Transcript Ochrona danych osobowych w administracji publicznej

Dr Małgorzata Ganczar
OCHRONA DANYCH OSOBOWYCH W
ADMINISTRACJI PUBLICZNEJ
Organ ochrony danych osobowych
Organem do spraw ochrony danych
osobowych jest Generalny Inspektor
Ochrony Danych Osobowych
GIODO powołuje i odwołuje Sejm
Rzeczypospolitej Polskiej za zgodą
Senatu.
Organ ochrony danych osobowych
Na stanowisko Generalnego Inspektora może być
powołany ten, kto łącznie spełnia następujące
warunki:
• 1) jest obywatelem polskim i stale zamieszkuje na terytorium
Rzeczypospolitej Polskiej,
• 2) wyróżnia się wysokim autorytetem moralnym,
• 3) posiada wyższe wykształcenie prawnicze oraz odpowiednie
doświadczenie zawodowe,
• 4) nie był karany za przestępstwo.
Generalny Inspektor w zakresie wykonywania swoich
zadań podlega tylko ustawie.
Organ ochrony danych osobowych
Kadencja Generalnego Inspektora trwa 4 lata, licząc od dnia złożenia ślubowania. Po
upływie kadencji Generalny Inspektor pełni swoje obowiązki do czasu objęcia
stanowiska przez nowego Generalnego Inspektora.
Ta sama osoba nie może być Generalnym Inspektorem więcej niż przez dwie kadencje.
Kadencja Generalnego Inspektora wygasa z chwilą jego śmierci, odwołania lub utraty
obywatelstwa polskiego.
Sejm, za zgodą Senatu, odwołuje Generalnego Inspektora, jeżeli:
•
•
•
•
1)
2)
3)
4)
zrzekł się stanowiska,
stał się trwale niezdolny do pełnienia obowiązków na skutek choroby,
sprzeniewierzył się złożonemu ślubowaniu,
został skazany prawomocnym wyrokiem sądu za popełnienie przestępstwa.
Organ ochrony danych osobowych
Przepis art. 8 ust. 1 u.o.d.o. określa w sposób
najbardziej ogólny kompetencje i zakres zadań
Generalnego Inspektora Ochrony Danych
Osobowych: "sprawy dotyczące ochrony danych
osobowych".
Regulacja zawarta w u.o.d.o. zapewnić ma
niezawisłość i niezależność Generalnego
Inspektora Ochrony Danych Osobowych
względem organów administracji publicznej.
Organ ochrony danych osobowych
Służy temu m.in.:
a) tryb powoływania i odwoływania Generalnego Inspektora (jest on
powoływany przez Sejm RP za zgodą Senatu RP);
b) podległość jedynie parlamentowi i poddanie w zakresie
wykonywania swoich zadań tylko ustawie (art. 8);
c) przyznanie immunitetu (art. 11);
d) ustanowienie zakazu:
• - członkostwa w partii politycznej, związku zawodowym,
• - zajmowania stanowiska innego niż stanowisko profesora w szkole wyższej (art. 10
ust. 1) oraz
• - prowadzenia działalności publicznej niedającej się pogodzić z godnością jego
urzędu (art. 10 ust. 2)
Organ ochrony danych osobowych
Generalny Inspektor Ochrony Danych Osobowych jest - z punktu widzenia przepisów
kodeksu postępowania administracyjnego - centralnym organem administracji
państwowej (art. 5 § 2 pkt 3 k.p.a.).
Żaden też minister nie sprawuje w stosunku do Generalnego Inspektora funkcji
nadzorczych lub kontrolnych. Takiej kompetencji nie można wyprowadzać z
przepisów, które upoważniają ministra właściwego do spraw administracji do wydania
aktów wykonawczych do u.o.d.o.
Z uwagi na status prawny Generalnego Inspektora jako centralnego organu
administracji państwowej (publicznej) nie ma w stosunku do niego organu wyższego
stopnia w rozumieniu przepisów kodeksu postępowania administracyjnego.
Konsekwencją tego jest brak możliwości odwołania się od decyzji wydanej w pierwszej
instancji, jednakże strona niezadowolona z decyzji może zwrócić się do tego organu z
wnioskiem o ponowne rozpatrzenie sprawy (por. art. 127 § 3 k.p.a.).
