokalizowany jest zbiór danych, oraz pomieszczenia, w którym przetwarzane są dane poza zbiorem danych, i przeprowadzenia niezbędnych badań lub innych czynności kontrolnych w celu oceny zgodności przetwarzania danych z ustawą;
2. żądać złożenia pisemnych lub ustnych wyjaśnień oraz wzywać i przesłuchiwać osoby w zakresie niezbędnym do ustalenia stanu faktycznego;
3. wglądu do wszelkich dokumentów i wszelkich danych mających bezpośredni związek z przedmiotem kontroli oraz sporządzania ich kopii;
4. przeprowadzania oględzin urządzeń, nośników oraz systemów informatycznych służących do przetwarzania danych;
5. zlecać sporządzanie ekspertyz i opinii.
Podmioty kontrolowane zobowiązane są umożliwić inspektorowi przeprowadzenie kontroli.
Kontrolę przeprowadza się po okazaniu imiennego upoważnienia wraz z legitymacją służbową. Imienne upoważnienie powinno zawierać:
1. wskazanie podstawy prawnej przeprowadzenia kontroli;
2. oznaczenie organu kontroli;
3. imię i nazwisko, stanowisko służbowe osoby upoważnionej do przeprowadzenia kontroli oraz numer jej legitymacji służbowej;
4. określenie zakresu przedmiotowego kontroli;
5. oznaczenie podmiotu objętego kontrolą albo zbioru danych, albo miejsca poddawanego kontroli;
6. wskazanie daty rozpoczęcia i przewidywanego terminu zakończenia kontroli;
7. podpis GIODO;
8. pouczenie kontrolowanego podmiotu o jego prawach i obowiązkach;
9. datę i miejsce wystawienia imiennego upoważnienia.
Inspektor przeprowadzający kontrolę zobowiązany jest z czynności kontrolnych sporządzić pisemny protokół. Jeden egzemplarz protokołu powinien zostać doręczony podmiotowi kontrolowanemu.
Protokół kontroli powinien zawierać:
1. nazwę podmiotu kontrolowanego w pełnym brzmieniu i jego adres;
2. imię i nazwisko, stanowisko służbowe, numer legitymacji służbowej oraz numer upoważnienia inspektora;
3. imię i nazwisko osoby reprezentującej podmiot kontrolowany oraz nazwę organu reprezentującego ten podmiot;
4. datę rozpoczęcia i zakończenia czynności kontrolnych, z wymienieniem dni przerw w kontroli;
5. określenie przedmiotu i zakresu kontroli;
6. opis stanu faktycznego stwierdzonego w toku kontroli oraz inne informacje mające istotne znaczenie dla oceny zgodności przetwarzania danych z przepisami o ochronie danych osobowych;
7. wyszczególnienie załączników stanowiących składową część protokołu;
8. omówienie dokonanych w protokole poprawek, skreśleń i uzupełnień;
9. parafy inspektora i osoby reprezentującej podmiot kontrolowany na każdej stronie protokołu;
10. wzmiankę o doręczeniu egzemplarza protokołu osobie reprezentującej podmiot kontrolowany;
11. wzmiankę o wniesieniu lub niewniesieniu zastrzeżeń i uwag do protokołu;
12. datę i miejsce podpisania protokołu przez inspektora oraz przez osobę lub organ reprezentujący podmiot kontrolowany.
Protokół podpisują inspektor i kontrolowany administrator danych, który może wnieść do niego umotywowane zastrzeżenia i uwagi. W razie odmowy podpisania protokołu przez kontrolowanego administratora danych inspektor czyni o tym wzmiankę w protokole, a odmawiający podpisu może, w terminie siedmiu dni, przedstawić swoje stanowisko na piśmie Generalnemu Inspektorowi Ochrony Danych Osobowych.
W przypadku naruszenia przepisów o ochronie danych osobowych GIODO z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej, nakazuje przywrócenie stanu zgodnego z prawem, a w szczególności:
1. usunięcie uchybień;
2. uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych;
3. zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe;
4. wstrzymanie przekazywania danych osobowych do państwa trzeciego;
5. zabezpieczenie danych lub przekazanie ich innym podmiotom;
6. usunięcie danych osobowych.
Jeżeli GIODO stwierdzi, że doszło do popełnienia przestępstwa określonego w ustawie, może złożyć stosowne zawiadomienie do organów ścigania.
Ponadto w celu doskonalenia ochrony danych osobowych GIODO może kierować wystąpienia do:
1. organów państwowych;
2. organów samorządu terytorialnego;
3. państwowych i komunalnych jednostek organizacyjnych;
4. podmiotów niepublicznych realizujących zadania publiczne;
5. osób fizycznych;
6. osób prawnych;
7. jednostek organizacyjnych niebędących osobami prawnymi;
8. innych podmiotów.
Warto podkreślić, że GIODO może występować do właściwych organów z wnioskami o podjęcie inicjatywy ustawodawczej albo o wydanie bądź zmianę aktów prawnych w sprawach dotyczących ochrony danych osobowych. Podmiot, do którego zostało skierowane wystąpienie lub wniosek, jest obowiązany ustosunkować się do nich na piśmie w terminie 30 dni od daty ich otrzymania.
Strona może zwrócić się do GIODO z wnioskiem o ponowne rozpatrzenie sprawy. Na decyzję GIODO w przedmiocie wniosku o ponowne rozpatrzenie sprawy stronie przysługuje skarga do sądu administracyjnego.
Podstawy ochrony danych osobowych zostały określone w Konstytucji Rzeczypospolitej Polskiej . Artykuł 51 Konstytucji stanowi bowiem, że:
1. Nikt nie może być obowiązany inaczej niż na podstawie ustawy do ujawniania informacji dotyczących jego osoby.
2. Władze publiczne nie mogą pozyskiwać, gromadzić i udostępniać innych informacji o obywatelach niż niezbędne w demokratycznym państwie prawnym.
