Ochrona danych osobowych w administracji publicznej Dr Małgorzata Ganczar Ochrona danych osobowych w administracji publicznej

Organ ochrony danych osobowych Organem do spraw ochrony danych osobowych jest Generalny Inspektor Ochrony Danych Osobowych GIODO powołuje i odwołuje Sejm Rzeczypospolitej Polskiej za zgodą Senatu.

2) wyróżnia się wysokim autorytetem moralnym, Organ ochrony danych osobowych Na stanowisko Generalnego Inspektora może być powołany ten, kto łącznie spełnia następujące warunki: 1)   jest obywatelem polskim i stale zamieszkuje na terytorium Rzeczypospolitej Polskiej, 2)   wyróżnia się wysokim autorytetem moralnym, 3)   posiada wyższe wykształcenie prawnicze oraz odpowiednie doświadczenie zawodowe, 4)   nie był karany za przestępstwo. Generalny Inspektor w zakresie wykonywania swoich zadań podlega tylko ustawie.

1) zrzekł się stanowiska, Organ ochrony danych osobowych Kadencja Generalnego Inspektora trwa 4 lata, licząc od dnia złożenia ślubowania. Po upływie kadencji Generalny Inspektor pełni swoje obowiązki do czasu objęcia stanowiska przez nowego Generalnego Inspektora. Ta sama osoba nie może być Generalnym Inspektorem więcej niż przez dwie kadencje. Kadencja Generalnego Inspektora wygasa z chwilą jego śmierci, odwołania lub utraty obywatelstwa polskiego. Sejm, za zgodą Senatu, odwołuje Generalnego Inspektora, jeżeli: 1)   zrzekł się stanowiska, 2)   stał się trwale niezdolny do pełnienia obowiązków na skutek choroby, 3)   sprzeniewierzył się złożonemu ślubowaniu, 4)   został skazany prawomocnym wyrokiem sądu za popełnienie przestępstwa.

Organ ochrony danych osobowych Przepis art. 8 ust. 1 u.o.d.o. określa w sposób najbardziej ogólny kompetencje i zakres zadań Generalnego Inspektora Ochrony Danych Osobowych: "sprawy dotyczące ochrony danych osobowych". Regulacja zawarta w u.o.d.o. zapewnić ma niezawisłość i niezależność Generalnego Inspektora Ochrony Danych Osobowych względem organów administracji publicznej.

Organ ochrony danych osobowych Służy temu m.in.: a) tryb powoływania i odwoływania Generalnego Inspektora (jest on powoływany przez Sejm RP za zgodą Senatu RP); b) podległość jedynie parlamentowi i poddanie w zakresie wykonywania swoich zadań tylko ustawie (art. 8); c) przyznanie immunitetu (art. 11); d) ustanowienie zakazu: - członkostwa w partii politycznej, związku zawodowym, - zajmowania stanowiska innego niż stanowisko profesora w szkole wyższej (art. 10 ust. 1) oraz - prowadzenia działalności publicznej niedającej się pogodzić z godnością jego urzędu (art. 10 ust. 2)

Organ ochrony danych osobowych Generalny Inspektor Ochrony Danych Osobowych jest - z punktu widzenia przepisów kodeksu postępowania administracyjnego - centralnym organem administracji państwowej (art. 5 § 2 pkt 3 k.p.a.). Żaden też minister nie sprawuje w stosunku do Generalnego Inspektora funkcji nadzorczych lub kontrolnych. Takiej kompetencji nie można wyprowadzać z przepisów, które upoważniają ministra właściwego do spraw administracji do wydania aktów wykonawczych do u.o.d.o. Z uwagi na status prawny Generalnego Inspektora jako centralnego organu administracji państwowej (publicznej) nie ma w stosunku do niego organu wyższego stopnia w rozumieniu przepisów kodeksu postępowania administracyjnego. Konsekwencją tego jest brak możliwości odwołania się od decyzji wydanej w pierwszej instancji, jednakże strona niezadowolona z decyzji może zwrócić się do tego organu z wnioskiem o ponowne rozpatrzenie sprawy (por. art. 127 § 3 k.p.a.).

