Ochrona danych osobowych w administracji publicznej Dr Małgorzata Ganczar Ochrona danych osobowych w administracji publicznej
Zabezpieczanie danych osobowych Ustawodawca nie podaje, jakie konkretnie środki mają być zastosowane przez administratora danych. Obowiązki administratora wynikają z postawionych mu zadań. Zadania te ujęte są bardzo szeroko i ogólnie: administrator ma - jak zaznaczono w komentowanym przepisie - zapewnić ochronę przetwarzanych danych osobowych. Tak ujęty obowiązek jest następnie uszczegółowiony w ten sposób, że wskazane zostały najistotniejsze zadania polegające na zabezpieczeniu danych przed ich: a) udostępnieniem osobom nieupoważnionym, b) zabraniem przez osobę nieuprawnioną, c) uszkodzeniem, d) zniszczeniem, e) zmianą, f) utratą, g) przetwarzaniem z naruszeniem ustawy.
Zabezpieczanie danych osobowych Zadania te powinny być zrealizowane przez zastosowanie odpowiednich, należy przez to rozumieć: skutecznych, środków technicznych i organizacyjnych. Ustawodawca nie przesądza, jakie to mają być środki. Mogą być one różnego rodzaju, od rozwiązań architektoniczno-budowlanych przez systemy alarmowe i służby ochrony aż po środki technicznego i czysto informatycznego charakteru (karty chipowe, kody dostępu, systemy kodujące i przeciwdziałające hakerstwu). Administrator powinien dzięki nim wyeliminować wystąpienie opisanych wyżej szkodliwych zdarzeń, a gdy to niemożliwe - maksymalnie ograniczyć ryzyko ich pojawienia się. Skuteczność zastosowanych środków powinna podlegać badaniom. Przy stosowaniu zabezpieczeń powinno się też uwzględniać zmieniające się warunki oraz postęp techniczny (informatyczny), co powodować może konieczność zmiany czy modernizowania wprowadzonych wcześniej przez administratora systemów ochrony.
Zabezpieczanie danych osobowych Nowela z dnia 22 stycznia 2004 r. nałożyła na administratora danych obowiązek prowadzenia dokumentacji zawierającej opis sposobu przetwarzania danych oraz środków technicznych i organizacyjnych zapewniających ochronę danych. Podobny obowiązek wynikał wprawdzie z przepisów wykonawczych wydanych już przed wspomnianą nowelizacją, jednak był on kwestionowany z racji braku odpowiednich ustawowych podstaw jego wprowadzenia. Ogólne sformułowanie ustawy dotyczące obowiązku prowadzenia dokumentacji zostało uzupełnione szczegółowymi regulacjami zawartymi w rozporządzeniu w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.
Zabezpieczanie danych osobowych Zgodnie z § 3 r.d.w.t.o. na dokumentację składają się dwa dokumenty: - polityka bezpieczeństwa oraz - instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. Dokumentacja powinna być prowadzona w formie pisemnej. Obowiązek "wdrożenia" dokumentacji, a więc jej opracowania i upowszechnienia wśród osób przetwarzających dane, spoczywa na administratorze danych.
Zabezpieczanie danych osobowych Kolejny obowiązek, jaki na mocy noweli z dnia 22 stycznia 2004 r. został zawarty w komentowanym przepisie, dotyczy wyznaczenia osoby, której zadaniem jest nadzorowanie przestrzegania zasad ochrony danych. Osoba taka - administrator bezpieczeństwa informacji (ABI) - powinna być przez administratora wyznaczona, chyba że administrator danych sam wykonuje czynności nadzorcze (np. gdy osoba fizyczna samodzielnie przetwarza dane będąc ich administratorem).
Zabezpieczanie danych osobowych Do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych. Powinny się nim wykazać nie tylko osoby, które na stałe zajmują się przetwarzaniem danych, pracownicy administratora danych, ale też osoby czasowo wykonujące czynności w tym zakresie, a także - jak się wydaje - osoby dokonujące przeglądów serwisowych sprzętu czy oprogramowania, osoby mające usunąć usterki czy awarie, z tego względu, że mają one dostęp do danych osobowych, a zatem można uznać, iż przetwarzają dane (np. jeżeli mogą zapoznać się z treścią danych).