3. Każdy ma prawo dostępu do dotyczących go urzędowych dokumentów i zbiorów danych. Ograniczenie tego prawa może określić ustawa.
4. Każdy ma prawo do żądania sprostowania oraz usunięcia informacji nieprawdziwych, niepełnych lub zebranych w sposób sprzeczny z ustawą.
5. Zasady i tryb gromadzenia oraz udostępniania informacji określa ustawa.
Warto podkreślić, że Konstytucja w bardzo ogólny sposób odnosi się do ochrony praw i wolności obywatelskich. Zgodnie z art. 51 ust. 5 Konstytucji szczegółowe zasady gromadzenia i udostępniania informacji powinny być uregulowane w akcie prawnym rangi ustawowej. Z powyższych względów niezbędne było wprowadzenie ustawy, która unormowała w sposób całościowy kwestię przetwarzania danych osobowych.
Duży wpływ na treść polskiej ustawy o ochronie danych osobowych miały regulacje międzynarodowe. W szczególności należy tutaj wskazać konwencję nr 108 Rady Europy oraz dyrektywę 95/46/WE Parlamentu Europejskiego i Rady Unii Europejskiej .
Ustawa o ochronie danych osobowych reguluje takie kwestie, jak:
a. organy ochrony danych osobowych;
b. zasady przetwarzania danych osobowych;
c. prawa osób, których dane osobowe dotyczą;
d. zabezpieczanie danych osobowych;
e. rejestracja zbiorów danych osobowych;
f. przekazywanie danych osobowych do państw trzecich;
g. ustawa zawiera także przepisy karne.
Ustawa ma ogromne znaczenie dla przedsiębiorców. Prowadzenie działalności gospodarczej bowiem niejako „zmusza” przedsiębiorców do zbierania jak największej ilości danych osobowych potencjalnych klientów. Związane jest to z koniecznością dotarcia z ofertą do dużej grupy odbiorców, odpowiedniego dostosowania oferty do potrzeb klientów, prowadzenia działań marketingowych. Niewątpliwie w wielu przypadkach posiadanie dużej bazy danych osobowych może ułatwić osiągnięcie sukcesu gospodarczego. Z drugiej strony, ustawa ma zapobiegać nadużyciom, w szczególności nieuprawnionemu przetwarzaniu danych osobowych.
Ustawa w art. 1 ust. 1 normuje fundamentalną zasadę, zgodnie z którą każdy ma prawo do ochrony dotyczących go danych osobowych. Oznacza to, że każda osoba fizyczna może domagać się ochrony swoich danych osobowych. Należy przy tym zgodzić się ze stanowiskiem prezentowanym w doktrynie, że w kwestii ochrony danych osobowych nie mają znaczenia takie okoliczności, jak:
a. narodowość;
b. obywatelstwo;
c. zdolność do czynności prawnych;
d. wiek;
e. stan psychiczny;
f. karalność .
Ustawa określa zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane osobowe są lub mogą być przetwarzane w zbiorach danych.
Wymaga podkreślenia, że ustawę należy stosować do przetwarzania danych osobowych w:
a. kartotekach;
b. skorowidzach;
c. księgach;
d. wykazach;
e. innych zbiorach ewidencyjnych;
f. systemach informatycznych – także w przypadku przetwarzania danych poza zbiorem danych.
Przepisy ustawy stosuje się do:
a. organów państwowych;
b. organów samorządu terytorialnego;
c. państwowych i komunalnych jednostek organizacyjnych.
Ponadto przepisy ustawy należy stosować także do:
a. podmiotów niepublicznych, które realizują zadania publiczne;
b. osób fizycznych, osób prawnych oraz jednostek organizacyjnych niebędących osobami prawnymi, jeżeli podmioty te przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych.
W powyższym przypadku ustawa znajdzie zastosowanie, jeżeli owe podmioty będą miały siedzibę albo miejsce zamieszkania na terytorium Polski, albo w państwie trzecim, o ile przetwarzają dane osobowe przy wykorzystaniu środków technicznych znajdujących się na terytorium Polski.
Warto wskazać także przypadki, w których nie będą miały zastosowania przepisy ustawy. Zgodnie z art. 3a ustawy nie stosuje się do:
a. osób fizycznych, które przetwarzają dane wyłącznie w celach osobistych lub domowych;
b. podmiotów mających siedzibę lub miejsce zamieszkania w państwie trzecim, wykorzystujących środki techniczne znajdujące się na terytorium Polski wyłącznie do przekazywania danych.
Co do zasady ustawy nie stosuje się także do prasowej działalności dziennikarskiej w rozumieniu ustawy – Prawo prasowe oraz do działalności literackiej lub artystycznej, chyba że wolność wyrażania swoich poglądów i rozpowszechniania informacji istotnie narusza prawa i wolności osoby, której dane dotyczą.
Brzmienie art. 2 ust. 1 ustawy jednoznacznie wskazuje, że działaniem ustawy objęte są tylko przypadki przetwarzania danych osób fizycznych i nie ma podstaw do jej stosowania nawet per analogiam do osób prawnych lub jednostek organizacyjnych nieposiadających osobowości prawnej .
Wymaga również podkreślenia, że – zgodnie z normą kolizyjną określoną w art. 5 ustawy – jeżeli odrębna ustawa przewiduje większą ochronę danych osobowych, należy stosować jej przepisy.
Do właściwego zrozumienia przepisów ustawy niezbędne jest zapoznanie się ze stosowaną terminologią. Za „dane osobowe” uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Ustawodawca jednocześnie wyjaśnił, że osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.
