Cyfroteka.pl

klikaj i czytaj online

Cyfro
Czytomierz
00260 004292 15176171 na godz. na dobę w sumie
System kontroli GIODO i ochrona informacji niejawnych Praktyczne wskazówki ochrony i kontroli danych osobowych i informacji niejawnych - ebook/pdf
System kontroli GIODO i ochrona informacji niejawnych Praktyczne wskazówki ochrony i kontroli danych osobowych i informacji niejawnych - ebook/pdf
Autor: , Liczba stron: 200
Wydawca: C. H. Beck Język publikacji: polski
ISBN: 978-83-255-2717-4 Data wydania:
Lektor:
Kategoria: ebooki >> prawo i podatki >> komentarze prawnicze
Porównaj ceny (książka, ebook, audiobook).

Od 7.3.2011 r. zmieniły się zasady kontroli GIODO w związku z nowelizacją przepisów o ochronie danych osobowych (Dz.U. z 2010 r. Nr 229, poz. 1497). Nowe przepisy odnoszą się do zadań Generalnego Inspektora, przeprowadzania kontroli oraz obowiązków informacyjnych administratora danych osobowych.

Ochrona danych osobowych jest istotnym elementem polityki każdej firmy oraz ważnym zagadnieniem dla każdej osoby fizycznej. Spotykamy się z tym codzienne, a nie zawsze wiemy co i jak robić, aby dane osobowej (zarówno nasze jak i przez nas gromadzone) były bezpieczne, jak postępować by nie narazić się na odpowiedzialność z tego tytułu.

Publikacja prezentuje spojrzenie na dane osobowe z puntu widzenia Prezesa, Dyrektora, Zarządu, na których z mocy prawa ciążą określone obowiązki a ich niewykonanie to poważne konsekwencje służbowe i karne.

Dzięki niej osoby odpowiedzialne za ochronę danych osobowych  dowiedzą się, jak przebiega kontrola, co jest kontrolowane, na co Inspektorzy GIODO zwracają uwagę, jakimi dokumentami powinna dysponować każda firma przetwarzająca dane osobowe, jakie obowiązki w zakresie kontroli ma Administrator Danych Osobowych lub Administrator Bezpieczeństwa Informacji, jak postępować w czasie kontroli, jakie są uprawnienia i obowiązki w czasie jej trwania.

Znajdź podobne książki Ostatnio czytane w tej kategorii

Darmowy fragment publikacji:

