Transcript Ochrona danych osobowych w administracji publicznej

Dr Małgorzata Ganczar
OCHRONA DANYCH OSOBOWYCH W
ADMINISTRACJI PUBLICZNEJ
Obowiązki administratora danych
ustawodawca podaje pewien minimalny zakres informacji,
jakie powinny być udzielone przez administratora danych
osobie, której dotyczą zbierane dane.
Są to tzw. obowiązki informacyjne - normy poświęcone
zbieraniu danych, procedurze zbierania. I w tym przypadku
można wyróżnić dwie grupy przepisów w zależności od
tego, od kogo dane są pozyskiwane.
jedna grupa odnosi się do
bezpośredniego zbierania ich od
osoby, której one dotyczą (zob.
art. 24 u.o.d.o.),
druga natomiast - do pozostałych
przypadków zbierania danych, a
więc do gromadzenia pośredniego
(zob. art. 25 u.o.d.o.).
Obowiązki administratora danych
W obydwu przypadkach Funkcją tych przepisów
jest to, aby na podstawie uzyskanych informacji
zainteresowany miał możliwość właściwego
ocenienia sytuacji i podjęcia decyzji co do
ujawnienia i udostępnienia danych, a także aby
mógł wykonywać prawa przyznane mu w art. 32
u.o.d.o. czy występować z roszczeniami
wynikającymi z innych ustaw (np. majątkowymi i
pozamajątkowymi z kodeksu cywilnego).
Obowiązki administratora danych
Dla stosowania komentowanego przepisu nie ma znaczenia,
w jaki sposób dane są zbierane (przy bezpośrednim
kontakcie, przez telefon), w jaki sposób są utrwalane ani też
jaki charakter ma zbiór, do którego są one wprowadzane
(m.in. czy jest to zbiór tradycyjny - manualny - czy też
funkcjonujący na podstawie technik informatycznych).
Informacje należy przekazać osobie, której dane dotyczą,
natomiast nie osobom, które niejako przy okazji zostają
wskazane. Tak więc w przypadku danych: "Pan X po 5 latach
pracy został zwolniony przez swego pracodawcę Pana Y",
osobą, której należy przekazać odpowiednie informacje, jest
Pan X.
Obowiązki administratora danych
Udzielenie przez administratora informacji
wskazanych w komentowanym przepisie jest
warunkiem legalności zbierania danych. Innymi
słowy, niespełnienie przez administratora danych
obowiązków informacyjnych przewidzianych w
art. 24(podobnie - art. 25) powoduje, iż
przetwarzanie przez niego danych jest sprzeczne
z prawem (ma nielegalny charakter); może zatem
rodzić odpowiedzialność przewidzianą ustawą (w
tym odpowiedzialność karną)
Obowiązki administratora danych
Zbieranie danych wprost od osoby, której dane dotyczą,
nakłada na administratora obowiązek powiadomienia jej o:
a) swej nazwie
(nazwisku),
siedzibie (miejscu
zamieszkania);
dane te powinny
być ścisłe, pełne i
aktualne, tak aby
umożliwiały
zainteresowanemu
wystąpienie z
roszczeniami
informacyjnymi, o
których mowa w
art. 32 ust. 1;
b) celu zbierania
danych, w tym
przewidywanych
odbiorcach danych;
gdy w czasie
zbierania danych
nie można jeszcze
ich dokładnie
określić, podać
należy przynajmniej
kategorię
potencjalnych
odbiorców;
c) prawie
dostępu do
treści swych
danych i do
ich
poprawiania;
d) dobrowolności
albo obowiązku
podania danych, a
jeśli taki
obowiązek istnieje
- o jego prawnej
podstawie.
Obowiązki administratora danych
Obowiązek powiadomienia nie powstaje
wówczas, gdy:
ustawa zezwala na
przetwarzanie danych
bez ujawniania celu
ich zbierania (art. 24
ust. 2 pkt 1 u.o.d.o.),
jak to ma miejsce np.
w zakresie działalności
policji,
osoba, której dane
dotyczą, ma już
informacje, które
miałyby zostać jej
przekazane (art. 24
ust. 2 pkt 2 u.o.d.o.).