W literaturze przedmiotu wyróżnia się trzy elementy, które składają się na „dane osobowe”, mianowicie:
a. informacja;
b. dotycząca osoby fizycznej;
c. zidentyfikowanej lub możliwej do zidentyfikowania .
Na pojęcie „informacji” składają się wszelkie komunikaty (wiadomości, wypowiedzi, prezentacje), które są wyrażone i zapisane w dowolny sposób, np. znakami graficznymi, symbolami, w języku komputerowym, na fotografii, na płycie CD lub DVD. Ponadto do danych osobowych zalicza się informacje, które zostały opublikowane, jak również te, które nie zostały jeszcze ujawnione .
Zgodnie z art. 6 ustawy dane osobowe powinny dotyczyć osoby fizycznej. Oznacza to, że przepisów ustawy nie stosuje się do osób prawnych, innych jednostek organizacyjnych nieposiadających osobowości prawnej, organów administracji państwowej, organów administracji samorządowej. Jednak od dnia 1 stycznia 2012 r. przepisy ustawy o ochronie danych osobowych, przy spełnieniu wszystkich przesłanek określonych w art. 6 ustawy, mogą mieć zastosowanie także do informacji identyfikujących przedsiębiorców w obrocie gospodarczym. Powyższe stanowisko potwierdził Generalny Inspektor Ochrony Danych Osobowych (GIODO), który wskazał, że od dnia 1 stycznia 2012 r. administratorzy danych osobowych powinni wypełniać wszystkie obowiązki określone w ustawie także w stosunku do przedsiębiorców .
Dane osobowe powinny umożliwiać ustalenie tożsamości (zidentyfikowanie) konkretnej osoby fizycznej. Należy zatem do nich zaliczyć przede wszystkim:
a. imię i nazwisko;
b. nazwisko panieńskie kobiety;
c. datę i miejsce urodzenia;
d. imiona rodziców;
e. miejsce zamieszkania;
f. numer PESEL;
g. numer NIP;
h. numer dokumentu tożsamości, np. dowodu osobistego lub paszportu;
i. wizerunek (zdjęcie);
j. informacje o zatrudnieniu;
k. stan cywilny.
Do pojęcia „danych osobowych” odnosi się liczne orzecznictwo sądów administracyjnych. W wyroku z dnia 18 listopada 2009 r. Naczelny Sąd Administracyjny (NSA) orzekł, że dane osobowe to zespół wiadomości (komunikatów) o konkretnym człowieku na tyle zintegrowany, że pozwala na jego zindywidualizowanie. Obejmuje co najmniej informacje niezbędne do identyfikacji (imię, nazwisko, miejsce zamieszkania), jednakże się do tego nie ogranicza, ponieważ mieszczą się w nim również dalsze informacje, wzmacniające stopień identyfikacji. Z pewnością należą do nich zdjęcia osoby fizycznej, chociażby wykonane w przeszłości, umożliwiające jej identyfikację. W sytuacji gdy zdjęcie takie jest umieszczone wraz z imieniem i nazwiskiem osoby na nim występującej w miejscu dostępnym dla nieograniczonej liczby podmiotów, należy uznać, iż stanowi ono dane osobowe podlegające ochronie na podstawie ustawy o ochronie danych osobowych. O zakwalifikowaniu danej informacji do kategorii danych osobowych decydują przede wszystkim obiektywne kryteria oceny, przy czym uwzględnić należy wszystkie informacje, w tym także pozajęzykowe (kontekst), do jakich dostęp mają osoby trzecie . W późniejszym wyroku NSA orzekł, że informacje, które bez nadzwyczajnego wysiłku, bez nieproporcjonalnie dużych nakładów dają się „powiązać” z określoną osobą, zwłaszcza przy wykorzystaniu łatwo osiągalnych źródeł powszechnie dostępnych, również zasługują na zaliczenie ich do kategorii danych osobowych .
Za daną osobową może być także uznany adres IP, jeżeli jest na dłuższy czas lub na stałe przypisany do konkretnego urządzenia, a urządzenie to przypisane jest konkretnemu użytkownikowi, gdyż umożliwia identyfikację konkretnej osoby fizycznej .
Do informacji umożliwiającej zidentyfikowanie osoby fizycznej zaliczono także informację o posiadaniu konta bankowego przez zindywidualizowaną osobę. Jak wyjaśnił bowiem Naczelny Sąd Administracyjny, taka informacja pozwala na identyfikację właściciela konta z uwagi na dane osobowe zawarte w umowie o otwarcie konta bankowego. Podobny charakter ma też podanie wysokości zgromadzonych wkładów, gdyż informacja taka identyfikuje cechy ekonomiczne właściciela konta . Do informacji umożliwiającej zidentyfikowanie osoby fizycznej można zaliczyć także numery ksiąg wieczystych, skoro w księgach tych są między innymi ujawnione podmioty będące właścicielami i użytkownikami wieczystymi nieruchomości, dla których księgi te są prowadzone .
Ponadto przetworzone do postaci cyfrowej informacje o charakterystycznych punktach linii papilarnych palców pracowników są ich danymi osobowymi . Nie ulega bowiem wątpliwości, że takie dane jak linie papilarne, wzór siatkówki oka lub struktura kodu genetycznego mogą przyczynić się do identyfikacji osoby fizycznej.
W ustawie fundamentalne znaczenie ma pojęcie „zbioru danych”. Poprzez „zbiór danych” należy rozumieć każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie. Oczywiście zbiór danych powinien odnosić się do danych osobowych, o których mowa w art. 6 ustawy. Na zbiór ten mogą składać się dane wyrażone w różnej formie – słowem, dźwiękiem lub obrazem. Nie ma także znaczenia, czy zbiór danych odnosi się tylko do jednej osoby, czy też dotyczy wielu osób. Przyjmuje się, że nie ma ograniczeń co do ilości danych o osobie. Zbiór może dotyczyć jednej lub większej ilości danych. Niemniej jednak w zbiorze nie może być przetwarzana tylko jedna informacja osobowa .