Zabezpieczanie danych osobowych Na administratorze danych ciąży obowiązek zapewnienia kontroli nad tym: - jakie dane osobowe, - kiedy, - przez kogo zostały wprowadzone do zbioru oraz - komu zostały ze zbioru przekazane, niezależnie od tego, w jaki sposób nastąpiło przekazanie danych (zrezygnowano tu ze szczególnego podkreślenia tego obowiązku w przypadku przekazywania danych za pomocą urządzeń teletransmisji).
Zabezpieczanie danych osobowych Jak ma być sprawowana powyższa kontrola - ustawa nie rozstrzyga. Dobór służących jej środków pozostawiony został administratorowi danych. Podlegają one jednak kontroli Generalnego Inspektora, jego zastępcy i upoważnionych przez Generalnego Inspektora inspektorów. Omawiana kontrola ma nie tyle służyć celom ewidencyjno-dokumentacyjnym, co przede wszystkim zapobiegać przypadkom naruszenia przepisów o ochronie danych osobowych i umożliwiać, w razie dokonania naruszenia, wskazanie osoby odpowiedzialnej.
Zabezpieczanie danych osobowych Administrator danych prowadzi ewidencję osób upoważnionych do ich przetwarzania, która powinna zawierać: 1) imię i nazwisko osoby upoważnionej, 2) datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych, 3) identyfikator, jeżeli dane są przetwarzane w systemie informatycznym. Osoby, które zostały upoważnione do przetwarzania danych, są obowiązane zachować w tajemnicy te dane osobowe oraz sposoby ich zabezpieczenia.
Rejestracja zbiorów danych osobowych Przepis art. 40 u.o.d.o. wprowadza obowiązek meldunkowy (obowiązek rejestracyjny) zbiorów danych osobowych. Przedmiotem zgłoszenia i rejestracji jest zbiór danych jako taki; nie jest nim ani samo przetwarzanie danych prowadzone na podstawie jednego czy więcej zbiorów, ani zawartość (treść) zbioru. Takie podejście pozwala jednym zgłoszeniem objąć różne, chociażby ze względu na cel, rodzaje przetwarzania danych dokonywane w ramach i przy wykorzystaniu jednego zbioru. Zgłaszane do rejestracji powinny być również zbiory niewykorzystywane.
Rejestracja zbiorów danych osobowych Treść (minimalną) zgłoszenia zbioru danych do rejestracji zawiera art. 41. Obejmuje ona: a) wniosek o wpisanie zbioru do rejestru (z podaniem nazwy zbioru); b) informacje dotyczące wnioskodawcy (administratora danych): - oznaczenie (nazwa firmy lub imię i nazwisko osoby fizycznej); - adres siedziby lub miejsce zamieszkania; - numer REGON; - podstawę prawną upoważniającą do prowadzenia zbioru; - jeżeli administrator powierzył przetwarzanie danych - oznaczenie podmiotu przetwarzającego dane na zlecenie i adres jego siedziby lub miejsca zamieszkania; - ewentualnie oznaczenie i adres siedziby lub miejsce zamieszkania w Polsce przedstawiciela wyznaczonego przez administratora danych mającego siedzibę albo miejsce zamieszkania w państwie trzecim (zgodnie z art. 31a u.o.d.o.);
Rejestracja zbiorów danych osobowych Treść (minimalną) zgłoszenia zbioru danych do rejestracji zawiera art. 41. Obejmuje ona: c) informacje dotyczące celu, kategorii osób i zakresu przetwarzania: - cel przetwarzania (co jest szczególnie istotne ze względu na zasadę związania celem przetwarzania i kontrolę jej respektowania); - opis kategorii osób, których dane dotyczą (np. klienci przedsiębiorstwa, osoby korzystające z pomocy socjalnej, bezrobotni itp.); - zakres przetwarzania danych - określenie rodzajów przetwarzanych danych (takich, jak np.: nazwisko, data urodzenia, imiona rodziców, adres zamieszkania, wykształcenie, miejsce pracy, seria i numer dowodu osobistego, zawód i inne), w tym zwłaszcza takich, które ujawniają pochodzenie rasowe, etniczne, poglądy oraz inne okoliczności sensytywne;