Obowiązki administratora danych
Osoba, której dane są zbierane bez jej udziału,
powinna być poinformowana przez administratora
bezpośrednio po utrwaleniu danych o:
• a) jego nazwie (nazwisku), siedzibie (miejscu zamieszkania);
• b) celu i zakresie zbierania danych, w tym przewidywanych
odbiorcach danych; obowiązek informowania o "zakresie
zbieranych danych" zobowiązuje - jak można przyjąć - do
podania rodzaju zbieranych danych, natomiast nie wynika z
niego powinność informowania o treści danych;
• c) źródle danych;
• d) prawie dostępu do treści swoich danych i do ich poprawiania;
Obowiązki administratora danych
e) prawie wniesienia
• - umotywowanego żądania zaprzestania przetwarzania
danych ze względu na jej szczególną sytuację oraz
• - sprzeciwu co do przetwarzania jej danych:
• gdy chodzi o przetwarzanie niezbędne do wykonania
zadań określonych prawem, a realizowanych dla dobra
publicznego, lub
• wobec przetwarzania niezbędnego do osiągania
prawnie usprawiedliwionych celów administratorów
danych albo odbiorców danych (gdy administrator
zamierza je przetwarzać w celach marketingowych lub
wobec przekazywania danych innemu
administratorowi).
Obowiązki administratora danych
Powiadomienie, o którym mowa w komentowanym artykule,
następować powinno z inicjatywy administratora; nie są tu
potrzebne prośba, pytanie czy wniosek ze strony zainteresowanego.
W rezultacie można mówić, iż w art. 24 mamy do czynienia z
"aktywnym obowiązkiem informacyjnym"; podobnie jak w art. 25.
Powiadomienia dokonuje nie zawsze sam administrator, lecz często
działająca w jego imieniu i na jego zlecenie osoba kontaktująca się z
tym, od kogo dane się pozyskuje (może to być pracownik
administratora, pełnomocnik lub osoba działająca na jego rzecz na
podstawie innego rodzaju umocowania). Udzielenie informacji może
mieć charakter indywidualny lub zbiorowy - np. w obecności całej
grupy respondentów, wielu członków związku lub stowarzyszenia.
Obowiązki administratora danych
Przepis art. 26 u.o.d.o., wyznaczając
główne zasady postępowania przy
przetwarzaniu danych osobowych,
ujmuje je w formę podstawowych
obowiązków, których musi zawsze
przestrzegać administrator danych. Jest
on odpowiedzialny nie tylko za samo
przetwarzanie danych, w wąskim
znaczeniu, ale także za jakość danych.
Obowiązki administratora danych
Przepis art. 26, wyznaczając główne zasady
postępowania przy przetwarzaniu danych
osobowych, ujmuje je w formę podstawowych
obowiązków, których musi zawsze przestrzegać
administrator danych. Jest on odpowiedzialny nie
tylko za samo przetwarzanie danych, w wąskim
znaczeniu, ale także za jakość danych.
Obowiązkiem nadrzędnym administratora jest
dołożenie szczególnej staranności w celu ochrony
interesów osób, których dane dotyczą.
Obowiązki administratora danych
Artykuł 26 ust. 1 statuuje następujące zasady:
legalności (pkt 1),
- celowości (pkt 2),
- merytorycznej
poprawności (pkt 3),
- adekwatności (pkt 3) oraz
- ograniczenia czasowego (pkt 4).
Zasada legalności
W pkt 1 przewidziano obowiązek przetwarzania danych zgodnie z
prawem. Chodzi tu o zgodność nie tylko z komentowaną ustawą
(art. 23), ale także z wszelkimi normami prawa, zarówno tymi już
istniejącymi w momencie wejścia w życie ustawy, jak i tymi, które
dopiero później zostały wprowadzone do porządku prawnego.
Zgodność z prawem dotyczy przestrzegania zarówno przepisów
prawa materialnego, jak i przepisów dotyczących postępowania.
Legalność odnosi się do zgodności przetwarzania danych nie tylko
z przepisami rangi ustawowej, ale także z normami zawartymi w
aktach wykonawczych. Natomiast nie jest objęte omawianą
zasadą przetwarzanie naruszające postanowienia umowne.
Zasada celowości
Zbieranie danych osobowych powinno być dokonywane dla
oznaczonych, zgodnych z prawem celów; nie jest dozwolone ich
dalsze przetwarzanie niezgodne z tymi celami (zasada związania
celem). Dotyczy to także przypadków, gdy owo dalsze
przetwarzanie dokonywane jest przez tego samego administratora.
Wspomniany cel wyznacza zakres przetwarzania danych.
Zbieranie danych musi następować do celów:
a) oznaczonych,
b) zgodnych z prawem.