W zbiorze dane mogą być utrwalone w dowolnej formie. Mogą być wyrażone w formie pisemnej, dźwiękowej, elektronicznej, obrazu itp. Mimo to zbiór danych powinien charakteryzować się określoną strukturą. Powinna ona być zharmonizowana. Przede wszystkim zbiór powinien być sporządzony według określonych kryteriów. Jego cechą powinien być bowiem łatwy dostęp do określonych danych. Zbiór danych spełni powyższe kryterium, jeżeli będzie posiadał indeks alfabetyczny. Nadto zbiór danych może stanowić jedną całość lub być podzielony funkcjonalnie. Obecnie nie ma przeszkód technicznych, aby system informatyczny składał się z większej liczby baz danych. Bazy danych mogą znajdować się w jednym komputerze lub też mogą być zlokalizowane w wielu miejscach (na kilku serwerach w różnych miastach). Niezbędne jest jednak, aby zbiór lokalnych baz stanowił całość. W literaturze tego typu bazę określa się mianem bazy rozproszonej .
Kolejne ważne pojęcie stanowi „przetwarzanie danych”. Zgodnie z ustawą poprzez przetwarzanie danych należy rozumieć jakiekolwiek operacje wykonywane na danych osobowych, takie jak:
a. zbieranie;
b. utrwalanie;
c. przechowywanie;
d. opracowywanie;
e. zmienianie;
f. udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych.
Powyższa definicja jest zatem bardzo szeroka. Spełnienie którejkolwiek z powyższych przesłanek powoduje, iż mamy do czynienia z przetwarzaniem danych osobowych. Wyliczenie to nie ma charakteru enumeratywnego, co oznacza, że także innego rodzaju operacje na danych osobowych mogą być uznane za przetwarzanie danych. W literaturze prezentowany jest pogląd, zgodnie z którym już samo czytanie danych osobowych przez administratora danych lub przez jego pracownika może być zakwalifikowane jako przetwarzanie danych osobowych . Warto także zwrócić uwagę na wyrok Naczelnego Sądu Administracyjnego, który orzekł, że nabycie bazy danych w drodze umowy cywilnoprawnej jest sposobem uzyskiwania czy wydostawania (danych), co prowadzi do konkluzji, iż zakup bazy danych jest tożsamy z procesem ich zbierania i pozyskiwania . Takie działanie może zatem zostać zakwalifikowane jako przetwarzanie danych osobowych.
Poprzez „system informatyczny” należy rozumieć zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych. Jak zauważył Naczelny Sąd Administracyjny, definicja systemu informatycznego w ustawie o ochronie danych osobowych jest bardzo pojemna. Nie można z niej wyeliminować procedur przetwarzania danych w innych formach niż elektroniczna. Procedury te mogą mieć charakter tradycyjny (np. ewidencje, skoroszyty), a nie tylko formę skondensowanego, jednomodułowego zbioru danych, np. w komputerze lub na dyskietce. ZUS i inne podmioty mogą więc – jeśli tak wynika z przyjętych przez nie procedur – gromadzić dane w systemie elektronicznym, a w inny sposób rejestrować informacje o osobach, które miały do nich dostęp, oraz o czasie udostępniania danych .
Ustawodawca wyjaśnił, że „zabezpieczenie danych w systemie informatycznym” oznacza wdrożenie i eksploatację stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem.
Z kolei poprzez „usuwanie danych” należy rozumieć:
a. zniszczenie danych osobowych;
b. taką ich modyfikację, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą.
Usunięcie danych osobowych powinno zatem uniemożliwić administratorowi danych ich dalsze przetwarzanie.
Szczególną uwagę należy zwrócić na pojęcie „administratora danych”, przez którego rozumie się organ, jednostkę organizacyjną, podmiot lub osobę, o których mowa w art. 3, decydujące o celach i środkach przetwarzania danych osobowych.
Administratorem danych osobowych może być:
a. organ państwowy;
b. organ samorządowy;
c. państwowa jednostka organizacyjna;
d. osoba fizyczna, osoba prawna lub jednostka organizacyjna nieposiadająca osobowości prawnej, jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych .
Przyjmuje się, że administratorem danych może być taki podmiot, który decyduje o celach i środkach przetwarzania danych osobowych. Wobec powyższego administratorami danych mogą być podmioty publiczne oraz podmioty prywatne .
R. Hauser zauważył, że: „o tym, czy dany organ, jednostka organizacyjna albo innego rodzaju podmiot jest administratorem danych osobowych, decyduje przede wszystkim rodzaj i charakter nadanych im przez prawo kompetencji z obszaru spraw publicznych oraz wyznaczone ustawowo zadania. Do uznania danego podmiotu za administratora danych potrzebna jest jednak zawsze analiza konkretnych przepisów mających zastosowanie w określonej sytuacji, dokonywana wedle skomplikowanych reguł interpretacji tekstu prawnego” .
Administratorami danych osobowych mogą być też liczne podmioty prywatne. Administratorem może być np. osoba fizyczna prowadząca działalność gospodarczą lub spółka prawa handlowego. W przypadku osoby fizycznej prowadzącej działalność gospodarczą osoba ta będzie administratorem danych. Jednakże w przypadku spółki prawa handlowego, np. spółki z ograniczoną odpowiedzialnością, owej spółce będzie przysługiwał ten status. Administratorem danych nie będzie zatem żaden z członków zarządu ani też zarząd jako ciało kolegialne.