System_okladka.qxd 3/28/11 2:20 PM Page 1 System kontroli GIODO i ochrona informacji niejawnych Praktyczne wskazówki ochrony i kontroli danych osobowych i informacji niejawnych Nowe zasady przeprowadzania kontroli Zadania administratora danych osobowych Udostępnianie informacji niejawnych Wzory i dokumenty Anna Jędruszczak Bogusław Nowakowski System kontroli GIODO i ochrona informacji niejawnych Wydawnictwo C.H. Beck, Warszawa 2011 r. System kontroli GIODO i ochrona informacji niejawnych Praktyczne wskazówki ochrony i kontroli danych osobowych i innych informacji niejawnych Wydawnictwo C.H. Beck ul. Bonifraterska 17, 00-208 Warszawa tel.: 22 33 77 600, faks: 22 33 77 601 Redakcja: Michał Barszcz Korekta: Barbara Siarkiewicz Skład i łamanie: Wydawnictwo C.H. Beck Druk: Cyfrowe Centrum Druku i Fotograii, Bydgoszcz Wszelkie prawa zastrzeżone. Opinie zawarte w niniejszej publikacji wyrażają osobisty punkt widzenia Autorów. Wydawnictwo C.H. Beck nie ponosi odpowiedzialności za zawarte w niej informacje. ISBN: 978-83-255-2667-2 ISBN-e-book: 978-83-255-2717-4 Spis treści Wykaz skrótów ................................................................................................................................ Noty biograiczne .......................................................................................................................... 1. Ochrona danych osobowych Bogusław Nowakowski ................................................. 1.1..Wprowadzenie.................................................................................................................... 1.2..Nadzór.a.kontrola.............................................................................................................. 1.3..Stosowanie.ustawy.o.ochronie.danych.osobowych.w.ramach.kontroli....... 1.4..Zasady.przekazywania.danych.osobowych.do.państw.trzecich..................... 1.5..Odpowiedzialność.karna................................................................................................ 1.6..Skarga.osoby,.której.dane.dotyczą.............................................................................. 2. Ochrona informacji niejawnych Anna Jędruszczak .................................................... 2.1..Wprowadzenie.................................................................................................................... 2.2..Zastosowanie.przepisów.ustawy.o.ochronie.informacji.niejawnych............. 2.3..Organizacja.ochrony.i.kontroli.ochrony.informacji.niejawnych....................... V VII 1 1 2 4 79 88 89 93 93 94 94 3. Wyjaśnienia do wzorów Bogusław Nowakowski ............................................................ 125 4. Wzory Anna Jędruszczak, Bogusław Nowakowski ............................................................ Wyznaczenie.administratora.bezpieczeństwa.informacji........................................... Instrukcja.zarządzania.systemem.informatycznym.służącym.do przetwarzania.danych.osobowych..................................................................................... Instrukcja.przetwarzania.danych.osobowych................................................................. Umowa.o.powierzenie.przetwarzania.danych.osobowych....................................... Raport.z.naruszenia.bezpieczeństwa................................................................................. Upoważnienie.do.przetwarzania.danych.osobowych................................................. Oświadczenie.o.wyrażeniu.zgody.na.przetwarzanie.danych.osobowych. do.celów.rekrutacji.................................................................................................................... Wniosek.o.udostępnienie.informacji.publicznej............................................................ Wniosek.o.udostępnienie.danych....................................................................................... Ewidencja.osób.upoważnionych.do.przetwarzania.danych...................................... Zgłoszenie.zbioru.danych.do.rejestracji.Generalnemu.Inspektorowi. Ochrony.Danych.Osobowych............................................................................................... Zarządzenie.w.sprawie.szczególnego.sposobu.organizacji.i.funkcjonowania kancelarii.tajnych,.sposobu.i.trybu.przetwarzania.informacji.niejawnych oraz.doboru.i.stosowania.środków.bezpieczeństwa.izycznego............................. Wzór.Protokołu.z.przeglądu.materiałów.niejawnych.wytworzonych.................... 141 143 146 154 156 159 160 161 162 163 164 165 169 182 III Spis treści Wzór.instrukcji.dotyczącej.sposobu.i.trybu.przetwarzania.informacji. niejawnych.o.klauzuli.„zastrzeżone”.................................................................................... 5. Pytania i odpowiedzi dotyczące rejestracji zbioru danych osobowych Bogusław Nowakowski ............................................................................................................... 