Do zadań Generalnego Inspektora w szczególności należy:
1) kontrola zgodności przetwarzania danych z przepisami o
ochronie danych osobowych,
2) wydawanie decyzji administracyjnych i rozpatrywanie
skarg w sprawach wykonania przepisów o ochronie danych
osobowych,
3) zapewnienie wykonania przez zobowiązanych
obowiązków o charakterze niepieniężnym wynikających z
decyzji, o których mowa w pkt 2, przez stosowanie środków
egzekucyjnych przewidzianych w ustawie z dnia 17 czerwca
1966 r. o postępowaniu egzekucyjnym w administracji
Do zadań Generalnego Inspektora w szczególności należy:
4) prowadzenie rejestru zbiorów danych oraz udzielanie informacji
o zarejestrowanych zbiorach,
5) opiniowanie projektów ustaw i rozporządzeń dotyczących
ochrony danych osobowych,
6) inicjowanie i podejmowanie przedsięwzięć w zakresie
doskonalenia ochrony danych osobowych,
7) uczestniczenie w pracach międzynarodowych organizacji i
instytucji zajmujących się problematyką ochrony danych
osobowych.
Do zadań Generalnego Inspektora w szczególności należy:
niezależnie od wyliczenia podstawowych obowiązków,
które znalazło się w art. 12 u.o.d.o., Generalny Inspektor
(zwłaszcza pierwszy) ma do spełnienia bardzo ważną
rolę, także jeśli chodzi o samo wdrożenie w życie
rozwiązań ustawy, rozpoznanie istniejącej sytuacji
faktycznej, kształtowanie polityki ochrony danych
osobowych i wykładni odpowiednich, służących temu
postanowień, a także podniesienie świadomości prawnej
w tym zakresie. Jest to niezbędne i łatwo dostrzegalne
wobec faktu, iż rozwiązania prawne wprowadzone
ustawą nie miały dotychczas swych odpowiedników w
polskim systemie prawnym.
Do zadań Generalnego Inspektora w szczególności należy:
Podstawowym zadaniem Generalnego Inspektora jest prowadzenie
kontroli zgodności przetwarzania danych z przepisami o
ochronie danych osobowych. Chodzi tu o sprawdzanie zgodności
działań nie tylko z przepisami komentowanej ustawy, ale także z
przepisami innych aktów prawnych, które dotyczą kwestii ochrony
danych osobowych.
Kontrola, o której mowa w art. 12 pkt 1 u.o.d.o., może być
prowadzona z własnej inicjatywy, ale także w nawiązaniu do
zgłoszonego wniosku, uwag czy zastrzeżeń. Może przybierać
formę:
kontroli systematycznej,
regularnej (periodycznej)
kontroli sporadycznej,
incydentalnej (ad hoc).
Do zadań Generalnego Inspektora w szczególności należy:
Głównym środkiem, za pomocą którego może być
realizowany omawiany obowiązek kontroli, jest
przyznane Generalnemu Inspektorowi prawo do
inspekcji, przeprowadzania oględzin urządzeń, nośników
i systemów informatycznych, prawo do żądania
wyjaśnień, przesłuchiwania osób oraz prawo wglądu do
dokumentów i sporządzania ich kopii (art. 14 u.o.d.o.).
Generalny Inspektor nie powinien wykorzystywać
uzyskanych w trakcie kontroli informacji dla innych celów.
Do zadań Generalnego Inspektora w szczególności należy:
Kontrola sprawowana przez GIODO może być określana
mianem kontroli instytucjonalnej dla odróżnienia od
innych rodzajów sprawowania kontroli w zakresie
przetwarzania danych:
kontroli
indywidualnej sprawowanej
przez osoby,
których
przetwarzane
dane dotyczą;
kontroli
funkcjonalnej sprawowanej
przez podmioty
przetwarzające
dane, oraz
kontroli
uzupełniającej realizowanej
przez inne
podmioty, m.in.
prokuraturę,
sądy i inne
organy
Do zadań Generalnego Inspektora w szczególności należy:
Przejawem władczych kompetencji służących Generalnemu
Inspektorowi jest przyznana mu kompetencja do wydawania
decyzji administracyjnych i rozpatrywanie - w trybie
kodeksu postępowania administracyjnego - skarg w
sprawach wykonania przepisów o ochronie danych
osobowych (art. 12 pkt 2 u.o.d.o.).