Niezbędne jest, aby administrator danych zajmował się przetwarzaniem danych osobowych oraz podejmował decyzje w zakresie celów i środków przetwarzania tych danych.
Z sektora publicznego administratorami danych osobowych mogą być np.:
a. Kancelaria Sejmu;
b. Kancelaria Senatu;
c. ministerstwa;
d. sądy;
e. prokuratury;
f. urzędy skarbowe;
g. gminy;
h. powiaty;
i. województwa.
Natomiast z sektora prywatnego do administratora danych osobowych można zaliczyć:
a. osoby fizyczne;
b. spółki jawne;
c. spółki partnerskie;
d. spółki komandytowe;
e. spółki komandytowo-akcyjne;
f. spółki z ograniczoną odpowiedzialnością;
g. spółki akcyjne;
h. stowarzyszenia;
i. fundacje;
– o ile przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych.
Przyjmuje się także, że w zakresie ochrony pracowniczych danych osobowych status administratora danych należy przyznać pracodawcy, w rozumieniu artykułu 3 Kodeksu pracy . Zgodnie z tym przepisem pracodawcą jest jednostka organizacyjna, choćby nie posiadała osobowości prawnej, a także osoba fizyczna, jeżeli zatrudniają one pracowników.
W wyroku z dnia 31 stycznia 2012 r. Naczelny Sąd Administracyjny orzekł, że przyjęte w ustawie rozwiązania nie wykluczają przyznania statusu administratora danych dla dwóch podmiotów .
Warto wiedzieć, że administratorem danych osobowych nie jest osoba (podmiot), której administrator powierzył przetwarzanie danych. Zgodnie bowiem z art. 31 ustawy:
1. Administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych.
2. Podmiot, o którym mowa w ust. 1, może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie.
3. Podmiot, o którym mowa w ust. 1, jest obowiązany przed rozpoczęciem przetwarzania danych podjąć środki zabezpieczające zbiór danych, o których mowa w art. 36–39 ustawy, oraz spełnić wymagania określone w przepisach, o których mowa w art. 39a ustawy. W zakresie przestrzegania tych przepisów podmiot ponosi odpowiedzialność jak administrator danych.
4. W przypadkach, o których mowa w ust. 1–3, odpowiedzialność za przestrzeganie przepisów niniejszej ustawy spoczywa na administratorze danych, co nie wyłącza odpowiedzialności podmiotu, który zawarł umowę, za przetwarzanie danych niezgodnie z tą umową.
5. Do kontroli zgodności przetwarzania danych przez podmiot, o którym mowa w ust. 1, z przepisami o ochronie danych osobowych stosuje się odpowiednio przepisy art. 14–19 ustawy.
Na podstawie powyższego przepisu administrator może zlecić przetwarzanie danych innemu podmiotowi. Nie ma przeszkód, aby administrator powierzył kilku podmiotom przetwarzanie danych osobowych w jego imieniu. Wymaga podkreślenia, że do powierzenia przetwarzania danych osobowych nie jest wymagana zgoda osoby, której dane dotyczą.
W działalności gospodarczej duże znaczenie może mieć kwestia powierzenia przetwarzania danych osobowych. Przede wszystkim może to mieć wpływ na obniżenie kosztów. Tego typu rozwiązanie pozwala skorzystać z usług wyspecjalizowanych podmiotów, np. umożliwia skorzystanie z usług podmiotu, który zajmuje się masową wysyłką korespondencji reklamowej lub prowadzącego obsługę spraw kadrowych.
Czasami może pojawić się problem z odróżnieniem administratora danych oraz podmiotu, któremu powierzono przetwarzanie danych. W doktrynie przyjmuje się, że podmiot, któremu powierzono przetwarzanie danych, nie powinien być co do zasady traktowany jako administrator danych . Wobec powyższego w stosunku do podmiotu, któremu powierzono przetwarzanie danych osobowych, nie powinny być stosowane takie obowiązki, jak m.in.:
a. zgłoszenie zbioru danych osobowych do rejestracji;
b. wykonywanie obowiązków informacyjnych, o których mowa w art. 25 i 26 ustawy;
c. realizowanie prawa do kontroli przetwarzania danych osobowych, o której mowa w art. 33 ustawy.
Naczelny Sąd Administracyjny w wyroku z dnia 31 stycznia 2012 r. stwierdził, iż przewidziana w art. 31 ustawy instytucja powierzenia przetwarzania danych osobowych wymaga, by zlecającym był właśnie administrator danych, czyli podmiot aktualnie przetwarzający dane osobowe, a nie podmiot mający przetwarzać dane, gdyż tylko przetwarzający dane osobowe decyduje, jak tego wymaga ustawowa definicja administratora danych, o celach i środkach przetwarzania danych, a więc szeregu składających się na ten proces czynności, które mają miejsce, a nie, które zostaną przyjęte .
Niemniej jednak, aby zapewnić właściwą ochronę danych powierzonych do przetwarzania, podmiot je przetwarzający powinien być zobowiązany do odpowiedniego zabezpieczenia zbiorów danych osobowych. W szczególności podmiot podejmujący się przetwarzania danych na zlecenie powinien zastosować środki techniczne i organizacyjne, które zapewnią ochronę przetwarzanych danych osobowych. Podmiot taki powinien zatem zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, zmianą, utratą, uszkodzeniem lub zniszczeniem. W celu spełnienia powyższych obowiązków podmiot przetwarzający dane na zlecenie powinien zadbać, aby jego pracownicy posiadali stosowne, indywidualne upoważnienia do przetwarzania danych osobowych oraz zobowiązali się do zachowania w tajemnicy owych danych. Ponadto wskazane jest prowadzenie ewidencji osób upoważnionych do przetwarzania danych osobowych.