184 185 IV Wykaz skrótów ABW AW CBA Dyrektywa – Agencja Bezpieczeństwa Wewnętrznego – Agencja Wywiadu – Centralne Biuro Antykorupcyjne – Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia 24.10.1995 r. w sprawie ochrony osób izycznych w zakresie przetwa- rzania danych osobowych oraz swobodnego przepływu tych danych – Unia Europejska EU Generalny Inspektor albo GIODO Grupa Robocza – Grupa Robocza do spraw ochrony osób izycznych w zakresie prze- twarzania danych osobowych powołana na mocy art. 29 Dyrektywy 95/46/WE – Generalny Inspektor Ochrony Danych Osobowych – Ustawa z dnia 5.8.2010 r. o ochronie informacji niejawnych – Kodeks postępowania administracyjnego – Kodeks postępowania cywilnego – Naczelny Sąd Administracyjny KPA KPC NSA OchrDanOsobU – Ustawa z dnia 29.8.1997 r. o ochronie danych osobowych OchrInfU Państwa członkowskie EOG Rozporządzenie – Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29.4.2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. Nr 100, poz. 1024) – Państwa należące do Europejskiego Obszaru Gospodarczego SKW SWW ZFŚS – Służba Kontrwywiadu Wojskowego – Służba Wywiadu Wojskowego – zakładowy fundusz świadczeń socjalnych V Noty biograiczne Anna Jędruszczak – absolwentka Wydziału Prawa i Administracji Uniwersytetu War- szawskiego. Ukończyła również aplikację legislacyjną w Kancelarii Prezesa Rady Mini- strów. Wieloletni pracownik Ministerstwa Finansów. Wykładowca w szkole wyższej. Bogusław Nowakowski – radca prawny specjalizujący się w zagadnieniach egzekucji sądowej, kontraktach handlowych, obsługi prawno-organizacyjnej w spółkach kapitało- wych prawa handlowego. Absolwent Uniwersytetu im. Mikołaja Kopernika w Toruniu, wpisany na listę radców prawnych w Okręgowej Izbie Radców Prawnych w Gdańsku. Prowadzi stałą współpracę z Institute for International Research w Warszawie w zakresie seminariów dla członków biur zarządów spółek prawa handlowego. VII 1 Ochrona danych osobowych 1.1. Wprowadzenie Pojęcie „kontrola” powszechnie występuje w języku potocznym, publicystyce czy piś- miennictwie naukowym, dlatego też rozumienie tego pojęcia nie stwarza większych problemów i jego sens znaczeniowy pojmowany jest w sposób w miarę jednolity. Na po- trzeby niniejszego opracowania istotne jest traktowanie kontroli jako funkcji. Kontrola traktowana w kategoriach funkcjonalnych i przedmiotowych znajduje odzwier- ciedlenie w licznych deinicjach formułowanych w doktrynie, zwłaszcza prawa admini- stracyjnego. Przykładowo M. Jaroszyński określał kontrolę w sposób bardzo zwięzły, stwierdzając, że jest nią sprawdzenie stanu faktycznego1, zdaniem E. Iserzona zaś „kon- trolą jest ogół czynności zmierzających do ustalenia faktycznego stanu rzeczy, połączony z porównaniem stanu istniejącego ze stanem planowanym”2. W piśmiennictwie wystę- pują też bardziej rozbudowane deinicje kontroli – na przykład J. Starościak przedstawiał, że kontrola polega na obserwowaniu, ustalaniu czy wykrywaniu stanu faktycznego, po- równywaniu rzeczywistości z zamierzeniami, występowaniu przeciw zjawiskom nieko- rzystnym i sygnalizowaniu jednostkom kompetentnym o dokonanych spostrzeżeniach, bez decydowania jednak o zmianie kierunku działania jednostki skontrolowanej. Kontrolę można też scharakteryzować jako działanie obejmujące zbadanie istniejącego stanu rzeczy, zestawienie tego, co istnieje, z tym co być powinno, co przewidują odpo- wiednie wzorce czy normy postępowania, i sformułowanie na tej podstawie odpowied- niej oceny, w przypadku zaś rozbieżności między stanem faktycznym a stanem pożąda- nym – ustalenie przyczyn tych rozbieżności i sformułowanie zaleceń, mających na celu wskazanie sposobów usunięcia niepożądanych zjawisk ujawnionych przez kontrolę4. 1 M. Jaroszyński, M. Zimmermann, W. Brzeziński, Polskie prawo administracyjne. Część ogólna, Warszawa 1956, s. 440. 2 E. Iserzon, Prawo administracyjne, Warszawa 1968, s. 174.  J. Starościak, Zarys nauki administracji, Warszawa 1971, s. 56. 4 W. Dawidowicz, Zagadnienia ustroju administracji państwowej w Polsce, Warszawa 1970, s. 4. 1 System kontroli GIODO i ochrona informacji niejawnych Biorąc pod uwagę powyższe poglądy oraz potoczne znaczenie słowa „kontrola”, można stwierdzić, że kontrola jest funkcją, której istota tkwi w sprawdzaniu i ocenianiu określo- nej działalności. Prawo tworzy instytucje kontroli, które mają uprawnienia do podejmo- wania działań kontrolnych wobec określonego kręgu podmiotów, a podmioty te nie mogą się od kontroli uchylać. Ustawa z dnia 29.8.1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2002 r. Nr 101, poz. 926 ze zm., dalej – OchrDanOsobU) zobowiązuje Generalnego Inspektora Ochrony Danych Osobowych (dalej – Generalny Inspektor albo GIODO) do szeroko zakreślo- nych zadań kontrolnych w zakresie zgodności przetwarzania danych z przepisami o ochronie danych osobowych. Realizowana przez Generalnego Inspektora funkcja kontrolna łączy się z możliwością władczego oddziaływania na podmioty kontrolowane. Działalność władcza – w przypadku naruszenia przepisów o ochronie danych osobo- wych – polega w szczególności na wydawaniu decyzji administracyjnych nakazujących przywrócenie stanu zgodnego z prawem. Niniejsze opracowanie przedstawia podstawowe zasady wykonywania zadań kontrol- nych GIODO jako organu, który stoi na straży przysługującego każdemu prawa do ochrony danych osobowych. Przy okazji warto zauważyć, że poza zmianami w OchrDanOsobU (które wchodzą w ży- cie 7..2011r.), z dniem 1.1.2011 r. weszła w życie ustawa z dnia 5.8.2010 r. o ochronie informacji niejawnych (Dz.U. Nr 182, poz. 1228, dalej – OchrInfU). Celem nowej regu- lacji było wprowadzenie kompleksowych, spójnych i konsekwentnych oraz łatwych do stosowania w praktyce regulacji dotyczących ochrony informacji niejawnych. Ponieważ bardzo często jest to powiązane z bazami danych osobowych i ich przetwarzaniem, ni- niejsza publikacja zwraca uwagę na najbardziej istotne zagadnienia w tym zakresie. 