Zasada merytorycznej poprawności
Kolejnym obowiązkiem administratora jest
zapewnienie, aby zbierane dane osobowe były
merytorycznie poprawne - zasada poprawności
(prawdziwości) danych. Wynikające z tych danych
informacje powinny być zgodne z prawdą, pełne
(kompletne) i - choć ustawa tego nie stanowi expressis
verbis - na ile to możliwe oraz uzasadnione celem
przetwarzania danych, odpowiadać aktualnemu
(najnowszemu) stanowi rzeczy (zasada aktualności
danych); w pozostałych przypadkach danym powinno
towarzyszyć oznaczenie, kiedy były one ustalane.
Mówiąc skrótowo i w przenośni: dane powinny być
osadzone w czasie.
Zasada adekwatności
Ustawa wyraźnie wymaga, aby zbierane dane były adekwatne do
celów, w jakich są przetwarzane - zasada adekwatności
(relewantności) danych. Rodzajem i treścią dane nie powinny
wykraczać poza potrzeby wynikające z celu ich zbierania.
Omawiany wymóg sprzeciwia się też zbieraniu zarówno wszelkich
danych dla tego celu nieistotnych, niemających znaczenia, jak i
danych o "większym - niż uzasadniony z tego względu - stopniu
szczegółowości".
PRZYKŁAD: W ocenie Generalnego Inspektora Ochrony Danych
Osobowych żądanie od osoby przystępującej do ubezpieczenia
grupowego takich informacji, jak rodzaj wykonywanej pracy,
wykształcenie czy stan cywilny, narusza zasadę adekwatności,
wykracza poza potrzeby związane z zawarciem i realizacją umowy
ubezpieczenia.
Zasada ograniczenia czasowego
Ustawa nakłada obowiązek przechowywania danych w postaci
umożliwiającej identyfikację osób, których one dotyczą, nie
dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania.
Nawet wówczas, gdy określone dane odpowiadają celowi, w
którym są zbierane i do tego celu adekwatne, to nie wynika z
tego, iż mogą być one przetwarzane, w tym też udostępniane
innym podmiotom, ad infinitum.
Czasowym wyznacznikiem jest tu osiągnięcie zamierzonego celu
przetwarzania (np. wykonanie zawartej umowy). Później nie muszą być
one wprawdzie "z urzędu" usunięte, natomiast powinny być co
najmniej poddane anonimizacji, pozbawione cech identyfikujących; nie
wystarcza w żadnej mierze jedynie utrudnienie identyfikacji.
Obowiązki administratora danych
Na wniosek osoby, której dane dotyczą, administrator
danych jest obowiązany, w terminie 30 dni, poinformować
o przysługujących jej prawach oraz udzielić, odnośnie do jej
danych osobowych, właściwych informacji. Na wniosek
osoby, której dane dotyczą, informacji tych udziela się na
piśmie.
Przewidziane ustawą uprawnienia osoby fizycznej (osoby,
której dane dotyczą) do uzyskiwania informacji na temat
administratora i prowadzonego przez niego przetwarzania
odnoszących się do niej danych (m.in. w kwestii źródła
pozyskiwania danych, ich treści, celu i zakresu
wykorzystywania) nie mają charakteru bezwzględnego.
Odmowa udzielenia informacji przez administratora danych
Administrator ma prawo, a nawet obowiązek, odmówić
udzielenia informacji w tych wszystkich przypadkach, w
których ich przekazanie powodowałoby:
1) ujawnienie
wiadomości
zawierających
informacje
niejawne albo
2) zagrożenie
dla obronności
lub
bezpieczeństwa
państwa, życia i
zdrowia ludzi,
lub
bezpieczeństwa
i porządku
publicznego,
albo
3) zagrożenie
dla
podstawowego
interesu
gospodarczego
lub
finansowego
państwa, albo
4) istotne
naruszenie dóbr
osobistych
osób, których
dane dotyczą,
lub innych osób.
Odmowa udzielenia informacji przez administratora danych
Przedstawione wyżej powody odmowy zaspokojenia
żądań osoby zainteresowanej dyktowane są w
większości przypadków przeważającym interesem
publicznym (np. walką z przestępczością, dbałością o
ważne interesy gospodarcze państwa itp.).
W przypadku udzielenia odmowy udostępniania danych
osobie, której dane te dotyczą, pojawia się problem
prawnego charakteru takiej odmowy, a w tym pytanie,
czy należy uznać, iż następuje to w formie decyzji
administracyjnej, postanowienia, czy w innej formie.