W celu powierzenia przetwarzania danych osobowych niezbędne jest zawarcie umowy na piśmie. Umowa powinna określać zakres i cel przetwarzania danych osobowych. Ponadto podmiot (zleceniobiorca) może przetwarzać dane osobowe wyłącznie w takim zakresie, jaki został wskazany w umowie. Przetwarzanie danych może być także realizowane jedynie w ściśle określonym celu. Naruszenie postanowień umownych, tj. naruszenie zakresu i celu przetwarzania danych, może skutkować nie tylko odpowiedzialnością względem administratora danych, ale także może spowodować podjęcie kroków prawnych przez Generalnego Inspektora Ochrony Danych Osobowych.
Pomimo powierzenia przetwarzania danych osobowych administrator danych może ponieść odpowiedzialność, jeżeli podmiot przetwarzający dane dopuści się naruszenia przepisów ustawy. W szczególności chodzi o sytuację, gdy dane będą przetwarzane niezgodnie z celem, dla którego były zbierane, bądź gdy dojdzie do naruszenia praw osób, których one dotyczą.
W tym miejscu warto wyjaśnić, że zgodnie z ustawą poprzez „zgodę osoby, której dane dotyczą” należy rozumieć oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie. Zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści. Osoba zainteresowana może w każdym czasie odwołać swoją zgodę. Powyższe potwierdził Wojewódzki Sąd Administracyjny w Warszawie w wyroku z dnia 21 października 2009 r., w którym stwierdził, że podmiot danych osobowych ma prawo kształtować swoją sytuację prawną w sferze własnych danych osobowych, a zatem również wycofać zgodę na przetwarzanie danych. Nie można więc podzielić poglądu, że zgoda jest oświadczeniem woli nieodwoływalnym. Ponadto, gdy oświadczenie woli ma dotyczyć różnych celów przetwarzania danych osobowych, zgoda na przetwarzanie danych osobowych winna być wyrażona wyraźnie pod każdym z tych celów. Zgoda musi być sformułowana w sposób wyraźny, jednoznaczny i wyróżniać się spośród innych pochodzących od tej osoby informacji i oświadczeń. Nie może mieć ona charakteru abstrakcyjnego, lecz winna odnosić się do skonkretyzowanego stanu faktycznego, obejmując tylko określone dane oraz sprecyzowany sposób i cel ich przetwarzania . Ważne jest także, aby wyrażający zgodę na przetwarzanie swoich danych osobowych w chwili składania takiego oświadczenia posiadał świadomość konsekwencji swojej decyzji. Zgoda musi mieć charakter wyraźny, zaś jej wszystkie aspekty powinny być jasne dla osoby zainteresowanej w momencie jej wyrażania .
Kolejnym pojęciem występującym w ustawie jest „odbiorca danych”. Poprzez odbiorcę danych rozumie się każdego, komu udostępnia się dane osobowe, z wyłączeniem:
a. osoby, której dane dotyczą;
b. osoby upoważnionej do przetwarzania danych;
c. przedstawiciela, o którym mowa w art. 31a ustawy;
d. podmiotu, o którym mowa w art. 31 ustawy;
e. organów państwowych lub organów samorządu terytorialnego, którym dane są udostępniane w związku z prowadzonym postępowaniem.
Warto zauważyć, że ustawodawca nie zdefiniował pojęcia udostępniania danych. Dlatego należy uznać, że udostępnianie danych zalicza się do szerokiego zakresu przetwarzania danych osobowych .
Ustrój organów ochrony danych osobowych
W Polsce organem do spraw ochrony danych osobowych jest Generalny Inspektor Ochrony Danych Osobowych (GIODO). Jest powoływany i odwoływany przez Sejm Rzeczypospolitej Polskiej za zgodą Senatu.
Do zadań GIODO należy w szczególności:
1) kontrola zgodności przetwarzania danych z przepisami o ochronie danych osobowych;
2) wydawanie decyzji administracyjnych i rozpatrywanie skarg w sprawach wykonania przepisów o ochronie danych osobowych;
3) zapewnienie wykonania przez zobowiązanych obowiązków o charakterze niepieniężnym wynikających z decyzji, o których mowa w pkt 2, przez stosowanie środków egzekucyjnych przewidzianych w ustawie z dnia 17 czerwca 1966 r. o postępowaniu egzekucyjnym w administracji;
4) prowadzenie rejestru zbiorów danych oraz udzielanie informacji o zarejestrowanych zbiorach;
5) opiniowanie projektów ustaw i rozporządzeń dotyczących ochrony danych osobowych;
6) inicjowanie i podejmowanie przedsięwzięć w zakresie doskonalenia ochrony danych osobowych;
7) uczestniczenie w pracach międzynarodowych organizacji i instytucji zajmujących się problematyką ochrony danych osobowych.
Kontrola przetwarzania danych osobowych
Ustawa umożliwia GIODO przeprowadzanie kontroli w bardzo szerokim zakresie. Powinna być ona przeprowadzona w taki sposób, aby możliwe było ustalenie, czy podmiot kontrolowany przestrzega przepisów ustawy. Organ kontrolujący zobowiązany jest do udokumentowania dokonanych ustaleń, tj. sporządzenia protokołu pokontrolnego. Przeważnie kontrola będzie przeprowadzana w siedzibie kontrolowanego podmiotu. Nie można jednak wykluczyć przypadku, gdy kontrola zostanie przeprowadzona w innym miejscu (np. oddziale), w którym dokonywane jest faktyczne przetwarzanie danych osobowych. GIODO może kontrolować w takim samym zakresie podmioty publiczne oraz podmioty prywatne. GIODO w szczególności umocowany jest do wydawania decyzji administracyjnych nakazujących przywrócenie stanu zgodnego z prawem.