1.2. Nadzór a kontrola Każdy nadzór jako kategoria prawna jest [...] limitowanym prawem m.in. w zakresie środków oddziaływania na działalność podmiotów nadzorowanych, w tym zwłaszcza oddziaływania władczego (wiążącej ingerencji). Określenia „nadzór” i „nadzorowanie” pozostają w szerokim użyciu w języku codziennym, przepisach prawa, publicystyce, jak i doktrynie, zwłaszcza prawniczej. Sens nadzoru w języku codziennym czy publicystyce wiąże się ze sprawdzaniem, ocenianiem jakiegoś działania (czy stanu) oraz posiadaniem wpływu na to działanie (stan), a także ze wspieraniem i otaczaniem opieką określonych podmiotów poddanych nadzorowi. Przy czym nadzór w tym najszerszym potocznym sensie odnoszony jest do najróżniejszych sytuacji i relacji między podmiotami (np. nad- zór rodziców nad dziećmi, nadzór w ramach struktur administracyjnych, nadzór władzy publicznej nad określonymi zachowaniami osób izycznych czy prawnych, nadzór nad funkcjonowaniem urządzeń itd.). W płaszczyźnie prawnej i rozważaniach naukowych pojęcie nadzoru przybiera wymiar bardziej dookreślony (deinicyjny), ale zasadnicza 2 Ochrona danych osobowych istota kategorii nadzoru i tu zasadza się na możliwości sprawdzania, oceniania działal- ności (stanu) określonych podmiotów oraz uprawnieniu do wiążącego wkraczania w tę działalność (stan). Z posługiwania się określeniem nadzoru w języku codziennym i z używania tego pojęcia w regulacjach prawnych i piśmiennictwie prawniczym wypływa cecha nadzoru jako działania (oddziaływania) o charakterze wiążącym, w efekcie którego nadzorujący może w sposób stanowczy wpływać na działalność nadzorowanego. Oczywiście skala precyzo- wania tej generalnej relacji wpływania jest na gruncie codziennego używania pojęcia nadzoru oraz posługiwania się nim w prawie i rozważaniach jurydycznych zdecydowa- nie różna. W tym miejscu zostawiamy jednak sprawy używania (rozumienia) określeń „nadzór” i „nadzorowanie” w języku codziennym, interesuje nas natomiast pojęcie nad- zoru na gruncie regulacji prawnych i doktryny prawniczej. Otóż w tym względzie należy w pierwszym rzędzie zauważyć, że kategoria nadzoru należy do tych kategorii pojęcio- wych, którymi prawo się posługuje, ale których nie deiniuje. Nadzór jest więc bez wąt- pienia pojęciem prawnym (instytucją prawną), ale nie deiniowanym jednoznacznie w przepisach. Treść tego pojęcia kształtowana jest w rezultacie w rozważaniach prawno- teoretycznych, co powoduje, że można spotkać różne ujęcia kategorii nadzoru. Nie wchodząc tu oczywiście w doktrynalne dywagacje, można generalnie powiedzieć, że nadzór oznacza pewną funkcję służącą – najogólniej rzecz biorąc – zapewnieniu prawid- łowości działania określonych podmiotów (poddanych nadzorowi, nadzorowanych) przez inne upoważnione podmioty (nadzorujące) w drodze sprawdzania i oceniania działalności podmiotów nadzorowanych oraz możliwości władczego ingerowania w tę działalność (sferę praw i obowiązków) przez podmiot nadzorujący. Innymi słowy, funk- cja nadzoru obejmuje sprawdzanie i ocenianie (kontrolowanie) działalności (zachowań) danego podmiotu (organu, jednostki organizacyjnej czy podmiotu o innym charakterze prawnym, np. osoby prawnej) przez inny uprawniony podmiot (organ nadzorujący, jed- nostkę nadzorującą) z równoczesną możnością władczego, wiążącego wkraczania w tę działalność w celu skorygowania jej w pożądanym prawidłowym kierunku zgodnie z przyjętymi kryteriami oceny tej prawidłowości, jak np. legalność, celowość itd. Cechą (składnikiem) charakterystyczną funkcji nadzoru jest więc możliwość podejmowania nie tylko sprawdzania i oceniania działalności danego podmiotu (nadzorowanego) przez inny podmiot (nadzorujący), lecz także prawo stosowania przez nadzorującego wiążącej ingerencji w działalność nadzorowanego. Przy czym nader istotnym elementem charak- terystyki tak pojmowanego nadzoru jest to, że wspomniana ingerencja jest determino- wana prawem, co do okoliczności użycia, przedmiotu oraz środków władczego oddzia- ływania5. Tak ujęta funkcja nadzoru odróżnia się od funkcji kontroli, pojmowanej (o czym też dalej) jako działalność polegająca przede wszystkim na sprawdzaniu i ocenianiu określo- 5 J. Jagielski, Program wzmocnienia efektywności systemu nadzoru pedagogicznego i oceny jakości pracy szkoły etap 2, s. 5–9, www.kuratorium.bialystok.pl 3 System kontroli GIODO i ochrona informacji niejawnych nej działalności (czy stanu), ale bez możliwości podejmowania władczej ingerencji w tę działalność. W ten sposób kategoria nadzoru jawi się w stosunku do kontroli jako kate- goria szersza, zawierająca w sobie działalność kontroli, ale ponadto dysponująca możli- wością władczego wkraczania w działanie podmiotów nadzorowanych. Najkrócej przedstawiając relację nadzoru i kontroli, można powiedzieć, że nadzór za- wiera w sobie element kontroli oraz element władztwa (nadzór to: kontrola + możność władczej ingerencji). Podkreślając prawo władczej ingerencji jako jeden z głównych identyikatorów nadzoru, należy równocześnie zauważyć, że dla tej funkcji ważna jest przede wszystkim sama możliwość wiążącego i władczego oddziaływania, a nie stałe wyłączne posługiwanie się tego typu oddziaływaniem. W ramach działań nadzorczych mieści się także podejmowanie w stosunku do podmiotów nadzorczych czynności o charakterze niewładczym, organizatorskim, opiekuńczym, wspierającym (np. udziela- nie pomocy, doradzanie, instruktaż, uzgadnianie stanowisk itd.), czyli sprawowanie tzw. pieczy. W ten sposób można wskazać, że w skład nadzoru obok kontroli oraz możliwości wład- czej ingerencji wchodzi także piecza. Należy podkreślić, że piecza nie występuje jedynie jako składnik nadzoru, lecz na gruncie prawnym pojawia się też jako funkcja odrębna, choć często występująca w towarzystwie funkcji nadzoru (jak np. w przepisach dotyczą- cych niektórych samorządów)6. 