Chodzi tu nie wyłącznie o przepisy ustawy, lecz także o
przepisy innych ustaw regulujących ochronę danych
osobowych. Omawiany przepis jest równocześnie przepisem
szczególnym wyznaczającym właściwość Generalnego
Inspektora, jeśli chodzi o rozpatrywanie skarg określonego
rodzaju.
Rozpatrywanie skarg
Nie ma podstaw ku temu, aby do przyznanego Generalnemu Inspektorowi
prawa (a zarazem nałożonego na niego obowiązku) rozpatrywania skarg w
sprawach wykonania przepisów o ochronie danych osobowych nie stosować,
zgodnie z ogólną wskazówką zamieszczoną w art. 22 u.o.d.o., przepisów
kodeksu postępowania administracyjnego dotyczących skargi (art. 221 i n.
k.p.a.).
Skarga jest powszechnie dostępnym środkiem prawnym inicjującym
uproszczone, o charakterze kontrolnym postępowanie, bez toku
instancyjnego; efektem tego postępowania nie jest wydanie rozstrzygnięcia
adresowanego do osoby składającej skargę (wnioskodawcy), natomiast
osoba ta powinna być powiadomiona o sposobie załatwienia skargi, o
podjętych w wyniku jej złożenia krokach (wydaniu poleceń, usunięciu
uchybień, złożeniu doniesienia do prokuratora i innych).
Rozpatrywanie skarg
Ustawa nie przewiduje żadnej szczególnej formy dla złożenia
skargi; dopuszczalne jest zatem dokonanie tego na piśmie albo
ustnie.
Przepis § 5 rozporządzenia w sprawie organizacji przyjmowania i
rozpatrywania skarg i wniosków przewiduje także m.in. możliwość
wniesienia skargi za pomocą poczty elektronicznej.
Skarga może być - stosownie do art. 221 k.p.a. - złożona w interesie
własnym wnioskodawcy, w interesie innych osób lub w interesie
społecznym.
Znamiona skargi może mieć określony materiał prasowy (artykuł,
opublikowany list do redakcji, reportaż) przekazany Generalnemu
Inspektorowi przez redakcję prasową (art. 248 k.p.a.).
Rozpatrywanie skarg
Przedmiotem skargi jest w szczególności zaniedbanie lub nienależyte
wykonywanie zadań przez właściwe organy albo przez ich
pracowników, naruszenie praworządności lub słusznych interesów
obywateli, a także przewlekłe lub biurokratyczne załatwianie spraw
(art. 227 k.p.a.).
Skarga może zatem dotyczyć np. niedopełniania przez organ
przetwarzający dane obowiązków informacyjnych wskazanych w art.
24 i 25 u.o.d.o., braku dbałości administratora o merytoryczną
poprawność przetwarzanych danych, przetwarzania tych danych w
innym celu niż ten, dla którego zostały zebrane, bezpodstawnego
nieudostępnienia danych, jak też bezprawnego udostępniania danych
ze zbioru innym osobom, utrudniania sprawowania kontroli,
niewłaściwego (niedostatecznego) zabezpieczenia danych itd.
Zadania GIODO.
Zadania Generalnego Inspektora mogą wynikać
także z innych aktów prawnych niż
komentowana ustawa. Przykładem jest tu art.
11 ust. 2 ustawy z dnia 9 kwietnia 2010 r. o
udostępnianiu informacji gospodarczych i
wymianie danych gospodarczych (Dz. U. Nr 81,
poz. 530 z późn. zm.) wskazujący na
kompetencje Generalnego Inspektora Ochrony
Danych Osobowych w zakresie opiniowania
regulaminów biur informacji gospodarczej.
GIODO
Generalny Inspektor wykonuje swoje zadania przy pomocy Biura Generalnego
Inspektora Ochrony Danych Osobowych, zwanego dalej Biurem.
Generalny Inspektor w przypadkach uzasadnionych charakterem i liczbą spraw z
zakresu ochrony danych osobowych na danym terenie może wykonywać swoje
zadania przy pomocy jednostek zamiejscowych Biura.