Trzeba podkreślić, że GIODO może wykonywać uprawnienia kontrolne zarówno w stosunku do tych podmiotów, które zobowiązane są do zgłoszenia zbioru danych do rejestracji, jak również w odniesieniu do podmiotów, które nie są ustawowo zobowiązane do zarejestrowania posiadanego zbioru.
GIODO posiada uprawnienia do kontrolowania administratorów danych osobowych, jak również podmiotów, którym na podstawie umowy cywilnoprawnej zlecono przetwarzanie danych osobowych.
Przeprowadzając kontrolę, GIODO powinien zwrócić szczególną uwagę na:
a. legalność przetwarzania danych osobowych. Kontrolowany powinien zatem udowodnić co najmniej jedną przesłankę legalności przetwarzania danych osobowych, o których mowa w art. 23 ustawy ;
b. legalność przetwarzania danych osobowych szczególnie chronionych . W tym przypadku również na kontrolowanym spoczywa obowiązek wykazania, iż dane pozyskał i przetwarza zgodnie z przepisami ustawy;
c. zakres i cel przetwarzania danych;
d. adekwatność danych osobowych do celu przetwarzania. Na kontrolowanym spoczywa obowiązek wykazania, że dane przetwarzane są w takim celu, do jakiego zostały pozyskane ;
e. obowiązek informacyjny;
f. zgłoszenie zbioru do rejestru. GIODO poddaje szczególnemu badaniu, czy określony zbiór danych podlega rejestracji zgodnie z przepisami ustawy;
g. powierzenie przetwarzania danych osobowych. GIODO sprawdza, czy doszło do zgodnego z ustawą powierzenia przetwarzania danych osobowych. W tym zakresie GIODO w szczególności analizuje treść umowy ;
h. zabezpieczenie danych osobowych. GIODO poddaje ścisłej kontroli, czy administrator danych w sposób odpowiedni zastosował środki techniczne i organizacyjne w celu zapewnienia ochrony danych osobowych.
Zgodnie z ustawą w celu wykonania zadań kontrolnych GIODO jego zastępca lub upoważnieni przez niego inspektorzy mają prawo:
1. wstępu, w godzinach od 6.00 do 22.00, za okazaniem imiennego upoważnienia i legitymacji służbowej, do pomieszczenia, w którym zlokalizowany jest zbiór danych, oraz pomieszczenia, w którym przetwarzane są dane poza zbiorem danych, i przeprowadzenia niezbędnych badań lub innych czynności kontrolnych w celu oceny zgodności przetwarzania danych z ustawą;
2. żądać złożenia pisemnych lub ustnych wyjaśnień oraz wzywać i przesłuchiwać osoby w zakresie niezbędnym do ustalenia stanu faktycznego;
3. wglądu do wszelkich dokumentów i wszelkich danych mających bezpośredni związek z przedmiotem kontroli oraz sporządzania ich kopii;
4. przeprowadzania oględzin urządzeń, nośników oraz systemów informatycznych służących do przetwarzania danych;
5. zlecać sporządzanie ekspertyz i opinii.
Podmioty kontrolowane zobowiązane są umożliwić inspektorowi przeprowadzenie kontroli.
Kontrolę przeprowadza się po okazaniu imiennego upoważnienia wraz z legitymacją służbową. Imienne upoważnienie powinno zawierać:
1. wskazanie podstawy prawnej przeprowadzenia kontroli;
2. oznaczenie organu kontroli;
3. imię i nazwisko, stanowisko służbowe osoby upoważnionej do przeprowadzenia kontroli oraz numer jej legitymacji służbowej;
4. określenie zakresu przedmiotowego kontroli;
5. oznaczenie podmiotu objętego kontrolą albo zbioru danych, albo miejsca poddawanego kontroli;
6. wskazanie daty rozpoczęcia i przewidywanego terminu zakończenia kontroli;
7. podpis GIODO;
8. pouczenie kontrolowanego podmiotu o jego prawach i obowiązkach;
9. datę i miejsce wystawienia imiennego upoważnienia.
Inspektor przeprowadzający kontrolę zobowiązany jest z czynności kontrolnych sporządzić pisemny protokół. Jeden egzemplarz protokołu powinien zostać doręczony podmiotowi kontrolowanemu.
Protokół kontroli powinien zawierać:
1. nazwę podmiotu kontrolowanego w pełnym brzmieniu i jego adres;
2. imię i nazwisko, stanowisko służbowe, numer legitymacji służbowej oraz numer upoważnienia inspektora;
3. imię i nazwisko osoby reprezentującej podmiot kontrolowany oraz nazwę organu reprezentującego ten podmiot;
4. datę rozpoczęcia i zakończenia czynności kontrolnych, z wymienieniem dni przerw w kontroli;
5. określenie przedmiotu i zakresu kontroli;
6. opis stanu faktycznego stwierdzonego w toku kontroli oraz inne informacje mające istotne znaczenie dla oceny zgodności przetwarzania danych z przepisami o ochronie danych osobowych;
7. wyszczególnienie załączników stanowiących składową część protokołu;
8. omówienie dokonanych w protokole poprawek, skreśleń i uzupełnień;
9. parafy inspektora i osoby reprezentującej podmiot kontrolowany na każdej stronie protokołu;
10. wzmiankę o doręczeniu egzemplarza protokołu osobie reprezentującej podmiot kontrolowany;
11. wzmiankę o wniesieniu lub niewniesieniu zastrzeżeń i uwag do protokołu;
12. datę i miejsce podpisania protokołu przez inspektora oraz przez osobę lub organ reprezentujący podmiot kontrolowany.