1.3. Stosowanie ustawy o ochronie danych osobowych w ramach kontroli Zakres stosowania ustawy o ochronie danych osobowych w ramach kontroli Do zadań Generalnego Inspektora należy kontrola zgodności przetwarzania danych z przepisami o ochronie danych osobowych. Nie mieści się w tym nadzór, gdyż General- ny Inspektor nie ponosi odpowiedzialności za niewłaściwe działania kontrolowanych podmiotów lub osób, ponieważ jedynie je kontroluje. Kontrola, jaką prowadzi Generalny Inspektor, ma charakter instytucjonalny. Jest ona przeprowadzana przez specjalnie powołany w tym celu zespół lub osoby, ma ustalony z góry i formalnie ujęty tryb postępowania oraz jednolity dla wszystkich charakter. Zasadniczo OchrDanOsobU stosuje się do przetwarzania danych osobowych: 1) w kartotekach, skorowidzach, księgach, wykazach i w innych zbiorach ewidencyjnych; 2) w systemach informatycznych, także w przypadku przetwarzania danych poza zbio- rem danych. 6 J. Jagielski, op. cit., s. 7. 4 Ochrona danych osobowych W odniesieniu do zbiorów danych osobowych sporządzanych doraźnie (wyłącznie ze względów technicznych, szkoleniowych lub w związku z dydaktyką w szkołach wyż- szych), niezwłocznie po ich wykorzystaniu usuwanych albo poddanych anonimizacji, mają zastosowanie jedynie przepisy w zakresie zabezpieczenia danych osobowych. W przypadku zbiorów doraźnych nie przeprowadza się kontroli przetwarzania danych osobowych. Kontroli na mocy OchrDanOsobU nie podlegają: 1) osoby izyczne, które przetwarzają dane wyłącznie w celach osobistych lub domo- wych oraz 2) podmioty mające siedzibę lub miejsce zamieszkania w państwie trzecim, wykorzy- stujące środki techniczne znajdujące się na terytorium Rzeczypospolitej Polskiej wyłącznie do przekazywania danych; ) zbiory danych osobowych sporządzane doraźnie (wyłącznie ze względów technicz- nych, szkoleniowych lub w związku z dydaktyką w szkołach wyższych), niezwłocznie po ich wykorzystaniu usuwane albo poddane anonimizacji. PrzykŁAD 1. Przedstawiciel handlowy firmy, mającej siedzibę w państwie trzecim w rozumieniu OchrDanOsobU, przesyła do niej dane o pozyskanych zamówieniach drogą elektroniczną oraz za pomocą listu; sam ich nie gromadzi, nie przetwarza, a po przesłaniu nie jest w posia- daniu żadnych dokumentów z utrwalonymi danymi osobowymi. 2. Spółka prowadząca witrynę internetową z wykorzystaniem serwerów zlokalizowanych za granicą, przetwarzając dane osobowe jej użytkowników, musi stosować polskie przepisy o ochronie danych osobowych, jeśli przetwarza je przy wykorzystaniu środków tech- nicznych znajdujących się na terytorium Rzeczypospolitej Polskiej. Zgodnie z art. 85 ustawy z dnia 2.7.2004 r. o swobodzie działalności gospodarczej, dla wykony- wania działalności gospodarczej na terytorium Rzeczypospolitej Polskiej przedsiębiorcy zagra- niczni mogą, na zasadzie wzajemności, o ile ratyfikowane umowy międzynarodowe nie stano- wią inaczej, tworzyć oddziały z siedzibą na terytorium Rzeczypospolitej Polskiej. Jednak przedsiębiorcy ci, jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową, za- wodową lub dla realizacji celów statutowych przy wykorzystaniu środków technicznych znajdu- jących się na terytorium Rzeczypospolitej Polskiej, są zobowiązani stosować przepisy ustawy z dnia 29.8.1997 r. o ochronie danych osobowych (art. 3 ust. 2 pkt 2). Jeżeli umowa międzynarodowa, której stroną jest Rzeczpospolita Polska, stanowi inaczej, OchrDanOsobU nie jest stosowana. Pierwszeństwo ma umowa międzynarodowa i jej za- pisy decydują, czy dany podmiot może być poddany kontroli na mocy OchrDanOsobU. Ustawę o ochronie danych osobowych stosuje się w całości, a więc także w zakresie po- stępowania kontrolnego do: 1) organów państwowych; 5 System kontroli GIODO i ochrona informacji niejawnych 2) organów samorządu terytorialnego; ) państwowych i komunalnych jednostek organizacyjnych; 4) podmiotów niepublicznych realizujących zadania publiczne; 5) osób izycznych i osób prawnych oraz jednostek organizacyjnych niebędących oso- bami prawnymi, jeżeli przetwarzają dane osobowe w związku z działalnością zarob- kową, zawodową lub dla realizacji celów statutowych – które mają siedzibę albo miejsce zamieszkania na terytorium Rzeczypospolitej Polskiej albo w państwie trze- cim, o ile przetwarzają dane osobowe przy wykorzystaniu środków technicznych znajdujących się na terytorium Rzeczypospolitej Polskiej. PRZYKŁAD Organ samorządowy zlecił osobom fizycznym – osobom trzecim – sporządzenie „raportu zbior- czego obejmującego ocenę sytuacji w zakresie przestrzegania standardów wychowania i opieki w jednostkach podległych samorządowi (w tym w domu dziecka, domu pomocy społecznej), wskazanie przyczyn zaistniałej sytuacji oraz opracowanie programu naprawczego w przedmio- towym zakresie” na podstawie stosownej umowy. Celem każdej z umów było wykonanie dzieła polegającego na sporządzeniu diagnozy dotyczącej oceny realizacji zadań w zakresie standar- dów, a także opracowanie programu naprawczego. Osoby opracowujące program naprawczy miały dostęp do tzw. „danych wrażliwych”, dotyczących stanu zdrowia skarżącej, zawartych w do- kumentacji pracowniczej. Raport zbiorczy odnoszący się do oceny realizacji zadań w zakresie standardów został wykorzystany jako materiał dowodowy w postępowaniu sądowym o rozwią- zanie stosunku pracy ze skarżącą. Zgodnie z art. 112 ust. 5 i 8 ustawy o pomocy społecznej, w indywidualnych sprawach z zakresu pomocy społecznej należących do właściwości powiatu decyzje administracyjne wydaje starosta lub z jego upoważnienia kierownik powiatowego centrum pomocy rodzinie i inni pracownicy centrum upoważnieni na wniosek kierownika. Starosta przy pomocy powiatowego centrum po- mocy rodzinie sprawuje nadzór nad działalnością rodzinnej opieki zastępczej, ośrodków adop- cyjno-opiekuńczych, jednostek specjalistycznego poradnictwa, w tym rodzinnego, oraz ośrod- ków wsparcia, domów pomocy społecznej, placówek