Organizację oraz zasady działania Biura określa statut nadany, w drodze
rozporządzenia, przez Prezydenta Rzeczypospolitej Polskiej.
Prezydent Rzeczypospolitej Polskiej, po zasięgnięciu opinii Generalnego
Inspektora, w drodze rozporządzenia, nadaje statut Biuru, określając jego
organizację, zasady działania oraz siedziby jednostek zamiejscowych i zakres ich
właściwości terytorialnej, mając na uwadze stworzenie optymalnych warunków
organizacyjnych do prawidłowej realizacji zadań Biura.
Generalny Inspektor, zastępca Generalnego Inspektora lub upoważnieni
przez niego pracownicy Biura, zwani dalej "inspektorami", mają prawo:
1) wstępu, w godzinach od 600 do 2200, za okazaniem
imiennego upoważnienia i legitymacji służbowej, do
pomieszczenia, w którym zlokalizowany jest zbiór
danych, oraz pomieszczenia, w którym przetwarzane są
dane poza zbiorem danych, i przeprowadzenia
niezbędnych badań lub innych czynności kontrolnych w
celu oceny zgodności przetwarzania danych z ustawą,
2) żądać złożenia pisemnych lub ustnych wyjaśnień oraz
wzywać i przesłuchiwać osoby w zakresie niezbędnym do
ustalenia stanu faktycznego,
Generalny Inspektor, zastępca Generalnego Inspektora lub upoważnieni
przez niego pracownicy Biura, zwani dalej "inspektorami", mają prawo:
3) wglądu do wszelkich dokumentów i wszelkich
danych mających bezpośredni związek z
przedmiotem kontroli oraz sporządzania ich kopii,
4) przeprowadzania oględzin urządzeń, nośników
oraz systemów informatycznych służących do
przetwarzania danych,
5) zlecać sporządzanie ekspertyz i opinii.
GIODO
W przypadku naruszenia przepisów o ochronie danych
osobowych Generalny Inspektor z urzędu lub na wniosek osoby
zainteresowanej, w drodze decyzji administracyjnej, nakazuje
przywrócenie stanu zgodnego z prawem, a w szczególności:
1) usunięcie uchybień,
2) uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub
nieudostępnienie danych osobowych,
GIODO
3) zastosowanie dodatkowych środków
zabezpieczających zgromadzone dane osobowe,
4) wstrzymanie przekazywania danych
osobowych do państwa trzeciego,
5) zabezpieczenie danych lub przekazanie ich
innym podmiotom,
6) usunięcie danych osobowych.
GIODO
Decyzje Generalnego Inspektora, o których mowa w ust. 1, nie
mogą ograniczać swobody działania podmiotów zgłaszających
kandydatów lub listy kandydatów w wyborach na urząd
Prezydenta Rzeczypospolitej Polskiej, do Sejmu, do Senatu i do
organów samorządu terytorialnego, a także w wyborach do
Parlamentu Europejskiego, pomiędzy dniem zarządzenia wyborów
a dniem głosowania.
Decyzje Generalnego Inspektora w odniesieniu do zbiorów
określonych w art. 43 ust. 1 pkt 1a (zostały uzyskane w wyniku
czynności operacyjno-rozpoznawczych przez funkcjonariuszy), nie
mogą nakazywać usunięcia danych osobowych zebranych w toku
czynności operacyjno-rozpoznawczych prowadzonych na
podstawie przepisów prawa.
GIODO
W celu inicjowania i podejmowania przedsięwzięć w zakresie
doskonalenia ochrony danych osobowych Generalny Inspektor
może kierować do organów państwowych, organów samorządu
terytorialnego, państwowych i komunalnych jednostek
organizacyjnych, podmiotów niepublicznych realizujących
zadania publiczne, osób fizycznych i prawnych, jednostek
organizacyjnych niebędących osobami prawnymi oraz innych
podmiotów wystąpienia zmierzające do zapewnienia skutecznej
ochrony danych osobowych.
Generalny Inspektor może również występować do właściwych
organów z wnioskami o podjęcie inicjatywy ustawodawczej albo o
wydanie bądź zmianę aktów prawnych w sprawach dotyczących
ochrony danych osobowych.