Protokół podpisują inspektor i kontrolowany administrator danych, który może wnieść do niego umotywowane zastrzeżenia i uwagi. W razie odmowy podpisania protokołu przez kontrolowanego administratora danych inspektor czyni o tym wzmiankę w protokole, a odmawiający podpisu może, w terminie siedmiu dni, przedstawić swoje stanowisko na piśmie Generalnemu Inspektorowi Ochrony Danych Osobowych.
W przypadku naruszenia przepisów o ochronie danych osobowych GIODO z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej, nakazuje przywrócenie stanu zgodnego z prawem, a w szczególności:
1. usunięcie uchybień;
2. uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych;
3. zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe;
4. wstrzymanie przekazywania danych osobowych do państwa trzeciego;
5. zabezpieczenie danych lub przekazanie ich innym podmiotom;
6. usunięcie danych osobowych.
Jeżeli GIODO stwierdzi, że doszło do popełnienia przestępstwa określonego w ustawie, może złożyć stosowne zawiadomienie do organów ścigania.
Ponadto w celu doskonalenia ochrony danych osobowych GIODO może kierować wystąpienia do:
1. organów państwowych;
2. organów samorządu terytorialnego;
3. państwowych i komunalnych jednostek organizacyjnych;
4. podmiotów niepublicznych realizujących zadania publiczne;
5. osób fizycznych;
6. osób prawnych;
7. jednostek organizacyjnych niebędących osobami prawnymi;
8. innych podmiotów.
Warto podkreślić, że GIODO może występować do właściwych organów z wnioskami o podjęcie inicjatywy ustawodawczej albo o wydanie bądź zmianę aktów prawnych w sprawach dotyczących ochrony danych osobowych. Podmiot, do którego zostało skierowane wystąpienie lub wniosek, jest obowiązany ustosunkować się do nich na piśmie w terminie 30 dni od daty ich otrzymania.
Strona może zwrócić się do GIODO z wnioskiem o ponowne rozpatrzenie sprawy. Na decyzję GIODO w przedmiocie wniosku o ponowne rozpatrzenie sprawy stronie przysługuje skarga do sądu administracyjnego.
Przypisy
Bibliografia
Lista publikacji dotycząca tematyki artykułu:
1) J. Barta, P. Fajgielski, R. Markiewicz, Ochrona danych osobowych, Komentarz, Wydawnictwo Lex a Wolters Kliwer business, 4 wydanie, Kraków 2007.
2) D. Fleszer, Zakres przetwarzania danych osobowych w działalności gospodarczej, Wydawnictwo Lex a Wolters Kliwer business, 2008.
3) A. Drozd, Ustawa o ochronie danych osobowych. Komentarz. Wzory pism i przepisy, Warszawa 2008.
4) P. Litwiński, Udostępnianie danych osobowych na potrzeby postępowań cywilnych, Przegląd Prawa Technologii Informacyjnych ICT Law Review z 2013 r. nr 1.
5) D. Fleszer, Zakres przetwarzania danych osobowych w działalności gospodarczej, Wolters Kluwer Polska 2008.
Lista adresów internetowych dotycząca tematyki artykułu, [data odczytu z dnia 11.11.2013 r.]:
1) http://www.giodo.gov.pl/ - na stronie zostały zamieszczone informacje na temat funkcjonowania Generalnego Inspektora Ochrony Danych Osobowych, decyzje GIODO, wyroki sądów administracyjnych.
2) http://ochronadanychosobowych.info/ - strona zawiera szereg praktycznych porad związanych z ochroną danych osobowych.
3) http://www.frog.org.pl/ncrm/poradnik.pdf - na stronie znajduje się poradnik w zakresie ochrony danych osobowych.
4) http://mamstartup.pl/poradnik/3511/twoj-startup-a-ochrona-danych-osobowych-cz-1 - artykuł na temat ochrony danych osobowych.
5) http://www.ngo.pl/x/468727 - na stronie został zamieszczony praktyczny poradnik w przedmiocie ochrony danych osobowych.
1) J. Barta, P. Fajgielski, R. Markiewicz, Ochrona danych osobowych, Komentarz, Wydawnictwo Lex a Wolters Kliwer business, 4 wydanie, Kraków 2007.
2) D. Fleszer, Zakres przetwarzania danych osobowych w działalności gospodarczej, Wydawnictwo Lex a Wolters Kliwer business, 2008.
3) A. Drozd, Ustawa o ochronie danych osobowych. Komentarz. Wzory pism i przepisy, Warszawa 2008.
4) P. Litwiński, Udostępnianie danych osobowych na potrzeby postępowań cywilnych, Przegląd Prawa Technologii Informacyjnych ICT Law Review z 2013 r. nr 1.
5) D. Fleszer, Zakres przetwarzania danych osobowych w działalności gospodarczej, Wolters Kluwer Polska 2008.
Lista adresów internetowych dotycząca tematyki artykułu, [data odczytu z dnia 11.11.2013 r.]:
1) http://www.giodo.gov.pl/ - na stronie zostały zamieszczone informacje na temat funkcjonowania Generalnego Inspektora Ochrony Danych Osobowych, decyzje GIODO, wyroki sądów administracyjnych.
2) http://ochronadanychosobowych.info/ - strona zawiera szereg praktycznych porad związanych z ochroną danych osobowych.
3) http://www.frog.org.pl/ncrm/poradnik.pdf - na stronie znajduje się poradnik w zakresie ochrony danych osobowych.
4) http://mamstartup.pl/poradnik/3511/twoj-startup-a-ochrona-danych-osobowych-cz-1 - artykuł na temat ochrony danych osobowych.
5) http://www.ngo.pl/x/468727 - na stronie został zamieszczony praktyczny poradnik w przedmiocie ochrony danych osobowych.