opiekuńczo-wychowawczych i ośrodków interwencji kryzysowej. Analiza powołanych przepisów prowadzi do wniosku, że ustawodawca przyznaje tylko staroście – jako organowi administracji publicznej – uprawnienia do wydawania decyzji administracyjnych w indywidualnych sprawach z zakresu opieki społecznej. Przeniesienie tych uprawnień jest ograniczone podmiotowo i może zostać uczynione na rzecz kierownika cen- trum pomocy społecznej lub innych pracowników centrum. Wskazane kompetencje stanowią lex specialis w stosunku do ogólnych unormowań (art. 38 ust. 2 ustawy o samorządzie powiatowym – starosta może upoważnić wicestarostę, poszczególnych członków zarządu powiatu, pracowni- ków starostwa, powiatowych służb, inspekcji i straży oraz kierowników jednostek organizacyj- nych powiatu do wydawania w jego imieniu decyzji, o których mowa w ust. 1). Starosta jest rów- nież organem nadzoru wobec rodzin zastępczych i powiatowych jednostek organizacyjnych pomocy społecznej. Pojęcie nadzoru jest pojęciem szerszym, nierozerwalnie łączącym się z kon- trolą. Uprawnienia nadzorcze obejmują prawo ustalenia stanu faktycznego, porównania zaist- niałej w toku kontroli sytuacji z normą prawną i stosowania władczych form działania (wydawa- nia decyzji, wystąpień) w celu przywrócenia naruszonego wzorca określonego przepisami prawa. Wymienione formy działania przysługują tylko i wyłącznie organom administracji publicznej, 6 Ochrona danych osobowych zarówno państwowej, jak i samorządowej. Mogą być zatem dokonywane tylko przez organy do tego ustawowo umocowane bądź też aparat urzędniczy organu, jeżeli przepisy kompetencyjne na to zezwalają, albowiem organy administracji publicznej działają tylko i wyłącznie na podsta- wie przepisów prawa powszechnie obowiązującego (ogólna zasada wyrażona w art. 6 KPA). Na podstawie art. 31 ust. 1 i 2 OchrDanOsobU, administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych, a podmiot taki może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie, jednakże unormowa- nie to nie może mieć zastosowania do czynności zastrzeżonych do wyłącznej kompetencji orga- nów administracji publicznej. Przetwarzanie danych osobowych przez zespół specjalistów na zlecenie Zarządu Powiatu [...] nie było uzasadnione przesłankami wskazanymi w art. 23 ust. 1 pkt 2 i 4 OchrDanOsobU. PRZYKŁAD Pracodawca, który na uzasadniony wniosek innej osoby udostępnił jej informacje z akt osobo- wych byłego pracownika, nie ponosi odpowiedzialności za ich bezprawne wykorzystywanie przez tę osobę, gdyż za wykorzystywanie danych zgodnie z celem, z jakim zostały one udo- stępnione, odpowiedzialność ponosi osoba, która się o nie ubiegała. Zgodnie z ustawą z dnia 29.8.1997 r. o ochronie danych osobowych, pracodawca, tak jak każdy administrator danych, zobowiązany jest zastosować odpowiednie środki techniczne i organiza- cyjne, aby zapewnić ochronę przetwarzanych danych osobowych, zwłaszcza zaś zabezpieczyć je przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnio- ną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem (art. 36 OchrDanOsobU). Administrator może udostępnić przetwarzane przez siebie dane m.in. wówczas, gdy osoba lub podmiot zwróci się o nie na piśmie i w sposób wiarygodny uzasadni potrzebę ich posiadania. Ponadto wniosek o udostępnienie danych powinien zawierać informacje umożliwiające wyszu- kanie żądanych danych w zbiorze oraz wskazywać ich zakres i przeznaczenie. Przy udostępnianiu danych osobowych w powyższym trybie niezbędne jest branie pod uwagę treści art. 30 OchrDanOsobU, który stanowi, że administrator danych odmawia udostępnienia danych osobowych ze zbioru, jeżeli spowodowałoby to: ujawnienie wiadomości stanowiących tajemnicę państwową, zagrożenie dla obronności lub bezpieczeństwa państwa, życia i zdrowia ludzi lub bezpieczeństwa i porządku publicznego, zagrożenie dla podstawowego interesu go- spodarczego lub finansowego państwa, istotne naruszenie dóbr osobistych osób, których dane dotyczą, lub innych osób. Pracodawca, do którego z wnioskiem o udostępnienie danych na potrzeby procesu sądowego wystąpiła córka byłego pracownika, może posiadane dane przekazać, o ile nie naruszy w ten sposób praw i wolności osoby, której dane dotyczą. Fakt, że udostępnione dane weszły w skład akt postępowania sądowego, wyklucza istotne naruszenie dóbr osobistych. Działanie narusza bowiem dobra osobiste wyłącznie wówczas, gdy jest ono bezprawne, a złożenie dowodu w po- stępowaniu sądowym trudno uznać za działanie niezgodne z prawem. Zgodnie bowiem z art. 232 kodeksu postępowania cywilnego, to strony są obowiązane wskazywać dowody dla stwierdzenia faktów, z których wywodzą skutki prawne. 7 System kontroli GIODO i ochrona informacji niejawnych Zatem jeśli wniosek o udostępnienie danych został wniesiony na piśmie, był umotywowany, za- wierał informacje umożliwiające wyszukanie żądanych danych osobowych w zbiorze oraz wska- zywał ich zakres i przeznaczenie, a także zawierał uzasadnienie potrzeby posiadania tych da- nych, które administrator uznał za wiarygodne, to należy uznać, że udostępnienie danych osobowych nastąpiło w zgodzie z przepisami OchrDanOsobU. Inną kwestią jest dalsze wykorzystywanie udostępnionych przez pracodawcę danych. Należy jednak wskazać, że art. 29 ust. 4 OchrDanOsobU stanowi, iż udostępnione dane osobowe można wykorzystać wyłącznie zgodnie z przeznaczeniem, dla którego zostały udostępnione, a obowią- zek ten spoczywa na osobie, która wnioskowała o udostępnienie danych osobowych. Zatem za jego naruszenie trudno winić administratora danych, czyli pracodawcę. Odpowiada on bowiem za bezpieczeństwo przetwarzanych danych osobowych do momentu ich