Do zadań Generalnego Inspektora w szczególności należy: 1)   kontrola zgodności przetwarzania danych z przepisami o ochronie danych osobowych, 2)   wydawanie decyzji administracyjnych i rozpatrywanie skarg w sprawach wykonania przepisów o ochronie danych osobowych, 3)   zapewnienie wykonania przez zobowiązanych obowiązków o charakterze niepieniężnym wynikających z decyzji, o których mowa w pkt 2, przez stosowanie środków egzekucyjnych przewidzianych w ustawie z dnia 17 czerwca 1966 r. o postępowaniu egzekucyjnym w administracji

Do zadań Generalnego Inspektora w szczególności należy: 4)  prowadzenie rejestru zbiorów danych oraz udzielanie informacji o zarejestrowanych zbiorach, 5)  opiniowanie projektów ustaw i rozporządzeń dotyczących ochrony danych osobowych, 6)  inicjowanie i podejmowanie przedsięwzięć w zakresie doskonalenia ochrony danych osobowych, 7)  uczestniczenie w pracach międzynarodowych organizacji i instytucji zajmujących się problematyką ochrony danych osobowych.

Do zadań Generalnego Inspektora w szczególności należy: niezależnie od wyliczenia podstawowych obowiązków, które znalazło się w art. 12 u.o.d.o., Generalny Inspektor (zwłaszcza pierwszy) ma do spełnienia bardzo ważną rolę, także jeśli chodzi o samo wdrożenie w życie rozwiązań ustawy, rozpoznanie istniejącej sytuacji faktycznej, kształtowanie polityki ochrony danych osobowych i wykładni odpowiednich, służących temu postanowień, a także podniesienie świadomości prawnej w tym zakresie. Jest to niezbędne i łatwo dostrzegalne wobec faktu, iż rozwiązania prawne wprowadzone ustawą nie miały dotychczas swych odpowiedników w polskim systemie prawnym.

Do zadań Generalnego Inspektora w szczególności należy: Podstawowym zadaniem Generalnego Inspektora jest prowadzenie kontroli zgodności przetwarzania danych z przepisami o ochronie danych osobowych. Chodzi tu o sprawdzanie zgodności działań nie tylko z przepisami komentowanej ustawy, ale także z przepisami innych aktów prawnych, które dotyczą kwestii ochrony danych osobowych. Kontrola, o której mowa w art. 12 pkt 1 u.o.d.o., może być prowadzona z własnej inicjatywy, ale także w nawiązaniu do zgłoszonego wniosku, uwag czy zastrzeżeń. Może przybierać formę: kontroli systematycznej, regularnej (periodycznej) kontroli sporadycznej, incydentalnej (ad hoc).

Do zadań Generalnego Inspektora w szczególności należy: Głównym środkiem, za pomocą którego może być realizowany omawiany obowiązek kontroli, jest przyznane Generalnemu Inspektorowi prawo do inspekcji, przeprowadzania oględzin urządzeń, nośników i systemów informatycznych, prawo do żądania wyjaśnień, przesłuchiwania osób oraz prawo wglądu do dokumentów i sporządzania ich kopii (art. 14 u.o.d.o.). Generalny Inspektor nie powinien wykorzystywać uzyskanych w trakcie kontroli informacji dla innych celów.

Do zadań Generalnego Inspektora w szczególności należy: Kontrola sprawowana przez GIODO może być określana mianem kontroli instytucjonalnej dla odróżnienia od innych rodzajów sprawowania kontroli w zakresie przetwarzania danych: kontroli indywidualnej - sprawowanej przez osoby, których przetwarzane dane dotyczą; kontroli funkcjonalnej - sprawowanej przez podmioty przetwarzające dane, oraz kontroli uzupełniającej - realizowanej przez inne podmioty, m.in. prokuraturę, sądy i inne organy

Do zadań Generalnego Inspektora w szczególności należy: Przejawem władczych kompetencji służących Generalnemu Inspektorowi jest przyznana mu kompetencja do wydawania decyzji administracyjnych i rozpatrywanie - w trybie kodeksu postępowania administracyjnego - skarg w sprawach wykonania przepisów o ochronie danych osobowych (art. 12 pkt 2 u.o.d.o.). Chodzi tu nie wyłącznie o przepisy ustawy, lecz także o przepisy innych ustaw regulujących ochronę danych osobowych. Omawiany przepis jest równocześnie przepisem szczególnym wyznaczającym właściwość Generalnego Inspektora, jeśli chodzi o rozpatrywanie skarg określonego rodzaju.

Rozpatrywanie skarg Nie ma podstaw ku temu, aby do przyznanego Generalnemu Inspektorowi prawa (a zarazem nałożonego na niego obowiązku) rozpatrywania skarg w sprawach wykonania przepisów o ochronie danych osobowych nie stosować, zgodnie z ogólną wskazówką zamieszczoną w art. 22 u.o.d.o., przepisów kodeksu postępowania administracyjnego dotyczących skargi (art. 221 i n. k.p.a.). Skarga jest powszechnie dostępnym środkiem prawnym inicjującym uproszczone, o charakterze kontrolnym postępowanie, bez toku instancyjnego; efektem tego postępowania nie jest wydanie rozstrzygnięcia adresowanego do osoby składającej skargę (wnioskodawcy), natomiast osoba ta powinna być powiadomiona o sposobie załatwienia skargi, o podjętych w wyniku jej złożenia krokach (wydaniu poleceń, usunięciu uchybień, złożeniu doniesienia do prokuratora i innych).

Rozpatrywanie skarg Ustawa nie przewiduje żadnej szczególnej formy dla złożenia skargi; dopuszczalne jest zatem dokonanie tego na piśmie albo ustnie. Przepis § 5 rozporządzenia w sprawie organizacji przyjmowania i rozpatrywania skarg i wniosków przewiduje także m.in. możliwość wniesienia skargi za pomocą poczty elektronicznej. Skarga może być - stosownie do art. 221 k.p.a. - złożona w interesie własnym wnioskodawcy, w interesie innych osób lub w interesie społecznym. Znamiona skargi może mieć określony materiał prasowy (artykuł, opublikowany list do redakcji, reportaż) przekazany Generalnemu Inspektorowi przez redakcję prasową (art. 248 k.p.a.).

Rozpatrywanie skarg Przedmiotem skargi jest w szczególności zaniedbanie lub nienależyte wykonywanie zadań przez właściwe organy albo przez ich pracowników, naruszenie praworządności lub słusznych interesów obywateli, a także przewlekłe lub biurokratyczne załatwianie spraw (art. 227 k.p.a.). Skarga może zatem dotyczyć np. niedopełniania przez organ przetwarzający dane obowiązków informacyjnych wskazanych w art. 24 i 25 u.o.d.o., braku dbałości administratora o merytoryczną poprawność przetwarzanych danych, przetwarzania tych danych w innym celu niż ten, dla którego zostały zebrane, bezpodstawnego nieudostępnienia danych, jak też bezprawnego udostępniania danych ze zbioru innym osobom, utrudniania sprawowania kontroli, niewłaściwego (niedostatecznego) zabezpieczenia danych itd.

Zadania GIODO. Zadania Generalnego Inspektora mogą wynikać także z innych aktów prawnych niż komentowana ustawa. Przykładem jest tu art. 11 ust. 2 ustawy z dnia 9 kwietnia 2010 r. o udostępnianiu informacji gospodarczych i wymianie danych gospodarczych (Dz. U. Nr 81, poz. 530 z późn. zm.) wskazujący na kompetencje Generalnego Inspektora Ochrony Danych Osobowych w zakresie opiniowania regulaminów biur informacji gospodarczej.

GIODO Generalny Inspektor wykonuje swoje zadania przy pomocy Biura Generalnego Inspektora Ochrony Danych Osobowych, zwanego dalej Biurem. Generalny Inspektor w przypadkach uzasadnionych charakterem i liczbą spraw z zakresu ochrony danych osobowych na danym terenie może wykonywać swoje zadania przy pomocy jednostek zamiejscowych Biura. Organizację oraz zasady działania Biura określa statut nadany, w drodze rozporządzenia, przez Prezydenta Rzeczypospolitej Polskiej. Prezydent Rzeczypospolitej Polskiej, po zasięgnięciu opinii Generalnego Inspektora, w drodze rozporządzenia, nadaje statut Biuru, określając jego organizację, zasady działania oraz siedziby jednostek zamiejscowych i zakres ich właściwości terytorialnej, mając na uwadze stworzenie optymalnych warunków organizacyjnych do prawidłowej realizacji zadań Biura.

Generalny Inspektor, zastępca Generalnego Inspektora lub upoważnieni przez niego pracownicy Biura, zwani dalej "inspektorami", mają prawo: 1)   wstępu, w godzinach od 600 do 2200, za okazaniem imiennego upoważnienia i legitymacji służbowej, do pomieszczenia, w którym zlokalizowany jest zbiór danych, oraz pomieszczenia, w którym przetwarzane są dane poza zbiorem danych, i przeprowadzenia niezbędnych badań lub innych czynności kontrolnych w celu oceny zgodności przetwarzania danych z ustawą, 2)   żądać złożenia pisemnych lub ustnych wyjaśnień oraz wzywać i przesłuchiwać osoby w zakresie niezbędnym do ustalenia stanu faktycznego,

Generalny Inspektor, zastępca Generalnego Inspektora lub upoważnieni przez niego pracownicy Biura, zwani dalej "inspektorami", mają prawo: 3)   wglądu do wszelkich dokumentów i wszelkich danych mających bezpośredni związek z przedmiotem kontroli oraz sporządzania ich kopii, 4)   przeprowadzania oględzin urządzeń, nośników oraz systemów informatycznych służących do przetwarzania danych, 5)   zlecać sporządzanie ekspertyz i opinii.

GIODO W przypadku naruszenia przepisów o ochronie danych osobowych Generalny Inspektor z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej, nakazuje przywrócenie stanu zgodnego z prawem, a w szczególności: 1)   usunięcie uchybień, 2)   uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych,

GIODO 3)   zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe, 4)   wstrzymanie przekazywania danych osobowych do państwa trzeciego, 5)   zabezpieczenie danych lub przekazanie ich innym podmiotom, 6)   usunięcie danych osobowych.

GIODO Decyzje Generalnego Inspektora, o których mowa w ust. 1, nie mogą ograniczać swobody działania podmiotów zgłaszających kandydatów lub listy kandydatów w wyborach na urząd Prezydenta Rzeczypospolitej Polskiej, do Sejmu, do Senatu i do organów samorządu terytorialnego, a także w wyborach do Parlamentu Europejskiego, pomiędzy dniem zarządzenia wyborów a dniem głosowania. Decyzje Generalnego Inspektora w odniesieniu do zbiorów określonych w art. 43 ust. 1 pkt 1a (zostały uzyskane w wyniku czynności operacyjno-rozpoznawczych przez funkcjonariuszy), nie mogą nakazywać usunięcia danych osobowych zebranych w toku czynności operacyjno-rozpoznawczych prowadzonych na podstawie przepisów prawa.

GIODO W celu inicjowania i podejmowania przedsięwzięć w zakresie doskonalenia ochrony danych osobowych Generalny Inspektor może kierować do organów państwowych, organów samorządu terytorialnego, państwowych i komunalnych jednostek organizacyjnych, podmiotów niepublicznych realizujących zadania publiczne, osób fizycznych i prawnych, jednostek organizacyjnych niebędących osobami prawnymi oraz innych podmiotów wystąpienia zmierzające do zapewnienia skutecznej ochrony danych osobowych. Generalny Inspektor może również występować do właściwych organów z wnioskami o podjęcie inicjatywy ustawodawczej albo o wydanie bądź zmianę aktów prawnych w sprawach dotyczących ochrony danych osobowych.