Rejestracja zbiorów danych osobowych Treść (minimalną) zgłoszenia zbioru danych do rejestracji zawiera art. 41. Obejmuje ona: d) informacje dotyczące sposobu zbierania i udostępniania danych: - sposób zbierania danych, np. bezpośrednio od osób, których dotyczą, z innych źródeł; - sposób udostępniania danych, np. czy dane będą udostępniane drogą teletransmisji; - odbiorcy lub kategorie odbiorców, którym dane mogą być przekazywane; - ewentualne przekazywanie danych do państwa trzeciego; e) opis środków technicznych i organizacyjnych służących zabezpieczeniu zbioru; w tej części zgłoszenia należy podać m.in., czy zbiór danych osobowych będzie przetwarzany centralnie, czy w strukturze rozproszonej, czy i jakie będą przedsięwzięte środki ochrony fizycznej danych, środki sprzętowe, informatyczne, telekomunikacyjne, itp. f) informacje o sposobie wypełnienia warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych - wskazanie, czy zastosowano środki bezpieczeństwa na poziomie podstawowym, podwyższonym, czy wysokim.
Rejestracja zbiorów danych osobowych Generalny Inspektor prowadzi ogólnokrajowy, jawny rejestr zbiorów danych osobowych. Każdy ma prawo przeglądać ten rejestr. Na żądanie administratora danych może być wydane zaświadczenie o zarejestrowaniu zgłoszonego przez niego zbioru danych. Generalny Inspektor wydaje administratorowi danych wrażliwych zaświadczenie o zarejestrowaniu zbioru danych niezwłocznie po dokonaniu rejestracji.
Rejestracja zbiorów danych osobowych Przepis art. 43 wyszczególnia te kategorie zbiorów danych osobowych, co do których nie istnieje obowiązek rejestracji. Wyłączenia z tego obowiązku ustanowione są: a) bądź ze względu na interes publiczny (m.in. na wniosek Państwowej Komisji Wyborczej z obowiązku rejestracji wyłączono w ustawie zbiory tworzone na podstawie ordynacji wyborczych i ustaw o referendach, gdyż są to zbiory tworzone na krótki czas, a procedura rejestracyjna utrudniałaby pracę zarówno podmiotom wyborczym, jak i organom administracji wyborczej), b) bądź ze względu na niewielki stopień zagrożenia praw i wolności osób, których dane dotyczą.
2) przetwarzanie danych naruszałoby zasady określone w art. 23-28, Rejestracja zbiorów danych osobowych Generalny Inspektor wydaje decyzję o odmowie rejestracji zbioru danych, jeżeli: 1) nie zostały spełnione wymogi określone w art. 41 ust. 1 (wymogi formalne zgłoszenia), 2) przetwarzanie danych naruszałoby zasady określone w art. 23-28, 3) urządzenia i systemy informatyczne służące do przetwarzania zbioru danych zgłoszonego do rejestracji nie spełniają podstawowych warunków technicznych i organizacyjnych, określonych w przepisach,
Rejestracja zbiorów danych osobowych Wykreślenie z rejestru zbiorów danych osobowych jest dokonywane, w drodze decyzji administracyjnej, jeżeli: 1) zaprzestano przetwarzania danych w zarejestrowanym zbiorze, 2) rejestracji dokonano z naruszeniem prawa.
Prawa osób, których dane dotyczą Jeśli chodzi o ochronę interesów osób, których dane osobowe są zbierane, podstawową rolę spełnia art.32. Ustanawia on na rzecz tych osób szeroko ujęte prawo do informacji (określane też jako prawo dostępu do zbiorów danych), pozwalające im kontrolować przetwarzanie danych zgromadzonych w zbiorach; towarzyszy temu prawo do weryfikowania poprawności danych oraz sprzeciwienia się przetwarzaniu danych w określonych przypadkach. Prawu temu odpowiada - po drugiej stronie, a więc po stronie administratorów i dysponentów zbiorów danych - symetryczny obowiązek.