udo- stępnienia osobie, która w sposób wiarygodny uzasadniła potrzebę ich posiadania. Organ państwa to wyodrębniona prawnie osoba bądź zespół ludzi upoważnionych do wykonywania określonych czynności w imieniu państwa. Urzędy państwowe pełnią funkcję pomocniczą względem organów państwa, tworząc razem wyodrębnioną struk- turę organizacyjną – aparat państwowy. W zależności od przyjętego kryterium, wyróżnia się organy państwa: 1) jednoosobowe (np. prezydent, minister) i kolegialne (wieloosobowe – np. parlament, rada ministrów) – kryterium ilościowe; 2) centralne (np. prezydent, parlament, ministrowie), obejmujące swym zasięgiem cały kraj, i terenowe (np. wojewoda, kurator oświaty), tzn. działające na części obszaru państwa – kryterium terytorialne; ) wyłonione w wyborach (np. Sejm, Senat) i pochodzące z nominacji (np. wojewoda, prokurator) – kryterium sposobu powoływania. Najważniejszym jednak podziałem organów państwa jest ich klasyikacja funkcjonalna. Z tego względu dzieli się je na: 1) prawodawcze (zwane władzą ustawodawczą lub legislatywą) – upoważnione do tworzenia prawa; taką funkcję pełni głównie parlament; 2) wykonawcze (określone jako władza wykonawcza lub egzekutywa) – mają charakter wykonawczo-zarządzający, realizują zadania wyznaczone w obowiązujących usta- wach – administracja publiczna; w skali ogólnokrajowej taką funkcję pełni rząd oraz prezydent; ) sądownicze (zwane władzą sądowniczą) – ich zadaniem jest rozstrzyganie sporów prawnych na podstawie obowiązujących norm prawnych; funkcję tę pełnią sądy i trybunały. Organy samorządu terytorialnego to organy gminy, powiatu, województwa, związków gmin, związków powiatów, wójta, burmistrza (prezydenta miasta), starosty, marszałka województwa oraz kierowników służb, inspekcji i straży działających w imieniu wójta, 8 Ochrona danych osobowych burmistrza (prezydenta miasta), starosty lub marszałka województwa, a ponadto samo- rządowe kolegia odwoławcze. W zakresie kontroli oraz art. 6 ust. 1 (Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobo- wych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, za- braniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem) przepisy OchrDanOsobU stosuje się do: 1) prasowej działalności dziennikarskiej w rozumieniu ustawy z dnia 26.1.1984 r. – Prawo prasowe (Dz.U. Nr 5, poz. 24 ze zm.); 2) działalności literackiej lub artystycznej, chyba że wolność wyrażania swoich poglą- dów i rozpowszechniania informacji istotnie narusza prawa i wolności osoby, której dane dotyczą. PRZYKŁAD Administrator danych zastosował środki bezpieczeństwa na poziomie podwyższonym oraz co najmniej jedno urządzenie systemu informatycznego służącego do przetwarzania danych oso- bowych połączone było z siecią publiczną. Stosownie do treści przepisu § 6 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29.4.2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatycz- ne służące do przetwarzania danych osobowych (Dz.U. Nr 100, poz. 1024, dalej – rozporządze- nie), wprowadzone zostały trzy poziomy bezpieczeństwa przetwarzania danych osobowych w systemie informatycznym: podstawowy, podwyższony oraz wysoki. Poziom środków bezpie- czeństwa należy dostosować do zagrożeń oraz kategorii danych osobowych przetwarzanych w sy- stemie informatycznym. Poziom co najmniej podstawowy stosuje się, gdy w systemie informa- tycznym nie są przetwarzane dane, o których mowa w art. 27 OchrDanOsobU, oraz żadne z urządzeń systemu informatycznego, służącego do przetwarzania danych osobowych, nie jest połączone z siecią publiczną (ust. 2). Poziom co najmniej podwyższony stosuje się, gdy w syste- mie informatycznym przetwarzane są dane osobowe, o których mowa w art. 27 OchrDanOsobU, oraz żadne z urządzeń systemu informatycznego, służącego do przetwarzania danych osobo- wych nie jest połączone z siecią publiczną (ust. 3). Poziom wysoki stosuje się, gdy przynajmniej jedno urządzenie systemu informatycznego, służącego do przetwarzania danych osobowych, połączone jest z siecią publiczną (ust. 4). Niezastosowanie odpowiedniego poziomu bezpieczeństwa przetwarzania danych oso- bowych w systemie informatycznym oznacza, że urządzenia i systemy informatyczne słu- żące do przetwarzania zbioru danych zgłoszonego do rejestracji nie spełniają podstawo- wych warunków technicznych i organizacyjnych, określonych w rozporządzeniu, co stanowi przesłankę odmowy rejestracji zgłoszonego zbioru danych, o której mowa w art. 44 ust. 1 pkt 3 OchrDanOsobU, a w razie kontroli prowadzi do stwierdzenia naru- szenia prawa, ewentualnie zakaz dalszego przetwarzania i wykreślenie zbioru z rejestru (jeżeli był zarejestrowany). 9 System kontroli GIODO i ochrona informacji niejawnych Zakres podmiotowy uprawnień kontrolnych Generalnego Inspektora jest bardzo szeroki – jak już wskazano, kontroli poddawane są podmioty należące do sfery publicznej i pry- watnej. Można dokonać podziału tych podmiotów, biorąc pod uwagę posiadanie przez nie statusu administratora danych bądź brak takiego statusu. Kontrola przetwarzania danych osobowych obejmuje: • zarówno administratorów danych podlegających obowiązkowi zgłoszenia zbioru do rejestracji; jak też administratorów danych, którzy z mocy ustawy są zwolnieni z obowiązku re- jestracji; • • ponadto należy zauważyć, że gdy administrator danych sam nie przetwarza danych, lecz zleca to innemu podmiotowi (zleceniobiorcy) w drodze umowy zawartej na piśmie, na zasadach określonych w art. 1 OchrDanOsobU, wówczas kontroli podle- ga również ten podmiot (zleceniobiorca); obowiązki związane z kontrolą ciążą zatem nie tylko na administratorze danych, lecz także – odpowiednio – na podmiocie zaj- mującym się przetwarzaniem danych na podstawie tzw. umowy powierzenia. PRZYKŁAD Pan A. otrzymał imiennie adresowaną niezamawianą przesyłkę, zachęcającą go do skorzystania z usług i produktów podmiotów innych niż nadawca przesyłki – Spółka 1. Spółka 1 jest dystrybu- torem produktu Spółki 2 i działa na podstawie zawartej z tym podmiotem stosownej umowy oraz „w oparciu o procedury określone przez Spółkę 2”. Spółka 1 pozyskała dane osobowe Pana A. w związku z podpisaniem przez niego umowy za pośrednictwem pracownika Spółki 1. Spółka 1 została upoważniona do przetwarzania danych osobowych w zakresie zawierania umów, ich „obsługi” i środków wpłaconych w ramach tych umów, oraz zobowiązała się do wykorzystywa- nia danych osobowych „wyłącznie w celach związanych z wykonywaniem niniejszej umowy i obsługą Klientów”. Spółka 2 po uzyskaniu informacji o kwestionowanym działaniu Spółki 1, podjęła wobec tej Spółki działania, mające na celu „wyjaśnienie zaistniałej sytuacji oraz zaprze- stanie zastosowanej praktyki pod groźbą wypowiedzenia umowy zlecenia”. Zgodnie z art. 31 ust. 1 ustawy z dnia 29.8.1997 r. o ochronie danych osobowych (Dz.U. z 2002 r. Nr 101, poz. 926 ze zm.), administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych. Podmiot ten może przetwarzać dane wyłącz- nie w zakresie i celu przewidzianym w umowie (art. 31 ust. 1 pkt 2 OchrDanOsobU). Stosownie do powyższego przepisu Spółka 2 (administrator danych osobowych Pana A.) powierzyła prze- twarzanie danych osobowych Skarżącego firmie Spółce 1. W tym celu zawarto powyższą umo- wę, w której określono w szczególności, w jakim zakresie Spółka 1 jest upoważniona do przetwa- rzania danych osobowych, tj. „wyłącznie w celach związanych z wykonaniem niniejszej Umowy”. W żadnym wypadku jednak Spółka 1 nie miała prawnej legitymacji do wykorzystywania danych Skarżącego do marketingu produktów i usług podmiotów trzecich. Podejmując takie działania, Spółka 1 działała niezgodnie z treścią umowy wiążącej ją z Towarzystwem, a w konsekwencji z naruszeniem cytowanego już art. 31 OchrDanOsobU. W świetle powyższego trzeba stwierdzić, że przetwarzanie danych osobowych Pana A. przez Spółkę 1 w celu marketingu produktów i usług podmiotów trzecich nie miało podstaw prawnych. 10 Ochrona danych osobowych Analizowane działanie Spółki 1 stanowiło naruszenie przepisów OchrDanOsobU, skutkujące od- powiedzialnością. Kto przetwarza w zbiorze dane osobowe, choć ich przetwarzanie nie jest do- puszczalne albo do których przetwarzania nie jest uprawniony, podlega grzywnie, karze ograni- czenia wolności albo pozbawienia wolności do lat 2 (art. 49 ust. 1 OchrDanOsobU). Spółka 1 oprócz wskazanego już niezgodnego z przepisami OchrDanOsobU wykorzystania da- nych osobowych Pana A. w celu marketingu produktów i usług podmiotów trzecich nadal prze- twarza dane osobowe, jednak w celach związanych z koniecznością realizacji postanowień wią- żącej tę Spółkę ze Spółką 2 wspominanej już wcześniej, zawartej zgodnie z art. 31 OchrDanOsobU umowy. W myśl jej postanowień Spółka 1 jest upoważniona przez Spółkę 2 do przetwarzania danych osobowych, w tym danych Pana A., w związku z pośredniczeniem w zawieraniu umów i ob- sługą tak pozyskanych klientów. Taką natomiast umowę Pan A. zawarł ze Spółką 1 jako dystry- butorem Spółki 2. W związku z powyższym nie ma podstaw do nakazania usunięcia jego danych ze zbiorów Spółki 1. Podmioty publiczne Ustawa o ochronie danych osobowych ma zastosowanie do organów państwowych, or- ganów samorządu terytorialnego oraz do państwowych i komunalnych jednostek orga- nizacyjnych (art.  ust. 1). Podmioty te, jako należące do sektora publicznego, mogą de- cydować o celu i środkach przetwarzania danych w ramach zadań przyznanych im przepisami prawa. Kontrolą mogą być objęte np. Kancelaria Prezydenta RP, Kancelaria Sejmu, Kancelaria Senatu, Kancelaria Prezesa Rady Ministrów, ministerstwa, sądy, pro- kuratury, jednostki policji, urzędy skarbowe, publiczne zakłady opieki zdrowotnej, Za- kład Ubezpieczeń Społecznych, gminy, powiaty, województwa i inne. Z uwagi na brak deinicji pojęcia „podmiot niepubliczny” w OchrDanOsobU można posłużyć się innymi deinicjami zawartymi w przepisach. Najbardziej adekwatna wydaje się deinicja zawarta w ustawie o partnerstwie publiczno-prawnym7. Na zasadzie wnio- skowania a contrario z deinicji podmiotu publicznego można wywnioskować, że pod- miotem niepublicznym są podmioty niewskazane jako podmioty publiczne. Stosownie do art. 2 pkt 1 tejże ustawy za podmiot publiczny uznaje się: a) jednostkę sektora inansów publicznych w rozumieniu przepisów o inansach pub- licznych, b) inną, niż określona w lit. a, osobę prawną, utworzoną w szczególnym celu zaspokaja- nia potrzeb o charakterze powszechnym niemających charakteru przemysłowego ani handlowego, jeżeli podmioty, o których mowa w tym przepisie oraz w lit. a, pojedyn- czo lub wspólnie, bezpośrednio lub pośrednio przez inny podmiot: inansują ją w ponad 50 lub posiadają ponad połowę udziałów albo akcji, lub sprawują nadzór nad organem zarządzającym, lub mają prawo do powoływania ponad połowy składu organu nadzorczego lub zarządzającego, c) związki podmiotów, o których mowa w lit. a i b. 7 Ustawa z dnia 19.12.2008 r. o partnerstwie publiczno-prywatnym – Dz.U. z 2009 r. Nr 19, poz. 100. 11
Pobierz darmowy fragment (pdf)

Gdzie kupić całą publikację:

System kontroli GIODO i ochrona informacji niejawnych Praktyczne wskazówki ochrony i kontroli danych osobowych i informacji niejawnych
Autor:
,

Opinie na temat publikacji:


Inne popularne pozycje z tej kategorii:


Czytaj również:


Prowadzisz stronę lub blog? Wstaw link do fragmentu tej książki i współpracuj z Cyfroteką: